#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная атака фишинга с использованием контента, сгенерированного искусственным интеллектом, была нацелена на Node Package Manager (NPM), используя домен npmjs.help для создания надежной инфраструктуры. Электронное письмо с фишингом, состоящее на 70-80% из текста, сгенерированного искусственным интеллектом, направляло пользователей на поддельную страницу входа в NPM, в то время как вредоносный пакет JavaScript включал запутанный код, который вводил перехватчик на стороне браузера для кражи учетных данных пользователя. Учетные данные были отправлены в конечную точку websocket-api2.publicvm.com для эксфильтрации данных, демонстрируя продвинутый подход к угрозам фишинга.
-----

Недавняя атака фишинга с использованием контента, созданного искусственным интеллектом, вызвала тревогу из-за ее сложного подхода и значительных рисков, которые она представляет для supply chain программного обеспечения, особенно в отношении Node Package Manager (NPM). В отличие от типичных кампаний фишинга, которые часто основаны на неправильно настроенных рассылках электронной почты или плохо написанном контенте, эта атака была выполнена с использованием хорошо зарекомендовавшего себя домена npmjs.help, который представлял собой чистую и убедительную инфраструктуру.

В электронном письме, предназначенном для фишинга, в частности, использовался текст, сгенерированный искусственным интеллектом, и, по оценкам, 70-80% контента можно отнести к Искусственному интеллекту. Такое расширенное использование обработки естественного языка эффективно маскировало вредоносные намерения электронного письма, позволяя ему обойти первоначальную проверку, с которой обычно сталкиваются при попытках фишинга. Жертвы были перенаправлены на поддельный веб-сайт, который был точной копией законной страницы входа в NPM.

Неотъемлемой частью атаки был вредоносный пакет JavaScript, встроенный в электронное письмо, который включал запутанный код. После установки этот код внедрил в системы пользователей перехватчик на стороне браузера, который активировался при загрузке страницы. Этот перехватчик взаимодействовал с критически важными веб-API, позволяя красть учетные данные пользователя. Основная конечная точка для украденных учетных данных была идентифицирована как websocket-api2.publicvm.com , указывающий на целенаправленную стратегию эксфильтрации данных.

В ответ на эту угрозу отмечается, что многоуровневый механизм защиты, управляемый искусственным интеллектом, успешно обнаружил и предотвратил попытку фишинга. Это включало комбинацию анализа естественного языка, который распознавал сгенерированные искусственным интеллектом стилистические маркеры, типичные для таких вредоносных электронных писем, и визуальный осмотр, который сравнивал сайт фишинга с законным сайтом NPM. Имитация была почти идеальной, но расхождения в сертификате и URL-адресе имели решающее значение для идентификации веб-сайта как мошеннического, что позволило избежать потенциальных компромиссов.

Этот инцидент высвечивает меняющийся ландшафт киберугроз, которым способствует технология искусственного интеллекта, и подчеркивает необходимость адаптивных стратегий защиты для снижения рисков, связанных со сложными схемами фишинга.

#ParsedReport #CompletenessLow
10-09-2025

The Great NPM Heist September 2025

https://cyberint.com/blog/threat-intelligence/the-great-npm-heist-september-2025/

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Open source software ecosystem, Software supply chain

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1059.007, T1071.001, T1195, T1583.001

IOCs:
Email: 1
Domain: 4
IP: 1
Url: 4
File: 3

Soft:
Twitter, Node.js

Wallets:
metamask, tron

Crypto:
ethereum, bitcoin, litecoin

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
8 сентября 2025 года атака supply Chains под названием "Великое ограбление NPM" была нацелена на экосистему JavaScript с помощью схемы фишинга, нацеленной на сопровождающего Джоша Джунона, что привело к компрометации более 18 широко используемых пакетов npm, которые включали вредоносное ПО для кражи криптовалют. Злоумышленники использовали скрипт credential-stealing для сбора конфиденциальной информации и впоследствии внедрили это вредоносное ПО в популярные пакеты, что быстро оказало воздействие на миллиарды загрузок. Операция продемонстрировала уязвимости в supply chains с открытым исходным кодом и необходимость оперативного обнаружения подобных угроз и реагирования на них.
-----

8 сентября 2025 года произошла масштабная атака на supply chain в экосистеме JavaScript, известная как "Великое ограбление NPM", что стало одним из крупнейших инцидентов в истории npm. Атака была инициирована изощренной кампанией фишинга, нацеленной на Джоша Джунона, известного разработчика пакетов с открытым исходным кодом. Электронное письмо с фишингом, в котором ложно утверждалось, что оно от службы поддержки npm, убедило его обновить свои учетные данные для двухфакторной аутентификации (2FA), тем самым позволив злоумышленникам получить доступ к его учетной записи.

Оказавшись внутри, злоумышленники внедрили мощное вредоносное ПО для кражи криптовалют в более чем 18 базовых пакетов npm, которые в совокупности набирали более 2 миллиардов загрузок еженедельно. Эти пакеты, имеющие решающее значение для различных приложений, распространялись от отдельных проектов до корпоративных систем, предоставляя вредоносному ПО огромный потенциал воздействия. Вредоносное программное обеспечение было разработано с учетом специфического поведения, направленного на захват конфиденциальной информации, в первую очередь ориентируясь на данные, связанные с криптовалютой, с помощью специально разработанного механизма на основе браузера.

Злоумышленники зарегистрировали домен npmjs.help всего за три дня до фактической атаки фишинга, что сигнализировало о хорошо спланированной операции. Одним из важнейших компонентов скомпрометированной установки был скрипт credential-stealing, который собирал имена пользователей, пароли и коды 2FA, отправляя эти данные на удаленный хост по адресу websocket-api2.publicvm.com . Это действие позволило злоумышленникам злоупотребить учетными данными для получения дальнейшего доступа к экосистеме.

Временная шкала атаки показывает быстрые действия как нападающих, так и обороняющихся. Электронное письмо с фишингом было отправлено в 13:00 по Гринвичу, за которым последовала публикация первого вредоносного пакета всего 16 минут спустя. Меры безопасности были быстро активированы, и Aikido Security обнаружила аномалии в течение нескольких минут, заметив необычное поведение в конвейерах сборки, в частности сообщение об ошибке ("ReferenceError: выборка не определена"), которое указывало на сбой вредоносного ПО при работе в Node.js окружающая среда.

В свете этого события команда npm незамедлительно приступила к удалению скомпрометированных версий затронутых пакетов, чтобы снизить вероятность дальнейшего использования. Инцидент подчеркивает уязвимость, присущую supply chains с открытым исходным кодом, подчеркивая необходимость постоянного мониторинга и механизмов быстрого реагирования для обнаружения и нейтрализации таких угроз до того, как они смогут нанести значительный ущерб.

#ParsedReport #CompletenessMedium
11-09-2025

Malware Campaign Leverages SVGs, Email Attachments, and CDNs to Drop XWorm and Remcos via BAT Scripts

https://www.seqrite.com/blog/xworm-remcos-bat-svg-malware-analysis/

Report completeness: Medium

Threats:
Xworm_rat
Remcos_rat
Process_injection_technique

Victims:
General users

TTPs:
Tactics: 7
Technics: 11

IOCs:
File: 4
Hash: 5

Soft:
Windows security, Event Tracing for Windows

Algorithms:
gzip, cbc, zip, aes, base64

Functions:
GetModuleHandle, Script_

Win API:
GetProcAddress, VirtualProtect, AmsiInitialize, AmsiScanBuffer, EtwEventWrite

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кампании по вредоносному ПО используют загрузчики на базе BAT для распространения троянов удаленного доступа (RATs), таких как XWorm и Remcos, в основном через обманчивые ZIP-архивы на законных платформах. В этих кампаниях используются динамические скрипты BAT, которые выполняют всю цепочку атак, включая доставку полезной нагрузки и механизмы закрепления, путем создания файлов в папке автозагрузки Windows. Кроме того, во второй кампании были представлены SVG-файлы, встроенные в JavaScript для автоматической загрузки вредоносных ZIP-архивов, что демонстрирует способность злоумышленников использовать различные форматы файлов для атак.
-----

Недавние кампании по борьбе с вредоносным ПО продемонстрировали изощренное использование загрузчиков на базе BAT для распространения троянских программ удаленного доступа (RATs), в частности XWorm и Remcos. Начальный этап таких кампаний обычно включает в себя доставку ZIP-архива, размещенного на кажущихся законными платформах, с целью убедить пользователей ознакомиться с контентом. Это служит отправной точкой для цепочки заражения, где скрипты BAT играют решающую роль.

В первой выявленной кампании наблюдались различные сценарии BAT, указывающие на динамичную среду угроз. Некоторые скрипты все еще находятся в стадии разработки, что предполагает активные текущие улучшения. Эти скрипты выполняют полную цепочку атак, охватывающую возможности загрузки полезной нагрузки и выполнения. Чтобы обеспечить закрепление, вредоносное ПО создает BAT-файл в папке автозагрузки Windows, который гарантирует выполнение при запуске системы или входе пользователя в систему.

Сценарии BAT используют PowerShell для доставки полезной нагрузки в память, облегчая скрытое выполнение. Компонент loader специально разработан для того, чтобы избежать обнаружения путем отключения регистрации событий и выполнения Встроенной полезной нагрузки непосредственно в памяти. Он достигает этого с помощью таких методов, как расшифровка и выполнение .СЕТЕВЫЕ исполняемые файлы или выполнение шелл-кода с помощью VirtualProtect и делегатов.

XWorm и Remcos отличаются расширенными функциональными возможностями, которые включают Регистрацию нажатий клавиш, удаленное выполнение команд и эксфильтрацию данных. Механизмы их доставки и исполнения остаются неясными и устойчивыми к обычным методам обнаружения.

Вторая кампания показывает значительную эволюцию методов доставки вредоносного ПО. Он включает в себя файлы SVG (масштабируемая векторная графика), которые встроены с помощью JavaScript. Эти SVG-файлы предназначены для маскировки под законные файлы изображений и могут инициировать автоматическую загрузку вредоносных ZIP-архивов при открытии в уязвимых средах или через веб-страницы с фишингом. Встроенный JavaScript действует как механизм доставки, подчеркивая адаптивность злоумышленников к использованию менее традиционных форматов файлов.

#ParsedReport #CompletenessLow
11-09-2025

Trigona rebranding suspicions and global threats, Blacknevas ransomware analysis

https://asec.ahnlab.com/ko/90052/

Report completeness: Low

Actors/Campaigns:
Blacknevas_ransomware

Threats:
Trigona
Blacknevas
Ransom/mdp.decoy.m1171

Victims:
Companies, Critical infrastructure organizations

Geo:
Japan, Asia-pacific, Thailand, Lithuania, Asian, Italy, Asia, Korea, America, United kingdom

ChatGPT TTPs:
do not use without manual check
T1059, T1083, T1486

IOCs:
Hash: 4
File: 3

Algorithms:
aes, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель BLACKNEVAS, появившаяся в ноябре 2024 года, в первую очередь нацелена на отрасли в Азиатско-Тихоокеанском регионе, Северной Америке и Западной Европе. Он работает путем шифрования файлов и эксфильтрации конфиденциальных данных, угрожая раскрыть их, если выкуп не будет выплачен. Примечательно, что он использует двухуровневый метод шифрования с использованием AES и RSA, избегает шифрования файлов в критических каталогах, таких как "System32", и проверяет конкретные значения данных вместо расширений для идентификации зашифрованных файлов, демонстрируя передовые методы работы.
-----

Программа-вымогатель BLACKNEVAS, впервые обнаруженная в ноябре 2024 года, представляет собой новую киберугрозу, нацеленную на широкий спектр отраслей промышленности в Азии, Северной Америке и Европе, с заметным акцентом на Азиатско-Тихоокеанский регион, особенно на страны Юго-Восточной и Восточноазиатской областей, такие как Япония, Таиланд и Корея. Группа действует аналогично другим банд-вымогателей, шифруя файлы в зараженных системах, извлекая конфиденциальные данные и угрожая раскрыть эту информацию, если выкуп не будет выплачен. Их оперативная схема показывает значительную концентрацию атак: 50% инцидентов приходится на Азиатско-Тихоокеанский регион, а дополнительные цели - в Западной Европе и прибрежных государствах Балтии, включая Великобританию, Италию и Литву.

Технически в программе-вымогателе BLACKNEVAS отсутствуют специальные методы защиты от отладки и Обхода песочницы, что облегчает ее изучение аналитиками. Программа-вымогатель допускает различные аргументы командной строки, которые влияют на ее выполнение; например, использование параметров "/fast" или "/full" изменяет степень шифрования файла. Если ни один из аргументов не указан, изначально шифруются только первые 10% от общего размера файла.

Программа-вымогатель использует двухуровневую стратегию шифрования, сначала используя симметричный ключ AES для шифрования файлов, а затем шифруя этот ключ AES открытым ключом RSA, что делает расшифровку практически невозможной без ущерба для самого алгоритма RSA. Такая конструкция усложняет задачу восстановления зашифрованных файлов, подчеркивая необходимость принятия надежных превентивных мер.

В рамках своего процесса шифрования BLACKNEVAS, в частности, избегает шифрования файлов в критически важных для системы каталогах, таких как "System32" и "Windows". Его отличительная особенность заключается в том, как он реализует исключения шифрования; вместо использования традиционных методов, основанных на расширениях файлов, BLACKNEVAS проверяет конкретные значения данных, чтобы определить, был ли файл уже зашифрован. Это указывает на уровень сложности, который отличает его от многих других вариантов программ-вымогателей.

#ParsedReport #CompletenessMedium
11-09-2025

Behind the Mask of Madgicx Plus: A Chrome Extension Campaign Targeting Meta Advertisers

https://www.cybereason.com/blog/chrome-extension-campaign-madgicx

Report completeness: Medium

Actors/Campaigns:
Madgicx_plus

Threats:
Man-in-the-browser_technique

Victims:
Meta advertisers, Digital marketers

ChatGPT TTPs:
do not use without manual check
T1204, T1539, T1552, T1566

IOCs:
Url: 19
Domain: 2
IP: 1
File: 3
Hash: 2

Soft:
Chrome, Instagram, Gmail

Algorithms:
sha256

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Продолжающаяся киберугроза, связанная с кампанией вредоносного расширения Chrome, нацелена на мета-рекламодателей, использующих поддельную платформу под названием "Madgicx Plus" для перехвата бизнес-сессий и кражи учетных данных пользователей. Злоумышленники используют сложную инфраструктуру профессионально созданных доменов, используя методы социальной инженерии, имитируя законный бренд. Технический анализ расширения выявляет широкие запросы на получение разрешений и методы обхода протоколов безопасности, что указывает на скоординированные усилия по использованию учетных записей рекламодателей для получения конфиденциальной информации.
-----

Расследование, проведенное службами безопасности Cybereason, выявило продолжающуюся киберугрозу, связанную с кампанией вредоносного расширения Chrome, нацеленной в первую очередь на мета-рекламодателей. Кампания сосредоточена вокруг поддельной платформы под названием "Madgicx Plus", замаскированной под инструмент оптимизации рекламы на основе искусственного интеллекта, предназначенный для привлечения маркетологов из рекламной экосистемы Meta. Вместо подлинных улучшений это расширение содержит вредоносные функции, которые могут перехватывать бизнес-сеансы, красть учетные данные пользователей и компрометировать мета-бизнес-аккаунты. Примечательно, что операторы использовали ранее использовавшуюся доменную инфраструктуру, адаптировав свои методы социальной инженерии специально для использования мета-рекламодателями.

Сложная инфраструктура, поддерживающая эту кампанию, использует ряд профессионально созданных доменов для распространения вредоносных расширений, большинство из которых защищены Cloudflare. Однако аналитики смогли раскрыть истинное происхождение этих доменов с помощью хэшей значков и таких инструментов, как Shodan. Это способствовало выявлению связанных доменов и общего хостинга, подчеркивая стратегическое повторное использование ресурсов, использованных на предыдущих этапах кампании.

Привлекательность поддельного сайта "Madgicx Plus" в значительной степени зависит от легитимности реального бренда Madgicx, хорошо известного в области рекламных технологий. Эта тактика повышает доверие к злоумышленникам за счет использования ничего не подозревающего законного бренда, эффективно повышая их шансы на успех в том, чтобы обманом заставить жертв установить скомпрометированное расширение. Продолжающееся исследование показывает, что злоумышленники не только перепрофилировали предыдущие вредоносные домены, но и постоянно совершенствуют свои методы и цели.

Технический анализ самого расширения Chrome выявил многочисленные запросы разрешений, попытки обойти протоколы веб-безопасности и механизмы, предназначенные для взаимодействия с конфиденциальными пользовательскими данными. Это тщательное изучение продемонстрировало возможности расширения и его потенциальную возможность вредоносного поведения, укрепив мнение о том, что кампания является не просто оппортунистической, а указывает на скоординированные усилия по проникновению в аккаунты рекламодателей и использованию их для получения ценной деловой информации. Полученные результаты подчеркивают необходимость проявлять бдительность, поскольку кампания демонстрирует явные признаки эволюции и потенциал для расширения, что требует постоянного мониторинга и принятия защитных мер против подобных угроз в сфере цифровой рекламы.

#ParsedReport #CompletenessMedium
11-09-2025

AdaptixC2: A New Open-Source Framework Leveraged in Real-World Attacks

https://unit42.paloaltonetworks.com/adaptixc2-post-exploitation-framework/

Report completeness: Medium

Threats:
Adaptixc2_tool
Microsoft_quick_assist_tool
Dll_hijacking_technique
Fog_ransomware
Anydesk_tool
Screenconnect_tool
Logmein_tool

Victims:
Organizations using microsoft teams, Enterprises using rmm tools

Geo:
India, Asia, Middle east, Australia, Japan

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1033, T1055, T1059.001, T1105, T1106, T1112, T1204.002, T1219, have more...

IOCs:
File: 7
Domain: 19
Hash: 7

Soft:
Microsoft Teams

Algorithms:
sha256, base64, rc4, xor

Functions:
GetDelegateForFunctionPointer, Invoke, Write-Output, GetProcesses

Win API:
VirtualProtect

Languages:
powershell, python, php

Platforms:
x64, x86

YARA: Found

Links:
https://github.com/Adaptix-Framework/AdaptixC2
https://github.com/Adaptix-Framework/AdaptixC2/blob/main/Extenders/agent\_beacon/src\_beacon/beacon/AgentConfig.cpp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AdaptixC2 - это платформа управления с открытым исходным кодом, которая активно используется в кибератаках с мая 2025 года. Злоумышленники используют тактику фишинга, часто выдавая себя за ИТ-персонал, для компрометации систем, в первую очередь используя загрузчики PowerShell для незаметного развертывания зашифрованных маяков. Платформа обладает настраиваемыми функциональными возможностями, использует методы управления памятью для выполнения в памяти и обеспечивает закрепление с помощью таких методов, как ключи запуска реестра и DLL hijacking, что сигнализирует о сложном подходе к развертыванию вредоносного ПО.
-----

AdaptixC2 - это недавно идентифицированная платформа управления с открытым исходным кодом (C2), которая наблюдалась в реальных кибератаках с мая 2025 года. Исследователи из подразделения 42 отметили его использование для компрометации нескольких систем, классифицировав его как универсальный инструмент для проведения враждебных операций, включая широкий контроль над зараженными машинами. Фреймворк допускает настраиваемые функциональные возможности и использует зашифрованные конфигурации, поддерживая три основных типа маяков с помощью специальных структур профилей.

Сообщалось, что в инцидентах, связанных с AdaptixC2, злоумышленники использовали доверие к законным платформам, таким как Microsoft Teams, для инициирования заражений. Например, злоумышленники использовали стратегии фишинга, выдавая себя за ИТ-персонал, успешно убеждая сотрудников участвовать в сеансах, которые привели бы к развертыванию маяков AdaptixC2. Первоначальный компромисс обычно происходит с помощью многоступенчатых загрузчиков PowerShell, которые загружают зашифрованные полезные данные из надежных сервисов, обеспечивая скрытность во время выполнения.

Дальнейший анализ выявил два различных сценария развертывания AdaptixC2. В одном из них злоумышленники использовали созданный искусственным интеллектом сценарий PowerShell, который не только запускал beacon, но и использовал методы управления памятью, такие как выделение неуправляемой памяти и изменение атрибутов защиты памяти для облегчения выполнения в памяти. Этот скрипт нацелен на определенные каталоги для механизма DLL hijacking и устанавливает закрепление с помощью ключей запуска реестра, что значительно расширяет возможности злоумышленников в скомпрометированных системах.

Сходство между этими случаями указывает на предпочтение загрузчиков на базе PowerShell для развертывания AdaptixC2 при сохранении низкой видимости во время операций. Злоумышленники часто используют встроенные средства .Сетевые функциональные возможности, обеспечивающие эффективное выполнение и минимальное количество обнаруживаемых следов. Постоянные методы были реализованы с помощью различных средств, таких как создание ярлыков для автозапуска и использование методов DLL hijacking, отражающих сложный подход к развертыванию вредоносного ПО.

Растущая распространенность AdaptixC2's свидетельствует о растущем внедрении различными злоумышленниками. Продолжающиеся телеметрические наблюдения указывают на растущее число серверов, связанных с этой платформой, что подчеркивает ее адаптивность и потенциал для быстрой эволюции тактики благодаря модульной конструкции. Командам безопасности рекомендуется усилить свою защиту от AdaptixC2, используя специальные правила Yara и hunting для обнаружения его присутствия и отслеживания связанных с ним действий по фишингу, которые осуществляются с помощью таких платформ, как Microsoft Teams. Сочетание генерации сценариев с помощью искусственного интеллекта и встроенных возможностей фреймворка создает значительную постоянную угрозу, которая требует принятия упреждающих мер безопасности.

#ParsedReport #CompletenessMedium
11-09-2025

Unknown Malware Using Azure Functions as C2

https://dmpdump.github.io/posts/AzureFunctionsMalware/

Report completeness: Medium

Threats:
Dll_sideloading_technique

Geo:
Singapore, Malaysia

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1574.002

IOCs:
File: 7
Path: 2
Hash: 8
Url: 1
Domain: 1

Soft:
Azure Functions

Algorithms:
lznt1, sha2, rc4, sha256

Functions:
GetConsoleWindow

Win API:
NetBIOS, LoadLibraryW, SetForegroundWindow, GetForegroundWindow, ShowWindow, CreateMutexExW, ZwProtectVirtualMemory, RtlDecompressBuffer, decompress

Links:
https://github.com/dmpdump

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
28 августа 2025 года вредоносное ПО, связанное с файлом Servicenow-BNM-Verify.iso был обнаружен, что свидетельствует о низких показателях обнаружения в VirusTotal. Он использует функции Azure для командования и контроля и использует методы DLL side-loading, в частности, используя законный PanGpHip.exe для выполнения вредоносных функций через скрытый libwaapi.dll . Полезная нагрузка содержит запутанный шелл-код, который усложняет выполнение и анализ, подчеркивая сложный дизайн вредоносного ПО, направленный на то, чтобы избежать обнаружения.
-----

28 августа 2025 года было обнаружено неустановленное вредоносное ПО, связанное с файлом с именем Servicenow-BNM-Verify.iso загружено из Малайзии, которая показала очень низкий уровень обнаружения на VirusTotal. Это вредоносное ПО использует Облачные сервисы, в частности функции Azure, для операций командования и контроля (C2), что позволяет ему эффективно управлять скомпрометированными системами, не вызывая немедленных подозрений из-за использования законной облачной инфраструктуры.

Вредоносное ПО использует метод, известный как DLL side-loading, который идентифицируется по наличию скрытых библиотек динамической компоновки (DLL) рядом с доверенным исполняемым файлом, а именно PanGpHip.exe . В этом сценарии libwaapi.dll действует как носитель вредоносного кода, выполняя вредоносные функции при динамической загрузке через легитимный исполняемый файл с помощью метода LoadLibraryW. Этот метод эксплуатации использует преимущества законного процесса для сокрытия вредоносной активности, что усложняет обнаружение.

Кроме того, введенная полезная нагрузка состоит из запутанного шеллкода, который предназначен для загрузки встроенной библиотеки DLL. Анализ с использованием шестнадцатеричного редактора показывает, что, хотя возможно найти встроенную полезную нагрузку, она требует обработки, прежде чем ее можно будет выполнить. Это указывает на то, что вредоносное ПО создано таким образом, что затрудняет немедленное выполнение и анализ, поскольку оно не имеет прямой структуры, подобной чистому переносимому исполняемому файлу (PE). В результате такая изощренность его конструкции усложняет задачу для защитников кибербезопасности, пытающихся идентифицировать и смягчить угрозу, исходящую от этого вредоносного ПО.

#ParsedReport #CompletenessHigh
09-09-2025

LunoBotnet: A Self-Healing Linux Botnet with Modular DDoS and Cryptojacking Capabilities

https://cyble.com/blog/lunobotnet-a-self-healing-linux-botnet/

Report completeness: High

Actors/Campaigns:
Ddos-for-hire

Threats:
Lunobotnet
Polymorphism_technique
Xmrig_miner
Udpflood_technique
Process_camouflage_technique
Tcpflood_technique
Synflood_technique
Ackflood_technique
Icmpflood_technique
Httpflood_technique

Victims:
Linux servers, Gaming platforms

Industry:
Media, Telco, Entertainment

TTPs:
Tactics: 5
Technics: 8

IOCs:
Domain: 6
Coin: 1
IP: 2
Hash: 39
Url: 1

Soft:
Linux, Roblox, Telegram, curl, OpenWrt, Alpine Linux, Valorant, systemd, firefox, chromium, have more...

Algorithms:
exhibit, sha256

Platforms:
apple