#ParsedReport #CompletenessLow
14-08-2025
RingReaper Linux Malware: EDR Evasion Tactics and Technical Analysis
https://www.picussecurity.com/resource/blog/ringreaper-linux-malware-edr-evasion-tactics-and-technical-analysis
Report completeness: Low
Actors/Campaigns:
Unc3886
Apt31
Threats:
Ringreaper_tool
Netstat_tool
Melofee
Victims:
Linux environments
TTPs:
Tactics: 4
Technics: 5
Soft:
Linux, ChatGPT
14-08-2025
RingReaper Linux Malware: EDR Evasion Tactics and Technical Analysis
https://www.picussecurity.com/resource/blog/ringreaper-linux-malware-edr-evasion-tactics-and-technical-analysis
Report completeness: Low
Actors/Campaigns:
Unc3886
Apt31
Threats:
Ringreaper_tool
Netstat_tool
Melofee
Victims:
Linux environments
TTPs:
Tactics: 4
Technics: 5
Soft:
Linux, ChatGPT
Picussecurity
RingReaper Linux Malware: EDR Evasion Tactics and Technical Analysis
Analysis of RingReaper malware’s tactics and techniques, revealing its io_uring-based evasion methods targeting Linux environments.
CTT Report Hub
#ParsedReport #CompletenessLow 14-08-2025 RingReaper Linux Malware: EDR Evasion Tactics and Technical Analysis https://www.picussecurity.com/resource/blog/ringreaper-linux-malware-edr-evasion-tactics-and-technical-analysis Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
RingReaper ‑ это постэксплуатационный агент Linux, который использует io_uring для асинхронного ввода-вывода ядра, чтобы минимизировать использование системных вызовов и избежать перехватов EDR. В нем реализованы методы MITRE: T1057 (перечисление процессов), T1049 (подключение к сети через netstatConnections), T1033 (сеансы через /dev/pts и /proc), T1005 (чтение файлов из /etc/passwd), T1068 (проверка доступа) и T1564 (самоуничтожение). Агент уменьшает количество заметных следов системных вызовов и удаляет артефакты, чтобы ограничить видимость для криминалистов.
-----
RingReaper ‑ это постэксплуатационный агент Linux, который использует io_uring, современный асинхронный интерфейс ввода-вывода ядра, чтобы свести к минимуму использование традиционных системных вызовов и избежать перехватов обнаружения конечных точек и ответа (EDR). Выполняя операции ввода-вывода и взаимодействия с ядром через io_uring, вредоносное ПО уменьшает количество отслеживаемых системных вызовов и обходит мониторинг, нацеленный на распространенные API, такие как чтение/запись, netstat или ss.
Наблюдаемый охват техники сопоставляется с несколькими идентификаторами MITRE ATT&CK: Изучение процесса T1057 осуществляется с помощью перечисления /proc на основе io_uring для составления списка процессов и сеансов; Изучение сетевых подключений T1049 выполняется с помощью полезной нагрузки с именем "$WORKDIR"/netstatConnections, которая перечисляет активные подключения, минуя стандартные инструменты; владелец системы/обнаружение пользователя T1033 достигается с помощью асинхронных запросов /dev/pts и /proc для получения активных сеансов, имен пользователей и назначений терминалов; Данные из локальной системы T1005 реализуются с помощью "$WORKDIR"/FileRead для сбора содержимого /etc/passwd; Эксплуатация уязвимостей для повышения привилегий T1068 проверяется с помощью "$WORKDIR"/privescChecker для идентификации эксплуатируемых векторов для повышения уровня; и скрытие артефакта T1564 выполняется с помощью "$WORKDIR"/selfDestruct, который удаляет двоичные файлы и очищает следы, чтобы уменьшить видимость для криминалистов.
Возможности обнаружения включают мониторинг процессов, которые используют io_uring для доступа к сетевым таблицам ядра или /proc и /dev/pts вместо вызова стандартных пользовательских утилит, а также помечают программы, которые перечисляют состояние сети или пользовательские сеансы с необычно низкой активностью системных вызовов. Соотнесение подозрительной активности процесса с выполнением известных имен полезной нагрузки или с поведением сетевого перечислителя с низкими издержками может помочь идентифицировать операции RingReaper. Видимость отправок и завершений io_uring, а также таблиц ядра, к которым можно получить доступ через этот интерфейс, может сыграть важную роль в обнаружении этого класса обходных инструментов Linux после эксплуатации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
RingReaper ‑ это постэксплуатационный агент Linux, который использует io_uring для асинхронного ввода-вывода ядра, чтобы минимизировать использование системных вызовов и избежать перехватов EDR. В нем реализованы методы MITRE: T1057 (перечисление процессов), T1049 (подключение к сети через netstatConnections), T1033 (сеансы через /dev/pts и /proc), T1005 (чтение файлов из /etc/passwd), T1068 (проверка доступа) и T1564 (самоуничтожение). Агент уменьшает количество заметных следов системных вызовов и удаляет артефакты, чтобы ограничить видимость для криминалистов.
-----
RingReaper ‑ это постэксплуатационный агент Linux, который использует io_uring, современный асинхронный интерфейс ввода-вывода ядра, чтобы свести к минимуму использование традиционных системных вызовов и избежать перехватов обнаружения конечных точек и ответа (EDR). Выполняя операции ввода-вывода и взаимодействия с ядром через io_uring, вредоносное ПО уменьшает количество отслеживаемых системных вызовов и обходит мониторинг, нацеленный на распространенные API, такие как чтение/запись, netstat или ss.
Наблюдаемый охват техники сопоставляется с несколькими идентификаторами MITRE ATT&CK: Изучение процесса T1057 осуществляется с помощью перечисления /proc на основе io_uring для составления списка процессов и сеансов; Изучение сетевых подключений T1049 выполняется с помощью полезной нагрузки с именем "$WORKDIR"/netstatConnections, которая перечисляет активные подключения, минуя стандартные инструменты; владелец системы/обнаружение пользователя T1033 достигается с помощью асинхронных запросов /dev/pts и /proc для получения активных сеансов, имен пользователей и назначений терминалов; Данные из локальной системы T1005 реализуются с помощью "$WORKDIR"/FileRead для сбора содержимого /etc/passwd; Эксплуатация уязвимостей для повышения привилегий T1068 проверяется с помощью "$WORKDIR"/privescChecker для идентификации эксплуатируемых векторов для повышения уровня; и скрытие артефакта T1564 выполняется с помощью "$WORKDIR"/selfDestruct, который удаляет двоичные файлы и очищает следы, чтобы уменьшить видимость для криминалистов.
Возможности обнаружения включают мониторинг процессов, которые используют io_uring для доступа к сетевым таблицам ядра или /proc и /dev/pts вместо вызова стандартных пользовательских утилит, а также помечают программы, которые перечисляют состояние сети или пользовательские сеансы с необычно низкой активностью системных вызовов. Соотнесение подозрительной активности процесса с выполнением известных имен полезной нагрузки или с поведением сетевого перечислителя с низкими издержками может помочь идентифицировать операции RingReaper. Видимость отправок и завершений io_uring, а также таблиц ядра, к которым можно получить доступ через этот интерфейс, может сыграть важную роль в обнаружении этого класса обходных инструментов Linux после эксплуатации.
#ParsedReport #CompletenessLow
13-08-2025
Personalization in Phishing: Advanced Tactics for Malware Delivery
https://cofense.com/blog/personalization-in-phishing-advanced-tactics-for-malware-delivery
Report completeness: Low
Threats:
Screenconnect_tool
Remcos_rat
Jrat_rat
Vidar_stealer
Pikabot
Victims:
Finance, Taxes, Notification, Travel assistance, Response
Industry:
Energy, Financial
ChatGPT TTPs:
T1027, T1204.001, T1204.002, T1566.001, T1566.002
Languages:
java
Platforms:
cross-platform
13-08-2025
Personalization in Phishing: Advanced Tactics for Malware Delivery
https://cofense.com/blog/personalization-in-phishing-advanced-tactics-for-malware-delivery
Report completeness: Low
Threats:
Screenconnect_tool
Remcos_rat
Jrat_rat
Vidar_stealer
Pikabot
Victims:
Finance, Taxes, Notification, Travel assistance, Response
Industry:
Energy, Financial
ChatGPT TTPs:
do not use without manual checkT1027, T1204.001, T1204.002, T1566.001, T1566.002
Languages:
java
Platforms:
cross-platform
Cofense
Personalization in Phishing: Advanced Tactics for Malware
Subject customization is widely used in targeted malware phishing campaigns to make the email appear more authentic and increase the chances of the malicious payload being run. When combined with
CTT Report Hub
#ParsedReport #CompletenessLow 13-08-2025 Personalization in Phishing: Advanced Tactics for Malware Delivery https://cofense.com/blog/personalization-in-phishing-advanced-tactics-for-malware-delivery Report completeness: Low Threats: Screenconnect_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Третий квартал 2023–третий квартал 2024 фишинг все чаще использует персонализацию темы/вложений (PII, контекстные темы, настраиваемые имена файлов) с полезной нагрузкой, размещенной на файлообменных сайтах, защищенных паролем архивах или HTML‑вложениях, которые извлекают полезную нагрузку. Замечено вредоносное ПО: PikaBot (загрузчик/RAT с обходом sandbox/виртуальной машины), jRAT (Java, кроссплатформенная кража учетных данных), Remcos (Регистрация нажатий клавиш, эксфильтрация, вторичные полезные нагрузки) и WSH RAT. Эти RATs/stealers обеспечивают кражу учетных данных и удаленный доступ, часто при посредничестве операторов программ-вымогателей.
-----
Данные за 3 квартал 2023– 3 квартал 2024 года показывают, что целевые кампании по фишингу все чаще используют персонализацию темы и вложений для повышения вовлеченности и стимулирования выполнения вредоносного ПО. Злоумышленники встраивают личные данные или контекстуально релевантные темы и настраивают имена вложений или загружаемых файлов; при публикации эти поля редактируются для защиты личных данных. Распространенные наблюдаемые методы включают размещение полезных данных на платформах обмена файлами, распространение архивов, защищенных паролем, для обхода защищенных шлюзов электронной почты, использование HTML‑вложений со встроенными ссылками, которые извлекают полезные данные, и предоставление кроссплатформенных RAT на основе Java или нативных RATS и средств кражи информации, которые обеспечивают кражу учетных данных и удаленный доступ для перепродажи.
Корреляция темы с вредоносным ПО: Электронные письма на тему ответов (30,58% отредактированных по теме образцов) чаще всего доставлял PikaBot, загрузчик / RAT, известный методами обхода "песочницы" и виртуальных машин, а также сбросом дополнительной полезной нагрузки. Сообщения финансовой тематики (21,90%) обычно доставляются jRAT; jRAT основан на Java и является кроссплатформенным, обеспечивая широкий удаленный доступ и сбор учетных записей. Выборки по финансам часто содержали PDF-файлы (9,43% электронных писем с отредактированной финансовой тематикой) и показали рост объема с 1 по 3 квартал 2024 года. Электронные письма на налоговую тематику (3,72%) часто ассоциировались с Remcos RAT, обычно размещаемыми в защищенных паролем архивах на файлообменных сайтах; Remcos реализует Регистрацию нажатий клавиш, эксфильтрацию файлов и может внедрять вторичное вредоносное ПО. Электронные письма на тему уведомлений (3,72%) содержали смешанное вредоносное ПО (не доминировало ни одно семейство), причем были замечены WSH RAT и jRAT; в 22% отредактированных по теме уведомлений образцов использовались HTML‑файлы со встроенными ссылками на скачивание, что коррелирует с поставками WSH RAT.
Remcos и jRAT были особенно привязаны к сообщениям, в которых имена загружаемых файлов были настроены индивидуально, причем пользовательские загрузки часто привязывались к приманкам финансовой тематики. В отчете подчеркивается, что RATs и похитители информации, доставляемые с помощью персонализированных приманок, примечательны в качестве источников первоначального доступа: украденные учетные данные или удаленный доступ часто передаются операторам программ‑вымогателей, поддерживая цепочку атак программ-вымогателей, несмотря на сбои в работе правоохранительных органов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Третий квартал 2023–третий квартал 2024 фишинг все чаще использует персонализацию темы/вложений (PII, контекстные темы, настраиваемые имена файлов) с полезной нагрузкой, размещенной на файлообменных сайтах, защищенных паролем архивах или HTML‑вложениях, которые извлекают полезную нагрузку. Замечено вредоносное ПО: PikaBot (загрузчик/RAT с обходом sandbox/виртуальной машины), jRAT (Java, кроссплатформенная кража учетных данных), Remcos (Регистрация нажатий клавиш, эксфильтрация, вторичные полезные нагрузки) и WSH RAT. Эти RATs/stealers обеспечивают кражу учетных данных и удаленный доступ, часто при посредничестве операторов программ-вымогателей.
-----
Данные за 3 квартал 2023– 3 квартал 2024 года показывают, что целевые кампании по фишингу все чаще используют персонализацию темы и вложений для повышения вовлеченности и стимулирования выполнения вредоносного ПО. Злоумышленники встраивают личные данные или контекстуально релевантные темы и настраивают имена вложений или загружаемых файлов; при публикации эти поля редактируются для защиты личных данных. Распространенные наблюдаемые методы включают размещение полезных данных на платформах обмена файлами, распространение архивов, защищенных паролем, для обхода защищенных шлюзов электронной почты, использование HTML‑вложений со встроенными ссылками, которые извлекают полезные данные, и предоставление кроссплатформенных RAT на основе Java или нативных RATS и средств кражи информации, которые обеспечивают кражу учетных данных и удаленный доступ для перепродажи.
Корреляция темы с вредоносным ПО: Электронные письма на тему ответов (30,58% отредактированных по теме образцов) чаще всего доставлял PikaBot, загрузчик / RAT, известный методами обхода "песочницы" и виртуальных машин, а также сбросом дополнительной полезной нагрузки. Сообщения финансовой тематики (21,90%) обычно доставляются jRAT; jRAT основан на Java и является кроссплатформенным, обеспечивая широкий удаленный доступ и сбор учетных записей. Выборки по финансам часто содержали PDF-файлы (9,43% электронных писем с отредактированной финансовой тематикой) и показали рост объема с 1 по 3 квартал 2024 года. Электронные письма на налоговую тематику (3,72%) часто ассоциировались с Remcos RAT, обычно размещаемыми в защищенных паролем архивах на файлообменных сайтах; Remcos реализует Регистрацию нажатий клавиш, эксфильтрацию файлов и может внедрять вторичное вредоносное ПО. Электронные письма на тему уведомлений (3,72%) содержали смешанное вредоносное ПО (не доминировало ни одно семейство), причем были замечены WSH RAT и jRAT; в 22% отредактированных по теме уведомлений образцов использовались HTML‑файлы со встроенными ссылками на скачивание, что коррелирует с поставками WSH RAT.
Remcos и jRAT были особенно привязаны к сообщениям, в которых имена загружаемых файлов были настроены индивидуально, причем пользовательские загрузки часто привязывались к приманкам финансовой тематики. В отчете подчеркивается, что RATs и похитители информации, доставляемые с помощью персонализированных приманок, примечательны в качестве источников первоначального доступа: украденные учетные данные или удаленный доступ часто передаются операторам программ‑вымогателей, поддерживая цепочку атак программ-вымогателей, несмотря на сбои в работе правоохранительных органов.
#ParsedReport #CompletenessMedium
14-08-2025
Inside the Robot: Deconstructing VexTrios Affiliate Advertising Platform
https://blogs.infoblox.com/threat-intelligence/inside-the-robot-deconstructing-vextrios-affiliate-advertising-platform/
Report completeness: Medium
Threats:
Vextrio
Cloaking_technique
Lospollos
Victims:
Adtech industry, Social media users
Industry:
Software_development, Entertainment
Geo:
Russian, Switzerland, Italian, Turkmenistan
ChatGPT TTPs:
T1036, T1071.001, T1102, T1204.001, T1583.001, T1583.003, T1583.004
IOCs:
Domain: 15
IP: 2
File: 3
Soft:
Binom, RollerAds, nginx, AdsBridge, Instagram
Languages:
javascript
Platforms:
arm
Links:
14-08-2025
Inside the Robot: Deconstructing VexTrios Affiliate Advertising Platform
https://blogs.infoblox.com/threat-intelligence/inside-the-robot-deconstructing-vextrios-affiliate-advertising-platform/
Report completeness: Medium
Threats:
Vextrio
Cloaking_technique
Lospollos
Victims:
Adtech industry, Social media users
Industry:
Software_development, Entertainment
Geo:
Russian, Switzerland, Italian, Turkmenistan
ChatGPT TTPs:
do not use without manual checkT1036, T1071.001, T1102, T1204.001, T1583.001, T1583.003, T1583.004
IOCs:
Domain: 15
IP: 2
File: 3
Soft:
Binom, RollerAds, nginx, AdsBridge, Instagram
Languages:
javascript
Platforms:
arm
Links:
https://github.com/infobloxopen/threat-intelligence/tree/mainInfoblox Blog
The Hidden Infrastructure Behind VexTrio's TDS
VexTrio's traffic distribution system (TDS) processes billons of transactions daily, powering digital fraud on a global scale. Here's how we unraveled it.
CTT Report Hub
#ParsedReport #CompletenessMedium 14-08-2025 Inside the Robot: Deconstructing VexTrios Affiliate Advertising Platform https://blogs.infoblox.com/threat-intelligence/inside-the-robot-deconstructing-vextrios-affiliate-advertising-platform/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
VexTrio запускает устойчивую TDS на основе Cloudflare/прозрачных прокси-серверов, распределенных по хостам с поддержкой Hetzner, AlexHost и CDN, используя nginx/HAProxy и массовые почтовые программы для обработки больших объемов. Стек DevOps включает в себя Terraform, Consul, Vault, Kubernetes, Proxmox, GitLab и Argo для быстрой оркестровки. Трекеры в стиле Binom обеспечивают обнаружение мошенничества, аналитику и cloaking; маскировщики IMKLO/IM GROUP уклоняются от сканеров, а ключевые домены CDN служат в качестве выключателей.
-----
Исследование выявило, что VexTrio управляет крупной, устойчивой Системой распределения трафика (TDS), которая намеренно является гибкой и временной, чтобы избежать обнаружения. Большая часть TDS скрыта за Cloudflare и прозрачными прокси-серверами; атрибуция была улучшена после привязки компонента под названием Los Pollos к URL-адресам VexTrio. Инфраструктура распределена между центрами обработки данных и хостинг-провайдерами, включая Hetzner и AlexHost, и использует CDN для масштабирования и резервирования.
Автоматизация и инструменты DevOps занимают центральное место в работе: продукты HashiCorp (Terraform, Consul, Vault) используются наряду с Kubernetes, Proxmox, GitLab и Argo для оркестрации и конвейерного управления. Стек поддерживается nginx и HAProxy и дополняется инфраструктурой массовой почтовой рассылки, что позволяет платформе обрабатывать чрезвычайно высокие объемы транзакций (миллиарды в день). Такое сочетание автоматизации, балансировки нагрузки и хостинга с поддержкой CDN обеспечивает надежную и быстро перемещаемую TDS.
Инфраструктура отслеживания использует трекеры в стиле Binom для мониторинга транзакций кампании и выявления мошенничества. Трекеры выполняют несколько функций: внешний монитор для обнаружения трафика ботов или обмана издателя / рекламодателя (например, “бритье”), аналитика кампаний для измерения рентабельности инвестиций и облегченная cloaking путем перенаправления пользователей на страницы-приманки на основе настраиваемых критериев. Таким образом, трекеры как поддерживают операции adtech, так и облегчают уклонение.
Для проведения кампаний в Социальных сетях VexTrio использует специальное программное обеспечение для маскировки, в частности IMKLO. Авторство разработчика указывает на Дмитрия Езипова и IM GROUP, которая продает такие инструменты, как IM Klo, IM Comments Cleaner, MaskFb и Keyof. Эти инструменты предназначены для скрытия вредоносной рекламы от сканеров безопасности, выявления причин отклонений социальных платформ для улучшения креативов, удаления негативных комментариев в социальных сетях и фильтрации входящего трафика ботов или сканеров.
Оперативный контроль включает в себя централизованные “выключатели” зависимостей: определенные домены CDN имеют решающее значение для вертикальных кампаний. Сбои в работе или недоступность этих доменов приводит к неработоспособности значительной части экосистемы, что указывает на проблемы, которые могут помешать проведению кампании.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
VexTrio запускает устойчивую TDS на основе Cloudflare/прозрачных прокси-серверов, распределенных по хостам с поддержкой Hetzner, AlexHost и CDN, используя nginx/HAProxy и массовые почтовые программы для обработки больших объемов. Стек DevOps включает в себя Terraform, Consul, Vault, Kubernetes, Proxmox, GitLab и Argo для быстрой оркестровки. Трекеры в стиле Binom обеспечивают обнаружение мошенничества, аналитику и cloaking; маскировщики IMKLO/IM GROUP уклоняются от сканеров, а ключевые домены CDN служат в качестве выключателей.
-----
Исследование выявило, что VexTrio управляет крупной, устойчивой Системой распределения трафика (TDS), которая намеренно является гибкой и временной, чтобы избежать обнаружения. Большая часть TDS скрыта за Cloudflare и прозрачными прокси-серверами; атрибуция была улучшена после привязки компонента под названием Los Pollos к URL-адресам VexTrio. Инфраструктура распределена между центрами обработки данных и хостинг-провайдерами, включая Hetzner и AlexHost, и использует CDN для масштабирования и резервирования.
Автоматизация и инструменты DevOps занимают центральное место в работе: продукты HashiCorp (Terraform, Consul, Vault) используются наряду с Kubernetes, Proxmox, GitLab и Argo для оркестрации и конвейерного управления. Стек поддерживается nginx и HAProxy и дополняется инфраструктурой массовой почтовой рассылки, что позволяет платформе обрабатывать чрезвычайно высокие объемы транзакций (миллиарды в день). Такое сочетание автоматизации, балансировки нагрузки и хостинга с поддержкой CDN обеспечивает надежную и быстро перемещаемую TDS.
Инфраструктура отслеживания использует трекеры в стиле Binom для мониторинга транзакций кампании и выявления мошенничества. Трекеры выполняют несколько функций: внешний монитор для обнаружения трафика ботов или обмана издателя / рекламодателя (например, “бритье”), аналитика кампаний для измерения рентабельности инвестиций и облегченная cloaking путем перенаправления пользователей на страницы-приманки на основе настраиваемых критериев. Таким образом, трекеры как поддерживают операции adtech, так и облегчают уклонение.
Для проведения кампаний в Социальных сетях VexTrio использует специальное программное обеспечение для маскировки, в частности IMKLO. Авторство разработчика указывает на Дмитрия Езипова и IM GROUP, которая продает такие инструменты, как IM Klo, IM Comments Cleaner, MaskFb и Keyof. Эти инструменты предназначены для скрытия вредоносной рекламы от сканеров безопасности, выявления причин отклонений социальных платформ для улучшения креативов, удаления негативных комментариев в социальных сетях и фильтрации входящего трафика ботов или сканеров.
Оперативный контроль включает в себя централизованные “выключатели” зависимостей: определенные домены CDN имеют решающее значение для вертикальных кампаний. Сбои в работе или недоступность этих доменов приводит к неработоспособности значительной части экосистемы, что указывает на проблемы, которые могут помешать проведению кампании.
#ParsedReport #CompletenessMedium
13-08-2025
Android.Backdoor.916.origin
https://vms.drweb.ru/virus/?i=30393608&lng=ru
Report completeness: Medium
Threats:
Anubis_stealer
Exobot
Victims:
Android users, Consumers
Industry:
Healthcare
Geo:
Russian
TTPs:
Tactics: 5
Technics: 25
IOCs:
File: 5
Hash: 1
Soft:
Android, Telegram, android.chrome, Google Chrome, Gmail, WhatsApp, Unix, Google Play
Algorithms:
sha1
Functions:
Random, getSMS
Languages:
kotlin
Links:
13-08-2025
Android.Backdoor.916.origin
https://vms.drweb.ru/virus/?i=30393608&lng=ru
Report completeness: Medium
Threats:
Anubis_stealer
Exobot
Victims:
Android users, Consumers
Industry:
Healthcare
Geo:
Russian
TTPs:
Tactics: 5
Technics: 25
IOCs:
File: 5
Hash: 1
Soft:
Android, Telegram, android.chrome, Google Chrome, Gmail, WhatsApp, Unix, Google Play
Algorithms:
sha1
Functions:
Random, getSMS
Languages:
kotlin
Links:
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.Backdoor.916.origin/README.adocDr.Web
Android.Backdoor.916.origin — Как быстро найти вирус в вирусной базе антивируса Dr.Web
Бэкдор для устройств под управлением ОС Android, написанный на языке Kotlin. Выполняет множество вредоносных действий по команде злоумышленников и используется для похищения ...
CTT Report Hub
#ParsedReport #CompletenessMedium 13-08-2025 Android.Backdoor.916.origin https://vms.drweb.ru/virus/?i=30393608&lng=ru Report completeness: Medium Threats: Anubis_stealer Exobot Victims: Android users, Consumers Industry: Healthcare Geo: Russian TTPs:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Андроид.Backdoor.916.origin - это встроенный в Kotlin бэкдор для Android, замаскированный под поддельные антивирусные приложения, нацеленный на российских пользователей, использующий обман пользовательского интерфейса и, вероятно, распространяемый через сторонние магазины. Он реализует канал C2 для выполнения команд злоумышленника для сбора данных и эксфильтрации и имитирует антивирусное сканирование, генерируя запрограммированные ложные срабатывания. Вероятность ложноположительного результата увеличивается со временем, прошедшим с момента последнего имитированного сканирования, но не превышает 30%, и приложение использует типичную упаковку Kotlin / DEX для Android.
-----
Андроид.Backdoor.916.origin - это написанный на Kotlin бэкдор, предназначенный для устройств Android и используемый для кибершпионажа и кражи конфиденциальных данных. Вредоносное ПО распространяется в виде мошеннических антивирусных приложений, нацеленных на российских пользователей, использующих антивирусный маскарад, чтобы представить безвредный пользовательский интерфейс и заставить жертв социальной инженерии установить его и довериться.
В оперативном плане бэкдор реализует модель управления: он принимает и выполняет команды, выданные злоумышленником, для выполнения множества вредоносных действий, в первую очередь сбора данных и эксфильтрации. При обычном использовании оно намеренно имитирует антивирусную проверку; приложение генерирует запрограммированные "обнаружения" в виде ложных срабатываний, чтобы поддержать версию о поддельном антивирусе. Вероятность обнаружения зависит от времени, прошедшего с момента последнего имитируемого сканирования (увеличивается со временем), но явно ограничена 30%, что указывает на встроенную логику, позволяющую сбалансировать правдоподобие и избежать очевидных повторений.
Технические показатели включают реализацию Kotlin (подразумевающую типичную упаковку Android и байт-код DEX) и использование обмана на уровне пользовательского интерфейса (поддельные результаты сканирования). Распространение через поддельные приложения для обеспечения безопасности предполагает использование социальной инженерии и потенциальной дополнительной загрузки или сторонних магазинов приложений, а не официальных механизмов маркетплейса. Сочетание удаленного выполнения команд, целей кражи данных и Имперсонации законного программного обеспечения безопасности обеспечивает постоянную шпионскую деятельность и затрудняет обнаружение пользователями, которые доверяют очевидной функции приложения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Андроид.Backdoor.916.origin - это встроенный в Kotlin бэкдор для Android, замаскированный под поддельные антивирусные приложения, нацеленный на российских пользователей, использующий обман пользовательского интерфейса и, вероятно, распространяемый через сторонние магазины. Он реализует канал C2 для выполнения команд злоумышленника для сбора данных и эксфильтрации и имитирует антивирусное сканирование, генерируя запрограммированные ложные срабатывания. Вероятность ложноположительного результата увеличивается со временем, прошедшим с момента последнего имитированного сканирования, но не превышает 30%, и приложение использует типичную упаковку Kotlin / DEX для Android.
-----
Андроид.Backdoor.916.origin - это написанный на Kotlin бэкдор, предназначенный для устройств Android и используемый для кибершпионажа и кражи конфиденциальных данных. Вредоносное ПО распространяется в виде мошеннических антивирусных приложений, нацеленных на российских пользователей, использующих антивирусный маскарад, чтобы представить безвредный пользовательский интерфейс и заставить жертв социальной инженерии установить его и довериться.
В оперативном плане бэкдор реализует модель управления: он принимает и выполняет команды, выданные злоумышленником, для выполнения множества вредоносных действий, в первую очередь сбора данных и эксфильтрации. При обычном использовании оно намеренно имитирует антивирусную проверку; приложение генерирует запрограммированные "обнаружения" в виде ложных срабатываний, чтобы поддержать версию о поддельном антивирусе. Вероятность обнаружения зависит от времени, прошедшего с момента последнего имитируемого сканирования (увеличивается со временем), но явно ограничена 30%, что указывает на встроенную логику, позволяющую сбалансировать правдоподобие и избежать очевидных повторений.
Технические показатели включают реализацию Kotlin (подразумевающую типичную упаковку Android и байт-код DEX) и использование обмана на уровне пользовательского интерфейса (поддельные результаты сканирования). Распространение через поддельные приложения для обеспечения безопасности предполагает использование социальной инженерии и потенциальной дополнительной загрузки или сторонних магазинов приложений, а не официальных механизмов маркетплейса. Сочетание удаленного выполнения команд, целей кражи данных и Имперсонации законного программного обеспечения безопасности обеспечивает постоянную шпионскую деятельность и затрудняет обнаружение пользователями, которые доверяют очевидной функции приложения.
#ParsedReport #CompletenessHigh
13-08-2025
Cato CTRL Threat Research: Oyster Malware Loader Targets Tech-Savvy Users with Smarter Techniques During Summer Malvertising Campaign
https://www.catonetworks.com/blog/cato-ctrl-oyster-malware-campaign/
Report completeness: High
Threats:
Oyster
Putty_tool
Typosquatting_technique
Rhysida
Junk_code_technique
Stealthloader
Lolbin_technique
Victims:
Technical users, It administrators
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1071.001, T1105, T1202
IOCs:
Domain: 2
File: 5
Command: 1
IP: 1
Hash: 2
Soft:
Microsoft Teams, WordPress
Algorithms:
sha256
Win API:
InternetOpenW, DllRegisterServer
13-08-2025
Cato CTRL Threat Research: Oyster Malware Loader Targets Tech-Savvy Users with Smarter Techniques During Summer Malvertising Campaign
https://www.catonetworks.com/blog/cato-ctrl-oyster-malware-campaign/
Report completeness: High
Threats:
Oyster
Putty_tool
Typosquatting_technique
Rhysida
Junk_code_technique
Stealthloader
Lolbin_technique
Victims:
Technical users, It administrators
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1071.001, T1105, T1202
IOCs:
Domain: 2
File: 5
Command: 1
IP: 1
Hash: 2
Soft:
Microsoft Teams, WordPress
Algorithms:
sha256
Win API:
InternetOpenW, DllRegisterServer
Cato Networks
Cato CTRL™ Threat Research: Oyster Malware Loader Targets Tech-Savvy Users with Smarter Techniques During Summer Malvertising Campaign
Cato CTRL recently observed a new malvertising campaign from Oyster, which is a malware loader used in malicious activities. Cato customers? Already protected.
CTT Report Hub
#ParsedReport #CompletenessHigh 13-08-2025 Cato CTRL Threat Research: Oyster Malware Loader Targets Tech-Savvy Users with Smarter Techniques During Summer Malvertising Campaign https://www.catonetworks.com/blog/cato-ctrl-oyster-malware-campaign/ Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Oyster (2025) - это модульный загрузчик DLL, который извлекает модули по запросу из облачных CDN, маскируя доставку под трафик плагинов / обновлений с помощью Вредоносной рекламы и поддельных загрузок, предназначенных для администратора. C2 работает по путям CDN с поддельными пользовательскими агентами (наблюдаемый “WordPressAgent”), необычными HTTP-заголовками и жестко закодированным резервным IP-адресом, подавая сигнал примерно каждые 3 минуты. Evasion использует GDI no-ops, junk /padding для уклонения от статического / эвристического обнаружения и выполнения через LOLBins (rundll32.exe , conhost.exe ).
-----
Oyster в 2025 году - это модульный загрузчик DLL во время выполнения, который позволяет избежать встраивания полезных нагрузок; вместо этого он извлекает библиотеки DLL по запросу из облачных путей доставки, Маскировка передачи под трафик плагинов или обновлений через законную инфраструктуру CDN. Коммуникации C2 перешли от простых доменных трюков к облачным CDN-путям с поддельными пользовательскими агентами и подозрительными заголовками (наблюдается “WordPressAgent”), а загрузчик также содержит жестко закодированный IP-адрес, который может использоваться для вторичной связи или резервного копирования. В ходе этой кампании использовалась Вредоносная реклама и поддельные загрузки, ориентированные на технически подкованных пользователей и администраторов, а не на широкое распространение среди потребителей.
Методы уклонения включают преднамеренное Bloat кода и графические операции без операций: загрузчик выполняет обширные вызовы интерфейса графического устройства (GDI) (смена кисти, палитры, перемещения пера), чтобы увеличить объем импорта и замаскировать вредоносную логику среди подпрограмм графического интерфейса, выглядящих безобидно. Большие объемы junk code и дополнений направлены на то, чтобы обойти статические сигнатуры и увеличить сложность эвристического анализа. Использование облачных CDN и имитируемое поведение при обновлении используются для смешивания вредоносного трафика с законной доставкой контента, снижая вероятность обнаружения по сети.
Поведение в режиме закрепления и управления более агрессивно: выполнение и подача сигналов происходит с трехминутной периодичностью для поддержания жесткого дистанционного контроля и устойчивости. Загрузчик полагается на двоичные файлы Living-Off-The-Land для выполнения и уклонения, в частности, используя rundll32.exe и conhost.exe для запуска выбранных модулей, помогающих обойти традиционные средства обнаружения AV/EDR. Индикаторы включают частые маяки с короткими интервалами, доставку DLL, замаскированную под обновления плагинов по CDN, поддельные пользовательские агенты, необычные HTTP-заголовки и наличие жестко закодированного резервного IP-адреса. Никаких эксплойтов zero-day замечено не было; кампания делает упор на скрытую доставку, модульность во время выполнения и многоуровневое уклонение, а не на цепочку эксплойтов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Oyster (2025) - это модульный загрузчик DLL, который извлекает модули по запросу из облачных CDN, маскируя доставку под трафик плагинов / обновлений с помощью Вредоносной рекламы и поддельных загрузок, предназначенных для администратора. C2 работает по путям CDN с поддельными пользовательскими агентами (наблюдаемый “WordPressAgent”), необычными HTTP-заголовками и жестко закодированным резервным IP-адресом, подавая сигнал примерно каждые 3 минуты. Evasion использует GDI no-ops, junk /padding для уклонения от статического / эвристического обнаружения и выполнения через LOLBins (rundll32.exe , conhost.exe ).
-----
Oyster в 2025 году - это модульный загрузчик DLL во время выполнения, который позволяет избежать встраивания полезных нагрузок; вместо этого он извлекает библиотеки DLL по запросу из облачных путей доставки, Маскировка передачи под трафик плагинов или обновлений через законную инфраструктуру CDN. Коммуникации C2 перешли от простых доменных трюков к облачным CDN-путям с поддельными пользовательскими агентами и подозрительными заголовками (наблюдается “WordPressAgent”), а загрузчик также содержит жестко закодированный IP-адрес, который может использоваться для вторичной связи или резервного копирования. В ходе этой кампании использовалась Вредоносная реклама и поддельные загрузки, ориентированные на технически подкованных пользователей и администраторов, а не на широкое распространение среди потребителей.
Методы уклонения включают преднамеренное Bloat кода и графические операции без операций: загрузчик выполняет обширные вызовы интерфейса графического устройства (GDI) (смена кисти, палитры, перемещения пера), чтобы увеличить объем импорта и замаскировать вредоносную логику среди подпрограмм графического интерфейса, выглядящих безобидно. Большие объемы junk code и дополнений направлены на то, чтобы обойти статические сигнатуры и увеличить сложность эвристического анализа. Использование облачных CDN и имитируемое поведение при обновлении используются для смешивания вредоносного трафика с законной доставкой контента, снижая вероятность обнаружения по сети.
Поведение в режиме закрепления и управления более агрессивно: выполнение и подача сигналов происходит с трехминутной периодичностью для поддержания жесткого дистанционного контроля и устойчивости. Загрузчик полагается на двоичные файлы Living-Off-The-Land для выполнения и уклонения, в частности, используя rundll32.exe и conhost.exe для запуска выбранных модулей, помогающих обойти традиционные средства обнаружения AV/EDR. Индикаторы включают частые маяки с короткими интервалами, доставку DLL, замаскированную под обновления плагинов по CDN, поддельные пользовательские агенты, необычные HTTP-заголовки и наличие жестко закодированного резервного IP-адреса. Никаких эксплойтов zero-day замечено не было; кампания делает упор на скрытую доставку, модульность во время выполнения и многоуровневое уклонение, а не на цепочку эксплойтов.
#ParsedReport #CompletenessMedium
12-08-2025
Malvertising campaign leads to PS1Bot, a multi-stage malware framework
https://blog.talosintelligence.com/ps1bot-malvertising-campaign/
Report completeness: Medium
Threats:
Ps1bot
Ahkbot
Skitnet
Seo_poisoning_technique
Victims:
General users
Industry:
Foodtech, Financial
Geo:
Canadian, Czech
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1005, T1027, T1041, T1047, T1053.005, T1056.001, T1059.001, T1059.007, T1082, T1105, have more...
IOCs:
File: 2
Soft:
Google Chrome, Chromium, Kometa, Microsoft Edge, 7Star, Maxthon, Opera, Netbox, Orbitum, Vivaldi, have more...
Wallets:
metamask, trezor, atomicwallet, bitkeep_wallet, coinbase, xverse_wallet, exodus_wallet, coin98, kardiachain, terra_station, have more...
Crypto:
binance, uniswap, ethereum
Algorithms:
zip, base64
Functions:
Sleep, SetWindowsHookEx
Languages:
jscript, powershell
Links:
12-08-2025
Malvertising campaign leads to PS1Bot, a multi-stage malware framework
https://blog.talosintelligence.com/ps1bot-malvertising-campaign/
Report completeness: Medium
Threats:
Ps1bot
Ahkbot
Skitnet
Seo_poisoning_technique
Victims:
General users
Industry:
Foodtech, Financial
Geo:
Canadian, Czech
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1041, T1047, T1053.005, T1056.001, T1059.001, T1059.007, T1082, T1105, have more...
IOCs:
File: 2
Soft:
Google Chrome, Chromium, Kometa, Microsoft Edge, 7Star, Maxthon, Opera, Netbox, Orbitum, Vivaldi, have more...
Wallets:
metamask, trezor, atomicwallet, bitkeep_wallet, coinbase, xverse_wallet, exodus_wallet, coin98, kardiachain, terra_station, have more...
Crypto:
binance, uniswap, ethereum
Algorithms:
zip, base64
Functions:
Sleep, SetWindowsHookEx
Languages:
jscript, powershell
Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2025/08/ps1bot-malvertising-campaign.txtCisco Talos
Malvertising campaign leads to PS1Bot, a multi-stage malware framework
Cisco Talos has observed an ongoing malware campaign that seeks to infect victims with a multi-stage malware framework, implemented in PowerShell and C#, which we are referring to as “PS1Bot.”
CTT Report Hub
#ParsedReport #CompletenessMedium 12-08-2025 Malvertising campaign leads to PS1Bot, a multi-stage malware framework https://blog.talosintelligence.com/ps1bot-malvertising-campaign/ Report completeness: Medium Threats: Ps1bot Ahkbot Skitnet Seo_poisoning_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная реклама/SEO-отравление предоставляет многоступенчатый фреймворк PowerShell/C# с именем PS1Bot через сжатые архивы с названием SEO, которые выполняют скриптлеты JScript, извлеченные из C2, контролируемого злоумышленником. Модульный инструмент компилирует и загружает классы C# в память, чтобы избежать артефактов на диске, и включает в себя AV-перечисление на основе WMI, Захват экрана, кейлоггер / кражу буфера обмена, похититель файлов / кошельков с использованием встроенных списков слов и телеметрию системного опроса. Активный с начала 2025 года, он восстанавливает закрепление для доставки модулей, управляемых C2, и эксфильтрации; код и инфраструктура дублируют шаблоны AHK, подобные PowerShell, и Skitnet/Bossnet (соответствие конструкции URL-адреса C2 и общим переменным), что указывает на вероятного общего автора.
-----
Исследователи наблюдали активную кампанию по Вредоносной рекламе/SEO-отравлению, в ходе которой был внедрен многоэтапный фреймворк PowerShell/C# для вредоносного ПО, получивший название "PS1Bot". Первоначальная доставка представляет собой сжатый архив с именами файлов, ориентированными на SEO; выполнение извлекает и запускает скриптлет JScript с сервера, контролируемого злоумышленником, чтобы начать цепочку. Фреймворк является модульным и предназначен для выполнения в памяти и компиляции во время выполнения, чтобы свести к минимуму артефакты на диске: этапы PowerShell динамически компилируют и загружают классы C# в сборки (библиотеки DLL) во время выполнения вместо записи постоянной полезной нагрузки на диск.
Компоненты, защищающие от компрометации, включают в себя антивирусный модуль перечисления, который запрашивает WMI для перечисления установленных AV-продуктов, модуль захвата экрана, который делает скриншоты и отправляет их в C2, кейлоггер и модуль захвата буфера обмена, реализованный с помощью динамически скомпилированных сборок C#, и "граббер"-похититель информации, нацеленный на конфиденциальные файлы. Похититель встраивает списки слов для перечисления файлов, которые, вероятно, содержат пароли и начальные фразы криптовалюты, и пытается извлечь данные кошелька для эксфильтрации. Модуль обследования системы ("WMIComputerCSHARP") собирает телеметрию хоста и окружающей среды и отправляет отчеты обратно в C2. Модуль закрепления может повторно установить основной механизм зацикливания после перезагрузки или завершения сеанса, чтобы восстановить связь C2 и обеспечить доставку последующих модулей.
Инфраструктура C2 используется для выборки скриптлетов, доставки модулей и эксфильтрации данных. Кампания, активная с начала 2025 года, с частыми новыми образцами, подчеркивает скрытность за счет выполнения в памяти и минимального количества постоянных артефактов. Код и инфраструктура демонстрируют совпадения с ранее описанными инструментами (проекты PowerShell, подобные AHK-ботам, и шаблоны доставки Skitnet/Bossnet), включая сопоставление построения URL-адресов C2, общие переменные и вероятного общего автора для окончательной полезной нагрузки закрепления Деобфускации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная реклама/SEO-отравление предоставляет многоступенчатый фреймворк PowerShell/C# с именем PS1Bot через сжатые архивы с названием SEO, которые выполняют скриптлеты JScript, извлеченные из C2, контролируемого злоумышленником. Модульный инструмент компилирует и загружает классы C# в память, чтобы избежать артефактов на диске, и включает в себя AV-перечисление на основе WMI, Захват экрана, кейлоггер / кражу буфера обмена, похититель файлов / кошельков с использованием встроенных списков слов и телеметрию системного опроса. Активный с начала 2025 года, он восстанавливает закрепление для доставки модулей, управляемых C2, и эксфильтрации; код и инфраструктура дублируют шаблоны AHK, подобные PowerShell, и Skitnet/Bossnet (соответствие конструкции URL-адреса C2 и общим переменным), что указывает на вероятного общего автора.
-----
Исследователи наблюдали активную кампанию по Вредоносной рекламе/SEO-отравлению, в ходе которой был внедрен многоэтапный фреймворк PowerShell/C# для вредоносного ПО, получивший название "PS1Bot". Первоначальная доставка представляет собой сжатый архив с именами файлов, ориентированными на SEO; выполнение извлекает и запускает скриптлет JScript с сервера, контролируемого злоумышленником, чтобы начать цепочку. Фреймворк является модульным и предназначен для выполнения в памяти и компиляции во время выполнения, чтобы свести к минимуму артефакты на диске: этапы PowerShell динамически компилируют и загружают классы C# в сборки (библиотеки DLL) во время выполнения вместо записи постоянной полезной нагрузки на диск.
Компоненты, защищающие от компрометации, включают в себя антивирусный модуль перечисления, который запрашивает WMI для перечисления установленных AV-продуктов, модуль захвата экрана, который делает скриншоты и отправляет их в C2, кейлоггер и модуль захвата буфера обмена, реализованный с помощью динамически скомпилированных сборок C#, и "граббер"-похититель информации, нацеленный на конфиденциальные файлы. Похититель встраивает списки слов для перечисления файлов, которые, вероятно, содержат пароли и начальные фразы криптовалюты, и пытается извлечь данные кошелька для эксфильтрации. Модуль обследования системы ("WMIComputerCSHARP") собирает телеметрию хоста и окружающей среды и отправляет отчеты обратно в C2. Модуль закрепления может повторно установить основной механизм зацикливания после перезагрузки или завершения сеанса, чтобы восстановить связь C2 и обеспечить доставку последующих модулей.
Инфраструктура C2 используется для выборки скриптлетов, доставки модулей и эксфильтрации данных. Кампания, активная с начала 2025 года, с частыми новыми образцами, подчеркивает скрытность за счет выполнения в памяти и минимального количества постоянных артефактов. Код и инфраструктура демонстрируют совпадения с ранее описанными инструментами (проекты PowerShell, подобные AHK-ботам, и шаблоны доставки Skitnet/Bossnet), включая сопоставление построения URL-адресов C2, общие переменные и вероятного общего автора для окончательной полезной нагрузки закрепления Деобфускации.
#ParsedReport #CompletenessLow
13-08-2025
Threat Bulletin: Fire in the Woods A New Variant of FireWood
https://intezer.com/blog/threat-bulletin-firewood/
Report completeness: Low
Actors/Campaigns:
Toohash
Gelsemium
Threats:
Firewood
Project_wood
Geo:
Israel, Philippines, China, Iran
IOCs:
File: 1
Soft:
Linux
Algorithms:
sha256
Functions:
SavePidAndCheckKernel, CheckLkmLoad, ConnectToSvr, SetAutoKillEl, HideModule
13-08-2025
Threat Bulletin: Fire in the Woods A New Variant of FireWood
https://intezer.com/blog/threat-bulletin-firewood/
Report completeness: Low
Actors/Campaigns:
Toohash
Gelsemium
Threats:
Firewood
Project_wood
Geo:
Israel, Philippines, China, Iran
IOCs:
File: 1
Soft:
Linux
Algorithms:
sha256
Functions:
SavePidAndCheckKernel, CheckLkmLoad, ConnectToSvr, SetAutoKillEl, HideModule
Intezer
Threat Bulletin: Fire in the Woods – A New Variant of FireWood
A new variant of the FireWood backdoor was discovered by Intezer's Research Team, with some changes in the implementation and configuration.