CTT Report Hub
#ParsedReport #CompletenessMedium 07-08-2025 A Deep Dive into the Ryuk Ransomware Attack Chain and Its Impact https://www.picussecurity.com/resource/blog/ryuk-ransomware-attack-chain-impact Report completeness: Medium Actors/Campaigns: Fin12 (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Программа-вымогатель Ryuk, связанная с группой Wizard Spider, нацелена на крупные организации с помощью spear-phishing, используя шифрование AES-256 и RSA-4096. Он использует такие инструменты, как Adfind.bat для разведки, WMIC для оценки антивируса и Rubeus для Kerberoasting, при этом активно отключая резервные копии, чтобы усложнить восстановление.
-----
Программа-вымогатель Ryuk, приписываемая российской киберпреступной группировке Wizard Spider, известна своей агрессивной атакой на крупные организации, особенно в таких важных секторах, как здравоохранение и государственное управление. Вредоносная программа впервые появилась в 2018 году и, как правило, распространяется через электронные письма с spear-phishing, содержащие вредоносные вложения или ссылки, часто в сочетании с другими вредоносными программами, такими как Emotet или TrickBot, которые помогают закрепиться в целевой сети.
Оказавшись внутри целевой среды, Ryuk выполняет свою основную атаку с помощью мощной полезной нагрузки шифрования, которая использует алгоритмы шифрования AES-256 и RSA-4096, чтобы сделать файлы недоступными, впоследствии добавляя расширение .ryk к скомпрометированным файлам. Злоумышленники требуют значительных выкупов, которые могут достигать миллионов долларов. Чтобы усугубить ситуацию для жертв, Ryuk печально известен тем, что применяет деструктивные меры, такие как отключение служб резервного копирования, удаление shadow copies и отключение точек восстановления системы, что значительно усложняет восстановление.
Изучая технические компоненты методологии атаки Ryuk's, мы обнаружили, что в ней используются специальные скрипты и утилиты для разведки и бокового перемещения. Поиск по объявлению.сценарий bat служит для сопоставления Active Directory цели, позволяя злоумышленникам собирать жизненно важную сетевую информацию и выявлять уязвимые системы. Эта разведка дополнительно расширяется с помощью утилиты nltest, которая помогает обнаруживать контроллеры домена (DCS), критически важные для последующего бокового перемещения внутри сети.
Кроме того, Ryuk использует утилиту WMIC (Windows Management Instrumentation Command-line) для оценки установленных антивирусных программ, помогая определить потенциальные меры безопасности, которые могут нарушить его работу. Для повышения привилегий Ryuk использует инструмент PowerLine и функцию PowerView Invoke-CheckLocalAdminAccess для определения локального административного доступа в скомпрометированных системах, что упрощает повышение привилегий.
Важным аспектом операционной эффективности Ryuk's является использование инструмента постэксплуатации Rubeus для выполнения атак Kerberoasting. Это включает в себя запрос заявок на обслуживание для учетных записей служб и последующую попытку взломать их в автономном режиме для получения учетных данных в виде открытого текста, что еще больше облегчает перемещение внутри компании и эксплуатацию сети.
Чтобы еще больше затруднить усилия по восстановлению, Ryuk использует пакетные сценарии для активного отключения служб резервного копирования, тем самым усиливая давление на жертв, вынуждая их выполнять требования о выкупе. Таким образом, программа-вымогатель Ryuk является примером сложной и хорошо структурированной методологии атаки, которая подчеркивает важность понимания такой тактики для усиления защиты кибербезопасности от подобных угроз. Анализ его поведения, сопоставленный с платформой MITRE ATT&CK, служит важнейшим ресурсом для специалистов по безопасности, стремящихся усилить свою защиту от атак программ-вымогателей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Программа-вымогатель Ryuk, связанная с группой Wizard Spider, нацелена на крупные организации с помощью spear-phishing, используя шифрование AES-256 и RSA-4096. Он использует такие инструменты, как Adfind.bat для разведки, WMIC для оценки антивируса и Rubeus для Kerberoasting, при этом активно отключая резервные копии, чтобы усложнить восстановление.
-----
Программа-вымогатель Ryuk, приписываемая российской киберпреступной группировке Wizard Spider, известна своей агрессивной атакой на крупные организации, особенно в таких важных секторах, как здравоохранение и государственное управление. Вредоносная программа впервые появилась в 2018 году и, как правило, распространяется через электронные письма с spear-phishing, содержащие вредоносные вложения или ссылки, часто в сочетании с другими вредоносными программами, такими как Emotet или TrickBot, которые помогают закрепиться в целевой сети.
Оказавшись внутри целевой среды, Ryuk выполняет свою основную атаку с помощью мощной полезной нагрузки шифрования, которая использует алгоритмы шифрования AES-256 и RSA-4096, чтобы сделать файлы недоступными, впоследствии добавляя расширение .ryk к скомпрометированным файлам. Злоумышленники требуют значительных выкупов, которые могут достигать миллионов долларов. Чтобы усугубить ситуацию для жертв, Ryuk печально известен тем, что применяет деструктивные меры, такие как отключение служб резервного копирования, удаление shadow copies и отключение точек восстановления системы, что значительно усложняет восстановление.
Изучая технические компоненты методологии атаки Ryuk's, мы обнаружили, что в ней используются специальные скрипты и утилиты для разведки и бокового перемещения. Поиск по объявлению.сценарий bat служит для сопоставления Active Directory цели, позволяя злоумышленникам собирать жизненно важную сетевую информацию и выявлять уязвимые системы. Эта разведка дополнительно расширяется с помощью утилиты nltest, которая помогает обнаруживать контроллеры домена (DCS), критически важные для последующего бокового перемещения внутри сети.
Кроме того, Ryuk использует утилиту WMIC (Windows Management Instrumentation Command-line) для оценки установленных антивирусных программ, помогая определить потенциальные меры безопасности, которые могут нарушить его работу. Для повышения привилегий Ryuk использует инструмент PowerLine и функцию PowerView Invoke-CheckLocalAdminAccess для определения локального административного доступа в скомпрометированных системах, что упрощает повышение привилегий.
Важным аспектом операционной эффективности Ryuk's является использование инструмента постэксплуатации Rubeus для выполнения атак Kerberoasting. Это включает в себя запрос заявок на обслуживание для учетных записей служб и последующую попытку взломать их в автономном режиме для получения учетных данных в виде открытого текста, что еще больше облегчает перемещение внутри компании и эксплуатацию сети.
Чтобы еще больше затруднить усилия по восстановлению, Ryuk использует пакетные сценарии для активного отключения служб резервного копирования, тем самым усиливая давление на жертв, вынуждая их выполнять требования о выкупе. Таким образом, программа-вымогатель Ryuk является примером сложной и хорошо структурированной методологии атаки, которая подчеркивает важность понимания такой тактики для усиления защиты кибербезопасности от подобных угроз. Анализ его поведения, сопоставленный с платформой MITRE ATT&CK, служит важнейшим ресурсом для специалистов по безопасности, стремящихся усилить свою защиту от атак программ-вымогателей.
#ParsedReport #CompletenessMedium
07-08-2025
SCENE 1: SoupDealer - Technical Analysis of a Stealth Java Loader Used in Phishing Campaigns Targeting Trkiye
https://www.malwation.com/blog/technical-analysis-of-a-stealth-java-loader-used-in-phishing-campaigns-targeting-turkiye
Report completeness: Medium
Threats:
Soupdealer
Junk_code_technique
Adwind_rat
Industry:
Financial, Telco, Critical_infrastructure
Geo:
Turkish
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1053.005, T1059.003, T1070.004, T1090.003, T1102, T1105, T1119, T1129, T1204, have more...
IOCs:
File: 29
Domain: 3
Hash: 2
Algorithms:
aes, exhibit, sha256, sha512, rc4
Functions:
h, findClass, getResourceAsStream, if, ri
Languages:
java, powershell
Links:
07-08-2025
SCENE 1: SoupDealer - Technical Analysis of a Stealth Java Loader Used in Phishing Campaigns Targeting Trkiye
https://www.malwation.com/blog/technical-analysis-of-a-stealth-java-loader-used-in-phishing-campaigns-targeting-turkiye
Report completeness: Medium
Threats:
Soupdealer
Junk_code_technique
Adwind_rat
Industry:
Financial, Telco, Critical_infrastructure
Geo:
Turkish
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1053.005, T1059.003, T1070.004, T1090.003, T1102, T1105, T1119, T1129, T1204, have more...
IOCs:
File: 29
Domain: 3
Hash: 2
Algorithms:
aes, exhibit, sha256, sha512, rc4
Functions:
h, findClass, getResourceAsStream, if, ri
Languages:
java, powershell
Links:
https://github.com/java-deobfuscator/deobfuscatorMalwation
SCENE 1: SoupDealer - Technical Analysis of a Stealth Java Loader Used in Phishing Campaigns Targeting Türkiye
CTT Report Hub
#ParsedReport #CompletenessMedium 07-08-2025 SCENE 1: SoupDealer - Technical Analysis of a Stealth Java Loader Used in Phishing Campaigns Targeting Trkiye https://www.malwation.com/blog/technical-analysis-of-a-stealth-java-loader-used-in-phishing-campaigns…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Изощренная фишинговая кампания в Турции нацелена на пользователей Windows, распространяя ботнет на базе Java с расширенными возможностями закрепления и уклонения. Он использует TOR для связи C &C, отключает локальные функции безопасности и может самораспространяться в локальных сетях.
-----
Недавнее исследование выявило сложную фишинговую кампанию, нацеленную на Турцию, в частности, с акцентом на операционные системы Windows и пользователей, говорящих по-турецки. Кампания распространяет сложную ботнет-сеть с трехэтапным загрузчиком, часто скрытую под такими названиями, как "TEKLIFALINACAKURUNLER.jar ." После запуска эта вредоносная программа использует расширенные механизмы закрепления, включая установку TOR для облегчения связи со своим сервером управления (C&C). Он предназначен для того, чтобы гарантировать, что зараженное устройство находится в Турции и работает на турецком языке, таким образом адаптируя его функциональность таким образом, чтобы избежать обнаружения при сборе информации.
Вредоносное ПО демонстрирует значительные возможности уклонения, успешно обходя многочисленные общедоступные "песочницы" и антивирусные решения, за исключением Threat.Zone. Это также ускользает от систем обнаружения конечных точек и реагирования (EDR) в реальных условиях. Эта ситуация подчеркивает настоятельную необходимость локальных "песочниц" и динамического анализа для команд центров управления безопасностью, особенно для защиты критически важной инфраструктуры.
Детальный анализ показывает, что вредоносное ПО написано на Java. Исследователи использовали такие инструменты, как JByteMode и JADX, для декомпиляции и анализа кода. Процесс распаковки происходит последовательно в функции `init`, где вредоносное ПО динамически загружает свои ресурсы в память с помощью функции `getResourceAsStream`, что позволяет ему определять эти ресурсы как классы Java во время выполнения.
Дальнейшее изучение файловой структуры выявляет четкие указания на TOR и конфигурационные файлы. Третья стадия вредоносного ПО действует как основная вредоносная полезная нагрузка. После установки TOR вредоносное ПО проверяет свое подключение через прокси-сервер, чтобы убедиться в успешном подключении. Код включает в себя класс с именем "Adwind", который отвечает за выполнение вредоносных операций. Важные функции этого класса способны устанавливать C&C-соединение, используя указанные порты и пароль. Этот механизм позволяет вредоносному ПО получать сигналы от сервера C&C для выключения, перезапуска, инициирования DDOS-атак или удаления себя с зараженного устройства.
Обращает на себя внимание способность вредоносной программы отключать локальные функции безопасности, такие как Защитник Windows, с помощью команд PowerShell и самостоятельно распространяться путем копирования своих исполняемых файлов в общие папки, доступные в локальной сети. Этот образец вредоносного ПО демонстрирует эволюционирующий ландшафт угроз, усиливая необходимость в целенаправленной защите от таких сложных целенаправленных атак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Изощренная фишинговая кампания в Турции нацелена на пользователей Windows, распространяя ботнет на базе Java с расширенными возможностями закрепления и уклонения. Он использует TOR для связи C &C, отключает локальные функции безопасности и может самораспространяться в локальных сетях.
-----
Недавнее исследование выявило сложную фишинговую кампанию, нацеленную на Турцию, в частности, с акцентом на операционные системы Windows и пользователей, говорящих по-турецки. Кампания распространяет сложную ботнет-сеть с трехэтапным загрузчиком, часто скрытую под такими названиями, как "TEKLIFALINACAKURUNLER.jar ." После запуска эта вредоносная программа использует расширенные механизмы закрепления, включая установку TOR для облегчения связи со своим сервером управления (C&C). Он предназначен для того, чтобы гарантировать, что зараженное устройство находится в Турции и работает на турецком языке, таким образом адаптируя его функциональность таким образом, чтобы избежать обнаружения при сборе информации.
Вредоносное ПО демонстрирует значительные возможности уклонения, успешно обходя многочисленные общедоступные "песочницы" и антивирусные решения, за исключением Threat.Zone. Это также ускользает от систем обнаружения конечных точек и реагирования (EDR) в реальных условиях. Эта ситуация подчеркивает настоятельную необходимость локальных "песочниц" и динамического анализа для команд центров управления безопасностью, особенно для защиты критически важной инфраструктуры.
Детальный анализ показывает, что вредоносное ПО написано на Java. Исследователи использовали такие инструменты, как JByteMode и JADX, для декомпиляции и анализа кода. Процесс распаковки происходит последовательно в функции `init`, где вредоносное ПО динамически загружает свои ресурсы в память с помощью функции `getResourceAsStream`, что позволяет ему определять эти ресурсы как классы Java во время выполнения.
Дальнейшее изучение файловой структуры выявляет четкие указания на TOR и конфигурационные файлы. Третья стадия вредоносного ПО действует как основная вредоносная полезная нагрузка. После установки TOR вредоносное ПО проверяет свое подключение через прокси-сервер, чтобы убедиться в успешном подключении. Код включает в себя класс с именем "Adwind", который отвечает за выполнение вредоносных операций. Важные функции этого класса способны устанавливать C&C-соединение, используя указанные порты и пароль. Этот механизм позволяет вредоносному ПО получать сигналы от сервера C&C для выключения, перезапуска, инициирования DDOS-атак или удаления себя с зараженного устройства.
Обращает на себя внимание способность вредоносной программы отключать локальные функции безопасности, такие как Защитник Windows, с помощью команд PowerShell и самостоятельно распространяться путем копирования своих исполняемых файлов в общие папки, доступные в локальной сети. Этот образец вредоносного ПО демонстрирует эволюционирующий ландшафт угроз, усиливая необходимость в целенаправленной защите от таких сложных целенаправленных атак.
#ParsedReport #CompletenessMedium
07-08-2025
Mustang Panda Targets Windows Users with ToneShell Malware Disguised as Google Chrome
https://gbhackers.com/mustang-panda-targets-windows-users/
Report completeness: Medium
Actors/Campaigns:
Red_delta
Threats:
Toneshell
Spear-phishing_technique
Dll_sideloading_technique
Doplugs
Pubload
Victims:
Government, Military, Tibetan organizations
Industry:
Military, Government
Geo:
Tibetan, Hong kong, Asia-pacific, China
TTPs:
ChatGPT TTPs:
T1005, T1012, T1027, T1036.005, T1053.005, T1055, T1057, T1071.001, T1105, T1112, have more...
IOCs:
File: 3
Path: 2
Registry: 2
IP: 1
Hash: 2
Soft:
Google Chrome, Twitter, WhatsApp, Chrome, Microsoft Defender
Algorithms:
sha256
Win API:
WriteFile
Languages:
powershell
07-08-2025
Mustang Panda Targets Windows Users with ToneShell Malware Disguised as Google Chrome
https://gbhackers.com/mustang-panda-targets-windows-users/
Report completeness: Medium
Actors/Campaigns:
Red_delta
Threats:
Toneshell
Spear-phishing_technique
Dll_sideloading_technique
Doplugs
Pubload
Victims:
Government, Military, Tibetan organizations
Industry:
Military, Government
Geo:
Tibetan, Hong kong, Asia-pacific, China
TTPs:
ChatGPT TTPs:
do not use without manual checkT1005, T1012, T1027, T1036.005, T1053.005, T1055, T1057, T1071.001, T1105, T1112, have more...
IOCs:
File: 3
Path: 2
Registry: 2
IP: 1
Hash: 2
Soft:
Google Chrome, Twitter, WhatsApp, Chrome, Microsoft Defender
Algorithms:
sha256
Win API:
WriteFile
Languages:
powershell
GBHackers Security | #1 Globally Trusted Cyber Security News Platform
Mustang Panda Targets Windows Users with ToneShell Malware Disguised as Google Chrome
The China-aligned threat actor Mustang Panda, also known as Earth Preta, HIVE0154, RedDelta, and Bronze President.
CTT Report Hub
#ParsedReport #CompletenessMedium 07-08-2025 Mustang Panda Targets Windows Users with ToneShell Malware Disguised as Google Chrome https://gbhackers.com/mustang-panda-targets-windows-users/ Report completeness: Medium Actors/Campaigns: Red_delta Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Mustang Panda, злоумышленник, связанный с Китаем, с 2012 года атакует правительственные сектора, используя бэкдор ToneShell. Они используют spear-phishing с помощью дроппера, замаскированного под PDF, используя DLL sideloading и сохранение реестра для повышения устойчивости, при этом взаимодействуя с сервером C2 по пользовательскому протоколу TLS.
-----
Mustang Panda, связанный с Китаем злоумышленник, известный под разными именами, включая Earth Preta и HIVE0154, активно атакует правительственный и военный секторы в Азиатско-Тихоокеанском регионе и Европе с помощью сложной стратегии внедрения вредоносных программ. Группа использовала бэкдор ToneShell как минимум с 2012 года, в основном используя тактику spear-phishing с приманками военной тематики для распространения вредоносных исполняемых файлов dropper, упакованных в архивы, такие как mustang_panda.zip .
Дроппер, замаскированный под поврежденный PDF-файл, при запуске выдает вводящее в заблуждение сообщение об ошибке, которое отвлекает жертв во время работы вредоносной программы. Он использует методы DLL sideloading путем перехвата законного компонента Google Chrome, ChromePDF.exe , хранящийся в C:\ProgramData\ChromePDFBrowser . Этот метод облегчает скрытую загрузку вредоносной библиотеки DLL, chrome_elf.dll , созданный для имитации сведений о версии легального программного обеспечения, что помогает избежать обнаружения. Сложность операций Mustang Panda's подчеркивается последовательной тактикой, методами и процедурами (TTP), включая повторное использование инфраструктуры, что наблюдалось в ходе различных кампаний.
Для поддержания доступа к скомпрометированным системам группа внедряет избыточные механизмы закрепления, которые включают ключи запуска реестра, указывающие на ChromePDF.exe , FreePDF и запланированные задачи, предназначенные для выполнения каждые пять минут. Этот метод обеспечивает не только автоматический перезапуск после входа в систему, но и периодическую активацию, тем самым повышая устойчивость вредоносного ПО к сбоям.
ToneShell использует пользовательский зашифрованный протокол TLS для связи со своим сервером управления (C2), расположенным по IP-адресу, связанному с HKBN Enterprise Solutions в Гонконге. Были идентифицированы сигнатуры трафика, указывающие на вредоносное поведение, что позволило определить вектор для обнаружения. Вредоносная библиотека DLL, связанная с ToneShell (SHA-256: 216188ee52b067f761bdf3c456634ca2e84d278c8ebf35cd4cb686d45f5aaf7b), была проанализирована, чтобы выявить, что она импортирует широкий спектр функций Windows API, позволяя выполнять обширные манипуляции с процессами, файловыми операциями и изменениями реестра, тем самым предоставляя полный контроль над зараженной системой.
Кроме того, логистическая непрерывность кампаний Mustang Panda может быть продемонстрирована совместным использованием IP-адреса C2 в прошлых операциях, нацеленных на конкретные объекты, такие как DOPLUGS и PUBLOAD. Артефакты предварительной выборки были задокументированы для подтверждения начальных стадий заражения, подтверждая наличие возможностей мониторинга у операторов. Для эффективного противодействия этим угрозам организациям рекомендуется применять целенаправленные стратегии обнаружения, включая запросы артефактов PowerShell, использование правил Microsoft Defender для выявления подозрительного поведения и использование систем мониторинга поведения. Упреждающие защитные меры должны соответствовать методам MITRE ATT&CK, таким как DLL side-loading, выполнение задач по расписанию и сохранение реестра, направленным на предотвращение текущих и будущих эксплойтов этим развивающимся злоумышленником.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Mustang Panda, злоумышленник, связанный с Китаем, с 2012 года атакует правительственные сектора, используя бэкдор ToneShell. Они используют spear-phishing с помощью дроппера, замаскированного под PDF, используя DLL sideloading и сохранение реестра для повышения устойчивости, при этом взаимодействуя с сервером C2 по пользовательскому протоколу TLS.
-----
Mustang Panda, связанный с Китаем злоумышленник, известный под разными именами, включая Earth Preta и HIVE0154, активно атакует правительственный и военный секторы в Азиатско-Тихоокеанском регионе и Европе с помощью сложной стратегии внедрения вредоносных программ. Группа использовала бэкдор ToneShell как минимум с 2012 года, в основном используя тактику spear-phishing с приманками военной тематики для распространения вредоносных исполняемых файлов dropper, упакованных в архивы, такие как mustang_panda.zip .
Дроппер, замаскированный под поврежденный PDF-файл, при запуске выдает вводящее в заблуждение сообщение об ошибке, которое отвлекает жертв во время работы вредоносной программы. Он использует методы DLL sideloading путем перехвата законного компонента Google Chrome, ChromePDF.exe , хранящийся в C:\ProgramData\ChromePDFBrowser . Этот метод облегчает скрытую загрузку вредоносной библиотеки DLL, chrome_elf.dll , созданный для имитации сведений о версии легального программного обеспечения, что помогает избежать обнаружения. Сложность операций Mustang Panda's подчеркивается последовательной тактикой, методами и процедурами (TTP), включая повторное использование инфраструктуры, что наблюдалось в ходе различных кампаний.
Для поддержания доступа к скомпрометированным системам группа внедряет избыточные механизмы закрепления, которые включают ключи запуска реестра, указывающие на ChromePDF.exe , FreePDF и запланированные задачи, предназначенные для выполнения каждые пять минут. Этот метод обеспечивает не только автоматический перезапуск после входа в систему, но и периодическую активацию, тем самым повышая устойчивость вредоносного ПО к сбоям.
ToneShell использует пользовательский зашифрованный протокол TLS для связи со своим сервером управления (C2), расположенным по IP-адресу, связанному с HKBN Enterprise Solutions в Гонконге. Были идентифицированы сигнатуры трафика, указывающие на вредоносное поведение, что позволило определить вектор для обнаружения. Вредоносная библиотека DLL, связанная с ToneShell (SHA-256: 216188ee52b067f761bdf3c456634ca2e84d278c8ebf35cd4cb686d45f5aaf7b), была проанализирована, чтобы выявить, что она импортирует широкий спектр функций Windows API, позволяя выполнять обширные манипуляции с процессами, файловыми операциями и изменениями реестра, тем самым предоставляя полный контроль над зараженной системой.
Кроме того, логистическая непрерывность кампаний Mustang Panda может быть продемонстрирована совместным использованием IP-адреса C2 в прошлых операциях, нацеленных на конкретные объекты, такие как DOPLUGS и PUBLOAD. Артефакты предварительной выборки были задокументированы для подтверждения начальных стадий заражения, подтверждая наличие возможностей мониторинга у операторов. Для эффективного противодействия этим угрозам организациям рекомендуется применять целенаправленные стратегии обнаружения, включая запросы артефактов PowerShell, использование правил Microsoft Defender для выявления подозрительного поведения и использование систем мониторинга поведения. Упреждающие защитные меры должны соответствовать методам MITRE ATT&CK, таким как DLL side-loading, выполнение задач по расписанию и сохранение реестра, направленным на предотвращение текущих и будущих эксплойтов этим развивающимся злоумышленником.
#ParsedReport #CompletenessLow
07-08-2025
Adult sites trick users into Liking Facebook posts using a clickjack Trojan
https://www.malwarebytes.com/blog/news/2025/08/adult-sites-trick-users-into-liking-facebook-posts-using-a-clickjack-trojan
Report completeness: Low
Victims:
Users seeking adult content
Industry:
Government
IOCs:
Domain: 1
07-08-2025
Adult sites trick users into Liking Facebook posts using a clickjack Trojan
https://www.malwarebytes.com/blog/news/2025/08/adult-sites-trick-users-into-liking-facebook-posts-using-a-clickjack-trojan
Report completeness: Low
Victims:
Users seeking adult content
Industry:
Government
IOCs:
Domain: 1
Malwarebytes
Adult sites trick users into Liking Facebook posts using a clickjack Trojan
We found a host of blogspot pages involved in a malware campaign to promote their own content by using a LikeJack Trojan.
CTT Report Hub
#ParsedReport #CompletenessLow 07-08-2025 Adult sites trick users into Liking Facebook posts using a clickjack Trojan https://www.malwarebytes.com/blog/news/2025/08/adult-sites-trick-users-into-liking-facebook-posts-using-a-clickjack-trojan Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Сайты для взрослых, не отвечающие требованиям, распространяют троянские программы с помощью вредоносных целевых страниц, скриптов, программ установки в комплекте, поисковых систем и промежуточных доменов. Меры по предотвращению: runtime AV, фильтрация URL/доменов и списки блокировок.
-----
Изменения в законодательстве, требующие проверки возраста на соответствующих требованиям сайтах для взрослых, смещают трафик в сторону несоответствующих сайтов, которые монетизируются за счет распространения вредоносных программ. Злоумышленники, работающие с такими сайтами или сотрудничающие с ними, распространяют троянские программы среди посетителей — вероятно, через вредоносные целевые страницы, встроенные скрипты или загружаемые в комплекте файлы, — превращая перенаправленных пользователей или пользователей, стремящихся к конфиденциальности, в мишени для компрометации на стороне клиента. Кампания направлена на привлечение пользователей, которые избегают верификации, повышение доступности сайтов, которые не соблюдают правила безопасности и готовы распространять вредоносные программы.
Пользователи, пытающиеся обойти ограничения (например, используя VPN или получая доступ из юрисдикций без верификации), могут непреднамеренно сконцентрировать предпочтительный для злоумышленников трафик и, таким образом, стать более ценными целями. Механизмы доставки в этих сценариях обычно включают доменную инфраструктуру для размещения полезных нагрузок и промежуточной обработки, а также могут использовать методы автоматической загрузки или созданные социальными сетями подсказки для установки троянских программ. Поставщики систем безопасности отреагировали на это добавлением доменов, связанных с кампанией, в списки блокировки и обнаружением вредоносной полезной нагрузки во время выполнения. Защитные средства контроля, снижающие риск, включают в себя актуальную защиту от вредоносного ПО в режиме реального времени, фильтрацию доменов и URL-адресов, а также сведение к минимуму доступа к ненадежным сайтам и загрузкам. Мониторинг и внесение в черный список доменов кампании, а также индикаторы компрометации остаются эффективными средствами защиты от такого типа рассылки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Сайты для взрослых, не отвечающие требованиям, распространяют троянские программы с помощью вредоносных целевых страниц, скриптов, программ установки в комплекте, поисковых систем и промежуточных доменов. Меры по предотвращению: runtime AV, фильтрация URL/доменов и списки блокировок.
-----
Изменения в законодательстве, требующие проверки возраста на соответствующих требованиям сайтах для взрослых, смещают трафик в сторону несоответствующих сайтов, которые монетизируются за счет распространения вредоносных программ. Злоумышленники, работающие с такими сайтами или сотрудничающие с ними, распространяют троянские программы среди посетителей — вероятно, через вредоносные целевые страницы, встроенные скрипты или загружаемые в комплекте файлы, — превращая перенаправленных пользователей или пользователей, стремящихся к конфиденциальности, в мишени для компрометации на стороне клиента. Кампания направлена на привлечение пользователей, которые избегают верификации, повышение доступности сайтов, которые не соблюдают правила безопасности и готовы распространять вредоносные программы.
Пользователи, пытающиеся обойти ограничения (например, используя VPN или получая доступ из юрисдикций без верификации), могут непреднамеренно сконцентрировать предпочтительный для злоумышленников трафик и, таким образом, стать более ценными целями. Механизмы доставки в этих сценариях обычно включают доменную инфраструктуру для размещения полезных нагрузок и промежуточной обработки, а также могут использовать методы автоматической загрузки или созданные социальными сетями подсказки для установки троянских программ. Поставщики систем безопасности отреагировали на это добавлением доменов, связанных с кампанией, в списки блокировки и обнаружением вредоносной полезной нагрузки во время выполнения. Защитные средства контроля, снижающие риск, включают в себя актуальную защиту от вредоносного ПО в режиме реального времени, фильтрацию доменов и URL-адресов, а также сведение к минимуму доступа к ненадежным сайтам и загрузкам. Мониторинг и внесение в черный список доменов кампании, а также индикаторы компрометации остаются эффективными средствами защиты от такого типа рассылки.
#ParsedReport #CompletenessMedium
08-08-2025
60 Malicious Ruby Gems Used in Targeted Credential Theft Campaign
https://socket.dev/blog/60-malicious-ruby-gems-used-in-targeted-credential-theft-campaign
Report completeness: Medium
Threats:
Supply_chain_technique
Credential_stealing_technique
Victims:
Social media users, Marketing tool users, Blogging platform users, Messaging platform users, Grey hat marketers, Financial discussion platforms
Industry:
E-commerce, Software_development
Geo:
Russian, Korean, Korea
TTPs:
IOCs:
Domain: 14
Url: 4
Email: 3
Soft:
Outlook, Telegram, Instagram, TikTok, WordPress, m
Algorithms:
exhibit
Languages:
php, ruby
08-08-2025
60 Malicious Ruby Gems Used in Targeted Credential Theft Campaign
https://socket.dev/blog/60-malicious-ruby-gems-used-in-targeted-credential-theft-campaign
Report completeness: Medium
Threats:
Supply_chain_technique
Credential_stealing_technique
Victims:
Social media users, Marketing tool users, Blogging platform users, Messaging platform users, Grey hat marketers, Financial discussion platforms
Industry:
E-commerce, Software_development
Geo:
Russian, Korean, Korea
TTPs:
IOCs:
Domain: 14
Url: 4
Email: 3
Soft:
Outlook, Telegram, Instagram, TikTok, WordPress, m
Algorithms:
exhibit
Languages:
php, ruby
Socket
60 Malicious Ruby Gems Used in Targeted Credential Theft Cam...
A RubyGems malware campaign used 60 malicious packages posing as automation tools to steal credentials from social media and marketing tool users.
CTT Report Hub
#ParsedReport #CompletenessMedium 08-08-2025 60 Malicious Ruby Gems Used in Targeted Credential Theft Campaign https://socket.dev/blog/60-malicious-ruby-gems-used-in-targeted-credential-theft-campaign Report completeness: Medium Threats: Supply_chain_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания RubyGems распространила 60 gems под четырьмя псевдонимами с марта 2023 года, предоставив программу для кражи учетных данных на корейском языке с графическим интерфейсом Glimmer-DSL-LibUI, которая запрашивает идентификаторы и пароли для социальных сетей, блогов и обмена сообщениями, отправляя их через HTTP POST на домены, контролируемые акторами (programzon.com , appspace.kr , marketingduo.co.kr ) в /auth/program/signin и /bbs/login_check.php . Платформы расширялись волнообразно (TikTok, Instagram, Twitter / X, Telegram, Naver, WordPress и т.д.) каждые 2-3 месяца, с пользовательским интерфейсом и кодом на корейском языке, что указывает на южнокорейский таргетинг, хотя полезные нагрузки доступны для использования во всем мире. GreyHat-маркетологи являются ключевой демографической группой жертв; журналы показывают автоматическую активность в социальных сетях / медиа-сервисах, SEO и форумах, а самоцветы autoposter (njongto_duo, jongmogtolon) собирают учетные данные.
-----
Вредоносная кампания RubyGems распространила 60 вредоносных gems, маскирующихся под средства автоматизации для сбора учетных данных у пользователей социальных сетей и маркетинговых платформ. В каждый gem встроен легкий графический интерфейс, созданный с помощью Glimmer-DSL-LibUI, представленный на корейском языке, запрашивающий учетные данные для социальных сетей, блогов или служб обмена сообщениями. Собранные учетные данные не используются локально или для законной аутентификации по API; вместо этого они немедленно отправляются через HTTP POST–запросы на серверы, контролируемые злоумышленником, в таких доменах, как programzon.com , appspace.kr , и marketingduo.co.kr . В этих доменах размещены конечные точки доски объявлений PHP, такие как /auth/program/signin и /bbs/login_check.php , функционирующие как элементарные панели сбора учетных данных.
Возможность кражи учетных данных существует по меньшей мере с марта 2023 года и распространяется по четырем псевдонимам RubyGems, которые выпустили 60 gems согласованными волнами. Каждая волна добавляла поддержку новой платформы, начиная с TikTok и постепенно включая Instagram, Twitter/X, Telegram, Naver, WordPress и другие экосистемы. Работа ведется в обычном режиме, выпуская примерно по одному новому кластеру каждые два-три месяца.
Похоже, что таргетинг явно ориентирован на южнокорейских пользователей. Все графические интерфейсы, текстовая справка, логические сообщения и имена внутренних переменных написаны на корейском языке, а подсказки для ввода таких распространенных полей, как ID и пароль, соответствуют корейским стандартам разработки программного обеспечения. В то время как код и инфраструктура указывают на внутреннюю направленность, отсутствие геозоны означает, что полезная нагрузка доступна для использования во всем мире.
GreyHat-маркетологи представляют собой заметную группу жертв. Журналы Infostealer из скомпрометированных систем, привязанных к marketingduo.co.kr укажите автоматическую активность в социальных сетях, ведении блогов, SEO и обмене сообщениями. Жертвы полагаются на ботов для массового размещения сообщений, торговые площадки с поддельными аккаунтами и сервисы манипулирования поисковыми системами, что делает их главными мишенями для этого кластера credential-stealing. В рамках той же кампании gems, продаваемые в качестве автопостеров для финансовых форумов, таких как njongto_duo и jongmogtolon, нацелены на комнаты для обсуждения акций, чтобы наводнить форумы упоминаниями о тикерах и синтетическим участием, одновременно собирая учетные данные у пользователей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания RubyGems распространила 60 gems под четырьмя псевдонимами с марта 2023 года, предоставив программу для кражи учетных данных на корейском языке с графическим интерфейсом Glimmer-DSL-LibUI, которая запрашивает идентификаторы и пароли для социальных сетей, блогов и обмена сообщениями, отправляя их через HTTP POST на домены, контролируемые акторами (programzon.com , appspace.kr , marketingduo.co.kr ) в /auth/program/signin и /bbs/login_check.php . Платформы расширялись волнообразно (TikTok, Instagram, Twitter / X, Telegram, Naver, WordPress и т.д.) каждые 2-3 месяца, с пользовательским интерфейсом и кодом на корейском языке, что указывает на южнокорейский таргетинг, хотя полезные нагрузки доступны для использования во всем мире. GreyHat-маркетологи являются ключевой демографической группой жертв; журналы показывают автоматическую активность в социальных сетях / медиа-сервисах, SEO и форумах, а самоцветы autoposter (njongto_duo, jongmogtolon) собирают учетные данные.
-----
Вредоносная кампания RubyGems распространила 60 вредоносных gems, маскирующихся под средства автоматизации для сбора учетных данных у пользователей социальных сетей и маркетинговых платформ. В каждый gem встроен легкий графический интерфейс, созданный с помощью Glimmer-DSL-LibUI, представленный на корейском языке, запрашивающий учетные данные для социальных сетей, блогов или служб обмена сообщениями. Собранные учетные данные не используются локально или для законной аутентификации по API; вместо этого они немедленно отправляются через HTTP POST–запросы на серверы, контролируемые злоумышленником, в таких доменах, как programzon.com , appspace.kr , и marketingduo.co.kr . В этих доменах размещены конечные точки доски объявлений PHP, такие как /auth/program/signin и /bbs/login_check.php , функционирующие как элементарные панели сбора учетных данных.
Возможность кражи учетных данных существует по меньшей мере с марта 2023 года и распространяется по четырем псевдонимам RubyGems, которые выпустили 60 gems согласованными волнами. Каждая волна добавляла поддержку новой платформы, начиная с TikTok и постепенно включая Instagram, Twitter/X, Telegram, Naver, WordPress и другие экосистемы. Работа ведется в обычном режиме, выпуская примерно по одному новому кластеру каждые два-три месяца.
Похоже, что таргетинг явно ориентирован на южнокорейских пользователей. Все графические интерфейсы, текстовая справка, логические сообщения и имена внутренних переменных написаны на корейском языке, а подсказки для ввода таких распространенных полей, как ID и пароль, соответствуют корейским стандартам разработки программного обеспечения. В то время как код и инфраструктура указывают на внутреннюю направленность, отсутствие геозоны означает, что полезная нагрузка доступна для использования во всем мире.
GreyHat-маркетологи представляют собой заметную группу жертв. Журналы Infostealer из скомпрометированных систем, привязанных к marketingduo.co.kr укажите автоматическую активность в социальных сетях, ведении блогов, SEO и обмене сообщениями. Жертвы полагаются на ботов для массового размещения сообщений, торговые площадки с поддельными аккаунтами и сервисы манипулирования поисковыми системами, что делает их главными мишенями для этого кластера credential-stealing. В рамках той же кампании gems, продаваемые в качестве автопостеров для финансовых форумов, таких как njongto_duo и jongmogtolon, нацелены на комнаты для обсуждения акций, чтобы наводнить форумы упоминаниями о тикерах и синтетическим участием, одновременно собирая учетные данные у пользователей.
#ParsedReport #CompletenessLow
08-08-2025
SmartLoader malware distribution through GitHub repository disguised as a normal project
https://asec.ahnlab.com/ko/89498/
Report completeness: Low
Threats:
Smartloader
Rhadamanthys
Lumma_stealer
Redline_stealer
Victims:
Gaming, Consumer, Social media, Information technology
ChatGPT TTPs:
T1036
IOCs:
Url: 20
File: 9
Path: 1
Hash: 5
Algorithms:
md5, base64
Win API:
LoadLibrary
Languages:
lua
08-08-2025
SmartLoader malware distribution through GitHub repository disguised as a normal project
https://asec.ahnlab.com/ko/89498/
Report completeness: Low
Threats:
Smartloader
Rhadamanthys
Lumma_stealer
Redline_stealer
Victims:
Gaming, Consumer, Social media, Information technology
ChatGPT TTPs:
do not use without manual checkT1036
IOCs:
Url: 20
File: 9
Path: 1
Hash: 5
Algorithms:
md5, base64
Win API:
LoadLibrary
Languages:
lua
ASEC
정상 프로젝트를 위장한 Github 저장소를 통해 SmartLoader 악성코드 유포 - ASEC
정상 프로젝트를 위장한 Github 저장소를 통해 SmartLoader 악성코드 유포 ASEC
CTT Report Hub
#ParsedReport #CompletenessLow 08-08-2025 SmartLoader malware distribution through GitHub repository disguised as a normal project https://asec.ahnlab.com/ko/89498/ Report completeness: Low Threats: Smartloader Rhadamanthys Lumma_stealer Redline_stealer…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Campaign распространяет SmartLoader через репозитории GitHub, маскируясь под законные проекты, размещая архивированные полезные файлы в артефактах выпуска и используя бренд взломанного программного обеспечения для привлечения загрузчиков. Десятки URL-адресов релизов в нескольких репозиториях используют запутанные ссылки, чтобы избежать обнаружения и максимально увеличить параллельное распространение. SmartLoader функционирует как загрузчик, доставляющий дополнительную полезную нагрузку после выполнения, обеспечивая закрепление или вторичные компоненты вредоносного ПО.
-----
Краткое описание CTI описывает кампанию, в ходе которой вредоносное ПО SmartLoader распространяется через репозитории GitHub, замаскированные под обычные, законные проекты. Злоумышленники используют артефакты релиза GitHub для размещения архивированных полезных данных, якобы предлагая различные инструменты или взломанное программное обеспечение. Такой подход использует доверие пользователей к релизам GitHub и привлекательность бесплатных или взломанных приложений, повышая вероятность того, что пользователи загрузят и запустят вредоносные ZIP-файлы.
В дистрибутиве используются десятки URL-адресов релизов из нескольких репозиториев на GitHub, а имена файлов имитируют популярные или привлекательные программы и инструменты, связанные с играми. В качестве примера можно привести Maple.Story.Menu, Minecraft.Vape.Client, ms-награды-автоматизация, защита от ddos-атак-откупоривание, strongvpn_pseudobrotherly, VSDC-Профессиональный редактор видео, instagram-накрутчик подписчиков, Desertless (взлом Call of Duty), MCP.Manager.GUI, Project-Zomboid-Hack и общий Software.zip. Ссылки представлены с запутанными схемами (hxxps/http), позволяющими избежать автоматического обнаружения и очистки. Разнообразие и провокационное название указывают на стратегию социальной инженерии, направленную на привлечение геймеров и пользователей, ищущих взломанное или улучшенное программное обеспечение.
SmartLoader оформлен как вредоносная программа типа загрузчика, используемая для доставки дополнительной полезной нагрузки после первоначального выполнения. Хотя точное поведение после первоначального выполнения во фрагменте не описано подробно, надпись “распространение вредоносных программ SmartLoader” подразумевает, что архивы содержат компоненты, которые загружают или извлекают дополнительные вредоносные компоненты, обеспечивая закрепление или выполнение вторичных полезных нагрузок на скомпрометированных хостах. Обилие отдельных выпусков в разных репозиториях предполагает, что операторы полагаются на параллельные каналы распространения, чтобы максимизировать охват и снизить вероятность удаления всех артефактов.
Для защитников эти показатели предполагают сосредоточение внимания на выявлении кампаний с несколькими репозиториями, которые маскируются под законные проекты, повышенное внимание к релизам на GitHub с провокационной маркировкой или взломанным программным обеспечением, а также мониторинг активности, подобной загрузке, после выполнения загруженных архивов. Практические меры по снижению риска включают проверку цифровых подписей и происхождения загруженных артефактов, ограничение выполнения неподписанных или ненадежных архивов ZIP и использование телеметрии сети и хоста, позволяющей отслеживать поведение загрузчика, который извлекает дополнительную полезную нагрузку после первоначального взлома.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Campaign распространяет SmartLoader через репозитории GitHub, маскируясь под законные проекты, размещая архивированные полезные файлы в артефактах выпуска и используя бренд взломанного программного обеспечения для привлечения загрузчиков. Десятки URL-адресов релизов в нескольких репозиториях используют запутанные ссылки, чтобы избежать обнаружения и максимально увеличить параллельное распространение. SmartLoader функционирует как загрузчик, доставляющий дополнительную полезную нагрузку после выполнения, обеспечивая закрепление или вторичные компоненты вредоносного ПО.
-----
Краткое описание CTI описывает кампанию, в ходе которой вредоносное ПО SmartLoader распространяется через репозитории GitHub, замаскированные под обычные, законные проекты. Злоумышленники используют артефакты релиза GitHub для размещения архивированных полезных данных, якобы предлагая различные инструменты или взломанное программное обеспечение. Такой подход использует доверие пользователей к релизам GitHub и привлекательность бесплатных или взломанных приложений, повышая вероятность того, что пользователи загрузят и запустят вредоносные ZIP-файлы.
В дистрибутиве используются десятки URL-адресов релизов из нескольких репозиториев на GitHub, а имена файлов имитируют популярные или привлекательные программы и инструменты, связанные с играми. В качестве примера можно привести Maple.Story.Menu, Minecraft.Vape.Client, ms-награды-автоматизация, защита от ddos-атак-откупоривание, strongvpn_pseudobrotherly, VSDC-Профессиональный редактор видео, instagram-накрутчик подписчиков, Desertless (взлом Call of Duty), MCP.Manager.GUI, Project-Zomboid-Hack и общий Software.zip. Ссылки представлены с запутанными схемами (hxxps/http), позволяющими избежать автоматического обнаружения и очистки. Разнообразие и провокационное название указывают на стратегию социальной инженерии, направленную на привлечение геймеров и пользователей, ищущих взломанное или улучшенное программное обеспечение.
SmartLoader оформлен как вредоносная программа типа загрузчика, используемая для доставки дополнительной полезной нагрузки после первоначального выполнения. Хотя точное поведение после первоначального выполнения во фрагменте не описано подробно, надпись “распространение вредоносных программ SmartLoader” подразумевает, что архивы содержат компоненты, которые загружают или извлекают дополнительные вредоносные компоненты, обеспечивая закрепление или выполнение вторичных полезных нагрузок на скомпрометированных хостах. Обилие отдельных выпусков в разных репозиториях предполагает, что операторы полагаются на параллельные каналы распространения, чтобы максимизировать охват и снизить вероятность удаления всех артефактов.
Для защитников эти показатели предполагают сосредоточение внимания на выявлении кампаний с несколькими репозиториями, которые маскируются под законные проекты, повышенное внимание к релизам на GitHub с провокационной маркировкой или взломанным программным обеспечением, а также мониторинг активности, подобной загрузке, после выполнения загруженных архивов. Практические меры по снижению риска включают проверку цифровых подписей и происхождения загруженных артефактов, ограничение выполнения неподписанных или ненадежных архивов ZIP и использование телеметрии сети и хоста, позволяющей отслеживать поведение загрузчика, который извлекает дополнительную полезную нагрузку после первоначального взлома.
#ParsedReport #CompletenessLow
08-08-2025
Silent Watcher: Dissecting Cmimai Stealer s VBS Payload
https://labs.k7computing.com/index.php/silent-watcher-dissecting-cmimai-stealers-vbs-payload/
Report completeness: Low
Threats:
Cmimai_stealer
Victims:
Windows systems, Individual users
ChatGPT TTPs:
T1005, T1059.001, T1059.005, T1071.001, T1567
IOCs:
File: 7
Hash: 2
Soft:
Discord, Chrome, chromium
Algorithms:
base64
Functions:
AttemptDiagnosticReportViaPS
Languages:
visual_basic, powershell
08-08-2025
Silent Watcher: Dissecting Cmimai Stealer s VBS Payload
https://labs.k7computing.com/index.php/silent-watcher-dissecting-cmimai-stealers-vbs-payload/
Report completeness: Low
Threats:
Cmimai_stealer
Victims:
Windows systems, Individual users
ChatGPT TTPs:
do not use without manual checkT1005, T1059.001, T1059.005, T1071.001, T1567
IOCs:
File: 7
Hash: 2
Soft:
Discord, Chrome, chromium
Algorithms:
base64
Functions:
AttemptDiagnosticReportViaPS
Languages:
visual_basic, powershell
K7 Labs
Silent Watcher: Dissecting Cmimai Stealer’s VBS Payload
Recently, we at K7 Labs saw a tweet about the Cmimai Stealer, a VBS (Visual Basic Script) infostealer that began […]
CTT Report Hub
#ParsedReport #CompletenessLow 08-08-2025 Silent Watcher: Dissecting Cmimai Stealer s VBS Payload https://labs.k7computing.com/index.php/silent-watcher-dissecting-cmimai-stealers-vbs-payload/ Report completeness: Low Threats: Cmimai_stealer Victims: Windows…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Cmimai Stealer - это infostealer на базе VBS, который использует сценарии VBS, PowerShell и Windows для сбора данных хоста и их эксфильтрации через веб-хуки Discord, причем варианты используют разные URL-адреса веб-хуков. Полезная нагрузка обходит ограничения на выполнение, затем генерирует дополнительные полезные нагрузки PowerShell, собирает данные и повторно запускается каждые 60 минут для обеспечения сохраняемости и поэтапной кражи. Артефакты для мониторинга включают скрипты PowerShell vbs_ps_browser.ps1 и vbs_ps_diag.ps1, а также изображения с именами vbs_diag_*.png или vbs_diag_*.jpg в %TEMP%.
-----
Cmimai Stealer описывается как infostealer на базе VBS, появившийся в середине 2025 года, использующий Visual Basic Script наряду с PowerShell и собственными сценариями Windows для сбора информации со скомпрометированных хостов. Вредоносная программа отфильтровывает украденные данные с помощью Discord webhooks, метода, который наблюдался во многих вариантах, включая образец от 28 июня, в котором использовался другой URL-адрес webhook. Это семейство infostealers использует выполнение на основе сценариев для сбора системных данных и передачи их по внешнему каналу, при этом альтернативный webhook указывает несколько вариантов кампании.
В рабочем режиме полезная нагрузка VBS запускается с мерами по обходу ограничений на выполнение, а затем генерирует дополнительные файлы PowerShell как часть своего рабочего процесса. Он собирает системную информацию во время выполнения и использует Discord webhooks для эксфильтрации извлеченных данных. Вредоносная программа отслеживает ответ от webhook и повторно запускается по расписанию, в частности, повторяя свою активность каждые 60 минут, обеспечивая закрепление и непрерывный сбор данных на зараженном хосте. Такое поведение подчеркивает поэтапный подход, при котором первоначальное выполнение скрипта облегчает создание дополнительной полезной нагрузки и продолжение кражи данных с течением времени.
Защитные индикаторы, выделенные исследованием, включают в себя конкретные артефакты для мониторинга на конечных точках. Службы безопасности должны следить за скриптами PowerShell с именами vbs_ps_browser.ps1 и vbs_ps_diag.ps1, а также файлами изображений с именами vbs_diag_*.png или vbs_diag_*.jpg, расположенными в папке %TEMP%. Эти артефакты отражают поэтапные компоненты PowerShell вредоносной программы и временные изображения, которые могут сопровождать рабочий процесс эксфильтрации данных, предоставляя конкретные сигналы для обнаружения и локализации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Cmimai Stealer - это infostealer на базе VBS, который использует сценарии VBS, PowerShell и Windows для сбора данных хоста и их эксфильтрации через веб-хуки Discord, причем варианты используют разные URL-адреса веб-хуков. Полезная нагрузка обходит ограничения на выполнение, затем генерирует дополнительные полезные нагрузки PowerShell, собирает данные и повторно запускается каждые 60 минут для обеспечения сохраняемости и поэтапной кражи. Артефакты для мониторинга включают скрипты PowerShell vbs_ps_browser.ps1 и vbs_ps_diag.ps1, а также изображения с именами vbs_diag_*.png или vbs_diag_*.jpg в %TEMP%.
-----
Cmimai Stealer описывается как infostealer на базе VBS, появившийся в середине 2025 года, использующий Visual Basic Script наряду с PowerShell и собственными сценариями Windows для сбора информации со скомпрометированных хостов. Вредоносная программа отфильтровывает украденные данные с помощью Discord webhooks, метода, который наблюдался во многих вариантах, включая образец от 28 июня, в котором использовался другой URL-адрес webhook. Это семейство infostealers использует выполнение на основе сценариев для сбора системных данных и передачи их по внешнему каналу, при этом альтернативный webhook указывает несколько вариантов кампании.
В рабочем режиме полезная нагрузка VBS запускается с мерами по обходу ограничений на выполнение, а затем генерирует дополнительные файлы PowerShell как часть своего рабочего процесса. Он собирает системную информацию во время выполнения и использует Discord webhooks для эксфильтрации извлеченных данных. Вредоносная программа отслеживает ответ от webhook и повторно запускается по расписанию, в частности, повторяя свою активность каждые 60 минут, обеспечивая закрепление и непрерывный сбор данных на зараженном хосте. Такое поведение подчеркивает поэтапный подход, при котором первоначальное выполнение скрипта облегчает создание дополнительной полезной нагрузки и продолжение кражи данных с течением времени.
Защитные индикаторы, выделенные исследованием, включают в себя конкретные артефакты для мониторинга на конечных точках. Службы безопасности должны следить за скриптами PowerShell с именами vbs_ps_browser.ps1 и vbs_ps_diag.ps1, а также файлами изображений с именами vbs_diag_*.png или vbs_diag_*.jpg, расположенными в папке %TEMP%. Эти артефакты отражают поэтапные компоненты PowerShell вредоносной программы и временные изображения, которые могут сопровождать рабочий процесс эксфильтрации данных, предоставляя конкретные сигналы для обнаружения и локализации.
#ParsedReport #CompletenessMedium
08-08-2025
Scammers mass-mailing the Efimer Trojan to steal crypto
https://securelist.com/efimer-trojan/117148/
Report completeness: Medium
Threats:
Efimer
Typosquatting_technique
Clipbanker
Victims:
Cryptocurrency users, Wordpress websites, Kaspersky users, Email recipients
Geo:
Brazil, Russia, Germany, Spain, India, Italy
ChatGPT TTPs:
T1027, T1041, T1059.007, T1071.001, T1078, T1090.003, T1105, T1110, T1115, T1497.001, have more...
IOCs:
Hash: 12
File: 15
Registry: 1
Url: 12
Soft:
WordPress, Windows Defender, curl, Google Chrome
Wallets:
tron
Crypto:
bitcoin, ethereum, monero, solana
Algorithms:
zip, xor, md5
Functions:
createGUID, PingToOnion, GetWikiWords, GetRandWords, getSeDomains, GetWalletsList, checkUpdate, GetPageLinks
Languages:
powershell, javascript, php
08-08-2025
Scammers mass-mailing the Efimer Trojan to steal crypto
https://securelist.com/efimer-trojan/117148/
Report completeness: Medium
Threats:
Efimer
Typosquatting_technique
Clipbanker
Victims:
Cryptocurrency users, Wordpress websites, Kaspersky users, Email recipients
Geo:
Brazil, Russia, Germany, Spain, India, Italy
ChatGPT TTPs:
do not use without manual checkT1027, T1041, T1059.007, T1071.001, T1078, T1090.003, T1105, T1110, T1115, T1497.001, have more...
IOCs:
Hash: 12
File: 15
Registry: 1
Url: 12
Soft:
WordPress, Windows Defender, curl, Google Chrome
Wallets:
tron
Crypto:
bitcoin, ethereum, monero, solana
Algorithms:
zip, xor, md5
Functions:
createGUID, PingToOnion, GetWikiWords, GetRandWords, getSeDomains, GetWalletsList, checkUpdate, GetPageLinks
Languages:
powershell, javascript, php
Securelist
Efimer Trojan delivered via email and hacked WordPress websites
The Efimer Trojan spreads through email and hacked WordPress websites, steals cryptocurrency, and substitutes wallets in the clipboard.