#ParsedReport #CompletenessMedium
15-10-2025

Comprehensive Threat Intelligence Report: Charming Kitten

https://gist.github.com/Hamid-K/f4288dae3a1f2dea8905b1cf16d59c1b

Report completeness: Medium

Actors/Campaigns:
Charming_kitten (motivation: information_theft, cyber_espionage)
Mosesstaff

Threats:
Nuclei_tool
Proxyshell_vuln
Screenconnect_tool
Log4shell_vuln
Sqlmap_tool
Bellaciao
Rat-2ac2
Credential_dumping_technique
Nmap_tool
Process_hollowing_technique
Supply_chain_technique

Victims:
Government, Airlines, Technology, Finance, Telecommunications, Ministry of foreign affairs of the turkish republic of northern cyprus

Industry:
Ics, Critical_infrastructure, Foodtech, Ngo, Financial, Telco, Aerospace, Government, Military, Logistic, Transport, Software_development

Geo:
Jordan, Cyprus, Middle east, Iran, Arab emirates, Kuwait, Korea, United arab emirates, Israel, Turkish, Saudi arabia, Afghanistan, Deutsche, Lebanon, Turkey

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-1709 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-21893 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-34523 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-22024 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-34473 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-21887 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-31207 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 12
Technics: 0

IOCs:
File: 6
IP: 4

Soft:
ZoomEye, Microsoft Exchange, Ivanti, WordPress, Confluence, Jenkins, Gmail, ASP.NET, Windows Service, Active Directory, have more...

Algorithms:
xor

Languages:
powershell, python, delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Charming Kitten, спонсируемая государством хакерская группировка, занимается шпионажем и подрывной деятельностью, особенно в Израиле и Иордании, используя ряд тактик, методов и процедур (TTP), таких как разведка с помощью таких инструментов, как Shodan и Censys, и используя уязвимости в Microsoft Exchange и Log4j. Они используют фишинг для первоначального доступа, развертывают веб-оболочки для выполнения команд и используют пользовательское вредоносное ПО с возможностями скрытности. Их оперативная тактика включает в себя методы уклонения и получения учетных данных, нацеленные на критически важные сектора инфраструктуры, демонстрируя при этом растущую изощренность своих атак.
-----

Charming Kitten, изощренная хакерская группировка, вероятно, спонсируемая государством, демонстрирует структурированный подход к кибероперациям с четким акцентом на шпионаж и дезорганизацию, особенно нацеленный на организации в Израиле и Иордании. Их оперативная методология охватывает целый ряд тактик, методов и процедур (TTP), которые включают детальную разведку, использование уязвимостей и передовые стратегии управления.

На этапе разведки Charming Kitten использует различные общедоступные и частные инструменты для Поиска уязвимостей, такие как Shodan и Censys, наряду с активным профилированием целей для сбора разведывательной информации о ключевом персонале и сетевой инфраструктуре. Их методы первоначального доступа используют известные уязвимости в широко используемых приложениях, в частности, такие проблемы, как уязвимости Microsoft Exchange (ProxyShell), Log4j (CVE-2021-44228) и различные недостатки в таких платформах, как WordPress и GitLab. Кампании фишинга, нацеленные на учетные записи Gmail, также являются основной точкой входа, для повышения эффективности которых используются пользовательские наборы.

Выполнение их атак обычно включает развертывание веб-оболочек, в частности ASP и ASP.NET варианты, чтобы получить начальные возможности выполнения команд. Charming Kitten также использует Интерпретаторы командной строки и сценариев, преимущественно используя Python, shell scripting и PowerShell для действий после эксплуатации. Их пользовательское вредоносное ПО, включая такие варианты, как BellaCiao и Sagheb RAT, разработано для скрытности, а методы постоянного доступа, основанные на веб-оболочках и Службах Windows, обеспечивают их присутствие в скомпрометированных системах.

Чтобы избежать обнаружения, группа внедряет такие методы, как очистка журнала, манипулирование временными метками и пользовательские методы шифрования для запутывания сообщений. Они продемонстрировали возможности получения учетных данных путем брутфорса и эксфильтрации из скомпрометированных систем, используя инструменты, специально предназначенные для учетных данных пользователей на различных платформах.

Воздействие их операций включает в себя не только кражу данных, но и потенциальную возможность внедрения программ-вымогателей против многочисленных целей и нарушения работы технологических систем. Их инфраструктура управления является сложной, использующей множество различных ПО для удаленного доступа (RATs) и использующей такие методы, как TOR и DNS-переадресация, чтобы скрыть отслеживание.

География Charming Kitten's охватывает Израиль, Иорданию и ОАЭ, уделяя особое внимание государственным структурам, технологическому, финансовому и телекоммуникационному секторам. В ходе недавних усилий они быстро внедрили и использовали недавно выявленные уязвимости, что ознаменовало заметный рост их операционной сложности. Анализ их деятельности свидетельствует о переходе к более глубоким стратегиям проникновения, особенно в средах Active Directory, что указывает на меняющиеся цели и стремление усовершенствовать свой подход с учетом современных мер безопасности. Это отражает более широкие стратегические намерения, выходящие за рамки простого шпионажа и направленные на разрушение, особенно нацеленные на критически важную инфраструктуру.

#ParsedReport #CompletenessLow
15-10-2025

Singularity: Deep Dive into a Modern Stealth Linux Kernel Rootkit

https://blog.kyntra.io/Singularity-A-final-boss-linux-kernel-rootkit

Report completeness: Low

Threats:
Singularity_rootkit

CVEs:
CVE-2024-9324 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 2

Soft:
Linux, Systemd, sudo

Functions:
ftrace_set_filter_ip, kill, filter_dirents, should_hide_path, sysinfo, readlink, chdir, skb_linearize, prepare_creds, commit_creds, have more...

Win API:
ntohs, htons

Win Services:
bits

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Singularity - это усовершенствованный руткит загружаемого модуля ядра (LKM) для Linux 6.x, использующий ftrace для скрытного перехвата системных вызовов и уклонения от обнаружения. Он использует многоуровневые методы для сокрытия процессов, файлов и сетевых коммуникаций, реализуя при этом два метода повышения привилегий: механизм на основе сигналов и анализ переменных среды. Кроме того, он использует анти-криминалистику путем очистки журналов ядра и имеет потоковую модель для запутывания выполнения, поддерживая как x86_64, так и 32-разрядные архитектуры для улучшенного уклонения.
-----

Singularity - это сложный загружаемый руткит модуля ядра (LKM), разработанный для ядер Linux 6.x, демонстрирующий передовые методы уклонения и закрепления, которые бросают вызов традиционным методам обнаружения. Его архитектура использует ftrace для перехвата системных вызовов, тем самым обходя прямые модификации таблицы системных вызовов, что повышает скрытность от методов обнаружения.

Руткит использует несколько механизмов для сокрытия процессов и файлов. Он использует многоуровневые методы скрытия, чтобы скрыть видимость процесса, включая команды фильтрации для скрытия определенных шаблонов и использование перехватов системных вызовов, связанных с процессом, для обеспечения скрытой согласованности. Для скрытности файловой системы Singularity реализует фильтрацию на основе шаблонов, которая скрывает файлы и каталоги, в то время как она запутывает сетевые коммуникации, необходимые для командования и контроля (C2) и эксфильтрации данных, скрывая определенные порты и применяя фильтрацию файлов TCP.

Повышение привилегий - еще один важный аспект Singularity, отличающийся двумя основными направлениями, разработанными для простоты эксплуатации. One vector использует механизм, основанный на сигналах, позволяющий незаметно повышать привилегии без каких-либо заметных изменений в целевом процессе. Другой метод анализирует переменные среды для эффективного запуска эскалации, при этом обнаружение определенной строки переменной приводит к повышению привилегий.

С точки зрения анти-криминалистики, Singularity объединяет методы очистки журналов ядра и манипулирования флагами заражения, которые указывают на несанкционированные модификации ядра. Отслеживая журналы и фильтруя конфиденциальные данные из выходных данных kmsg, это снижает риски обнаружения с помощью криминалистического анализа. Руткит также включает в себя потоковую модель для дальнейшего скрытия его выполнения и управления его рабочим состоянием, обеспечивая дополнительный контроль через невидимый поток ядра.

Singularity предлагает поддержку нескольких архитектур, обеспечивая совместимость как с x86_64, так и с 32-разрядными системами (ia32). Такая универсальность помогает ему избежать обнаружения с помощью обычных инструментов судебной экспертизы, созданных для различных архитектур. Чтобы поддерживать закрепление, Singularity может настроить поведение загрузки своего модуля таким образом, чтобы он отображался как законный компонент ядра Linux.

#ParsedReport #CompletenessLow
15-10-2025

Defrosting PolarEdge s Backdoor

https://blog.sekoia.io/polaredge-backdoor-qnap-cve-2023-20118-analysis/

Report completeness: Low

Threats:
Polaredge

Victims:
Qnap nas devices, Cisco routers

CVEs:
CVE-2023-20118 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.008, T1105, T1140, T1190, T1505.003, T1573, T1573.002

IOCs:
Hash: 1

Soft:
Mac OS, Twitter

Algorithms:
base64, ecdh, rsa-2048, xor, sha256, sha1

Win Services:
bits

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года ботнет PolarEdge использовал CVE-2023-20118 для удаленного выполнения кода на маршрутизаторах Cisco, используя общий заголовок User-Agent для глобальных атак. Бэкдор нацелен на устройства QNAP NAS с 64-разрядным исполняемым файлом ELF, использующим методы антианализа, TLS-сервер на базе mbedTLS версии 2.8.0 и глубокое запутывание конфигурационных данных. Примечательно, что он использует Маскировку процессов и содержит несколько режимов работы, включая режим обратного подключения для удаленной загрузки файлов, демонстрирующий его адаптивность для использования киберпреступниками.
-----

В начале 2025 года был идентифицирован ботнет, известный как PolarEdge, первоначально связанный с попыткой использования уязвимости CVE-2023-20118, которая позволяет выполнять удаленное выполнение кода (RCE) на маршрутизаторах Cisco. Расследования показали, что в разных географических точках было обнаружено несколько одновременных атак с использованием общего HTTP-заголовка User-Agent.

Бэкдор PolarEdge специально нацелен на устройства QNAP NAS, с примечательным двоичным кодом, описываемым хэшем SHA256 a3e2826090f009691442ff1585d07118c73c95e40088c47f0a16c8a59c9d9082. Этот 64-разрядный исполняемый файл ELF объемом 1,6 МБ статически связан и не запутывается, хотя в нем используются различные методы антианализа. При выполнении без параметров бэкдор работает в режиме сервера по умолчанию.

Конфигурационные данные для бэкдора встроены в последние 512 байт двоичного файла и разделены на три раздела, которые разделены нулевыми байтами и расшифровываются с помощью простой операции XOR с использованием ключа 0x11. Основной поток бэкдора запускает TLS-сервер, использующий mbedTLS версии 2.8.0 для обработки TLS-подключений. Во время своего запуска он загружает конечный сертификат сервера и анализирует встроенную цепочку центров сертификации.

Бэкдор функционирует с использованием пользовательского двоичного протокола поверх TLS, который полагается на определенные жестко закодированные токены и токены, сохраненные в конфигурации. Выделенный поток отвечает за операции снятия отпечатков пальцев, выполняя ежедневные проверки. Чтобы запутать имена компонентов, бэкдор дополнительно использует простые ротационные шифры.

PolarEdge использует методы обмана, чтобы избежать обнаружения, включая Маскировку процесса, которая включает случайный выбор имени процесса из предопределенного списка во время инициализации. Помимо режима основного сервера, бэкдор имеет режим обратного подключения, в котором он функционирует как TLS-клиент, загружающий файлы с удаленного сервера после получения определенных аргументов командной строки, и режим отладки, который позволяет обновлять его адрес управления.

Результаты обратного проектирования указывают на то, что этот бэкдор включает пользовательский сервер TLS и не прошедший проверку подлинности двоичный протокол для выполнения команд, при этом данные конфигурации запутываются, а определенные разделы расшифровываются во время выполнения. Дизайн подчеркивает уклончивость и адаптивность, служа надежным имплантатом для киберпреступной деятельности.

#ParsedReport #CompletenessLow
15-10-2025

BombShell: The Signed Backdoor Hiding in Plain Sight on Framework Devices

https://eclypsium.com/blog/bombshell-the-signed-backdoor-hiding-in-plain-sight-on-framework-devices/

Report completeness: Low

Threats:
Bombshell
Blacklotus
Bootkitty
Hybridpetya
Supply_chain_technique

Victims:
Framework users, Linux users, Uefi ecosystem, Windows ecosystem

Industry:
Entertainment

CVEs:
CVE-2024-7344 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-34302 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-48733 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-34301 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-34303 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1542.002, T1542.003, T1542.004, T1553.002, T1562.001, T1601.001

IOCs:
File: 1

Soft:
Linux, Qemu, Ubuntu

Functions:
LoadImage

Languages:
python

Platforms:
intel

Links:
have more...
https://github.com/tianocore/edk2/blob/62cd7d338b389aa21c00f0fc35f14a6fa9ba23b0/MdeModulePkg/Core/Dxe/DxeMain.h#L250
https://github.com/tianocore/edk2/pull/11486

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessMedium
15-10-2025

Maverick: a new banking Trojan abusing WhatsApp in a mass-scale distribution

https://securelist.com/maverick-banker-distributing-via-whatsapp/117715/

Report completeness: Medium

Threats:
Maverick
Coyote
Powenot

Victims:
Banking customers, Cryptocurrency exchange users, Payment platform users

Industry:
Financial

Geo:
Portuguese, Brazil, Brazilian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1010, T1027, T1036, T1056.001, T1057, T1059.001, T1071.001, T1105, T1113, T1140, have more...

IOCs:
File: 5
Url: 2
Domain: 2
IP: 2

Soft:
WhatsApp, Chrome, Selenium, Firefox, Internet Explorer, zoom, Google Chrome, Microsoft Edge

Algorithms:
aes, aes-256, hmac, gzip, sha256, base64, xor, zip

Functions:
IsValidBrazilianTimezone, IsBrazilianLocale, IsBrazilianRegion, IsBrazilianDateFormat

Win API:
CLOSEHANDLE

Languages:
powershell

Links:
https://github.com/wppconnect-team/wppconnect

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 10, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Банковский троян Maverick нацелен на бразильских пользователей через WhatsApp, распространяя вредоносные файлы LNK в ZIP-архивах, используя снисходительность платформы. Он использует цепочку заражения без файлов и проверяет наличие индикаторов локализации, чтобы подтвердить, что он работает в Бразилии, перед запуском. После установки он может красть учетные данные, отслеживать действия и реплицировать себя через захваченные учетные записи, безопасно связываясь со своим сервером C2 через SSL-туннели.
-----

Банковский троян Maverick появился в рамках крупномасштабной кампании по распространению вредоносного ПО, специально нацеленной на бразильских пользователей через WhatsApp. Основной метод заражения заключается в распространении вредоносного файла LNK, содержащегося в ZIP-архиве, используя в своих интересах снисходительность платформы обмена сообщениями к таким типам файлов. При запуске троянец использует сложную цепочку заражения без файлов, которая позволяет обойти обнаружение, гарантируя, что первоначальная загрузка активируется только с помощью его собственных процессов.

После установки Maverick способен выполнять широкий спектр вредоносных действий. Он использует WPPConnect, проект с открытым исходным кодом, для автоматизации отправки сообщений через захваченные учетные записи WhatsApp. Это позволяет вредоносному ПО распространяться, отправляя вредоносные сообщения контактам в сети жертвы. Троянец специально проверяет наличие индикаторов, подтверждающих, что заражение происходит на компьютере, расположенном в Бразилии (включая часовой пояс и региональные настройки), прежде чем полностью активироваться. Если эти условия не выполняются, установка прерывается. Получив контроль, Maverick может делать скриншоты, отслеживать активность в интернете, устанавливать клавиатурные шпионы, манипулировать действиями мыши, отключать экраны во время банковских операций и загружать оверлеи для фишинга, предназначенные для сбора банковской информации и учетных данных.

Архитектура Maverick примечательна своей модульной конструкцией, при которой почти все действия выполняются в памяти, чтобы минимизировать объем файловой системы. Вредоносное ПО использует такие методы, как PowerShell и .NET execution, а полезная нагрузка шифруется с помощью Donut, демонстрируя сложный подход к уклонению от обнаружения. Связь с сервером управления (C2) осуществляется через SSL-туннели, использующие зашифрованный сертификат X509 для безопасного обмена данными. Этот C2 работает через домен "casadecampoamazonas.com " на порту 443, повышая скрытность вредоносного ПО.

Конечная полезная нагрузка, Maverick Banker, встроена в другой исполняемый файл, называемый "Maverick Agent", который выполняет дальнейшие действия на зараженном устройстве. Несмотря на то, что он нацелен конкретно на бразильские учреждения, включая 26 банков и 6 криптовалютных бирж, существует вероятность распространения вредоносного ПО по всему миру из—за его самовоспроизводящейся природы через WhatsApp.

Эта атака не только представляет значительную угрозу из-за ее масштаба и способа доставки, но и иллюстрирует растущее использование технологий искусственного интеллекта при разработке вредоносного ПО, особенно в таких областях, как расшифровка сертификатов и более широкие процессы кодирования. В целом, изощренность Maverick, его сложный переносчик инфекции и двойная угроза немедленной Кражи денежных средств и широкого распространения создают существенные проблемы для защиты кибербезопасности. Технологии обнаружения уже предотвратили значительное число попыток заражения в Бразилии, что подчеркивает настоятельную необходимость постоянной бдительности в отношении этой новой угрозы.

#ParsedReport #CompletenessLow
16-10-2025

September 2025 APT Attack Trends Report (Domestic)

https://asec.ahnlab.com/ko/90599/

Report completeness: Low

Threats:
Spear-phishing_technique
Xenorat
Rokrat

Geo:
Asian, Korea

IOCs:
File: 9

Soft:
DropBox

Algorithms:
md5

Languages:
autoit, powershell

#ParsedReport #CompletenessHigh
16-10-2025

BeaverTail and OtterCookie evolve with a new Javascript module

https://blog.talosintelligence.com/beavertail-and-ottercookie/

Report completeness: High

Actors/Campaigns:
Famous_chollima
Contagious_interview
Lazarus

Threats:
Beavertail
Ottercookie
Clickfix_technique
Flexibleferret
Pylangghost
Invisibleferret
Screen_shotting_technique
Anydesk_tool

Victims:
Job seekers, Software development tools users, Npm ecosystem

Industry:
E-commerce

Geo:
Dprk, Sri lanka, North korea

ChatGPT TTPs:
do not use without manual check
T1056.001, T1059.007, T1071.001, T1105, T1113, T1195.001, T1204.002, T1555.003, T1566.004

IOCs:
File: 8
Url: 20
IP: 1
Hash: 14

Soft:
Node.js, macOS, Google Chrome, Google Chrome, Opera, Mozilla Firefox, Discord, Linux, VSCode

Algorithms:
xor, base64

Functions:
in

Languages:
typescript, javascript, powershell, python

#ParsedReport #ExtractedSchema

Classified images:
code: 13, table: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Famous Chollima, северокорейская хакерская группировка, нацеленная на лиц, ищущих работу, с помощью поддельных предложений о работе для распространения троянских программ. Node.js приложение "Шахматы". Эта группа использует вредоносное ПО OtterCookie, которое претерпело значительную эволюцию, теперь включающую функции Регистрации нажатий клавиш и скриншотов в своей последней версии, v5. Кроме того, BeaverTail, изначально загрузчик, эволюционировал и теперь участвует в атаках по Цепочке поставок в репозитории NPM, обеспечивая более эффективную эксплуатацию на базе Windows при одновременном использовании JavaScript для уменьшена зависимость от установок на Python.
-----

Cisco Talos сообщила о новой атаке, связанной с северокорейской хакерской группировкой, известной как Famous Chollima, которая нацелена на лиц, ищущих работу, выдавая себя за организации по найму. Было замечено, что эта группа внедряет вредоносное ПО для кражи информации с помощью обманчивых предложений о работе, что приводит пользователей к установке троянского ПО Node.js приложение под названием "Chessfi". Это вредоносное ПО распространялось с помощью вредоносного пакета под названием "node-nvm-ssh", найденного в официальном репозитории NPM. Famous Chollima обычно использует два вредоносных инструмента, BeaverTail и OtterCookie, функциональные возможности которых недавно объединились. Компания Talos определила новый модуль в OtterCookie для Регистрации нажатий клавиш и создания скриншотов, что указывает на потенциальную эволюцию стратегий группы.

Кампании Famous Chollima's также используют методы социальной инженерии и ряд троянов удаленного доступа (RATs), включая варианты, получившие название GolangGhost и PylangGhost. В ходе анализа этих штаммов вредоносного ПО компания Talos обнаружила вредоносное расширение Visual Studio Code (VS Code), выдающее себя за помощника по внедрению в систему, которое предназначено для запуска OtterCookie в среде редактора жертвы. Это расширение позволяет злоумышленникам более эффективно проникать в системы пользователей под видом легального программного обеспечения.

Вредоносное ПО OtterCookie, впервые обнаруженное NTT Security Holdings в конце 2024 года, значительно изменилось по сравнению со своим первоначальным дизайном, включив в себя ряд модулей со сложными функциональными возможностями. В частности, последняя версия, получившая название OtterCookie v5, включает функцию Регистрации нажатий клавиш, которая фиксирует нажатия клавиш и снимки экрана, передавая их на сервер управления (C2). Базовая структура кода OtterCookie была адаптирована для включения конфигурационных данных в формате JSON, что облегчает модульный подход к построению, при котором дополнительные функциональные возможности могут выполняться в виде дочерних процессов.

Компонент BeaverTail, изначально представлявший собой простой загрузчик, включенный в Node.js приложения, начиная с мая 2023 года, также перешли на включение новых возможностей. Это было связано с атаками по Цепочке поставок, нацеленными на репозиторий пакетов NPM. Функции в BeaverTail и OtterCookie частично совпадают с функциями InvisibleFerret и других модулей на основе Python, но были адаптированы к JavaScript-фреймворку. Этот сдвиг позволяет злоумышленникам уменьшить зависимость от установок на Python, оптимизируя процесс эксплуатации в средах Windows.

#ParsedReport #CompletenessMedium
16-10-2025

DPRK Adopts EtherHiding: Nation-State Malware Hiding on Blockchains

https://cloud.google.com/blog/topics/threat-intelligence/dprk-adopts-etherhiding/

Report completeness: Medium

Actors/Campaigns:
Unc5342
Contagious_interview

Threats:
Etherhiding_technique
Jadesnow
Invisibleferret
Clearfake
Clickfix_technique
Beavertail
Lumma_stealer
Supply_chain_technique
Dead_drop_technique

Victims:
Cryptocurrency sector, Technology sector, Developers

Industry:
Petroleum, Financial

Geo:
North korea, North korean, Dprk, Koreas

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1033, T1041, T1059, T1059.007, T1071.001, T1082, T1095, T1102, have more...

IOCs:
File: 1
Coin: 2
Hash: 2

Soft:
WordPress, Telegram, Discord, macOS, Linux, Google Chrome, Chrome, MySQL, Microsoft Edge, 1Password, have more...

Wallets:
metamask

Crypto:
ethereum

Algorithms:
base64, zip, exhibit, sha256, xor

Functions:
ABI

Languages:
python, javascript

YARA: Found