#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания середины 2025 года была нацелена на клиентов Salesforce с помощью голосового фишинга (vishing), чтобы обманом заставить сотрудников предоставлять OAuth‑согласие на вредоносные подключенные приложения, а не использовать недостатки программного обеспечения Salesforce. Злоупотребление согласием предоставило токены OAuth и доступ на уровне API (загрузчик данных / интеграция), что позволило осуществлять перечисление учетных записей и крупномасштабную загрузку данных. Активность приписывается финансово мотивированному кластеру (Google UNC6040/ShinyHunters), который рекламировал отфильтрованные контакты / метаданные клиентов в Telegram и запрашивал Monero.
-----

Серия инцидентов середины 2025 года была нацелена на арендаторов Salesforce в нескольких крупных организациях в сфере технологий, розничной торговли, роскоши, авиации и страхования. Злоумышленники полностью полагались на социальную инженерию (голосовой фишинг/вишинг-рассылку) и неправомерное использование подключенных приложений Salesforce/согласия OAuth, а не использовали какую-либо уязвимость инфраструктуры Salesforce. Операторы выдавали себя за корпоративных ИТ-специалистов, звонили сотрудникам (в основном в англоговорящие филиалы) и проинструктировали их перейти на страницу авторизации подключенных приложений и ввести восьмизначный код для завершения шага “устранение неполадок”, в результате чего был выдан токен OAuth / согласие на использование вредоносных приложений.

Атрибуция указывает на финансово мотивированный кластер, отслеживаемый Google как UNC6040 и связанный с названием ShinyHunters; ранние сходства в ремесле (социальная инженерия на основе телефона, олицетворение службы поддержки, указание целей для авторизации приложений и обхода MFA через OAuth) заставили некоторых заподозрить Scattered Spider, и отчеты также связывают перекрывающуюся активность с Операции Telegram в стиле Lapsus$. Злоумышленники заявляли о компрометации данных десятков организаций; жертвы сообщали в основном о раскрытии контактной информации клиентов и метаданных учетной записи. Большинство организаций заявили, что пароли, номера платежных карт и особо конфиденциальные финансовые данные не были отфильтрованы.

Операционные детали включают злоупотребление разрешениями подключенных приложений для получения доступа на уровне API (загрузчик данных и другие интеграции), что позволяет выполнять крупномасштабные загрузки и перечислять учетные записи с помощью всплесков API. Акторы рекламировали базы данных в Telegram и демонстрировали кошелек Monero, указывая мотивы получения выкупа/монетизации. Рекомендуемые защитные меры подчеркивали обеспечение наименьших привилегий для подключенных приложений и клиентов API, внесение в белый список и проверку интеграций OAuth, ограничение диапазонов IP-адресов подключенных приложений и пользователей для входа в систему, усиление политик MFA против усталости / обхода согласия, а также мониторинг аномальной активности API и массового экспорта данных, указывающих на эксфильтрацию.

#ParsedReport #CompletenessMedium
11-08-2025

CVE-2025-8088: WinRAR Zero-Day Exploited in Targeted Attacks

https://socradar.io/cve-2025-8088-winrar-zero-day-exploited-targeted/

Report completeness: Medium

Actors/Campaigns:
Void_rabisu
Paper_werewolf

Threats:
Romcom_rat
Spear-phishing_technique
Com_hijacking_technique
Mythic_c2
Snipbot
Putty_tool
Rustyclaw
Meltingclaw

Victims:
Multiple sectors, Russian organizations

Industry:
Logistic

Geo:
Canada, Russian, Russia

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20107)
- microsoft windows_10_1607 (<10.0.14393.6167)
- microsoft windows_10_1809 (<10.0.17763.4737)
- microsoft windows_10_21h2 (<10.0.19044.3324)
- microsoft windows_10_22h2 (<10.0.19044.3324)
have more...
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)

CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1105, T1106, T1106, T1202, T1203, T1204.002, T1480, T1497.001, have more...

IOCs:
File: 9
Hash: 10
IP: 4
Domain: 4

Soft:
UnRAR, Microsoft Word

Algorithms:
sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE‑2025‑8088 ‑ это path-traversal WinRAR/UnRAR zero‑day, использующая альтернативные потоки данных NTFS для удаления файлов за пределы путей извлечения. ESET приписывает активную эксплуатацию RomCom (Storm‑0978/UNC2596) и BI.ЗОНА для Paper Werewolf; кампании сочетали это с CVE‑2025‑6218, и эксплойты обменивались. Наблюдаемые цепочки: Mythic Agent (.lnk→DLL, захват COM PSFactoryBuffer, шеллкод→C2); SnipBot (троянская PuTTY ApbxHelper.exe с проверками на защиту от "песочницы"); RustyClaw/MeltingClaw (Complaint.exe загрузчик, извлекающий модули).
-----

CVE-2025-8088 - это path traversal zero-day в WinRAR (CVSS 8.4), который влияет на сборки Windows до версии 7.12 включительно и связанные с ними компоненты, такие как UnRAR.dll и его портативный источник. Основная причина заключается в неправильной обработке альтернативных потоков данных NTFS (ADSES) в созданных архивах: архив может представлять пользователю один файл, выглядящий безобидно, в то же время встраивая несколько записей ADS, некоторые из которых содержат реальную полезную нагрузку, а другие - фиктивные данные, чтобы запутать обнаружение и извлечение. Успешная эксплуатация может привести к записи файлов вне намеченных путей извлечения.

ESET приписывает активную эксплуатацию российскому кластеру RomCom (также отслеживаемому как Storm-0978 / Tropical Scorpius / UNC2596) и BI.ZONE сообщила о дополнительном использовании актором, отслеживаемым как Paper Werewolf, который, как сообщается, объединил CVE-2025-8088 с CVE-2025-6218 в фишинговых кампаниях против российских объектов. Есть сообщения о том, что эксплойт продавался на криминальных форумах.

Тремя основными цепочками выполнения, наблюдаемыми в кампаниях, использующих этот недостаток WinRAR, являются: (1) цепочка Mythic агентов, в которой вредоносный .lnk загружает библиотеку DLL в %TEMP%, злоумышленники перехватывают регистрацию COM PSFactoryBuffer с помощью манипуляций с реестром, чтобы загрузить эту библиотеку DLL, библиотека DLL расшифровывает и выполняет встроенный шеллкод, а имплантат подключается к инфраструктуре C2 с помощью логики таргетинга на основе домена; (2) вариант SnipBot, в котором .lnk запускает троянскую программу PuTTY CAC. двоичный код (ApbxHelper.exe ), который выполняет проверку "анти-песочницы" (включая проверку активности последних документов) перед извлечением и выполнением вторичных полезных нагрузок с серверов, контролируемых злоумышленником; и (3) цепочки развертывания RustyClaw и загрузчика MeltingClaw, где запускается выполнение .lnk Complaint.exe (RustyClaw), который извлекает дополнительные вредоносные программы и использует отдельную инфраструктуру C2 для модульного управления.

Использование уязвимости подтверждает, что архивные утилиты могут быть использованы для первоначального доступа и скрытой доставки полезной нагрузки, а также подчеркивает необходимость исправления установок UnRAR/WinRAR и мониторинга на предмет COM hijacking, аномального.поведение lnk и неожиданное извлечение содержимого рекламы.

#ParsedReport #CompletenessLow
11-08-2025

Keys to the Kingdom: Erlang/OTP SSH Vulnerability Analysis and Exploits Observed in the Wild

https://unit42.paloaltonetworks.com/erlang-otp-cve-2025-32433/

Report completeness: Low

Victims:
Operational technology networks, Critical infrastructure

Industry:
Entertainment, Critical_infrastructure, Telco, Energy, Healthcare, Foodtech, Ics, Education, Retail, Aerospace

Geo:
India, Asia, Ecuador, Netherlands, American, Brazil, France, Middle east, Japan, Australia, America, Ireland

CVEs:
CVE-2025-32433 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- erlang erlang\/otp (<25.3.2.20, <26.2.5.11, <27.3.3)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021, T1046, T1190, T1210

IOCs:
IP: 3
Domain: 4

Win API:
gethostbyname

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-32433 - это no-auth RCE в Erlang/OTP sshd: неправильная обработка состояния позволяет обрабатывать сообщения после аутентификации до завершения аутентификации; уязвимые сборки используются в телекоммуникационных и промышленных системах. Наблюдалась эксплуатация после раскрытия информации (275 хостов, 326 служб; концентрация в США, Бразилии, Франции) в ходе бурных кампаний, ориентированных на OT. Полезные нагрузки выдают длинные случайные обратные вызовы DNS для dns.outbound.watchtowr[.\]com, предполагающий оппортунистическую эксплуатацию и перемещение внутри компании в сторону OT.
-----

CVE-2025-32433 - это уязвимость, связанная с удаленным выполнением кода без проверки подлинности в реализации SSH-демона (sshd) на Erlang/OTP. Основной причиной является неправильное использование состояния: демон не может отклонить сообщения после проверки подлинности до завершения проверки подлинности, что позволяет обрабатывать сообщения, отправленные злоумышленником, что может привести к выполнению кода. Уязвимыми объектами являются экземпляры sshd, созданные на основе определенных версий Erlang/OTP, используемых в телекоммуникационных и промышленных системах.

Телеметрия показывает активные попытки взлома, начавшиеся после публичного раскрытия (уязвимость была опубликована 16 апреля 2025 г.; самые ранние попытки взлома были зафиксированы 1 мая 2025 г.). Датчики обнаружили активность эксплойтов в нескольких отраслях и географических регионах. Сканирование общедоступного Интернета в период с 16 апреля по 9 мая 2025 года выявило 275 различных хостингов и 326 сервисов Erlang/OTP, доступных из Интернета, с наибольшей концентрацией в Соединенных Штатах, Бразилии и Франции.

Анализ полезной нагрузки и телеметрия DNS указывают на то, что злоумышленники выполняют обратные вызовы DNS, используя длинные, случайно сгенерированные поддомены под dns.outbound.watchtowr[.\]com, совместимый с оппортунистической эксплуатацией, которая устанавливает внеполосное подтверждение или управление. Попытки эксплойта проявляются в виде концентрированных всплесков, а не постоянных кампаний, и пик активности сильно смещен в сторону сред операционных технологий (OT). Анализ на страновом уровне показывает чрезвычайно высокую корреляцию OT для триггеров сигнатур в нескольких странах (Япония \~99,7% от; Нидерланды, Ирландия, Бразилия, Эквадор - 100% ОТ; США - 71,15% от, но при наблюдении 1916 сигнатур, инициированных OT).

Наблюдаемые схемы работы предполагают, что злоумышленники могут использовать скомпрометированные корпоративные точки опоры и перемещения внутри компании для доступа к периферийным устройствам и брандмауэрам OT, а затем предпринимать попытки эксплуатации внутри корпоративных сетей для доступа к системам OT. Сочетание незащищенных экземпляров Erlang/OTP sshd и всплесков обнаружения со смещением OT увеличивает риск для критически важной инфраструктуры, в которой развернуты эти среды выполнения.

Слив внутренних данных Kimsuky
https://data.ddosecrets.com/APT%20Down%20-%20The%20North%20Korea%20Files/

#ParsedReport #CompletenessLow
12-08-2025

Detecting Linux PAM Exploit Malware Attacks Using AhnLab EDR

https://asec.ahnlab.com/ko/89515/

Report completeness: Low

Threats:
Plague

TTPs:

ChatGPT TTPs:
do not use without manual check
T1056.004, T1574.006

IOCs:
File: 1
Hash: 5
Url: 2

Soft:
Linux, sudo, OpenSSH

Algorithms:
md5

Functions:
pam_authenticate, pam_sm_authenticate

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PAM централизует аутентификацию с помощью libpam; компрометация пути его выполнения приводит к предоставлению учетных данных для разных служб. Plague (август 2025) использует предварительную загрузку динамического загрузчика (например, LD_PRELOAD) для ввода общего объекта и перехвата pam_authenticate(), получая учетные данные из sshd и других процессов, использующих PAM. Он использует вставку библиотеки времени выполнения вместо установки модуля PAM для подрыва потоков аутентификации.
-----

Подключаемые модули аутентификации (PAM) - это модульная платформа, используемая Unix-подобными системами для централизации аутентификации в таких приложениях, как su, sudo и sshd. Приложения обращаются к библиотеке libpam, которая загружает и выполняет настроенные модули PAM и агрегирует их результаты для обеспечения соблюдения политик аутентификации. Поскольку аутентификация делегирована libpam, нарушение пути выполнения PAM может привести к раскрытию учетных данных, используемых многими службами.

Описанное вредоносное ПО, получившее название "Plague" в отчете за август 2025 года, злоупотребляет предварительной загрузкой динамического загрузчика для перехвата вызовов аутентификации PAM. Вместо установки законного модуля PAM, Plague использует метод предварительной загрузки (обычно LD_PRELOAD), чтобы внедрить общий объект в адресное пространство целевых процессов и подключить функцию pam_authenticate(). Подключив функцию pam_authenticate(), вредоносное ПО может перехватывать учетные данные, предоставляемые таким службам, как sshd, и другим процессам, использующим PAM, без регистрации в качестве модуля PAM. Этот метод основан на внедрении библиотеки времени выполнения для загрузки вредоносного кода в запущенные процессы и нарушения потоков аутентификации, что позволяет осуществлять кражу учетных данных в нескольких службах, которые полагаются на libpam.

#ParsedReport #CompletenessMedium
12-08-2025

Detecting LodaRAT malware with Wazuh

https://wazuh.com/blog/detecting-lodarat-malware-with-wazuh/

Report completeness: Medium

Threats:
Lodarat
Process_injection_technique

TTPs:

IOCs:
Path: 4
Hash: 2
File: 37

Soft:
Sysinternals, Pyinstaller

Algorithms:
sha256

Functions:
message

Languages:
python, powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LodaRAT - это скрытный троян удаленного доступа, распространяющийся с помощью фишинга и вредоносных документов, способный к краже учетных данных, выполнению команд, закреплению, Внедрению кода в процесс, зашифрованному C2 и эксфильтрации через легальные сервисы. Он поддерживает выполнение из командной строки, адаптируется на хосте и обычно удаляет двоичные файлы для загрузки пользователями. Наблюдаемые объекты включают в себя создание файлов, события системной команды/процесса, следы внедрения.
-----

LodaRAT - это скрытый троян удаленного доступа, который распространяется с помощью фишинга и вредоносных документов и способен к краже учетных данных, выполнению команд, закреплению, Внедрению кода в процесс, зашифрованной передаче данных по управлению (C2) и эксфильтрации данных через законные службы. В основном он работает с помощью командной строки и может динамически адаптировать свое поведение на скомпрометированных хостах.

Обнаружение в описанной среде использует Sysmon на конечных точках Windows для сбора соответствующих системных событий, а сервер Wazuh - для обработки этих событий и применения пользовательских правил обнаружения. Мониторинг целостности файлов (FIM) используется для обнаружения дополнений, таких как двоичный файл LodaRAT, помещенный в папку загрузок пользователя. Обнаруженные создания или модификации файлов хэшируются и автоматически запрашиваются с помощью VirusTotal API; вредоносный вердикт от VirusTotal запускает автоматический активный ответ. Активный ответ реализован в виде скрипта на Python, настроенного в Wazuh, который удаляет идентифицированные варианты LodaRAT и записи правил (например, в /var/ossec/etc/rules/lodarat_rules.xml ) генерировать оповещения, когда активный ответ удаляет Вредоносные файлы.

Рабочий процесс обнаружения генерирует оповещения на сервере/панели мониторинга Wazuh при выполнении LodaRAT: события Sysmon поступают в Wazuh, FIM обнаруживает добавление файлов, хэши отправляются в VirusTotal, а подтвержденный вредоносный результат вызывает сценарий удаления с активным ответом при протоколировании исправления. Такое сочетание телеметрии (Sysmon), FIM, анализа угроз (VirusTotal) и автоматического исправления обеспечивает ориентированный на сдерживание ответ на наблюдаемое поведение LodaRAT, такое как удаление файлов, активность в командной строке и механизмы закрепления.

#ParsedReport #CompletenessMedium
12-08-2025

New Ransomware Charon Uses Earth Baxia APT Techniques to Target Enterprises

https://www.trendmicro.com/en_us/research/25/h/new-ransomware-charon.html

Report completeness: Medium

Actors/Campaigns:
Earth_baxia

Threats:
Charon
Dll_sideloading_technique
Process_injection_technique
Swordldr
Shadow_copies_delete_technique
Dark-kill_tool

Industry:
Government, Aerospace

Geo:
Middle east

ChatGPT TTPs:
do not use without manual check
T1055.012, T1059.003, T1574.002

IOCs:
File: 41
Path: 1
Hash: 3

Soft:
Windows service, DefWatch

Algorithms:
sha1, chacha20, exhibit, curve25519

Win API:
NetShareEnum

Win Services:
AcronisAgent, AcrSch2Svc, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, BackupExecVSSProvider, CAARCUpdateSvc, have more...

Links:
https://github.com/SaadAhla/dark-kill

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, schema: 1, dump: 1, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Charon - это программа-вымогатель, ориентированная на предприятия, которая использует DLL sideloading: законную Edge.exe используется для загрузки вредоносного msedge.dll (SWORDLDR). SWORDLDR расшифровывает встроенную полезную нагрузку программы-вымогателя и вводит ее в созданный svchost.exe чтобы замаскироваться под Службу Windows и обойти элементы управления. Программа-вымогатель также анализирует аргументы командной строки, чтобы изменить поведение во время выполнения.
-----

Charon - это недавно обнаруженное семейство программ-вымогателей, используемое в кампании, ориентированной на предприятия, которая включает в себя приемы в стиле сложных целенаправленных атак, приписываемые методам Earth Baxia, и выдает индивидуальные требования о выкупе. Наблюдаемая цепочка атак основана на DLL sideloading: законном Edge.exe двоичный файл выполняется и используется для загрузки вредоносного msedge.dll (отслеживается как "SWORDLDR"). SWORDLDR функционирует как загрузчик, который расшифровывает встроенную полезную нагрузку программы-вымогателя и вводит ее во вновь созданный svchost.exe процесс. Выполнение полезной нагрузки внутри svchost.exe позволяет программе-вымогателю маскироваться под законную Службу Windows и обходить обычные средства управления конечными точками.

Двоичный файл программы-вымогателя принимает множество параметров командной строки, которые изменяют его поведение во время выполнения; наличие и синтаксический анализ этих аргументов являются частью его операционной логики (в отчете отмечается проверка наличия конкретных аргументов). Инъекция в svchost.exe и использование загруженной со стороны библиотеки DLL являются основными методами уклонения и закрепления в цепочке. Сочетание скрытности, скорости и уклончивости соответствует методологиям сложных целенаправленных атак, а не оппортунистическому товарному Ransomware.

В оборонительных рекомендациях, содержащихся в отчете, подчеркивается многоуровневый подход. Ключевые технические точки обнаружения и усиления защиты, подразумеваемые цепочкой, включают мониторинг DLL sideloading связанных с Edge библиотек DLL (непредвиденный msedge.экземпляры dll), аномальные родительско-дочерние отношения, включающие исполняемые файлы браузера, порождающие нестандартные библиотеки DLL или svchost.exe , обнаружение операций расшифровки/внедрения в память, связанных с отражающими загрузчиками, и ведение журнала/анализ аргументов командной строки для подозрительных двоичных файлов. Меры по сдерживанию и реагированию должны учитывать внедрение в процессы обслуживания системы и потенциал быстрого шифрования и перемещения внутри компании с учетом наблюдаемых методов в стиле сложных целенаправленных атак.

#ParsedReport #CompletenessMedium
12-08-2025

Picture Paints a Thousand Codes: Dissecting Image-Based Steganography in a .NET (Quasar) RAT Loader

https://www.splunk.com/en_us/blog/security/image-steganography-quasar-rat-detection.html

Report completeness: Medium

Threats:
Quasar_rat
Steganography_technique
Spear-phishing_technique
Motw_bypass_technique
Agent_tesla
Formbook
Masslogger

Industry:
Telco

TTPs:

IOCs:
File: 12
Hash: 14

Soft:
Opera, Firefox, Microsoft Edge, Google Chrome, Windows registry, WinSCP, windows scheduled task, Internet Explorer, Slack

Algorithms:
base64, aes, xor

Platforms:
x86

Links:
https://github.com/tccontre/KnowledgeBase/tree/main/malware\_re\_tools/pixdig
https://gist.github.com/tccontre/9b3630d80c0e15bd6c75010c68df4ee2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Загрузчик .NET, поставляемый с помощью spearphishing (с подделкой значков), запускает Quasar RAT с использованием Стеганографии на основе изображений: BMP-ресурс, проанализированный дешифратором PNG (captive.dll ) восстанавливает заглушку (montero.dll ), который извлекает и расшифровывает вторую полезную нагрузку в формате PNG и зашифрованный большой двоичный объект ресурса. Quasar собирает учетные данные браузера и файла/реестра, сохраняется с помощью ключей запуска реестра и автозагрузки.URL, удаляет зону.Идентификатор, использует задержки ping и runas для уклонения от синхронизации и повышения привилегий, собирает инвентарь через WMI и поддерживает обратный прокси C2. Конфигурации закодированы в Base64/AES; сетевое поведение включает запросы проверки IP (api.ipify.org , ipwho.is ) и сигнатуры Snort (SIDS 1:65142,1:65132,1:65133,1:301276).
-----

Образцом является .NET-загрузчик, доставляемый с помощью Целевого фишинга с вложениями (T1566.001), который использует подмену значков для отображения в качестве доброкачественных документов. Он использует Стеганографию на основе изображений (T1027.003) для обработки своей полезной нагрузки: исходный ресурс BMP анализируется заглушкой дешифратора PNG (captive.dll ), который выполняет итерацию пиксельных компонентов RGB для поэтапного восстановления заглушки (до трех байт на пиксель). Этот огрызок (montero.dll ) расшифровывает и извлекает вторую полезную нагрузку из PNG, хранящегося в ресурсах загрузчика, используя аналогичное извлечение на основе пикселей, прежде чем расшифровать зашифрованный большой двоичный объект в метаданных ресурса в качестве конечной полезной нагрузки: Quasar RAT.

Возможности Quasar RAT включают в себя сбор учетных записей браузера (T1555.003), ориентированный на Opera, Firefox, Edge, Brave, Yandex и Chrome для извлечения сохраненных имен пользователей, паролей, кредитных карт и файлов cookie, а также сбор учетных данных, хранящихся в файлах или реестре (T1552.001), таких как FileZilla Site Manager и последние настройки сервера. Закрепление достигается с помощью ключей запуска реестра и путем удаления .Ярлыки URL-адресов в папке автозагрузки Windows (T1547.001). Вредоносное ПО удаляет зону.Идентификатор (Mark-of-the-Web), предназначенный для Нарушения работы средств контроля доверия (T1553.005). Он использует задержки на основе ping в пакетных сценариях, чтобы затруднить анализ в изолированной среде и уклонение от обнаружения на основе времени (командная оболочка T1059.003).

Попытки повышения привилегий используют Windows runas (Манипуляции с токенами доступа, T1134). Quasar собирает системный инвентарь (T1082) через WMI для создания маяка и включает функцию обратного прокси (T1090) для ретрансляции трафика злоумышленника через скомпрометированные хосты. Метаданные конфигурации и этапа встроены в кодировку Base64 и зашифрованы AES, содержат версию сборки, адреса C2, пути удаления, байты подписи для проверки клиента и сертификат X.509 для защищенной связи. Сетевое поведение включает запросы к Веб-службам проверки IP-адресов (например, api.ipify.org , ipwho.is ) обнаруживается с помощью Sysmon EventCode 22 и мониторинга DNS. Артефакты обнаружения и сетевые сигнатуры были созданы в виде правил Snort (SID, включая 1:65142, 1:65132, 1:65133 для Snort 2 и 1:65142, 1:301276 для Snort 3) выпущен в пакете 2025-07-21 для обнаружения загрузок загрузчика и начального трафика Quasar C2.