#ParsedReport #CompletenessMedium
07-08-2025

New Infection Chain and ConfuserEx-Based Obfuscation for DarkCloud Stealer

https://unit42.paloaltonetworks.com/new-darkcloud-stealer-infection-chain/

Report completeness: Medium

Threats:
Confuserex_tool
Darkcloud
Process_hollowing_technique
Process_injection_technique
Runpe_tool

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1055.012, T1059.001, T1059.007, T1140, T1204.002, T1218.011, T1566.001

IOCs:
File: 4
Url: 2
Command: 1
Hash: 9

Soft:
NET Framework, Telegram

Algorithms:
xor, base64, rc4, 3des

Languages:
visual_basic, powershell, javascript, autoit, jscript

Links:
https://github.com/javascript-obfuscator/javascript-obfuscator
https://github.com/ViRb3/de4dot-cex
have more...
https://github.com/yck1509/ConfuserEx/blob/master/Confuser.Core/ConfuserEngine.cs#L303

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи выявили передовые методы доставки и запутывания в программе DarkCloud Stealer, которая использует форматы TAR, RAR и 7Z, содержащие скрипты для заражения. Вредоносная программа использует JavaScript для загрузки скрипта PowerShell, который удаляет исполняемый файл, надежно защищенный ConfuserEx, в то же время используя process hollowing для скрытого выполнения в рамках законных процессов.
-----

Исследователи подразделения 42 выявили заметный сдвиг в методах доставки и обфускации, связанный с DarkCloud Stealer, впервые обнаруженным в начале апреля 2025 года. Недавние атаки демонстрируют развитую цепочку заражения, которая использует несколько форматов для первоначальной доставки, включая фишинговые электронные письма, содержащие архивы tarball (TAR), Roshal (RAR) или 7-Zip (7Z). Каждый тип архива содержит скрипт, предназначенный для дальнейшего процесса заражения, при этом форматы TAR и RAR в основном используют полезную нагрузку JavaScript (JS), в то время как версия 7Z удаляет файл сценария Windows (WSF).

Злоумышленник внедрил тщательную маскировку практически на каждом этапе цепочки заражения, что усложнило анализ. В путях заражения, инициированных JavaScript, JS-файл, запутанный с помощью javascript-obfuscator, использует объекты ActiveX для загрузки и выполнения скрипта PowerShell (PS1) с сервера. Этот скрипт для PS1 впоследствии удаляет исполняемый файл для DarkCloud Stealer, который защищен ConfuserEx. Примечательно, что процесс запутывания препятствует прямому обнаружению, делая традиционные инструменты анализа менее эффективными. Файл PS1 использует несколько уровней шифрования, включая Base64 и AES, чтобы еще больше скрыть свои операции.

Образец .NET-вредоносного ПО из DarkCloud, исполняемого файла, написанного на Visual Basic 6 (VB6), в частности, защищен с помощью ConfuserEx 2, который известен своими функциями защиты от несанкционированного доступа и переименования символов, наряду с запутыванием потока управления. Эти средства защиты усложняют анализ вредоносного кода, вводя прокси-вызовы и другие методы манипулирования, которые затемняют логику программы. Чтобы противодействовать этому, инструменты деобфускации, такие как de4dot-cex, были использованы для упрощения структуры кода, улучшая понимание аналитиками функциональных компонентов вредоносного ПО.

Важным техническим аспектом атаки является process hollowing - метод внедрения runPE, используемый для выполнения конечной вредоносной полезной нагрузки в пространстве памяти легитимного процесса. В этом случае, RegAsm.exe , законная утилита, используется для облегчения внедрения полезной нагрузки DarkCloud, гарантируя, что она работает под видом доброкачественного процесса.

В конечном счете, DarkCloud Stealer является примером сложной эволюции киберугроз, использующей передовые методы запутывания и внедрения, которые направлены на то, чтобы избежать обнаружения и усложнить работу аналитиков по кибербезопасности. Сочетание разнообразных методов доставки и сложной разработки полезной нагрузки подчеркивает необходимость постоянной адаптации механизмов защиты от кибербезопасности.

#ParsedReport #CompletenessMedium
07-08-2025

A Deep Dive into the Ryuk Ransomware Attack Chain and Its Impact

https://www.picussecurity.com/resource/blog/ryuk-ransomware-attack-chain-impact

Report completeness: Medium

Actors/Campaigns:
Fin12 (motivation: cyber_criminal)

Threats:
Ryuk
Spear-phishing_technique
Emotet
Trickbot
Shadow_copies_delete_technique
Nltest_tool
Adfind_tool
Kerberoasting_technique
Rubeus_tool
Powerview_tool
Powerline_tool
Blackbasta
Medusa_ransomware
Rhysida
Cobalt_strike_tool
Systembc

Victims:
Large organizations, Healthcare institutions, Government entities, High value sectors

Industry:
Government, Healthcare

Geo:
Russian

TTPs:
Tactics: 5
Technics: 9

IOCs:
File: 8
Command: 6
Path: 3

Soft:
ChatGPT, Active Directory

Algorithms:
aes, aes-256, rsa-4096

Functions:
PowerView

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Ryuk, связанная с группой Wizard Spider, нацелена на крупные организации с помощью spear-phishing, используя шифрование AES-256 и RSA-4096. Он использует такие инструменты, как Adfind.bat для разведки, WMIC для оценки антивируса и Rubeus для Kerberoasting, при этом активно отключая резервные копии, чтобы усложнить восстановление.
-----

Программа-вымогатель Ryuk, приписываемая российской киберпреступной группировке Wizard Spider, известна своей агрессивной атакой на крупные организации, особенно в таких важных секторах, как здравоохранение и государственное управление. Вредоносная программа впервые появилась в 2018 году и, как правило, распространяется через электронные письма с spear-phishing, содержащие вредоносные вложения или ссылки, часто в сочетании с другими вредоносными программами, такими как Emotet или TrickBot, которые помогают закрепиться в целевой сети.

Оказавшись внутри целевой среды, Ryuk выполняет свою основную атаку с помощью мощной полезной нагрузки шифрования, которая использует алгоритмы шифрования AES-256 и RSA-4096, чтобы сделать файлы недоступными, впоследствии добавляя расширение .ryk к скомпрометированным файлам. Злоумышленники требуют значительных выкупов, которые могут достигать миллионов долларов. Чтобы усугубить ситуацию для жертв, Ryuk печально известен тем, что применяет деструктивные меры, такие как отключение служб резервного копирования, удаление shadow copies и отключение точек восстановления системы, что значительно усложняет восстановление.

Изучая технические компоненты методологии атаки Ryuk's, мы обнаружили, что в ней используются специальные скрипты и утилиты для разведки и бокового перемещения. Поиск по объявлению.сценарий bat служит для сопоставления Active Directory цели, позволяя злоумышленникам собирать жизненно важную сетевую информацию и выявлять уязвимые системы. Эта разведка дополнительно расширяется с помощью утилиты nltest, которая помогает обнаруживать контроллеры домена (DCS), критически важные для последующего бокового перемещения внутри сети.

Кроме того, Ryuk использует утилиту WMIC (Windows Management Instrumentation Command-line) для оценки установленных антивирусных программ, помогая определить потенциальные меры безопасности, которые могут нарушить его работу. Для повышения привилегий Ryuk использует инструмент PowerLine и функцию PowerView Invoke-CheckLocalAdminAccess для определения локального административного доступа в скомпрометированных системах, что упрощает повышение привилегий.

Важным аспектом операционной эффективности Ryuk's является использование инструмента постэксплуатации Rubeus для выполнения атак Kerberoasting. Это включает в себя запрос заявок на обслуживание для учетных записей служб и последующую попытку взломать их в автономном режиме для получения учетных данных в виде открытого текста, что еще больше облегчает перемещение внутри компании и эксплуатацию сети.

Чтобы еще больше затруднить усилия по восстановлению, Ryuk использует пакетные сценарии для активного отключения служб резервного копирования, тем самым усиливая давление на жертв, вынуждая их выполнять требования о выкупе. Таким образом, программа-вымогатель Ryuk является примером сложной и хорошо структурированной методологии атаки, которая подчеркивает важность понимания такой тактики для усиления защиты кибербезопасности от подобных угроз. Анализ его поведения, сопоставленный с платформой MITRE ATT&CK, служит важнейшим ресурсом для специалистов по безопасности, стремящихся усилить свою защиту от атак программ-вымогателей.

#ParsedReport #CompletenessMedium
07-08-2025

SCENE 1: SoupDealer - Technical Analysis of a Stealth Java Loader Used in Phishing Campaigns Targeting Trkiye

https://www.malwation.com/blog/technical-analysis-of-a-stealth-java-loader-used-in-phishing-campaigns-targeting-turkiye

Report completeness: Medium

Threats:
Soupdealer
Junk_code_technique
Adwind_rat

Industry:
Financial, Telco, Critical_infrastructure

Geo:
Turkish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1053.005, T1059.003, T1070.004, T1090.003, T1102, T1105, T1119, T1129, T1204, have more...

IOCs:
File: 29
Domain: 3
Hash: 2

Algorithms:
aes, exhibit, sha256, sha512, rc4

Functions:
h, findClass, getResourceAsStream, if, ri

Languages:
java, powershell

Links:
https://github.com/java-deobfuscator/deobfuscator

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Изощренная фишинговая кампания в Турции нацелена на пользователей Windows, распространяя ботнет на базе Java с расширенными возможностями закрепления и уклонения. Он использует TOR для связи C &C, отключает локальные функции безопасности и может самораспространяться в локальных сетях.
-----

Недавнее исследование выявило сложную фишинговую кампанию, нацеленную на Турцию, в частности, с акцентом на операционные системы Windows и пользователей, говорящих по-турецки. Кампания распространяет сложную ботнет-сеть с трехэтапным загрузчиком, часто скрытую под такими названиями, как "TEKLIFALINACAKURUNLER.jar ." После запуска эта вредоносная программа использует расширенные механизмы закрепления, включая установку TOR для облегчения связи со своим сервером управления (C&C). Он предназначен для того, чтобы гарантировать, что зараженное устройство находится в Турции и работает на турецком языке, таким образом адаптируя его функциональность таким образом, чтобы избежать обнаружения при сборе информации.

Вредоносное ПО демонстрирует значительные возможности уклонения, успешно обходя многочисленные общедоступные "песочницы" и антивирусные решения, за исключением Threat.Zone. Это также ускользает от систем обнаружения конечных точек и реагирования (EDR) в реальных условиях. Эта ситуация подчеркивает настоятельную необходимость локальных "песочниц" и динамического анализа для команд центров управления безопасностью, особенно для защиты критически важной инфраструктуры.

Детальный анализ показывает, что вредоносное ПО написано на Java. Исследователи использовали такие инструменты, как JByteMode и JADX, для декомпиляции и анализа кода. Процесс распаковки происходит последовательно в функции `init`, где вредоносное ПО динамически загружает свои ресурсы в память с помощью функции `getResourceAsStream`, что позволяет ему определять эти ресурсы как классы Java во время выполнения.

Дальнейшее изучение файловой структуры выявляет четкие указания на TOR и конфигурационные файлы. Третья стадия вредоносного ПО действует как основная вредоносная полезная нагрузка. После установки TOR вредоносное ПО проверяет свое подключение через прокси-сервер, чтобы убедиться в успешном подключении. Код включает в себя класс с именем "Adwind", который отвечает за выполнение вредоносных операций. Важные функции этого класса способны устанавливать C&C-соединение, используя указанные порты и пароль. Этот механизм позволяет вредоносному ПО получать сигналы от сервера C&C для выключения, перезапуска, инициирования DDOS-атак или удаления себя с зараженного устройства.

Обращает на себя внимание способность вредоносной программы отключать локальные функции безопасности, такие как Защитник Windows, с помощью команд PowerShell и самостоятельно распространяться путем копирования своих исполняемых файлов в общие папки, доступные в локальной сети. Этот образец вредоносного ПО демонстрирует эволюционирующий ландшафт угроз, усиливая необходимость в целенаправленной защите от таких сложных целенаправленных атак.

#ParsedReport #CompletenessMedium
07-08-2025

Mustang Panda Targets Windows Users with ToneShell Malware Disguised as Google Chrome

https://gbhackers.com/mustang-panda-targets-windows-users/

Report completeness: Medium

Actors/Campaigns:
Red_delta

Threats:
Toneshell
Spear-phishing_technique
Dll_sideloading_technique
Doplugs
Pubload

Victims:
Government, Military, Tibetan organizations

Industry:
Military, Government

Geo:
Tibetan, Hong kong, Asia-pacific, China

TTPs:

ChatGPT TTPs:
do not use without manual check
T1005, T1012, T1027, T1036.005, T1053.005, T1055, T1057, T1071.001, T1105, T1112, have more...

IOCs:
File: 3
Path: 2
Registry: 2
IP: 1
Hash: 2

Soft:
Google Chrome, Twitter, WhatsApp, Chrome, Microsoft Defender

Algorithms:
sha256

Win API:
WriteFile

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mustang Panda, злоумышленник, связанный с Китаем, с 2012 года атакует правительственные сектора, используя бэкдор ToneShell. Они используют spear-phishing с помощью дроппера, замаскированного под PDF, используя DLL sideloading и сохранение реестра для повышения устойчивости, при этом взаимодействуя с сервером C2 по пользовательскому протоколу TLS.
-----

Mustang Panda, связанный с Китаем злоумышленник, известный под разными именами, включая Earth Preta и HIVE0154, активно атакует правительственный и военный секторы в Азиатско-Тихоокеанском регионе и Европе с помощью сложной стратегии внедрения вредоносных программ. Группа использовала бэкдор ToneShell как минимум с 2012 года, в основном используя тактику spear-phishing с приманками военной тематики для распространения вредоносных исполняемых файлов dropper, упакованных в архивы, такие как mustang_panda.zip .

Дроппер, замаскированный под поврежденный PDF-файл, при запуске выдает вводящее в заблуждение сообщение об ошибке, которое отвлекает жертв во время работы вредоносной программы. Он использует методы DLL sideloading путем перехвата законного компонента Google Chrome, ChromePDF.exe , хранящийся в C:\ProgramData\ChromePDFBrowser . Этот метод облегчает скрытую загрузку вредоносной библиотеки DLL, chrome_elf.dll , созданный для имитации сведений о версии легального программного обеспечения, что помогает избежать обнаружения. Сложность операций Mustang Panda's подчеркивается последовательной тактикой, методами и процедурами (TTP), включая повторное использование инфраструктуры, что наблюдалось в ходе различных кампаний.

Для поддержания доступа к скомпрометированным системам группа внедряет избыточные механизмы закрепления, которые включают ключи запуска реестра, указывающие на ChromePDF.exe , FreePDF и запланированные задачи, предназначенные для выполнения каждые пять минут. Этот метод обеспечивает не только автоматический перезапуск после входа в систему, но и периодическую активацию, тем самым повышая устойчивость вредоносного ПО к сбоям.

ToneShell использует пользовательский зашифрованный протокол TLS для связи со своим сервером управления (C2), расположенным по IP-адресу, связанному с HKBN Enterprise Solutions в Гонконге. Были идентифицированы сигнатуры трафика, указывающие на вредоносное поведение, что позволило определить вектор для обнаружения. Вредоносная библиотека DLL, связанная с ToneShell (SHA-256: 216188ee52b067f761bdf3c456634ca2e84d278c8ebf35cd4cb686d45f5aaf7b), была проанализирована, чтобы выявить, что она импортирует широкий спектр функций Windows API, позволяя выполнять обширные манипуляции с процессами, файловыми операциями и изменениями реестра, тем самым предоставляя полный контроль над зараженной системой.

Кроме того, логистическая непрерывность кампаний Mustang Panda может быть продемонстрирована совместным использованием IP-адреса C2 в прошлых операциях, нацеленных на конкретные объекты, такие как DOPLUGS и PUBLOAD. Артефакты предварительной выборки были задокументированы для подтверждения начальных стадий заражения, подтверждая наличие возможностей мониторинга у операторов. Для эффективного противодействия этим угрозам организациям рекомендуется применять целенаправленные стратегии обнаружения, включая запросы артефактов PowerShell, использование правил Microsoft Defender для выявления подозрительного поведения и использование систем мониторинга поведения. Упреждающие защитные меры должны соответствовать методам MITRE ATT&CK, таким как DLL side-loading, выполнение задач по расписанию и сохранение реестра, направленным на предотвращение текущих и будущих эксплойтов этим развивающимся злоумышленником.

#ParsedReport #CompletenessLow
07-08-2025

Adult sites trick users into Liking Facebook posts using a clickjack Trojan

https://www.malwarebytes.com/blog/news/2025/08/adult-sites-trick-users-into-liking-facebook-posts-using-a-clickjack-trojan

Report completeness: Low

Victims:
Users seeking adult content

Industry:
Government

IOCs:
Domain: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сайты для взрослых, не отвечающие требованиям, распространяют троянские программы с помощью вредоносных целевых страниц, скриптов, программ установки в комплекте, поисковых систем и промежуточных доменов. Меры по предотвращению: runtime AV, фильтрация URL/доменов и списки блокировок.
-----

Изменения в законодательстве, требующие проверки возраста на соответствующих требованиям сайтах для взрослых, смещают трафик в сторону несоответствующих сайтов, которые монетизируются за счет распространения вредоносных программ. Злоумышленники, работающие с такими сайтами или сотрудничающие с ними, распространяют троянские программы среди посетителей — вероятно, через вредоносные целевые страницы, встроенные скрипты или загружаемые в комплекте файлы, — превращая перенаправленных пользователей или пользователей, стремящихся к конфиденциальности, в мишени для компрометации на стороне клиента. Кампания направлена на привлечение пользователей, которые избегают верификации, повышение доступности сайтов, которые не соблюдают правила безопасности и готовы распространять вредоносные программы.

Пользователи, пытающиеся обойти ограничения (например, используя VPN или получая доступ из юрисдикций без верификации), могут непреднамеренно сконцентрировать предпочтительный для злоумышленников трафик и, таким образом, стать более ценными целями. Механизмы доставки в этих сценариях обычно включают доменную инфраструктуру для размещения полезных нагрузок и промежуточной обработки, а также могут использовать методы автоматической загрузки или созданные социальными сетями подсказки для установки троянских программ. Поставщики систем безопасности отреагировали на это добавлением доменов, связанных с кампанией, в списки блокировки и обнаружением вредоносной полезной нагрузки во время выполнения. Защитные средства контроля, снижающие риск, включают в себя актуальную защиту от вредоносного ПО в режиме реального времени, фильтрацию доменов и URL-адресов, а также сведение к минимуму доступа к ненадежным сайтам и загрузкам. Мониторинг и внесение в черный список доменов кампании, а также индикаторы компрометации остаются эффективными средствами защиты от такого типа рассылки.

#ParsedReport #CompletenessMedium
08-08-2025

60 Malicious Ruby Gems Used in Targeted Credential Theft Campaign

https://socket.dev/blog/60-malicious-ruby-gems-used-in-targeted-credential-theft-campaign

Report completeness: Medium

Threats:
Supply_chain_technique
Credential_stealing_technique

Victims:
Social media users, Marketing tool users, Blogging platform users, Messaging platform users, Grey hat marketers, Financial discussion platforms

Industry:
E-commerce, Software_development

Geo:
Russian, Korean, Korea

TTPs:

IOCs:
Domain: 14
Url: 4
Email: 3

Soft:
Outlook, Telegram, Instagram, TikTok, WordPress, m

Algorithms:
exhibit

Languages:
php, ruby

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания RubyGems распространила 60 gems под четырьмя псевдонимами с марта 2023 года, предоставив программу для кражи учетных данных на корейском языке с графическим интерфейсом Glimmer-DSL-LibUI, которая запрашивает идентификаторы и пароли для социальных сетей, блогов и обмена сообщениями, отправляя их через HTTP POST на домены, контролируемые акторами (programzon.com , appspace.kr , marketingduo.co.kr ) в /auth/program/signin и /bbs/login_check.php . Платформы расширялись волнообразно (TikTok, Instagram, Twitter / X, Telegram, Naver, WordPress и т.д.) каждые 2-3 месяца, с пользовательским интерфейсом и кодом на корейском языке, что указывает на южнокорейский таргетинг, хотя полезные нагрузки доступны для использования во всем мире. GreyHat-маркетологи являются ключевой демографической группой жертв; журналы показывают автоматическую активность в социальных сетях / медиа-сервисах, SEO и форумах, а самоцветы autoposter (njongto_duo, jongmogtolon) собирают учетные данные.
-----

Вредоносная кампания RubyGems распространила 60 вредоносных gems, маскирующихся под средства автоматизации для сбора учетных данных у пользователей социальных сетей и маркетинговых платформ. В каждый gem встроен легкий графический интерфейс, созданный с помощью Glimmer-DSL-LibUI, представленный на корейском языке, запрашивающий учетные данные для социальных сетей, блогов или служб обмена сообщениями. Собранные учетные данные не используются локально или для законной аутентификации по API; вместо этого они немедленно отправляются через HTTP POST–запросы на серверы, контролируемые злоумышленником, в таких доменах, как programzon.com , appspace.kr , и marketingduo.co.kr . В этих доменах размещены конечные точки доски объявлений PHP, такие как /auth/program/signin и /bbs/login_check.php , функционирующие как элементарные панели сбора учетных данных.

Возможность кражи учетных данных существует по меньшей мере с марта 2023 года и распространяется по четырем псевдонимам RubyGems, которые выпустили 60 gems согласованными волнами. Каждая волна добавляла поддержку новой платформы, начиная с TikTok и постепенно включая Instagram, Twitter/X, Telegram, Naver, WordPress и другие экосистемы. Работа ведется в обычном режиме, выпуская примерно по одному новому кластеру каждые два-три месяца.

Похоже, что таргетинг явно ориентирован на южнокорейских пользователей. Все графические интерфейсы, текстовая справка, логические сообщения и имена внутренних переменных написаны на корейском языке, а подсказки для ввода таких распространенных полей, как ID и пароль, соответствуют корейским стандартам разработки программного обеспечения. В то время как код и инфраструктура указывают на внутреннюю направленность, отсутствие геозоны означает, что полезная нагрузка доступна для использования во всем мире.

GreyHat-маркетологи представляют собой заметную группу жертв. Журналы Infostealer из скомпрометированных систем, привязанных к marketingduo.co.kr укажите автоматическую активность в социальных сетях, ведении блогов, SEO и обмене сообщениями. Жертвы полагаются на ботов для массового размещения сообщений, торговые площадки с поддельными аккаунтами и сервисы манипулирования поисковыми системами, что делает их главными мишенями для этого кластера credential-stealing. В рамках той же кампании gems, продаваемые в качестве автопостеров для финансовых форумов, таких как njongto_duo и jongmogtolon, нацелены на комнаты для обсуждения акций, чтобы наводнить форумы упоминаниями о тикерах и синтетическим участием, одновременно собирая учетные данные у пользователей.

#ParsedReport #CompletenessLow
08-08-2025

SmartLoader malware distribution through GitHub repository disguised as a normal project

https://asec.ahnlab.com/ko/89498/

Report completeness: Low

Threats:
Smartloader
Rhadamanthys
Lumma_stealer
Redline_stealer

Victims:
Gaming, Consumer, Social media, Information technology

ChatGPT TTPs:
do not use without manual check
T1036

IOCs:
Url: 20
File: 9
Path: 1
Hash: 5

Algorithms:
md5, base64

Win API:
LoadLibrary

Languages:
lua

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Campaign распространяет SmartLoader через репозитории GitHub, маскируясь под законные проекты, размещая архивированные полезные файлы в артефактах выпуска и используя бренд взломанного программного обеспечения для привлечения загрузчиков. Десятки URL-адресов релизов в нескольких репозиториях используют запутанные ссылки, чтобы избежать обнаружения и максимально увеличить параллельное распространение. SmartLoader функционирует как загрузчик, доставляющий дополнительную полезную нагрузку после выполнения, обеспечивая закрепление или вторичные компоненты вредоносного ПО.
-----

Краткое описание CTI описывает кампанию, в ходе которой вредоносное ПО SmartLoader распространяется через репозитории GitHub, замаскированные под обычные, законные проекты. Злоумышленники используют артефакты релиза GitHub для размещения архивированных полезных данных, якобы предлагая различные инструменты или взломанное программное обеспечение. Такой подход использует доверие пользователей к релизам GitHub и привлекательность бесплатных или взломанных приложений, повышая вероятность того, что пользователи загрузят и запустят вредоносные ZIP-файлы.

В дистрибутиве используются десятки URL-адресов релизов из нескольких репозиториев на GitHub, а имена файлов имитируют популярные или привлекательные программы и инструменты, связанные с играми. В качестве примера можно привести Maple.Story.Menu, Minecraft.Vape.Client, ms-награды-автоматизация, защита от ddos-атак-откупоривание, strongvpn_pseudobrotherly, VSDC-Профессиональный редактор видео, instagram-накрутчик подписчиков, Desertless (взлом Call of Duty), MCP.Manager.GUI, Project-Zomboid-Hack и общий Software.zip. Ссылки представлены с запутанными схемами (hxxps/http), позволяющими избежать автоматического обнаружения и очистки. Разнообразие и провокационное название указывают на стратегию социальной инженерии, направленную на привлечение геймеров и пользователей, ищущих взломанное или улучшенное программное обеспечение.

SmartLoader оформлен как вредоносная программа типа загрузчика, используемая для доставки дополнительной полезной нагрузки после первоначального выполнения. Хотя точное поведение после первоначального выполнения во фрагменте не описано подробно, надпись “распространение вредоносных программ SmartLoader” подразумевает, что архивы содержат компоненты, которые загружают или извлекают дополнительные вредоносные компоненты, обеспечивая закрепление или выполнение вторичных полезных нагрузок на скомпрометированных хостах. Обилие отдельных выпусков в разных репозиториях предполагает, что операторы полагаются на параллельные каналы распространения, чтобы максимизировать охват и снизить вероятность удаления всех артефактов.

Для защитников эти показатели предполагают сосредоточение внимания на выявлении кампаний с несколькими репозиториями, которые маскируются под законные проекты, повышенное внимание к релизам на GitHub с провокационной маркировкой или взломанным программным обеспечением, а также мониторинг активности, подобной загрузке, после выполнения загруженных архивов. Практические меры по снижению риска включают проверку цифровых подписей и происхождения загруженных артефактов, ограничение выполнения неподписанных или ненадежных архивов ZIP и использование телеметрии сети и хоста, позволяющей отслеживать поведение загрузчика, который извлекает дополнительную полезную нагрузку после первоначального взлома.