#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кейлоггер TinkyWinkey, обнаруженный в июне 2025 года, представляет собой сложное вредоносное ПО для Windows, которое поддерживает закрепление, работая как Служба Windows, и регистрирует нажатия клавиш с помощью низкоуровневых перехватчиков клавиатуры. Он использует недокументированные API-интерфейсы для взаимодействия с системой, включая прямой поиск версии операционной системы и DLL INJECTION в доверенные процессы, такие как explorer.exe для скрытного выполнения, гарантируя, что оно остается незамеченным при сборе огромных объемов данных. Кроме того, он выполняет обнаружение сетевых идентификаторов и собирает информацию о системных ресурсах, повышая свой потенциал угрозы.
-----

Кейлоггер TinkyWinkey - это продвинутая часть вредоносного ПО, нацеленная на системы Windows, выявленная в конце июня 2025 года. Он действует скрытно, используя методы управления службами, поддерживая закрепление в качестве Службы Windows, одновременно собирая обширные данные о системе и действиях жертвы. Кейлоггер предназначен для точной регистрации нажатий клавиш, используя низкоуровневые перехватчики клавиатуры для всестороннего мониторинга независимо от раскладки клавиатуры или языка, гарантируя, что все нажатия клавиш, включая специальные и многоязычные символы, точно записываются.

Вредоносное ПО начинается с вызова функций Windows API для обработки системных взаимодействий. Он извлекает временный каталог с помощью `GetTempPathW()` для создания файла журнала с именем "logs_tw.txt ," добавляется с данными о нажатии клавиши через `WriteFile()`. Важно отметить, что вместо того, чтобы полагаться на обычные API, такие как `GetVersionEx()`, TinkyWinkey собирает сведения о версии ОС напрямую через недокументированный API (`RtlGetVersion`). Такой подход помогает обойти потенциальные проблемы совместимости, связанные с определенными настройками приложения, позволяя вредоносному ПО эффективно профилировать операционную среду.

Для обнаружения сетевых идентификаторов TinkyWinkey инициализирует Winsock, чтобы преобразовать имя хоста жертвы в IP-адрес, дополнительно привязывая компьютер к его сетевому идентификатору. Вредоносное ПО также собирает информацию об оперативной памяти, взаимодействуя с функцией GlobalMemoryStatusEx() для регистрации объема физической памяти. Примечательно, что в нем реализован WinEventHook для отслеживания изменений в приложениях переднего плана, позволяющий злоумышленникам сопоставлять данные о нажатиях клавиш с конкретными приложениями, повышая вредоносную полезность захваченных учетных данных.

Загрузчик вредоносного ПО является сложным, он выполняет DLL injection в доверенные процессы, такие как explorer.exe . Такое скрытное выполнение гарантирует, что вредоносные действия остаются незамеченными пользователем. Загрузчик проверяет существование своей основной полезной нагрузки (библиотеки DLL кейлоггера) перед запуском удаленного потока в целевом процессе, устанавливая надежный канал для непрерывного сбора данных. Кроме того, TinkyWinkey регистрируется как вредоносная Служба Windows с автоматической настройкой запуска, обеспечивая возобновление своей деятельности после перезагрузки, не требуя вмешательства пользователя.

Благодаря ряду передовых методов программирования кейлоггер TinkyWinkey иллюстрирует эволюцию современного вредоносного ПО, отражая высокий уровень сложности, направленный на сбор данных и закрепление. Его способность работать без заметных сбоев в работе пользователей создает значительные угрозы для безопасности организации, требуя тщательного мониторинга на предмет аномальных действий служб и неожиданных внедрений библиотек DLL. Организациям рекомендуется применять упреждающие меры по выявлению угроз и непрерывное наблюдение за конечными точками для снижения рисков, связанных с такими изощренными атаками.

#ParsedReport #CompletenessHigh
28-08-2025

From Campus to C2: Tracking a Persistent Chinese Operation Against Vietnamese Universities

https://ctrlaltint3l.github.io/threat%20research/china-vietnam-campaign/

Report completeness: High

Actors/Campaigns:
Earth_lamia

Threats:
Godzilla_webshell
Metasploit_tool
Cobalt_strike_tool
Vshell
Juicypotato_tool
Sqlmap_tool
Godpotato_tool
Fscan_tool
Snowlight
Process_hollowing_technique
Netstat_tool
Credential_dumping_technique
Teamviewer_tool
Frpc_tool
Domain_fronting_technique
Lolbin_technique
Meterpreter_tool

Victims:
Universities, Education sector, Tech and engineering education

Industry:
Education, Telco

Geo:
China, Vietnam, Vietnamese, Asia, Chinese

CVEs:
CVE-2021-1732 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1803 (-)
- microsoft windows_10_1809 (-)
- microsoft windows_10_1909 (-)
- microsoft windows_10_2004 (-)
- microsoft windows_10_20h2 (-)
have more...
CVE-2024-30088 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20680)
- microsoft windows_10_1607 (<10.0.14393.7070)
- microsoft windows_10_1809 (<10.0.17763.5936)
- microsoft windows_10_21h2 (<10.0.19044.4529)
- microsoft windows_10_22h2 (<10.0.19045.4529)
have more...
CVE-2019-18935 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- telerik ui_for_asp.net_ajax (le2020.1.114)
have more...

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 51
IP: 20
Domain: 3
Path: 30
Command: 5
Registry: 2
Url: 5
Hash: 65

Soft:
WeChat, openssl, Chrome, Linux, curl, Remote Desktop Services, Windows Defender, Windows registry, psexec, ASP.NET, have more...

Algorithms:
base64, aes, md5, gzip

Functions:
CreateService, GetCLSID, Get-WinEvent, CreateEncryptor, GetString, CreateDecryptor, GetMethod, CreateInstance, GetBytes, eval, have more...

Languages:
php, jscript, python, powershell

Platforms:
x64

Links:
https://github.com/ctrlaltint3l/intelligence/blob/main/VietnameseCampaign/CobaltStrike/CDN.profile
https://github.com/ctrlaltint3l/intelligence/blob/main/VietnameseCampaign/CobaltStrike/CatServer.properties
have more...
https://github.com/ctrlaltint3l/intelligence/blob/main/VietnameseCampaign/CobaltStrike/cfcert.store

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская кибероперация в значительной степени скомпрометировала более 25 вьетнамских университетов, используя сложные методы атак и пользовательские инструменты. Первоначальный доступ был получен с помощью уязвимостей веб-приложений, развертывания Веб-шеллов на серверах IIS и использования известных CVE, при сохранении закрепления с помощью туннелей RDP и фреймворков управления, таких как Cobalt Strike. Операция, приписываемая группе Earth Lamia, сосредоточена на сборе информации, а не на финансовой выгоде, с использованием передовых методов перемещения внутри компании, получения учетных данных и уклонения.
-----

Тщательное расследование продолжающейся китайской кибероперации, нацеленной на вьетнамские университеты, выявило обширную деятельность по компрометации, которой в первую очередь способствовали сложные методы атак и пользовательские инструменты. Исследование, основанное на разведданных с открытым исходным кодом и уникальном техническом анализе, выявило злоумышленника, который успешно внедрился в более чем 25 учебных заведений Вьетнама, особенно тех, которые специализируются на технологиях и инженерном деле.

Первоначальный доступ к этим средам часто был получен в результате использования уязвимых веб-приложений, в частности, путем развертывания Веб-шеллов на серверах IIS. Злоумышленники использовали известные CVE и недавно обнаруженные уязвимости SQL-инъекций, создав учетную запись пользователя с именем "IIS_USER" в рамках своей стратегии эксплуатации. Собранные данные демонстрируют устойчивое закрепление, при этом злоумышленник сохраняет доступ с помощью таких методов, как туннели Протокола удаленного рабочего стола (RDP), Веб-шеллы и две активные платформы управления (C2), а именно VShell и Cobalt Strike.

Cobalt Strike, хотя изначально и был законным инструментом тестирования на проникновение, широко использовался как киберпреступниками, так и акторами, спонсируемыми государством. В этом случае злоумышленники использовали ит после получения первоначального доступа для выполнения перемещения внутри компании в сетях-жертвах и повышения привилегий. Исследование показывает, как скомпрометированные компьютеры позволяют развертывать различные инструменты для получения учетных данных и повышения привилегий. Данные свидетельствуют о том, что злоумышленники использовали red team tooling для расшифровки учетных данных TeamViewer из реестра Windows и пытались использовать уязвимости, включая CVE-2019-18935 в пользовательском интерфейсе Telerik, что позволило им устанавливать обратные оболочки для нескольких целей.

Сложность операции подчеркивается надежной структурой, которая включает в себя несколько уровней доступа, механизмы закрепления, такие как запланированные задачи, и интеграцию плагинов для VShell, которые предоставляют различные возможности, от генерации полезной нагрузки до уведомлений сторонних служб. Одним из особенно волнующих аспектов является минималистичная Веб-шелл, которая позволяет напрямую выполнять JavaScript, что указывает на универсальный подход к поддержанию позиций в скомпрометированных системах.

Кроме того, злоумышленники продемонстрировали методы уклонения, изменив дескрипторы безопасности, чтобы затруднить административный контроль над защитником Windows, и было замечено, что они выполняли команды через файлы истории Linux (например, .bash_history) для сбора дополнительной информации во время своих проникновений.

Эта кампания, по-видимому, не имеет финансовой мотивации, а скорее сосредоточена на обширном сборе информации в секторе образования Вьетнама, в соответствии с методами и методологиями, приписываемыми известным китайским злоумышленникам, в частности группе, известной как Earth Lamia. Всесторонний анализ проливает свет на значительную угрозу, исходящую от образовательных учреждений, и высвечивает текущие проблемы защиты от хорошо обеспеченных ресурсами государственных кибер-структур.

#ParsedReport #CompletenessLow
28-08-2025

ScreenConnect Super Admin Credential Harvesting

https://www.mimecast.com/threat-intelligence-hub/screenconnect-super-admin-credential/

Report completeness: Low

Threats:
Credential_harvesting_technique
Screenconnect_tool
Spear-phishing_technique
Aitm_technique
Evilginx_tool
Qilin_ransomware

Victims:
Screenconnect cloud administrators, Senior it professionals, It directors, System administrators, Security personnel

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1056.007, T1071.003, T1078, T1102, T1550.003, T1557, T1566.002, T1583.001

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания MCTO3030 нацелена на облачных администраторов ScreenConnect, особенно с правами суперадминистратора, использующих комбинацию методов spear phishing и Злоумышленника посередине (AITM), поддерживаемых платформой EvilGinx. Злоумышленники отправляют электронные письма со взломанных учетных записей Amazon SES, заманивая жертв на поддельные порталы входа для получения учетных данных и токенов MFA. После первоначального доступа злоумышленники могут развернуть дополнительные инструменты для дальнейшего проникновения в сеть жертвы.
-----

Была замечена целенаправленная кампания по сбору учетных записей, получившая название MCTO3030, которая ориентирована на облачных администраторов ScreenConnect, особенно тех, кто обладает привилегиями суперадминистратора. Выявленная группой по исследованию угроз Mimecast, эта операция применяла последовательную тактику, методы и процедуры с момента своего создания в 2022 году, демонстрируя достойный похвалы уровень операционной безопасности благодаря стратегии распространения в небольших объемах, которая обычно включает отправку около 1000 spear phishing электронных писем за кампанию.

Злоумышленники используют методы Злоумышленника посередине (AITM), используя фреймворк EvilGinx, инструмент с открытым исходным кодом, известный эффективным перехватом как учетных данных пользователя, так и кодов Многофакторной аутентификации (MFA). Это позволяет злоумышленникам-акторам обходить современные средства защиты от аутентификации, тем самым получая постоянный доступ к скомпрометированным учетным записям.

Поток атак начинается с первоначального контакта, при котором электронные письма с spear phishing рассылаются с использованием скомпрометированных учетных записей Amazon SES, предназначенных для высокопоставленных ИТ-специалистов и администраторов. В электронных письмах обычно утверждается, что в учетных записях жертв ScreenConnect была обнаружена подозрительная активность при входе в систему, исходящая с необычных IP-адресов или географических местоположений. Эта тактика социальной инженерии направляет жертв на поддельные порталы входа в систему ScreenConnect, размещенные в доменах верхнего уровня с кодами стран (ccTLD). Платформа EvilGinx фиксирует имена пользователей, пароли и токены MFA в режиме реального времени, позволяя злоумышленникам получить полный доступ к учетным записям суперадминистраторов ScreenConnect жертв. Как только доступ защищен, злоумышленники могут в дальнейшем использовать учетные данные для развертывания дополнительных средств доступа или вредоносного ПО на управляемых конечных точках, тем самым облегчая перемещение внутри компании в сети жертвы.

Mimecast приняла меры для обнаружения и противодействия этой конкретной кампании, установив возможности обнаружения, которые фокусируются на поведенческих моделях, таких как злоупотребление Amazon SES, Имперсонация сервисов ScreenConnect и методы фишинга AITM. Постоянные корректировки их стратегий обнаружения основываются на постоянном мониторинге любых тактических изменений или изменений в инфраструктуре, связанных с кампанией, обеспечивая защиту от этих изощренных атак. Основными целями этой кампании являются ИТ-специалисты высшего звена, ИТ-директора, системные администраторы и сотрудники службы безопасности, работающие в роли суперадминистратора в организациях различных отраслей и регионов.

#ParsedReport #CompletenessHigh
29-08-2025

Operation HanKook Phantom: North Korean APT37 targeting South Korea

https://www.seqrite.com/blog/operation-hankook-phantom-north-korean-apt37-targeting-south-korea/

Report completeness: High

Actors/Campaigns:
Hankook_phantom (motivation: cyber_espionage)
Scarcruft (motivation: cyber_espionage)

Threats:
Rokrat
Spear-phishing_technique
Procmon_tool
Dll_injection_technique
Process_injection_technique

Victims:
South korea

Industry:
Military, Education, Government, Energy

Geo:
Asia-pacific, Nepal, Romania, China, Russia, Kuwait, Vietnam, Japan, Asia, Middle east, Korean, Korea, North korean, India, Russian, North korea

TTPs:
Tactics: 10
Technics: 23

IOCs:
File: 14
Url: 2
Hash: 10

Soft:
Dropbox, Chrome

Algorithms:
zip, base64, xor, crc-32

Functions:
Windows, Get-Content

Win API:
VirtualProtect, CreateThread, deletefile

Languages:
powershell, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, chats: 1, dump: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция "HanKook Phantom" - это киберкампания северокорейской группы сложных целенаправленных атак APT37, нацеленная на южнокорейские организации с помощью обманчивого PDF-файла, напоминающего законный информационный бюллетень. К этому прилагается вредоносный LNK-файл, который при запуске загружает вредоносную полезную нагрузку или выполняет команды для компрометации системы. Использование файлов LNK иллюстрирует стратегию APT37's по внедрению вредоносного кода в, казалось бы, безобидные документы для использования доверия пользователей и взлома сетей.
-----

Операция "HanKook Phantom" - это кампания, организованная северокорейской группой сложных целенаправленных атак, известной как APT37, в частности, нацеленная на организации в Южной Корее. Злоумышленники используют обманный подход, распространяя документ, похожий на законный "Информационный бюллетень Национального разведывательного исследовательского общества - выпуск 52". Эта приманка представлена в формате PDF и сопровождается вредоносным LNK-файлом с именем (52).pdf.LNK, который предназначен для отображения в связи с PDF-документом.

Выполнение файла LNK инициирует загрузку вредоносной полезной нагрузки или выполняет команды, способствующие компрометации системы. Использование файлов LNK является тактическим решением, поскольку эти файлы ярлыков Windows могут выступать в качестве эффективных средств доставки вредоносного ПО, часто используя доверие пользователей к связанным файлам. Этот метод встраивания Вредоносных ссылок в кажущиеся безобидными документы подчеркивает текущие угрозы, исходящие от APT37, и выделяет тактику, используемую для проникновения в целевые сети.

#ParsedReport #CompletenessMedium
28-08-2025

SikkahBot Malware Campaign Lures and Defrauds Students in Bangladesh

https://cyble.com/blog/sikkahbot-malware-defrauds-students-in-bangladesh/

Report completeness: Medium

Threats:
Sikkahbot
Smishing_technique

Victims:
Students, Banking users

Industry:
Financial, Education

Geo:
Bangladesh

TTPs:
Tactics: 5
Technics: 6

IOCs:
Url: 20
Hash: 13

Soft:
Android

Algorithms:
sha256

Functions:
USSD

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по распространению вредоносного ПО SikkahBot, действующая в Бангладеш с июля 2024 года, нацелена на студентов путем Маскировки под законные образовательные приложения, обещающие стипендии. Он использует социальную инженерию, чтобы заманить жертв к загрузке загруженного вредоносным ПО APK-файла, который собирает личную и финансовую информацию и получает широкие права доступа к устройствам. SikkahBot может перехватывать SMS-сообщения, связанные с банковскими операциями, и автоматизировать транзакции в таких приложениях, как bKash, повышая риск финансового мошенничества благодаря сложному профилю с низким уровнем обнаружения.
-----

Кампания вредоносного ПО "SikkahBot", выявленная Cyble Research and Intelligence Labs, представляет собой значительную киберугрозу, специально предназначенную для студентов в Бангладеш с июля 2024 года. Замаскированный под законные заявки от Совета по образованию Бангладеш, SikkahBot использует уязвимость студентов, обещая стипендии. Эта тактика заманивает пользователей к загрузке вредоносного ПО, которое позволяет злоумышленникам собирать личную и финансовую информацию.

SikkahBot в основном распространяется по сокращенным ссылкам, которые перенаправляют на вредоносные сайты загрузки APK, скорее всего, распространяемые с помощью кампаний smishing. После установки вредоносное ПО предлагает жертвам пройти аутентификацию через Google или Facebook, за которыми затем следуют запросы о предоставлении личных данных, таких как имя, отдел и институт. Приложение получает разрешения с высоким уровнем риска, включая доступ к SMS, управлению вызовами и службе специальных возможностей, которые обеспечивают широкий контроль над зараженными устройствами.

Основные возможности SikkahBot включают перехват SMS-сообщений, связанных с банковскими транзакциями, и автоматизацию действий в банковских приложениях, в частности, ориентированных на такие сервисы, как bKash, Nagad и DBBL. Он может автоматически заполнять учетные данные и выполнять несанкционированные транзакции с использованием USSD-кодов, что значительно увеличивает вероятность финансового мошенничества. Кроме того, низкий уровень обнаружения вредоносного ПО на таких платформах, как VirusTotal, указывает на его сложность, а новые варианты демонстрируют расширенные возможности автоматизации, что отражает постоянные усилия злоумышленников по разработке и совершенствованию стратегий вредоносного ПО.

Последствия операций SikkahBot серьезны, особенно для студенческой аудитории, которая часто более уязвима к подобным атакам. Вредоносное ПО не только представляет риск для личных данных пользователей, но и вызывает опасения по поводу более широкого финансового мошенничества, подчеркивая необходимость повышения осведомленности и принятия мер защиты от таких целенаправленных киберугроз в регионе.

#ParsedReport #CompletenessLow
29-08-2025

Cache Me If You Can (Sitecore Experience Platform Cache Poisoning to RCE)

https://labs.watchtowr.com/cache-me-if-you-can-sitecore-experience-platform-cache-poisoning-to-rce/

Report completeness: Low

Victims:
Sitecore experience platform users, Website operators

CVEs:
CVE-2025-53691 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53693 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53694 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-34509 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059, T1190, T1210, T1518

IOCs:
File: 14

Soft:
Sitecore, Twitter

Functions:
GetHandler, GetIndexOfFirstMatchToken, GetXamlPageHandler, SetRenderMethodDelegate, GetSystemFormValue, GetLegacyEvent, FindControl, FindClientControl, GetHandlers, GetMethodFiltered, have more...

Win Services:
bits

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ходе исследований, проведенных watchTowr Labs на платформе Sitecore Experience, были обнаружены две критические уязвимости: CVE-2025-53693, уязвимость, связанная с заражением HTML-кэша и позволяющая использовать его без аутентификации, и CVE-2025-53691, уязвимость, связанная с удаленным выполнением кода после аутентификации (RCE). Манипулируя поведением кэша, связанным с контрольными идентификаторами, и анализируя декомпилированный код, злоумышленники могут подсчитывать ключи кэша, облегчая процесс эксплуатации. Сочетание этих уязвимостей представляет серьезную угрозу, позволяя злоумышленникам внедрять вредоносный контент на управляемые сайты на платформе Sitecore.
-----

Исследование, проведенное watchTowr Labs на платформе Sitecore Experience, выявило две существенные уязвимости: уязвимость, связанную с заражением HTML-кэша (CVE-2025-53693) и уязвимость, связанную с удаленным выполнением кода после аутентификации (RCE) (CVE-2025-53691). Исследователи демонстрируют, как эти уязвимости могут быть использованы для компрометации даже полностью исправленных экземпляров Sitecore.

Первая уязвимость, WT-2025-0023, связана с проблемой небезопасного отображения, которая позволяет "отравить" HTML-кэш. Получив представление об идентификаторах элементов управления и процессе создания ключей кэша, исследователи смогли манипулировать поведением кэша. Как правило, Sitecore по умолчанию не кэширует содержимое, требуя от администраторов включить кэширование HTML, что часто упускается из виду. В исследовании подчеркивается, что знание ключей кэша имеет решающее значение для успешной эксплуатации, и отмечается, что они были обнаружены в результате анализа декомпилированного кода Sitecore. Это привело к появлению возможности перечислять ключи кэша с помощью ItemService API.

Кроме того, в исследовании обсуждается взаимодействие с ограниченными ролями пользователей, когда может быть сложно идентифицировать определенные элементы из-за отсутствия результатов, возвращаемых API в ограниченных условиях.

Последствия этих выводов значительны; заражение HTML-кэша позволяет злоумышленнику использовать систему без предварительной аутентификации, в то время как последующая уязвимость RCE повышает уровень риска, поскольку позволяет удаленно выполнять код внутри системы. Возможность перечислять и определять действительные ключи кэша упрощает процесс атаки, позволяя использовать то, что исследователи называют более чистым и эффективным методом использования.

Таким образом, выявленные уязвимости открывают широкие возможности для злоумышленников, в том числе для внедрения вредоносного контента на управляемые сайты через кэш, что повышает уровень угроз для пользователей платформы Sitecore.

#ParsedReport #CompletenessLow
29-08-2025

Wallet-Draining npm Package Impersonates Nodemailer to Hijack Crypto Transactions

https://socket.dev/blog/wallet-draining-npm-package-impersonates-nodemailer

Report completeness: Low

Actors/Campaigns:
Nikotimon

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Cryptocurrency users, Electron wallet users

Industry:
Financial

TTPs:

IOCs:
File: 12
Email: 1
Coin: 2

Soft:
Outlook, Electron

Wallets:
atomicwallet, exodus_wallet, tron

Crypto:
bitcoin, ethereum, tether, solana

Win API:
copyFile

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет npm, выдающий себя за законную библиотеку Nodemailer, нацелен на транзакции с криптовалютой, манипулируя атомарным кошельком в системах Windows. При выполнении он изменяет критически важные файлы поставщиков, чтобы изменить адреса получателей, перенаправляя средства на кошельки злоумышленников. Эта Компрометация цепочки поставок использует такие методы, как Маскировка и выполнение JavaScript, демонстрируя растущую сложность угроз в экосистеме JavaScript, связанных с Кражей денежных средств.
-----

Недавно появилась киберугроза, связанная с вредоносным пакетом npm, который выдает себя за законную библиотеку Nodemailer и в первую очередь нацелен на транзакции с криптовалютой. Этот вредоносный пакет разработан таким образом, чтобы сочетаться с легальными приложениями, сохраняя возможности отправки электронной почты, что делает его менее подозрительным при импорте в пользовательское приложение. После запуска пакет использует различные сложные методы для модификации приложений кошелька, в частности Atomic Wallet, в системах Windows.

Атака начинается с момента импорта вредоносного пакета, запуская последовательность действий, которые включают распаковку пакета приложений Atomic Wallet. Код злоумышленника вводится в критически важный файл поставщика, а затем приложение переупаковывается со встроенной вредоносной логикой. Эта манипуляция позволяет злоумышленнику изменить адрес получателя в процессе транзакции криптовалюты. В результате любые средства, которые обычно отправлялись бы на законный адрес, вместо этого поступают на кошельки, контролируемые злоумышленниками. Важно отметить, что это вмешательство происходит независимо от того, используется ли пакет npm для отправки электронного письма, что свидетельствует о серьезности угрозы.

Анализ, проведенный Socket AI Scanner, также показал, что этот вводящий в заблуждение пакет нацелен на среду выполнения электронных кошельков путем несанкционированных модификаций. Он распаковывает связанные архивы и внедряет вредоносные полезные файлы, которые затем переупаковываются, позволяя злоумышленникам поддерживать закрепление в системе, тайно выполняя свои вредоносные действия. Успешное выполнение этой атаки может иметь серьезные финансовые последствия для жертв, подчеркивая эффективность Компрометации цепочки поставок.

С точки зрения категоризации атак, используемые методы соответствуют нескольким платформам MITRE ATT&CK. В частности, угроза использует такие методы, как Компрометация цепочки поставок (T1195.002), Маскировка (T1036.005) и выполнение с помощью команд и скриптов JavaScript (T1059.007), среди прочего. Главной целью этой тактики является Кража денежных средств (T1657), демонстрирующая продуманный подход, применяемый злоумышленниками при подрыве законного программного обеспечения с целью получения незаконной выгоды. Этот инцидент подчеркивает растущую сложность киберугроз в экосистеме JavaScript, особенно тех, которые нацелены на приложения, связанные с криптовалютой.