#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Crypto24 запускает многоэтапные вторжения, используя LOLBins и инструменты администрирования наряду с пользовательским вредоносным ПО и защитой от EDR (RealBlindingEDR) для скрытности и закрепления. Первоначальный доступ включает в себя создание привилегированных Локальных учетных записей и автоматическое профилирование с помощью 1.bat (WMIC); полезные нагрузки/скрипты удаляются в %ProgramData%\Update\ и сохраняются в запланированных задачах. Для перемещения внутри компании используются runas, PsExec, AnyDesk и объекты групповой политики; a WinMainSvc.dll кейлоггер (развернутый run_new.bat) загружает компоненты через Google Drive API (WinInet) для кражи данных, нацеливаясь на организации в Азии, Европе и США.
-----

Crypto24 проводит скоординированные многоэтапные вторжения, которые сочетают законные административные инструменты и LOLBins с пользовательским вредоносным ПО и компонентами защиты от EDR для максимальной скрытности и закрепления. Операторы предпочитают синхронизировать атаки во внепиковые часы и сочетать активность с обычными ИТ-операциями, чтобы избежать обнаружения.

Первоначальный доступ и разведка часто включают создание привилегированных Локальных учетных записей с последующим автоматическим профилированием с использованием сценария 1.bat, который использует WMIC для перечисления разделов диска, общей физической памяти, заголовка операционной системы, учетных записей локальных пользователей и членства в группах. Это системное профилирование информирует о перемещении внутри компании и выборе важных целей. Пакетные файлы и скрипты, размещенные в разделе %ProgramData%\Update\, планируются к выполнению через регулярные промежутки времени, поддерживая установку полезной нагрузки и повторяющееся выполнение.

Методы повышения привилегий и перемещения внутри компании включают в себя runas.exe и PsExec для выполнения процессов с повышенными правами и удаленного выполнения команд на разных хостах. Службы удаленного доступа и инструменты, такие как AnyDesk и утилиты групповой политики, используются для расширения доступа и поддержания удаленного управления. PsExec явно используется для укрепления позиций после первоначального компромисса.

Для обхода защиты группа развертывает пользовательскую утилиту защиты от EDR (называемую RealBlindingEDR), способную целенаправленно манипулировать безопасностью конечных точек; связанные файлы были обнаружены на нескольких конечных точках. Актор также использует двоичные файлы Living Off the Land, чтобы вредоносная активность смешивалась с законным административным трафиком.

Сбор данных и кража учетных данных осуществляются с помощью развернутого кейлоггера (WinMainSvc.dll ), доставляется и выполняется через run_new.bat и сохраняется с помощью запланированных задач. Анализ псевдокода показывает, что кейлоггер включает в себя функциональность для загрузки компонентов с Google Диска с использованием API Google Диска через WinInet, обеспечивая эксфильтрацию и удаленную доставку полезной нагрузки. Таргетинг был ориентирован на организации в Азии, Европе и США, работающие в секторах финансовых услуг, производства, развлечений и технологий.

#ParsedReport #CompletenessLow
14-08-2025

Raspberry Robin Malware in 2025: From USB Worm to Elite Initial Access Broker

https://www.picussecurity.com/resource/blog/raspberry-robin-malware-in-2025-from-usb-worm-to-elite-initial-access-broker

Report completeness: Low

Actors/Campaigns:
Raspberry_robin

Threats:
Raspberry_robin
Lolbin_technique
Fastflux_technique
Spear-phishing_technique
Dll_sideloading_technique
Uac_bypass_technique
Paexec_tool
Raven_stealer
Lumma_stealer

Victims:
Multiple sectors

Industry:
Iot

CVEs:
CVE-2024-38196 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20751)
- microsoft windows_10_1607 (<10.0.14393.7259)
- microsoft windows_10_1809 (<10.0.17763.6189)
- microsoft windows_10_21h2 (<10.0.19044.4780)
- microsoft windows_10_22h2 (<10.0.19045.4780)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1037, T1055, T1059.003, T1071.001, T1091, T1105, T1112, T1204, have more...

IOCs:
File: 8
Path: 1

Soft:
ChatGPT, Discord, PsExec, Event Tracing for Windows

Algorithms:
rc4, chacha20

Win API:
NtTraceEvent

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Raspberry Robin (он же Roshtyak/Storm-0856) превратился из червя, распространяющегося по USB, в брокера начального доступа, предоставляющего программы‑вымогатели, загрузчики и шпионские инструменты, перейдя от USB‑рассылки к фишингу, Вредоносной рекламе и доставке через облако /CDN (особенно Discord). Он использует загрузчики WSF, боковую загрузку, интенсивное запутывание / антианализ, Внедрение кода в процесс и LOLBINs (rundll32, dllhost, regsvr32) с цепочками, такими как explorer→cmd→msiexec и быстрое внедрение эксплойтов (CVE‑2024‑38196). Инфраструктура C2 охватывает более 200 доменов плюс активность Tor; артефакты включают записи RunOnce во временные библиотеки DLL и большие tmp-файлы в C:\Windows\Installer ; Консультанты США связали подразделение 29155 ГРУ с развертыванием в конце 2024 года.
-----

Raspberry Robin (он же Roshtyak, отслеживаемый как Microsoft Storm-0856) превратился из распространяющегося по USB червя (активен с 2019 года) в плодовитого брокера первоначального доступа, который распространяет программы-вымогатели, расширенные загрузчики и наборы инструментов для шпионажа. Раннее распространение основывалось на съемных носителях: вредоносное ПО постоянно отслеживает подключенные диски, засеивая их вредоносным ПО.Ярлыки LNK, замаскированные под папки плюс скрытый файл полезной нагрузки, и использует cmd.exe чтобы перезапустить цепочку заражения при нажатии на ярлык. К 2024-2025 годам операторы перешли от крупномасштабной загрузки по USB к фишингу, Вредоносной рекламе и механизмам доставки через облако/CDN (в частности, Discord CDN-архивы) и использовали загрузчики с боковой загрузкой и на основе WSF с мощными функциями запутывания и антианализа.

Поведение при выполнении включает в себя Внедрение кода в процесс и методы living-off-the-land, позволяющие вписаться в законную деятельность: внедренные хосты обычно включают rundll32.exe , dllhost.exe , и regsvr32.exe . Типичные наблюдаемые цепочки вредоносных процессов включают explorer.exe → cmd.exe → msiexec.exe выполнение исходящих HTTP-запросов. Несколько одновременных rundll32.exe или dllhost.exe характерны случаи, демонстрирующие сетевую активность. Операторы внедрили эксплуатацию (в частности, интеграцию CVE-2024-38196 в течение нескольких недель после публичного раскрытия), чтобы расширить первоначальный доступ.

Система управления разработана для обеспечения устойчивости и анонимности с использованием многоуровневой обфускации и шифрования в разветвленной инфраструктуре, состоящей из более чем 200 доменов C2, охватывающих 22 TLD, плюс доказательства наличия по крайней мере одного узла ретрансляции Tor, координирующего операции. Артефакты обхода защиты включают загрузчики WSF, боковую загрузку, средства защиты от анализа, записи реестра RunOnce, указывающие на библиотеки DLL в %TEMP%, и большие файлы .tmp, размещенные в C:\Windows\Installer \. Возможности обнаружения включают аномальный поиск в DNS для очень коротких доменов в необычных TLD, неожиданные подключения Tor от процессов, отличных от Tor, записи RunOnce, ссылающиеся на временные библиотеки DLL, большие файлы installer .tmp и конкретные цепочки исходящих процессов с поддержкой HTTP, указанные выше. Консультант из США связал подразделение 29155 ГРУ с развертыванием Raspberry Robin в конце 2024 года.

#ParsedReport #CompletenessMedium
14-08-2025

Inside Silver Foxs Den: Trustwave SpiderLabs Unmasks a Global Threat Actor

https://www.trustwave.com/en-us/resources/blogs/trustwave-blog/inside-silver-foxs-den-trustwave-spiderlabs-unmasks-a-global-threat-actor/

Report completeness: Medium

Actors/Campaigns:
Silver_fox (motivation: information_theft, financially_motivated, cyber_espionage, cyber_criminal)

Threats:
Valleyrat
Winos
Sainbox_rat
Disabling_antivirus_technique
Vmprotect_tool
Seo_poisoning_technique
Dll_sideloading_technique
Process_injection_technique
Nidhogg

Victims:
Chinese speaking organizations, Taiwanese organizations

Industry:
Healthcare, Government, Entertainment, Education

Geo:
Taiwan, China, Taiwanese, Pacific

TTPs:
Tactics: 2
Technics: 5

Soft:
Sogou, DeepSeek, Telegram, DICOM

Algorithms:
zip, exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Silver Fox, вероятно, является китайской сложной целенаправленной атакой, нацеленной на организации, говорящие на китайском языке, в частности тайваньские организации, независимо действующие по всему Тихоокеанскому региону и за его пределами. Мотивы носят гибридный характер — шпионаж, кража данных и финансовая выгода, — при этом кампании переходят от оппортунистических вторжений к более целенаправленному таргетингу под влиянием геополитики. При первоначальном доступе используется социальная инженерия/фишинг (MITRE ATT&CK T1566.001) с последующим сбором данных и эксфильтрацией с помощью гибких TTP.
-----

Silver Fox, вероятно, является сложной целенаправленной атакой, базирующейся в Китае, которая в первую очередь нацелена на организации, говорящие на китайском языке, с акцентом на тайваньские организации, хотя операции наблюдались и за пределами Тихоокеанского региона. Группа, по-видимому, действует независимо, а не как часть более крупной группы акторов. Мотивы включают шпионаж, кражу данных и финансовую выгоду, что указывает на гибридный профиль, который накладывается на кибершпионаж и киберпреступность.

Trustwave SpiderLabs характеризует Silver Fox как легко адаптирующегося оператора, который перешел от широких оппортунистических вторжений к более целенаправленным кампаниям, особенно против Тайваня, что предполагает смену приоритетов, возможно, связанную с геополитическими драйверами. Инструменты, методы и процедуры группы демонстрируют гибкость как в области таргетинга, так и в области торговли, обеспечивая постоянный доступ и эксфильтрацию данных в целевых средах.

Для получения первоначального доступа Silver Fox использует социальную инженерию на нескольких платформах, сопоставленную с MITRE ATT&CK T1566.001 (фишинг/подводная охота). В последующих действиях особое внимание уделяется сбору и краже данных в соответствии со шпионскими и финансовыми целями. SpiderLabs отмечает постоянный мониторинг актора, поскольку он продолжает свою деятельность на стыке преступной деятельности и деятельности, связанной с государством. В отчете подчеркивается необходимость отслеживания изменений в таргетинге и TTP по мере того, как Silver Fox переходит от оппортунистических кампаний к целенаправленным вторжениям.

#ParsedReport #CompletenessLow
13-08-2025

BadCam: Now Weaponizing Linux Webcams

https://eclypsium.com/blog/badcam-now-weaponizing-linux-webcams/

Report completeness: Low

Threats:
Badcam_tool
Badusb_technique
Hak5_rubber_ducky
Hak5_bash_bunny
Flipper_zero
Supply_chain_technique

Victims:
Webcam manufacturers, Usb peripheral manufacturers, Enterprises, Consumers

Industry:
Telco, Iot

Geo:
China

CVEs:
CVE-2025-4371 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1200, T1204, T1542.003

IOCs:
File: 1

Soft:
Linux, Raspberry Pi

Platforms:
arm

Links:
https://github.com/i-am-shodan/USBArmyKnife

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Веб-камеры Linux USB на SOCS, производных от SigmaStar, допускают перепрошивку прошивки без проверки подлинности (CVE-2025-4371), поскольку в пути обновления отсутствует проверка подписи. Злоумышленники могут поставлять предварительно подключенные устройства или, при выполнении кода хоста, передавать вредоносную прошивку через USB для преобразования камер в постоянные инжекторы BadUSB/HID. Скомпрометированные устройства могут добавлять конечные точки, использовать Wi‑Fi / Bluetooth для C2 и оставаться незаметными, выглядя как обычные камеры.
-----

Исследователи выявили уязвимости в USB-веб-камерах на базе Linux (наблюдаемые в некоторых моделях Lenovo), которые позволяют злоумышленникам перепрошивать прошивку устройства без проверки подписи, что позволяет проводить атаки в стиле BadUSB. Уязвимые веб-камеры работают под управлением Linux на SOCS, производных от SigmaStar; в пути обновления прошивки отсутствует проверка криптографической подписи, поэтому скомпрометированный хост или физически/временно замененное устройство могут быть перепрошиты с помощью вредоносной прошивки.

Описаны два основных вектора атаки. Во-первых, supply-chain или физический компромисс: злоумышленник может доставить или подключить скрытую веб-камеру, которая уже содержит вредоносную прошивку и использует USB-порт устройства для маскировки под дополнительные классы USB, в частности HID, для ввода нажатий клавиш и выполнения команд на хосте. Во-вторых, удаленный компромисс: злоумышленник, выполнив код на хосте, может отправить вредоносный образ прошивки по USB-каналу на веб-камеру, преобразовать периферийное устройство в устройство BadUSB на месте и сохранить его, даже если ОС хоста переустановится или попытается исправить ситуацию.

После установки веб‑камера может эмулировать устройства с интерфейсом пользователя для доставки полезной нагрузки, запускать последовательности ввода команд, создавать новые конечные точки устройства и потенциально использовать другие возможности устройства (например, интерфейсы Wi-Fi или Bluetooth, имеющиеся на периферийном устройстве) для расширения охвата сети или предоставления альтернативных каналов C2. Цепочка атак обеспечивает скрытность и закрепление, поскольку камера может сохранять обычную функциональность камеры, действуя злонамеренно, и она может повторно заразить хосты, которые пытаются устранить компромисс.

Обнаружение затруднено: ввод, созданный HID, отображается как законный ввод, а средства защиты на стороне хоста редко проверяют целостность прошивки периферийного устройства. Проблема отслеживалась в соответствии с CVE-2025-4371; деятельность по раскрытию информации началась 21 марта 2025 года, с скоординированными исправлениями и тестированием до середины 2025 года и публичной презентацией в августе 2025 года. Рекомендуемые технические меры по смягчению последствий включают принудительное подписание и проверку подлинности прошивки при загрузке/обновлении устройства, аттестацию устройства и улучшенную инвентаризацию/ видимость периферийных устройств USB.

#ParsedReport #CompletenessHigh
13-08-2025

Paper Werewolf Attacks Russia Using WinRAR Zero-Day Vulnerability

https://bi.zone/expertise/blog/paper-werewolf-atakuet-rossiyu-s-ispolzovaniem-uyazvimosti-nulevogo-dnya-v-winrar/

Report completeness: High

Actors/Campaigns:
Paper_werewolf (motivation: cyber_espionage, cyber_criminal)

Threats:
Spear-phishing_technique

Victims:
Russian organizations

Industry:
Government

Geo:
Russian, Russia

CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)


TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 30
Path: 4
IP: 5
Url: 7
Hash: 21
Domain: 3

Algorithms:
md5, sha256, sha1

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Paper Werewolf использовал WinRAR zero‑day с помощью созданных архивов RAR/SFX для запуска выполнения кода при открытии или извлечении. При первоначальном выполнении были отключены бэкдоры/загрузчики для установки C2 и обеспечения возможности кражи учетных данных, перемещения внутри компании, закрепления (задачи/службы/ключи запуска) и эксфильтрации данных. Использование WinRAR позволяет злоумышленникам обходить средства защиты, которые не проверяют сжатые файлы и не связывают извлечение с последующими процессами.
-----

В отчетах указывается, что кластер Paper Werewolf нацелился на российские организации, используя уязвимость WinRAR zero‑day. Использование zero‑day в широко используемой утилите архивирования предполагает, что злоумышленники добились первоначального выполнения кода, предоставив созданные архивы RAR или самораспаковывающиеся архивы, которые запускают уязвимость при открытии или извлечении на хостах‑жертвах.

Тактика, вероятно, следует типичной цепочке от эксплуатации до последующего компрометирования: архивы с оружием, доставляемые по электронной почте, веб-загрузки или приманки, используют уязвимость WinRAR для запуска кода без ведома пользователя. Ожидается, что на этом этапе выполнения будет удалена и запущена вторичная полезная нагрузка, такая как бэкдоры или загрузчики, которые устанавливают каналы управления. Как только точки опоры существуют, акторы обычно выполняют сбор учетных записей, перемещение внутри компании с помощью встроенных инструментов или украденных учетных данных, закрепление с помощью запланированных задач, служб или ключей запуска, а также сбор/эксфильтрацию данных. Выбор WinRAR в качестве вектора позволяет обойти средства защиты, которые недостаточно проверяют сжатые полезные нагрузки или не соотносят события извлечения архива с последующей активностью процесса.

Обнаружение должно быть сосредоточено на обработке архивов и последовательности выполнения, происходящей из процессов WinRAR: неожиданные дочерние процессы, порожденные WinRAR, создание исполняемых файлов из извлеченных архивов, артефакты SFX, аномальные сетевые подключения сразу после извлечения архива и индикаторы изменений закрепления. Судебно-медицинская экспертиза должна собрать исходные файлы RAR, пути извлечения, память затронутых процессов и сетевые журналы, чтобы определить места назначения C2. Для смягчения последствий требуется быстрое внесение исправлений, как только исправление становится доступным, блокирование или помещение в карантин ненадежных архивов, улучшение проверки сжатых файлов почтой и веб-шлюзом и настройка EDR для пометки WinRAR о появлении подозрительных двоичных файлов или записи в общие места закрепления. Средства контроля выхода из сети и обнаружения C2 помогают ограничить эксфильтрацию и дальнейшую компрометацию.

#ParsedReport #CompletenessLow
14-08-2025

RingReaper Linux Malware: EDR Evasion Tactics and Technical Analysis

https://www.picussecurity.com/resource/blog/ringreaper-linux-malware-edr-evasion-tactics-and-technical-analysis

Report completeness: Low

Actors/Campaigns:
Unc3886
Apt31

Threats:
Ringreaper_tool
Netstat_tool
Melofee

Victims:
Linux environments

TTPs:
Tactics: 4
Technics: 5

Soft:
Linux, ChatGPT

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RingReaper ‑ это постэксплуатационный агент Linux, который использует io_uring для асинхронного ввода-вывода ядра, чтобы минимизировать использование системных вызовов и избежать перехватов EDR. В нем реализованы методы MITRE: T1057 (перечисление процессов), T1049 (подключение к сети через netstatConnections), T1033 (сеансы через /dev/pts и /proc), T1005 (чтение файлов из /etc/passwd), T1068 (проверка доступа) и T1564 (самоуничтожение). Агент уменьшает количество заметных следов системных вызовов и удаляет артефакты, чтобы ограничить видимость для криминалистов.
-----

RingReaper ‑ это постэксплуатационный агент Linux, который использует io_uring, современный асинхронный интерфейс ввода-вывода ядра, чтобы свести к минимуму использование традиционных системных вызовов и избежать перехватов обнаружения конечных точек и ответа (EDR). Выполняя операции ввода-вывода и взаимодействия с ядром через io_uring, вредоносное ПО уменьшает количество отслеживаемых системных вызовов и обходит мониторинг, нацеленный на распространенные API, такие как чтение/запись, netstat или ss.

Наблюдаемый охват техники сопоставляется с несколькими идентификаторами MITRE ATT&CK: Изучение процесса T1057 осуществляется с помощью перечисления /proc на основе io_uring для составления списка процессов и сеансов; Изучение сетевых подключений T1049 выполняется с помощью полезной нагрузки с именем "$WORKDIR"/netstatConnections, которая перечисляет активные подключения, минуя стандартные инструменты; владелец системы/обнаружение пользователя T1033 достигается с помощью асинхронных запросов /dev/pts и /proc для получения активных сеансов, имен пользователей и назначений терминалов; Данные из локальной системы T1005 реализуются с помощью "$WORKDIR"/FileRead для сбора содержимого /etc/passwd; Эксплуатация уязвимостей для повышения привилегий T1068 проверяется с помощью "$WORKDIR"/privescChecker для идентификации эксплуатируемых векторов для повышения уровня; и скрытие артефакта T1564 выполняется с помощью "$WORKDIR"/selfDestruct, который удаляет двоичные файлы и очищает следы, чтобы уменьшить видимость для криминалистов.

Возможности обнаружения включают мониторинг процессов, которые используют io_uring для доступа к сетевым таблицам ядра или /proc и /dev/pts вместо вызова стандартных пользовательских утилит, а также помечают программы, которые перечисляют состояние сети или пользовательские сеансы с необычно низкой активностью системных вызовов. Соотнесение подозрительной активности процесса с выполнением известных имен полезной нагрузки или с поведением сетевого перечислителя с низкими издержками может помочь идентифицировать операции RingReaper. Видимость отправок и завершений io_uring, а также таблиц ядра, к которым можно получить доступ через этот интерфейс, может сыграть важную роль в обнаружении этого класса обходных инструментов Linux после эксплуатации.

#ParsedReport #CompletenessLow
13-08-2025

Personalization in Phishing: Advanced Tactics for Malware Delivery

https://cofense.com/blog/personalization-in-phishing-advanced-tactics-for-malware-delivery

Report completeness: Low

Threats:
Screenconnect_tool
Remcos_rat
Jrat_rat
Vidar_stealer
Pikabot

Victims:
Finance, Taxes, Notification, Travel assistance, Response

Industry:
Energy, Financial

ChatGPT TTPs:
do not use without manual check
T1027, T1204.001, T1204.002, T1566.001, T1566.002

Languages:
java

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Третий квартал 2023–третий квартал 2024 фишинг все чаще использует персонализацию темы/вложений (PII, контекстные темы, настраиваемые имена файлов) с полезной нагрузкой, размещенной на файлообменных сайтах, защищенных паролем архивах или HTML‑вложениях, которые извлекают полезную нагрузку. Замечено вредоносное ПО: PikaBot (загрузчик/RAT с обходом sandbox/виртуальной машины), jRAT (Java, кроссплатформенная кража учетных данных), Remcos (Регистрация нажатий клавиш, эксфильтрация, вторичные полезные нагрузки) и WSH RAT. Эти RATs/stealers обеспечивают кражу учетных данных и удаленный доступ, часто при посредничестве операторов программ-вымогателей.
-----

Данные за 3 квартал 2023– 3 квартал 2024 года показывают, что целевые кампании по фишингу все чаще используют персонализацию темы и вложений для повышения вовлеченности и стимулирования выполнения вредоносного ПО. Злоумышленники встраивают личные данные или контекстуально релевантные темы и настраивают имена вложений или загружаемых файлов; при публикации эти поля редактируются для защиты личных данных. Распространенные наблюдаемые методы включают размещение полезных данных на платформах обмена файлами, распространение архивов, защищенных паролем, для обхода защищенных шлюзов электронной почты, использование HTML‑вложений со встроенными ссылками, которые извлекают полезные данные, и предоставление кроссплатформенных RAT на основе Java или нативных RATS и средств кражи информации, которые обеспечивают кражу учетных данных и удаленный доступ для перепродажи.

Корреляция темы с вредоносным ПО: Электронные письма на тему ответов (30,58% отредактированных по теме образцов) чаще всего доставлял PikaBot, загрузчик / RAT, известный методами обхода "песочницы" и виртуальных машин, а также сбросом дополнительной полезной нагрузки. Сообщения финансовой тематики (21,90%) обычно доставляются jRAT; jRAT основан на Java и является кроссплатформенным, обеспечивая широкий удаленный доступ и сбор учетных записей. Выборки по финансам часто содержали PDF-файлы (9,43% электронных писем с отредактированной финансовой тематикой) и показали рост объема с 1 по 3 квартал 2024 года. Электронные письма на налоговую тематику (3,72%) часто ассоциировались с Remcos RAT, обычно размещаемыми в защищенных паролем архивах на файлообменных сайтах; Remcos реализует Регистрацию нажатий клавиш, эксфильтрацию файлов и может внедрять вторичное вредоносное ПО. Электронные письма на тему уведомлений (3,72%) содержали смешанное вредоносное ПО (не доминировало ни одно семейство), причем были замечены WSH RAT и jRAT; в 22% отредактированных по теме уведомлений образцов использовались HTML‑файлы со встроенными ссылками на скачивание, что коррелирует с поставками WSH RAT.

Remcos и jRAT были особенно привязаны к сообщениям, в которых имена загружаемых файлов были настроены индивидуально, причем пользовательские загрузки часто привязывались к приманкам финансовой тематики. В отчете подчеркивается, что RATs и похитители информации, доставляемые с помощью персонализированных приманок, примечательны в качестве источников первоначального доступа: украденные учетные данные или удаленный доступ часто передаются операторам программ‑вымогателей, поддерживая цепочку атак программ-вымогателей, несмотря на сбои в работе правоохранительных органов.

#ParsedReport #CompletenessMedium
14-08-2025

Inside the Robot: Deconstructing VexTrios Affiliate Advertising Platform

https://blogs.infoblox.com/threat-intelligence/inside-the-robot-deconstructing-vextrios-affiliate-advertising-platform/

Report completeness: Medium

Threats:
Vextrio
Cloaking_technique
Lospollos

Victims:
Adtech industry, Social media users

Industry:
Software_development, Entertainment

Geo:
Russian, Switzerland, Italian, Turkmenistan

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1102, T1204.001, T1583.001, T1583.003, T1583.004

IOCs:
Domain: 15
IP: 2
File: 3

Soft:
Binom, RollerAds, nginx, AdsBridge, Instagram

Languages:
javascript

Platforms:
arm

Links:
https://github.com/infobloxopen/threat-intelligence/tree/main