#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Intellexa, видный игрок в секторе шпионского ПО для наемников, известна своим шпионским ПО "Predator" и использует уязвимости zero-day, особенно в мобильных браузерах. Недавняя совместная работа выявила цепочку эксплойтов zero-day "smack", нацеленных на Safari от Apple, использующих CVE-2023-41993 для выполнения машинного кода. Их методы доставки включают одноразовые ссылки с помощью зашифрованных сообщений и вредоносную рекламу, что подчеркивает их адаптивный подход к таргетингу и эксплуатации в условиях продолжающегося международного контроля и санкций.
-----

Intellexa, крупный игрок в сфере шпионских программ для наемников, продолжает процветать, несмотря на то, что подвергается международным санкциям и тщательному контролю за своей деятельностью. Компания известна своими шпионскими программами "Predator" и стала особенно искусна в использовании уязвимостей zero-day, особенно в мобильных браузерах. Примечательно, что выводы Google Threat Intelligence Group указывают на то, что Intellexa не только закупает, но и разрабатывает новые эксплойты zero-day, демонстрируя способность быстро адаптировать и поддерживать операции для своих клиентов.

Сотрудничество с CitizenLab в 2023 году выявило целую цепочку эксплойтов zero-day, используемых при атаках на цели в Египте. Эта цепочка эксплойтов, получившая в Intellexa внутреннее название "smack", способствовала скрытой установке Predator spyware на целевые устройства. На первом этапе этой цепочки эксплойтов zero-day использовалась уязвимость в браузере Apple Safari, идентифицированная как CVE-2023-41993. Эта конкретная уязвимость позволяла выполнять произвольные операции чтения и записи в память, которые имели решающее значение для выполнения машинного кода в современных системах Apple с помощью фреймворка под названием "JSKit"..

Основной способ работы Intellexa's для реализации этих эксплойтов заключается в отправке одноразовых ссылок непосредственно целевым пользователям через сквозные приложения для обмена зашифрованными сообщениями. Однако они также разнообразили свою тактику доставки, используя вредоносную рекламу на сторонних платформах. Такой подход позволяет им получать отпечатки пальцев пользователей и перенаправлять потенциальные цели на серверы, на которых размещены механизмы доставки их эксплойтов.

Усилия по противодействию шпионской деятельности Intellexa's набирают обороты, а инициативы сообщества выступают за принятие мер международной политики, направленных на ограничение воздействия таких технологий на права человека. Google активно участвует в процессе Pall Mall, направленном на установление глобальных норм и рамок для смягчения угроз, исходящих от индустрии шпионских программ. Эти инициативы перекликаются с более ранними правительственными мерами, включая шаги, предпринятые правительством США для ограничения использования таких инструментов наблюдения.

Сохраняющаяся угроза, исходящая от Intellexa, подчеркивает сложности кибербезопасности, особенно в том, что касается разработки и использования уязвимостей zero-day, поведения продвинутого вредоносного ПО и новых методов атак. Поскольку Intellexa продолжает расширять свои возможности, разработка таких инструментов, как правила YARA для обнаружения их вредоносного ПО, будет иметь важное значение для усиления защиты от кибербезопасности.

#ParsedReport #CompletenessMedium
03-12-2025

4.3 Million Browsers Infected: Inside ShadyPanda's 7-Year Malware Campaign

https://www.koi.ai/blog/4-million-browsers-infected-inside-shadypanda-7-year-malware-campaign

Report completeness: Medium

Actors/Campaigns:
Shadypanda (motivation: financially_motivated, cyber_espionage)

Threats:
Mitm_technique
Credential_harvesting_technique
Supply_chain_technique

Victims:
Browser users, Browser extensions ecosystem

Industry:
E-commerce

Geo:
China

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1053.005, T1059.007, T1105, T1195, T1562.006

IOCs:
Domain: 8
Coin: 17

Soft:
Chrome, Microsoft Edge

Algorithms:
aes

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShadyPanda - злоумышленник, стоящий за долгосрочной кампанией, которая за семь лет заразила около 4,3 миллиона браузеров с помощью вредоносных расширений для Chrome и Edge. Первоначально они использовали социальную инженерию для продвижения поддельных расширений обоев, перейдя к агрессивной тактике, включающей удаленное выполнение кода и тщательное наблюдение за активностью пользователей. Вредоносное ПО демонстрирует передовые методы уклонения и использует сильно запутанный JavaScript, чтобы избежать обнаружения при передаче данных на несколько серверов, выявляя уязвимости в системе контроля безопасности marketplace.
-----

ShadyPanda - злоумышленник, выявленный в ходе длительной и масштабной кампании по расширению браузеров, нацеленной на пользователей Chrome и Edge, в результате которой за семилетний период было заражено примерно 4,3 миллиона браузеров. Кампания разделена на несколько отдельных этапов, которые подчеркивают эволюцию ее методов и стратегий.

На начальном этапе, получившем название "The Wallpaper Hustle", ShadyPanda запустила массовое внедрение 145 расширений для браузера, замаскированных под обои или приложения для повышения производительности. Этот этап начался в 2023 году, когда 20 расширений были доступны в интернет-магазине Chrome от издателя "nuggetsno15" и 125 на платформе Microsoft Edge от "rocket Zhang". Эта первоначальная тактика основывалась на социальной инженерии, чтобы побудить пользователей загружать кажущиеся безобидными расширения.

Кампания перешла в более агрессивную фазу, известную как "Эволюция перехвата поиска", которая начнется в начале 2024 года. На этом этапе ShadyPanda изменила свой подход от пассивной монетизации к активному контролю зараженных браузеров, где она начала выполнять команды и манипулировать функциональными возможностями браузера. Эта эскалация привела к развертыванию платформы удаленного выполнения кода, которая позволила вредоносному ПО проверять и загружать произвольный JavaScript каждый час с указанной конечной точки (api.extensionplay.com ), выполняя его с полным доступом к API браузера.

Текущие операционные возможности ShadyPanda's включают всестороннее наблюдение, при котором вредоносное ПО отслеживает и регистрирует посещение веб-сайта каждым пользователем, отправляя зашифрованные данные на серверы ShadyPanda's. Вредоносное ПО использует сложные методы уклонения, будучи способным обнаруживать, когда исследователь взаимодействует с инструментами разработчика. В таких сценариях он переходит в режим мягкого поведения, чтобы скрыть свои вредоносные действия. JavaScript, развернутый вредоносным ПО ShadyPanda's, сильно запутан, используя сокращенные имена переменных и используя интерпретатор размером 158 КБ для выполнения скриптов, что позволяет обойти политику безопасности контента.

Кампания приобрела еще один значительный оборот с выпуском компанией Starlab Technology пяти дополнительных расширений для Microsoft Edge, которые в совокупности собрали более 4 миллионов установок благодаря использованию тех же уязвимостей, которые позволили более ранним расширениям оставаться на рынке. Возможности сбора данных вредоносного ПО WeTab обширны, оно передает пользовательские данные в 17 различных доменов, включая несколько серверов, расположенных в Китае, и использует Google Analytics для отслеживания пользователей.

Семилетняя деятельность ShadyPanda подчеркивает недостатки в практике надзора за рынком расширений. Злоумышленник воспользовался отсутствием постоянного мониторинга после утверждения, поскольку торговые площадки в основном используют статический анализ только во время подачи заявки на продление. Этот системный недосмотр позволил ShadyPanda поддерживать и расширять свои реинвестиции в оружейные расширения для браузеров без обнаружения, демонстрируя существенные недостатки в существующих мерах безопасности магазинов приложений платформы.

#ParsedReport #CompletenessLow
04-12-2025

The Next Target of Scattered LAPSUS$ Hunters Zendesk

https://www.truesec.com/hub/blog/the-next-target-of-scattered-lapsus-hunters-zendesk

Report completeness: Low

Actors/Campaigns:
Scattered_lapsus_hunters
0ktapus
Lapsus
Shinyhunters

Threats:
Typosquatting_technique
Evilginx_tool
Sim_swapping_technique
Supply_chain_technique
Mfa_bombing_technique
Credential_harvesting_technique

Victims:
Zendesk, Salesforce, Gainsight, Retail, Insurance, Aviation, Saas platforms

Industry:
Aerospace, Retail

ChatGPT TTPs:
do not use without manual check
T1199, T1204.001, T1566.002, T1583.001, T1621, T1656

Soft:
Zendesk, Salesloft Drift, Salesforce

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследования показывают, что группа вымогателей Scattered LAPSUS$ Hunters (SLSH) стоит за более чем 40 typosquatted доменами, выдающими себя за Zendesk, такими как znedesk.com . Группа использует тактику социальной инженерии и фишинга, используя такие инструменты, как Evilginx, для обхода многофакторной аутентификации при несанкционированном доступе. Их деятельность охватывает различные секторы, с особым акцентом на платформы SaaS, что вызывает у организаций необходимость отслеживать эти домены-самозванцы, чтобы предотвратить потенциальные нарушения.
-----

Недавние расследования ReliaQuest выявили ряд подозрительных доменов, связанных с Zendesk, включая более 40 вариантов с typosquatted и выдающие себя за URL-адреса, такие как znedesk.com и vpn-zendesk.com . Этот шаблон регистрации домена связан с группой программ-вымогателей, известной как Scattered LAPSUS$Hunters (SLSH), которые ранее были нацелены на различные секторы, включая SaaS-платформы, такие как Salesforce, наряду с розничной торговлей, страхованием и авиационной промышленностью.

Атаки, выполняемые SLSH, используют комбинацию методов социальной инженерии и кампаний фишинга, которые часто включают использование typosquatted доменов. Чтобы повысить свою эффективность, эти злоумышленники используют такие инструменты, как Evilginx, для обхода многофакторной аутентификации (MFA), тем самым получая несанкционированный доступ к конфиденциальным учетным записям и системам.

Организациям настоятельно рекомендуется усилить свою защиту от подобной тактики социальной инженерии. Крайне важно, чтобы сотрудники службы технической поддержки прошли обучение по передовым процессам проверки запросов на доступ, сброса пароля и любых существенных изменений в системе. Установление строгих мер проверки личности имеет важное значение, особенно для запросов на привилегированный доступ. Регулярно проводимые имитационные мероприятия по поиску и фишингу могут помочь повысить готовность как рядовых сотрудников, так и сотрудников службы технической поддержки. Кроме того, крайне важно повышать осведомленность об атаках MFA fatigue и методах сбора учетных записей, уделяя особое внимание обращению с персоналом ИТ-поддержки как с защитниками на передовой.

В свете того, что SLSH ориентируется на популярные SaaS-платформы, организациям крайне важно усилить безопасность своей SaaS-Цепочки поставок. Необходима постоянная бдительность, поскольку злоумышленники последовательно создают домены, выдающие себя за другие, следуя узнаваемым шаблонам, таким как "company-okta.com " и "ticket-companyname.com ." Активный мониторинг этих typosquatted доменов может помочь в раннем обнаружении потенциальных угроз и предотвращении несанкционированного доступа.

#ParsedReport #CompletenessLow
04-12-2025

New Stealth KGB RAT Marketed by Threat Actors on Underground Forums

https://gbhackers.com/k-g-b-rat/

Report completeness: Low

Threats:
Kgb_rat
Hvnc_tool

Industry:
Financial, E-commerce

ChatGPT TTPs:
do not use without manual check
T1027, T1219, T1583, T1585, T1587, T1588

Soft:
Twitter, WhatsApp, Windows Defender

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
KGB RAT - это новый троян удаленного доступа, который продается как "полностью необнаруживаемый" и включает в себя такие функции, как шифровальщик и Hidden VNC (HVNC), что указывает на его сложный дизайн. Он продается на подпольных форумах, подчеркивая растущий рынок продвинутых RAT, которые могут представлять значительные риски, особенно для банковских систем. Появление таких угроз подчеркивает необходимость бдительности при мониторинге показателей, связанных со сложным вредоносным ПО и потенциальными методами обхода системы безопасности.
-----

Злоумышленники в настоящее время продают новый троян удаленного доступа (RAT), известный как "KGB RAT", который поставляется в комплекте с шифровальщиком и HVNC (Hidden VNC). Этот RAT рекламируется на подпольных форумах по борьбе с киберпреступностью с утверждениями о том, что он "полностью не обнаруживается" существующими решениями безопасности. Включение таких функций, как HVNC, указывает на сложный дизайн, ассоциируя его с продвинутыми банковскими троянами и другим вредоносным программным обеспечением.

Продвижение KGB RAT подчеркивает тревожную тенденцию в сфере киберпреступности, где рынок сложных RAT-систем расширяется. Командам безопасности рекомендуется быть особенно бдительными в отношении таких терминов, как "FUD" (полностью необнаруживаемый), а также упоминаний о встроенных шифровальщиках в каналах анализа угроз, журналах или во время расследований инцидентов. Такие индикаторы служат потенциальными красными флажками, указывающими на наличие инструментов, которые могут обойти меры безопасности.

По мере развития угроз мониторинг подпольных форумов и понимание возможностей недавно появившегося вредоносного ПО, такого как KGB RAT, может повысить готовность средств защиты кибербезопасности к этим возникающим рискам.

#ParsedReport #CompletenessLow
04-12-2025

ValleyRAT Campaign Targets Job Seekers, Abuses Foxit PDF Reader for DLL Side-loading

https://www.trendmicro.com/en_us/research/25/l/valleyrat-campaign.html

Report completeness: Low

Threats:
Dll_sideloading_technique
Valleyrat
Dllsearchorder_hijacking_technique

Victims:
Job seekers, Human resources professionals

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.001, T1574.002

IOCs:
File: 11
IP: 2
Hash: 42
Url: 2

Soft:
Foxit

Algorithms:
sha256, base64, exhibit, 7zip, sha1

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, chart: 1, schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ValleyRAT нацелена на лиц, ищущих работу, с помощью фишинг-писем, содержащих модифицированную версию Foxit PDF Reader, использующую DLL side-loading для первоначальной компрометации. Атака влечет за собой выполнение 'FoxitPDFReader.exe " который загружает вредоносную библиотеку DLL "msimg32.dll ", развертывающий троян удаленного доступа ValleyRAT, который обеспечивает значительный контроль и эксфильтрацию данных злоумышленниками. Кампания использует методы скрытого выполнения, включая выполнение скрипта и загрузку .NET reflection, что усложняет усилия по обнаружению.
-----

Кампания ValleyRAT специально нацелена на лиц, ищущих работу, с помощью фишинг-писем, в которых используется усовершенствованная версия Foxit PDF Reader. Основным методом, используемым в этих атаках, является DLL side-loading, который служит методом первоначального компрометации. Когда пользователь взаимодействует с вредоносным архивным файлом, который маскируется под законный документ, он выполняет копию 'FoxitPDFReader.exe ', который предназначен для загрузки вредоносной библиотеки DLL с именем 'msimg32.dll '. Эта последовательность действий в конечном итоге приводит к развертыванию ValleyRAT, троянца удаленного доступа (RAT), способного предоставлять злоумышленникам широкий контроль над скомпрометированными системами.

После заражения злоумышленники могут отслеживать активность пользователей и извлекать конфиденциальную информацию. Дизайн кампании не только подвергает опасности лиц, ищущих работу, но и создает риски для специалистов в области людских ресурсов, включая рекрутеров и специалистов по подбору персонала. Скрытный характер этого пути атаки определяется выполнением скриптов и загрузкой .NET reflection, что повышает вероятность успешного уклонения от обнаружения в процессе компрометации.

Для организаций и частных лиц крайне важна осведомленность о показателях компромисса (IOCs), связанных с этой кампанией. Решения для обеспечения безопасности, подобные тем, которые предлагает Trend Micro, способны эффективно обнаруживать и блокировать эти IOC, обеспечивая пользователям необходимую защиту. Понимание конкретных методов и методологий, используемых в кампании ValleyRAT, может помочь в разработке упреждающих стратегий защиты от этой и подобных угроз.

#ParsedReport #CompletenessLow
04-12-2025

Windows Stealers: How Modern Infostealers Harvest Credentials

https://deceptiq.com/blog/windows-stealers-technical-analysis

Report completeness: Low

Threats:
Sryxen

TTPs:
Tactics: 5
Technics: 13

IOCs:
File: 14

Soft:
Chrome, Chromium, Firefox, Discord, curl, telegram, macOS

Algorithms:
aes, base64, aes-256-gcm, zip, xor

Functions:
SetBreakpoint, GetMasterKey, GetCookie, MainBlock, system

Win API:
VirtualProtect, WinHttpOpenRequest, NtGlobalFlag, CryptUnprotectData

Languages:
powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Стиллер Sryxen использует передовые методы для сбора учетных данных пользователей, используя механизмы антианализа и стратегии уклонения. Примечательно, что он использует векторную обработку исключений (VEH) для сохранения конфиденциальных полезных данных в зашифрованном виде в состоянии покоя и нацелен на сохраненные веб-браузерами файлы cookie и пароли с помощью шифрования, связанного с приложениями Chrome. Работа Sryxen's включает в себя многопоточный поиск в браузерах и использует curl для эксфильтрации при отправке ключевых данных, таких как токены Discord, через POST-запросы к Telegram API.
-----

Современные стиллеры информации, в частности вариант Sryxen, используют сложные методы для сбора учетных данных пользователей из браузеров. Архитектура Sryxen демонстрирует передовые механизмы антианализа и инновационные стратегии обхода мер безопасности. Важным аспектом этого вредоносного ПО является использование VEH (векторной обработки исключений) для обеспечения того, чтобы конфиденциальные полезные данные оставались зашифрованными в состоянии покоя. Например, основная функция, ответственная за эксфильтрацию данных, зашифрована с помощью XOR и расшифровывается только во время выполнения с помощью обработчика VEH, что затрудняет аналитикам проверку вредоносного ПО без его выполнения.

Sryxen эффективно использует Windows Data Protection API (DPAPI), получая главный ключ шифрования путем запуска в пользовательском контексте жертвы. Это позволяет ему расшифровывать сохраненные данные, зашифрованные с помощью платформы DPAPI, в то время как попытки получить доступ к этим данным из другого пользовательского контекста не приведут ни к каким результатам. Вредоносное ПО нацелено на файлы cookie и пароли, хранящиеся в веб-браузерах, в частности, используя шифрование, привязанное к приложениям Chrome (ABE), которое связывает шифрование файлов cookie непосредственно с приложением Chrome. Запуская Chrome с флагами отладки, Sryxen обходит эту защиту и облегчает кражу файлов cookie.

Работа вредоносного ПО включает в себя проведение многопоточного поиска в ширину (BFS) для перечисления установленных браузеров и систематического сбора украденных данных, упорядоченных во временной папке. Для эксфильтрации Sryxen использует "curl" в зашумленном режиме, вызывая команды "system()", которые могут быть легко обнаружены с помощью телеметрии создания файла. Хотя этот метод уязвим для обнаружения, ключевые данные, такие как сессионные файлы cookie или токены Discord, отправляются во внешний Telegram API с помощью POST-запросов.

Кроме того, Sryxen умеет обращаться с зашифрованными учетными данными. Пароли Chromium, например, хранятся с использованием шифрования AES-256-GCM, и вредоносное ПО может расшифровать их перед эксфильтрацией. В нем также реализованы методы сбора учетных данных из других приложений, таких как Discord, которые могут хранить токены либо в виде открытого текста, либо в зашифрованном виде, аналогично шифрованию Chrome.

В контексте платформы MITRE ATT&CK Sryxen сопоставляется с различными методами, включая T1555.003 для сбора учетных записей, T1539 для кражи Сессионных куки и T1059 для выполнения утилит командной строки для эксфильтрации. Его подход отражает продолжающуюся борьбу между инструментами кражи учетных данных и инновациями в области безопасности браузера, в частности демонстрируя, насколько эффективно Sryxen обходит современные средства защиты, предназначенные для защиты пользовательских данных.

#ParsedReport #CompletenessHigh
04-12-2025

MuddyWater: Snakes by the riverbank

https://www.welivesecurity.com/en/eset-research/muddywater-snakes-riverbank/

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_espionage, cyber_criminal)
Siamesekitten (motivation: cyber_espionage)
Oilrig

Threats:
Fooder
Muddyviper
Gosocks5_tool
Quicksand
Muddyrot
Lazagne_tool
Crackmapexec_tool
Spear-phishing_technique
Danabot
Shark
Marlin
Mango
Oilforcegtx
Syncro_tool
Mimikatz_tool
Atera_tool
Simplehelp_tool
Anydesk_tool
Hackbrowser
Yamux_tool
Resocks_tool
Go-socks5_tool
Credential_harvesting_technique
Trojan-proxy

Victims:
Critical infrastructure, Government, Telecommunications, Healthcare, Oil and energy

Industry:
Military, Critical_infrastructure, Education, Transport, Telco, Government, Petroleum, Energy, Healthcare

Geo:
Iranian, Israel, Ukraine, Egypt, Iran, America, Middle east, Ireland, Israeli

TTPs:
Tactics: 11
Technics: 42

IOCs:
Path: 16
File: 10
Registry: 2
Domain: 3
IP: 11
Url: 1
Hash: 64

Soft:
Firefox, Windows Security, Chromium, Chrome, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Microsoft Edge, Google Chrome, steam, have more...

Algorithms:
aes, sha1, aes-cbc

Functions:
Sleep

Win API:
DuplicateTokenEx, CreateProcessAsUserA, CreateProcessW, WinHttpOpen, ImpersonateLoggedOnUser, WinMain, CredUIPromptForWindowsCredentialsW, CredUnPackAuthenticationBufferW, LogonUserW, CryptUnprotectData, have more...

Win Services:
AvastSvc

Languages:
powershell, golang

Platforms:
amd64

Links:
https://github.com/AlessandroZ/LaZagne
https://github.com/byt3bl33d3r/CrackMapExec
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, windows: 2, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MuddyWater, иранская APT-группировка, действующая с 2017 года, нацелена на критически важные объекты инфраструктуры в Израиле и Египте в рамках кампании, которая продлится с сентября 2024 по март 2025 года. Они используют такие тактики, как spearphishing для распространения пользовательского вредоносного ПО, включая загрузчик Fooder, который подготавливает бэкдор MuddyViper для широкого доступа к системе, и инструменты credential-stealing, такие как CE-Notes и LP-Notes. Их вредоносное ПО взаимодействует с серверами C&C по протоколу HTTPS, усложняя обнаружение из-за эксфильтрации большого объема данных.
-----

MuddyWater, связанная с Ираном APT-группировка, действующая по меньшей мере с 2017 года, в первую очередь нацелена на критически важные объекты инфраструктуры в Израиле и Египте. Эта кампания, которая продолжалась с 30 сентября 2024 года по 18 марта 2025 года, подчеркивает развивающиеся возможности MuddyWater's, использующие пользовательское вредоносное ПО наряду с устоявшейся тактикой ведения кибершпионажа.

Группа продемонстрировала четкую ориентацию на такие секторы, как телекоммуникации, государственное управление и энергетика, используя предсказуемые тактики, методы и процедуры (TTP). Их оперативный план действий, как правило, включает электронные письма для spearphishing, которые направляют жертв на загрузку программного обеспечения для удаленного мониторинга. Попав в сеть, MuddyWater развертывает множество вредоносных программ, включая недавно идентифицированный загрузчик Fooder и Backdoor. MuddyViper. Маскировка Fooder под простую игру представляет собой загрузчик, который подготавливает и запускает бэкдор MuddyViper, который обеспечивает широкий доступ к зараженным системам, включая кражу учетных данных, загрузку файлов и выполнение команд.

MuddyViper взаимодействует с серверами командования и контроля (C&C) через HTTP через порт 443, зашифрованный с помощью SSL/TLS. Идентифицированные серверы C&C включают processplanet.org и IP-адрес, связанный с Amazon Technologies. Процессы эксфильтрации данных включают отправку подробных обновлений статуса на эти серверы, что затрудняет системам обнаружения распознавание вредоносных действий из-за большого объема сообщений.

Кроме того, MuddyWater использует ряд инструментов credential-stealing, таких как CE-Notes и LP-Notes. Эти инструменты предназначены для того, чтобы выдавать себя за пользователей и собирать учетные данные с помощью вводящих в заблуждение подсказок. При запуске LP-Notes маскируется под диалоговое окно безопасности Windows, предлагая жертвам ввести свои имена пользователей и пароли, в то время как CE-Notes захватывает и сохраняет украденные данные браузера.

Группа также использует передовые методы уклонения, такие как использование функций сна, чтобы избежать анализа во время динамических исследований. Эта операционная зрелость отражается не только в сложных методах кодирования, но и в более разнообразном наборе инструментов, что указывает на эволюцию по сравнению с предыдущими кампаниями.