#ParsedReport #CompletenessMedium
15-10-2025

An Insider Look At The IRGC-linked APT35 Operations: Ep3 - Malware Arsenal & Tooling

https://www.cloudsek.com/blog/an-insider-look-at-the-irgc-linked-apt35-operations-ep3---malware-arsenal-tooling

Report completeness: Medium

Actors/Campaigns:
Irgc
Charming_kitten
Mosesstaff

Threats:
Saqeb
Rat-2ac2
Spear-phishing_technique
Steganography_technique

Victims:
Airlines, Law enforcement, Regional infrastructure, Industrial infrastructure, Scada

Industry:
Critical_infrastructure, Petroleum, Ics, Aerospace

Geo:
Turkey, Egypt, Saudi arabia, Israel, Jordan

TTPs:
Tactics: 12
Technics: 65

IOCs:
File: 30
Command: 1

Soft:
Flask, Visual Studio, Firefox, Telegram, NET Framework, Linux Debian, Windows Service

Algorithms:
base64, exhibit, xor, zip

Functions:
snrProc, SetWindowsHookEx

Win API:
CreateEventA, LoadLibrary, GetProcAddress

Languages:
python, php, powershell, c_language

Links:
https://github.com/KittenBusters/CharmingKitten

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT35, связанная с иранской IRGC, проводит сложные кибероперации с использованием продвинутого вредоносного ПО, включая систему Saqeb и RAT-2AC2, оба трояна удаленного доступа. Эти инструменты имеют модульную архитектуру для скрытности, используя сеть TOR для командования и контроля. Их методы атак включают фишинг для получения первоначального доступа, использование веб-оболочек и тактику кражи учетных данных, перемещения внутри компании и эксфильтрации данных, демонстрируя всестороннее понимание методов кибератак.
-----

APT35, также известный как Charming Kitten, является изощренным противником, связанным с Корпусом стражей Исламской революции (IRGC) и проводящим кибероперации, которые соответствуют геополитическим целям. В их деятельности широко используется профессиональная экосистема вредоносного ПО, которая включает в себя два основных семейства троянов удаленного доступа (RAT): Saqeb System и RAT-2AC2, а также пользовательские веб-оболочки. Эти инструменты предназначены для целенаправленных атак на авиакомпании, правоохранительные органы и региональную инфраструктуру в период с 2022 по 2025 год.

Система Saqeb - это мощная, усовершенствованная система Windows RAT, разработанная для длительного закрепления, отличающаяся модульной архитектурой, которая позволяет ей эффективно избегать обнаружения. Он разработан на C++ и состоит из пяти отдельных модулей. RAT-2AC2, построенный на платформе .NET framework, использует серверную часть Flask и включает возможности VNC. Оба RAT развертывают коммуникации командования и контроля (C2) через многоходовые прокси-серверы, использующие сеть TOR, что еще больше повышает их скрытность.

Пользовательские веб-оболочки, используемые APT35, включают в себя запутанные варианты, такие как m0s.asp, которые реализуют скрытые каналы через заголовок Accept-Language и шифры подстановки для скрытой связи. Кроме того, эти веб-оболочки могут выполнять команды и скрипты и облегчают доступ к скомпрометированным системам.

Группа также фокусируется на различных методах атаки, классифицированных в рамках MITRE ATT&CK framework. Первоначальный доступ в основном осуществляется в результате кампаний по фишингу, в частности, с помощью Целевых фишинг-вложений, содержащих вредоносную полезную нагрузку. Известно, что они используют Недостаток в общедоступных приложениях путем развертывания веб-оболочек на целевых серверах. Оказавшись внутри сети, APT35 использует сочетание методов для выполнения, закрепления, повышения привилегий, обхода защиты, получения учетных данных, обнаружения, перемещения внутри компании, сбора, командования и контроля, а также эксфильтрации.

Примечательно, что их крысы проявляют такие поведенческие черты, как доступ к хранилищу браузера для извлечения учетных данных, Регистрация нажатием клавиш и перечисление файлов для сбора конфиденциальной информации. Они также используют различные тактики уклонения, включая Маскировку законных служб, шестнадцатеричное кодирование модулей и методы защиты от отладки. Процессы эксфильтрации обычно проводятся по каналам C2 с использованием надежно закодированных данных, гарантируя, что извлеченная информация может быть отправлена обратно злоумышленникам без привлечения внимания.

Операции APT35's демонстрируют глубокое понимание как наступательной, так и оборонительной тактики, что делает их постоянной угрозой, от которой организации должны активно защищаться. Средства защиты должны быть сосредоточены на обнаружении попыток фишинга, мониторинге несанкционированного развертывания webshell и внедрении надежных методов обеспечения безопасности конечных точек для снижения рисков, создаваемых такими продвинутыми и организованными хакерскими группировками.

#ParsedReport #CompletenessLow
15-10-2025

TigerJack's Malicious VSCode Extensions Steal Code, Mine Crypto, and Plant Backdoors

https://www.secureblink.com/cyber-security-news/tiger-jack-s-malicious-vs-code-extensions-steal-code-mine-crypto-and-plant-backdoors

Report completeness: Low

Actors/Campaigns:
Tigerjack

Threats:
Supply_chain_technique
Coinimp

Victims:
Software development

Industry:
E-commerce

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1119, T1195, T1496, T1587.003

Soft:
VSCode, Visual Studio Code, Discord, Ethcode

Functions:
eval

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TigerJack - это злоумышленник, который создал множество вредоносных расширений кода Visual Studio, включая C++ Playground и HTTP Format, направленных на кражу исходного кода, майнинг криптовалют и создание бэкдоров. Их деятельность включает в себя по меньшей мере 11 различных расширений и хорошо организованную кампанию в нескольких аккаунтах, демонстрирующую адаптивность с помощью таких тактик, как повторное внедрение вредоносного кода через новые учетные записи издателей. Это указывает на постоянную угрозу, подчеркивая их способность к краже информации и эксплуатации инфраструктуры в сообществе разработчиков.
-----

TigerJack разработала серию вредоносных расширений Visual Studio Code (VS Code), в частности C++ Playground и HTTP Format, которые предназначены для кражи исходного кода, майнинга криптовалют и создания бэкдоров. Угроза является частью хорошо скоординированной кампании, проводимой актором с использованием нескольких учетных записей, конкретно идентифицированных как ab-498, 498 и 498-00, использующих по меньшей мере 11 различных вредоносных расширений для достижения своих целей.

Изощренность операций TigerJack демонстрируется их закреплением в вредоносных действиях. Они продемонстрировали способность адаптировать и развивать свои методы; например, в сентябре 2025 года произошел заметный инцидент с кампанией переиздания, в ходе которой они повторно внедрили тот же вредоносный код, используя недавно созданную учетную запись издателя "498-00". Этот акт переупаковки и распространения расширений подчеркивает сохраняющуюся угрозу, исходящую от TigerJack, поскольку они продолжают уклоняться от обнаружения, сохраняя при этом свои вредоносные цели.

Технические детали, связанные с этими вредоносными расширениями, указывают на многогранный подход, при котором исходный код скомпрометирован, а дополнительные уровни эксплуатации вводятся посредством крипто-майнинга и развертывания бэкдоров. Такая настройка не только ставит под угрозу непосредственную безопасность затронутых разработчиков и организаций, но и указывает на более широкую стратегию кражи информации и потенциального использования инфраструктуры. Эволюция их тактики говорит о том, что TigerJack остается серьезной угрозой в киберпространстве, что требует постоянной бдительности и обновленных мер безопасности в среде разработчиков, особенно в тех, где используются расширения VS Code.

#ParsedReport #CompletenessLow
15-10-2025

Scammers are still sending us their fake Robinhood security alerts

https://www.malwarebytes.com/blog/news/2025/10/scammers-are-still-sending-us-their-fake-robinhood-security-alerts

Report completeness: Low

Industry:
Financial

Geo:
Congo

IOCs:
Url: 1
Domain: 4

#ParsedReport #CompletenessMedium
15-10-2025

PhantomVAI Loader Delivers a Range of Infostealers

https://unit42.paloaltonetworks.com/phantomvai-loader-delivers-infostealers/

Report completeness: Medium

Threats:
Phantomvai_loader
Asyncrat
Formbook
Xworm_rat
Katz_stealer
Steganography_technique
Dcrat
Vmdetectloader
Vmdetector
Process_hollowing_technique

Industry:
Healthcare, Education, Government

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1055.012, T1059.001, T1059.005, T1059.007, T1105, T1497.001, T1566.001

IOCs:
Domain: 2
File: 3
Path: 4
Hash: 67

Soft:
Microsoft Edge, Telegram, Discord, Steam

Algorithms:
base64, sha256

Win API:
GetKeyboardLayout, GetLocaleInfoA, GetSystemDefaultLangID

Languages:
javascript, powershell

Links:
https://github.com/robsonfelix/VMDetector

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PhantomVAI Loader используется в фишинг-кампаниях для доставки Katz Stealer, вредоносного ПО для кражи информации, функционирующего как вредоносное ПО как услуга. Заражение начинается с вредоносных вложений JavaScript или VBS, приводящих к удалению загрузчика из PowerShell, что позволяет избежать обнаружения с помощью проверок виртуальной машины и обеспечивает закрепление в скомпрометированных системах. После активации он извлекает и внедряет Katz Stealer в целевые процессы, используя Внедрение в пустой процесс, что иллюстрирует продвинутую тактику в вредоносных кампаниях.
-----

PhantomVAI Loader стал ключевым игроком в недавних кампаниях по фишингу, облегчая доставку вредоносного ПО для кражи информации по сложной многоэтапной цепочке заражения. Этот загрузчик в первую очередь используется для развертывания Katz Stealer, недавно идентифицированного стиллера информации, который работает по модели "Вредоносное ПО как услуга" (MaaS), эффективно извлекая конфиденциальные данные из различных приложений на скомпрометированных компьютерах.

Заражение начинается с фишинга электронного письма, содержащего вредоносное вложение, часто с запутанными файлами JavaScript или Visual Basic Script (VBS). Эти скрипты предназначены для того, чтобы избежать обнаружения механизмами безопасности. После выполнения они приводят к загрузке скрипта PowerShell, который впоследствии запускает загрузчик PhantomVAI. Этот загрузчик, разработанный на C#, характеризуется тремя основными функциональными возможностями, включая надежное обнаружение виртуальной машины для предотвращения выполнения в виртуализированных средах, тем самым повышая его шансы на успешное развертывание в целевых системах.

После выполнения PhantomVAI Loader выполняет проверку на соответствие известным идентификаторам виртуальной машины, используя код из общедоступного проекта GitHub с именем VMDetector. Если эти проверки подтверждают, что код выполняется в виртуальной среде, загрузчик прерывает свою работу, чтобы избежать обнаружения. Если выполнение продолжится, оно установит закрепление на зараженном компьютере. Обычно это достигается с помощью одного или нескольких методов, которые гарантируют, что загрузчик остается активным при перезагрузке системы или входе пользователя в систему.

Кроме того, загрузчик запрограммирован на получение своей полезной нагрузки — часто стиллера Katz — по URL-адресу, указанному в скрипте PowerShell. Он использует метод Внедрения в пустой процесс для внедрения этой вредоносной полезной нагрузки в назначенный целевой процесс, который может изменяться в зависимости от параметров, предоставленных во время выполнения. Пути для внедрения определяются аргументами командной строки, передаваемыми загрузчику, что обеспечивает гибкий подход к его работе.

Таким образом, загрузчик PhantomVAI является примером изощренной тактики, применяемой злоумышленниками, включая социальную инженерию, запутывание сценариев и Стеганографию, для эффективной доставки стиллеров информации, таких как Katz Stealer. Этот многоуровневый подход не только высвечивает меняющийся ландшафт киберугроз, но и подчеркивает превентивные меры, которые специалисты по кибербезопасности должны принимать для борьбы с такими сложными целенаправленными угрозами.

#ParsedReport #CompletenessMedium
15-10-2025

Comprehensive Threat Intelligence Report: Charming Kitten

https://gist.github.com/Hamid-K/f4288dae3a1f2dea8905b1cf16d59c1b

Report completeness: Medium

Actors/Campaigns:
Charming_kitten (motivation: information_theft, cyber_espionage)
Mosesstaff

Threats:
Nuclei_tool
Proxyshell_vuln
Screenconnect_tool
Log4shell_vuln
Sqlmap_tool
Bellaciao
Rat-2ac2
Credential_dumping_technique
Nmap_tool
Process_hollowing_technique
Supply_chain_technique

Victims:
Government, Airlines, Technology, Finance, Telecommunications, Ministry of foreign affairs of the turkish republic of northern cyprus

Industry:
Ics, Critical_infrastructure, Foodtech, Ngo, Financial, Telco, Aerospace, Government, Military, Logistic, Transport, Software_development

Geo:
Jordan, Cyprus, Middle east, Iran, Arab emirates, Kuwait, Korea, United arab emirates, Israel, Turkish, Saudi arabia, Afghanistan, Deutsche, Lebanon, Turkey

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-1709 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-21893 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-34523 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-22024 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-34473 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-21887 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-31207 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 12
Technics: 0

IOCs:
File: 6
IP: 4

Soft:
ZoomEye, Microsoft Exchange, Ivanti, WordPress, Confluence, Jenkins, Gmail, ASP.NET, Windows Service, Active Directory, have more...

Algorithms:
xor

Languages:
powershell, python, delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Charming Kitten, спонсируемая государством хакерская группировка, занимается шпионажем и подрывной деятельностью, особенно в Израиле и Иордании, используя ряд тактик, методов и процедур (TTP), таких как разведка с помощью таких инструментов, как Shodan и Censys, и используя уязвимости в Microsoft Exchange и Log4j. Они используют фишинг для первоначального доступа, развертывают веб-оболочки для выполнения команд и используют пользовательское вредоносное ПО с возможностями скрытности. Их оперативная тактика включает в себя методы уклонения и получения учетных данных, нацеленные на критически важные сектора инфраструктуры, демонстрируя при этом растущую изощренность своих атак.
-----

Charming Kitten, изощренная хакерская группировка, вероятно, спонсируемая государством, демонстрирует структурированный подход к кибероперациям с четким акцентом на шпионаж и дезорганизацию, особенно нацеленный на организации в Израиле и Иордании. Их оперативная методология охватывает целый ряд тактик, методов и процедур (TTP), которые включают детальную разведку, использование уязвимостей и передовые стратегии управления.

На этапе разведки Charming Kitten использует различные общедоступные и частные инструменты для Поиска уязвимостей, такие как Shodan и Censys, наряду с активным профилированием целей для сбора разведывательной информации о ключевом персонале и сетевой инфраструктуре. Их методы первоначального доступа используют известные уязвимости в широко используемых приложениях, в частности, такие проблемы, как уязвимости Microsoft Exchange (ProxyShell), Log4j (CVE-2021-44228) и различные недостатки в таких платформах, как WordPress и GitLab. Кампании фишинга, нацеленные на учетные записи Gmail, также являются основной точкой входа, для повышения эффективности которых используются пользовательские наборы.

Выполнение их атак обычно включает развертывание веб-оболочек, в частности ASP и ASP.NET варианты, чтобы получить начальные возможности выполнения команд. Charming Kitten также использует Интерпретаторы командной строки и сценариев, преимущественно используя Python, shell scripting и PowerShell для действий после эксплуатации. Их пользовательское вредоносное ПО, включая такие варианты, как BellaCiao и Sagheb RAT, разработано для скрытности, а методы постоянного доступа, основанные на веб-оболочках и Службах Windows, обеспечивают их присутствие в скомпрометированных системах.

Чтобы избежать обнаружения, группа внедряет такие методы, как очистка журнала, манипулирование временными метками и пользовательские методы шифрования для запутывания сообщений. Они продемонстрировали возможности получения учетных данных путем брутфорса и эксфильтрации из скомпрометированных систем, используя инструменты, специально предназначенные для учетных данных пользователей на различных платформах.

Воздействие их операций включает в себя не только кражу данных, но и потенциальную возможность внедрения программ-вымогателей против многочисленных целей и нарушения работы технологических систем. Их инфраструктура управления является сложной, использующей множество различных ПО для удаленного доступа (RATs) и использующей такие методы, как TOR и DNS-переадресация, чтобы скрыть отслеживание.

География Charming Kitten's охватывает Израиль, Иорданию и ОАЭ, уделяя особое внимание государственным структурам, технологическому, финансовому и телекоммуникационному секторам. В ходе недавних усилий они быстро внедрили и использовали недавно выявленные уязвимости, что ознаменовало заметный рост их операционной сложности. Анализ их деятельности свидетельствует о переходе к более глубоким стратегиям проникновения, особенно в средах Active Directory, что указывает на меняющиеся цели и стремление усовершенствовать свой подход с учетом современных мер безопасности. Это отражает более широкие стратегические намерения, выходящие за рамки простого шпионажа и направленные на разрушение, особенно нацеленные на критически важную инфраструктуру.

#ParsedReport #CompletenessLow
15-10-2025

Singularity: Deep Dive into a Modern Stealth Linux Kernel Rootkit

https://blog.kyntra.io/Singularity-A-final-boss-linux-kernel-rootkit

Report completeness: Low

Threats:
Singularity_rootkit

CVEs:
CVE-2024-9324 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 2

Soft:
Linux, Systemd, sudo

Functions:
ftrace_set_filter_ip, kill, filter_dirents, should_hide_path, sysinfo, readlink, chdir, skb_linearize, prepare_creds, commit_creds, have more...

Win API:
ntohs, htons

Win Services:
bits

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Singularity - это усовершенствованный руткит загружаемого модуля ядра (LKM) для Linux 6.x, использующий ftrace для скрытного перехвата системных вызовов и уклонения от обнаружения. Он использует многоуровневые методы для сокрытия процессов, файлов и сетевых коммуникаций, реализуя при этом два метода повышения привилегий: механизм на основе сигналов и анализ переменных среды. Кроме того, он использует анти-криминалистику путем очистки журналов ядра и имеет потоковую модель для запутывания выполнения, поддерживая как x86_64, так и 32-разрядные архитектуры для улучшенного уклонения.
-----

Singularity - это сложный загружаемый руткит модуля ядра (LKM), разработанный для ядер Linux 6.x, демонстрирующий передовые методы уклонения и закрепления, которые бросают вызов традиционным методам обнаружения. Его архитектура использует ftrace для перехвата системных вызовов, тем самым обходя прямые модификации таблицы системных вызовов, что повышает скрытность от методов обнаружения.

Руткит использует несколько механизмов для сокрытия процессов и файлов. Он использует многоуровневые методы скрытия, чтобы скрыть видимость процесса, включая команды фильтрации для скрытия определенных шаблонов и использование перехватов системных вызовов, связанных с процессом, для обеспечения скрытой согласованности. Для скрытности файловой системы Singularity реализует фильтрацию на основе шаблонов, которая скрывает файлы и каталоги, в то время как она запутывает сетевые коммуникации, необходимые для командования и контроля (C2) и эксфильтрации данных, скрывая определенные порты и применяя фильтрацию файлов TCP.

Повышение привилегий - еще один важный аспект Singularity, отличающийся двумя основными направлениями, разработанными для простоты эксплуатации. One vector использует механизм, основанный на сигналах, позволяющий незаметно повышать привилегии без каких-либо заметных изменений в целевом процессе. Другой метод анализирует переменные среды для эффективного запуска эскалации, при этом обнаружение определенной строки переменной приводит к повышению привилегий.

С точки зрения анти-криминалистики, Singularity объединяет методы очистки журналов ядра и манипулирования флагами заражения, которые указывают на несанкционированные модификации ядра. Отслеживая журналы и фильтруя конфиденциальные данные из выходных данных kmsg, это снижает риски обнаружения с помощью криминалистического анализа. Руткит также включает в себя потоковую модель для дальнейшего скрытия его выполнения и управления его рабочим состоянием, обеспечивая дополнительный контроль через невидимый поток ядра.

Singularity предлагает поддержку нескольких архитектур, обеспечивая совместимость как с x86_64, так и с 32-разрядными системами (ia32). Такая универсальность помогает ему избежать обнаружения с помощью обычных инструментов судебной экспертизы, созданных для различных архитектур. Чтобы поддерживать закрепление, Singularity может настроить поведение загрузки своего модуля таким образом, чтобы он отображался как законный компонент ядра Linux.

#ParsedReport #CompletenessLow
15-10-2025

Defrosting PolarEdge s Backdoor

https://blog.sekoia.io/polaredge-backdoor-qnap-cve-2023-20118-analysis/

Report completeness: Low

Threats:
Polaredge

Victims:
Qnap nas devices, Cisco routers

CVEs:
CVE-2023-20118 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.008, T1105, T1140, T1190, T1505.003, T1573, T1573.002

IOCs:
Hash: 1

Soft:
Mac OS, Twitter

Algorithms:
base64, ecdh, rsa-2048, xor, sha256, sha1

Win Services:
bits

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года ботнет PolarEdge использовал CVE-2023-20118 для удаленного выполнения кода на маршрутизаторах Cisco, используя общий заголовок User-Agent для глобальных атак. Бэкдор нацелен на устройства QNAP NAS с 64-разрядным исполняемым файлом ELF, использующим методы антианализа, TLS-сервер на базе mbedTLS версии 2.8.0 и глубокое запутывание конфигурационных данных. Примечательно, что он использует Маскировку процессов и содержит несколько режимов работы, включая режим обратного подключения для удаленной загрузки файлов, демонстрирующий его адаптивность для использования киберпреступниками.
-----

В начале 2025 года был идентифицирован ботнет, известный как PolarEdge, первоначально связанный с попыткой использования уязвимости CVE-2023-20118, которая позволяет выполнять удаленное выполнение кода (RCE) на маршрутизаторах Cisco. Расследования показали, что в разных географических точках было обнаружено несколько одновременных атак с использованием общего HTTP-заголовка User-Agent.

Бэкдор PolarEdge специально нацелен на устройства QNAP NAS, с примечательным двоичным кодом, описываемым хэшем SHA256 a3e2826090f009691442ff1585d07118c73c95e40088c47f0a16c8a59c9d9082. Этот 64-разрядный исполняемый файл ELF объемом 1,6 МБ статически связан и не запутывается, хотя в нем используются различные методы антианализа. При выполнении без параметров бэкдор работает в режиме сервера по умолчанию.

Конфигурационные данные для бэкдора встроены в последние 512 байт двоичного файла и разделены на три раздела, которые разделены нулевыми байтами и расшифровываются с помощью простой операции XOR с использованием ключа 0x11. Основной поток бэкдора запускает TLS-сервер, использующий mbedTLS версии 2.8.0 для обработки TLS-подключений. Во время своего запуска он загружает конечный сертификат сервера и анализирует встроенную цепочку центров сертификации.

Бэкдор функционирует с использованием пользовательского двоичного протокола поверх TLS, который полагается на определенные жестко закодированные токены и токены, сохраненные в конфигурации. Выделенный поток отвечает за операции снятия отпечатков пальцев, выполняя ежедневные проверки. Чтобы запутать имена компонентов, бэкдор дополнительно использует простые ротационные шифры.

PolarEdge использует методы обмана, чтобы избежать обнаружения, включая Маскировку процесса, которая включает случайный выбор имени процесса из предопределенного списка во время инициализации. Помимо режима основного сервера, бэкдор имеет режим обратного подключения, в котором он функционирует как TLS-клиент, загружающий файлы с удаленного сервера после получения определенных аргументов командной строки, и режим отладки, который позволяет обновлять его адрес управления.

Результаты обратного проектирования указывают на то, что этот бэкдор включает пользовательский сервер TLS и не прошедший проверку подлинности двоичный протокол для выполнения команд, при этом данные конфигурации запутываются, а определенные разделы расшифровываются во время выполнения. Дизайн подчеркивает уклончивость и адаптивность, служа надежным имплантатом для киберпреступной деятельности.

#ParsedReport #CompletenessLow
15-10-2025

BombShell: The Signed Backdoor Hiding in Plain Sight on Framework Devices

https://eclypsium.com/blog/bombshell-the-signed-backdoor-hiding-in-plain-sight-on-framework-devices/

Report completeness: Low

Threats:
Bombshell
Blacklotus
Bootkitty
Hybridpetya
Supply_chain_technique

Victims:
Framework users, Linux users, Uefi ecosystem, Windows ecosystem

Industry:
Entertainment

CVEs:
CVE-2024-7344 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-34302 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-48733 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-34301 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-34303 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1542.002, T1542.003, T1542.004, T1553.002, T1562.001, T1601.001

IOCs:
File: 1

Soft:
Linux, Qemu, Ubuntu

Functions:
LoadImage

Languages:
python

Platforms:
intel

Links:
have more...
https://github.com/tianocore/edk2/blob/62cd7d338b389aa21c00f0fc35f14a6fa9ba23b0/MdeModulePkg/Core/Dxe/DxeMain.h#L250
https://github.com/tianocore/edk2/pull/11486

#ParsedReport #GeneratedSchema
Generated with GPT-4