#ParsedReport #CompletenessLow
27-08-2025

Nx npm Packages Compromised in Supply Chain Attack Leveraging AI CLI Tools

https://socket.dev/blog/nx-packages-compromised

Report completeness: Low

Threats:
Supply_chain_technique
Credential_harvesting_technique

Victims:
Software development, Open source ecosystem, Developers using nx npm packages

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1078, T1083, T1195, T1552.001, T1555.004, T1565.001, T1567.002

IOCs:
File: 10

Soft:
sudo, macOS

Wallets:
electrum, metamask, trezor, exodus_wallet, solflare

Crypto:
ethereum

Algorithms:
base64

Functions:
forceAppendAgentLine

Languages:
javascript

Links:
https://github.com/nrwl/nx/security/advisories/GHSA-cxm3-wv7p-598c
https://github.com/marketplace/socket-security

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака supply chain была нацелена на пакеты Nx npm с помощью скомпрометированных токенов npm, что позволило загружать вредоносные версии без изменений исходного кода. Вредоносное ПО выполняло команды для эксфильтрации учетных данных, включая запуск "gh auth token" и "npm whoami", одновременно нарушая работу систем, добавляя команду завершения работы в файлы конфигурации оболочки. Кроме того, атака способствовала эксфильтрации данных через поддельный репозиторий, созданный в учетных записях жертв на GitHub, что привело к значительной утечке учетных данных.
-----

Атака supply chain была выполнена с использованием вредоносных версий пакетов Nx npm, где злоумышленник, вероятно, скомпрометировал токен npm с правами публикации. Это позволило им загружать вредоносные версии непосредственно в реестр npm, не изменяя репозиторий исходного кода. Инцидент был обнаружен сканером Socket на базе искусственного интеллекта вскоре после публикации вредоносных пакетов, с последующими подтверждениями вредоносного поведения в результате независимых анализов StepSecurity и Wiz, что указывает на обширную утечку учетных данных.

Вредоносное ПО функционирует путем выполнения нескольких команд, направленных на эксфильтрацию учетных данных. Сначала он запускает `gh auth token`, чтобы найти токены GitHub, сохраняя их, если они идентифицированы. Он также выполняет `npm whoami` и может считывать пользовательский файл `.npmrc`, извлечения учетных данных. Кроме того, вредоносное ПО нарушает функциональность системы, добавляя команду для завершения работы системы (`sudo shutdown -h 0`) в определенные файлы конфигурации оболочки (`\~/.bashrc` и `\~/.zshrc`). Это приводит к эффекту отказа в обслуживании в системах, использующих sudo без пароля, вызывая немедленное завершение работы при запуске новой оболочки.

Атака продолжается путем перечисления путей из скомпрометированного каталога и кодирования содержимого файла в формат base64 для последующей эксфильтрации. При обнаружении токена GitHub в учетной записи жертвы создается общедоступный репозиторий с префиксом "s1ngularity-repository", облегчающий загрузку собранных данных, включая переменные среды и учетные данные, с использованием GitHub API. Для пользователей, у которых не установлен GitHub CLI, хотя эксфильтрация может не завершиться, система остается зараженной и сохраняет возможность сбора учетных данных.

Судя по хронологии атаки, первый вредоносный пакет был опубликован 26 августа, а вскоре после этого появилось несколько скомпрометированных версий. В конечном итоге npm удалил уязвимые версии, а доступ к скомпрометированной учетной записи был аннулирован на следующий день.

Чтобы исправить ситуацию, пострадавшим пользователям рекомендуется удалить зараженные версии, очистить кэш npm и переустановить зависимости. Также важно вручную просмотреть и очистить упомянутые файлы конфигурации оболочки и проверить наличие несанкционированных репозиториев в своих учетных записях на GitHub. Настоятельно рекомендуется немедленно изменить учетные данные, включая токены GitHub и другие конфиденциальные ключи, чтобы уменьшить потенциальное дальнейшее воздействие.

#ParsedReport #CompletenessHigh
27-08-2025

ShadowSilk: A Cross-Border Binary Union for Data Exfiltration

https://www.group-ib.com/blog/shadowsilk/

Report completeness: High

Actors/Campaigns:
Shadowsilk
Yorotrooper

Threats:
Morf_tool
Cobalt_strike_tool
Donut
Dumpert_tool
Filelessremotepe_tool
Mirrordump_tool
Neo-regeorg_tool
Portscan_tool
Powerview_tool
Resocks_tool
Reversesocks5_tool
Seatbelt_tool
Sharpchromium_tool
Sharpersist_tool
Bloodhound_tool
Sharpview_tool
Socat_tool
Uacme_tool
Printnightmare_vuln
Struts2vulstools_tool
Godzilla_webshell
Behinder
Fscan_tool
Sqlmap_tool
Wpscan_tool
Dirsearch_tool
Metasploit_tool
Chisel_tool
Antsword
Weblogictool
Finalshell
Snetcracker_tool
Drupalgeddon_vuln
Jrat_rat
Meterpreter_tool
Spear-phishing_technique
Credential_dumping_technique

Industry:
Government, Critical_infrastructure

Geo:
Pakistan, Kyrgyzstan, Russian, Turkmenistan, Chinese, Tajikistan, Myanmar, Uzbekistan, Asia-pacific, Apac, Asia

CVEs:
CVE-2018-7600 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- drupal (le7.57, <8.3.9, <8.4.6, <8.5.1)

CVE-2024-27956 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- valvepress automatic (le3.92.0)

CVE-2018-7602 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- drupal (<7.59, <8.4.8, <8.5.3)

CVE-2021-34527 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.18969)
- microsoft windows_10_1607 (<10.0.14393.4470)
- microsoft windows_10_1809 (<10.0.17763.2029)
- microsoft windows_10_20h2 (<10.0.19042.1083)
- microsoft windows_10_21h2 (<10.0.19044.1415)
have more...

TTPs:
Tactics: 11
Technics: 48

IOCs:
Url: 13
Command: 7
Registry: 2
Domain: 17
File: 8
Path: 45
Hash: 31
IP: 15

Soft:
Telegram, proxifier, rsocx, wordpress, Windows registry, Chrome, Drupal

Algorithms:
zip

Languages:
powershell, python

Platforms:
x64

Links:
have more...
https://github.com/BeichenDream/Godzilla
https://github.com/AntSwordProject/antSword
https://github.com/KimJun1010/WeblogicTool

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С 2023 года ShadowSilk является хакерской группировкой, нацеленной на государственные структуры в Центральной Азии и регионе Азиатско-Тихоокеанского региона, уделяя особое внимание эксфильтрации данных и компрометации более 35 жертв. Они используют общедоступные эксплойты, инструменты тестирования на проникновение и пользовательские веб-панели для операций управления, получая первоначальный доступ главным образом с помощью фишинга. Их тактика включает использование Telegram для общения, сбор учетных записей, разведку с помощью таких инструментов, как Shodan, и использование команд с двумя языками для разработки вредоносного ПО и последующей эксплуатации.
-----

Группировка, известная как ShadowSilk, была идентифицирована как хакерская группировка, осуществляющая атаки на государственные структуры, главным образом, в Центральной Азии и Азиатско-Тихоокеанском регионе (APAC), по крайней мере, с 2023 года, с продолжающейся деятельностью, выявленной до июля 2025 года. ShadowSilk подключен к другой группе, YoroTrooper, которая совместно использует инфраструктуру и инструменты, работая как отдельный кластер угроз. Анализ показывает, что в операциях ShadowSilk приоритетной является эксфильтрация данных, в результате чего было скомпрометировано более 35 жертв, в основном в государственном секторе.

Технические оценки показывают, что ShadowSilk использует сложный арсенал, включая общедоступные эксплойты, инструменты тестирования на проникновение и веб-панели, приобретенные на форумах dark web. Эти панели позволяют злоумышленникам управлять зараженными устройствами, загружать файлы и выполнять вредоносный код. Ключевые элементы их инструментария включают веб—панель под названием Panel JLIB, проект Morf и поддерживающую серверную архитектуру — Morf_server, которая упрощает обмен данными между зараженными машинами и структурами управления (C2).

Первоначальный доступ обычно получают с помощью стратегий фишинга, развертывания защищенных паролем исполняемых файлов. Как только устройство скомпрометировано, операторы ShadowSilk используют Telegram-ботов для связи C2, выдачи команд и эксфильтрации данных. Также было отмечено, что злоумышленники модифицируют системные реестры для обеспечения закрепления, обеспечивая непрерывный доступ даже после перезагрузки. При сборе учетных записей используются пользовательские инструменты, предположительно приобретенные на подпольных форумах, для кражи сохраненных паролей Chrome и другой конфиденциальной информации из скомпрометированных систем.

Оперативная тактика распространяется и на разведку, где общедоступные инструменты, такие как Shodan и FOFA, помогают собирать разведданные о целях. Злоумышленники продемонстрировали способность проводить внутреннюю разведку, используя инструменты из фреймворков Cobalt Strike и Metasploit для таких действий, как захват скриншотов и аудиозапись с помощью веб-камер и микрофонов на зараженных хостах.

Более того, деятельность группы, по-видимому, предполагает отдельные, но скоординированные усилия: одна фракция является русскоязычной и, вероятно, сосредоточена на разработке вредоносного ПО, в то время как китайскоязычный сегмент, похоже, специализируется на деятельности после эксплуатации. Эта двуязычная оперативная структура согласуется с выводами, которые показывают совпадение целей и методов между обеими подгруппами.

Последние разведданные свидетельствуют о том, что ShadowSilk продолжает активно развиваться, и по состоянию на июль 2025 года сообщалось о новых жертвах. Также были случаи, когда данные, ранее принадлежавшие ShadowSilk, выставлялись на продажу на форумах темного интернета, что указывает на прибыльный коммерческий аспект их деятельности. Организациям рекомендуется осуществлять строгий мониторинг признаков активности ShadowSilk, таких как подозрительный доступ к домену или несанкционированная загрузка файлов, связанных с идентифицированным набором инструментов, для защиты от потенциальных вторжений.

#ParsedReport #CompletenessLow
27-08-2025

First known AI-powered ransomware uncovered by ESET Research

https://www.welivesecurity.com/en/ransomware/first-known-ai-powered-ransomware-uncovered-eset-research/

Report completeness: Low

Threats:
Promptlock

Geo:
Ukraine

Soft:
OpenAI, Ollama, Linux

Languages:
lua, golang

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование ESET определило PromptLock как первую программу-вымогателя на базе искусственного интеллекта, демонстрирующую эволюцию киберугроз, в которых злоумышленники используют Искусственный интеллект для повышения эффективности программ-вымогателей. Это вредоносное ПО может анализировать среду, быстро нацеливаться на ценные ресурсы и выполнять процессы шифрования быстрее, чем традиционные методы, создавая значительные проблемы для существующих средств защиты кибербезопасности. Интеграция искусственного интеллекта в программы-вымогатели указывает на растущую тенденцию, которая требует расширенных возможностей обнаружения для эффективного противодействия этим сложным угрозам.
-----

Исследование ESET выявило PromptLock, первый известный экземпляр программы-вымогателя на базе искусственного интеллекта, что свидетельствует о значительном развитии киберугроз. Это вредоносное ПО иллюстрирует, как злоумышленники могут использовать модели Искусственного интеллекта для повышения эффективности атак программ-вымогателей. Возможности, предоставляемые искусственным интеллектом, могут позволить использовать более сложные методы шифрования данных, обходить механизмы обнаружения и потенциально автоматизировать процессы нацеливания, делая традиционную защиту менее эффективной.

Природа PromptLock указывает на тревожную тенденцию, когда злоумышленники все чаще используют передовые технологии для совершенствования своих стратегий атак. Такое вредоносное ПО, управляемое искусственным интеллектом, может быстро анализировать среду, определять важные цели и выполнять процессы шифрования, которые значительно быстрее, чем обычные Ransomware. Это усовершенствование с помощью искусственного интеллекта не только повышает оперативную эффективность атакующих, но и создает серьезные проблемы для средств защиты от кибербезопасности, которым может быть трудно идти в ногу с этой эволюционирующей тактикой.

Эволюционирующий ландшафт программ-вымогателей, продемонстрированный PromptLock, подчеркивает необходимость адаптивных мер безопасности и расширенных возможностей обнаружения угроз. Поскольку искусственный интеллект продолжает интегрироваться во вредоносное программное обеспечение, возрастает вероятность широкомасштабных сбоев, что делает необходимым для организаций сохранять бдительность и проактивность в своих стратегиях кибербезопасности. Понимание лежащих в основе механики и поведения, связанных с угрозами на базе искусственного интеллекта, такими как PromptLock, будет иметь решающее значение для эффективного противодействия этой новой волне киберугроз.

#ParsedReport #CompletenessMedium
27-08-2025

Storm-0501s evolving techniques lead to cloud-based ransomware

https://www.microsoft.com/en-us/security/blog/2025/08/27/storm-0501s-evolving-techniques-lead-to-cloud-based-ransomware/

Report completeness: Medium

Actors/Campaigns:
Storm-0501 (motivation: financially_motivated)
Unc2190

Threats:
Embargo_ransomware
Evil-winrm_tool
Winrm_tool
Dcsync_technique
Azurehound_tool
Aadinternals_tool
Azcopy_tool
Impacket_tool
Trojan:win32/suspadsyncaccess.a

Victims:
Large enterprise, Cloud environments, Hybrid cloud environments

Industry:
Telco, Healthcare

TTPs:
Tactics: 10
Technics: 0

IOCs:
File: 9

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Active Directory, Entra Connect, Microsoft Teams, local security authority, Microsoft Azure Active Directory Connect, Azure Active Directory, Twitter

Win Services:
windefend

Languages:
powershell

Links:
https://github.com/Hackplayers/evil-winrm

#ParsedReport #ExtractedSchema

Classified images:
schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Storm-0501, финансово мотивированный злоумышленник, переключил свое внимание на облачные программы-вымогатели, нацеленные на крупные предприятия с подключенными доменами Active Directory. Они использовали уязвимости в Microsoft Defender для Endpoint для проведения разведки, прежде чем взломать локальных пользователей и использовать учетную запись синхронизации каталога Entra Connect Sync для перечисления пользователей и ресурсов. Используя бэкдор, зарегистрированный под синтетической учетной записью с правами глобального администратора, Storm-0501 выполнил обширные этапы обнаружения в среде Azure, в конечном итоге манипулируя настройками для эксфильтрации данных, аналогичными традиционным операциям программ-вымогателей.
-----

Storm-0501, финансово мотивированный злоумышленник, адаптирует свою тактику, чтобы сосредоточиться на облачных программах-вымогателях, переходя от традиционных локальных атак на конечные точки. Их недавние кампании скомпрометировали крупные предприятия с подключенными доменами Active Directory, где неадекватное развертывание Microsoft Defender для конечных точек позволяло проводить скрытые операции. Storm-0501 первоначально выполнил разведку в этих средах для сбора информации перед запуском атак, используя различные команды для проверки безопасности сети.

После взлома локального клиента Storm-0501 использовал учетную запись синхронизации каталогов Entra Connect Sync (DSA) для перечисления пользователей и ресурсов Azure. Используя AzureHound, они определили разрешения и пути атак в облачной среде Azure. Важнейшим аспектом их стратегии была идентификация синтетической учетной записи, которая обладала правами глобального администратора, но не имела многофакторной аутентификации (MFA). Эта оплошность позволила Storm-0501 сбросить пароли и получить доступ к облачной среде клиента.

После аутентификации в качестве глобального администратора они внедрили постоянный бэкдор, зарегистрировав вредоносный федеративный домен в Entra ID жертвы, что позволило им выдавать себя за любого пользователя. Создание этого бэкдора включало создание Доверительных отношений между учетной записью злоумышленника и скомпрометированным клиентом.

Доступ Storm-0501's был расширен до среды Azure, где они выполнили обширные этапы обнаружения для обнаружения конфиденциальных данных и ресурсов. Они ориентировались в среде Azure, определяя существующие средства защиты, и впоследствии использовали учетные записи хранилища Azure, манипулируя параметрами общедоступного доступа. Используя инструмент командной строки AzCopy, они упростили эксфильтрацию данных, зеркально повторив методы, используемые в традиционных сценариях программ-вымогателей, включающих шифрование данных конечных точек.

В этой преобразованной модели программ-вымогателей подход Storm-0501's использует облачные возможности для быстрого извлечения и уничтожения данных, изменяя динамику переговоров о выкупе. Рекомендации по защите включают внедрение строгих мер контроля доступа, соблюдение принципа наименьших привилегий, развертывание надежных средств мониторинга, таких как Microsoft Defender for Cloud, и усиление мер аутентификации для предотвращения несанкционированного доступа. Многофакторная аутентификация и Политики условного доступа подчеркиваются как жизненно важные шаги в защите как облачных идентификаторов, так и локальных ресурсов от развивающихся угроз со стороны акторов, таких как Storm-0501.

#ParsedReport #CompletenessLow
28-08-2025

Phishing Kits Uncovered: Methods and Tactics Used to Evade SEGs, Sandboxes, and Analysts

https://cofense.com/blog/phishing-kits-uncovered-methods-and-tactics-used-to-evade-segs%2C-sandboxes%2C-and-analysts

Report completeness: Low

Threats:
Mispadu
Clickfix_technique
Glitch

Victims:
Email users

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1071.001, T1204.002, T1204.003, T1497.002, T1497.003, T1566.002, T1583.001, T1584.001, have more...

IOCs:
Domain: 7

Soft:
TikTok, SendGrid, Microsoft Word, Cloudflare Turnstile

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники все чаще используют изощренные тактики в кампаниях фишинга по электронной почте, чтобы избежать обнаружения, такие как размещение фишинг-ссылок на законных платформах и использование QR-кодов для перенаправления жертв на вредоносные сайты. Доступные для покупки наборы для фишинга включают в себя такие функции, как геолокация, фильтрация пользовательским агентом и fake CAPTCHAs, которые затрудняют обнаружение и анализ. Более того, злоумышленники используют одноразовые поддомены для быстрого запуска кампаний, что повышает их способность обходить меры безопасности.
-----

Злоумышленники используют передовые тактики в кампаниях по фишингу электронной почты, чтобы избежать обнаружения. Они внедряют настроенный контент, используют законные платформы для обмена файлами и злоупотребляют открытыми перенаправлениями, используя QR-коды для направления жертв на страницы фишинга. Законные Веб-сервисы размещают ссылки на вредоносный контент, избегая обнаружения шлюзами электронной почты службы безопасности. Они размещают ссылки на признанных сайтах, таких как DocuSign и Google Docs. Открытые перенаправления с таких платформ, как Google и YouTube, скрывают попытки фишинга, поскольку не сканируют конечные перенаправленные URL-адреса. QR-коды в электронных письмах или вложениях направляют пользователей на сайты фишинга с помощью доброкачественных изображений. Наборы для фишинга с учетными данными позволяют злоумышленникам с минимальными техническими навыками создавать убедительные страницы для фишинга, включая фильтрацию по геолокации на основе IP-адресов жертвы и внутренние проверки, которые скрывают процессы фильтрации. Общие службы для поиска IP-адресов включают geojs.io , который также может обнаруживать VPN. Пользовательский агент и языковая фильтрация существуют для перенаправления неподходящих браузеров на законные сайты. Некоторые наборы включают системы CAPTCHA, при этом некоторые представляют fake CAPTCHAs, которые запускают вредоносные скрипты. Встроены механизмы обнаружения инструментов разработчика, используемых исследователями; в случае обнаружения наборы для фишинга могут перенаправлять пользователей или останавливать выполнение. Фильтрация адресов электронной почты используется для настройки интерфейсов фишинга на основе списка злоумышленников, перенаправляя входные данные, связанные с аналитиками безопасности, со страницы фишинга. Тактика быстрого развертывания включает в себя одноразовые поддомены, повышающие скорость работы и снижающие риски обнаружения, наряду с защитой паролем, усложняющей защитные меры.

#ParsedReport #CompletenessLow
28-08-2025

AppSuite PDF Editor Backdoor: A Detailed Technical Analysis

https://www.gdatasoftware.com/blog/2025/08/38257-appsuite-pdf-editor-backdoor-analysis

Report completeness: Low

Threats:
Justaskjacky

Victims:
General users

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1059.007, T1071.001, T1189, T1204.002, T1218.007, T1480, have more...

IOCs:
Domain: 1
Path: 8
File: 7
Url: 4
Hash: 8

Soft:
Windows Installer, Electron, NSIS installer, Task Scheduler, chromium, Chrome, Mastodon

Algorithms:
zip, aes, aes-128-cbc, xor, aes-256-cbc

Functions:
get_sid, TaskScheduler, GetPsList, GetRtc, GetOsCKey

Languages:
javascript, python

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AppSuite PDF Editor - это вредоносный инструмент, Маскировка под законное приложение для управления PDF-файлами. Он проникает в системы через обманчивые веб-сайты и устанавливается как электронная программа, используя файл JavaScript под названием pdfeditor.js при этом используются различные методы запутывания. Вредоносное ПО использует шифрование AES-128-CBC для передачи данных на удаленный сервер и включает механизмы ведения журнала, которые передают критически важные операционные данные, что подчеркивает его скрытный и постоянный характер.
-----

PDF-редактор AppSuite был идентифицирован как вредоносный инструмент, проникающий в системы через обманчивые веб-сайты, которые занимают высокие позиции в результатах поиска. Пользователей вводят в заблуждение, заставляя загружать то, что кажется законным "инструментом повышения производительности" или "командным центром" для управления PDF-файлами. Вредоносное программное обеспечение упаковано в виде файла установщика Microsoft (MSI), который использует версию WiX с открытым исходным кодом, инструмент, используемый для создания Пакетов установщика Windows.

После установки приложение работает как электронная программа и обычно размещается в пользовательских каталогах, в частности в %USERPROFILE%\PDF Editor или %LOCALAPPDATA%\Programs\PDF Editor. Основным компонентом вредоносного ПО является JavaScript-файл с именем pdfeditor.js , в котором используются методы запутывания из Obfuscator.ввод-вывод наряду с пользовательским запутыванием строк для сокрытия его истинных функциональных возможностей.

При установке используется ряд аргументов командной строки, замаскированных под безопасные операции, которые включают в себя такие процедуры, как --install, --ping, --check, --reboot и --cleanup. Важной частью процесса установки является создание идентификатора установки, который по умолчанию остается пустым, но важен для последующих командных операций.

Бэкдор использует шифрование AES-128-CBC для своих операций, в частности, во время процедуры --ping, где он шифрует данные перед передачей их на удаленный сервер. Ключ шифрования является производным от идентификатора установки, дополненного статическим значением для повышения безопасности. Примечательно, что команды --check и --reboot вызывают одну и ту же внутреннюю функцию, причем последняя также включает функциональность для завершения определенных системных процессов.

Вредоносное ПО оснащено механизмом ведения журнала, который отправляет POST-запросы, содержащие зашифрованный двоичный объект данных вместе с вектором инициализации и идентификатором установки, на определенную конечную точку (hxxps://appsuites(dot)ai/api/s3/event). Более того, два важных компонента судебной экспертизы, LOG1 и LOG0, хранят критическую информацию, такую как идентификатор установки, уникальные идентификаторы сеанса, ключи шифрования, специфичные для бэкдора, и различные другие операционные ключи, относящиеся к функциональности вредоносного ПО.

#ParsedReport #CompletenessMedium
28-08-2025

TAOTH Campaign Exploits End-of-Support Software to Target Traditional Chinese Users and Dissidents

https://www.trendmicro.com/en_us/research/25/h/taoth-campaign.html

Report completeness: Medium

Actors/Campaigns:
Taoth (motivation: cyber_espionage, information_theft)

Threats:
Spear-phishing_technique
Toshis
C6door
Desfy
Gtelam
Xiangoop
Cobalt_strike_tool
Dll_sideloading_technique
Merlin_tool
Supply_chain_technique

Victims:
Dissidents, Journalists, Researchers, Technology leaders, Business leaders, Traditional chinese users

Geo:
Asian, Chinese, Japan, Taiwanese, Norway, Taiwan, Asia, Hong kong, Korea, China

ChatGPT TTPs:
do not use without manual check
T1195.002, T1204.002, T1566.002, T1566.003, T1583.001, T1584.001, T1589, T1598

IOCs:
Domain: 2
File: 9
Url: 1
Path: 14
Command: 7
IP: 1

Soft:
Sogou, Visual Studio Code, VSCode, gmail, YouDao

Algorithms:
aes, md5

Functions:
GetAllProcessNames

Languages:
golang

Links:
https://github.com/MythicAgents/merlin/tree/main

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, schema: 2, chart: 1, dump: 2, code: 3