#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MostereRAT - это изощренная кампания, нацеленная на японских пользователей с помощью фишинг-писем, облегчающая первоначальный доступ по Вредоносной ссылке. Вредоносное ПО, разработанное на простом языке программирования, использует простой метод расшифровки и получает контроль, выполняя процессы от имени учетной записи TrustedInstaller, минуя стандартную систему безопасности. Его расширенные возможности удаленного доступа включают многопоточность для команд и мониторинга, ведение журнала нажатий клавиш и возможность манипулировать файлами в каталоге "/database", препятствуя работе антивируса.
-----

Кампания MostereRAT демонстрирует изощренный подход к кибератакам, нацеленный, в частности, на японских пользователей с помощью фишинга электронных писем, замаскированных под законные деловые сообщения. Как только пользователь нажимает на Вредоносную ссылку, он получает первоначальный доступ, позволяющий злоумышленникам выполнить свою полезную нагрузку.

Вредоносный компонент, называемый "document.exe " использует базовый метод дешифрования с использованием простой операции вычитания со значением ключа A. Компоненты вредоносного ПО, включая средства удаленного мониторинга и управления, хранятся в каталоге C:\ProgramData\Windows . MostereRAT разработан с использованием Easy Programming Language (EPL), языка программирования, ориентированного на начинающих, особенно на носителей китайского языка.

Примечательной особенностью этого вредоносного ПО является его способность повышать привилегии, выполняя процессы от имени учетной записи TrustedInstaller, которая имеет значительный контроль над операционной системой Windows. Эта возможность позволяет вредоносному ПО обходить типичные меры безопасности. Для повышения скрытности и эффективности MostereRAT включает списки, которые идентифицируют различные антивирусные решения и решения для обнаружения конечных точек и реагирования на них (EDR) и создают помехи для них, препятствуя их функциональности.

Модуль 2, обозначаемый как "elsedll.db", включает в себя расширенные функции удаленного доступа, использующие многопоточность для облегчения операций командования и контроля, мониторинга действий, связанных с платформой Qianniu (часть Alibaba), и регистрации нажатий клавиш. Этот модуль также способен загружать и выполнять различные форматы полезной нагрузки — включая шелл—код, библиотеки DLL и EXE-файлы - с помощью различных методов, включая извлечение полезной нагрузки из командных соединений или указанных URL-адресов через libcurl.

Вредоносное ПО специально нацелено на файлы в каталоге "/database", позволяя выполнять операции чтения, записи и удаления. Кроме того, он может запускать инструменты удаленного доступа и прокси-сервера; он использует такие инструменты, как AnyDesk, Xray и TigerVNC, предоставляя злоумышленникам эксклюзивный доступ к скомпрометированным системам.

#ParsedReport #CompletenessMedium
09-09-2025

The Rise of RatOn: From NFC heists to remote control and ATS

https://www.threatfabric.com/blogs/the-rise-of-raton-from-nfc-heists-to-remote-control-and-ats

Report completeness: Medium

Threats:
Raton
Nfskate

Victims:
Banking, Cryptocurrency wallets, Mobile users

Industry:
Financial

Geo:
Czech, Russian, Slovakia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1219, T1410, T1411, T1417, T1419, T1583.001, T1626

IOCs:
File: 2
Domain: 4
Hash: 19

Soft:
Android, WhatsApp

Wallets:
metamask

Crypto:
bitcoin

Algorithms:
sha256

Functions:
exported

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RatOn - это недавно разработанный троян удаленного доступа, который использует передовые методы, такие как атаки наложением, возможности ретрансляции NFC и функции автоматизированной системы передачи данных, и не имеет никакого сходства с существующим вредоносным ПО. В первую очередь он нацелен на пользователей, говорящих на чешском и словацком языках, через сайты для взрослых, на которых размещено вредоносное приложение dropper. RatOn может осуществлять изощренное финансовое мошенничество, включая захват учетных записей на криптовалютных кошельках, и работает с помощью подробных наборов команд для сложных взаимодействий.
-----

Появление троянца удаленного доступа RatOn (RAT) знаменует собой значительную эволюцию в методологиях борьбы с киберугрозами, объединяющую традиционные оверлейные атаки, возможности ретрансляции NFC и функции автоматизированной системы передачи данных (ATS) в единую и сложную структуру вредоносного ПО. Проанализированный аналитиками ThreatFabric MTI, RatOn был разработан с нуля, не обнаруживая сходства кода с существующими семействами вредоносных ПО, что свидетельствует о значительном уровне знаний его разработчиков.

Вектор первоначального доступа для RatOn предполагает заманивание жертв через домены с контентом для взрослых, специально ориентированным на аудиторию, говорящую на чешском и словацком языках. Эти домены, часто содержащие фразы типа "TikTok18+", непосредственно размещают вредоносное приложение-дроппер, хотя точные механизмы взаимодействия с жертвами остаются неясными.

Технически RatOn предлагает функциональность для оверлейных атак, позволяя оператору командовать вредоносным ПО для отображения оверлейных страниц, которые могут эффективно имитировать законные приложения. Эта возможность подкрепляется поддержкой автоматических денежных переводов, чему способствует API служб специальных возможностей. Примечательно, что вредоносное ПО продемонстрировало глубокое понимание дизайна приложения одного конкретного чешского банка, что позволило злоумышленникам манипулировать визуальной структурой в своих интересах.

Кроме того, RatOn включает в себя функциональность для выполнения атак на захват учетных записей, нацеленных на криптовалютные кошельки, расширяя возможности для финансового мошенничества. Набор команд, поддерживаемый RatOn, обширен и работает с помощью объектов JSON, которые детализируют идентификаторы команд и свойства, обеспечивая сложные взаимодействия между вредоносным ПО и скомпрометированными устройствами.

#ParsedReport #CompletenessHigh
09-09-2025

Unmasking The Gentlemen Ransomware: Tactics, Techniques, and Procedures Revealed

https://www.trendmicro.com/en_us/research/25/i/unmasking-the-gentlemen-ransomware.html

Report completeness: High

Actors/Campaigns:
Gentlemen_ransomware

Threats:
Gentlemen_ransomware
Anydesk_tool
Nmap_tool
Putty_tool
Lolbin_technique
Wevtutil_tool
Shadow_copies_delete_technique
Credential_dumping_technique
Ransom.win64.gentleman.thhaibe
Burntcigar

Victims:
Manufacturing, Construction, Healthcare, Insurance, Organizations in asia pacific

Industry:
Critical_infrastructure, Healthcare

Geo:
Thailand, Asia-pacific

TTPs:
Tactics: 11
Technics: 25

IOCs:
File: 44
Path: 8
Registry: 3
Command: 12
Hash: 4

Soft:
WinSCP, PSExec, Active Directory, Windows Defender, MySQL, MSSQL, postgresql, MariaDB, msexchange, docker, have more...

Algorithms:
base64

Functions:
Get-ADDomain, Set-MpPreference

Win Services:
AcrSch2Svc, VSNAPVSS, MVarmor64, MVarmor, VeeamTransportSvc, VeeamDeploymentService, VeeamNFSSvc, AcronisAgent, QBIDPService, QBDBMgrN, have more...

Languages:
powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогателей Gentlemen представляет собой сложную угрозу, нацеленную на критически важные отрасли промышленности по всему миру с помощью передовой тактики, использующей такие уязвимости, как компрометация привилегированной учетной записи и использование драйверов. Они настраивают свои атаки, адаптируясь к защите с помощью таких методов, как перемещение внутри компании с помощью PsExec и используя законные инструменты, такие как WinSCP, для эксфильтрации данных. Их программа-вымогатель рассылается по общим ресурсам домена NETLOGON, оставляя конкретное расширение файла и записку о выкупе, отражающую их финансовые мотивы и всестороннее планирование.
-----

Группа вымогателей Gentlemen превратилась в изощренную киберугрозу, использующую передовые тактики и адаптивные методы для взлома корпоративной среды во многих критически важных отраслях, в частности в производстве, здравоохранении, строительстве и страховании, и затрагивающую по меньшей мере 17 стран. Их кампания характеризуется использованием специализированных инструментов, предназначенных для обхода существующих средств защиты конечных точек предприятия и манипулирования механизмами безопасности.

Анализ показывает, что злоумышленники систематически компрометируют среду, используя такие методы, как компрометация привилегированной учетной записи, использование законных драйверов и пользовательских антивирусных утилит. Они обладают уникальной способностью изменять свои методы атак в середине кампании, демонстрируя высокую степень гибкости и глубокое понимание программного обеспечения безопасности. Это позволяет им адаптировать свою тактику в зависимости от средств защиты, с которыми они сталкиваются, отмечая переход от оппортунистических атак вымогателей к целенаправленным методам проникновения, основанным на тщательной разведке.

Ключевые компоненты их операций включают изучение структур Active Directory и целенаправленное манипулирование параметрами групповой политики, которые используются для развертывания вредоносных конфигураций в затронутых сетях. Группа продемонстрировала мастерство в перемещении внутри компании, используя PsExec и другие методы living-off-the-land, при этом систематически ухудшая протоколы безопасности путем внесения изменений в реестр.

Эксфильтрация данных обычно проводится с использованием законных инструментов, таких как WinSCP, которые обеспечивают надежность и шифрование при передаче конфиденциальной внутренней документации. Механизм развертывания самой программы-вымогателя предполагает распределение полезной нагрузки по общему ресурсу NETLOGON домена, обеспечивая широкое воздействие. Отмечается, что программа-вымогатель добавляет определенное расширение файла и оставляет после себя записку с требованием выкупа, подчеркивающую финансовую мотивацию атак.

Чтобы противостоять этим угрозам, организациям рекомендуется усилить свою систему кибербезопасности с использованием принципов нулевого доверия, которые включают устранение неограниченного доступа к RDP, обеспечение Многофакторной аутентификации и внедрение надежной сегментации сети. Кроме того, следует усилить меры защиты конечных точек для защиты от специальной тактики завершения процесса группы. Используя такие функции, как защита от несанкционированного доступа и самозащита агентов в решениях endpoint security, организации могут усилить свою защиту от методов, используемых группой вымогателей Gentlemen, обеспечивая устойчивость к аналогичным продвинутым угрозам.

#ParsedReport #CompletenessHigh
09-09-2025

Blurring the Lines: Intrusion Shows Connection With Three Major Ransomware Gangs

https://thedfirreport.com/2025/09/08/blurring-the-lines-intrusion-shows-connection-with-three-major-ransomware-gangs/

Report completeness: High

Actors/Campaigns:
Dragonforce
Play_ransomware

Threats:
Ransomhub
Sectop_rat
Systembc
Betruger
Softperfect_netscan_tool
Adfind_tool
Bloodhound_tool
Grixba
Impacket_tool
Wmiexec_tool
Playcrypt
Dragonforce_ransomware
Netscan_tool
Dcsync_technique
Nltest_tool
Winrm_tool
Process_injection_technique
Timestomp_technique
Credential_harvesting_technique
Screen_shotting_technique
Credential_dumping_technique
Bitsadmin_tool
Lolbin_technique
Mimikatz_tool
Qakbot

Geo:
China

TTPs:
Tactics: 12
Technics: 37

IOCs:
File: 26
IP: 4
Path: 15
Registry: 2
Domain: 2
Hash: 10

Soft:
WinSCP, PsExec, Microsoft Defender, Windows Background Intelligent Transfer Service, Chrome, Sysinternals PsExec, Windows Defender, Steam, Discord, Telegram, have more...

Algorithms:
zip

Functions:
Get-ADComputer

Win API:
LdrLoadDll

Win Services:
BITS

Languages:
powershell

YARA: Found
SIGMA: Found

Links:
https://github.com/fortra/impacket/blob/master/examples/wmiexec.py
https://github.com/Bert-JanP/Hunting-Queries-Detection-Rules/blob/main/Defender%20For%20Endpoint/ttp\_t1127-001\_suspNetworkConnMSBuild.md

#ParsedReport #ExtractedSchema

Classified images:
schema: 11, table: 19, code: 7, windows: 10, dump: 2, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2024 года было инициировано вторжение с помощью Вредоносного файла, замаскированного под приложение EarthTime, которое развернуло троян удаленного доступа SectopRAT (RAT) для связи C2. Злоумышленники установили закрепление с помощью фоновой службы интеллектуальной передачи данных Windows (BITS) и выполнили повышение привилегий с помощью PsExec. Используя RDP и такие инструменты, как WMIExec от Impacket для перемещения внутри компании, они использовали пользовательский инструмент FS64.exe для эксфильтрации данных, выделяя передовые тактики, согласующиеся с аффилированными лицами программ-вымогателей.
-----

Подробное описание вторжения началось в сентябре 2024 года, когда пользователь загрузил Вредоносный файл, Маскировками выдававший себя за законное приложение EarthTime. Этот исполняемый файл инициировал развертывание SectopRAT, троянца удаленного доступа на базе .NET (RAT), позволяющего злоумышленнику подключаться к серверам командования и контроля (C2). Вредоносный файл был подписан отозванным сертификатом от подозрительного органа, который известен тем, что подписывает различные образцы вредоносного ПО.

Закрепление было установлено с помощью двух основных методов, использующих фоновую интеллектуальную службу передачи данных Windows (BITS). Исходный исполняемый файл был скопирован в другое место, переименован, чтобы отображаться как законный инструмент отладки Chrome, и в папке автозагрузки был создан ярлык, обеспечивающий его выполнение при входе пользователя в систему. Атака продемонстрировала методы повышения привилегий с использованием PsExec от Microsoft Sysinternals, позволяющие злоумышленникам выполнять процессы с привилегиями системного уровня, тем самым расширяя их доступ.

Тактика перемещения внутри компании включала использование Протокола удаленного рабочего стола (RDP) и инструмента Impacket WMIExec, позволяющего злоумышленнику перемещаться по нескольким системам, включая контроллеры домена и серверы резервного копирования. Процессы обнаружения включали в себя выполнение команд разведки через бэкдор Betruger, что позволяло проводить обширное отображение среды и перечисление пользователей и групп в домене.

Для сбора данных и эксфильтрации злоумышленники использовали пользовательский инструмент под названием FS64.exe для автоматизации сбора файлов, которые затем сжимались и передавались с помощью WinSCP на FTP-сервер открытым текстом. Во время их работы были идентифицированы три отдельных канала C2: SectopRAT, SystemBC и Betruger. SystemBC, в частности, служил прокси-сервером и инструментом туннелирования, причем одним из его компонентов был WakeWordEngine.dll-файл, который был создан вскоре после установления связи C2.

Несмотря на то, что в конечном итоге злоумышленник был удален из среды, основная цель эксфильтрации данных была достигнута, поскольку конфиденциальные данные были перекачаны на удаленный сервер. Тактика, методы и процедуры, продемонстрированные при этом вторжении, тесно совпадают с теми, которые используются активными филиалами программ-вымогателей, действующими по различным моделям "программа-вымогатель как услуга" (RaaS). Заметными признаками компрометации во время атаки были многочисленные подозрительные IP-адреса и сигнатуры файлов, связанные с задействованными семействами вредоносных ПО. Этот инцидент подчеркивает сложный и скоординированный подход к кибератакам, включающий усовершенствованные механизмы закрепления, методы повышения привилегий и масштабные операции по краже данных, обычно связанные с атаками программ-вымогателей.

#ParsedReport #CompletenessMedium
10-09-2025

SAP NetWeaver Metadata Uploader Vulnerability (CVE-2025-31324)

https://www.seqrite.com/blog/cve-2025-31324-sap-vulnerability-protection/

Report completeness: Medium

Actors/Campaigns:
Lapsus
Shinyhunters

Threats:
Auto-color
Havoc

Victims:
Sap customers, Enterprise middleware users

Industry:
Retail, Government, Telco, Financial

CVEs:
CVE-2025-31324 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:

IOCs:
File: 1
Hash: 4

Soft:
SAP NetWeaver, Linux

Algorithms:
zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-31324 - критическая уязвимость удаленного выполнения кода на сервере разработки SAP NetWeaver, возникающая из-за неадекватной проверки загруженных файлов моделей через конечную точку metadatauploader. Эксплуатация позволяет злоумышленникам загружать вредоносные ZIP-файлы или JAR-файлы, что приводит к компрометации системы и постоянному доступу для кражи данных и перемещения внутри компании. Ландшафт угроз включает в себя развертывание Веб-шеллов и бэкдора под названием Auto-Color в системах Linux, позволяющего выполнять скрытые операции.
-----

CVE-2025-31324 - это серьезная уязвимость для удаленного выполнения кода (RCE) на сервере разработки SAP NetWeaver, критически важная для разработки и интеграции корпоративных приложений. Эта уязвимость возникает из-за неправильной проверки файлов моделей, загружаемых через конечную точку metadatauploader. Злоумышленники могут воспользоваться этой уязвимостью для загрузки измененных файлов, часто упакованных в виде приложений/файлов ZIP или JAR в октет-потоке, которые сервер ошибочно обрабатывает как безопасный контент.

Оценка CVSS, присвоенная этой уязвимости, равна 8, что классифицирует ее как критическую и указывает на потенциальную возможность полной компрометации системы. Затронутые продукты включают версии сервера приложений SAP NetWeaver до выпуска исправления в сентябре 2025 года. Активная эксплуатация началась примерно в марте 2025 года и получила более широкое распространение после выпуска эксплойта в августе 2025 года. Злоумышленники использовали эту уязвимость для получения постоянного доступа к системам, что потенциально может привести к краже данных, перемещению внутри компании в сетях и значительным сбоям в работе основных функций ERP.

Типичная цепочка использования включает в себя несколько этапов: злоумышленники создают вредоносную полезную нагрузку ZIP/JAR, содержащую вредоносные определения моделей или классов, и отправляют ее через HTTP POST на конечную точку metadatauploader. Сервер, не прошедший надлежащую проверку, ошибочно принимает и обрабатывает загруженный файл, что приводит к выполнению кода во время последующей обработки модели.

На фоне угроз, связанных с этой уязвимостью, были внедрены Веб-шеллы, такие как helper.jsp и cache.jsp, наряду с установкой подпольного бэкдора под названием Auto-Color в системах Linux. Этот бэкдор позволяет злоумышленникам запускать обратные оболочки, манипулировать файлами и действовать скрытно.

Чтобы снизить эти риски, крайне важно без промедления применить обновления для системы безопасности SAP, выпущенные в сентябре 2025 года. Организациям следует внедрять системы предотвращения и обнаружения вторжений (IPS/IDS), которые могут идентифицировать POST-запросы к metadatauploader, содержащие указания на приложения/октетные потоки и двоичную полезную нагрузку. Решения для обнаружения конечных точек и реагирования на них (EDR) должны отслеживать аномальное поведение процессов SAP, например, неожиданное выполнение командной строки. Кроме того, рекомендуется ограничить доступ серверов разработки к надежным сетям.

Для проверки исправлений требуется подтверждение того, что SAP NetWeaver обновлен до последней версии, и тестирование с помощью обработанных запросов metadatauploader, чтобы убедиться, что исправленные серверы корректно отклоняют двоичную полезную нагрузку. Наличие CVE-2025-31324 подчеркивает острую необходимость в механизмах безопасной загрузки в корпоративном программном обеспечении промежуточного уровня, подчеркивая серьезные последствия несанкционированной загрузки файлов во время работы интегрированных бизнес-систем. Для защиты от потенциальных уязвимостей необходимы немедленные действия по исправлению ошибок и усиленному мониторингу.

#ParsedReport #CompletenessHigh
10-09-2025

Technical Analysis of kkRAT

https://www.zscaler.com/blogs/security-research/technical-analysis-kkrat

Report completeness: High

Threats:
Kkrat
Valleyrat
Fatalrat
Gh0st_rat
Gotohttp_tool
Byovd_technique
Realblindingedr_tool
Junk_code_technique
Go-socks5_tool

Victims:
Chinese speaking users

Geo:
China

TTPs:
Tactics: 9
Technics: 20

IOCs:
File: 9
Registry: 3
Hash: 11
Url: 6
IP: 3

Soft:
Sunlogin, Windows registry, Telegram, WeChat, Internet Explorer, Firefox, Google Chrome, Sogou

Crypto:
tether, bitcoin, ethereum

Algorithms:
base64, zip, xor

Win API:
QueryPerformanceCounter, EnumDateFormatsA

Languages:
python

Links:
https://github.com/myzxcg/RealBlindingEDR
have more...
https://github.com/ThreatLabz/tools/blob/main/kkrat/kkrat\_driver\_list.txt
https://github.com/hasherezade/pe\_to\_shellcode/

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания вредоносного ПО, нацеленная на китайскоязычных пользователей, с мая 2025 года использует троян удаленного доступа (RAT), получивший название kkRAT, наряду с ValleyRAT и FatalRAT. kkRAT, похожий на Ghost RAT, использует сложный коммуникационный протокол с дополнительным уровнем шифрования, обеспечивающий такие возможности, как манипулирование буфером обмена и уклонение от систем обнаружения с помощью метода "Принеси свой собственный уязвимый драйвер" (BYOVD). Атака проходит несколько этапов, включающих проверку среды, повышение привилегий, выполнение шелл-кода и безопасную передачу данных на сервер управления, демонстрируя передовые методы оперативной безопасности.
-----

Zscaler ThreatLabZ сообщил о кампании по борьбе с вредоносным ПО, которая специально нацелена на пользователей, говорящих на китайском языке, и которая продолжается с мая 2025 года. Эта кампания распространяет три типа вредоносного ПО, включая недавно идентифицированный троян удаленного доступа (RAT) под названием kkRAT, а также ValleyRAT и FatalRAT. Примечательно, что kkRAT демонстрирует сходство кода с ранее известными крысами, такими как Ghost RAT и Big Bad Wolf, часто используемыми киберпреступниками, базирующимися в Китае.

Кампания предусматривает доставку RAT через поддельные страницы установщика, имитирующие популярное программное обеспечение. При выполнении kkRAT использует сетевой протокол связи, аналогичный протоколу Ghost RAT, но включает дополнительный уровень шифрования для повышения безопасности после сжатия данных. Возможности RAT включают манипулирование буфером обмена для обмена криптовалютными адресами и развертывание инструментов удаленного мониторинга, таких как Sunlogin и GotoHTTP. Важным методом, используемым в этой кампании, является метод "Принеси свой собственный уязвимый драйвер" (BYOVD), который помогает устранить зарегистрированные обратные вызовы из антивирусных систем и систем обнаружения и реагирования на конечные точки (EDR).

Атака разворачивается в несколько отчетливых этапов. Изначально вредоносное ПО проводит различие между изолированными средами и виртуальными машинами (ВМ), используя анализ временной стабильности с помощью QueryPerformanceCounter и оценивая конфигурации Аппаратного обеспечения, такие как дисковое пространство и ядра процессора. Если система не соответствует указанным критериям, инициируются действия по уклонению.

На втором этапе вредоносное ПО проверяет наличие прав администратора. Если его нет, он запрашивает у пользователя на мандаринском языке доступ с повышенными правами и выходы. Получив необходимые привилегии, вредоносное ПО отключает все активные сетевые адаптеры, чтобы разорвать соединение с серверами поставщиков AV/EDR, эффективно скрывая свою деятельность.

На третьем этапе вредоносное ПО извлекает и запускает файл шелл-кода с именем 2025.bin по предопределенному URL-адресу. Шелл-код сильно запутан и отвечает за загрузку файла в кодировке Base64 с именем output.log, который содержит структурированные данные, необходимые для продвижения атаки.

Конфигурация kkRAT, которая включает IP-адрес сервера command and control (C2), порт и сведения о версии, хранится в виде зашифрованных строк. Снятие отпечатков пальцев с устройства происходит после установления сокетного соединения, предоставляя системную информацию, которая передается на сервер C2. Протокол связи, используемый kkRAT, включает в себя пакеты TCP и поддерживает шифрование даже в передаваемых данных, обеспечивая защиту от обнаружения.

Наконец, kkRAT извлекает свои плагины в зашифрованном виде, что облегчает выполнение определенных команд путем их расшифровки в памяти. Метод шифрования имеет сходство с методами, основанными на исключении, используемыми в сетевых коммуникациях, что указывает на структурированный подход к сохранению секретности его работы. В целом, появление kkRAT подчеркивает эволюцию тактики и методов внедрения RAT, ориентированных на пользователей в китайскоязычных регионах.