#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Было обнаружено, что вредоносное расширение кода Visual Studio под названием "Material Icon Theme" содержит два импланта Rust в версии 5.29.1. Эти имплантаты позволяют злоумышленникам установить канал управления для удаленных операций, включая эксфильтрацию данных и доставку дополнительной полезной нагрузки, при этом демонстрируя механизмы закрепления, позволяющие пережить перезагрузки. Их кроссплатформенные возможности как в Windows, так и в macOS значительно расширяют спектр угроз, подчеркивая риски, связанные с вредоносным ПО, встроенным в популярные средства разработки.
-----

Обнаружение вредоносного расширения Visual Studio Code (VS Code), Маскировки под "Material Icon Theme", выявило развертывание двух имплантов Rust в версии 5.29.1 расширения. Анализ, проведенный в двоичных файлах Windows и macOS, раскрывает важные детали, касающиеся поведения и функциональных возможностей этих имплантатов.

Имплантаты Rust предназначены для облегчения целого ряда вредоносных действий. После установки они устанавливают канал связи с серверами управления (C2), позволяя удаленным злоумышленникам управлять скомпрометированными системами. Это соединение может быть использовано для различных вредоносных целей, таких как эксфильтрация данных или дальнейшая доставка полезной нагрузки. Имплантаты обладают возможностями, типичными для многих бэкдоров, включая механизмы закрепления, гарантирующие, что они остаются в системе даже после перезагрузки.

Одним из важных аспектов этих имплантатов является их кроссплатформенный дизайн, поскольку они работают как в средах Windows, так и в macOS. Такая широкая совместимость усиливает потенциальную угрозу, поскольку позволяет злоумышленникам нацеливаться на более широкую базу пользователей и использовать уязвимости, присущие обеим операционным системам. Выбор Rust для разработки этих имплантатов примечателен благодаря его высокой производительности и функциям защиты памяти, что делает его подходящим вариантом для создания стойкого и эффективного вредоносного ПО.

Кроме того, анализ подчеркивает необходимость проявления бдительности разработчиками и пользователями платформы VS Code для предотвращения будущих инцидентов, связанных с подобными вредоносными расширениями. Существующие меры безопасности, возможно, нуждаются в пересмотре, чтобы противодействовать эволюционирующей тактике, применяемой киберугрозами, особенно теми, которые используют хорошо известные средства разработки для распространения вредоносного ПО. Этот инцидент подчеркивает сохраняющийся риск, создаваемый вредоносным программным обеспечением, внедренным в надежные среды разработки, что требует улучшения контроля и стратегий предотвращения.

#ParsedReport #CompletenessHigh
27-11-2025

Trouble in the air: A spree of campaigns targeting the aerospace industry in Russia

https://www.intrinsec.com/wp-content/uploads/2025/11/INTRINSEC-2025-Threat-Report-Trouble_in_the_air.pdf

Report completeness: High

Actors/Campaigns:
Watch_wolf
Head_mare (motivation: hacktivism)
Cavalry_werewolf (motivation: hacktivism)
Bo_team
Fancy_bear
Silent_crow (motivation: hacktivism)
Cyber_partisans (motivation: hacktivism)

Threats:
Formbook
Cloudeye
Remcos_rat
Phantomremote
Spear-phishing_technique
Typosquatting_technique
Darkwatchman
Lolbin_technique
Process_injection_technique

Victims:
Aerospace industry, Electronic warfare, Military supply, Energy, Airlines, Airports, Space industry, Training software providers

Industry:
Aerospace, Energy, Military, E-commerce, Petroleum, Government, Logistic, Transport

Geo:
London, Kazakhstan, Russian, Russian federation, Nigeria, Qatar, Nigerian, Moscow, American, Abu dhabi, Belarus, Crimea, Russia, Berlin, Ukrainian, Switzerland, Canada, Germany, America, Ukraine, German, Japan, Pol

TTPs:
Tactics: 4
Technics: 25

IOCs:
Domain: 10
File: 13
IP: 27
Command: 2
Url: 2
Path: 1
Hash: 8

Soft:
Telegram, Outlook, Office365, Starlink, Component Object Model

Algorithms:
zip, sha256

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние киберкампании, направленные против российской аэрокосмической промышленности, в первую очередь со стороны проукраинских групп хактивистов, активизировались с июня по сентябрь 2025 года, применяя spearphishing против организаций аэрокосмического и военного секторов. Группа "Hdr0", в частности, внедрила программу-вымогатель в Пермский авиационный технический колледж, в то время как другие атаки использовали фишинг электронной почты и вредоносное ПО, такое как Formbook, для кражи учетных данных. Передовые методы включали использование PowerShell для создания бэкдоров и развертывания эксплойтов, таких как PhantomRemote, что указывает на сложную и устойчивую среду угроз.
-----

Недавние киберкампании, нацеленные на российскую аэрокосмическую промышленность, активизировались в период с июня по сентябрь 2025 года, в основном за счет проукраинских групп хактивистов. В этих кампаниях используются методы spearphishing против целого ряда организаций, особенно ориентированных на тех, кто задействован в аэрокосмическом и военном секторах, которые стали мишенью за поддержку российских военных в условиях сохраняющейся геополитической напряженности.

Примечательное событие произошло 1 сентября 2025 года, когда хактивистская группа "Hdr0" успешно внедрила программу-вымогатель в сеть Пермского авиационного технического колледжа, подчеркнув эффективность этих киберопераций. Различные другие организации, включая известные авиакомпании и поставщиков военных технологий, также подверглись серии атак фишинга и вредоносного ПО. Например, S7 Airlines и "Динамика-Авиа" стали мишенями с помощью тактики социальной инженерии, включая поддельные рекламные предложения и срочные запросы, направленные на то, чтобы вынудить сотрудников раскрыть конфиденциальную информацию.

Методы, используемые в этих кампаниях, часто включают вредоносные вложения электронной почты. Важная тактика включает в себя использование размещенных на сервере сайтов фишинга, предназначенных для имитации законных страниц входа в систему, использование таких платформ, как Vercel и Cloudflare, для сокрытия истинной природы атаки. Одним из распространенных вредоносных ПО, наблюдаемых в этих кампаниях, является Formbook, credential-stealing вредоносное ПО, которое использовалось в кампании, нацеленной на Bureau 1440, фирму, специализирующуюся на спутниковых технологиях. Вредоносная полезная нагрузка передавалась с несколькими доменами управления (C2), что усложняло усилия по обнаружению.

Более того, продвинутые методы уклонения наблюдались в кампаниях, связанных с набором вторжений "Hive0117". В этих случаях злоумышленники использовали скрипты PowerShell для развертывания бэкдоров, таких как DarkWatchman, который облегчает удаленный доступ, выполняя команды и разрешая эксфильтрацию данных. Другая группировка, связанная с группами "Head Mare" или "Rainbow Hyena", аналогичным образом атаковала Воронежское авиационное производственное объединение (ВАСО) с помощью spearphishing со взломанных серверов, распространяя Вредоносные файлы, содержащие эксплойты быстрого доступа, предназначенные для развертывания PhantomRemote — другого варианта вредоносного ПО.

Кража учетных данных была постоянной темой, когда злоумышленники использовали поддельные электронные письма с уведомлениями для запроса логинов, что потенциально позволяло получить несанкционированный доступ к критически важным информационным системам. Использование несанкционированной инфраструктуры указывает на изощренный подход к продолжению операций, несмотря на контрмеры.

#ParsedReport #CompletenessHigh
27-11-2025

Analysis of the WhatsWorm campaign leading to the implementation of the Eternity Stealer

https://ish.com.br/wp-content/uploads/2025/11/Analise-da-Campanha-do-WhatsWorm-levando-a-implementacao-do-Eternidade-Stealer-1-1.pdf

Report completeness: High

Threats:
Eternity_stealer
Whatsworm
Babuk2
Akira_ransomware
Dll_injection_technique
Process_hollowing_technique
Eternidade
Astaroth
Dll_sideloading_technique
Spear-phishing_technique
Process_injection_technique

Victims:
Financial services, Whatsapp users

Industry:
Financial

Geo:
Brasil, Portuguese, United kingdom, Brazil, Mexico, Portugal, Ita, Spain, Brazilian, Spanish

CVEs:
CVE-2023-44487 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ietf http (2.0)


TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 102
Url: 3
Command: 4
Registry: 1
Path: 1
Hash: 4
Email: 1
Domain: 1

Soft:
WhatsApp, selenium, Chrome, Windows Defender, sushiswap, Ledger Live, Mozilla Firefox, Microsoft Edge

Wallets:
coinbase, bybit, cryptocom, electrum, exodus_wallet, atomicwallet, metamask, ledgerlive, trezor, mycrypto, have more...

Crypto:
binance, kucoin, uniswap, pancakeswap, bitcoin

Algorithms:
sha256, md5, sha1, zip, xor, lznt1

Functions:
Get-ItemProperty, Get-FileHash, bytearray, getContacts, sendBatch

Win API:
decompress, GlobalAlloc, GlobalFree, VirtualAlloc, OpenProcess, GetProcessTimes, CloseHandle, CreateThread

Languages:
delphi, autoit, visual_basic, python, php, powershell, javascript

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания WhatsWorm, проводимая бразильскими злоумышленниками, распространяет вредоносное ПО через WhatsApp, используя вредоносный скрипт Visual Basic в ZIP-файле, отправленном с помощью фишинга. Атака включает в себя несколько этапов, причем первоначальный сценарий приводит к выполнению jFqyDSPp.exe , который служит в качестве стиллера банковской информации и облегчает дальнейшую полезную нагрузку, такую как Eternity Stealer, с помощью отражающего DLL Injection и других методов уклонения, таких как Внедрение в пустой процесс. Кампания подчеркивает изощренное использование автоматизации и многоэтапной тактики, позволяющей вредоносному ПО распространять и извлекать данные без прямого вмешательства.
-----

Кампания WhatsWorm представляет собой серьезную угрозу, исходящую от бразильских злоумышленников, которые использовали популярное приложение для обмена мгновенными сообщениями WhatsApp для распространения вредоносного ПО. Кампания запускается с помощью вредоносного скрипта на Visual Basic (.vbs), встроенного в ZIP-файл и распространяемого жертвам с помощью фишинг-сообщений. Этот скрипт является отправной точкой цепочки заражения, обеспечивая выполнение дальнейших этапов вредоносного ПО.

Третий этап кампании включает в себя выполнение скомпилированного интерпретатора AutolT, идентифицированного как jFqyDSPp.exe , который предназначен для выполнения ряда функций. Он выполняет сценарий из прилагаемого файла журнала, который работает как Стиллер банковской информации и управляет загрузкой последующего четвертого этапа, известного как Eternity Stealer. Сценарий AutolT использует отражающий DLL Injection для выполнения полезной нагрузки в памяти, тем самым избегая систем обнаружения, обычно используемых в защите конечных точек.

Для достижения своих целей вредоносное ПО включает механизм дешифрования и распаковки с использованием алгоритма LZNT1, позволяющий ему систематически выявлять и использовать свою полезную нагрузку, избегая мер безопасности. Четвертый этап кампании WhatsWorm характеризуется двоичным файлом с именем M9FvfE.tda, который функционирует как загрузчик для пятого и заключительного этапа, связанного с вредоносным поведением, наблюдаемым в других семействах вредоносных ПО, таких как Astaroth, благодаря использованию методов Внедрения в пустые процессы.

Кульминацией кампании стало развертывание полезной нагрузки Eternity Stealer, встроенной в артефакт E5llXB.dmp. Эта полезная нагрузка имеет заметное сходство с существующими шаблонами вредоносного ПО, особенно в использовании Delphi в качестве языка программирования, что указывает на более широкую тенденцию повторного использования кода и общих тактик, методов и процедур (TTP) среди бразильских операторов вредоносного ПО как услуги (MaaS).

WhatsWorm демонстрирует возможности червя, способствуя его распространению без прямого вмешательства противника. Он использует скрипт на Python, дополненный методами веб-автоматизации, точно ориентированный на пользователей WhatsApp Web для максимального распространения. Вредоносное ПО способно к Автоматизированной эксфильтрации данных, что усиливает риски, связанные с его развертыванием.

Анализ иллюстрирует эволюционирующую сложность хакерских кАмпаний, организованных бразильскими акторами, демонстрируя стратегический акцент на многоэтапных цепочках заражения, чтобы снизить эффективность усилий по реагированию на инциденты и запутать сроки расследования. Такая адаптивность создает серьезные проблемы для защитников кибербезопасности, подчеркивая необходимость надежных механизмов обнаружения и реагирования.

#ParsedReport #CompletenessHigh
28-11-2025

Arcane Werewolf is back with an updated Loki implant

https://bi.zone/expertise/blog/arcane-werewolf-vernulsya-s-obnovlennym-implantom-loki/

Report completeness: High

Actors/Campaigns:
Mythic_likho (motivation: cyber_criminal)

Threats:
Loki_stealer
Loki_loader
Spear-phishing_technique
Process_injection_technique
Mythic_c2
Havoc

Victims:
Industrial companies, Russian industrial companies

Industry:
Government

Geo:
Russian

TTPs:
Tactics: 7
Technics: 0

IOCs:
Url: 9
File: 13
Path: 7
Command: 4
Hash: 11
Domain: 9

Algorithms:
aes, base64, zip

Functions:
SetCurrentDirectoryW, GetCurrentDirectoryW

Win API:
CreateProcessW, NtOpenProcess, NtTerminateProcess, NtCreateFile, ZwWriteFile

Languages:
powershell

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце 2025 года хакерская группа Arcane Werewolf, также известная как Mythic Likho, атаковала российские промышленные фирмы, используя сложные электронные письма с фишингом для доставки архива VPO, связанного с поддельным веб-сайтом законной компании. Обновленный вариант вредоносного ПО Loki, используемый в этих атаках, облегчает эксфильтрацию данных и удаленный доступ, улучшая перемещение внутри компании внутри сетей. Развивающаяся тактика группы подчеркивает целенаправленную угрозу критически важной инфраструктуре, что требует бдительности в отношении социальной инженерии и улучшения мониторинга связанных с ней показателей компрометации.
-----

В конце 2025 года эксперты по кибербезопасности из BI.ZONE Threat Intelligence выявила продолжающуюся вредоносную деятельность, связанную с хакерской группой, известной как Arcane Werewolf, также известной как Mythic Likho. Эта группа нацелена на российские промышленные компании, подчеркивая смещение акцента в сторону конкретных секторов, имеющих решающее значение для национальной инфраструктуры. Вектором атаки, используемым в этих кампаниях, по-видимому, являются электронные письма с фишингом, отражающие предыдущие инциденты, приписываемые этому злоумышленнику. Хотя сами электронные письма с фишингом были недоступны, есть подозрение, что они содержали ссылку, по которой получатели могли загрузить архив VPO с сайта, выдающего себя за законную российскую промышленную компанию. Этот метод направлен на то, чтобы обманом заставить цели выдать конфиденциальную информацию или выполнить вредоносную полезную нагрузку, используя их доверие к узнаваемым компаниям.

Обновленным вариантом вредоносного ПО, связанным с этой кампанией, является имплантат Loki, который претерпел изменения по сравнению с его предыдущими версиями. Loki известен такими функциями, как эксфильтрация данных, обеспечение удаленного доступа и потенциальное облегчение перемещения внутри компании в скомпрометированных сетях. Использование изощренной тактики социальной инженерии, воплощенной в тщательно продуманных попытках фишинга, направлено на повышение вероятности успешных вторжений. Поскольку группа остается активной и корректирует свои методы, потенциально улучшая возможности имплантата, организациям необходимо усилить свои меры безопасности и обучить сотрудников распознавать попытки фишинга, особенно когда они нацелены на организации с критически важной инфраструктурой.

Мониторинг показателей компрометации (IOCs), связанных с имплантатом Loki, и усиление защиты от тактики социальной инженерии будут иметь решающее значение для снижения рисков, создаваемых этим постоянным злоумышленником.

#ParsedReport #CompletenessLow
29-11-2025

Weekly Threat Infrastructure Investigation(Week47)

https://disconinja.hatenablog.com/entry/2025/11/29/212128

Report completeness: Low

Threats:
Brc4_tool
Cobalt_strike_tool
Supershell

Victims:
Japan

Geo:
Japan

IOCs:
IP: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование инфраструктуры командования и контроля (C2) в Японии выявило восемь серверов C2, связанных с скоординированными усилиями хакерских группировок, использующих такие инструменты, как Brute Ratel C4. Эта усовершенствованная платформа облегчает уклонение от обнаружения, позволяя хакерам сохранять контроль над зараженными системами и выполнять такие задачи, как эксфильтрация данных и перемещение внутри компании. Полученные данные свидетельствуют о растущей организованной киберугрозе в Японии, что требует постоянного мониторинга из-за этой сложной тактики.
-----

В течение недели с 17 по 23 ноября расследование инфраструктуры командования и контроля (C2) в Японии выявило наличие восьми идентифицированных серверов C2. Этот анализ был проведен с использованием функции поиска Censys для отслеживания и документирования вредоносной активности. Примечательно, что расследование подтвердило оперативное использование различных инструментов C2, включая Brute Ratel C4, который представляет собой сложную структуру, обычно используемую злоумышленниками для уклонения от обнаружения и организации атак.

Обнаружение нескольких серверов C2 в течение одного и того же периода времени свидетельствует о скоординированных усилиях хакерских группировок по созданию устойчивой сети для управления скомпрометированными системами. Наличие Brute Ratel C4, известного своей универсальностью в обходе механизмов безопасности, подчеркивает передовую тактику, применяемую этими акторами. Такие фреймворки позволяют злоумышленникам сохранять контроль над зараженными машинами и удаленно выполнять команды, облегчая целый ряд вредоносных действий - от эксфильтрации данных до перемещения внутри компании в целевых сетях.

Общие выводы указывают на то, что в Японии формируется потенциально организованная среда киберугроз, при этом для поддержки текущих операций используются различные инфраструктуры C2. Последствия этой деятельности подчеркивают необходимость повышенной бдительности и усовершенствованных мер безопасности для борьбы с такими изощренными атаками. Поскольку ландшафт продолжает развиваться, исследование подчеркивает важность постоянного мониторинга и анализа для предотвращения потенциальных угроз, связанных с этими передовыми системами C2.

#ParsedReport #CompletenessHigh
25-11-2025

Inside Valkyrie Stealer: Capabilities, Evasion Techniques, and Operator Profile

https://www.dexpose.io/inside-valkyrie-stealer-capabilities-evasion-techniques-and-operator-profile/

Report completeness: High

Actors/Campaigns:
Emissary_panda (motivation: cyber_espionage)
Akira_ransomware
Lawxsz

Threats:
Valkyrie_stealer
Valkyrie
Themida_tool
Akira_ransomware
Lumma_stealer
Credential_harvesting_technique
Prysmax
Polymorphism_technique
Scylla
Procmon_tool
Process_hacker_tool

Victims:
Consumers, Windows users

Geo:
Egyptian, Usa, Chinese

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1027, T1027.002, T1041, T1057, T1059.001, T1082, T1113, T1119, have more...

IOCs:
File: 16
Url: 7
Registry: 2
Hash: 2
Path: 8
Command: 1
Domain: 2

Soft:
Telegram, Discord, Chrome, Steam, qemu, Discord Canary, Discord PTB, Valorant, Fortnite

Wallets:
metamask, atomicwallet, electrum, exodus_wallet

Algorithms:
chacha20, aes-gcm, zip, aes, xor

Functions:
Sleep, build_key_and_nonce, GDI

Win API:
TerminateProcess, CreateToolhelp32Snapshot, Process32First, Process32Next, RegOpenKeyExA, GetSystemMetrics, SystemParametersInfoA, GetFileAttributesExA, GetSystemInfo, GlobalMemoryStatusEx, have more...

Languages:
python, java, powershell

Platforms:
x86

Links:
https://github.com/ergrelet/unlicense

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Valkyrie Stealer - это сложный стиллер на C++, предназначенный для извлечения конфиденциальной информации из систем Windows, использующий модульную архитектуру для различных функций, включая кражу учетных данных, и специально предназначенный для браузеров и приложений обмена сообщениями для извлечения данных. Вредоносное ПО использует передовые методы обхода, такие как шифрование, меры защиты от обнаружения с помощью Themida и проверки на наличие сред виртуальных машин, что затрудняет его анализ. Разработчик Valkyrie, "Lawxsz", активен на нескольких платформах и также создал еще одно вредоносное ПО под названием Prysmax Стиллер, с акцентом на кражу криптовалюты путем определения каталогов кошельков для эксфильтрации через резервные серверы управления.
-----

Valkyrie Stealer - это сложный стиллер информации на C++, используемый главным образом для извлечения конфиденциальной информации из систем Windows. Его модульная архитектура поддерживает широкий спектр функциональных возможностей, включая сбор учетных данных, системных сведений, данных браузера, сеансов приложений для обмена сообщениями, игровых аккаунтов и информации о криптовалютном кошельке. Valkyrie работает с использованием многоэтапной системы защиты от кражи данных, используя зашифрованную эксфильтрацию для передачи украденных данных и применяя передовые методы уклонения, чтобы избежать обнаружения и анализа.

Разработчик вредоносного ПО, идентифицированный как "Lawxsz", поддерживает заметное присутствие в Интернете на таких платформах, как Telegram, Discord и GitHub, для целей распространения и поддержки. Valkyrie продается как адаптируемый инструмент, а разработчик также связан с другим продуктом, создающим вредоносное ПО, под названием Prysmax Stealer.

Valkyrie Stealer включает в себя множество механизмов защиты от обнаружения. Он защищен программным обеспечением Themida protector, которое добавляет уровни шифрования и запутывания к исполняемому файлу. Чтобы избежать анализа, вредоносное ПО реализует сторожевой таймер, который прекращает выполнение, если оно превышает три минуты, - тактика, направленная на срыв усилий по отладке. Кроме того, он проводит обширные проверки для сред виртуальных машин, такие как проверка запущенных процессов и записей реестра, гарантируя, что он работает только на подлинных системах.

Вредоносное ПО содержит функции для создания скриншотов, сбора системной информации и мониторинга сетевых настроек. Valkyrie может перечислять запущенные процессы, обнаруживать антивирусное программное обеспечение и извлекать общедоступный IP-адрес жертвы с помощью запроса HTTPS GET на внешний сервер. Более того, он специально нацелен на браузеры, такие как Chrome и Edge, для кражи сохраненных учетных данных и данных сеанса, наряду с целевым извлечением с платформ обмена сообщениями, таких как Discord и Telegram.

Valkyrie фокусируется на краже криптовалют, сканируя браузеры и настольные приложения в поисках каталогов кошельков, которые затем копирует в определенные папки. Эксфильтрация украденных данных осуществляется через два сервера управления (C2), что обеспечивает избыточность на случай, если один сервер станет недоступен.

#ParsedReport #CompletenessHigh
29-11-2025

APT36 Python Based ELF Malware Targeting Indian Government Entities

https://www.cyfirma.com/research/apt36-python-based-elf-malware-targeting-indian-government-entities/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: information_theft, cyber_espionage)

Threats:
Spear-phishing_technique
Credential_harvesting_technique

Victims:
Indian government, Strategic sectors, Critical technology ecosystems

Industry:
Education, Critical_infrastructure, Government

Geo:
California, Los angeles, Indian, Pakistan, Germany

TTPs:
Tactics: 9
Technics: 20

IOCs:
File: 3
Url: 3
IP: 3
Domain: 1
Hash: 8

Soft:
Linux, libreoffice, systemd, PyInstaller, Debian Linux, curl

Algorithms:
sha256, base64, zip, md5, exhibit, deflate

Languages:
python

Platforms:
cross-platform, amd64

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, базирующаяся в Пакистане группа кибершпионажа, развивает свою тактику, нацеливаясь на среды Linux, в частности на операционную систему BOSS, используемую индийскими правительственными структурами. В их последней кампании используется вредоносный архивный файл, "Analysis_Proc_Report_Gem_2025.zip ," содержащий ярлык .desktop, который запускает средство удаленного администрирования ELF на основе Python в кодировке Base64 (RAT) как для Linux, так и для Windows. Это вредоносное ПО создает Службу systemd для закрепления и использует инфраструктуру, связанную с известными вредоносными доменами, демонстрируя APT36's адаптивность и техническую зрелость.
-----

APT36, также известная как Transparent Tribe, является базирующейся в Пакистане группой кибершпионажа, нацеленной на индийские правительственные учреждения, используя все более изощренные методы вредоносного ПО. Их последняя кампания сместила акцент на компрометацию сред Linux, в частности операционной системы BOSS, обычно используемой в правительственных секторах. Это отражает стратегическую эволюцию их подхода, переход от традиционного вредоносного ПО для Windows к адаптированным полезным нагрузкам для менее защищенных систем, подчеркивая их адаптивность и техническую зрелость.

Основным способом доставки вредоносного ПО является вредоносный архивный файл с надписью "Analysis_Proc_Report_Gem_2025.zip ." Этот архив содержит файл ярлыка .desktop, который маскируется под стандартный документ. Ярлык использует свое поле Exec для запуска команды оболочки, которая выполняет сценарий в кодировке Base64, эффективно скрывая свои вредоносные намерения под слоем запутывания и доброкачественных метаданных. Такой подход сводит к минимуму вероятность обнаружения механизмами безопасности.

Само вредоносное ПО представляет собой инструмент удаленного администрирования ELF (исполняемый файл и связываемый формат) на основе Python (RAT), скомпилированный с использованием PyInstaller и предназначенный как для сред Linux, так и для Windows. Статический анализ показывает, что двоичный файл ELF был создан в среде Debian Linux и использует GCC для компиляции. Наличие общих обработчиков команд и кроссплатформенной функциональности указывает на то, что APT36 нацелен на одновременное использование различных операционных систем.

Для обеспечения закрепления вредоносное ПО создает файл Службы systemd пользовательского уровня, который автоматически выполняет полезную нагрузку ELF во время последовательности запуска пользователя, обеспечивая долгосрочную работу без необходимости в повышенных привилегиях. Инфраструктура, поддерживающая эту кампанию, включает домен "lionsdenim.xyz" и IP-адрес 185.235.137.90, оба связаны с операциями APT36 и признаны вредоносными источниками разведки киберугроз.

Общий анализ показывает продуманные и скоординированные усилия APT36 по укреплению своих оперативных возможностей в отношении индийского государственного сектора и критически важных технологий. Кампания подчеркивает приверженность группы использованию местных платформ, которым может не хватать надежной защиты, что требует повышенной бдительности, мониторинга и более надежных протоколов безопасности для систем на базе Linux. Эта продолжающаяся эволюция тактики требует большей осведомленности и готовности целевых организаций к снижению рисков, создаваемых такими сложными киберугрозами.

#ParsedReport #CompletenessHigh
27-11-2025

Albiriox Exposed: A New RAT Mobile Malware Targeting Global Finance and Crypto Wallets

https://www.cleafy.com/cleafy-labs/albiriox-rat-mobile-malware-targeting-global-finance-and-crypto-wallets

Report completeness: High

Threats:
Albiriox
Credential_harvesting_technique
Hvnc_tool
Penny
Jsonpacker_tool

Victims:
Financial institutions, Cryptocurrency services, Banking app users

Industry:
Retail, Financial, Petroleum

Geo:
Austrian

ChatGPT TTPs:
do not use without manual check
T1406, T1411, T1417, T1471

IOCs:
Hash: 3
File: 1
IP: 1
Domain: 7

Soft:
Google Play, Android, Telegram, WhatsApp

Algorithms:
md5, exhibit

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Albiriox - это недавно идентифицированное семейство вредоносных ПО для Android, управляемое русскоязычными злоумышленниками, работающее как вредоносное ПО как услуга (MaaS). Это вредоносное ПО использует двухэтапную цепочку развертывания с использованием приложений-дропперов и нацелено на более чем 400 глобальных банковских и криптовалютных приложений, обладая такими возможностями, как удаленный доступ, манипулирование экраном и сбор учетных записей с помощью оверлейных атак. Примечательно, что Albiriox использует методы обфускации кода и взаимодействует со своей инфраструктурой командования и контроля по незашифрованному протоколу TCP, что свидетельствует о значительном росте угроз мобильному банкингу.
-----

Albiriox - это недавно идентифицированное семейство вредоносных ПО для Android, которое появилось как вредоносное ПО как услуга (MaaS), управляемое русскоязычными злоумышленниками. Это вредоносное ПО работает по двухэтапной цепочке развертывания, используя приложения-дропперы, распространяемые с помощью тактики социальной инженерии, чтобы избежать обнаружения и доставить свою полезную нагрузку. Albiriox известен своими возможностями мошенничества на устройстве, функционируя как троян удаленного доступа (RAT) с такими функциями, как интерактивность в реальном времени и манипулирование экраном. Его ориентация на более чем 400 глобальных банковских и криптовалютных приложений подчеркивает его потенциальное воздействие на финансовые учреждения.

Распространение Albiriox началось с запуска поддельной страницы Google Play, на которой было представлено, казалось бы, законное приложение, связанное с сетью скидок "Penny Market" в регионе Дач. Эта приманка была частью кампании, которая привлекала пользователей к установке вредоносного ПО путем загрузки dropper APK из инфраструктуры, контролируемой злоумышленниками, а не из официального Play Store. Последующие изменения в тактике фишинга выявили сдвиг, когда пользователи должны были предоставить номера своих мобильных телефонов, прежде чем получить ссылку для скачивания через WhatsApp, что отражает эволюционирующий метод социальной инженерии.

Тщательный технический анализ Albiriox установил его соответствие общим характеристикам банковских троянов Android. Вредоносное ПО использует такие методы, как JSONPacker для запутывания кода, и избегает обнаружения, связываясь со своей инфраструктурой командования и контроля (C2) через незашифрованное TCP-сокетное соединение. Этот канал связи обеспечивает вредоносному ПО постоянную связь с злоумышленниками, облегчая удаленное управление и широкие функциональные возможности, предназначенные для мошенничества на устройстве.

Операционные возможности Albiriox включают в себя ряд команд, выполняемых через его внутреннюю базу данных, что позволяет осуществлять полный удаленный контроль над зараженными устройствами. Его функциональность позволяет злоумышленникам выполнять такие действия, как размашистые жесты, получение паролей на экране блокировки и наложение экранов для получения конфиденциальной информации от пользователей в режиме реального времени. Реализация оверлейных атак является критически важной функцией, позволяющей вредоносному ПО создавать обманчивые интерфейсы, имитирующие законные приложения для сбора учетных записей.

Разработчики, стоящие за Albiriox, знают о методах уклонения, обсуждая стратегии на подпольных форумах, чтобы гарантировать, что вредоносное ПО остается "полностью необнаруживаемым" (FUD) обычными антивирусными решениями. Такая изощренность и интеграция передовых тактик указывают на значительную эскалацию угроз мобильного банкинга, при этом Albiriox будет представлять постоянный риск для пользователей финансовых приложений и криптовалют.