#ParsedReport #CompletenessMedium
04-09-2025

Dark Web Profile: GLOBAL Ransomware

https://socradar.io/dark-web-profile-global-ransomware/

Report completeness: Medium

Actors/Campaigns:
Dragonforce

Threats:
Global-group-raas
Mamona
Eldorado_ransomware
Windows_locker
Shadow_copies_delete_technique

Industry:
Petroleum, Entertainment, Foodtech, Energy, Critical_infrastructure, Healthcare, E-commerce, Telco

Geo:
Belgium, Brazil, Ireland, United kingdom, Russian, Australia, Italy, Mexico, Lebanon, Sweden

TTPs:
Tactics: 10
Technics: 30

Soft:
Linux, ESXi, macOS, Windows Service

Algorithms:
chacha20-poly1305

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GLOBAL Ransomware - это новая программа-вымогатель как услуга (RaaS), появившаяся в середине 2025 года и связанная с более ранними семействами, такими как Mamona и BlackLock. Он предлагает аффилированным лицам от 80 до 85 процентов выплат выкупа, имеет панель управления, совместимую с мобильными устройствами, автономный сборщик полезной нагрузки вредоносного ПО для различных систем и использует чат-бота с искусственным интеллектом для переговоров о выкупе. Методология атаки опирается на филиалы для получения первоначального доступа и использует различные методы доставки полезной нагрузки для нарушения работы целевых сетей.
-----

GLOBAL Ransomware, также известная как GLOBAL GROUP, появилась как новая программа-вымогатель как услуга (RaaS) в середине 2025 года. Однако судебно-медицинский анализ указывает на связь с более ранними семействами программ-вымогателей, такими как Mamona и BlackLock. Операция была запущена на российской анонимной торговой площадке (RAMP), известной подпольной платформе для киберпреступной деятельности.

Эта модель RaaS утверждает, что обеспечивает конкурентное преимущество, предлагая аффилированным лицам значительную долю выплат выкупа, составляющую от 80 до 85 процентов. Он оснащен удобной панелью управления, совместимой с мобильными устройствами, автономным конструктором для создания полезных нагрузок вредоносного ПО, совместимых с различными системами, включая Windows, Linux и VMware ESXi, и использует чат-бота для переговоров, управляемого искусственным интеллектом, для облегчения обмена информацией о выкупе. Эта инфраструктура позиционирует GLOBAL как благоприятную платформу для филиалов, которые сосредоточены на предоставлении скомпрометированных точек входа в целевые сети.

Методология атаки, используемая GLOBAL Ransomware, многогранна и в значительной степени зависит от первоначального доступа, предоставляемого аффилированными лицами. Универсальность операции по доставке полезной нагрузки в сочетании с агрессивными методами, направленными на разрушение целевых сетей, повышает ее эффективность. Разнообразная природа этого RaaS, обусловленная множеством партнерских методов, приводит к разнообразной тактике вторжения, которая делает необходимой целенаправленную защиту.

Снижение рисков, связанных с глобальными программами-вымогателями, требует комплексной стратегии защиты, включающей меры по предотвращению, обнаружению и восстановлению. Организации должны применять многоуровневый подход к обеспечению безопасности, чтобы эффективно противодействовать разнообразным методам вторжения, используемым аффилированными злоумышленниками. Это требует усиленного мониторинга для раннего обнаружения вторжений, надежных протоколов резервного копирования для обеспечения восстановления, а также постоянных обновлений и обучения для повышения устойчивости к этому меняющемуся ландшафту угроз.

#ParsedReport #CompletenessMedium
04-09-2025

Not Safe for Work: Tracking and Investigating Stealerium and Phantom Infostealers

https://www.proofpoint.com/us/blog/threat-insight/not-safe-work-tracking-and-investigating-stealerium-and-phantom-infostealers

Report completeness: Medium

Actors/Campaigns:
Ta2715 (motivation: cyber_criminal)
Ta2536

Threats:
Phantom_stealer
Stealerium_stealer
Lumma_stealer
Amatera_stealer
Snake_keylogger

Victims:
Banks, Charitable foundations, Courts, Document services

Industry:
Financial, Entertainment, Education

Geo:
Canadian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016.001, T1027, T1053.005, T1059.001, T1059.005, T1059.007, T1074.001, T1112, T1204.002, T1497, have more...

IOCs:
Command: 1
Url: 1
Path: 1
Hash: 6

Soft:
Steam, Zulip, Windows Defender, chrome, Outlook, Discord, Telegram

Algorithms:
md5, aes

Languages:
javascript, powershell

Links:
have more...
https://github.com/witchfindertr/Stealerium
https://github.com/Stealerium/Stealerium

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние данные Proofpoint указывают на рост зависимости киберпреступников от похитителей информации, в частности Stealerium и его разновидностей, таких как Phantom Stealer. Изначально Stealerium's был с открытым исходным кодом, но доступность привела к его модификации злоумышленниками, что позволило избежать обычного обнаружения. Вредоносное ПО использует различные методы доставки, проводит разведку сети, поддерживает закрепление с помощью запланированных задач и предлагает настраиваемые параметры эксфильтрации, создавая значительные риски для конфиденциальных данных.
-----

Недавние наблюдения исследователей Proofpoint указывают на растущую тенденцию среди киберпреступников, которые все чаще используют средства для кражи информации, в частности Stealerium и его разновидности, такие как Phantom Stealer. Stealerium возник как вредоносное ПО с открытым исходным кодом, доступное на таких платформах, как GitHub, где оно служит для обучения как специалистов по кибербезопасности, так и акторов-злоумышленников. Доступность этого вредоносного ПО привела к его адаптации и модификации злоумышленниками, что привело к различным итерациям, которые могут обойти типичные меры обнаружения.

Киберпреступники отдают предпочтение похитителям информации из-за их способности собирать конфиденциальные данные, при этом отмечается переход от вредоносного ПО как услуги, таких как Lumma и Amatera Stealer, к открыто доступному вредоносному ПО, такому как Stealerium. Тактика, используемая в кампаниях Stealerium, включает в себя различные способы доставки, при этом вредоносные электронные письма используют различные типы вложений, такие как сжатые исполняемые файлы, JavaScript и ISO-файлы. Эти электронные письма обычно выдают себя за законные организации, такие как благотворительные организации и банки, используя строки темы, которые указывают на срочность, тем самым повышая вероятность вовлечения пользователей.

После запуска Stealerium проводит разведку сетевого окружения жертвы, используя такие команды, как "netsh wlan", для сбора информации о сохраненных профилях Wi-Fi и близлежащих сетях. Вредоносное ПО также использует скрипты PowerShell для создания исключений в Защитнике Windows и использует запланированные задачи для поддержания закрепления, избегая обнаружения. Его меры защиты от анализа гарантируют, что в любой момент времени в системе запускается только один экземпляр вредоносного ПО.

Что касается функциональности, Stealerium легко настраивается, а его настройки хранятся в структурированном формате, что повышает его адаптивность. Вредоносное ПО создает в системе определенный каталог для хранения отфильтрованных данных, причем соглашения об именовании часто основаны на профиле пользователя жертвы, что помогает упорядочить украденную информацию. Кроме того, Stealerium предлагает различные методы эксфильтрации данных, что увеличивает угрозу, которую он представляет как для отдельных лиц, так и для организаций.

#ParsedReport #CompletenessMedium
03-09-2025

ViewState Deserialization Zero-Day Vulnerability in Sitecore Products (CVE-2025-53690)

https://cloud.google.com/blog/topics/threat-intelligence/viewstate-deserialization-zero-day-vulnerability/

Report completeness: Medium

Threats:
Viewstate_deserialization_vuln
Weepsteel
Earthworm_tool
Dwagent_tool
Bloodhound_tool
Ghostcontainer
Netstat_tool
Rssock_tool
Credential_dumping_technique
Nltest_tool

Victims:
Sitecore deployments, Web application administrators

CVEs:
CVE-2025-53690 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.002, T1005, T1016, T1021.001, T1027, T1036.005, T1046, T1071.001, T1078, T1083, have more...

IOCs:
File: 18
Path: 16
Hash: 7
IP: 5
Registry: 2
Url: 1

Soft:
Sitecore, ASP.NET, Active Directory

Algorithms:
base64, zip, sha256, aes

Win API:
GetProcessInformation

Platforms:
x64

YARA: Found

Links:
https://github.com/Ridter/cve-2020-0688/blob/master/ExchangeCmdPy.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость, идентифицированная как CVE-2025-53690 в продуктах Sitecore, позволяет удаленно выполнять код из-за неправильной настройки ASP.NET машинные ключи, приводящие к эксплуатации злоумышленниками. Они нацелились на страницу /sitecore/blocked.aspx, что позволило им выполнить атаку ViewState deserialization, которая использовала полезную нагрузку вредоносного ПО, известную как WEEPSTEEL для разведки. Злоумышленник установил закрепление с помощью средства удаленного доступа DWAGENT, выполнил разведку Active Directory и использовал слабо сохраненные учетные данные для облегчения дальнейшего перемещения внутри компании в сети.
-----

Серьезная уязвимость ViewState deserialization, идентифицированная как CVE-2025-53690, была обнаружена в продуктах Sitecore, что привело к активному использованию ее злоумышленниками. Уязвимость возникает из-за использования широко открытых ASP.NET машинные ключи в документации по развертыванию Sitecore, датируемой 2017 годом, что позволяло злоумышленникам выполнять удаленный код. Mandiant Threat Defense сообщила, что первоначальное нарушение было выполнено путем использования этой уязвимости в экземпляре Sitecore, выходящем в Интернет, что позволило удаленно выполнить код и привело к проникновению полезной нагрузки, известной как WEEPSTEEL.

Атака началась с того, что злоумышленник исследовал веб-сервер жертвы с помощью различных HTTP-запросов, в конечном счете сосредоточившись на странице /sitecore/blocked.aspx. Использование скрытой формы ViewState на этой конкретной странице в сочетании с ее доступностью без аутентификации сделало ее мишенью для эксплуатации. Атаки ViewState deserialization используют автоматическую deserialization of ViewState сообщений сервера, которая может происходить, когда меры проверки неэффективны или обходятся. Когда машинные ключи скомпрометированы, приложение становится неспособным различать законные и вредоносные данные ViewState, создавая серьезную угрозу безопасности.

После эксплуатации актор извлек полезную нагрузку ViewState и показал встроенную сборку .NET, Information.dll, классифицируемая как WEEPSTEEL — инструмент разведки, аналогичный распознанным бэкдорам и вредоносному ПО для сбора информации. Злоумышленник использовал первоначальный доступ, полученный с помощью привилегий СЕТЕВОЙ службы, которые встроены в рабочие процессы IIS, для продолжения своей деятельности. Это включало архивирование важных конфигурационных файлов, таких как web.config, из корневого каталога Sitecore Content Delivery web, в котором хранится конфиденциальная информация о серверной части приложения.

Затем злоумышленник установил закрепление в среде, установив DWAGENT, инструмент удаленного доступа с открытым исходным кодом, и использовал EARTHWORM, инструмент туннелирования, для облегчения связи в обход мер безопасности. Незаконно присвоенные учетные записи локальных администраторов были созданы под вымышленными именами, что позволило злоумышленнику удалить конфиденциальные базы данных реестра и обезопасить кэшированные учетные данные администратора для перемещения внутри компании. Эта тактика распространилась на использование Протокола удаленного рабочего стола (RDP) для дальнейших взломов дополнительных хостов.

Разведка Active Directory была еще одним важным этапом атаки. Запустив DWAGENT, актор собрал информацию о контроллерах домена и запросил привилегированные учетные данные, которые слабо хранятся в объектах групповой политики. Развертывание SHARPHOUND, компонента, связанного с BLOODHOUND для анализа безопасности Active Directory, еще больше облегчило работу по разведке, которая позволила получить представление о привилегированных группах пользователей.

#ParsedReport #CompletenessLow
04-09-2025

Cato CTRL Threat Research: Threat Actors Abuse Simplified AI to Steal Microsoft 365 Credentials

https://www.catonetworks.com/blog/cato-ctrl-threat-actors-abuse-simplified-ai-to-steal-microsoft-365-credentials/

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Us based organizations, Investment sector

Industry:
Healthcare

ChatGPT TTPs:
do not use without manual check
T1027.013, T1036, T1071.001, T1566.001, T1566.002, T1656

IOCs:
Url: 1
IP: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июле 2025 года была обнаружена кампания фишинга, нацеленная на американские организации, в частности, затронувшая инвестиционную фирму. Злоумышленники использовали электронные письма с Целевым фишингом, которые выдавали себя за руководителя фармацевтической компании, используя защищенное паролем вложение в формате PDF, чтобы избежать обнаружения, с паролем, удобно указанным в электронном письме. PDF-файл привел пользователей на поддельную страницу, имитирующую доверенный домен, подчеркнув эволюционирующую тактику злоумышленников, которые сочетают социальную инженерию с техническим уклонением, чтобы использовать уязвимости, связанные с технологиями искусственного интеллекта.
-----

В июле 2025 года служба управляемого обнаружения и реагирования (MDR) Cato раскрыла кампанию фишинга, направленную против организаций, базирующихся в США, которая, в частности, заманила в ловушку одну инвестиционную фирму. Атака была быстро обнаружена и пресечена, что предотвратило дальнейший компромисс. С тех пор кампания была признана неактивной.

Начальный этап этой атаки с использованием фишинга включал отправку электронного письма с Целевым фишингом, которое выдавало себя за руководителя глобального фармацевтического дистрибьютора. В электронном письме эффективно использовался логотип компании и упоминалось имя руководителя, подтвержденное через LinkedIn, чтобы повысить доверие и снизить настороженность получателя. Эта тактика была специально разработана для повышения вероятности попадания в цель, и в ней использовалось защищенное паролем PDF-вложение, чтобы избежать обнаружения автоматическими средствами защиты электронной почты. Пароль был включен в текст письма для удобства получателя, облегчая доступ к вложению.

При открытии PDF-файла в документе отображался бренд фармацевтической компании и содержалась ссылка, которая перенаправляла пользователя на упрощенную платформу искусственного интеллекта. Этот подход использовал доверие, связанное с доменами, внесенными в белый список или общепринятыми доменами, что делает его эффективной стратегией обхода механизмов обнаружения. Страница с фишингом продолжила обман, скопировав внешний вид организации руководителя вместе с упрощенным логотипом.

Эта кампания олицетворяет инновационные методы, используемые злоумышленниками, которые успешно объединили стратегии социальной инженерии, такие как Имперсонация руководителей и авторитетный брендинг, с техническими тактиками уклонения, такими как зашифрованные вложения и надежные ссылки на сервисы искусственного интеллекта. Цепочка атак свидетельствует о сложных методах, используемых для обхода традиционных мер безопасности, и иллюстрирует значительные риски, связанные с некритичным использованием технологий искусственного интеллекта.

Хотя непосредственная угроза, исходящая от этой конкретной кампании, уменьшилась, она подчеркивает более широкий спектр рисков, при которых надежные платформы искусственного интеллекта могут быть использованы в качестве оружия для атак фишинга, которые кажутся заслуживающими доверия и которые трудно обнаружить. Результаты этой кампании свидетельствуют о настоятельной необходимости для служб безопасности тщательно проверять трафик, связанный с ИИ, с таким же тщанием, как и любой незнакомый домен, поскольку быстрое внедрение ИИ на предприятиях продолжает выявлять новые уязвимости. При защите от такой современной тактики фишинга решающее значение для защиты имеет улучшенная видимость, выходящая за рамки обычной фильтрации электронной почты и блокирования URL-адресов.

#ParsedReport #CompletenessHigh
05-09-2025

New Botnet Emerges from the Shadows: NightshadeC2

https://www.esentire.com/blog/new-botnet-emerges-from-the-shadows-nightshadec2

Report completeness: High

Threats:
Nightshade
Clickfix_technique
Uac_bypass_technique
Lumma_stealer
Lolbin_technique

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1059.001, T1059.006, T1070.004, T1102, T1105, T1204.002, T1548.002, T1562.001, have more...

IOCs:
File: 7
Registry: 3
Domain: 10
Command: 1
Url: 3
IP: 24
Hash: 32

Soft:
Steam, Windows Defender, Chromium, Microsoft Defender, Winlogon, Firefox, Chrome, Google Chrome, Microsoft Edge

Algorithms:
rc4, exhibit

Functions:
Remove-Item

Win API:
messagebox, GetUserNameW, GetComputerNameExW, SetThreadExecutionState, CreateWindowExW, RegisterClassExW, AddClipboardFormatListener, SetWindowsHookExW, GetWindowTextW, SendInput, have more...

Win Services:
WinDefend

Languages:
python, powershell

YARA: Found

Links:
https://github.com/esentire/iocs/tree/main/Nightshade/SandboxBypass/bin/Release
https://github.com/Kudaes/Elevator

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, code: 18, dump: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет NightshadeC2, впервые обнаруженный в августе 2025 года, использует "UAC Prompt Bombing" для уклонения от анализа вредоносного ПО и обхода Защитника Windows. Первоначальный доступ осуществляется с помощью метода, называемого ClickFix, который предлагает жертвам выполнить вредоносную команду. Полезная нагрузка ботнет, доставляемая через загрузчик .NET, использующий PowerShell, предназначена для запроса IP-адресов жертв для уклонения от обнаружения и адаптируется злоумышленниками в вариант на Python, сохраняя свои вредоносные возможности и позволяя выполнять операции командования и контроля через URL-адреса steam.
-----

Недавно идентифицированный ботнет под названием "NightshadeC2" появился в августе 2025 года и развертывается с помощью загрузчика, использующего технику, известную как "UAC Prompt Bombing", чтобы обойти "песочницы" анализа вредоносного ПО и исключить его полезную нагрузку из Защитника Windows. Вектор первоначального доступа включает в себя метод, называемый ClickFix, при котором жертвам предлагается выполнить вредоносную команду в командной строке Windows после отображения captcha.

Во время второго этапа атаки ботнет загружает и расшифровывает загрузчик на базе .NET. Этот погрузчик использует преимущества сборки.Загрузить для выполнения метода, который исключает последующую полезную нагрузку NightshadeC2 из Защитника Windows путем запуска запроса UAC. Загрузчик, хотя и варьируется в зависимости от выборки, обычно содержит запутанный код, который использует команду PowerShell, выполняемую в новом процессе. В последней версии этого загрузчика используется UAC bypass, позволяющий добавлять исключение для конечной полезной нагрузки перед ее записью на диск. Успешное выполнение этой команды PowerShell (обозначенной кодом завершения, равным 0) позволяет доставить вариант NightshadeC2. Также были инциденты, когда этот загрузчик, как сообщается, использовался для распространения другого вредоносного ПО, такого как Lumma Stealer.

Было создано доказательство концепции (PoC), иллюстрирующее UAC bypass, используемый загрузчиком, демонстрирующее, что обход эффективен при остановке службы защитника Windows. Вредоносное ПО, идентифицированное как updater.exe , упаковывается и выполняет полезную нагрузку NightshadeC2 через модуль stomping of shell32.dll . Первоначально полезная нагрузка запрашивает информацию об IP-адресе жертвы, что, вероятно, позволит избежать обнаружения исследователями безопасности и изолированными средами.

Сообщается, что злоумышленники начали преобразовывать вредоносное ПО NightshadeC2 на основе C в вариант на Python, используя языковую модель. Этот вариант сохраняет основные функциональные возможности, включая загрузку и выполнение Вредоносных файлов, самоудаление и возможности обратной оболочки. Варианты Nightshade также интегрируют URL-адреса steam для облегчения операций командования и контроля, позволяя злоумышленникам изменять свою инфраструктуру C2, сохраняя при этом тот же URL-адрес steam.

Ботнет использует различные методы UAC bypass, один из которых основан на уязвимости 2019 года, позволяющей осуществлять повышение привилегий посредством поведения сервера RPC в UAC. Непрерывные усилия по обнаружению глобальных угроз направлены на выявление этих показателей во всех сетях и соответствующую адаптацию средств защиты, повышая готовность к вариантам NightshadeC2 и их эволюционирующим методологиям атак.

#ParsedReport #CompletenessHigh
04-09-2025

Contagious Interview \| North Korean Threat Actors Reveal Plans and Ops by Abusing Cyber Intel Platforms

https://www.sentinelone.com/labs/contagious-interview-threat-actors-scout-cyber-intel-platforms-reveal-plans-and-ops/

Report completeness: High

Actors/Campaigns:
Contagious_interview
Lazarus
Gwisin
Clickfake_interview

Threats:
Clickfix_technique
Contagiousdrop
Supply_chain_technique

Victims:
Job seekers, Threat intelligence consumers, Threat researchers, Cybersecurity professionals

Industry:
Financial

Geo:
Japanese, North korea, North korean

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1204, T1566, T1583, T1585, T1589, T1593, T1596

IOCs:
Email: 33
IP: 12
Domain: 31
File: 5
Url: 1
Hash: 3

Soft:
Slack, Gmail, curl, Astrill VPN, Node.js, Starlink, macOS, Linux

Algorithms:
sha1

Languages:
javascript

Platforms:
intel

Links:
https://github.com/stamparm/maltrail/blob/master/trails/static/malware/apt\_lazarus.txt
https://github.com/stamparm/maltrail/tree/master

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейские злоумышленники, связанные с кампанией Contagious Interview, используют передовые методы социальной инженерии, в частности, ClickFix для повышения оперативной безопасности и поиска активов. Они демонстрируют адаптивное поведение при создании учетных записей на платформах CTI, таких как Validin, чтобы избежать обнаружения, одновременно координируя свои разведывательные усилия из нескольких источников, включая VirusTotal. Несмотря на признание рисков обнаружения, их подход предполагает спорадические изменения инфраструктуры и развертывание приложений ContagiousDrop, что указывает на высокий уровень взаимодействия с потенциальными жертвами.
-----

Северокорейские злоумышленники, связанные с кампанией Contagious Interview, активно используют платформы разведки киберугроз (CTI) для мониторинга своей оперативной безопасности и поиска новых активов. Этот анализ показывает изощренное использование этими группами техники социальной инженерии ClickFix, характеризующееся их скоординированными командными усилиями и сотрудничеством в режиме реального времени. Они документируются с использованием нескольких источников разведывательной информации, включая Validin, VirusTotal и Maltrail, для поддержания их операционной жизнеспособности, даже когда они сталкиваются с постоянными рисками обнаружения.

Злоумышленники начали свою деятельность с создания учетных записей на платформе Validin, продемонстрировав целенаправленный подход, при котором регистрация происходила в короткие сроки. Столкнувшись с блокировками доступа, они адаптировались, зарегистрировав новые учетные записи с использованием альтернативных доменов электронной почты, что предполагает стратегический ответ на обнаружение. Методы, используемые для создания учетной записи и координации, указывают на системный подход к сбору разведывательной информации, поскольку они задействовали несколько платформ одновременно для сбора информации, избегая при этом тщательной проверки.

Взаимодействие с информацией CTI в значительной степени повлияло на управление их инфраструктурой. Хотя злоумышленники продемонстрировали понимание потенциальных рисков, они проявили ограниченную инициативу в том, чтобы сделать свою инфраструктуру менее обнаруживаемой, предпочтя вместо этого спорадические изменения, которые мало что сделали для сокрытия их операций. Кроме того, они изучили потенциальную инфраструктуру, чтобы избежать ранее выявленных вредоносных ресурсов, гарантируя, что у вновь приобретенных ресурсов будет меньше шансов поднять флаги обнаружения.

Приложения ContagiousDrop, развертываемые через серверы распространения вредоносного ПО ClickFix, облегчают взаимодействие с жертвами. Журналы показали, что более 230 человек участвовали во взаимодействиях с этими кампаниями, что отражает значительный уровень вовлеченности, вероятно, затрагивающий более широкую аудиторию, поскольку данные были получены всего с нескольких серверов.

#ParsedReport #CompletenessMedium
05-09-2025

Malicious npm Packages Impersonate Flashbots SDKs, Targeting Ethereum Wallet Credentials

https://socket.dev/blog/malicious-npm-packages-impersonate-flashbots-sdks-targeting-ethereum-wallet-credentials

Report completeness: Medium

Actors/Campaigns:
Flashbotts

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Developers, Mev operators, Arbitrage bot operators, Flashbots users, Ethereum wallet users

Industry:
Petroleum, E-commerce, Critical_infrastructure

Geo:
Vietnamese

TTPs:
Tactics: 1
Technics: 6

IOCs:
Email: 1
File: 21
Coin: 1
Url: 3
Domain: 1

Soft:
Telegram, Outlook

Wallets:
mainnet

Crypto:
ethereum

Algorithms:
base64

Functions:
signBundle, create, initFlashbotBundle

Win API:
sendMessage

Languages:
typescript, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4