#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В середине 2025 года вторжение Calisto нацелилось на "Репортеров без границ", используя тактику spear phishing, которая включала сбор учетных записей и потенциальное выполнение кода с помощью таких методов, как ClickFix. Попытки фишинга включали электронные письма, имитирующие доверенные контакты, и использовали специально разработанный набор для фишинга, предназначенный для обмана пользователей ProtonMail, используя метод Злоумышленника посередине для ретрансляции двухфакторной аутентификации. Операция продемонстрировала постоянный интерес Calisto's к политически мотивированным объектам, в первую очередь организациям, поддерживающим Украину.
-----

В мае и июне 2025 года группа взломщиков, известная как Calisto, также известная как ColdRiver или Star Blizzard, нацелилась на французскую неправительственную организацию "Репортеры без границ" (RSF) с помощью серии попыток spear phishing. Эта кампания согласуется с установленными Calisto's тактиками, техниками и процедурами (TTP), в первую очередь включающими сбор учетных записей и потенциальное выполнение кода с помощью таких методов, как техника ClickFix. Эти атаки конкретно нацелены на организации, поддерживающие Украину, что указывает на постоянный интерес актора к политически мотивированным целям.

Операция против "Репортеров без границ" началась в марте 2025 года, когда неправительственная организация сообщила о подозрительном электронном письме с фишингом, полученном одним из ее основных членов. Электронное письмо было отправлено с адреса ProtonMail, созданного для имитации доверенного контакта, с просьбой ознакомиться с несуществующим документом. Эта распространенная тактика в кампаниях Calisto's направлена на то, чтобы побудить получателя запросить недостающий файл, и в этот момент злоумышленник может отправить фактическую вредоносную полезную нагрузку в последующем сообщении. Сообщение о фишинге было составлено на французском языке и сопровождалось соответствующей подписью предполагаемого доверенного лица, однако вместо активного PDF-файла в нем содержалась неработающая ссылка.

В отдельном инциденте злоумышленники попытались обмануть другую жертву, прикрепив файл, помеченный как PDF. Однако этот файл представлял собой ZIP-архив, неверно представленный как PDF, что еще больше усложняло возможность жертвы запустить файл и усиливало уловку фишинга.

Анализ набора для фишинга показал, что он был специально создан для нацеливания на учетные записи ProtonMail, размещенные в домене, связанном с злоумышленником. Этот набор обладал уникальными характеристиками, которые не были связаны с известными фреймворками, такими как Evilginx, что подчеркивало его самодельный характер. Примечательно, что он использовал метод Злоумышленника посередине (AiTM) для ретрансляции двухфакторной аутентификации, который облегчает внедрение вредоносного JavaScript на страницы фишинга для входа в систему.

С точки зрения инфраструктуры, в недавних кампаниях Calisto's использовались серверы двух типов: в одной группе размещались веб-страницы для фишинга, в то время как другая функционировала как конечные точки API. Базовый анализ Passive DNS и сервисов позволил идентифицировать домены, используемые в этих кампаниях по фишингу, выявив операционную структуру, которая поддерживает постоянные усилия Calisto's по кибершпионажу и краже учетных данных.

#ParsedReport #CompletenessLow
05-12-2025

Weekly Threat Infrastructure Investigation(Week48)

https://disconinja.hatenablog.com/entry/2025/12/05/234503

Report completeness: Low

Threats:
Venomrat
Cobalt_strike_tool
Viper
Sliver_c2_tool
Octopus

Geo:
Japan

IOCs:
IP: 7

#ParsedReport #CompletenessMedium
05-12-2025

Atomic Stealer: Darktraces Investigation of a Growing macOS Threat

https://www.darktrace.com/blog/atomic-stealer-darktraces-investigation-of-a-growing-macos-threat

Report completeness: Medium

Threats:
Amos_stealer
Clickfix_technique
Realst

Victims:
Education sector, Apple users

Industry:
Education

Geo:
Americas, Apac, Africa, Asia pacific, Emea, Netherlands, Middle east

TTPs:
Tactics: 2
Technics: 3

IOCs:
IP: 4
File: 1

Soft:
macOS, Telegram, cURL

Wallets:
electrum

Algorithms:
base64, zip

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
windows: 5, code: 1, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2024 году пользователи macOS столкнулись со значительным всплеском вредоносного ПО от стиллера, количество зарегистрированных случаев увеличилось на 101%, что ознаменовало переход от угроз, нацеленных на Windows. Среди них появился Atomic macOS стиллер (AMOS), способный извлекать конфиденциальную информацию, такую как пароли для Связки ключей и данные веб-браузера. Активность вредоносного ПО начала распространяться в июне 2025 года и наиболее заметно затронула сектор образования, с несколькими IP-адресами командования и контроля (45.94.47.149, 45.94.47.144, 45.94.47.158, 45.94.47.211), связанными с его операциями.
-----

Ситуация с угрозами для пользователей macOS становится все более тревожной с появлением стиллеров информации, особенно в 2024 году, что знаменует собой значительный отход от среды вредоносного ПО, ориентированной на Windows. В недавнем отчете отмечается заметный рост на 101% числа внедрений стиллеров информации macOS всего за два квартала, что вызывает обеспокоенность у организаций, управляющих устройствами Apple. Стиллеры предназначены для извлечения конфиденциальной информации, включая учетные данные и финансовые данные, которые впоследствии могут быть проданы или использованы злоумышленниками в дальнейшем.

Одним из наиболее значимых выявленных угроз похититель атомной Стиллер (AMOS), впервые была зафиксирована в 2023 году. Это вредоносное ПО обладает расширенными возможностями для эксфильтрации множество конфиденциальной информации, такой как связка ключей Брелок, данные браузера, файлы cookie и криптовалюта кошелек информации. Методические разработки Atomic Stealer позволяет эффективно сбора критически важных данных из других систем.

Darktrace начала отслеживать рост популярности Atomic Stealer в июне 2025 года, наблюдая за его быстрым распространением со значительным воздействием на своих клиентов в 24 странах. Первоначально большинство обнаружений было сосредоточено в регионах Европы, Ближнего Востока и Африки (EMEA), но активность постепенно распространилась, затронув также пользователей в Северной и Южной Америке и Азиатско-Тихоокеанском регионе. Примечательно, что сектор образования испытал на себе самый высокий уровень воздействия, особенно в сентябре и октябре, которые совпали с возвращением учащихся в школу. Этот всплеск активности, вероятно, коррелирует с увеличением использования устройств, поскольку учащиеся повторно подключили свои потенциально скомпрометированные устройства к школьным сетям.

Расследование также предоставило индикаторы компрометации (IOCs), связанные с Atomic Stealer, включая несколько IP-адресов, связанных с конечными точками командования и контроля (C2) (45.94.47.149, 45.94.47.144, 45.94.47.158 и 45.94.47.211), а также файл с именем "out.zip "подозревается в использовании для эксфильтрации данных. Эти технические подробности подчеркивают продолжающуюся эволюцию угроз безопасности в экосистеме macOS и подчеркивают настоятельную необходимость усиления мер безопасности для защиты конфиденциальной информации от этой растущей угрозы.

#ParsedReport #CompletenessHigh
05-12-2025

Unveiling WARP PANDA: A New Sophisticated China-Nexus Adversary

https://www.crowdstrike.com/en-us/blog/warp-panda-cloud-threats/

Report completeness: High

Actors/Campaigns:
Warp_panda (motivation: cyber_espionage)

Threats:
Brickstorm
Junction
Guestconduit_tool
Timestomp_technique

Victims:
Legal sector, Technology sector, Manufacturing sector, Vmware vcenter environments, Cloud environments

Industry:
Government

Geo:
Asia pacific, Chinese, America, China

CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2021-22005 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud_foundation (<5.0)
- vmware vcenter_server (6.5, 6.7, 7.0)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-38812 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud_foundation (<5.2)

CVE-2023-34048 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware vcenter_server (le5.5, 7.0, 8.0)

CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip_access_policy_manager (le13.1.5, le14.1.5, le15.1.10, le16.1.4, le17.1.1)


TTPs:
Tactics: 9
Technics: 31

IOCs:
Hash: 4
IP: 2

Soft:
ESXi, Active Directory Domain Services, Ivanti, BIG-IP, Graph API, Office365

Algorithms:
exhibit, sha256

Languages:
golang

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CrowdStrike выявила изощренного китайского злоумышленника WARP PANDA, нацелившегося на американские организации путем использования уязвимостей VMware vCenter. Группа использует множество вредоносных инструментов, включая бэкдор BRICKSTORM на базе Golang и специфичные для ESXi имплантаты Junction и GuestConduit, которые облегчают выполнение команд и проксирование сетевого трафика. WARP PANDA демонстрирует передовые операционные методы, включая перемещение внутри компании по Облачным сервисам и тактику уклонения, такую как запутывание, для поддержания закрепления и использования устройств, подключенных к Интернету.
-----

В 2025 году CrowdStrike выявила изощренного китайского противника, известного как WARP PANDA, который нацелился на американские организации, используя уязвимости в средах VMware vCenter. WARP PANDA продемонстрировала передовые навыки операционной безопасности и обширные знания облачных сред и сред виртуальных машин, используя несколько вредоносных инструментов, включая вредоносное ПО BRICKSTORM, а также два новых имплантата, специально разработанных для сред ESXi — Junction и GuestConduit.

BRICKSTORM - это бэкдор, реализованный в Golang, который маскируется под законные процессы vCenter, такие как updatemgr и vami-http. Он обладает возможностями туннелирования и управления файлами, позволяя злоумышленнику перемещаться по файловым системам и выполнять передачу файлов. Тем временем Junction, который также работает на серверах ESXi, маскируется под легальный сервис, прослушивая порт 8090. Этот имплантат функционирует как HTTP-сервер с широкими возможностями выполнения команд, а также возможностью прокси-сервера сетевого трафика и взаимодействия с гостевыми виртуальными машинами через сокеты виртуальных машин (VSOCK). GuestConduit, еще один имплантат на базе Golang, предназначен для использования в гостевой виртуальной машине, устанавливая прослушиватель VSOCK на порт 5555 для облегчения связи между гостевыми виртуальными машинами и гипервизорами. Он обрабатывает запросы в формате JSON для зеркального отображения или перенаправления сетевого трафика, помогая Junction выполнять команды туннелирования.

WARP PANDA активно использовала различные уязвимости, особенно в подключенных к Интернету периферийных устройствах и средах VMware, подчеркивая свои возможности в качестве противника, ориентированного на облачные технологии. Было замечено, что группа применяла различные тактики, такие как получение действительных Облачных учетных записей, использование Веб-шеллов для постоянного доступа и использование методов запутывания, таких как Удаление файлов и манипулирование временными метками, чтобы избежать обнаружения. Противник активен по меньшей мере с 2022 года и демонстрирует уникальный арсенал средств, который отличает его от других злоумышленников.

Сетевая инфраструктура группы демонстрирует использование Cloudflare для регистрации доменов и использования услуг VPS-хостинга. Его механизмы командования и контроля работают с использованием WebSockets по протоколам TLS и DNS-over-HTTPS для обеспечения безопасности каналов связи. Примечательно, что злоумышленник продемонстрировал возможности по перемещению внутри компании через Облачные сервисы, используя учетные данные и SSH для перехода между серверами vCenter и хостами ESXi.

Таким образом, WARP PANDA воплощает в себе очень сложного злоумышленника, использующего передовые технологии вредоносного ПО и оперативные тактики для проникновения и закрепления в целевых облачных средах, особенно тех, которые основаны на технологии VMware. Продолжающаяся эволюция этого противника и специфические методы, которые он использует, подчеркивают сохраняющиеся риски, с которыми сталкиваются организации в сфере облачной инфраструктуры.

#ParsedReport #CompletenessMedium
05-12-2025

Behind the Walls: Techniques and Tactics in Castle RAT Client Malware

https://www.splunk.com/en_us/blog/security/castlerat-malware-detection-splunk-mitre-attck.html

Report completeness: Medium

Threats:
Nightshade
Dead_drop_technique
Uac_bypass_technique
Fodhelper_technique

Victims:
Windows users

TTPs:
Tactics: 4
Technics: 12

IOCs:
File: 15
Hash: 4

Soft:
chrome, firefox, Steam, Slack

Algorithms:
rc4, sha256

Functions:
SetWindowsHookEx, MFEnumDeviceSources

Win API:
SendInput, NtDuplicateObject, DuplicateHandle

Languages:
powershell, python, java

Platforms:
x86

Links:
have more...
https://github.com/Kudaes/Elevator/tree/main

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CastleRAT - это троян удаленного доступа (RAT), который собирает конфиденциальную информацию, такую как системные данные и Данные из буфера обмена, выполняя Регистрацию нажатий клавиш, Захват видеоданных и Перехват сессии браузера. Он взаимодействует со своим сервером командования и управления, используя зашифрованные передачи с помощью потокового шифра RC4, и устанавливает закрепление путем регистрации в качестве запланированной задачи. Меры безопасности могут включать мониторинг аномального поведения, особенно связанного с методами дублирования дескрипторов Windows, используемыми для повышения привилегий.
-----

CastleRAT - это троян удаленного доступа (RAT) с целым рядом разрушительных функций, которые он развертывает в вредоносных целях. Его основные возможности включают сбор системной информации, сбор Данных из буфера обмена, Регистрацию нажатий клавиш, Межпроцессное взаимодействие и Захват видеоданных. Когда устройство скомпрометировано, CastleRAT собирает основные системные данные, такие как имя компьютера, логин и общедоступный IP-адрес, часто отправляя эти данные обратно на свой сервер командования и контроля (C2) для постоянного наблюдения.

Вредоносное ПО использует несколько потоков для одновременного выполнения различных действий, включая извлечение Данных из буфера обмена. Этот метод особенно агрессивен, поскольку он нацелен на конфиденциальную информацию, такую как имена пользователей и пароли, которые часто копируются пользователями. Кроме того, CastleRAT использует потоковый шифр RC4 для защиты передачи данных между зараженным хостом и сервером C2, включая загрузку и выполнение своих плагинов с помощью утилиты Windows rundll32.exe .

Регистрация нажатий клавиш - еще одна важная функция, при которой CastleRAT фиксирует ввод с клавиатуры и шифрует данные перед отправкой их на сервер злоумышленника. Вредоносное ПО также может создать бэкдор для выполнения команд на компьютере жертвы с помощью анонимных каналов Межпроцессного взаимодействия (IPC), что позволяет выполнять скрытые команды без каких-либо очевидных признаков для пользователя.

CastleRAT еще больше усиливает свой контроль над зараженной системой посредством Перехвата сессии браузера, который включает в себя завершение существующих процессов браузера для их повторного открытия способом, позволяющим осуществлять необнаруженный мониторинг звука. Кроме того, он захватывает видео и аудио с помощью API Microsoft Media Foundation, позволяя злоумышленнику подтвердить существование устройств захвата перед началом шпионской деятельности.

Чтобы обеспечить закрепление, CastleRAT регистрирует себя как запланированную задачу, позволяя ей выполняться при запуске системы, тем самым сохраняя свою точку опоры после перезагрузки. Он также использует Закладки с данными, используя, казалось бы, безобидные онлайн-платформы, такие как страницы сообщества Steam, для запутывания процессов поиска команд и взаимодействия с данными.

Важным аспектом работы CastleRAT's является повышение привилегий с помощью методов дублирования дескрипторов Windows. В частности, он использует службу Appinfo для запуска выполнения доверенного двоичного файла в привилегированном контексте, что затем позволяет вредоносному ПО дублировать дескрипторы процессов. Этот метод облегчает скрытное повышение привилегий и создает проблемы для криминалистического анализа из-за его минимального объема на диске.

Обнаружение действий CastleRAT может быть достигнуто с помощью специальных аналитических стратегий, фокусирующихся на поведении, связанном с его операциями, таких как мониторинг необычного дублирования дескрипторов в законных двоичных файлах и выявление несанкционированного выполнения кода с помощью rundll32.exe . Эти методы обнаружения имеют решающее значение для выявления и смягчения угрозы, исходящей от CastleRAT и аналогичного вредоносного ПО.

#ParsedReport #CompletenessLow
05-12-2025

China-nexus cyber threat groups rapidly exploit React2Shell vulnerability (CVE-2025-55182)

https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/

Report completeness: Low

Actors/Campaigns:
Earth_lamia
Jackpot_panda

Threats:
React2shell_vuln

Victims:
React applications, Next.js applications

Industry:
Government, Retail, Education, Logistic

Geo:
Latin america, Middle east, China, Asia, Chinese

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-1338 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1190, T1587.006, T1595, T1598.003

IOCs:
File: 2
IP: 4

Soft:
Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость CVE-2025-55182, или React2Shell, является критическая уязвимость, затрагивающую варианты реагировать 19.X и Next.js версии 15.х и 16.х, с CVSS оценку 10.0, из-за небезопасной десериализации. Попытки эксплуатации наблюдается из Китая государства-связь опасный групп, в том числе Earth Lamia и Jackpot Panda, используя автоматизированные инструменты сканирования и использования множественные уязвимости. Их быстрая адаптация публичных эксплойтов способствует высокой громкости кампании по эксплуатации, затрудняющих обнаружение и атрибуции.
-----

CVE-2025-55182, известная как React2Shell, представляет собой критическую уязвимость, обнаруженную в серверных компонентах React, с максимальным показателем CVSS 10.0. В первую очередь это касается версий React 19.x и Next.js версии 15.x и 16.x при использовании App Router. После его публичного раскрытия 3 декабря 2025 года несколько хакерских группировок, связанных с китайским государством, в частности Earth Lamia и Jackpot Panda, заметили попытки быстрой эксплуатации. Уязвимость была первоначально обнаружена Лахланом Дэвидсоном и сообщена команде React 29 ноября 2025 года, определив ее как небезопасную проблему десериализации.

Команды Amazon threat intelligence отслеживали попытки эксплуатации через свою сеть MadPot honeypot, которая выявляла активность с IP-адресов, связанных с известными акторами China state-nexus. Характер операций этих акторов затрудняет установление окончательной принадлежности из-за общей инфраструктуры анонимизации. Методы, используемые этими акторами, включают использование автоматизированных средств сканирования, способных избежать обнаружения с помощью таких методов, как рандомизация пользовательского агента. Примечательно, что они сосредоточены не только на React2Shell; одновременное использование других обнаруженных уязвимостей, таких как CVE-2025-1338, указывает на стратегический подход. Такое системное поведение подчеркивает их способность быстро интегрировать новые общедоступные эксплойты в текущие кампании, тем самым повышая вероятность обнаружения уязвимых целей.

Злоумышленники, как правило, отдают предпочтение скорости, а не точности, часто используя некорректные или частично функциональные публичные доказательства концепции (POC), чтобы максимизировать попытки эксплуатации. Такой подход, основанный на объемах, в сочетании с простотой доступа к широкому спектру общедоступных эксплойтов предоставляет даже менее квалифицированным акторам возможность участвовать в кампаниях по эксплуатации. Кроме того, многочисленные неудачные попытки могут создавать значительный шум в журналах, потенциально скрывающий более сложные угрозы.

В этих попытках наблюдались устойчивые и методичные закономерности, о чем свидетельствует инцидент с участием неустановленной группы акторов, которые посвятили значительное время систематическому устранению неполадок в своих попытках эксплуатации в течение почти часа.

В то время как системы безопасности Amazon, такие как Sonaris Active Defense, нацелены на обнаружение и блокирование вредоносной активности, нацеленной на эту уязвимость, путем анализа огромных объемов данных в режиме реального времени, подчеркивается, что эти средства защиты не заменяют конечным пользователям необходимость применения исправлений. Действующие клиенты реагируют или Next.js приложения в средах, таких как EC2 или контейнеры настоятельно рекомендуется немедленно обновить их уязвимых приложений, чтобы уменьшить риски, связанные с этой серьезной уязвимости.

#ParsedReport #CompletenessMedium
05-12-2025

New FvncBot Android banking trojan targets Poland

https://www.intel471.com/blog/new-fvncbot-android-banking-trojan-targets-poland

Report completeness: Medium

Actors/Campaigns:
Goldencrypt

Threats:
Fvncbot
Hvnc_tool
Ermac

Victims:
Banking users

Industry:
Financial

Geo:
Poland, Polish

ChatGPT TTPs:
do not use without manual check
T1401, T1406, T1407, T1410, T1411, T1417.001, T1422, T1437, T1444, T1471, have more...

IOCs:
Hash: 2

Soft:
Android, WhatsApp

Algorithms:
sha256

Languages:
javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
25 ноября 2025 года Intel 471 идентифицировала Android-банковский троян под названием FvncBot, который работает как загрузчик, замаскированный под приложение безопасности для mBank в Польше. FvncBot поддерживает Регистрацию нажатий клавиш, использует службы специальных возможностей Android и использует Firebase Cloud Messaging для приема команд, позволяя вести журнал в режиме реального времени и манипулировать зараженными устройствами. Вредоносное ПО, скорее всего, распространяется через веб-сайты фишинга или платформы обмена сообщениями, используя тактику социальной инженерии, чтобы обманом заставить пользователей установить его.
-----

25 ноября 2025 года исследователи Intel 471 идентифицировали вредоносное приложение, функционирующее в качестве загрузчика для нового банковского трояна Android под названием FvncBot, предназначенного для пользователей мобильного банкинга в Польше. Приложение было замаскировано под приложение безопасности для mBank, авторитетного польского банка, чтобы обмануть пользователей. Загрузчик и связанная с ним полезная нагрузка были запутаны с помощью службы шифрования apk0day, что указывает на потенциальную связь между разработчиками обоих компонентов.

FvncBot включает в себя различные вредоносные функции для облегчения финансового мошенничества. В частности, он использует Регистрация нажатий клавиш приемы, которые используют сервис специальных возможностей Android ПО для кражи конфиденциальной информации, такой как пароли и одноразовый пароль (OTP) кодов. Эти данные хранятся в буфере фиксированного размера и передача пакетов по протоколу HTTP, когда буфер достигает своего предела. Кроме того, FvncBot может отправлять логи в режиме реального времени через соединение с WebSocket, решающее значение для задач, таких как прослушивание экрана, и устройство дистанционного управления.

Вредоносное ПО использует Firebase Cloud Messaging (FCM) для получения команд, повышая свои операционные возможности. Такие функции, как атаки с использованием веб-инъекций и скрытые виртуальные сетевые вычисления (HVNC), еще больше повышают уровень угрозы, позволяя злоумышленникам тайно манипулировать зараженным устройством.

Хотя механизм распространения этого троянца остается неясным, исторические данные свидетельствуют о том, что банковские трояны Android часто обходят Google Play, распространяясь через веб-сайты фишинга или платформы обмена сообщениями, где вредоносные приложения маскируются под законные предложения. Эта тактика подчеркивает текущие проблемы в области мобильной безопасности, когда злоумышленники используют социальную инженерию, чтобы обманом заставить пользователей устанавливать вредоносное ПО.

#ParsedReport #CompletenessMedium
05-12-2025

Malicious Crate Mimicking Finch Exfiltrates Credentials via a Hidden Dependency

https://socket.dev/blog/malicious-crate-mimicking-finch-exfiltrates-credentials

Report completeness: Medium

Actors/Campaigns:
Faceless

Threats:
Typosquatting_technique
Finch-rust
Sha-rust
Credential_stealing_technique
Supply_chain_technique
Credential_harvesting_technique

Victims:
Software developers, Open source ecosystem

Industry:
Financial

TTPs:
Tactics: 4
Technics: 4

IOCs:
File: 9
Url: 2
Email: 2
Domain: 1

Soft:
Outlook

Crypto:
solana

Algorithms:
base64

Functions:
_API_URL, _S4, _S5, _S10

Languages:
rust

Links:
have more...
http://github.com/onecodex/finch-rshttps://github.com/onecodex/finch-rs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный Rust-файл с именем "finch-rust", созданный с помощью typosquatting злоумышленником "faceless", имитирует законный инструмент биоинформатики и служит загрузчиком для другого credential-stealing-файла, "sha-rust"." Вредоносный код использует обфускацию и кодировку base64, чтобы облегчить кражу учетных данных пользователя, Маскировку под надежный инструмент. Злоумышленник выдал себя за законного разработчика и использует конфигурацию незакрепленных зависимостей для включения автоматических обновлений, демонстрируя такие тактики, как Компрометация цепочки поставок и запутывание с помощью платформы MITRE ATT&CK.
-----

Недавнее исследование выявило вредоносный Rust crate под названием "finch-rust", который является результатом typosquatting-атаки злоумышленника, называемого "faceless". Этот вредоносный пакет имитирует законный инструмент биоинформатики под названием "finch", который загрузили более 67 000 раз. Ключевая функциональность "finch-rust" заключается в том, чтобы выступать в качестве загрузчика, который интегрирует скрытую зависимость от другого пакета под названием "sha-rust", ответственного за кражу учетных данных пользователя. За короткий промежуток в две недели "sha-rust" претерпел восемь быстрых итераций, что свидетельствует о его активном развитии и растущей сложности атаки.

При проверке вредоносный код вводит одну строку, предназначенную для инициирования кражи учетных данных, в то время как сам "finch-rust" выглядит законным и функционирует аналогично оригинальному инструменту finch. Специфическая механика процесса credential-stealing предполагает использование строк в кодировке base64 и запутанных имен функций, и то, и другое является тактикой, используемой для уклонения от обнаружения с помощью мер безопасности.

Актор, стоящий за этой атакой, успешно выдал себя за заслуживающего доверия пользователя GitHub "radioman", который является законным разработчиком Rust с историей вклада и проектов. Однако вредоносных хранилищ не существует, поскольку злоумышленник сфабриковал адрес электронной почты и URL-адреса хранилища для укрепления доверия. Учетные данные, на которые нацелено вредоносное ПО, состоят из файлов, хранящих конфиденциальную пользовательскую информацию.

Кроме того, "Finch-RUST" использует конфигурацию зависимостей снимается, что позволяет автоматически обновлять и предоставлять последние версии вредоносную нагрузку, усиливая его потенциал для дальнейшей эксплуатации жертв. Активность выравнивает различные тактики, описанные в рамках Митре АТТ&СК, в том числе компрометация цепочки поставок и выполнение с участием пользователя через вредоносные библиотеки, вместе с техникой для запутывания и учетных данных эксфильтрация через систему командования и управления (С2) каналы. Этот случай иллюстрирует опасности цепочка поставок снабжения и подчеркивает необходимость для разработчиков проявлять осторожность при зависимостей в своих проектах.