#ParsedReport #CompletenessLow
22-10-2025

Analysis of Gunra ransomware using a vulnerable random number generator (targeting Linux environments, ELF format)

https://asec.ahnlab.com/ko/90671/

Report completeness: Low

Threats:
Gunra
Malware/mdp.ransom.m1355
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1946
Ransom/mdp.event.m1785
Magniber
Ransom/mdp.event.m4428
Ransom/mdp.event.m4353
Malware/mdp.ransom.m1876

Victims:
Companies

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1059, T1486, T1600

IOCs:
File: 1

Soft:
Linux

Algorithms:
md5, chacha20

Functions:
time, rand

Win API:
CryptGenRandom

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Gunra, действующая с апреля 2025 года, нацелена на различные отрасли промышленности, особенно в Корее, используя как форматы EXE, так и ELF, причем вариант Linux обладает специфическими эксплуатационными характеристиками. В нем используется метод шифрования ChaCha20, основанный на слабом генераторе случайных чисел, который компрометирует ключ шифрования и генерацию одноразовых сообщений, делая программу-вымогателя восприимчивой к атакам брутфорсом. Программа-вымогатель поддерживает многопоточность для эффективного шифрования, но предсказуемый процесс шифрования значительно снижает ее общую безопасность.
-----

Хакерская группировка Gunra-вымогатель, которая действует с апреля 2025 года, нацелена на различные отрасли промышленности и страны, причем о заметных инцидентах сообщалось в Корее. Программа-вымогатель доступна как в форматах файлов EXE, так и ELF, причем вариант ELF специально разработан для сред Linux. Этот анализ сосредоточен на эксплуатационных характеристиках и методологии шифрования версии Gunra, ориентированной на Linux Ransomware.

После выполнения программа-вымогатель проверяет входные аргументы, гарантируя, что все требуемые параметры переданы точно. Основной целевой объект для шифрования указывается с помощью аргумента -path. Gunra использует два типа шифрования: шифрование файлов и шифрование диска, в зависимости от типа предоставленного пути. Для повышения эффективности он поддерживает многопоточность, позволяя создавать до 100 потоков для параллельного шифрования файлов, управляемых аргументом -threads.

Используемый алгоритм шифрования - ChaCha20. При вызове аргумента -store 32-байтовый ключ шифрования и 12-байтовый одноразовый номер генерируются заново для каждого процесса шифрования. Затем этот ключ шифруется с использованием открытого ключа RSA и сохраняется с расширением .keystore в указанном месте. Если аргумент -store не указан, ключ добавляется в конец зашифрованных данных, что потенциально усложняет процесс восстановления.

Критической уязвимостью в конструкции программы-вымогателя Gunra является ее зависимость от слабого генератора случайных чисел для генерации ключей шифрования и одноразовых значений. Этот недостаток повышает вероятность атак брутфорсом на зашифрованные файлы. Шифрование программы-вымогателя можно взломать, используя предсказуемость значений в диапазоне 256 байт, в частности, от 0x00 до 0xFF. Анализ показывает, что это слабое место повышает вероятность успешного дешифрования с помощью методов брутфорса, что значительно снижает эффективность шифрования программы-вымогателя.

Таким образом, ELF-вариант программы-вымогателя Gunra использует генератор случайных чисел низкого качества и алгоритм шифрования ChaCha20 в сочетании с простыми параметрами выполнения, которые в совокупности создают уязвимые точки для расшифровки. Последствия этих уязвимостей подчеркивают необходимость усовершенствованных стратегий обнаружения и реагирования для эффективного противодействия этой угрозе.

#ParsedReport #CompletenessMedium
22-10-2025

Analysis of the Lumma infostealer

https://www.genians.co.kr/en/blog/threat_intelligence/lumma-infostealer

Report completeness: Medium

Threats:
Lumma_stealer
Process_hollowing_technique

Victims:
Windows users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1059.003, T1078, T1082, T1105, T1204.002, T1552.001, T1555, have more...

IOCs:
File: 7
Domain: 3
IP: 4
Hash: 7

Soft:
Telegram, Chrome, Outlook

Algorithms:
md5, zip

Win Services:
Ekrn

Languages:
autoit

#ParsedReport #ExtractedSchema

Classified images:
schema: 9, windows: 3, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Lumma - стиллер - это универсальная программа, предназначенная преимущественно для систем Windows, специализирующаяся на эксфильтрации ценных учетных данных, таких как файлы cookie браузера и криптовалютные кошельки. Он действует как независимо, так и в рамках более широких атак, включая программы-вымогатели и захват учетных записей, при этом применяя сложные методы распространения, которые используют запутывание, чтобы избежать обнаружения. Его рост в сфере киберпреступности подчеркивает проблемы, создаваемые коммерциализированными сервисами вредоносного ПО, позволяющими даже менее технически квалифицированным лицам проводить изощренные атаки.
-----

Стиллер Lumma представляет собой значительную киберугрозу, функционируя как самостоятельное вредоносное ПО, так и как компонент многовекторных атак, которые включают программы-вымогатели, захват учетных записей и взломы внутренней сети. Его основное внимание сосредоточено на сборе ценных учетных данных, в частности, на файлах cookie веб-браузера, криптовалютных кошельках и учетных записях VPN / RDP. Украденная информация облегчает дальнейшую преступную деятельность, такую как кража личных данных, финансовое мошенничество и вторжения в корпоративные сети. Для противодействия этой угрозе организациям рекомендуется усовершенствовать свои системы обнаружения конечных точек и реагирования (EDR), включив в них обнаружение на основе поведения наряду с интеграцией анализа угроз.

Природа вредоносного ПО типа Lumma - стиллера, представляющего значительный риск, поскольку он осуществляет несанкционированный сбор данных в системах-жертвах без ведома пользователя. Такая скрытая эксфильтрация данных приводит к нарушениям конфиденциальности, финансовым потерям и ущербу репутации организации. В сфере киберпреступности также используется модель, известная как "Вредоносное ПО как услуга" (MaaS), при которой ресурсы, включая средства разработки вредоносного ПО и серверы управления (C2), предлагаются в аренду. Такая коммерциализация вредоносного ПО снижает барьер для проникновения в киберпреступность, позволяя лицам, не обладающим продвинутыми техническими навыками, осуществлять атаки.

Стиллер Lumma, известный своей деятельностью с августа 2022 года, в первую очередь нацелен на операционные системы Windows и приобрел дурную славу в сообществе кибербезопасности, заняв место в рейтинге самых опасных вредоносных ПО в сентябре 2025 года в соответствии с показателями ANY.RUN. Тактика распространения включает маскировку вредоносного ПО под пиратское программное обеспечение с помощью веб-сайтов фишинга. Процесс установки особенно коварен; злоумышленники используют методы, которые позволяют вредоносному ПО маскироваться под законное программное обеспечение и сбрасывать дополнительную полезную нагрузку на этапе установки.

Углубленный анализ конкретных компонентов Lumma выявляет сложную конструкцию. Например, при его развертывании часто используются такие файлы, как 'Contribute.docx ," которые содержат запутанные командные строки, предназначенные для сборки и активации вредоносных сценариев автоматического запуска. Эти сценарии, сильно запутанные нефункциональным кодом, усложняют усилия по обнаружению, затрудняя решениям по обеспечению безопасности идентификацию векторов атак. Способность систем EDR, таких как система, предоставляемая Genian, визуализировать поток выполнения вредоносного ПО имеет решающее значение, поскольку помогает сотрудникам службы безопасности быстро выявлять угрозы, связанные с Lumma и подобными стиллерами, и реагировать на них.

#ParsedReport #CompletenessMedium
22-10-2025

Cavalry Werewolf APT: Exposing FoalShell and StallionRAT Malware

https://www.picussecurity.com/resource/blog/cavalry-werewolf-apt

Report completeness: Medium

Actors/Campaigns:
Cavalry_werewolf

Threats:
Foalshell
Stallionrat
Spear-phishing_technique
Asyncrat
Reversesocks5_tool
Snipbot
Slipscreen
Rustyclaw

Industry:
Energy, Government

Geo:
Tajikistan, Russia, Middle east, Russian

TTPs:
Tactics: 1
Technics: 0

IOCs:
Path: 2
File: 11
IP: 3
Command: 1
Hash: 10

Soft:
ChatGPT, Outlook, Telegram

Algorithms:
base64

Win API:
VirtualAlloc

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cavalry Werewolf, также известный как YoroTrooper и Silent Lynx, проводил кампанию с мая по август 2025 года, ориентированную на государственный сектор России, энергетику, горнодобывающую и обрабатывающую промышленность. Они используют Целевой фишинг для первоначального доступа, выдавая себя за чиновников правительства Кыргызстана. Их основное вредоносное ПО включает в себя бэкдор FoalShell, который обеспечивает командный доступ и использует различные языки программирования для скрытности, и StallionRAT, троян удаленного доступа, управляемый через Telegram-бота для извлечения данных и выполнения команд.
-----

Cavalry Werewolf, также известный под различными псевдонимами, включая YoroTrooper и Silent Lynx, проводил масштабную кампанию с мая по август 2025 года, нацеленную на ключевые секторы России, в частности на государственный сектор, энергетику, горнодобывающую и обрабатывающую промышленность. Эта группа использует методы убедительного Целевого фишинга для получения первоначального доступа, часто выдавая себя за должностных лиц правительства Кыргызстана. Они используют как поддельные Адреса эл. почты, так и потенциально скомпрометированные законные учетные записи, создавая путаницу между подлинными сообщениями и попытками злоумышленников.

Основное вредоносное ПО, используемое Cavalry Werewolf, включает в себя бэкдор FoalShell и StallionRAT. FoalShell - это облегченная обратная оболочка, предназначенная для предоставления злоумышленникам доступа к командной строке в скомпрометированных системах посредством cmd.exe . Он разработан на нескольких языках; в частности, вариант C# поддерживает непрерывный цикл для выполнения команд с сервера управления (C2), который был отслежен до IP-адреса 188.127.225.191 на порту 443. Вариант C++ использует загрузчик шеллкода, чтобы избежать обнаружения, интегрируя запутанный шеллкод в ресурсы исполняемого файла. Аналогично, реализация Go подключается к другому IP-адресу, 62.113.114.209, также через порт 443, запуская процессы в Скрытом окне.

StallionRAT, еще один компонент инструментария злоумышленников, представляет собой троян удаленного доступа (RAT), который работает через Telegram-бота, функционирующего как его C2. Это позволяет операторам удаленно выполнять команды, управлять файлами и извлекать конфиденциальные данные, используя несколько языков программирования, включая Go, PowerShell и Python. Примечательно, что в одной атаке использовалась программа запуска C++ для выполнения команд PowerShell, закодированных в Base64, - тактика, направленная на то, чтобы избежать обнаружения механизмами безопасности, которые отслеживают ввод простых команд.

#ParsedReport #CompletenessLow
22-10-2025

Fast, Broad, and Elusive: How Vidar Stealer 2.0 Upgrades Infostealer Capabilities

https://www.trendmicro.com/en_us/research/25/j/how-vidar-stealer-2-upgrades-infostealer-capabilities.html

Report completeness: Low

Actors/Campaigns:
Loadbaks

Threats:
Vidar_stealer
Lumma_stealer
Stealc
Arkei_stealer
Raccoon_stealer
Redline_stealer
Dll_injection_technique
Polymorphism_technique
Process_injection_technique
Dead_drop_technique

Victims:
Multiple sectors

Industry:
Education, Entertainment

TTPs:
Tactics: 7
Technics: 20

IOCs:
File: 16
Hash: 12

Soft:
Chrome, Discord, Telegram, Chrome, Firefox, Firefox, Office 365, Azure AD, Steam, Chrome, Microsoft Edge, Opera, have more...

Crypto:
monero

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Vidar Stealer 2.0 был значительно усовершенствован, чтобы улучшить его возможности в области кражи данных после отказа от Lumma Stealer. Эта обновленная версия, переписанная на C с многопоточной архитектурой, использует передовые методы извлечения учетных данных, которые обходят меры безопасности браузера с помощью прямого внедрения в память. Его возможности теперь включают в себя таргетинг конфиденциальных данных из различных приложений, включая браузеры и криптовалютные кошельки, при одновременном использовании автоматического polymorphic builder для обхода систем статического обнаружения.
-----

Vidar Stealer 2.0 претерпел значительные обновления, позиционируя себя как грозного игрока на рынке краж данных после упадка Lumma Stealer. Последняя итерация была полностью переписана на C, обеспечивая многопоточную архитектуру, которая повышает как скорость эксфильтрации данных, так и возможности уклонения. Это преобразование совпадает с ростом числа злоумышленников, которые, вероятно, мигрируют из Lumma.

Примечательно, что в Vidar 2.0 представлены расширенные методы извлечения учетных данных, в частности, в обход функций безопасности браузера, таких как шифрование приложений Chrome посредством прямого внедрения в память. Это позволяет систематически извлекать широкий спектр конфиденциальных данных, включая учетные данные из браузеров, Облачных сервисов, криптовалютных кошельков и различных коммуникационных приложений, таких как Discord и Telegram. Ландшафт угроз постоянно развивается, и поскольку Vidar нацелен на более широкий объем данных, его возможности теперь включают кражу паролей браузеров Chrome и Firefox, данных, связанных с криптовалютными кошельками, и учетных данных различных Облачных сервисов.

Операционный поток вредоносного ПО разработан таким образом, чтобы максимально увеличить сбор данных при одновременном использовании сложных методов защиты от обнаружения. Он оснащен автоматическим polymorphic builder, который генерирует различные двоичные сигнатуры для каждой сборки, что усложняет работу систем статического обнаружения. Способность Vidar извлекать учетные данные не только из браузеров, но и с игровых платформ, таких как Steam, указывает на стратегическое расширение его возможностей. Это включает в себя захват сеансов входа в систему и файлов конфигурации в нескольких популярных приложениях и службах.

Службы безопасности должны подготовиться к растущему распространению Vidar 2.0, поскольку он готов заполнить пустоту, образовавшуюся в результате снижения активности Lumma. Благодаря своим мощным техническим характеристикам и надежной постоянной поддержке со стороны разработчиков Vidar Stealer собирается стать доминирующим игроком среди стиллеров информации, подчеркивая необходимость усиления бдительности и стратегий обнаружения в будущем.

#ParsedReport #CompletenessMedium
22-10-2025

New Rust Malware "ChaosBot" Leverages Discord for Stealthy Command and Control

https://www.picussecurity.com/resource/blog/new-rust-malware-chaosbot-leverages-discord-for-stealthy-command-and-control

Report completeness: Medium

Threats:
Chaosbot
Dll_sideloading_technique
Ultraviewer_tool
Discord-c2
Frpc_tool
Snipbot
Slipscreen
Rustyclaw

Victims:
Financial services

Industry:
Government, Financial

Geo:
Vietnam, Asia pacific, Hong kong, Vietnamese, Chinese

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1047, T1059.001, T1071.001, T1078, T1102, T1105, T1113, T1204, have more...

IOCs:
Path: 1
File: 5
Command: 1
IP: 1

Soft:
Discord, ChatGPT, Active Directory, Microsoft Edge, Event Tracing for Windows, VirtualBox, Visual Studio Code

Algorithms:
xor, zip

Functions:
Get-Location, Remove-Item, D6

Win API:
VirtualProtect

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ChaosBot - это вредоносное ПО на основе Rust, которое использует Discord для своих операций командования и контроля (C2), используя скомпрометированные учетные данные CiscoVPN и фишинг с помощью вредоносных файлов ярлыков Windows для первоначального доступа. После развертывания он проверяет соединение с сервером Discord с помощью определенных токенов бота и непрерывно проверяет наличие команд, позволяя выполнять PowerShell, загружать файлы и делать скриншоты. Тактика уклонения включает в себя идентификацию виртуальных машин для остановки выполнения в изолированных средах и использование таких сервисов, как Fast Reverse Proxy для закрепления, что отражает инновационное использование компанией надежных платформ.
-----

ChaosBot - это сложное вредоносное ПО на основе Rust, которое использует Discord для своих операций командования и контроля (C2), что позволяет ему смешивать вредоносные действия с законным трафиком. Первоначальный доступ к этому вредоносному ПО часто осуществляется через скомпрометированные учетные данные для CiscoVPN и чрезмерно привилегированных учетных записей Active Directory. Кроме того, ChaosBot может быть распространен с помощью кампаний фишинга, которые включают вредоносные файлы ярлыков Windows (.lnk), замаскированные под корреспонденцию от законных организаций, таких как Государственный банк Вьетнама.

После развертывания ChaosBot связывается со своими операторами через сервер Discord. Вредоносное ПО запрограммировано с помощью токена Discord bot, идентификатора сервера и идентификатора канала, которые оно использует для проверки своего подключения к Discord API. После успешной проверки токена он создает выделенный канал, названный в честь компьютера жертвы, чтобы облегчить текущее общение. Основной режим работы - это непрерывный цикл, который проверяет наличие команд в канале, специфичном для жертвы, с возможностями, включающими выполнение команд через PowerShell, загрузку файлов, захват скриншотов и загрузку файлов в Discord.

ChaosBot использует множество методов уклонения, чтобы свести к минимуму риски обнаружения. Он выполняет проверку системных MAC-адресов для идентификации виртуальных машин, останавливая свое выполнение при обнаружении совпадения, чтобы избежать анализа в изолированных средах. Кроме того, вредоносное ПО может развертывать такие инструменты, как Fast Reverse Proxy (FRP), для поддержания закрепления на устройстве жертвы, сохраняя его исполняемый файл и конфигурацию в общедоступном каталоге пользователя.

Кроме того, злоумышленники пытались использовать легальные сервисы, такие как Visual Studio Code Tunnel, для создания дополнительных бэкдоров. Хотя их попытка обработать запросы на обязательную аутентификацию потерпела неудачу, это подчеркивает их инициативу по использованию надежных Облачных сервисов для расширения операционных возможностей.

Тактика выставлены ChaosBot подчеркнуть, новаторское использование доверенного платформы для злого умысла, что делает его заметным угрозы в кибер пейзаж.

#ParsedReport #CompletenessLow
22-10-2025

GlassWorm Self-Propagating VSCode Extension Worm

https://www.truesec.com/hub/blog/glassworm-self-propagating-vscode-extension

Report completeness: Low

Threats:
Googlecalendarc2
Hvnc_tool

Victims:
Software developers, Open source ecosystem, Cryptocurrency users

Industry:
Financial, E-commerce

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.003, T1059.007, T1090, T1102, T1102.002, T1105, T1195.002, T1219, T1552.001, T1552.004, have more...

IOCs:
IP: 1
Email: 1
Registry: 2

Soft:
VSCode

Crypto:
solana

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GlassWorm является первым самораспространяющегося червь для Visual Studio расширения кодов с рынка OpenVSX, использование невидимых символов Unicode, чтобы скрыть вредоносный код и блокчейн командования и управления (C2) инфраструктуры на блокчейн Солана для устойчивости. Нарушена расширения коллективно главе для кражи учетных данных из npm, github, а также конкретные криптовалютные кошельки, при этом обеспечивая создание прокси Socks и удаленного доступа по протоколу VNC Hidden VNC. Червь распространяется используя украденные учетные данные для дальнейших атак пакеты, используя многоуровневую стратегию С2, что усложняет выявления и пресечения.
-----

GlassWorm идентифицирован как первый самораспространяющийся червь, нацеленный на расширения Visual Studio Code (VSCode), в частности, из OpenVSX marketplace. Эта изощренная атака использует невидимые символы Юникода для сокрытия вредоносного кода, что значительно затрудняет обнаружение редакторами кода и процессы проверки. Кроме того, GlassWorm использует инфраструктуру командования и контроля (C2) на основе блокчейна, расположенную на блокчейне Solana, что повышает ее устойчивость к попыткам демонтажа.

Атака началась 17 октября 2025 года, когда были скомпрометированы семь различных расширений OpenVSX, в совокупности собрав около 35 800 загрузок. Примечательно, что десять из этих расширений продолжали активно распространять вредоносное ПО через два дня после первоначального взлома. Вредоносное ПО разработано для кражи учетных данных из npm, GitHub и Git, при этом оно специально нацелено на 49 расширений криптовалютных кошельков. Кроме того, это позволяет развертывать прокси-серверы SOCKS, эффективно превращая зараженные компьютеры разработчиков в компоненты более широкой криминальной инфраструктуры. Также установлены серверы Hidden VNC, предоставляющие полный удаленный доступ злоумышленникам.

Важным аспектом стратегии распространения GlassWorm's является его способность использовать украденные учетные данные для автоматической компрометации других пакетов и расширений, что позволяет ему быстро распространяться по экосистеме разработчиков. Угроза использует многоуровневую стратегию C2, используя блокчейн Solana, прямое IP-соединение и Google Calendar в качестве резервного сервера C2, тем самым создавая надежную коммуникационную архитектуру, которую трудно нарушить.

В свете этих событий разработчикам настоятельно рекомендуется проводить аудит установленных ими расширений и отслеживать любые ненормальные действия, такие как необычные сетевые подключения или подозрительное использование API. Существует настоятельная необходимость сканировать все новые расширения перед установкой и устанавливать только необходимые расширения, при этом незамедлительно удаляя те, которые больше не используются. Каждое добавленное расширение увеличивает уязвимость, подчеркивая важность их предварительной тщательной оценки на основе отзывов, истории и репутации издателя. Также рекомендуется соблюдать осторожность в отношении функций автоматического обновления, поскольку они могут непреднамеренно способствовать внедрению вредоносного ПО. Для эффективного управления рисками предлагается вести централизованный учет расширений.

#ParsedReport #CompletenessLow
22-10-2025

The evolving landscape of email phishing attacks: how threat actors are reusing and refining established techniques

https://securelist.com/email-phishing-techniques-2025/117801/

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Email users

ChatGPT TTPs:
do not use without manual check
T1027, T1111, T1204, T1556.006, T1566.001, T1566.002

Soft:
Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4