#ParsedReport #CompletenessMedium
19-08-2025

Noodlophile Stealer Evolves: Targeted Copyright Phishing Hits Enterprises with Social Media Footprints

https://www.morphisec.com/blog/noodlophile-stealer-evolves-targeted-copyright-phishing-hits-enterprises-with-social-media-footprints/

Report completeness: Medium

Actors/Campaigns:
Copyrhight_adamantys

Threats:
Noodlophile_stealer
Spear-phishing_technique
Rhadamanthys
Dll_sideloading_technique
Lolbin_technique

Victims:
Enterprises, Social media marketing

Geo:
Apac, Latvian, Polish, Spanish

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059, T1059.003, T1059.006, T1071.001, T1102, T1105, T1217, T1486, T1566.001, have more...

IOCs:
File: 5
Registry: 1
Url: 25
Hash: 19

Soft:
Telegram, Gmail, dropbox, Event Tracing for Windows, Chrome, Opera

Algorithms:
zip, base64

Win API:
RmStartSession

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Noodlophile запускает целенаправленный Целевой фишинг, используя собранные идентификаторы страниц Facebook и информацию о владельце, рассылая многоязычные приманки для защиты авторских прав с помощью искусственного интеллекта. Он злоупотребляет подписанными приложениями с помощью боковой загрузки библиотеки DLL для распаковки архивов, выявления запутанных BAT и переносимого Python для установления закрепления и развертывания окончательного Stealer. Скрипты извлекают URL-адреса динамической полезной нагрузки из описаний Telegram; в коде есть заполнители для скриншотов, Регистрации нажатий клавиш, эксфильтрации, разведки и сбора артефактов браузера.
-----

Кампания Noodlophile, действующая уже более года, перешла от обычных поддельных видео-приманок с искусственным интеллектом к высоконаправленному Целевому фишингу, который использует предприятия с заметным влиянием в Facebook. Злоумышленники проводят разведку, чтобы собрать такие данные, как идентификаторы конкретных страниц Facebook и информацию о владельцах компаний, а затем отправляют многоязычные персонализированные уведомления о нарушении авторских прав, призванные побудить к срочному взаимодействию. Приманки могут быть сгенерированы искусственным интеллектом или с помощью ИИ для повышения реалистичности.

При доставке используются законные, подписанные приложения, которые подвержены боковой загрузке DLL—файлов - наблюдаемые примеры включают Haihaisoft PDF Reader и некоторые утилиты для конвертации Excel. Злоумышленники упаковывают вредоносные библиотеки DLL в архивы; при боковой загрузке эти библиотеки DLL переименовывают содержимое архива (файлы, Маскировка под .pptx/.docx/.pdf), чтобы предоставить доступ к скриптам BAT и портативному интерпретатору Python. Эти промежуточные артефакты обеспечивают закрепление и связывают начальное выполнение с заключительной стадией перехвата.

Сценарии BAT и command более сильно запутаны, чем в предыдущих итерациях. Вместо жестко закодированных URL-адресов загрузки скрипты извлекают динамические местоположения полезной нагрузки из поля описания группы Telegram, обеспечивая гибкую промежуточную обработку и усложняя удаление. Двоичные файлы Final stealer были размещены на бесплатных сервисах paste (например, paste.rs ), тактика, которая сокращает накладные расходы на инфраструктуру и площадь обнаружения.

Анализ кодовой базы Noodlophile показывает несколько незавершенных функций, указывающих на планируемое расширение возможностей: захват скриншотов, Регистрация нажатий клавиш, сбор файлов/эксфильтрация, мониторинг процессов, разведка сети, перечисление расширений браузера, шифрование файлов и извлечение истории браузера. Эти заполнители указывают на то, что вредоносное ПО является модульным и активно разрабатывается для расширения возможностей кражи данных и закрепления. В целом, кампания сочетает в себе целевую социальную инженерию, DLL side-loading для приложений с доверенной подписью, многоэтапную маскировку и динамическую постановку на основе Telegram, чтобы избежать обнаружения и способствовать быстрой эволюции.

#ParsedReport #CompletenessLow
18-08-2025

Dissecting PipeMagic: Inside the architecture of a modular backdoor framework

https://www.microsoft.com/en-us/security/blog/2025/08/18/dissecting-pipemagic-inside-the-architecture-of-a-modular-backdoor-framework/

Report completeness: Low

Actors/Campaigns:
Storm-2460 (motivation: financially_motivated)

Threats:
Pipemagic

Geo:
America, Middle east

CVEs:
CVE-2025-29824 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20978)
- microsoft windows_10_1607 (<10.0.14393.7969)
- microsoft windows_10_1809 (<10.0.17763.7136)
- microsoft windows_10_21h2 (<10.0.19044.5737)
- microsoft windows_10_22h2 (<10.0.19045.5737)
have more...

ChatGPT TTPs:
do not use without manual check
T1041, T1068, T1071, T1105, T1127.001, T1620

IOCs:
Domain: 2
Hash: 3

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, ChatGPT, Twitter

Algorithms:
deflate, xor, rc4, gzip, sha256, sha1

Win API:
NetBIOS

Platforms:
x64

Links:
https://github.com/lencx/ChatGPT

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PipeMagic - это бэкдор в памяти, связанный с Storm-2460, поставляемый через certutil/MSBuild, использующий CVE-2025-29824, при этом акторы используют связанный с CLFS эксплойт для повышения привилегий. Он реализует четыре двусвязных списка — полезные нагрузки (необработанный PE), конфигурация, сетевые модули и список "неизвестно" — и генерирует 16-байтовый идентификатор хоста. Сетевые модули (три экспорта) обрабатывают C2, извлекают системное/внутреннее состояние и анализируют внешние коды 0x1 (выполнение внутренних команд/полезной нагрузки) и 0x8 (взаимодействие с неизвестным списком).
-----

PipeMagic - это модульный бэкдор в памяти, приписываемый Storm-2460 и поставляемый в рамках подготовки к эксплуатации, связанной с CVE-2025-29824. Актор использовал certutil для извлечения вредоносного файла MSBuild с взломанного законного веб-сайта; полезная нагрузка MSBuild удаляется и выполняется PipeMagic непосредственно в памяти. После выполнения актор использует эксплойт, связанный с CLFS, для повышения привилегий перед развертыванием Ransomware.

Бэкдор построен на основе четырех различных структур двусвязных списков, которые разделяют функциональность. Один связанный список управляет модулями полезной нагрузки: каждый узел содержит полезную нагрузку, сохраненную в виде необработанного образа Windows PE. Перед инициализацией этого списка вредоносное ПО генерирует 16-байтовый случайный идентификатор бота, уникальный для хоста. Отдельная структура конфигурации содержит рабочие параметры. Список, связанный с сетью, содержит сетевые модули, ответственные за связь C2; сама PipeMagic делегирует сетевую связь этим модулям, а не обменивается данными напрямую. На четвертый связанный список ссылаются как на “неизвестный” список, на который некоторые команды специально нацелены.

Когда сетевой модуль запускается, он экспортирует и регистрирует небольшой набор внутренних функций (три экспорта) для использования основным Backdoor. Сетевой модуль устанавливает канал C2, и после подключения бэкдор собирает и отправляет на сервер полный набор информации о системе и внутреннем состоянии. Ответы C2 анализируются для извлечения внешней команды обработки, которая определяет, как обрабатывается ответ. Код обработки 0x1 содержит внутренние команды и аргументы бэкдора, которые позволяют выполнять широкий спектр операций, включая выполнение полезных нагрузок из связанного списка полезных данных. Код обработки 0x8 аналогично содержит внутренний код/данные, но предназначен для взаимодействия с неизвестным связанным списком. Дизайн подчеркивает модульность, выполнение в памяти и делегирование сетевых функций взаимозаменяемым модулям.

#ParsedReport #CompletenessHigh
19-08-2025

Pay2Keys Resurgence

https://engage.morphisec.com/hubfs/Pay2Key_Iranian_Cyber_Warfare_Targets_the_West_Whitepaper.pdf

Report completeness: High

Actors/Campaigns:
Fox_kitten

Threats:
Pay2key
Mimic_ransomware
Defendnot_tool
Themida_tool
Timebomb_technique
Uac_bypass_technique

Industry:
Petroleum, Military

Geo:
Russian, Iran, Israel, Iranian, Usa, American, Chinese

TTPs:
Tactics: 3
Technics: 0

IOCs:
File: 27
Command: 1
Path: 2
Registry: 1
Hash: 8
Domain: 1

Soft:
Windows Defender, Windows Security Center, Microsoft Defender, Twitter, Telegram, unix

Algorithms:
xor, curve25519, chacha20, 7zip

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Pay2Key.I2P (связанный с Fox Kitten) - это возрожденный RaaS, повторно использующий компоненты Mimic и предоставляющий аффилированным лицам панель мониторинга для создания пользовательских шифровальщиков и управления кошельками. При доставке используются доброкачественные файлы и многоуровневые скрипты, которые извлекают data2.bin/data3.bin и запускают enc-build.exe (Защищенный Фемидой имитационный вариант с несколькими встроенными ключами). Evasion использует гибридный трюк с комментариями CMD/PowerShell, спящий режим \~10 секунд, затем самоудаление; переименованный powrprof (NoDefender) изменяет реестр, чтобы отключить Defender; в нем отсутствует самораспространение.
-----

Pay2Key.I2P - это возрожденный связанный с Ираном RaaS, привязанный к Fox Kitten и наблюдаемый за повторным использованием или включением компонентов Mimic ransomware. Операторы рекламировали услугу на русскоязычных и китайскоязычных форумах даркнета и на X с января 2025 года, привлекая партнеров с помощью веб-панели мониторинга, которая выдает уникальные идентификаторы оператора, позволяет партнерам создавать пользовательские шифровальщики, настраивать криптовалютные кошельки и общаться с жертвами. Банда сообщила о более чем 50 успешных выплатах и \~ 4 миллионах долларов выкупа в течение четырех месяцев. Были замечены операторы, предлагающие льготное распределение доходов (80% против 70%) для акторов, нацеленных на определенных геополитических противников.

Техническая цепочка: при первоначальной доставке используются безобидные на вид файлы и многоуровневые скрипты/инструменты для сокрытия намерений, затем извлекаются связанные двоичные файлы (data2.bin/data3.bin), отключается защита конечных точек и, наконец, развертывается шифровальщик, производный от Mimic. Развертывание полезной нагрузки включает в себя выполнение enc-build.exe (Mimic encryptor), который защищен с помощью Themida, что усложняет статический анализ и распаковку. Mimic поддерживает режимы шифрования и не-шифрования; шифровальщик встраивает несколько “ключей” и выбирает один случайным образом при запуске. Инструменты восстановления расшифровывают только файлы, зашифрованные одним и тем же ключом; операторам дается указание управлять стеками ключей или конфигурациями с одним ключом в зависимости от желаемой области восстановления.

Уклонение и закрепление: установщики используют трюк с гибридным сценарием CMD/PowerShell, заключающий логику CMD в разделители комментариев в стиле PowerShell, поэтому PowerShell пропускает разделы CMD, а затем повторно вызывает себя в PowerShell. Скрипт устанавливает переменные среды, распаковывает и исправляет большие двоичные объекты данных, запускает программу-вымогатель, ожидает (≈10 секунд) и самоудаляется, чтобы свести к минимуму следы криминалистической проверки и избежать “песочниц” (был отмечен метод "раннего завершения" обхода "песочницы"). После извлечения переименованный “powrprof/powerprof.exe ” двоичный файл (копия NoDefender) вносит изменения в реестр, чтобы отключить Microsoft Defender. RaaS не распространяется самостоятельно; ожидается, что филиалы запустят шифровальщик на каждом целевом хосте, чтобы повлиять на сети.

#ParsedReport #CompletenessHigh
19-08-2025

The Coordinated Embassy Hunt: Unmasking the DPRK-linked GitHub C2 Espionage Campaign

https://www.trellix.com/blogs/research/dprk-linked-github-c2-espionage-campaign/

Report completeness: High

Actors/Campaigns:
Kimsuky (motivation: cyber_espionage)
Deep_drive

Threats:
Spear-phishing_technique
Xenorat
Confuser_tool
Moonpeak

Victims:
Embassies, Foreign ministries, Diplomatic missions

Industry:
Petroleum, Military, Healthcare, Education

Geo:
Poland, Russian, America, Koreas, Asia, Korean, French, China, North korean, Iranian, Polish, American, Chinese, North korea, Dprk, Russia, Iran, Korea

TTPs:
Tactics: 6
Technics: 24

IOCs:
File: 24
IP: 6
Domain: 1
Hash: 30
Url: 6

Soft:
Dropbox, Gmail, Chrome, Windows Defender, Task Scheduler

Algorithms:
gzip, zip, sha256, base64, md5

Win API:
Arc

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Март–июль 2025 Целевой фишинг, связанный с КНДР, отправлял почтовые сообщения с паролем .сочетания клавиш lnk для запуска запутанного PowerShell, который декодировал полезные нагрузки base64 в памяти, собирал данные хоста и поддерживал закрепление. Используемый загрузчик raw.githubusercontent.com и GitHub Contents API с жестко закодированными токенами для извлечения и эксфильтрации через PUT, ссылающийся на измененные URL-адреса Dropbox. Полезной нагрузкой был GZIP .Сетевые сборки загружаются в память в виде запутанного XenoRAT (mutex Dansweit_Hk65-PSAccerdle), обеспечивающего Регистрацию нажатий клавиш, скриншоты, камеру/ микрофон, передачу файлов и удаленную оболочку.
-----

В период с марта по июль 2025 года операторы, предположительно связанные с КНДР, провели по меньшей мере 19 целенаправленных атак с использованием Целевого фишинга против сотрудников посольства и министерства иностранных дел в Сеуле. Приманки выдавали себя за дипломатов и сотрудников протокола и доставляли защищенные паролем ZIP-архивы по облачным ссылкам (Dropbox, Google Drive) и корейским почтовым сервисам (Daum). Архивы содержали ярлыки Windows с двойным расширением (например, "Срочное письмо от посла.pdf.lnk"), замаскированные значками PDF/хангыль; пароли ZIP (например, "USProtocol") были включены в электронное письмо, чтобы избежать сканирования и повысить достоверность.

Тот самый .Файлы LNK выполняли запутанные команды PowerShell, которые декодировали полезные нагрузки base64 в памяти, выполняли разведку хоста (собирали версию ОС, номер сборки, архитектуру ОС, время последней загрузки, дату установки, тип системы, запущенные процессы, IP-адрес и т.д.) и устанавливали закрепление с помощью запланированных задач. Загрузчик запросил контролируемые злоумышленником репозитории GitHub (raw.githubusercontent.com ) для получения управляющих инструкций и использовал GitHub Contents API для эксфильтрации данных с помощью запросов PUT с использованием жестко закодированных токенов личного доступа. Украденные артефакты были закодированы в base64, названы с использованием шаблонов timestamp/IP (например, "IP - MMDD_HHMM -0956_info.txt "), загружается в каталоги репозитория злоумышленника, а затем удаляется локально. В репозитории GitHub также размещался управляющий текстовый файл (onf.txt ), указывающие на URL-адреса полезной нагрузки в Dropbox; операторы быстро меняли эти URL-адреса для развертывания или удаления полезной нагрузки.

Полезные данные хранились в облаке в виде доброкачественных файлов .rtf, содержащих сжатые полезные данные GZIP. Загрузчик PowerShell исправил заголовок GZIP, перезаписав первые семь байт магической последовательностью (0x1F8B08...), распакованной с помощью System.IO.Compression.GZipStream, и загрузил полученный результат .СЕТЕВАЯ сборка в памяти через систему.Отражение.Сборка::Загрузить(). Окончательной полезной нагрузкой был Confuser Core 1.6.0-запутанный вариант XenoRAT (подобный MoonPeak), содержащий уникальный GUID ("12DE1212-167D-45BA-1284-780DA98CF901") и мьютекс ("Dansweit_Hk65-PSAccerdle"). RAT обеспечивал ведение журнала нажатий клавиш, захват скриншотов, доступ к веб-камере/микрофону, передачу файлов и удаленную оболочку, избегая при этом закрепления исполняемых артефактов на диске. Инфраструктура атаки включала в себя несколько учетных записей GitHub и многоязычные документы-приманки (54 PDF-файла на корейском, английском, персидском, арабском, французском, русском языках). Показатели соответствуют определению Kimsuky, хотя операционные модели показали нетипичное планирование, что предполагает возможную внешнюю поддержку или координацию.

#ParsedReport #CompletenessMedium
19-08-2025

Ransomware incidents in Japan during the first half of 2025

https://blog.talosintelligence.com/ransomware_incidents_in_japan_during_the_first_half_of_2025/

Report completeness: Medium

Actors/Campaigns:
Spacebears

Threats:
Qilin_ransomware
Kawalocker
Lockbit
8base
Hunters_international
Ransomhub
Lynx
Nightspire
Akira_ransomware
Cicada_ransomware
Gunra
Royal_ransomware
Clop
Devman
Fog_ransomware
Shadow_copies_delete_technique
Wevtutil_tool

Victims:
Small and medium sized enterprises, Manufacturing, Automotive, Trading companies, Construction, Transportation, Japanese companies, Japan

Industry:
Transport

Geo:
Japanese, Japan

ChatGPT TTPs:
do not use without manual check
T1041, T1047, T1059.003, T1106, T1486, T1489

IOCs:
Path: 1
Registry: 1
Command: 3
Hash: 4

Algorithms:
salsa20

Win API:
FindResourceW, CreateFileW, MiniDumpWriteDump, CreateProcessW, CreateMutexA

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Число программ—вымогателей в Японии выросло в 1,4 раза в первом полугодии 2025 года, причем больше всего пострадали малые и средние предприятия, особенно обрабатывающая промышленность; Qilin нанес наибольший ущерб, а новичок Kawa4096 появился в июне. Kawa4096 загружает конфигурацию из своего PE-ресурса через FindResourceW, указывая целевые расширения, исключения, процессы/службы для уничтожения и команды пост‑шифрования (например, cmd_post=calc); он считывает новое расширение из ресурса (смещение 8, 9 байт) и принимает аргумент "all". Актор использует двойное вымогательство, сбрасывая "!!Restore-My-file-Kavva.txt " в C:\ и зашифрованных папках; KaWaLocker 2.0 в июле изменил уведомление о выкупе, указав новый контакт.
-----

Число случаев использования программ-вымогателей в Японии увеличилось примерно в 1,4 раза в первом полугодии 2025 года по сравнению с предыдущим годом, причем основными мишенями были малые и средние предприятия. Обрабатывающая промышленность оставалась наиболее пострадавшим сектором (18,2% инцидентов), за ней следовали автомобилестроение (5 случаев, 5,7%), а также торговля, строительство и транспорт (по 4 случая, 4,6%). Было установлено, что Qilin group нанесла наибольший ущерб внутри страны. LockBit и 8base — ранее распространенные — не наблюдались в 2025 году после проверок правоохранительными органами в феврале 2024 и феврале 2025 годов. Новый актор, Kawa4096, появился в конце июня и, возможно, оказал воздействие на две японские компании.

Технический анализ Kawa4096 показывает, что программа-вымогатель загружает файл конфигурации из раздела ресурсов PE, используя FindResourceW. Встроенная конфигурация определяет целевые расширения файлов, каталоги и папки для исключения, процессы и службы для завершения и произвольные команды для выполнения (примеры включают cmd_post="calc", используемый в качестве шага проверки после шифрования). Другие наблюдаемые конфигурации приводят к принудительной перезагрузке (shutdown /r /t 0) после шифрования. Расширение, добавляемое к зашифрованным файлам, также берется из данных ресурса: код считывает данные, начинающиеся с 8 байт, в загруженное значение и использует следующие 9 байт в качестве нового расширения. Двоичный файл проверяет наличие аргумента командной строки "all" при выполнении.

Программа-вымогатель реализует поведение двойного вымогательства: она отправляет записку с требованием выкупа под названием "!!Restore-My-file-Kavva.txt " в C:\ и в каждой зашифрованной папке, требуя эксфильтрации данных и угрожая публикацией в случае отказа в связи, а также перечисляя типы украденных данных (информация о сотрудниках и клиентах), чтобы оказать давление на жертв. Похожий вариант, KaWaLocker 2.0, был замечен в конце июля 2025 года; он включает измененное уведомление о выкупе с недавно добавленным контактом по электронной почте, что предполагает активную разработку и продолжение развертывания актором.

#ParsedReport #CompletenessMedium
19-08-2025

GodRAT New RAT targeting financial institutions

https://securelist.com/godrat/117119/

Report completeness: Medium

Actors/Campaigns:
Winnti

Threats:
Godrat
Gh0st_rat
Steganography_technique
Asyncrat
Awesomepuppet
Dll_hijacking_technique

Victims:
Financial trading and brokerage firms, Financial sector

Geo:
Malaysia, United arab emirates, Arab emirates, Jordan, Lebanon, Hong kong

ChatGPT TTPs:
do not use without manual check
T1001.003, T1027, T1036.005, T1041, T1055, T1059.003, T1102, T1105, T1105, T1106, have more...

IOCs:
Hash: 25
File: 16
Registry: 1
Path: 13
IP: 6
Domain: 1
Url: 1

Soft:
curl, Internet Explorer, chrome

Algorithms:
sha2, deflate, xor, md5, zip, 7zip

Win API:
CreateProcessA, ShellExecuteA, EtwEventWrite

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания сентября 2024 года доставила вредоносный .scr через Skype с использованием Стеганографии; два варианта загрузчика (шеллкод, встроенный в двоичный файл, или считанный из образа) вводят шеллкод в свой собственный процесс. На первом этапе выполняется поиск "godinfo", XOR-декодирует config с помощью 0x63, чтобы получить C2/порт, отправляет "GETGOD" для получения bootstrap и библиотеки DLL GodRAT, упакованной в UPX (ONLINE.dll ) затем вызывает свой единственный экспортный "запуск". FileManager от GodRAT поддерживает широкие операции с файлами, выполнение и встроенный 7zip; на втором этапе удаляются средства для кражи паролей Chrome / Edge и инжектор AsyncRAT; builder / source и автоматически сгенерированные UID ссылаются на наборы инструментов Gh0st / AwesomePuppet и несколько IP-адресов/доменов C2.
-----

#ParsedReport #CompletenessMedium
19-08-2025

Analysis of Kimsuky (APT) leaked toolkit, with network disk download address

https://www.ctfiot.com/265616.html

Report completeness: Medium

Actors/Campaigns:
Kimsuky (motivation: government_sponsored, cyber_espionage)

Threats:
Cobalt_strike_tool
Rootrot
Spawnchimera

Victims:
Government, Defense

Industry:
Government, Telco, Nuclear_power

Geo:
North korean, Taiwan, Korean, Korea, China, Hong kong, Singapore, North korea

ChatGPT TTPs:
do not use without manual check
T1041, T1078, T1105, T1589

IOCs:
File: 23
IP: 6
Hash: 4

Soft:
Linux, Chrome, curl

Algorithms:
base64, zip, crc-32

Functions:
PluginManager, syn_active_check, master_main_handle

Languages:
javascript, php, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Утечка исходного кода и артефактов оператора, приписываемых северокорейскому Kimsuky, раскрывает инструменты эксфильтрации данных, включая код загрузчика/ конфигурации и адреса сетевых дисков, используемые в качестве конечных точек передачи. Восстановленные журналы и украденный контент нацелены на южнокорейские оборонные и правительственные сети (DCC, Министерство иностранных дел) и Тайвань. Пути, такие как vps/var/www/html, указывают на использование VPS webroot или размещенного хранилища для промежуточного/общедоступного поиска.
-----

Анализ охватывает утечку инструментария и данных, восстановленных с рабочих станций злоумышленников, приписываемых северокорейской сложной целенаправленной атаке Kimsuky (ссылка №14). Исследователи восстановили исходный код и артефакты из скомпрометированных операторских систем, причем набор данных был сосредоточен на компонентах эксфильтрации данных и эксплуатационных материалах. Сообщается, что утечка включает адреса загрузки с сетевого диска, используемые инструментарием для промежуточной загрузки или извлечения отфильтрованного контента.

Изъятые материалы, задокументированные в утечке, включают записи об атаках и журналы доступа южнокорейских объектов: Командования военной контрразведки (DCC), Министерства иностранных дел и других внутренних правительственных сетей Южной Кореи, а также информацию о таргетинге, связанную с Тайванем. Один явный путь к артефакту показывает агрегированные данные, хранящиеся в vps/var/www/html/, что указывает на использование VPS webroot или аналогичного размещенного хранилища для промежуточного или общедоступного поиска украденных файлов.

Поскольку исходный код присутствовал на рабочих станциях операторов, материал может раскрыть детали реализации инструментария Kimsuky, включая то, как автоматизируется эксфильтрация, используемые конечные точки передачи (адреса сетевых дисков) и методы промежуточной обработки файлов. Наличие записей о посещениях и доступе предполагает как подтвержденный доступ, так и сбор конфиденциальных внутренних документов. Эти артефакты указывают на оперативное поведение: целенаправленный сбор данных против правительства Южной Кореи и оборонных структур, использование размещенного веб-хранилища для промежуточной эксфильтрации и включение сведений о загрузчике/конфигурации в системы операторов.