#technique
EDR Blinding via Windows Filtering Platform - Attack Technique & Detection Engineering
https://www.reddit.com/r/blueteamsec/comments/1p23ism/edr_blinding_via_windows_filtering_platform/
EDR Blinding via Windows Filtering Platform - Attack Technique & Detection Engineering
https://www.reddit.com/r/blueteamsec/comments/1p23ism/edr_blinding_via_windows_filtering_platform/
Reddit
From the blueteamsec community on Reddit: EDR Blinding via Windows Filtering Platform - Attack Technique & Detection Engineering
Explore this post and more from the blueteamsec community
#technique
SAMDump
Extract SAM and SYSTEM using Volume Shadow Copy (VSS) API. With multiple exfiltration options and XOR obfuscation
https://github.com/ricardojoserf/SAMDump
SAMDump
Extract SAM and SYSTEM using Volume Shadow Copy (VSS) API. With multiple exfiltration options and XOR obfuscation
https://github.com/ricardojoserf/SAMDump
GitHub
GitHub - ricardojoserf/SAMDump: Extract SAM and SYSTEM using Volume Shadow Copy (VSS) API. With multiple exfiltration options and…
Extract SAM and SYSTEM using Volume Shadow Copy (VSS) API. With multiple exfiltration options and XOR obfuscation - ricardojoserf/SAMDump
#ParsedReport #CompletenessLow
29-11-2025
Analysis of the Rust implants found in the malicious VS Code extension
https://www.nextron-systems.com/2025/11/29/analysis-of-the-rust-implants-found-in-the-malicious-vs-code-extension/
Report completeness: Low
Threats:
Glassworm
Victims:
Software supply chain
Industry:
Financial, Education
IOCs:
File: 3
Hash: 4
Url: 3
Soft:
macOS
Crypto:
solana
Algorithms:
aes-256-cbc, base64
Languages:
rust, javascript
29-11-2025
Analysis of the Rust implants found in the malicious VS Code extension
https://www.nextron-systems.com/2025/11/29/analysis-of-the-rust-implants-found-in-the-malicious-vs-code-extension/
Report completeness: Low
Threats:
Glassworm
Victims:
Software supply chain
Industry:
Financial, Education
IOCs:
File: 3
Hash: 4
Url: 3
Soft:
macOS
Crypto:
solana
Algorithms:
aes-256-cbc, base64
Languages:
rust, javascript
Nextron-Systems
Analysis of the Rust implants found in the malicious VS Code extension - Nextron Systems
CTT Report Hub
#ParsedReport #CompletenessLow 29-11-2025 Analysis of the Rust implants found in the malicious VS Code extension https://www.nextron-systems.com/2025/11/29/analysis-of-the-rust-implants-found-in-the-malicious-vs-code-extension/ Report completeness: Low…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Было обнаружено, что вредоносное расширение кода Visual Studio под названием "Material Icon Theme" содержит два импланта Rust в версии 5.29.1. Эти имплантаты позволяют злоумышленникам установить канал управления для удаленных операций, включая эксфильтрацию данных и доставку дополнительной полезной нагрузки, при этом демонстрируя механизмы закрепления, позволяющие пережить перезагрузки. Их кроссплатформенные возможности как в Windows, так и в macOS значительно расширяют спектр угроз, подчеркивая риски, связанные с вредоносным ПО, встроенным в популярные средства разработки.
-----
Обнаружение вредоносного расширения Visual Studio Code (VS Code), Маскировки под "Material Icon Theme", выявило развертывание двух имплантов Rust в версии 5.29.1 расширения. Анализ, проведенный в двоичных файлах Windows и macOS, раскрывает важные детали, касающиеся поведения и функциональных возможностей этих имплантатов.
Имплантаты Rust предназначены для облегчения целого ряда вредоносных действий. После установки они устанавливают канал связи с серверами управления (C2), позволяя удаленным злоумышленникам управлять скомпрометированными системами. Это соединение может быть использовано для различных вредоносных целей, таких как эксфильтрация данных или дальнейшая доставка полезной нагрузки. Имплантаты обладают возможностями, типичными для многих бэкдоров, включая механизмы закрепления, гарантирующие, что они остаются в системе даже после перезагрузки.
Одним из важных аспектов этих имплантатов является их кроссплатформенный дизайн, поскольку они работают как в средах Windows, так и в macOS. Такая широкая совместимость усиливает потенциальную угрозу, поскольку позволяет злоумышленникам нацеливаться на более широкую базу пользователей и использовать уязвимости, присущие обеим операционным системам. Выбор Rust для разработки этих имплантатов примечателен благодаря его высокой производительности и функциям защиты памяти, что делает его подходящим вариантом для создания стойкого и эффективного вредоносного ПО.
Кроме того, анализ подчеркивает необходимость проявления бдительности разработчиками и пользователями платформы VS Code для предотвращения будущих инцидентов, связанных с подобными вредоносными расширениями. Существующие меры безопасности, возможно, нуждаются в пересмотре, чтобы противодействовать эволюционирующей тактике, применяемой киберугрозами, особенно теми, которые используют хорошо известные средства разработки для распространения вредоносного ПО. Этот инцидент подчеркивает сохраняющийся риск, создаваемый вредоносным программным обеспечением, внедренным в надежные среды разработки, что требует улучшения контроля и стратегий предотвращения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Было обнаружено, что вредоносное расширение кода Visual Studio под названием "Material Icon Theme" содержит два импланта Rust в версии 5.29.1. Эти имплантаты позволяют злоумышленникам установить канал управления для удаленных операций, включая эксфильтрацию данных и доставку дополнительной полезной нагрузки, при этом демонстрируя механизмы закрепления, позволяющие пережить перезагрузки. Их кроссплатформенные возможности как в Windows, так и в macOS значительно расширяют спектр угроз, подчеркивая риски, связанные с вредоносным ПО, встроенным в популярные средства разработки.
-----
Обнаружение вредоносного расширения Visual Studio Code (VS Code), Маскировки под "Material Icon Theme", выявило развертывание двух имплантов Rust в версии 5.29.1 расширения. Анализ, проведенный в двоичных файлах Windows и macOS, раскрывает важные детали, касающиеся поведения и функциональных возможностей этих имплантатов.
Имплантаты Rust предназначены для облегчения целого ряда вредоносных действий. После установки они устанавливают канал связи с серверами управления (C2), позволяя удаленным злоумышленникам управлять скомпрометированными системами. Это соединение может быть использовано для различных вредоносных целей, таких как эксфильтрация данных или дальнейшая доставка полезной нагрузки. Имплантаты обладают возможностями, типичными для многих бэкдоров, включая механизмы закрепления, гарантирующие, что они остаются в системе даже после перезагрузки.
Одним из важных аспектов этих имплантатов является их кроссплатформенный дизайн, поскольку они работают как в средах Windows, так и в macOS. Такая широкая совместимость усиливает потенциальную угрозу, поскольку позволяет злоумышленникам нацеливаться на более широкую базу пользователей и использовать уязвимости, присущие обеим операционным системам. Выбор Rust для разработки этих имплантатов примечателен благодаря его высокой производительности и функциям защиты памяти, что делает его подходящим вариантом для создания стойкого и эффективного вредоносного ПО.
Кроме того, анализ подчеркивает необходимость проявления бдительности разработчиками и пользователями платформы VS Code для предотвращения будущих инцидентов, связанных с подобными вредоносными расширениями. Существующие меры безопасности, возможно, нуждаются в пересмотре, чтобы противодействовать эволюционирующей тактике, применяемой киберугрозами, особенно теми, которые используют хорошо известные средства разработки для распространения вредоносного ПО. Этот инцидент подчеркивает сохраняющийся риск, создаваемый вредоносным программным обеспечением, внедренным в надежные среды разработки, что требует улучшения контроля и стратегий предотвращения.
#ParsedReport #CompletenessHigh
27-11-2025
Trouble in the air: A spree of campaigns targeting the aerospace industry in Russia
https://www.intrinsec.com/wp-content/uploads/2025/11/INTRINSEC-2025-Threat-Report-Trouble_in_the_air.pdf
Report completeness: High
Actors/Campaigns:
Watch_wolf
Head_mare (motivation: hacktivism)
Cavalry_werewolf (motivation: hacktivism)
Bo_team
Fancy_bear
Silent_crow (motivation: hacktivism)
Cyber_partisans (motivation: hacktivism)
Threats:
Formbook
Cloudeye
Remcos_rat
Phantomremote
Spear-phishing_technique
Typosquatting_technique
Darkwatchman
Lolbin_technique
Process_injection_technique
Victims:
Aerospace industry, Electronic warfare, Military supply, Energy, Airlines, Airports, Space industry, Training software providers
Industry:
Aerospace, Energy, Military, E-commerce, Petroleum, Government, Logistic, Transport
Geo:
London, Kazakhstan, Russian, Russian federation, Nigeria, Qatar, Nigerian, Moscow, American, Abu dhabi, Belarus, Crimea, Russia, Berlin, Ukrainian, Switzerland, Canada, Germany, America, Ukraine, German, Japan, Pol
TTPs:
Tactics: 4
Technics: 25
IOCs:
Domain: 10
File: 13
IP: 27
Command: 2
Url: 2
Path: 1
Hash: 8
Soft:
Telegram, Outlook, Office365, Starlink, Component Object Model
Algorithms:
zip, sha256
Languages:
powershell
27-11-2025
Trouble in the air: A spree of campaigns targeting the aerospace industry in Russia
https://www.intrinsec.com/wp-content/uploads/2025/11/INTRINSEC-2025-Threat-Report-Trouble_in_the_air.pdf
Report completeness: High
Actors/Campaigns:
Watch_wolf
Head_mare (motivation: hacktivism)
Cavalry_werewolf (motivation: hacktivism)
Bo_team
Fancy_bear
Silent_crow (motivation: hacktivism)
Cyber_partisans (motivation: hacktivism)
Threats:
Formbook
Cloudeye
Remcos_rat
Phantomremote
Spear-phishing_technique
Typosquatting_technique
Darkwatchman
Lolbin_technique
Process_injection_technique
Victims:
Aerospace industry, Electronic warfare, Military supply, Energy, Airlines, Airports, Space industry, Training software providers
Industry:
Aerospace, Energy, Military, E-commerce, Petroleum, Government, Logistic, Transport
Geo:
London, Kazakhstan, Russian, Russian federation, Nigeria, Qatar, Nigerian, Moscow, American, Abu dhabi, Belarus, Crimea, Russia, Berlin, Ukrainian, Switzerland, Canada, Germany, America, Ukraine, German, Japan, Pol
TTPs:
Tactics: 4
Technics: 25
IOCs:
Domain: 10
File: 13
IP: 27
Command: 2
Url: 2
Path: 1
Hash: 8
Soft:
Telegram, Outlook, Office365, Starlink, Component Object Model
Algorithms:
zip, sha256
Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessHigh 27-11-2025 Trouble in the air: A spree of campaigns targeting the aerospace industry in Russia https://www.intrinsec.com/wp-content/uploads/2025/11/INTRINSEC-2025-Threat-Report-Trouble_in_the_air.pdf Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавние киберкампании, направленные против российской аэрокосмической промышленности, в первую очередь со стороны проукраинских групп хактивистов, активизировались с июня по сентябрь 2025 года, применяя spearphishing против организаций аэрокосмического и военного секторов. Группа "Hdr0", в частности, внедрила программу-вымогатель в Пермский авиационный технический колледж, в то время как другие атаки использовали фишинг электронной почты и вредоносное ПО, такое как Formbook, для кражи учетных данных. Передовые методы включали использование PowerShell для создания бэкдоров и развертывания эксплойтов, таких как PhantomRemote, что указывает на сложную и устойчивую среду угроз.
-----
Недавние киберкампании, нацеленные на российскую аэрокосмическую промышленность, активизировались в период с июня по сентябрь 2025 года, в основном за счет проукраинских групп хактивистов. В этих кампаниях используются методы spearphishing против целого ряда организаций, особенно ориентированных на тех, кто задействован в аэрокосмическом и военном секторах, которые стали мишенью за поддержку российских военных в условиях сохраняющейся геополитической напряженности.
Примечательное событие произошло 1 сентября 2025 года, когда хактивистская группа "Hdr0" успешно внедрила программу-вымогатель в сеть Пермского авиационного технического колледжа, подчеркнув эффективность этих киберопераций. Различные другие организации, включая известные авиакомпании и поставщиков военных технологий, также подверглись серии атак фишинга и вредоносного ПО. Например, S7 Airlines и "Динамика-Авиа" стали мишенями с помощью тактики социальной инженерии, включая поддельные рекламные предложения и срочные запросы, направленные на то, чтобы вынудить сотрудников раскрыть конфиденциальную информацию.
Методы, используемые в этих кампаниях, часто включают вредоносные вложения электронной почты. Важная тактика включает в себя использование размещенных на сервере сайтов фишинга, предназначенных для имитации законных страниц входа в систему, использование таких платформ, как Vercel и Cloudflare, для сокрытия истинной природы атаки. Одним из распространенных вредоносных ПО, наблюдаемых в этих кампаниях, является Formbook, credential-stealing вредоносное ПО, которое использовалось в кампании, нацеленной на Bureau 1440, фирму, специализирующуюся на спутниковых технологиях. Вредоносная полезная нагрузка передавалась с несколькими доменами управления (C2), что усложняло усилия по обнаружению.
Более того, продвинутые методы уклонения наблюдались в кампаниях, связанных с набором вторжений "Hive0117". В этих случаях злоумышленники использовали скрипты PowerShell для развертывания бэкдоров, таких как DarkWatchman, который облегчает удаленный доступ, выполняя команды и разрешая эксфильтрацию данных. Другая группировка, связанная с группами "Head Mare" или "Rainbow Hyena", аналогичным образом атаковала Воронежское авиационное производственное объединение (ВАСО) с помощью spearphishing со взломанных серверов, распространяя Вредоносные файлы, содержащие эксплойты быстрого доступа, предназначенные для развертывания PhantomRemote — другого варианта вредоносного ПО.
Кража учетных данных была постоянной темой, когда злоумышленники использовали поддельные электронные письма с уведомлениями для запроса логинов, что потенциально позволяло получить несанкционированный доступ к критически важным информационным системам. Использование несанкционированной инфраструктуры указывает на изощренный подход к продолжению операций, несмотря на контрмеры.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавние киберкампании, направленные против российской аэрокосмической промышленности, в первую очередь со стороны проукраинских групп хактивистов, активизировались с июня по сентябрь 2025 года, применяя spearphishing против организаций аэрокосмического и военного секторов. Группа "Hdr0", в частности, внедрила программу-вымогатель в Пермский авиационный технический колледж, в то время как другие атаки использовали фишинг электронной почты и вредоносное ПО, такое как Formbook, для кражи учетных данных. Передовые методы включали использование PowerShell для создания бэкдоров и развертывания эксплойтов, таких как PhantomRemote, что указывает на сложную и устойчивую среду угроз.
-----
Недавние киберкампании, нацеленные на российскую аэрокосмическую промышленность, активизировались в период с июня по сентябрь 2025 года, в основном за счет проукраинских групп хактивистов. В этих кампаниях используются методы spearphishing против целого ряда организаций, особенно ориентированных на тех, кто задействован в аэрокосмическом и военном секторах, которые стали мишенью за поддержку российских военных в условиях сохраняющейся геополитической напряженности.
Примечательное событие произошло 1 сентября 2025 года, когда хактивистская группа "Hdr0" успешно внедрила программу-вымогатель в сеть Пермского авиационного технического колледжа, подчеркнув эффективность этих киберопераций. Различные другие организации, включая известные авиакомпании и поставщиков военных технологий, также подверглись серии атак фишинга и вредоносного ПО. Например, S7 Airlines и "Динамика-Авиа" стали мишенями с помощью тактики социальной инженерии, включая поддельные рекламные предложения и срочные запросы, направленные на то, чтобы вынудить сотрудников раскрыть конфиденциальную информацию.
Методы, используемые в этих кампаниях, часто включают вредоносные вложения электронной почты. Важная тактика включает в себя использование размещенных на сервере сайтов фишинга, предназначенных для имитации законных страниц входа в систему, использование таких платформ, как Vercel и Cloudflare, для сокрытия истинной природы атаки. Одним из распространенных вредоносных ПО, наблюдаемых в этих кампаниях, является Formbook, credential-stealing вредоносное ПО, которое использовалось в кампании, нацеленной на Bureau 1440, фирму, специализирующуюся на спутниковых технологиях. Вредоносная полезная нагрузка передавалась с несколькими доменами управления (C2), что усложняло усилия по обнаружению.
Более того, продвинутые методы уклонения наблюдались в кампаниях, связанных с набором вторжений "Hive0117". В этих случаях злоумышленники использовали скрипты PowerShell для развертывания бэкдоров, таких как DarkWatchman, который облегчает удаленный доступ, выполняя команды и разрешая эксфильтрацию данных. Другая группировка, связанная с группами "Head Mare" или "Rainbow Hyena", аналогичным образом атаковала Воронежское авиационное производственное объединение (ВАСО) с помощью spearphishing со взломанных серверов, распространяя Вредоносные файлы, содержащие эксплойты быстрого доступа, предназначенные для развертывания PhantomRemote — другого варианта вредоносного ПО.
Кража учетных данных была постоянной темой, когда злоумышленники использовали поддельные электронные письма с уведомлениями для запроса логинов, что потенциально позволяло получить несанкционированный доступ к критически важным информационным системам. Использование несанкционированной инфраструктуры указывает на изощренный подход к продолжению операций, несмотря на контрмеры.
#ParsedReport #CompletenessHigh
27-11-2025
Analysis of the WhatsWorm campaign leading to the implementation of the Eternity Stealer
https://ish.com.br/wp-content/uploads/2025/11/Analise-da-Campanha-do-WhatsWorm-levando-a-implementacao-do-Eternidade-Stealer-1-1.pdf
Report completeness: High
Threats:
Eternity_stealer
Whatsworm
Babuk2
Akira_ransomware
Dll_injection_technique
Process_hollowing_technique
Eternidade
Astaroth
Dll_sideloading_technique
Spear-phishing_technique
Process_injection_technique
Victims:
Financial services, Whatsapp users
Industry:
Financial
Geo:
Brasil, Portuguese, United kingdom, Brazil, Mexico, Portugal, Ita, Spain, Brazilian, Spanish
CVEs:
CVE-2023-44487 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ietf http (2.0)
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 102
Url: 3
Command: 4
Registry: 1
Path: 1
Hash: 4
Email: 1
Domain: 1
Soft:
WhatsApp, selenium, Chrome, Windows Defender, sushiswap, Ledger Live, Mozilla Firefox, Microsoft Edge
Wallets:
coinbase, bybit, cryptocom, electrum, exodus_wallet, atomicwallet, metamask, ledgerlive, trezor, mycrypto, have more...
Crypto:
binance, kucoin, uniswap, pancakeswap, bitcoin
Algorithms:
sha256, md5, sha1, zip, xor, lznt1
Functions:
Get-ItemProperty, Get-FileHash, bytearray, getContacts, sendBatch
Win API:
decompress, GlobalAlloc, GlobalFree, VirtualAlloc, OpenProcess, GetProcessTimes, CloseHandle, CreateThread
Languages:
delphi, autoit, visual_basic, python, php, powershell, javascript
Platforms:
x86
27-11-2025
Analysis of the WhatsWorm campaign leading to the implementation of the Eternity Stealer
https://ish.com.br/wp-content/uploads/2025/11/Analise-da-Campanha-do-WhatsWorm-levando-a-implementacao-do-Eternidade-Stealer-1-1.pdf
Report completeness: High
Threats:
Eternity_stealer
Whatsworm
Babuk2
Akira_ransomware
Dll_injection_technique
Process_hollowing_technique
Eternidade
Astaroth
Dll_sideloading_technique
Spear-phishing_technique
Process_injection_technique
Victims:
Financial services, Whatsapp users
Industry:
Financial
Geo:
Brasil, Portuguese, United kingdom, Brazil, Mexico, Portugal, Ita, Spain, Brazilian, Spanish
CVEs:
CVE-2023-44487 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ietf http (2.0)
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 102
Url: 3
Command: 4
Registry: 1
Path: 1
Hash: 4
Email: 1
Domain: 1
Soft:
WhatsApp, selenium, Chrome, Windows Defender, sushiswap, Ledger Live, Mozilla Firefox, Microsoft Edge
Wallets:
coinbase, bybit, cryptocom, electrum, exodus_wallet, atomicwallet, metamask, ledgerlive, trezor, mycrypto, have more...
Crypto:
binance, kucoin, uniswap, pancakeswap, bitcoin
Algorithms:
sha256, md5, sha1, zip, xor, lznt1
Functions:
Get-ItemProperty, Get-FileHash, bytearray, getContacts, sendBatch
Win API:
decompress, GlobalAlloc, GlobalFree, VirtualAlloc, OpenProcess, GetProcessTimes, CloseHandle, CreateThread
Languages:
delphi, autoit, visual_basic, python, php, powershell, javascript
Platforms:
x86
CTT Report Hub
#ParsedReport #CompletenessHigh 27-11-2025 Analysis of the WhatsWorm campaign leading to the implementation of the Eternity Stealer https://ish.com.br/wp-content/uploads/2025/11/Analise-da-Campanha-do-WhatsWorm-levando-a-implementacao-do-Eternidade-Stealer…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания WhatsWorm, проводимая бразильскими злоумышленниками, распространяет вредоносное ПО через WhatsApp, используя вредоносный скрипт Visual Basic в ZIP-файле, отправленном с помощью фишинга. Атака включает в себя несколько этапов, причем первоначальный сценарий приводит к выполнению jFqyDSPp.exe , который служит в качестве стиллера банковской информации и облегчает дальнейшую полезную нагрузку, такую как Eternity Stealer, с помощью отражающего DLL Injection и других методов уклонения, таких как Внедрение в пустой процесс. Кампания подчеркивает изощренное использование автоматизации и многоэтапной тактики, позволяющей вредоносному ПО распространять и извлекать данные без прямого вмешательства.
-----
Кампания WhatsWorm представляет собой серьезную угрозу, исходящую от бразильских злоумышленников, которые использовали популярное приложение для обмена мгновенными сообщениями WhatsApp для распространения вредоносного ПО. Кампания запускается с помощью вредоносного скрипта на Visual Basic (.vbs), встроенного в ZIP-файл и распространяемого жертвам с помощью фишинг-сообщений. Этот скрипт является отправной точкой цепочки заражения, обеспечивая выполнение дальнейших этапов вредоносного ПО.
Третий этап кампании включает в себя выполнение скомпилированного интерпретатора AutolT, идентифицированного как jFqyDSPp.exe , который предназначен для выполнения ряда функций. Он выполняет сценарий из прилагаемого файла журнала, который работает как Стиллер банковской информации и управляет загрузкой последующего четвертого этапа, известного как Eternity Stealer. Сценарий AutolT использует отражающий DLL Injection для выполнения полезной нагрузки в памяти, тем самым избегая систем обнаружения, обычно используемых в защите конечных точек.
Для достижения своих целей вредоносное ПО включает механизм дешифрования и распаковки с использованием алгоритма LZNT1, позволяющий ему систематически выявлять и использовать свою полезную нагрузку, избегая мер безопасности. Четвертый этап кампании WhatsWorm характеризуется двоичным файлом с именем M9FvfE.tda, который функционирует как загрузчик для пятого и заключительного этапа, связанного с вредоносным поведением, наблюдаемым в других семействах вредоносных ПО, таких как Astaroth, благодаря использованию методов Внедрения в пустые процессы.
Кульминацией кампании стало развертывание полезной нагрузки Eternity Stealer, встроенной в артефакт E5llXB.dmp. Эта полезная нагрузка имеет заметное сходство с существующими шаблонами вредоносного ПО, особенно в использовании Delphi в качестве языка программирования, что указывает на более широкую тенденцию повторного использования кода и общих тактик, методов и процедур (TTP) среди бразильских операторов вредоносного ПО как услуги (MaaS).
WhatsWorm демонстрирует возможности червя, способствуя его распространению без прямого вмешательства противника. Он использует скрипт на Python, дополненный методами веб-автоматизации, точно ориентированный на пользователей WhatsApp Web для максимального распространения. Вредоносное ПО способно к Автоматизированной эксфильтрации данных, что усиливает риски, связанные с его развертыванием.
Анализ иллюстрирует эволюционирующую сложность хакерских кАмпаний, организованных бразильскими акторами, демонстрируя стратегический акцент на многоэтапных цепочках заражения, чтобы снизить эффективность усилий по реагированию на инциденты и запутать сроки расследования. Такая адаптивность создает серьезные проблемы для защитников кибербезопасности, подчеркивая необходимость надежных механизмов обнаружения и реагирования.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания WhatsWorm, проводимая бразильскими злоумышленниками, распространяет вредоносное ПО через WhatsApp, используя вредоносный скрипт Visual Basic в ZIP-файле, отправленном с помощью фишинга. Атака включает в себя несколько этапов, причем первоначальный сценарий приводит к выполнению jFqyDSPp.exe , который служит в качестве стиллера банковской информации и облегчает дальнейшую полезную нагрузку, такую как Eternity Stealer, с помощью отражающего DLL Injection и других методов уклонения, таких как Внедрение в пустой процесс. Кампания подчеркивает изощренное использование автоматизации и многоэтапной тактики, позволяющей вредоносному ПО распространять и извлекать данные без прямого вмешательства.
-----
Кампания WhatsWorm представляет собой серьезную угрозу, исходящую от бразильских злоумышленников, которые использовали популярное приложение для обмена мгновенными сообщениями WhatsApp для распространения вредоносного ПО. Кампания запускается с помощью вредоносного скрипта на Visual Basic (.vbs), встроенного в ZIP-файл и распространяемого жертвам с помощью фишинг-сообщений. Этот скрипт является отправной точкой цепочки заражения, обеспечивая выполнение дальнейших этапов вредоносного ПО.
Третий этап кампании включает в себя выполнение скомпилированного интерпретатора AutolT, идентифицированного как jFqyDSPp.exe , который предназначен для выполнения ряда функций. Он выполняет сценарий из прилагаемого файла журнала, который работает как Стиллер банковской информации и управляет загрузкой последующего четвертого этапа, известного как Eternity Stealer. Сценарий AutolT использует отражающий DLL Injection для выполнения полезной нагрузки в памяти, тем самым избегая систем обнаружения, обычно используемых в защите конечных точек.
Для достижения своих целей вредоносное ПО включает механизм дешифрования и распаковки с использованием алгоритма LZNT1, позволяющий ему систематически выявлять и использовать свою полезную нагрузку, избегая мер безопасности. Четвертый этап кампании WhatsWorm характеризуется двоичным файлом с именем M9FvfE.tda, который функционирует как загрузчик для пятого и заключительного этапа, связанного с вредоносным поведением, наблюдаемым в других семействах вредоносных ПО, таких как Astaroth, благодаря использованию методов Внедрения в пустые процессы.
Кульминацией кампании стало развертывание полезной нагрузки Eternity Stealer, встроенной в артефакт E5llXB.dmp. Эта полезная нагрузка имеет заметное сходство с существующими шаблонами вредоносного ПО, особенно в использовании Delphi в качестве языка программирования, что указывает на более широкую тенденцию повторного использования кода и общих тактик, методов и процедур (TTP) среди бразильских операторов вредоносного ПО как услуги (MaaS).
WhatsWorm демонстрирует возможности червя, способствуя его распространению без прямого вмешательства противника. Он использует скрипт на Python, дополненный методами веб-автоматизации, точно ориентированный на пользователей WhatsApp Web для максимального распространения. Вредоносное ПО способно к Автоматизированной эксфильтрации данных, что усиливает риски, связанные с его развертыванием.
Анализ иллюстрирует эволюционирующую сложность хакерских кАмпаний, организованных бразильскими акторами, демонстрируя стратегический акцент на многоэтапных цепочках заражения, чтобы снизить эффективность усилий по реагированию на инциденты и запутать сроки расследования. Такая адаптивность создает серьезные проблемы для защитников кибербезопасности, подчеркивая необходимость надежных механизмов обнаружения и реагирования.
#ParsedReport #CompletenessHigh
28-11-2025
Arcane Werewolf is back with an updated Loki implant
https://bi.zone/expertise/blog/arcane-werewolf-vernulsya-s-obnovlennym-implantom-loki/
Report completeness: High
Actors/Campaigns:
Mythic_likho (motivation: cyber_criminal)
Threats:
Loki_stealer
Loki_loader
Spear-phishing_technique
Process_injection_technique
Mythic_c2
Havoc
Victims:
Industrial companies, Russian industrial companies
Industry:
Government
Geo:
Russian
TTPs:
Tactics: 7
Technics: 0
IOCs:
Url: 9
File: 13
Path: 7
Command: 4
Hash: 11
Domain: 9
Algorithms:
aes, base64, zip
Functions:
SetCurrentDirectoryW, GetCurrentDirectoryW
Win API:
CreateProcessW, NtOpenProcess, NtTerminateProcess, NtCreateFile, ZwWriteFile
Languages:
powershell
28-11-2025
Arcane Werewolf is back with an updated Loki implant
https://bi.zone/expertise/blog/arcane-werewolf-vernulsya-s-obnovlennym-implantom-loki/
Report completeness: High
Actors/Campaigns:
Mythic_likho (motivation: cyber_criminal)
Threats:
Loki_stealer
Loki_loader
Spear-phishing_technique
Process_injection_technique
Mythic_c2
Havoc
Victims:
Industrial companies, Russian industrial companies
Industry:
Government
Geo:
Russian
TTPs:
Tactics: 7
Technics: 0
IOCs:
Url: 9
File: 13
Path: 7
Command: 4
Hash: 11
Domain: 9
Algorithms:
aes, base64, zip
Functions:
SetCurrentDirectoryW, GetCurrentDirectoryW
Win API:
CreateProcessW, NtOpenProcess, NtTerminateProcess, NtCreateFile, ZwWriteFile
Languages:
powershell
BI.ZONE
Arcane Werewolf вернулся с обновленным имплантом Loki
Кластер атакует российские промышленные компании
CTT Report Hub
#ParsedReport #CompletenessHigh 28-11-2025 Arcane Werewolf is back with an updated Loki implant https://bi.zone/expertise/blog/arcane-werewolf-vernulsya-s-obnovlennym-implantom-loki/ Report completeness: High Actors/Campaigns: Mythic_likho (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В конце 2025 года хакерская группа Arcane Werewolf, также известная как Mythic Likho, атаковала российские промышленные фирмы, используя сложные электронные письма с фишингом для доставки архива VPO, связанного с поддельным веб-сайтом законной компании. Обновленный вариант вредоносного ПО Loki, используемый в этих атаках, облегчает эксфильтрацию данных и удаленный доступ, улучшая перемещение внутри компании внутри сетей. Развивающаяся тактика группы подчеркивает целенаправленную угрозу критически важной инфраструктуре, что требует бдительности в отношении социальной инженерии и улучшения мониторинга связанных с ней показателей компрометации.
-----
В конце 2025 года эксперты по кибербезопасности из BI.ZONE Threat Intelligence выявила продолжающуюся вредоносную деятельность, связанную с хакерской группой, известной как Arcane Werewolf, также известной как Mythic Likho. Эта группа нацелена на российские промышленные компании, подчеркивая смещение акцента в сторону конкретных секторов, имеющих решающее значение для национальной инфраструктуры. Вектором атаки, используемым в этих кампаниях, по-видимому, являются электронные письма с фишингом, отражающие предыдущие инциденты, приписываемые этому злоумышленнику. Хотя сами электронные письма с фишингом были недоступны, есть подозрение, что они содержали ссылку, по которой получатели могли загрузить архив VPO с сайта, выдающего себя за законную российскую промышленную компанию. Этот метод направлен на то, чтобы обманом заставить цели выдать конфиденциальную информацию или выполнить вредоносную полезную нагрузку, используя их доверие к узнаваемым компаниям.
Обновленным вариантом вредоносного ПО, связанным с этой кампанией, является имплантат Loki, который претерпел изменения по сравнению с его предыдущими версиями. Loki известен такими функциями, как эксфильтрация данных, обеспечение удаленного доступа и потенциальное облегчение перемещения внутри компании в скомпрометированных сетях. Использование изощренной тактики социальной инженерии, воплощенной в тщательно продуманных попытках фишинга, направлено на повышение вероятности успешных вторжений. Поскольку группа остается активной и корректирует свои методы, потенциально улучшая возможности имплантата, организациям необходимо усилить свои меры безопасности и обучить сотрудников распознавать попытки фишинга, особенно когда они нацелены на организации с критически важной инфраструктурой.
Мониторинг показателей компрометации (IOCs), связанных с имплантатом Loki, и усиление защиты от тактики социальной инженерии будут иметь решающее значение для снижения рисков, создаваемых этим постоянным злоумышленником.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В конце 2025 года хакерская группа Arcane Werewolf, также известная как Mythic Likho, атаковала российские промышленные фирмы, используя сложные электронные письма с фишингом для доставки архива VPO, связанного с поддельным веб-сайтом законной компании. Обновленный вариант вредоносного ПО Loki, используемый в этих атаках, облегчает эксфильтрацию данных и удаленный доступ, улучшая перемещение внутри компании внутри сетей. Развивающаяся тактика группы подчеркивает целенаправленную угрозу критически важной инфраструктуре, что требует бдительности в отношении социальной инженерии и улучшения мониторинга связанных с ней показателей компрометации.
-----
В конце 2025 года эксперты по кибербезопасности из BI.ZONE Threat Intelligence выявила продолжающуюся вредоносную деятельность, связанную с хакерской группой, известной как Arcane Werewolf, также известной как Mythic Likho. Эта группа нацелена на российские промышленные компании, подчеркивая смещение акцента в сторону конкретных секторов, имеющих решающее значение для национальной инфраструктуры. Вектором атаки, используемым в этих кампаниях, по-видимому, являются электронные письма с фишингом, отражающие предыдущие инциденты, приписываемые этому злоумышленнику. Хотя сами электронные письма с фишингом были недоступны, есть подозрение, что они содержали ссылку, по которой получатели могли загрузить архив VPO с сайта, выдающего себя за законную российскую промышленную компанию. Этот метод направлен на то, чтобы обманом заставить цели выдать конфиденциальную информацию или выполнить вредоносную полезную нагрузку, используя их доверие к узнаваемым компаниям.
Обновленным вариантом вредоносного ПО, связанным с этой кампанией, является имплантат Loki, который претерпел изменения по сравнению с его предыдущими версиями. Loki известен такими функциями, как эксфильтрация данных, обеспечение удаленного доступа и потенциальное облегчение перемещения внутри компании в скомпрометированных сетях. Использование изощренной тактики социальной инженерии, воплощенной в тщательно продуманных попытках фишинга, направлено на повышение вероятности успешных вторжений. Поскольку группа остается активной и корректирует свои методы, потенциально улучшая возможности имплантата, организациям необходимо усилить свои меры безопасности и обучить сотрудников распознавать попытки фишинга, особенно когда они нацелены на организации с критически важной инфраструктурой.
Мониторинг показателей компрометации (IOCs), связанных с имплантатом Loki, и усиление защиты от тактики социальной инженерии будут иметь решающее значение для снижения рисков, создаваемых этим постоянным злоумышленником.
#ParsedReport #CompletenessLow
29-11-2025
Weekly Threat Infrastructure Investigation(Week47)
https://disconinja.hatenablog.com/entry/2025/11/29/212128
Report completeness: Low
Threats:
Brc4_tool
Cobalt_strike_tool
Supershell
Victims:
Japan
Geo:
Japan
IOCs:
IP: 8
29-11-2025
Weekly Threat Infrastructure Investigation(Week47)
https://disconinja.hatenablog.com/entry/2025/11/29/212128
Report completeness: Low
Threats:
Brc4_tool
Cobalt_strike_tool
Supershell
Victims:
Japan
Geo:
Japan
IOCs:
IP: 8
Weekend Researcher Tsurezure Diary
Weekly Threat Infrastructure Investigation(Week47) - Weekend Researcher Tsurezure Diary
Hunting for enemy infrastructure in Japan 概要 / Overview Censysの検索機能を用いて、C2とラベル付けされた日本国内のインフラストラクチャを調査しました。調査期間は2025年11月17日から11月23日までです。合計8件のC2サーバーが検出され、Brute Ra…
CTT Report Hub
#ParsedReport #CompletenessLow 29-11-2025 Weekly Threat Infrastructure Investigation(Week47) https://disconinja.hatenablog.com/entry/2025/11/29/212128 Report completeness: Low Threats: Brc4_tool Cobalt_strike_tool Supershell Victims: Japan Geo: Japan…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Расследование инфраструктуры командования и контроля (C2) в Японии выявило восемь серверов C2, связанных с скоординированными усилиями хакерских группировок, использующих такие инструменты, как Brute Ratel C4. Эта усовершенствованная платформа облегчает уклонение от обнаружения, позволяя хакерам сохранять контроль над зараженными системами и выполнять такие задачи, как эксфильтрация данных и перемещение внутри компании. Полученные данные свидетельствуют о растущей организованной киберугрозе в Японии, что требует постоянного мониторинга из-за этой сложной тактики.
-----
В течение недели с 17 по 23 ноября расследование инфраструктуры командования и контроля (C2) в Японии выявило наличие восьми идентифицированных серверов C2. Этот анализ был проведен с использованием функции поиска Censys для отслеживания и документирования вредоносной активности. Примечательно, что расследование подтвердило оперативное использование различных инструментов C2, включая Brute Ratel C4, который представляет собой сложную структуру, обычно используемую злоумышленниками для уклонения от обнаружения и организации атак.
Обнаружение нескольких серверов C2 в течение одного и того же периода времени свидетельствует о скоординированных усилиях хакерских группировок по созданию устойчивой сети для управления скомпрометированными системами. Наличие Brute Ratel C4, известного своей универсальностью в обходе механизмов безопасности, подчеркивает передовую тактику, применяемую этими акторами. Такие фреймворки позволяют злоумышленникам сохранять контроль над зараженными машинами и удаленно выполнять команды, облегчая целый ряд вредоносных действий - от эксфильтрации данных до перемещения внутри компании в целевых сетях.
Общие выводы указывают на то, что в Японии формируется потенциально организованная среда киберугроз, при этом для поддержки текущих операций используются различные инфраструктуры C2. Последствия этой деятельности подчеркивают необходимость повышенной бдительности и усовершенствованных мер безопасности для борьбы с такими изощренными атаками. Поскольку ландшафт продолжает развиваться, исследование подчеркивает важность постоянного мониторинга и анализа для предотвращения потенциальных угроз, связанных с этими передовыми системами C2.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Расследование инфраструктуры командования и контроля (C2) в Японии выявило восемь серверов C2, связанных с скоординированными усилиями хакерских группировок, использующих такие инструменты, как Brute Ratel C4. Эта усовершенствованная платформа облегчает уклонение от обнаружения, позволяя хакерам сохранять контроль над зараженными системами и выполнять такие задачи, как эксфильтрация данных и перемещение внутри компании. Полученные данные свидетельствуют о растущей организованной киберугрозе в Японии, что требует постоянного мониторинга из-за этой сложной тактики.
-----
В течение недели с 17 по 23 ноября расследование инфраструктуры командования и контроля (C2) в Японии выявило наличие восьми идентифицированных серверов C2. Этот анализ был проведен с использованием функции поиска Censys для отслеживания и документирования вредоносной активности. Примечательно, что расследование подтвердило оперативное использование различных инструментов C2, включая Brute Ratel C4, который представляет собой сложную структуру, обычно используемую злоумышленниками для уклонения от обнаружения и организации атак.
Обнаружение нескольких серверов C2 в течение одного и того же периода времени свидетельствует о скоординированных усилиях хакерских группировок по созданию устойчивой сети для управления скомпрометированными системами. Наличие Brute Ratel C4, известного своей универсальностью в обходе механизмов безопасности, подчеркивает передовую тактику, применяемую этими акторами. Такие фреймворки позволяют злоумышленникам сохранять контроль над зараженными машинами и удаленно выполнять команды, облегчая целый ряд вредоносных действий - от эксфильтрации данных до перемещения внутри компании в целевых сетях.
Общие выводы указывают на то, что в Японии формируется потенциально организованная среда киберугроз, при этом для поддержки текущих операций используются различные инфраструктуры C2. Последствия этой деятельности подчеркивают необходимость повышенной бдительности и усовершенствованных мер безопасности для борьбы с такими изощренными атаками. Поскольку ландшафт продолжает развиваться, исследование подчеркивает важность постоянного мониторинга и анализа для предотвращения потенциальных угроз, связанных с этими передовыми системами C2.
#ParsedReport #CompletenessHigh
25-11-2025
Inside Valkyrie Stealer: Capabilities, Evasion Techniques, and Operator Profile
https://www.dexpose.io/inside-valkyrie-stealer-capabilities-evasion-techniques-and-operator-profile/
Report completeness: High
Actors/Campaigns:
Emissary_panda (motivation: cyber_espionage)
Akira_ransomware
Lawxsz
Threats:
Valkyrie_stealer
Valkyrie
Themida_tool
Akira_ransomware
Lumma_stealer
Credential_harvesting_technique
Prysmax
Polymorphism_technique
Scylla
Procmon_tool
Process_hacker_tool
Victims:
Consumers, Windows users
Geo:
Egyptian, Usa, Chinese
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1005, T1016, T1027, T1027.002, T1041, T1057, T1059.001, T1082, T1113, T1119, have more...
IOCs:
File: 16
Url: 7
Registry: 2
Hash: 2
Path: 8
Command: 1
Domain: 2
Soft:
Telegram, Discord, Chrome, Steam, qemu, Discord Canary, Discord PTB, Valorant, Fortnite
Wallets:
metamask, atomicwallet, electrum, exodus_wallet
Algorithms:
chacha20, aes-gcm, zip, aes, xor
Functions:
Sleep, build_key_and_nonce, GDI
Win API:
TerminateProcess, CreateToolhelp32Snapshot, Process32First, Process32Next, RegOpenKeyExA, GetSystemMetrics, SystemParametersInfoA, GetFileAttributesExA, GetSystemInfo, GlobalMemoryStatusEx, have more...
Languages:
python, java, powershell
Platforms:
x86
Links:
25-11-2025
Inside Valkyrie Stealer: Capabilities, Evasion Techniques, and Operator Profile
https://www.dexpose.io/inside-valkyrie-stealer-capabilities-evasion-techniques-and-operator-profile/
Report completeness: High
Actors/Campaigns:
Emissary_panda (motivation: cyber_espionage)
Akira_ransomware
Lawxsz
Threats:
Valkyrie_stealer
Valkyrie
Themida_tool
Akira_ransomware
Lumma_stealer
Credential_harvesting_technique
Prysmax
Polymorphism_technique
Scylla
Procmon_tool
Process_hacker_tool
Victims:
Consumers, Windows users
Geo:
Egyptian, Usa, Chinese
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1016, T1027, T1027.002, T1041, T1057, T1059.001, T1082, T1113, T1119, have more...
IOCs:
File: 16
Url: 7
Registry: 2
Hash: 2
Path: 8
Command: 1
Domain: 2
Soft:
Telegram, Discord, Chrome, Steam, qemu, Discord Canary, Discord PTB, Valorant, Fortnite
Wallets:
metamask, atomicwallet, electrum, exodus_wallet
Algorithms:
chacha20, aes-gcm, zip, aes, xor
Functions:
Sleep, build_key_and_nonce, GDI
Win API:
TerminateProcess, CreateToolhelp32Snapshot, Process32First, Process32Next, RegOpenKeyExA, GetSystemMetrics, SystemParametersInfoA, GetFileAttributesExA, GetSystemInfo, GlobalMemoryStatusEx, have more...
Languages:
python, java, powershell
Platforms:
x86
Links:
https://github.com/ergrelet/unlicenseDeXpose
Inside Valkyrie Stealer: Capabilities, Evasion Techniques, and Operator Profile - DeXpose
Valkyrie Stealer is a C++ infostealer designed to collect credentials, system information, browser data, messaging-app sessions, and other user assets from
CTT Report Hub
#ParsedReport #CompletenessHigh 25-11-2025 Inside Valkyrie Stealer: Capabilities, Evasion Techniques, and Operator Profile https://www.dexpose.io/inside-valkyrie-stealer-capabilities-evasion-techniques-and-operator-profile/ Report completeness: High A…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Valkyrie Stealer - это сложный стиллер на C++, предназначенный для извлечения конфиденциальной информации из систем Windows, использующий модульную архитектуру для различных функций, включая кражу учетных данных, и специально предназначенный для браузеров и приложений обмена сообщениями для извлечения данных. Вредоносное ПО использует передовые методы обхода, такие как шифрование, меры защиты от обнаружения с помощью Themida и проверки на наличие сред виртуальных машин, что затрудняет его анализ. Разработчик Valkyrie, "Lawxsz", активен на нескольких платформах и также создал еще одно вредоносное ПО под названием Prysmax Стиллер, с акцентом на кражу криптовалюты путем определения каталогов кошельков для эксфильтрации через резервные серверы управления.
-----
Valkyrie Stealer - это сложный стиллер информации на C++, используемый главным образом для извлечения конфиденциальной информации из систем Windows. Его модульная архитектура поддерживает широкий спектр функциональных возможностей, включая сбор учетных данных, системных сведений, данных браузера, сеансов приложений для обмена сообщениями, игровых аккаунтов и информации о криптовалютном кошельке. Valkyrie работает с использованием многоэтапной системы защиты от кражи данных, используя зашифрованную эксфильтрацию для передачи украденных данных и применяя передовые методы уклонения, чтобы избежать обнаружения и анализа.
Разработчик вредоносного ПО, идентифицированный как "Lawxsz", поддерживает заметное присутствие в Интернете на таких платформах, как Telegram, Discord и GitHub, для целей распространения и поддержки. Valkyrie продается как адаптируемый инструмент, а разработчик также связан с другим продуктом, создающим вредоносное ПО, под названием Prysmax Stealer.
Valkyrie Stealer включает в себя множество механизмов защиты от обнаружения. Он защищен программным обеспечением Themida protector, которое добавляет уровни шифрования и запутывания к исполняемому файлу. Чтобы избежать анализа, вредоносное ПО реализует сторожевой таймер, который прекращает выполнение, если оно превышает три минуты, - тактика, направленная на срыв усилий по отладке. Кроме того, он проводит обширные проверки для сред виртуальных машин, такие как проверка запущенных процессов и записей реестра, гарантируя, что он работает только на подлинных системах.
Вредоносное ПО содержит функции для создания скриншотов, сбора системной информации и мониторинга сетевых настроек. Valkyrie может перечислять запущенные процессы, обнаруживать антивирусное программное обеспечение и извлекать общедоступный IP-адрес жертвы с помощью запроса HTTPS GET на внешний сервер. Более того, он специально нацелен на браузеры, такие как Chrome и Edge, для кражи сохраненных учетных данных и данных сеанса, наряду с целевым извлечением с платформ обмена сообщениями, таких как Discord и Telegram.
Valkyrie фокусируется на краже криптовалют, сканируя браузеры и настольные приложения в поисках каталогов кошельков, которые затем копирует в определенные папки. Эксфильтрация украденных данных осуществляется через два сервера управления (C2), что обеспечивает избыточность на случай, если один сервер станет недоступен.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Valkyrie Stealer - это сложный стиллер на C++, предназначенный для извлечения конфиденциальной информации из систем Windows, использующий модульную архитектуру для различных функций, включая кражу учетных данных, и специально предназначенный для браузеров и приложений обмена сообщениями для извлечения данных. Вредоносное ПО использует передовые методы обхода, такие как шифрование, меры защиты от обнаружения с помощью Themida и проверки на наличие сред виртуальных машин, что затрудняет его анализ. Разработчик Valkyrie, "Lawxsz", активен на нескольких платформах и также создал еще одно вредоносное ПО под названием Prysmax Стиллер, с акцентом на кражу криптовалюты путем определения каталогов кошельков для эксфильтрации через резервные серверы управления.
-----
Valkyrie Stealer - это сложный стиллер информации на C++, используемый главным образом для извлечения конфиденциальной информации из систем Windows. Его модульная архитектура поддерживает широкий спектр функциональных возможностей, включая сбор учетных данных, системных сведений, данных браузера, сеансов приложений для обмена сообщениями, игровых аккаунтов и информации о криптовалютном кошельке. Valkyrie работает с использованием многоэтапной системы защиты от кражи данных, используя зашифрованную эксфильтрацию для передачи украденных данных и применяя передовые методы уклонения, чтобы избежать обнаружения и анализа.
Разработчик вредоносного ПО, идентифицированный как "Lawxsz", поддерживает заметное присутствие в Интернете на таких платформах, как Telegram, Discord и GitHub, для целей распространения и поддержки. Valkyrie продается как адаптируемый инструмент, а разработчик также связан с другим продуктом, создающим вредоносное ПО, под названием Prysmax Stealer.
Valkyrie Stealer включает в себя множество механизмов защиты от обнаружения. Он защищен программным обеспечением Themida protector, которое добавляет уровни шифрования и запутывания к исполняемому файлу. Чтобы избежать анализа, вредоносное ПО реализует сторожевой таймер, который прекращает выполнение, если оно превышает три минуты, - тактика, направленная на срыв усилий по отладке. Кроме того, он проводит обширные проверки для сред виртуальных машин, такие как проверка запущенных процессов и записей реестра, гарантируя, что он работает только на подлинных системах.
Вредоносное ПО содержит функции для создания скриншотов, сбора системной информации и мониторинга сетевых настроек. Valkyrie может перечислять запущенные процессы, обнаруживать антивирусное программное обеспечение и извлекать общедоступный IP-адрес жертвы с помощью запроса HTTPS GET на внешний сервер. Более того, он специально нацелен на браузеры, такие как Chrome и Edge, для кражи сохраненных учетных данных и данных сеанса, наряду с целевым извлечением с платформ обмена сообщениями, таких как Discord и Telegram.
Valkyrie фокусируется на краже криптовалют, сканируя браузеры и настольные приложения в поисках каталогов кошельков, которые затем копирует в определенные папки. Эксфильтрация украденных данных осуществляется через два сервера управления (C2), что обеспечивает избыточность на случай, если один сервер станет недоступен.
#ParsedReport #CompletenessHigh
29-11-2025
APT36 Python Based ELF Malware Targeting Indian Government Entities
https://www.cyfirma.com/research/apt36-python-based-elf-malware-targeting-indian-government-entities/
Report completeness: High
Actors/Campaigns:
Transparenttribe (motivation: information_theft, cyber_espionage)
Threats:
Spear-phishing_technique
Credential_harvesting_technique
Victims:
Indian government, Strategic sectors, Critical technology ecosystems
Industry:
Education, Critical_infrastructure, Government
Geo:
California, Los angeles, Indian, Pakistan, Germany
TTPs:
Tactics: 9
Technics: 20
IOCs:
File: 3
Url: 3
IP: 3
Domain: 1
Hash: 8
Soft:
Linux, libreoffice, systemd, PyInstaller, Debian Linux, curl
Algorithms:
sha256, base64, zip, md5, exhibit, deflate
Languages:
python
Platforms:
cross-platform, amd64
YARA: Found
29-11-2025
APT36 Python Based ELF Malware Targeting Indian Government Entities
https://www.cyfirma.com/research/apt36-python-based-elf-malware-targeting-indian-government-entities/
Report completeness: High
Actors/Campaigns:
Transparenttribe (motivation: information_theft, cyber_espionage)
Threats:
Spear-phishing_technique
Credential_harvesting_technique
Victims:
Indian government, Strategic sectors, Critical technology ecosystems
Industry:
Education, Critical_infrastructure, Government
Geo:
California, Los angeles, Indian, Pakistan, Germany
TTPs:
Tactics: 9
Technics: 20
IOCs:
File: 3
Url: 3
IP: 3
Domain: 1
Hash: 8
Soft:
Linux, libreoffice, systemd, PyInstaller, Debian Linux, curl
Algorithms:
sha256, base64, zip, md5, exhibit, deflate
Languages:
python
Platforms:
cross-platform, amd64
YARA: Found
CYFIRMA
APT36 Python Based ELF Malware Targeting Indian Government Entities - CYFIRMA
EXECUTIVE SUMMARY CYFIRMA has uncovered an active cyber-espionage campaign conducted by APT36 (Transparent Tribe), a Pakistan-based threat actor known for...