#ParsedReport #CompletenessHigh
09-09-2025
Blurring the Lines: Intrusion Shows Connection With Three Major Ransomware Gangs
https://thedfirreport.com/2025/09/08/blurring-the-lines-intrusion-shows-connection-with-three-major-ransomware-gangs/
Report completeness: High
Actors/Campaigns:
Dragonforce
Play_ransomware
Threats:
Ransomhub
Sectop_rat
Systembc
Betruger
Softperfect_netscan_tool
Adfind_tool
Bloodhound_tool
Grixba
Impacket_tool
Wmiexec_tool
Playcrypt
Dragonforce_ransomware
Netscan_tool
Dcsync_technique
Nltest_tool
Winrm_tool
Process_injection_technique
Timestomp_technique
Credential_harvesting_technique
Screen_shotting_technique
Credential_dumping_technique
Bitsadmin_tool
Lolbin_technique
Mimikatz_tool
Qakbot
Geo:
China
TTPs:
Tactics: 12
Technics: 37
IOCs:
File: 26
IP: 4
Path: 15
Registry: 2
Domain: 2
Hash: 10
Soft:
WinSCP, PsExec, Microsoft Defender, Windows Background Intelligent Transfer Service, Chrome, Sysinternals PsExec, Windows Defender, Steam, Discord, Telegram, have more...
Algorithms:
zip
Functions:
Get-ADComputer
Win API:
LdrLoadDll
Win Services:
BITS
Languages:
powershell
YARA: Found
SIGMA: Found
Links:
09-09-2025
Blurring the Lines: Intrusion Shows Connection With Three Major Ransomware Gangs
https://thedfirreport.com/2025/09/08/blurring-the-lines-intrusion-shows-connection-with-three-major-ransomware-gangs/
Report completeness: High
Actors/Campaigns:
Dragonforce
Play_ransomware
Threats:
Ransomhub
Sectop_rat
Systembc
Betruger
Softperfect_netscan_tool
Adfind_tool
Bloodhound_tool
Grixba
Impacket_tool
Wmiexec_tool
Playcrypt
Dragonforce_ransomware
Netscan_tool
Dcsync_technique
Nltest_tool
Winrm_tool
Process_injection_technique
Timestomp_technique
Credential_harvesting_technique
Screen_shotting_technique
Credential_dumping_technique
Bitsadmin_tool
Lolbin_technique
Mimikatz_tool
Qakbot
Geo:
China
TTPs:
Tactics: 12
Technics: 37
IOCs:
File: 26
IP: 4
Path: 15
Registry: 2
Domain: 2
Hash: 10
Soft:
WinSCP, PsExec, Microsoft Defender, Windows Background Intelligent Transfer Service, Chrome, Sysinternals PsExec, Windows Defender, Steam, Discord, Telegram, have more...
Algorithms:
zip
Functions:
Get-ADComputer
Win API:
LdrLoadDll
Win Services:
BITS
Languages:
powershell
YARA: Found
SIGMA: Found
Links:
https://github.com/fortra/impacket/blob/master/examples/wmiexec.pyhttps://github.com/Bert-JanP/Hunting-Queries-Detection-Rules/blob/main/Defender%20For%20Endpoint/ttp\_t1127-001\_suspNetworkConnMSBuild.mdThe DFIR Report
Blurring the Lines: Intrusion Shows Connection With Three Major Ransomware Gangs
Key Takeaways The intrusion began when a user downloaded and executed a malicious file impersonating DeskSoft’s EarthTime application but instead dropped SectopRAT malware. The threat actor d…
CTT Report Hub
#ParsedReport #CompletenessHigh 09-09-2025 Blurring the Lines: Intrusion Shows Connection With Three Major Ransomware Gangs https://thedfirreport.com/2025/09/08/blurring-the-lines-intrusion-shows-connection-with-three-major-ransomware-gangs/ Report completeness:…
#ParsedReport #ExtractedSchema
Classified images:
schema: 11, table: 19, code: 7, windows: 10, dump: 2, chats: 1
Classified images:
schema: 11, table: 19, code: 7, windows: 10, dump: 2, chats: 1
CTT Report Hub
#ParsedReport #CompletenessHigh 09-09-2025 Blurring the Lines: Intrusion Shows Connection With Three Major Ransomware Gangs https://thedfirreport.com/2025/09/08/blurring-the-lines-intrusion-shows-connection-with-three-major-ransomware-gangs/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В сентябре 2024 года было инициировано вторжение с помощью Вредоносного файла, замаскированного под приложение EarthTime, которое развернуло троян удаленного доступа SectopRAT (RAT) для связи C2. Злоумышленники установили закрепление с помощью фоновой службы интеллектуальной передачи данных Windows (BITS) и выполнили повышение привилегий с помощью PsExec. Используя RDP и такие инструменты, как WMIExec от Impacket для перемещения внутри компании, они использовали пользовательский инструмент FS64.exe для эксфильтрации данных, выделяя передовые тактики, согласующиеся с аффилированными лицами программ-вымогателей.
-----
Подробное описание вторжения началось в сентябре 2024 года, когда пользователь загрузил Вредоносный файл, Маскировками выдававший себя за законное приложение EarthTime. Этот исполняемый файл инициировал развертывание SectopRAT, троянца удаленного доступа на базе .NET (RAT), позволяющего злоумышленнику подключаться к серверам командования и контроля (C2). Вредоносный файл был подписан отозванным сертификатом от подозрительного органа, который известен тем, что подписывает различные образцы вредоносного ПО.
Закрепление было установлено с помощью двух основных методов, использующих фоновую интеллектуальную службу передачи данных Windows (BITS). Исходный исполняемый файл был скопирован в другое место, переименован, чтобы отображаться как законный инструмент отладки Chrome, и в папке автозагрузки был создан ярлык, обеспечивающий его выполнение при входе пользователя в систему. Атака продемонстрировала методы повышения привилегий с использованием PsExec от Microsoft Sysinternals, позволяющие злоумышленникам выполнять процессы с привилегиями системного уровня, тем самым расширяя их доступ.
Тактика перемещения внутри компании включала использование Протокола удаленного рабочего стола (RDP) и инструмента Impacket WMIExec, позволяющего злоумышленнику перемещаться по нескольким системам, включая контроллеры домена и серверы резервного копирования. Процессы обнаружения включали в себя выполнение команд разведки через бэкдор Betruger, что позволяло проводить обширное отображение среды и перечисление пользователей и групп в домене.
Для сбора данных и эксфильтрации злоумышленники использовали пользовательский инструмент под названием FS64.exe для автоматизации сбора файлов, которые затем сжимались и передавались с помощью WinSCP на FTP-сервер открытым текстом. Во время их работы были идентифицированы три отдельных канала C2: SectopRAT, SystemBC и Betruger. SystemBC, в частности, служил прокси-сервером и инструментом туннелирования, причем одним из его компонентов был WakeWordEngine.dll-файл, который был создан вскоре после установления связи C2.
Несмотря на то, что в конечном итоге злоумышленник был удален из среды, основная цель эксфильтрации данных была достигнута, поскольку конфиденциальные данные были перекачаны на удаленный сервер. Тактика, методы и процедуры, продемонстрированные при этом вторжении, тесно совпадают с теми, которые используются активными филиалами программ-вымогателей, действующими по различным моделям "программа-вымогатель как услуга" (RaaS). Заметными признаками компрометации во время атаки были многочисленные подозрительные IP-адреса и сигнатуры файлов, связанные с задействованными семействами вредоносных ПО. Этот инцидент подчеркивает сложный и скоординированный подход к кибератакам, включающий усовершенствованные механизмы закрепления, методы повышения привилегий и масштабные операции по краже данных, обычно связанные с атаками программ-вымогателей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В сентябре 2024 года было инициировано вторжение с помощью Вредоносного файла, замаскированного под приложение EarthTime, которое развернуло троян удаленного доступа SectopRAT (RAT) для связи C2. Злоумышленники установили закрепление с помощью фоновой службы интеллектуальной передачи данных Windows (BITS) и выполнили повышение привилегий с помощью PsExec. Используя RDP и такие инструменты, как WMIExec от Impacket для перемещения внутри компании, они использовали пользовательский инструмент FS64.exe для эксфильтрации данных, выделяя передовые тактики, согласующиеся с аффилированными лицами программ-вымогателей.
-----
Подробное описание вторжения началось в сентябре 2024 года, когда пользователь загрузил Вредоносный файл, Маскировками выдававший себя за законное приложение EarthTime. Этот исполняемый файл инициировал развертывание SectopRAT, троянца удаленного доступа на базе .NET (RAT), позволяющего злоумышленнику подключаться к серверам командования и контроля (C2). Вредоносный файл был подписан отозванным сертификатом от подозрительного органа, который известен тем, что подписывает различные образцы вредоносного ПО.
Закрепление было установлено с помощью двух основных методов, использующих фоновую интеллектуальную службу передачи данных Windows (BITS). Исходный исполняемый файл был скопирован в другое место, переименован, чтобы отображаться как законный инструмент отладки Chrome, и в папке автозагрузки был создан ярлык, обеспечивающий его выполнение при входе пользователя в систему. Атака продемонстрировала методы повышения привилегий с использованием PsExec от Microsoft Sysinternals, позволяющие злоумышленникам выполнять процессы с привилегиями системного уровня, тем самым расширяя их доступ.
Тактика перемещения внутри компании включала использование Протокола удаленного рабочего стола (RDP) и инструмента Impacket WMIExec, позволяющего злоумышленнику перемещаться по нескольким системам, включая контроллеры домена и серверы резервного копирования. Процессы обнаружения включали в себя выполнение команд разведки через бэкдор Betruger, что позволяло проводить обширное отображение среды и перечисление пользователей и групп в домене.
Для сбора данных и эксфильтрации злоумышленники использовали пользовательский инструмент под названием FS64.exe для автоматизации сбора файлов, которые затем сжимались и передавались с помощью WinSCP на FTP-сервер открытым текстом. Во время их работы были идентифицированы три отдельных канала C2: SectopRAT, SystemBC и Betruger. SystemBC, в частности, служил прокси-сервером и инструментом туннелирования, причем одним из его компонентов был WakeWordEngine.dll-файл, который был создан вскоре после установления связи C2.
Несмотря на то, что в конечном итоге злоумышленник был удален из среды, основная цель эксфильтрации данных была достигнута, поскольку конфиденциальные данные были перекачаны на удаленный сервер. Тактика, методы и процедуры, продемонстрированные при этом вторжении, тесно совпадают с теми, которые используются активными филиалами программ-вымогателей, действующими по различным моделям "программа-вымогатель как услуга" (RaaS). Заметными признаками компрометации во время атаки были многочисленные подозрительные IP-адреса и сигнатуры файлов, связанные с задействованными семействами вредоносных ПО. Этот инцидент подчеркивает сложный и скоординированный подход к кибератакам, включающий усовершенствованные механизмы закрепления, методы повышения привилегий и масштабные операции по краже данных, обычно связанные с атаками программ-вымогателей.
#ParsedReport #CompletenessMedium
10-09-2025
SAP NetWeaver Metadata Uploader Vulnerability (CVE-2025-31324)
https://www.seqrite.com/blog/cve-2025-31324-sap-vulnerability-protection/
Report completeness: Medium
Actors/Campaigns:
Lapsus
Shinyhunters
Threats:
Auto-color
Havoc
Victims:
Sap customers, Enterprise middleware users
Industry:
Retail, Government, Telco, Financial
CVEs:
CVE-2025-31324 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
IOCs:
File: 1
Hash: 4
Soft:
SAP NetWeaver, Linux
Algorithms:
zip
Languages:
powershell
10-09-2025
SAP NetWeaver Metadata Uploader Vulnerability (CVE-2025-31324)
https://www.seqrite.com/blog/cve-2025-31324-sap-vulnerability-protection/
Report completeness: Medium
Actors/Campaigns:
Lapsus
Shinyhunters
Threats:
Auto-color
Havoc
Victims:
Sap customers, Enterprise middleware users
Industry:
Retail, Government, Telco, Financial
CVEs:
CVE-2025-31324 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
IOCs:
File: 1
Hash: 4
Soft:
SAP NetWeaver, Linux
Algorithms:
zip
Languages:
powershell
Blogs on Information Technology, Network & Cybersecurity | Seqrite
SAP NetWeaver Metadata Uploader Vulnerability (CVE-2025-31324)
<p>Executive Summary CVE-2025-31324 is a critical remote code execution (RCE) vulnerability affecting the SAP NetWeaver Development Server, one of the core components used in enterprise environments for application development and integration. The vulnerability…
CTT Report Hub
#ParsedReport #CompletenessMedium 10-09-2025 SAP NetWeaver Metadata Uploader Vulnerability (CVE-2025-31324) https://www.seqrite.com/blog/cve-2025-31324-sap-vulnerability-protection/ Report completeness: Medium Actors/Campaigns: Lapsus Shinyhunters Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
CVE-2025-31324 - критическая уязвимость удаленного выполнения кода на сервере разработки SAP NetWeaver, возникающая из-за неадекватной проверки загруженных файлов моделей через конечную точку metadatauploader. Эксплуатация позволяет злоумышленникам загружать вредоносные ZIP-файлы или JAR-файлы, что приводит к компрометации системы и постоянному доступу для кражи данных и перемещения внутри компании. Ландшафт угроз включает в себя развертывание Веб-шеллов и бэкдора под названием Auto-Color в системах Linux, позволяющего выполнять скрытые операции.
-----
CVE-2025-31324 - это серьезная уязвимость для удаленного выполнения кода (RCE) на сервере разработки SAP NetWeaver, критически важная для разработки и интеграции корпоративных приложений. Эта уязвимость возникает из-за неправильной проверки файлов моделей, загружаемых через конечную точку metadatauploader. Злоумышленники могут воспользоваться этой уязвимостью для загрузки измененных файлов, часто упакованных в виде приложений/файлов ZIP или JAR в октет-потоке, которые сервер ошибочно обрабатывает как безопасный контент.
Оценка CVSS, присвоенная этой уязвимости, равна 8, что классифицирует ее как критическую и указывает на потенциальную возможность полной компрометации системы. Затронутые продукты включают версии сервера приложений SAP NetWeaver до выпуска исправления в сентябре 2025 года. Активная эксплуатация началась примерно в марте 2025 года и получила более широкое распространение после выпуска эксплойта в августе 2025 года. Злоумышленники использовали эту уязвимость для получения постоянного доступа к системам, что потенциально может привести к краже данных, перемещению внутри компании в сетях и значительным сбоям в работе основных функций ERP.
Типичная цепочка использования включает в себя несколько этапов: злоумышленники создают вредоносную полезную нагрузку ZIP/JAR, содержащую вредоносные определения моделей или классов, и отправляют ее через HTTP POST на конечную точку metadatauploader. Сервер, не прошедший надлежащую проверку, ошибочно принимает и обрабатывает загруженный файл, что приводит к выполнению кода во время последующей обработки модели.
На фоне угроз, связанных с этой уязвимостью, были внедрены Веб-шеллы, такие как helper.jsp и cache.jsp, наряду с установкой подпольного бэкдора под названием Auto-Color в системах Linux. Этот бэкдор позволяет злоумышленникам запускать обратные оболочки, манипулировать файлами и действовать скрытно.
Чтобы снизить эти риски, крайне важно без промедления применить обновления для системы безопасности SAP, выпущенные в сентябре 2025 года. Организациям следует внедрять системы предотвращения и обнаружения вторжений (IPS/IDS), которые могут идентифицировать POST-запросы к metadatauploader, содержащие указания на приложения/октетные потоки и двоичную полезную нагрузку. Решения для обнаружения конечных точек и реагирования на них (EDR) должны отслеживать аномальное поведение процессов SAP, например, неожиданное выполнение командной строки. Кроме того, рекомендуется ограничить доступ серверов разработки к надежным сетям.
Для проверки исправлений требуется подтверждение того, что SAP NetWeaver обновлен до последней версии, и тестирование с помощью обработанных запросов metadatauploader, чтобы убедиться, что исправленные серверы корректно отклоняют двоичную полезную нагрузку. Наличие CVE-2025-31324 подчеркивает острую необходимость в механизмах безопасной загрузки в корпоративном программном обеспечении промежуточного уровня, подчеркивая серьезные последствия несанкционированной загрузки файлов во время работы интегрированных бизнес-систем. Для защиты от потенциальных уязвимостей необходимы немедленные действия по исправлению ошибок и усиленному мониторингу.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
CVE-2025-31324 - критическая уязвимость удаленного выполнения кода на сервере разработки SAP NetWeaver, возникающая из-за неадекватной проверки загруженных файлов моделей через конечную точку metadatauploader. Эксплуатация позволяет злоумышленникам загружать вредоносные ZIP-файлы или JAR-файлы, что приводит к компрометации системы и постоянному доступу для кражи данных и перемещения внутри компании. Ландшафт угроз включает в себя развертывание Веб-шеллов и бэкдора под названием Auto-Color в системах Linux, позволяющего выполнять скрытые операции.
-----
CVE-2025-31324 - это серьезная уязвимость для удаленного выполнения кода (RCE) на сервере разработки SAP NetWeaver, критически важная для разработки и интеграции корпоративных приложений. Эта уязвимость возникает из-за неправильной проверки файлов моделей, загружаемых через конечную точку metadatauploader. Злоумышленники могут воспользоваться этой уязвимостью для загрузки измененных файлов, часто упакованных в виде приложений/файлов ZIP или JAR в октет-потоке, которые сервер ошибочно обрабатывает как безопасный контент.
Оценка CVSS, присвоенная этой уязвимости, равна 8, что классифицирует ее как критическую и указывает на потенциальную возможность полной компрометации системы. Затронутые продукты включают версии сервера приложений SAP NetWeaver до выпуска исправления в сентябре 2025 года. Активная эксплуатация началась примерно в марте 2025 года и получила более широкое распространение после выпуска эксплойта в августе 2025 года. Злоумышленники использовали эту уязвимость для получения постоянного доступа к системам, что потенциально может привести к краже данных, перемещению внутри компании в сетях и значительным сбоям в работе основных функций ERP.
Типичная цепочка использования включает в себя несколько этапов: злоумышленники создают вредоносную полезную нагрузку ZIP/JAR, содержащую вредоносные определения моделей или классов, и отправляют ее через HTTP POST на конечную точку metadatauploader. Сервер, не прошедший надлежащую проверку, ошибочно принимает и обрабатывает загруженный файл, что приводит к выполнению кода во время последующей обработки модели.
На фоне угроз, связанных с этой уязвимостью, были внедрены Веб-шеллы, такие как helper.jsp и cache.jsp, наряду с установкой подпольного бэкдора под названием Auto-Color в системах Linux. Этот бэкдор позволяет злоумышленникам запускать обратные оболочки, манипулировать файлами и действовать скрытно.
Чтобы снизить эти риски, крайне важно без промедления применить обновления для системы безопасности SAP, выпущенные в сентябре 2025 года. Организациям следует внедрять системы предотвращения и обнаружения вторжений (IPS/IDS), которые могут идентифицировать POST-запросы к metadatauploader, содержащие указания на приложения/октетные потоки и двоичную полезную нагрузку. Решения для обнаружения конечных точек и реагирования на них (EDR) должны отслеживать аномальное поведение процессов SAP, например, неожиданное выполнение командной строки. Кроме того, рекомендуется ограничить доступ серверов разработки к надежным сетям.
Для проверки исправлений требуется подтверждение того, что SAP NetWeaver обновлен до последней версии, и тестирование с помощью обработанных запросов metadatauploader, чтобы убедиться, что исправленные серверы корректно отклоняют двоичную полезную нагрузку. Наличие CVE-2025-31324 подчеркивает острую необходимость в механизмах безопасной загрузки в корпоративном программном обеспечении промежуточного уровня, подчеркивая серьезные последствия несанкционированной загрузки файлов во время работы интегрированных бизнес-систем. Для защиты от потенциальных уязвимостей необходимы немедленные действия по исправлению ошибок и усиленному мониторингу.
#ParsedReport #CompletenessHigh
10-09-2025
Technical Analysis of kkRAT
https://www.zscaler.com/blogs/security-research/technical-analysis-kkrat
Report completeness: High
Threats:
Kkrat
Valleyrat
Fatalrat
Gh0st_rat
Gotohttp_tool
Byovd_technique
Realblindingedr_tool
Junk_code_technique
Go-socks5_tool
Victims:
Chinese speaking users
Geo:
China
TTPs:
Tactics: 9
Technics: 20
IOCs:
File: 9
Registry: 3
Hash: 11
Url: 6
IP: 3
Soft:
Sunlogin, Windows registry, Telegram, WeChat, Internet Explorer, Firefox, Google Chrome, Sogou
Crypto:
tether, bitcoin, ethereum
Algorithms:
base64, zip, xor
Win API:
QueryPerformanceCounter, EnumDateFormatsA
Languages:
python
Links:
have more...
10-09-2025
Technical Analysis of kkRAT
https://www.zscaler.com/blogs/security-research/technical-analysis-kkrat
Report completeness: High
Threats:
Kkrat
Valleyrat
Fatalrat
Gh0st_rat
Gotohttp_tool
Byovd_technique
Realblindingedr_tool
Junk_code_technique
Go-socks5_tool
Victims:
Chinese speaking users
Geo:
China
TTPs:
Tactics: 9
Technics: 20
IOCs:
File: 9
Registry: 3
Hash: 11
Url: 6
IP: 3
Soft:
Sunlogin, Windows registry, Telegram, WeChat, Internet Explorer, Firefox, Google Chrome, Sogou
Crypto:
tether, bitcoin, ethereum
Algorithms:
base64, zip, xor
Win API:
QueryPerformanceCounter, EnumDateFormatsA
Languages:
python
Links:
https://github.com/myzxcg/RealBlindingEDRhave more...
https://github.com/ThreatLabz/tools/blob/main/kkrat/kkrat\_driver\_list.txthttps://github.com/hasherezade/pe\_to\_shellcode/Zscaler
Technical Analysis of kkRAT | ThreatLabz
kkRAT is a new RAT delivered by a malware campaign targeting Chinese-speaking users. The RAT provides remote access, disable antivirus and EDRs, & proxy network traffic.
CTT Report Hub
#ParsedReport #CompletenessHigh 10-09-2025 Technical Analysis of kkRAT https://www.zscaler.com/blogs/security-research/technical-analysis-kkrat Report completeness: High Threats: Kkrat Valleyrat Fatalrat Gh0st_rat Gotohttp_tool Byovd_technique Realblindingedr_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания вредоносного ПО, нацеленная на китайскоязычных пользователей, с мая 2025 года использует троян удаленного доступа (RAT), получивший название kkRAT, наряду с ValleyRAT и FatalRAT. kkRAT, похожий на Ghost RAT, использует сложный коммуникационный протокол с дополнительным уровнем шифрования, обеспечивающий такие возможности, как манипулирование буфером обмена и уклонение от систем обнаружения с помощью метода "Принеси свой собственный уязвимый драйвер" (BYOVD). Атака проходит несколько этапов, включающих проверку среды, повышение привилегий, выполнение шелл-кода и безопасную передачу данных на сервер управления, демонстрируя передовые методы оперативной безопасности.
-----
Zscaler ThreatLabZ сообщил о кампании по борьбе с вредоносным ПО, которая специально нацелена на пользователей, говорящих на китайском языке, и которая продолжается с мая 2025 года. Эта кампания распространяет три типа вредоносного ПО, включая недавно идентифицированный троян удаленного доступа (RAT) под названием kkRAT, а также ValleyRAT и FatalRAT. Примечательно, что kkRAT демонстрирует сходство кода с ранее известными крысами, такими как Ghost RAT и Big Bad Wolf, часто используемыми киберпреступниками, базирующимися в Китае.
Кампания предусматривает доставку RAT через поддельные страницы установщика, имитирующие популярное программное обеспечение. При выполнении kkRAT использует сетевой протокол связи, аналогичный протоколу Ghost RAT, но включает дополнительный уровень шифрования для повышения безопасности после сжатия данных. Возможности RAT включают манипулирование буфером обмена для обмена криптовалютными адресами и развертывание инструментов удаленного мониторинга, таких как Sunlogin и GotoHTTP. Важным методом, используемым в этой кампании, является метод "Принеси свой собственный уязвимый драйвер" (BYOVD), который помогает устранить зарегистрированные обратные вызовы из антивирусных систем и систем обнаружения и реагирования на конечные точки (EDR).
Атака разворачивается в несколько отчетливых этапов. Изначально вредоносное ПО проводит различие между изолированными средами и виртуальными машинами (ВМ), используя анализ временной стабильности с помощью QueryPerformanceCounter и оценивая конфигурации Аппаратного обеспечения, такие как дисковое пространство и ядра процессора. Если система не соответствует указанным критериям, инициируются действия по уклонению.
На втором этапе вредоносное ПО проверяет наличие прав администратора. Если его нет, он запрашивает у пользователя на мандаринском языке доступ с повышенными правами и выходы. Получив необходимые привилегии, вредоносное ПО отключает все активные сетевые адаптеры, чтобы разорвать соединение с серверами поставщиков AV/EDR, эффективно скрывая свою деятельность.
На третьем этапе вредоносное ПО извлекает и запускает файл шелл-кода с именем 2025.bin по предопределенному URL-адресу. Шелл-код сильно запутан и отвечает за загрузку файла в кодировке Base64 с именем output.log, который содержит структурированные данные, необходимые для продвижения атаки.
Конфигурация kkRAT, которая включает IP-адрес сервера command and control (C2), порт и сведения о версии, хранится в виде зашифрованных строк. Снятие отпечатков пальцев с устройства происходит после установления сокетного соединения, предоставляя системную информацию, которая передается на сервер C2. Протокол связи, используемый kkRAT, включает в себя пакеты TCP и поддерживает шифрование даже в передаваемых данных, обеспечивая защиту от обнаружения.
Наконец, kkRAT извлекает свои плагины в зашифрованном виде, что облегчает выполнение определенных команд путем их расшифровки в памяти. Метод шифрования имеет сходство с методами, основанными на исключении, используемыми в сетевых коммуникациях, что указывает на структурированный подход к сохранению секретности его работы. В целом, появление kkRAT подчеркивает эволюцию тактики и методов внедрения RAT, ориентированных на пользователей в китайскоязычных регионах.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания вредоносного ПО, нацеленная на китайскоязычных пользователей, с мая 2025 года использует троян удаленного доступа (RAT), получивший название kkRAT, наряду с ValleyRAT и FatalRAT. kkRAT, похожий на Ghost RAT, использует сложный коммуникационный протокол с дополнительным уровнем шифрования, обеспечивающий такие возможности, как манипулирование буфером обмена и уклонение от систем обнаружения с помощью метода "Принеси свой собственный уязвимый драйвер" (BYOVD). Атака проходит несколько этапов, включающих проверку среды, повышение привилегий, выполнение шелл-кода и безопасную передачу данных на сервер управления, демонстрируя передовые методы оперативной безопасности.
-----
Zscaler ThreatLabZ сообщил о кампании по борьбе с вредоносным ПО, которая специально нацелена на пользователей, говорящих на китайском языке, и которая продолжается с мая 2025 года. Эта кампания распространяет три типа вредоносного ПО, включая недавно идентифицированный троян удаленного доступа (RAT) под названием kkRAT, а также ValleyRAT и FatalRAT. Примечательно, что kkRAT демонстрирует сходство кода с ранее известными крысами, такими как Ghost RAT и Big Bad Wolf, часто используемыми киберпреступниками, базирующимися в Китае.
Кампания предусматривает доставку RAT через поддельные страницы установщика, имитирующие популярное программное обеспечение. При выполнении kkRAT использует сетевой протокол связи, аналогичный протоколу Ghost RAT, но включает дополнительный уровень шифрования для повышения безопасности после сжатия данных. Возможности RAT включают манипулирование буфером обмена для обмена криптовалютными адресами и развертывание инструментов удаленного мониторинга, таких как Sunlogin и GotoHTTP. Важным методом, используемым в этой кампании, является метод "Принеси свой собственный уязвимый драйвер" (BYOVD), который помогает устранить зарегистрированные обратные вызовы из антивирусных систем и систем обнаружения и реагирования на конечные точки (EDR).
Атака разворачивается в несколько отчетливых этапов. Изначально вредоносное ПО проводит различие между изолированными средами и виртуальными машинами (ВМ), используя анализ временной стабильности с помощью QueryPerformanceCounter и оценивая конфигурации Аппаратного обеспечения, такие как дисковое пространство и ядра процессора. Если система не соответствует указанным критериям, инициируются действия по уклонению.
На втором этапе вредоносное ПО проверяет наличие прав администратора. Если его нет, он запрашивает у пользователя на мандаринском языке доступ с повышенными правами и выходы. Получив необходимые привилегии, вредоносное ПО отключает все активные сетевые адаптеры, чтобы разорвать соединение с серверами поставщиков AV/EDR, эффективно скрывая свою деятельность.
На третьем этапе вредоносное ПО извлекает и запускает файл шелл-кода с именем 2025.bin по предопределенному URL-адресу. Шелл-код сильно запутан и отвечает за загрузку файла в кодировке Base64 с именем output.log, который содержит структурированные данные, необходимые для продвижения атаки.
Конфигурация kkRAT, которая включает IP-адрес сервера command and control (C2), порт и сведения о версии, хранится в виде зашифрованных строк. Снятие отпечатков пальцев с устройства происходит после установления сокетного соединения, предоставляя системную информацию, которая передается на сервер C2. Протокол связи, используемый kkRAT, включает в себя пакеты TCP и поддерживает шифрование даже в передаваемых данных, обеспечивая защиту от обнаружения.
Наконец, kkRAT извлекает свои плагины в зашифрованном виде, что облегчает выполнение определенных команд путем их расшифровки в памяти. Метод шифрования имеет сходство с методами, основанными на исключении, используемыми в сетевых коммуникациях, что указывает на структурированный подход к сохранению секретности его работы. В целом, появление kkRAT подчеркивает эволюцию тактики и методов внедрения RAT, ориентированных на пользователей в китайскоязычных регионах.
#ParsedReport #CompletenessLow
10-09-2025
Akira Ransomware Group Utilizing SonicWall Devices for Initial Access
https://www.rapid7.com/blog/post/dr-akira-ransomware-group-utilizing-sonicwall-devices-for-initial-access
Report completeness: Low
Actors/Campaigns:
Akira_ransomware
Threats:
Akira_ransomware
Victims:
Organizations using sonicwall devices
ChatGPT TTPs:
T1190, T1486
Soft:
Active Directory
10-09-2025
Akira Ransomware Group Utilizing SonicWall Devices for Initial Access
https://www.rapid7.com/blog/post/dr-akira-ransomware-group-utilizing-sonicwall-devices-for-initial-access
Report completeness: Low
Actors/Campaigns:
Akira_ransomware
Threats:
Akira_ransomware
Victims:
Organizations using sonicwall devices
ChatGPT TTPs:
do not use without manual checkT1190, T1486
Soft:
Active Directory
Rapid7
Akira Ransomware Group Utilizing SonicWall Devices for Initial Access
CTT Report Hub
#ParsedReport #CompletenessLow 10-09-2025 Akira Ransomware Group Utilizing SonicWall Devices for Initial Access https://www.rapid7.com/blog/post/dr-akira-ransomware-group-utilizing-sonicwall-devices-for-initial-access Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Akira ransomware group, действующая по модели "программа-вымогатель как услуга", нацелена на устройства SonicWall посредством использования неустранимого CVE (SNWLID-2024-0015), задокументированного в августе 2024 года. Их тактика включает в себя не только шифрование данных, но и эксфильтрацию конфиденциальной информации, что усиливает воздействие их атак. Рост числа таких вторжений подчеркивает настоятельную необходимость в эффективной защите от этой развивающейся угрозы.
-----
Akira ransomware group активно атакует устройства SonicWall в рамках своих текущих кампаний, которые были задокументированы с начала 2023 года. Эта группа работает по модели "программа-вымогатель как услуга" (RaaS) и особенно известна своей агрессивной тактикой, направленной на компрометацию периферийных устройств. Недавняя активность, связанная с Akira, была связана с ранее раскрытой уязвимостью, классифицированной как CVE (SNWLID-2024-0015), которая была задокументирована в августе 2024 года, но не была должным образом устранена. Следовательно, сбои в устранении неполадок позволили Akira group эффективно использовать эти устройства SonicWall.
В связи с этими событиями Rapid7 разослала срочные сообщения своим клиентам, призывая к немедленному исправлению, чтобы уменьшить подверженность этой развивающейся угрозе. Группа реагирования на инциденты из Rapid7 сообщила о заметном увеличении числа вторжений с использованием устройств SonicWall, что подтверждает настоятельную необходимость защиты этих систем. Akira group продемонстрировала особое поведение, внедрив свои программы-вымогатели не только для нарушения бизнес-операций, но и для извлечения конфиденциальных данных, усиливая потенциальное воздействие своих атак.
Более того, Rapid7 предоставила доступные ресурсы через свой аналитический центр, что позволяет клиентам отслеживать развитие ситуации в отношении Akira group. Эти ресурсы включают индикаторы компрометации (IOCs), правила Yara и различные методы, тактики и процедуры (TTP), которые могут помочь в выявлении признаков этих угроз. Поскольку ландшафт рисков продолжает развиваться благодаря целенаправленным усилиям Akira по борьбе с непатентованными устройствами SonicWall, упреждающие защитные меры становятся необходимыми для защиты сетей организаций от их растущих атак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Akira ransomware group, действующая по модели "программа-вымогатель как услуга", нацелена на устройства SonicWall посредством использования неустранимого CVE (SNWLID-2024-0015), задокументированного в августе 2024 года. Их тактика включает в себя не только шифрование данных, но и эксфильтрацию конфиденциальной информации, что усиливает воздействие их атак. Рост числа таких вторжений подчеркивает настоятельную необходимость в эффективной защите от этой развивающейся угрозы.
-----
Akira ransomware group активно атакует устройства SonicWall в рамках своих текущих кампаний, которые были задокументированы с начала 2023 года. Эта группа работает по модели "программа-вымогатель как услуга" (RaaS) и особенно известна своей агрессивной тактикой, направленной на компрометацию периферийных устройств. Недавняя активность, связанная с Akira, была связана с ранее раскрытой уязвимостью, классифицированной как CVE (SNWLID-2024-0015), которая была задокументирована в августе 2024 года, но не была должным образом устранена. Следовательно, сбои в устранении неполадок позволили Akira group эффективно использовать эти устройства SonicWall.
В связи с этими событиями Rapid7 разослала срочные сообщения своим клиентам, призывая к немедленному исправлению, чтобы уменьшить подверженность этой развивающейся угрозе. Группа реагирования на инциденты из Rapid7 сообщила о заметном увеличении числа вторжений с использованием устройств SonicWall, что подтверждает настоятельную необходимость защиты этих систем. Akira group продемонстрировала особое поведение, внедрив свои программы-вымогатели не только для нарушения бизнес-операций, но и для извлечения конфиденциальных данных, усиливая потенциальное воздействие своих атак.
Более того, Rapid7 предоставила доступные ресурсы через свой аналитический центр, что позволяет клиентам отслеживать развитие ситуации в отношении Akira group. Эти ресурсы включают индикаторы компрометации (IOCs), правила Yara и различные методы, тактики и процедуры (TTP), которые могут помочь в выявлении признаков этих угроз. Поскольку ландшафт рисков продолжает развиваться благодаря целенаправленным усилиям Akira по борьбе с непатентованными устройствами SonicWall, упреждающие защитные меры становятся необходимыми для защиты сетей организаций от их растущих атак.
#ParsedReport #CompletenessMedium
10-09-2025
Frankenstein Variant of the ToneShell Backdoor Targeting Myanmar
https://intezer.com/blog/frankenstein-variant-of-the-toneshell-backdoor-targeting-myanmar/
Report completeness: Medium
Actors/Campaigns:
Red_delta
Threats:
Toneshell
Dll_sideloading_technique
Faketls_tool
Toolshell_vuln
Victims:
Myanmar region
Geo:
Myanmar, Israel, China
ChatGPT TTPs:
T1027, T1027.007, T1036, T1071.001, T1106, T1497, T1566.001, T1574.002
IOCs:
File: 6
Hash: 3
Path: 3
IP: 1
Soft:
Task Scheduler, OpenAI
Algorithms:
prng, sha256, zip
Functions:
rand
Win API:
GetTickCount64, lstrcmpW, OutputDebugStringA, CoCreateGuid
Links:
10-09-2025
Frankenstein Variant of the ToneShell Backdoor Targeting Myanmar
https://intezer.com/blog/frankenstein-variant-of-the-toneshell-backdoor-targeting-myanmar/
Report completeness: Medium
Actors/Campaigns:
Red_delta
Threats:
Toneshell
Dll_sideloading_technique
Faketls_tool
Toolshell_vuln
Victims:
Myanmar region
Geo:
Myanmar, Israel, China
ChatGPT TTPs:
do not use without manual checkT1027, T1027.007, T1036, T1071.001, T1106, T1497, T1566.001, T1574.002
IOCs:
File: 6
Hash: 3
Path: 3
IP: 1
Soft:
Task Scheduler, OpenAI
Algorithms:
prng, sha256, zip
Functions:
rand
Win API:
GetTickCount64, lstrcmpW, OutputDebugStringA, CoCreateGuid
Links:
https://github.com/OALabs/hashdb/blob/main/algorithms/tonepipeshell.pyIntezer
Frankenstein Variant of the ToneShell Backdoor Targeting Myanmar
ToneShell is a lightweight backdoor tied to the China-nexus group Mustang Panda. Typically delivered via DLL sideloading inside compressed archives with legitimate signed executables and often spread through cloud-hosted lures. Zscaler’s 2025 analysis described…
CTT Report Hub
#ParsedReport #CompletenessMedium 10-09-2025 Frankenstein Variant of the ToneShell Backdoor Targeting Myanmar https://intezer.com/blog/frankenstein-variant-of-the-toneshell-backdoor-targeting-myanmar/ Report completeness: Medium Actors/Campaigns: Red_delta…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Франкенштейновский вариант бэкдора ToneShell, приписываемый группе Mustang Panda, использует DLL Sideloading для доставки, часто в сжатых архивах политической тематики. Недавние обновления включают изменения в инфраструктуру C2, переход на TLS 1.3 и использование идентификаторов GUID для идентификации хоста, при этом имена функций скрываются с помощью пользовательских методологий разрешения API. Вредоносное ПО нацелено на Мьянму и использует передовые методы антианализа, включая механизмы остановки и уникальные идентификаторы компьютеров для обеспечения закрепления.
-----
Франкенштейновский вариант бэкдора ToneShell - это облегченное вредоносное ПО, приписываемое группе Mustang Panda, которая связана с китайскими интересами. Этот вариант обычно поставляется через DLL sideloading в сжатых архивах, содержащих законные подписанные исполняемые файлы, часто распространяемые с помощью размещенных в облаке приманок. Недавние обновления, выявленные в анализе Zscaler, включают изменения в его инфраструктуре управления FakeTLS (C2), переход от заголовков в стиле TLS 1.2 к заголовкам в стиле 1.3, наряду с внедрением идентификаторов хостов на основе GUID и переходящей схемы XOR. Было замечено, что вредоносное ПО нацелено конкретно на Мьянму, что отражает стратегические геополитические цели Китая в регионе.
ToneShell использует метод, при котором его DLL-библиотека загружается вместе с законным исполняемым файлом, обычно содержащимся в ZIP-файле с пометкой "политический резонанс", предполагающей связи с местными революционными силами. Вредоносное ПО использует пользовательскую методологию разрешения API, основанную на скользящем хэше, которая скрывает имена модулей и функций, затрудняя усилия по обнаружению, сохраняя их в формате, не являющемся открытым текстом. Проект HashDB облегчает возврат этих хэшей к их первоначальным названиям функций, что упрощает выполнение анализа вредоносного ПО.
Более того, этот вариант демонстрирует продвинутую тактику антианализа и борьбы с песочницей. Он включает в себя механизмы остановки, предназначенные для того, чтобы сбить с толку автоматизированные инструменты анализа. Одной из примечательных особенностей является генерация уникального идентификатора для каждого скомпрометированного компьютера, который сверяется с определенным расположением файла (C:\ProgramData\SystemRuntimeLag.inc ). Если файл недоступен или отсутствует, новый GUID генерируется с помощью CoCreateGuid или, в качестве запасного варианта, внутреннего линейного конгруэнтного генератора (LCG). Это обеспечивает закрепление за счет сохранения сгенерированного начального значения обратно по указанному пути.
Сетевое поведение включает в себя установление сокетного соединения с сервером C2, которое играет важную роль в операциях командования и контроля. Анализ показывает, что эта конечная точка может также служить отправной точкой для обнаружения дополнительных вариантов вредоносного ПО, что указывает на потенциально более масштабную кампанию.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Франкенштейновский вариант бэкдора ToneShell, приписываемый группе Mustang Panda, использует DLL Sideloading для доставки, часто в сжатых архивах политической тематики. Недавние обновления включают изменения в инфраструктуру C2, переход на TLS 1.3 и использование идентификаторов GUID для идентификации хоста, при этом имена функций скрываются с помощью пользовательских методологий разрешения API. Вредоносное ПО нацелено на Мьянму и использует передовые методы антианализа, включая механизмы остановки и уникальные идентификаторы компьютеров для обеспечения закрепления.
-----
Франкенштейновский вариант бэкдора ToneShell - это облегченное вредоносное ПО, приписываемое группе Mustang Panda, которая связана с китайскими интересами. Этот вариант обычно поставляется через DLL sideloading в сжатых архивах, содержащих законные подписанные исполняемые файлы, часто распространяемые с помощью размещенных в облаке приманок. Недавние обновления, выявленные в анализе Zscaler, включают изменения в его инфраструктуре управления FakeTLS (C2), переход от заголовков в стиле TLS 1.2 к заголовкам в стиле 1.3, наряду с внедрением идентификаторов хостов на основе GUID и переходящей схемы XOR. Было замечено, что вредоносное ПО нацелено конкретно на Мьянму, что отражает стратегические геополитические цели Китая в регионе.
ToneShell использует метод, при котором его DLL-библиотека загружается вместе с законным исполняемым файлом, обычно содержащимся в ZIP-файле с пометкой "политический резонанс", предполагающей связи с местными революционными силами. Вредоносное ПО использует пользовательскую методологию разрешения API, основанную на скользящем хэше, которая скрывает имена модулей и функций, затрудняя усилия по обнаружению, сохраняя их в формате, не являющемся открытым текстом. Проект HashDB облегчает возврат этих хэшей к их первоначальным названиям функций, что упрощает выполнение анализа вредоносного ПО.
Более того, этот вариант демонстрирует продвинутую тактику антианализа и борьбы с песочницей. Он включает в себя механизмы остановки, предназначенные для того, чтобы сбить с толку автоматизированные инструменты анализа. Одной из примечательных особенностей является генерация уникального идентификатора для каждого скомпрометированного компьютера, который сверяется с определенным расположением файла (C:\ProgramData\SystemRuntimeLag.inc ). Если файл недоступен или отсутствует, новый GUID генерируется с помощью CoCreateGuid или, в качестве запасного варианта, внутреннего линейного конгруэнтного генератора (LCG). Это обеспечивает закрепление за счет сохранения сгенерированного начального значения обратно по указанному пути.
Сетевое поведение включает в себя установление сокетного соединения с сервером C2, которое играет важную роль в операциях командования и контроля. Анализ показывает, что эта конечная точка может также служить отправной точкой для обнаружения дополнительных вариантов вредоносного ПО, что указывает на потенциально более масштабную кампанию.
#ParsedReport #CompletenessLow
10-09-2025
AsyncRAT in Action: Fileless Malware Techniques and Analysis of a Remote Access Trojan
https://levelblue.com/blogs/security-essentials/asyncrat-in-action-fileless-malware-techniques-and-analysis-of-a-remote-access-trojan
Report completeness: Low
Threats:
Asyncrat
Screenconnect_tool
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1041, T1057, T1059.001, T1059.005, T1105, T1115, T1592, T1620
IOCs:
File: 5
Domain: 2
Path: 1
Soft:
Windows security
Wallets:
metamask
Algorithms:
aes-256, base64
Functions:
Main, PatchAMSI, GetModuleHandle, CreateLoginTask
Win API:
GetProcAddress
Languages:
powershell
10-09-2025
AsyncRAT in Action: Fileless Malware Techniques and Analysis of a Remote Access Trojan
https://levelblue.com/blogs/security-essentials/asyncrat-in-action-fileless-malware-techniques-and-analysis-of-a-remote-access-trojan
Report completeness: Low
Threats:
Asyncrat
Screenconnect_tool
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1041, T1057, T1059.001, T1059.005, T1105, T1115, T1592, T1620
IOCs:
File: 5
Domain: 2
Path: 1
Soft:
Windows security
Wallets:
metamask
Algorithms:
aes-256, base64
Functions:
Main, PatchAMSI, GetModuleHandle, CreateLoginTask
Win API:
GetProcAddress
Languages:
powershell
Levelblue
Asyncrat Malware: Fileless RAT Attack Techniques
Explore how Asyncrat uses fileless malware techniques. Learn the risks of remote access trojans (RATs) and how to defend your systems.
CTT Report Hub
#ParsedReport #CompletenessLow 10-09-2025 AsyncRAT in Action: Fileless Malware Techniques and Analysis of a Remote Access Trojan https://levelblue.com/blogs/security-essentials/asyncrat-in-action-fileless-malware-techniques-and-analysis-of-a-remote-access…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
AsyncRAT - это троян удаленного доступа (RAT), который использует методы безфайлового вредоносного ПО, чтобы избежать обнаружения, первоначально получая доступ через скомпрометированный клиент ScreenConnect, связанный с вредоносным доменом. Он использует VBScript для загрузки полезных данных в память с помощью сборки .NET (Obfuscator.dll ) запуск вредоносного ПО и двоичного файла (AsyncClient.exe ) функционирующий в качестве механизма управления для системного управления и скрытных операций. Структура вредоносного ПО допускает эксфильтрацию данных, демонстрируя проблемы, связанные с атаками без файлов.
-----
AsyncRAT - это сложный троян удаленного доступа (RAT), который ускользает от обнаружения благодаря использованию методов безфайлового вредоносного ПО. Первоначально злоумышленник получил доступ через скомпрометированный клиент ScreenConnect, законный инструмент удаленного доступа, который был связан с вредоносным доменом (relay.shipperzone.online), известным несанкционированным развертыванием. Атака началась с выполнения VBScript (Update.vbs), который запустил команду PowerShell для загрузки двух внешних полезных файлов, logs.ldk и logs.ldr, с удаленного сервера. Эти файлы были сохранены в C:\Users\Public \ directory и были загружены в память для выполнения вредоносных полезных нагрузок, не оставляя следов на диске.
Первый этап включал в себя выполнение Obfuscator.библиотека dll, которая служила средством запуска в цепочке заражения AsyncRAT. Эта сборка .NET инициирует выполнение вредоносного ПО, применяет тактику уклонения и вызывает основные функциональные возможности полезной нагрузки. Он включает в себя три ключевых класса, которые способствуют его эксплуатационным возможностям.
Следующий этап в последовательности атак, AsyncClient.exe , функционирует как основной механизм управления вредоносным ПО. Этот двоичный файл разработан для обеспечения скрытности и модульности, позволяя вредоносному ПО выполнять разведку системы и управлять сетевым подключением с помощью специальных протоколов ping. AsyncClient.exe выполнять команды, предоставляемые злоумышленниками через систему динамического анализа пакетов, обеспечивая непрерывное и скрытое подключение к скомпрометированной системе.
Изучение операционной структуры AsyncRAT's позволяет получить жизненно важное представление о механизмах закрепления, динамической загрузке полезной нагрузки и ее способности извлекать конфиденциальные данные, такие как учетные данные пользователя и артефакты браузера. Понимая это поведение, аналитики безопасности могут разрабатывать сигнатуры целенаправленного обнаружения и улучшать защиту конечных точек от таких сложных угроз. Это исследование освещает проблемы, связанные с вредоносным ПО без файлов, и подчеркивает необходимость передовых стратегий обнаружения для противодействия этим развивающимся киберугрозам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
AsyncRAT - это троян удаленного доступа (RAT), который использует методы безфайлового вредоносного ПО, чтобы избежать обнаружения, первоначально получая доступ через скомпрометированный клиент ScreenConnect, связанный с вредоносным доменом. Он использует VBScript для загрузки полезных данных в память с помощью сборки .NET (Obfuscator.dll ) запуск вредоносного ПО и двоичного файла (AsyncClient.exe ) функционирующий в качестве механизма управления для системного управления и скрытных операций. Структура вредоносного ПО допускает эксфильтрацию данных, демонстрируя проблемы, связанные с атаками без файлов.
-----
AsyncRAT - это сложный троян удаленного доступа (RAT), который ускользает от обнаружения благодаря использованию методов безфайлового вредоносного ПО. Первоначально злоумышленник получил доступ через скомпрометированный клиент ScreenConnect, законный инструмент удаленного доступа, который был связан с вредоносным доменом (relay.shipperzone.online), известным несанкционированным развертыванием. Атака началась с выполнения VBScript (Update.vbs), который запустил команду PowerShell для загрузки двух внешних полезных файлов, logs.ldk и logs.ldr, с удаленного сервера. Эти файлы были сохранены в C:\Users\Public \ directory и были загружены в память для выполнения вредоносных полезных нагрузок, не оставляя следов на диске.
Первый этап включал в себя выполнение Obfuscator.библиотека dll, которая служила средством запуска в цепочке заражения AsyncRAT. Эта сборка .NET инициирует выполнение вредоносного ПО, применяет тактику уклонения и вызывает основные функциональные возможности полезной нагрузки. Он включает в себя три ключевых класса, которые способствуют его эксплуатационным возможностям.
Следующий этап в последовательности атак, AsyncClient.exe , функционирует как основной механизм управления вредоносным ПО. Этот двоичный файл разработан для обеспечения скрытности и модульности, позволяя вредоносному ПО выполнять разведку системы и управлять сетевым подключением с помощью специальных протоколов ping. AsyncClient.exe выполнять команды, предоставляемые злоумышленниками через систему динамического анализа пакетов, обеспечивая непрерывное и скрытое подключение к скомпрометированной системе.
Изучение операционной структуры AsyncRAT's позволяет получить жизненно важное представление о механизмах закрепления, динамической загрузке полезной нагрузки и ее способности извлекать конфиденциальные данные, такие как учетные данные пользователя и артефакты браузера. Понимая это поведение, аналитики безопасности могут разрабатывать сигнатуры целенаправленного обнаружения и улучшать защиту конечных точек от таких сложных угроз. Это исследование освещает проблемы, связанные с вредоносным ПО без файлов, и подчеркивает необходимость передовых стратегий обнаружения для противодействия этим развивающимся киберугрозам.