#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно идентифицированный троян удаленного доступа на Python (RAT) под названием "Nursultan Client" в первую очередь нацелен на геймеров, особенно на тех, кто играет в Minecraft. Он использует Telegram Bot API для командования и контроля, обеспечивая эксфильтрацию данных и удаленное выполнение команд при работе в нескольких операционных системах. Примечательно, что он крадет токены аутентификации Discord и реализует закрепление с помощью изменений реестра, с такими возможностями, как создание скриншотов и захват изображений с веб-камеры, управляемых с помощью команд Telegram.
-----

Недавно идентифицированный троян удаленного доступа на Python (RAT) нацелен на геймеров, особенно на тех, кто использует Minecraft, путем Маскировки под законное программное обеспечение под названием "Клиент Nursultan". Это вредоносное ПО использует Telegram Bot API для создания канала командования и контроля (C2), что позволяет злоумышленникам извлекать украденные данные и отдавать команды удаленно. Конструкция вредоносного ПО позволяет ему функционировать в нескольких операционных системах, включая Windows, Linux и macOS, благодаря использованию кроссплатформенных библиотек. Его основные возможности, специфичные для Windows, включают в себя кражу токенов аутентификации Discord и закрепление с помощью изменений реестра.

После установки RAT создает запись реестра в разделе "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run", чтобы убедиться, что она выполняется при запуске системы. Исполняемый файл, отличающийся своим хэшем SHA256 (847ef096af4226f657cdd5c8b9c9e2c924d0dbab24bb9804d4b3afaf2ddf5a61), отличается необычно большим размером - 68,5 МБ. Такой размер можно объяснить использованием PyInstaller, распространенного инструмента для упаковки скриптов на Python, что может привести к завышенным размерам файлов, которые некоторые меры безопасности могут не досконально проанализировать.

RAT обладает специфическими возможностями для кражи информации, в первую очередь ориентированными на Discord. Он может перехватывать токены аутентификации Discord и выполнять профилирование системы с помощью команд, передаваемых через Telegram-канал. Кроме того, такие вредоносные функции, как создание скриншотов и захват изображений с веб-камеры, реализуются с помощью команд "/screenshot" и "/camera", которые также отправляют собранные данные обратно злоумышленнику с помощью Telegram API.

Зависимость на платформе Телеграм для связи С2 создает определенные трудности для распознавания, так как законных зашифрованные каналы могут маскировать вредоносной активности. Применение известного Minecraft клиент личности в повседневной вредоносное ПО вредоносных программ является социальная инженерия стратегии, направленной на то, чтобы обмануть жертв, специально ориентированных на игровом сообществе. Полученные результаты подчеркивают необходимость того, чтобы организации сохраняли полную видимость сетевого трафика, особенно взаимодействия с зашифрованными платформами, для эффективного выявления скрытых коммуникаций C2 и потенциальных угроз.

#ParsedReport #CompletenessLow
23-10-2025

Baohuo's Eminence Grs: An Android backdoor hijacks Telegram accounts, gaining complete control over them.

https://news.drweb.ru/show/?i=15076&lng=ru&c=5

Report completeness: Low

Threats:
Baohuo
Lspatch_tool

Victims:
Telegram users

ChatGPT TTPs:
do not use without manual check
T1041, T1056.001, T1098, T1562.006

IOCs:
File: 1

Soft:
Android, Telegram, Redis, Redis Android

Links:
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.Backdoor.Baohuo.1.origin/README.adoc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Андроид.Backdoor.Baohuo.1.origin нацелен на Telegram X, похищая конфиденциальную информацию, такую как имена пользователей, пароли и истории чатов, позволяя злоумышленникам полностью контролировать учетную запись. Это вредоносное ПО уклоняется от обнаружения, скрывая несанкционированные подключения, и манипулирует учетными записями Telegram для автоматизации таких действий, как добавление пользователей в каналы. Он использует базу данных Redis для управления, позволяя управлять более чем 58 000 активными установками и выявляя риски, связанные со скомпрометированными платформами обмена сообщениями.
-----

Вредоносное ПО для Android, известное как Android.Backdoor.Baohuo.1.origin, идентифицированный компанией "Доктор Веб", представляет значительную угрозу, поскольку нацелен на популярное приложение для обмена сообщениями Telegram X. Это бэкдор-вредоносное ПО присутствует в модифицированных версиях приложения и в первую очередь предназначено для кражи конфиденциальной пользовательской информации, включая имена пользователей, пароли и историю чатов. Его возможности выходят за рамки простой кражи данных, позволяя злоумышленникам полностью контролировать скомпрометированные учетные записи Telegram.

Одной из выдающихся особенностей этого вредоносного ПО является его способность уклоняться от обнаружения. Он может скрывать соединения со сторонних устройств в списке сеансов Telegram, создавая ложное чувство безопасности у жертвы и одновременно скрывая несанкционированный доступ. Кроме того, вредоносное ПО может манипулировать учетной записью различными способами — добавлять или удалять пользователей из Telegram-каналов, присоединяться к чатам или покидать их, а также выполнять другие действия без ведома жертвы. Эта функциональность позволяет злоумышленникам не только получать доступ к личным сообщениям, но и завышать количество подписчиков в Telegram-каналах, автоматизируя действия от имени жертвы.

Механизм управления для Android.Backdoor.Baohuo.1.origin использует базу данных Redis, которая представляет собой нетипичный метод управления угрозами для Android. Этот инновационный аспект контроля позволяет киберпреступникам поддерживать работу значительного числа зараженных устройств, и, по оценкам, в настоящее время активно установлено более 58 000 вредоносных ПО с бэкдором. Эволюционирующая природа Android.Backdoor.Baohuo.1.origin подчеркивает сохраняющиеся риски, создаваемые злонамеренными акторами, использующими популярные коммуникационные платформы в неблаговидных целях.

#ParsedReport #CompletenessLow
23-10-2025

Librarian Likho updated its toolset

https://www.kaspersky.ru/blog/librarian-likho-new-tools/40695/

Report completeness: Low

Actors/Campaigns:
Librarian_ghouls

Industry:
Aerospace

IOCs:
File: 3
Hash: 7
Domain: 1
Url: 2

Soft:
UnRAR

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя интеграция Librarian Likho's с файлообменником, управляемым искусственным интеллектом, предполагает переход к более сложным кибероперациям, расширяющим возможности эксфильтрации данных и разведки. Хотя конкретные технические детали его работы остаются нераскрытыми, этот шаг отражает более широкие тенденции в хакерской группировке, использующей искусственный интеллект и машинное обучение для разработки продвинутого вредоносного ПО, сигнализируя о потенциальном повышении эффективности кибератак. Понимание этих изменений жизненно важно для прогнозирования будущих угроз в области кибербезопасности.
-----

Librarian Likho недавно расширила свой набор инструментов, включив в него новые функциональные возможности, в частности, файлообменник, который, как полагают, разработан с использованием возможностей Искусственного интеллекта. Это обновление предполагает стратегический шаг в направлении повышения сложности и эффективности своих киберопераций. Внедрение инструментов, управляемых искусственным интеллектом, может указывать на изменение тактики, которая использует автоматизацию для оптимизации процессов сбора данных или повышения эффективности поиска информации из целевых систем.

Такие усовершенствования могут совпадать с более широкими тенденциями, наблюдаемыми в хакерских группировках, которые все чаще используют искусственный интеллект и технологии машинного обучения для разработки более совершенного вредоносного ПО. Технические характеристики файлообменника, такие как способ его работы или характеристики цели, не разглашаются, но его включение в арсенал Likho подчеркивает растущую зависимость злоумышленников от сложных инструментов для эксфильтрации данных и разведки. Использование искусственного интеллекта во вредоносных инструментах сигнализирует о потенциальном повышении эффективности кибератак, что требует повышенной бдительности со стороны защитников и заинтересованных сторон в области безопасности.

По мере развития ландшафта угроз понимание последствий этих изменений имеет решающее значение для прогнозирования будущей тактики и контрмер в стратегиях киберзащиты.

#ParsedReport #CompletenessMedium
23-10-2025

Shadow Alliance: who are the Cloaked Shadow

https://habr.com/ru/companies/ru_mts/articles/958950/

Report completeness: Medium

Actors/Campaigns:
Cloaked_shadow
Paper_werewolf
Cyberpartisans-by

Threats:
Reversesocks5_tool
Dropbear_tool
Tinyshell
Dquic
Chisel_tool
Garble_tool
Socat_tool
Dns_tunneling_technique
Vasilek

Victims:
Russian companies, Linux hosts

Industry:
Telco, Ics

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1030, T1036, T1059.004, T1071.004, T1090, T1106, T1543.002, T1572, have more...

IOCs:
File: 3
IP: 11

Soft:
linux, redis, ollvm, Telegram, Zabbix

Algorithms:
aes, xor, base64

Languages:
python, rust

Links:
https://github.com/Acebond/ReverseSocks5
have more...
https://github.com/Fahrj/reverse-ssh
https://github.com/mkj/dropbear/tree/master

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cloaked Shadow, входящая в Shadow Alliance, нацелена на российские фирмы, используя передовые инструменты вредоносного ПО, такие как ReverseSocks5 и обратные ssh-бэкдоры, позволяющие получить необнаруживаемый доступ к сетям жертв. Они также развертывают пользовательские дропперы, в том числе один, связанный с GOFFEE_LLoader. Кроме того, в 2025 году появился новый актор с самописным бэкдором, использующим DNS tunneling для управления, что указывает на растущую сложность киберугроз и методов, используемых злоумышленниками.
-----

Cloaked Shadow, идентифицированная как часть Shadow Alliance, действует по меньшей мере с 2023 года, ориентируясь в первую очередь на российские компании. Инструментарий группы включает в себя ряд вредоносных ПО и пользовательских инструментов, предназначенных для проксирования и туннелирования трафика, в частности ReverseSocks5 и обратные ssh-бэкдоры, которые позволяют злоумышленникам получать доступ к инфраструктуре жертвы с минимальными следами, оставляемыми в журналах операционной системы. Эти инструменты отлично подходят для построения необнаруживаемых внутренних сетевых туннелей.

Примечательно, что бэкдор ReverseSocks5 функционирует аналогично проекту GitHub с открытым исходным кодом, что указывает на потенциальное повторное использование кода. Инструмент обратного ssh позволяет злоумышленникам подключаться к прокси-серверу socks5 и устанавливать каналы связи внутри скомпрометированной сети. Злоумышленники также использовали пользовательские дропперы для запуска вредоносных полезных нагрузок непосредственно в памяти. Ярким примером такого подхода является загрузчик, связанный с ранее известной группой, называемой GOFFEE_LLoader.

Анализ показывает появление нового актора, которого можно идентифицировать по артефактам 2025 года. Этот актор использовал сложный, самописный бэкдор, который использует DNS tunneling для связи командования и контроля (C2), сильно запутанный, чтобы затруднить обнаружение. Этот бэкдор имеет сходство с бэкдором Vasilek и работает через DNS tunneling, что еще больше соответствует характеристикам группы Cyberpartisans-BY, которая была причастна к громким кибератакам против крупных российских фирм.

Инфраструктура вредоносного ПО обеспечивает различные возможности, такие как выполнение команд оболочки через "/bin/sh", создание подключений к прокси-серверам socks5 и управление несколькими сеансами как с серверами C2, так и с серверами socks5. Протокол для установления этих подключений включает отправку определенных кодов операций для передачи команд и статусов, связанных с сеансами оболочки и прокси-соединениями. Например, коды операций для выполнения асинхронных команд, закрытия сеансов и управления обменом данными между подпрограммами тщательно разработаны, чтобы обеспечить бесперебойную работу даже в сложной среде.

Полученные данные свидетельствуют о том, что Cloaked Shadow сохраняла постоянное присутствие в инфраструктурах жертв, несмотря на деятельность других групп, таких как GOFFEE, которые, по-видимому, прекратили свою деятельность. Это подчеркивает эволюцию методов атак и растущую изощренность злоумышленников в их долгосрочных стратегиях проведения кампаний.

#ParsedReport #CompletenessMedium
23-10-2025

RedTiger: New Red Teaming Tool in the Wild Targeting Gamers and Discord Accounts

https://www.netskope.com/blog/redtiger-new-red-teaming-tool-in-the-wild-targeting-gamers-and-discord-accounts

Report completeness: Medium

Threats:
Red_tiger
Cobalt_strike_tool
Procdump_tool
Process_hacker_tool
Nodestealer

Victims:
Gamers, Discord users, French speaking users

Industry:
Financial, Entertainment

Geo:
French

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1037.005, T1059.006, T1071.001, T1113, T1119, T1125, T1555.003, T1562.001, T1567.002, have more...

IOCs:
File: 4

Soft:
Discord, PyInstaller, Roblox, Linux, macOS, Visual studio, sysinternals, Process explorer, Stripe API, Google Chrome, have more...

Algorithms:
zip

Functions:
ImageGrab

Languages:
javascript, python

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/RedTiger/IOCs
have more...
https://github.com/loxy0dev/RedTiger-Tools

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RedTiger - это стиллер информации с открытым исходным кодом, ориентированный на геймеров и аккаунты Discord, известный своей сложной двухэтапной эксфильтрацией данных. Он работает кроссплатформенно, используя PyInstaller для двоичного развертывания в Windows, Linux и macOS, с механизмами закрепления для Windows и Linux, хотя в macOS ему не хватает надлежащих исполняемых файлов. Вредоносное ПО извлекает конфиденциальные данные, включая токены Discord, учетные данные браузера и информацию о криптовалюте, используя методы, позволяющие избежать обнаружения и собирать изображения с веб-камеры и экрана.
-----

RedTiger - это недавно обнаруженный стиллер информации с открытым исходным кодом, который стал серьезной угрозой, особенно для геймеров и аккаунтов Discord. Этот инструмент активно внедрялся, и в дикой природе были отмечены различные полезные нагрузки. Стиллер информации работает путем эксфильтрации украденных данных с помощью двухэтапного процесса. Первоначально он архивирует собранные данные, прежде чем загрузить их в облачное хранилище GoFile. Впоследствии злоумышленнику отправляется ссылка для скачивания с помощью веб-хука Discord, который предполагает, что целевые жертвы включают франкоязычных пользователей, основываясь на наличии французского языка в некоторых предупреждающих сообщениях.

Все наблюдаемые образцы RedTiger скомпилированы в виде двоичных файлов с использованием PyInstaller, что подчеркивает его широкие возможности на разных платформах, включая Windows, Linux и macOS (Darwin). В Windows он устанавливает закрепление, помещая полезную нагрузку в папку автозагрузки, гарантируя, что она будет выполнена при входе пользователя в систему. Для Linux, хотя он и переносит скрипт Python в папку автозапуска, ему не хватает необходимого файла .desktop для выполнения. Аналогично, в macOS он нацелен на папку LaunchAgents, но не включает необходимую конфигурацию .plist для корректной работы при входе в систему.

Стиллер нацелен на различные типы данных, включая конфиденциальную информацию Discord, такую как данные учетной записи и платежная информация. Он использует регулярные выражения для поиска как обычных, так и зашифрованных токенов Discord в требуемых файлах базы данных. Кроме того, он сканирует каталоги профилей пользователей на наличие определенных файлов, архивируя те, которые относятся к ключевым словам, и систематически нацеливается на информацию о криптовалютном кошельке, а также данные, связанные с игровыми приложениями. Примечательно, что инструмент также извлекает данные, связанные с браузером, включая сохраненные пароли, файлы cookie и информацию о кредитной карте, из нескольких браузеров.

Еще одним вызывающим беспокойство свойством RedTiger является его способность осуществлять массовую рассылку файлов и процессингового спама, что может затруднить судебно-медицинский анализ, заполняя систему многочисленными несущественными артефактами. Более того, стиллер использует методы обхода защиты, завершая свои процессы при обнаружении любых идентификаторов, связанных с изолированными средами.

Стиллер не только компрометирует конфиденциальную информацию, но и обладает возможностью захвата изображений с веб-камеры жертвы и экрана рабочего стола, используя для выполнения библиотеки OpenCV и Pillow. Эта функциональность еще больше повышает риск, создаваемый RedTiger, поскольку позволяет злоумышленникам собирать визуальную информацию от жертв. Поскольку RedTiger продолжает развиваться, его разработка и внедрение будут находиться под пристальным наблюдением сообщества по кибербезопасности.

#ParsedReport #CompletenessMedium
23-10-2025

F5 BIG-IP Source Code Leak Tied to State-Linked Campaigns Using BRICKSTORM Backdoor

https://www.resecurity.com/blog/article/f5-big-ip-source-code-leak-tied-to-state-linked-campaigns-using-brickstorm-backdoor

Report completeness: Medium

Actors/Campaigns:
Unc5221

Threats:
Brickstorm
Vmprotect_tool

Victims:
F5 big ip users, Federal networks

Industry:
Government

Geo:
China

CVEs:
CVE-2025-61938 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53521 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-48008 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

have more...

TTPs:
Tactics: 8
Technics: 16

IOCs:
Hash: 3

Soft:
BIG-IP, Unix, systemd

Algorithms:
base64, sha256

Languages:
golang

Platforms:
amd64, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кластер злоумышленников UNC5221, связанный с Китаем, использует уязвимости в продуктах F5 BIG-IP после серьезной утечки данных, в результате которой были скомпрометированы внутренние ресурсы разработки и исходный код. Они используют бэкдор BRICKSTORM и различные методы MITRE ATT&CK, включая T1190 для первоначального доступа и T1543.002 для закрепления, при этом используют зашифрованные коммуникации для командования и контроля и эксфильтрации данных. F5 выявила более двадцати уязвимостей в своих системах, повышающих риск эксплуатации.
-----

Связанный с Китаем кластер злоумышленников UNC5221 нацелен на организации, использующие продукты F5 BIG-IP, после утечки данных, в результате которой были украдены ресурсы внутренней разработки, включая части исходного кода BIG-IP и сведения об уязвимостях. Этот инцидент повысил риск быстрой эксплуатации из-за уязвимостей zero-day в службах управления, доступных через Интернет. После нарушения CISA издала экстренную директиву ED-26-01, в которой подчеркивалась необходимость немедленной инвентаризации, упрочнения и исправления поврежденных устройств.

Детальный анализ, проведенный Resecurity, выявил бэкдор BRICKSTORM, который является неотъемлемой частью методов атаки, используемых UNC5221. Расследование показало, что части скомпрометированного кода были получены из общедоступных репозиториев. Некоторые из этих хранилищ содержали вредоносный код, предназначенный для компрометации пользовательских систем. Векторы атак используют общедоступные возможности управления и служб F5 BIG-IP для получения начального выполнения кода, облегчая дальнейшую вредоносную деятельность.

Используя различные методы из платформы MITRE ATT&CK, злоумышленники выполнили эксплойты для получения доступа (T1190) и развертывания вредоносного файла ELF на устройстве BIG-IP. Процесс выполнения управляется параметрами runtime Command and Control (C2), чтобы избежать обнаружения. Закрепление достигается путем модификации модулей systemd, чтобы гарантировать запуск бэкдора при загрузке (T1543.002). Злоумышленники используют методы обхода защиты, такие как запутывание своих файлов и Маскировка сетевого трафика, чтобы исключить обнаружение (T1027, T1036).

Для получения учетных данных злоумышленники внедрили фильтр сервлетов для сбора учетных данных для входа в систему после компрометации (T1556). Использование прокси-сервера в стиле SOCKS для управления IP-адресом устройства (T1090), обеспечивающего доступ к внутренним службам и использующего Туннелирование протокола для консолидации трафика по единому защищенному каналу (T1572), облегчает перемещение внутри компании в сети.

Связь со скомпрометированными системами защищена через TLS с использованием протоколов HTTP/2 и WebSocket для длительных сеансов C2 (T1071.001, T1071.004). Эксфильтрация данных происходит посредством запросов данных в виде нескольких частей по установленным защищенным каналам, что не только защищает данные, но и маскирует их перемещение под обычный веб-трафик (T1041). Кроме того, потенциальные угрозы включают сжатие данных для снижения возможности обнаружения перед передачей (T1560).

В ответ на эти выводы F5 обнаружила более двадцати уязвимостей в различных модулях BIG-IP, F5OS и BIG-IP Next. Организациям, использующим уязвимые версии, настоятельно рекомендуется немедленно исправить свои системы, ограничить доступ общественности к интерфейсам управления и внедрить дополнительный мониторинг аномального трафика. Критический характер уязвимостей требует принятия срочных мер по защите от потенциальных эксплойтов.

#ParsedReport #CompletenessMedium
23-10-2025

Unpacking NetSupport RAT Loaders Delivered via ClickFix

https://www.esentire.com/blog/unpacking-netsupport-rat-loaders-delivered-via-clickfix

Report completeness: Medium

Actors/Campaigns:
Evalusion
Fshgdree32
Xmlctl
Uac-0050
Smartape_sg

Threats:
Netsupportmanager_rat
Clickfix_technique
Msi_loader
Lolbin_technique

Victims:
Ukrainian users

Geo:
Moldova, United kingdom, Russia, Ukrainians, Lithuania, California, Bulgaria, Arab emirates, United arab emirates

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1071.001, T1105, T1112, T1204.002, T1218.011, T1219

IOCs:
Hash: 27
Command: 2
File: 8
Url: 4
Path: 1
Domain: 44
IP: 27

Soft:
Curl

Algorithms:
sha256, zip, base64

Functions:
Remove_null_bytes

Win Services:
WebClient

Languages:
golang, powershell

YARA: Found

Links:
https://github.com/eSentire/iocs/blob/main/NetSupport/NetSupport\_PowerShell\_Unpacker.py
have more...
https://github.com/eSentire/iocs/blob/main/NetSupport/NetSupport-IoCs\_10-15-2025.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2025 году инциденты, связанные с NetSupport Manager, были связаны с тремя хакерскими группировками, которые перешли от "поддельных обновлений" к методам доставки "ClickFix", в основном с использованием загрузчиков на базе PowerShell. Один идентифицированный загрузчик (SHA256: a823031ba57...) запускает вредоносное ПО NetSupport, в то время как другой скрывает его выполнение. Кроме того, загрузчики на базе MSI используют LOLBin msiexec, а сетевой анализ выявляет действия command and control (C2), связанные с NetSupport's версии 1.92, с тремя различными кластерами кампаний, идентифицированными на основе параметров лицензии.
-----

В 2025 году серия инцидентов, связанных с менеджером NetSupport, была приписана трем отдельным хакерским группировкам, которые переходят от "поддельных обновлений" к более сложному подходу, известному как "ClickFix". Среди методов, используемых этими группами, особенно выделяются загрузчики на базе PowerShell. Один тип загрузчика PowerShell, идентифицируемый хэшем SHA256 a823031ba57d0e5f7ef15d63fe93a05ed00eadfd19afc7d2fed60f20e651a8bb, используется для удаления и запуска вредоносного ПО NetSupport.

Другой вариант загрузчика PowerShell выявил возможности скрытия доказательств его выполнения путем удаления соответствующих записей реестра из ключа RunMRU. Этот конкретный загрузчик был связан с кампаниями, связанными с лицензиатом "KAKAN", а также демонстрирует сходство в тактике, методах и процедурах (TTP) с кампаниями EVALUSION. Соответствующий файл для этого экземпляра имеет хэш SHA256 37d1d033e19cf9dc7313846d9d4026b03d2f822efccd963e5697e9633a4df0d0.

Менее распространенный метод предполагает использование загрузчиков на базе MSI. Они используют LOLBin msiexec для удаленной выборки и выполнения конфигураций установщика MSI для развертывания NetSupport с заметным хэшем файла d5b13eb9e8afb79b4d7830caf3ac746637e5bda1752962e5bd0aed3352cc4a42.

Анализ сетевого трафика выявляет действия командования и контроля (C2), связанные с серверами подключения NetSupport's, в частности, версии 1.92. Анализ показывает типичное взаимодействие, при котором клиент инициирует обмен данными, отправляя команду ОПРОСА.

Оценка угроз разделила обнаруженные действия на три отдельных кластера или кампании, каждая из которых идентифицируется по конкретной информации о лицензии в файлах "NSM.LIC". Первый кластер, связанный с кампанией "EVALUSION", демонстрирует использование общих параметров лицензии и использует как загрузчики на основе PowerShell, так и методы пакетной обработки файлов. Второй кластер связан с двумя связанными типами лицензий из кампании "FSHGDREE32/SGI", отображающей дублирование инфраструктуры и использующей аналогичные методы PowerShell. Наконец, считается, что кампания "XMLCTL" включает группу под названием "UAC-0050", ранее задокументированную как нацеленную на украинские организации с NetSupport.

В дополнение к подробному описанию этих методов eSentire создала утилиту автоматической распаковки, предназначенную для облегчения исследователям безопасности обработки различных вариантов полезной нагрузки PowerShell второго этапа для извлечения связанных конфигураций NetSupport и полезных нагрузок. Также упоминается правило Yara, которое может обнаруживать NetSupport как на диске, так и в памяти, предоставляя дополнительные ресурсы для идентификации угроз и их устранения.

#ParsedReport #CompletenessLow
23-10-2025

Help Wanted: Vietnamese Actors Using Fake Job Posting Campaigns to Deliver Malware and Steal Credentials

https://cloud.google.com/blog/topics/threat-intelligence/vietnamese-actors-fake-job-posting-campaigns/

Report completeness: Low

Actors/Campaigns:
Unc6229 (motivation: financially_motivated)

Victims:
Digital advertising and marketing sectors

Industry:
E-commerce

Geo:
Vietnamese, Vietnam

ChatGPT TTPs:
do not use without manual check
T1056.003, T1078, T1204, T1566.001, T1566.002, T1566.002, T1583.006

IOCs:
Domain: 1
Hash: 5

Soft:
Salesforce, Outlook

Algorithms:
zip