#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CrowdStrike выявила изощренного китайского злоумышленника WARP PANDA, нацелившегося на американские организации путем использования уязвимостей VMware vCenter. Группа использует множество вредоносных инструментов, включая бэкдор BRICKSTORM на базе Golang и специфичные для ESXi имплантаты Junction и GuestConduit, которые облегчают выполнение команд и проксирование сетевого трафика. WARP PANDA демонстрирует передовые операционные методы, включая перемещение внутри компании по Облачным сервисам и тактику уклонения, такую как запутывание, для поддержания закрепления и использования устройств, подключенных к Интернету.
-----

В 2025 году CrowdStrike выявила изощренного китайского противника, известного как WARP PANDA, который нацелился на американские организации, используя уязвимости в средах VMware vCenter. WARP PANDA продемонстрировала передовые навыки операционной безопасности и обширные знания облачных сред и сред виртуальных машин, используя несколько вредоносных инструментов, включая вредоносное ПО BRICKSTORM, а также два новых имплантата, специально разработанных для сред ESXi — Junction и GuestConduit.

BRICKSTORM - это бэкдор, реализованный в Golang, который маскируется под законные процессы vCenter, такие как updatemgr и vami-http. Он обладает возможностями туннелирования и управления файлами, позволяя злоумышленнику перемещаться по файловым системам и выполнять передачу файлов. Тем временем Junction, который также работает на серверах ESXi, маскируется под легальный сервис, прослушивая порт 8090. Этот имплантат функционирует как HTTP-сервер с широкими возможностями выполнения команд, а также возможностью прокси-сервера сетевого трафика и взаимодействия с гостевыми виртуальными машинами через сокеты виртуальных машин (VSOCK). GuestConduit, еще один имплантат на базе Golang, предназначен для использования в гостевой виртуальной машине, устанавливая прослушиватель VSOCK на порт 5555 для облегчения связи между гостевыми виртуальными машинами и гипервизорами. Он обрабатывает запросы в формате JSON для зеркального отображения или перенаправления сетевого трафика, помогая Junction выполнять команды туннелирования.

WARP PANDA активно использовала различные уязвимости, особенно в подключенных к Интернету периферийных устройствах и средах VMware, подчеркивая свои возможности в качестве противника, ориентированного на облачные технологии. Было замечено, что группа применяла различные тактики, такие как получение действительных Облачных учетных записей, использование Веб-шеллов для постоянного доступа и использование методов запутывания, таких как Удаление файлов и манипулирование временными метками, чтобы избежать обнаружения. Противник активен по меньшей мере с 2022 года и демонстрирует уникальный арсенал средств, который отличает его от других злоумышленников.

Сетевая инфраструктура группы демонстрирует использование Cloudflare для регистрации доменов и использования услуг VPS-хостинга. Его механизмы командования и контроля работают с использованием WebSockets по протоколам TLS и DNS-over-HTTPS для обеспечения безопасности каналов связи. Примечательно, что злоумышленник продемонстрировал возможности по перемещению внутри компании через Облачные сервисы, используя учетные данные и SSH для перехода между серверами vCenter и хостами ESXi.

Таким образом, WARP PANDA воплощает в себе очень сложного злоумышленника, использующего передовые технологии вредоносного ПО и оперативные тактики для проникновения и закрепления в целевых облачных средах, особенно тех, которые основаны на технологии VMware. Продолжающаяся эволюция этого противника и специфические методы, которые он использует, подчеркивают сохраняющиеся риски, с которыми сталкиваются организации в сфере облачной инфраструктуры.

#ParsedReport #CompletenessMedium
05-12-2025

Behind the Walls: Techniques and Tactics in Castle RAT Client Malware

https://www.splunk.com/en_us/blog/security/castlerat-malware-detection-splunk-mitre-attck.html

Report completeness: Medium

Threats:
Nightshade
Dead_drop_technique
Uac_bypass_technique
Fodhelper_technique

Victims:
Windows users

TTPs:
Tactics: 4
Technics: 12

IOCs:
File: 15
Hash: 4

Soft:
chrome, firefox, Steam, Slack

Algorithms:
rc4, sha256

Functions:
SetWindowsHookEx, MFEnumDeviceSources

Win API:
SendInput, NtDuplicateObject, DuplicateHandle

Languages:
powershell, python, java

Platforms:
x86

Links:
have more...
https://github.com/Kudaes/Elevator/tree/main

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CastleRAT - это троян удаленного доступа (RAT), который собирает конфиденциальную информацию, такую как системные данные и Данные из буфера обмена, выполняя Регистрацию нажатий клавиш, Захват видеоданных и Перехват сессии браузера. Он взаимодействует со своим сервером командования и управления, используя зашифрованные передачи с помощью потокового шифра RC4, и устанавливает закрепление путем регистрации в качестве запланированной задачи. Меры безопасности могут включать мониторинг аномального поведения, особенно связанного с методами дублирования дескрипторов Windows, используемыми для повышения привилегий.
-----

CastleRAT - это троян удаленного доступа (RAT) с целым рядом разрушительных функций, которые он развертывает в вредоносных целях. Его основные возможности включают сбор системной информации, сбор Данных из буфера обмена, Регистрацию нажатий клавиш, Межпроцессное взаимодействие и Захват видеоданных. Когда устройство скомпрометировано, CastleRAT собирает основные системные данные, такие как имя компьютера, логин и общедоступный IP-адрес, часто отправляя эти данные обратно на свой сервер командования и контроля (C2) для постоянного наблюдения.

Вредоносное ПО использует несколько потоков для одновременного выполнения различных действий, включая извлечение Данных из буфера обмена. Этот метод особенно агрессивен, поскольку он нацелен на конфиденциальную информацию, такую как имена пользователей и пароли, которые часто копируются пользователями. Кроме того, CastleRAT использует потоковый шифр RC4 для защиты передачи данных между зараженным хостом и сервером C2, включая загрузку и выполнение своих плагинов с помощью утилиты Windows rundll32.exe .

Регистрация нажатий клавиш - еще одна важная функция, при которой CastleRAT фиксирует ввод с клавиатуры и шифрует данные перед отправкой их на сервер злоумышленника. Вредоносное ПО также может создать бэкдор для выполнения команд на компьютере жертвы с помощью анонимных каналов Межпроцессного взаимодействия (IPC), что позволяет выполнять скрытые команды без каких-либо очевидных признаков для пользователя.

CastleRAT еще больше усиливает свой контроль над зараженной системой посредством Перехвата сессии браузера, который включает в себя завершение существующих процессов браузера для их повторного открытия способом, позволяющим осуществлять необнаруженный мониторинг звука. Кроме того, он захватывает видео и аудио с помощью API Microsoft Media Foundation, позволяя злоумышленнику подтвердить существование устройств захвата перед началом шпионской деятельности.

Чтобы обеспечить закрепление, CastleRAT регистрирует себя как запланированную задачу, позволяя ей выполняться при запуске системы, тем самым сохраняя свою точку опоры после перезагрузки. Он также использует Закладки с данными, используя, казалось бы, безобидные онлайн-платформы, такие как страницы сообщества Steam, для запутывания процессов поиска команд и взаимодействия с данными.

Важным аспектом работы CastleRAT's является повышение привилегий с помощью методов дублирования дескрипторов Windows. В частности, он использует службу Appinfo для запуска выполнения доверенного двоичного файла в привилегированном контексте, что затем позволяет вредоносному ПО дублировать дескрипторы процессов. Этот метод облегчает скрытное повышение привилегий и создает проблемы для криминалистического анализа из-за его минимального объема на диске.

Обнаружение действий CastleRAT может быть достигнуто с помощью специальных аналитических стратегий, фокусирующихся на поведении, связанном с его операциями, таких как мониторинг необычного дублирования дескрипторов в законных двоичных файлах и выявление несанкционированного выполнения кода с помощью rundll32.exe . Эти методы обнаружения имеют решающее значение для выявления и смягчения угрозы, исходящей от CastleRAT и аналогичного вредоносного ПО.

#ParsedReport #CompletenessLow
05-12-2025

China-nexus cyber threat groups rapidly exploit React2Shell vulnerability (CVE-2025-55182)

https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/

Report completeness: Low

Actors/Campaigns:
Earth_lamia
Jackpot_panda

Threats:
React2shell_vuln

Victims:
React applications, Next.js applications

Industry:
Government, Retail, Education, Logistic

Geo:
Latin america, Middle east, China, Asia, Chinese

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-1338 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1190, T1587.006, T1595, T1598.003

IOCs:
File: 2
IP: 4

Soft:
Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость CVE-2025-55182, или React2Shell, является критическая уязвимость, затрагивающую варианты реагировать 19.X и Next.js версии 15.х и 16.х, с CVSS оценку 10.0, из-за небезопасной десериализации. Попытки эксплуатации наблюдается из Китая государства-связь опасный групп, в том числе Earth Lamia и Jackpot Panda, используя автоматизированные инструменты сканирования и использования множественные уязвимости. Их быстрая адаптация публичных эксплойтов способствует высокой громкости кампании по эксплуатации, затрудняющих обнаружение и атрибуции.
-----

CVE-2025-55182, известная как React2Shell, представляет собой критическую уязвимость, обнаруженную в серверных компонентах React, с максимальным показателем CVSS 10.0. В первую очередь это касается версий React 19.x и Next.js версии 15.x и 16.x при использовании App Router. После его публичного раскрытия 3 декабря 2025 года несколько хакерских группировок, связанных с китайским государством, в частности Earth Lamia и Jackpot Panda, заметили попытки быстрой эксплуатации. Уязвимость была первоначально обнаружена Лахланом Дэвидсоном и сообщена команде React 29 ноября 2025 года, определив ее как небезопасную проблему десериализации.

Команды Amazon threat intelligence отслеживали попытки эксплуатации через свою сеть MadPot honeypot, которая выявляла активность с IP-адресов, связанных с известными акторами China state-nexus. Характер операций этих акторов затрудняет установление окончательной принадлежности из-за общей инфраструктуры анонимизации. Методы, используемые этими акторами, включают использование автоматизированных средств сканирования, способных избежать обнаружения с помощью таких методов, как рандомизация пользовательского агента. Примечательно, что они сосредоточены не только на React2Shell; одновременное использование других обнаруженных уязвимостей, таких как CVE-2025-1338, указывает на стратегический подход. Такое системное поведение подчеркивает их способность быстро интегрировать новые общедоступные эксплойты в текущие кампании, тем самым повышая вероятность обнаружения уязвимых целей.

Злоумышленники, как правило, отдают предпочтение скорости, а не точности, часто используя некорректные или частично функциональные публичные доказательства концепции (POC), чтобы максимизировать попытки эксплуатации. Такой подход, основанный на объемах, в сочетании с простотой доступа к широкому спектру общедоступных эксплойтов предоставляет даже менее квалифицированным акторам возможность участвовать в кампаниях по эксплуатации. Кроме того, многочисленные неудачные попытки могут создавать значительный шум в журналах, потенциально скрывающий более сложные угрозы.

В этих попытках наблюдались устойчивые и методичные закономерности, о чем свидетельствует инцидент с участием неустановленной группы акторов, которые посвятили значительное время систематическому устранению неполадок в своих попытках эксплуатации в течение почти часа.

В то время как системы безопасности Amazon, такие как Sonaris Active Defense, нацелены на обнаружение и блокирование вредоносной активности, нацеленной на эту уязвимость, путем анализа огромных объемов данных в режиме реального времени, подчеркивается, что эти средства защиты не заменяют конечным пользователям необходимость применения исправлений. Действующие клиенты реагируют или Next.js приложения в средах, таких как EC2 или контейнеры настоятельно рекомендуется немедленно обновить их уязвимых приложений, чтобы уменьшить риски, связанные с этой серьезной уязвимости.

#ParsedReport #CompletenessMedium
05-12-2025

New FvncBot Android banking trojan targets Poland

https://www.intel471.com/blog/new-fvncbot-android-banking-trojan-targets-poland

Report completeness: Medium

Actors/Campaigns:
Goldencrypt

Threats:
Fvncbot
Hvnc_tool
Ermac

Victims:
Banking users

Industry:
Financial

Geo:
Poland, Polish

ChatGPT TTPs:
do not use without manual check
T1401, T1406, T1407, T1410, T1411, T1417.001, T1422, T1437, T1444, T1471, have more...

IOCs:
Hash: 2

Soft:
Android, WhatsApp

Algorithms:
sha256

Languages:
javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
25 ноября 2025 года Intel 471 идентифицировала Android-банковский троян под названием FvncBot, который работает как загрузчик, замаскированный под приложение безопасности для mBank в Польше. FvncBot поддерживает Регистрацию нажатий клавиш, использует службы специальных возможностей Android и использует Firebase Cloud Messaging для приема команд, позволяя вести журнал в режиме реального времени и манипулировать зараженными устройствами. Вредоносное ПО, скорее всего, распространяется через веб-сайты фишинга или платформы обмена сообщениями, используя тактику социальной инженерии, чтобы обманом заставить пользователей установить его.
-----

25 ноября 2025 года исследователи Intel 471 идентифицировали вредоносное приложение, функционирующее в качестве загрузчика для нового банковского трояна Android под названием FvncBot, предназначенного для пользователей мобильного банкинга в Польше. Приложение было замаскировано под приложение безопасности для mBank, авторитетного польского банка, чтобы обмануть пользователей. Загрузчик и связанная с ним полезная нагрузка были запутаны с помощью службы шифрования apk0day, что указывает на потенциальную связь между разработчиками обоих компонентов.

FvncBot включает в себя различные вредоносные функции для облегчения финансового мошенничества. В частности, он использует Регистрация нажатий клавиш приемы, которые используют сервис специальных возможностей Android ПО для кражи конфиденциальной информации, такой как пароли и одноразовый пароль (OTP) кодов. Эти данные хранятся в буфере фиксированного размера и передача пакетов по протоколу HTTP, когда буфер достигает своего предела. Кроме того, FvncBot может отправлять логи в режиме реального времени через соединение с WebSocket, решающее значение для задач, таких как прослушивание экрана, и устройство дистанционного управления.

Вредоносное ПО использует Firebase Cloud Messaging (FCM) для получения команд, повышая свои операционные возможности. Такие функции, как атаки с использованием веб-инъекций и скрытые виртуальные сетевые вычисления (HVNC), еще больше повышают уровень угрозы, позволяя злоумышленникам тайно манипулировать зараженным устройством.

Хотя механизм распространения этого троянца остается неясным, исторические данные свидетельствуют о том, что банковские трояны Android часто обходят Google Play, распространяясь через веб-сайты фишинга или платформы обмена сообщениями, где вредоносные приложения маскируются под законные предложения. Эта тактика подчеркивает текущие проблемы в области мобильной безопасности, когда злоумышленники используют социальную инженерию, чтобы обманом заставить пользователей устанавливать вредоносное ПО.

#ParsedReport #CompletenessMedium
05-12-2025

Malicious Crate Mimicking Finch Exfiltrates Credentials via a Hidden Dependency

https://socket.dev/blog/malicious-crate-mimicking-finch-exfiltrates-credentials

Report completeness: Medium

Actors/Campaigns:
Faceless

Threats:
Typosquatting_technique
Finch-rust
Sha-rust
Credential_stealing_technique
Supply_chain_technique
Credential_harvesting_technique

Victims:
Software developers, Open source ecosystem

Industry:
Financial

TTPs:
Tactics: 4
Technics: 4

IOCs:
File: 9
Url: 2
Email: 2
Domain: 1

Soft:
Outlook

Crypto:
solana

Algorithms:
base64

Functions:
_API_URL, _S4, _S5, _S10

Languages:
rust

Links:
have more...
http://github.com/onecodex/finch-rshttps://github.com/onecodex/finch-rs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный Rust-файл с именем "finch-rust", созданный с помощью typosquatting злоумышленником "faceless", имитирует законный инструмент биоинформатики и служит загрузчиком для другого credential-stealing-файла, "sha-rust"." Вредоносный код использует обфускацию и кодировку base64, чтобы облегчить кражу учетных данных пользователя, Маскировку под надежный инструмент. Злоумышленник выдал себя за законного разработчика и использует конфигурацию незакрепленных зависимостей для включения автоматических обновлений, демонстрируя такие тактики, как Компрометация цепочки поставок и запутывание с помощью платформы MITRE ATT&CK.
-----

Недавнее исследование выявило вредоносный Rust crate под названием "finch-rust", который является результатом typosquatting-атаки злоумышленника, называемого "faceless". Этот вредоносный пакет имитирует законный инструмент биоинформатики под названием "finch", который загрузили более 67 000 раз. Ключевая функциональность "finch-rust" заключается в том, чтобы выступать в качестве загрузчика, который интегрирует скрытую зависимость от другого пакета под названием "sha-rust", ответственного за кражу учетных данных пользователя. За короткий промежуток в две недели "sha-rust" претерпел восемь быстрых итераций, что свидетельствует о его активном развитии и растущей сложности атаки.

При проверке вредоносный код вводит одну строку, предназначенную для инициирования кражи учетных данных, в то время как сам "finch-rust" выглядит законным и функционирует аналогично оригинальному инструменту finch. Специфическая механика процесса credential-stealing предполагает использование строк в кодировке base64 и запутанных имен функций, и то, и другое является тактикой, используемой для уклонения от обнаружения с помощью мер безопасности.

Актор, стоящий за этой атакой, успешно выдал себя за заслуживающего доверия пользователя GitHub "radioman", который является законным разработчиком Rust с историей вклада и проектов. Однако вредоносных хранилищ не существует, поскольку злоумышленник сфабриковал адрес электронной почты и URL-адреса хранилища для укрепления доверия. Учетные данные, на которые нацелено вредоносное ПО, состоят из файлов, хранящих конфиденциальную пользовательскую информацию.

Кроме того, "Finch-RUST" использует конфигурацию зависимостей снимается, что позволяет автоматически обновлять и предоставлять последние версии вредоносную нагрузку, усиливая его потенциал для дальнейшей эксплуатации жертв. Активность выравнивает различные тактики, описанные в рамках Митре АТТ&СК, в том числе компрометация цепочки поставок и выполнение с участием пользователя через вредоносные библиотеки, вместе с техникой для запутывания и учетных данных эксфильтрация через систему командования и управления (С2) каналы. Этот случай иллюстрирует опасности цепочка поставок снабжения и подчеркивает необходимость для разработчиков проявлять осторожность при зависимостей в своих проектах.

#ParsedReport #CompletenessMedium
06-12-2025

APT-C-53 (Gamaredon) phishing attack campaign using CVE-2025-8088

https://www.ctfiot.com/285414.html

Report completeness: Medium

Actors/Campaigns:
Gamaredon

Threats:
Spear-phishing_technique

Victims:
Ukrainian government departments, Government

Industry:
Government

Geo:
Ukrainian

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1566.001

IOCs:
File: 3
Url: 1
Domain: 5
Hash: 2
IP: 2

Soft:
WeChat

Algorithms:
zip, md5, base64

Win API:
decompress

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-53, или Gamaredon, использует CVE-2025-8088 в WinRAR для атак с обходом пути в рамках кампании spear phishing, нацеленной на украинские государственные структуры. Деятельность группы подчеркивает значительный риск кражи разведывательных данных, подчеркивая необходимость повышения бдительности в отношении таких развивающихся киберугроз. Закрепление Gamaredon's иллюстрирует текущие проблемы в области кибербезопасности, с которыми сталкиваются правительственные организации.
-----

В apt-c-53 группа, также известная как Gamaredon, активно эксплуатируя уязвимость CVE-2025-8088, уязвимость в WinRAR, которая позволяет для обхода пути атаки. Этот эксплуатации является частью более широкой Spear phishing копье для украинских правительственных учреждений в 2025 году, отметив постоянную угрозу, группа представляет в плане краж разведки. В докладе подчеркивается необходимость организации в целях повышения их информированности по вопросам безопасности и защитных мер. Это включает укрепление протоколы шифрования секретной информации, осуществляет строгий контроль доступа, и принимает активные меры для снижения рисков утечки информации, связанные с подобной злонамеренной кибернетической деятельности. Gamaredon Gamaredon подчеркивают исключительную важность кибербезопасность кибербезопасность в условиях новых угроз.

#ParsedReport #CompletenessMedium
03-12-2025

Malicious VSCode Extension Launches Multi-Stage Attack Chain with Anivia Loader and OctoRAT

https://hunt.io/blog/malicious-vscode-extension-anivia-octorat-attack-chain

Report completeness: Medium

Threats:
Anivia
Octorat
Process_hollowing_technique
Uac_bypass_technique
Fodhelper_technique
Credential_harvesting_technique
Supply_chain_technique

Victims:
Software developers, Vscode users

Industry:
Entertainment, E-commerce

Geo:
Netherlands, Germany

TTPs:
Tactics: 10
Technics: 18

IOCs:
IP: 7
File: 5
Path: 4
Registry: 3
Command: 2
Hash: 4

Soft:
VSCode, Visual Studio Code, Windows COM, NET Framework, Windows security, Chrome, Firefox, Windows Task Scheduler, Windows service, Windows Firewall, have more...

Wallets:
bitcoincore, electrum, exodus_wallet, atomicwallet, coinomi

Crypto:
bitcoin, ethereum

Algorithms:
base64, zip, aes-256, cbc, aes, sha256

Languages:
visual_basic, powershell, python

Links:
https://github.com/biwwwwwwwwwww/vscode
have more...
https://github.com/biwwwwwwwwwww/vscode/commits/main/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное расширение кода Visual Studio "prettiervscodeplus" представляло угрозу для Цепочки поставок, имитируя легальный инструмент и способствуя многоэтапной атаке с помощью загрузчика Anivia и вредоносного ПО OctoRAT. Загрузчик Anivia использует VBScript для создания файла PowerShell и использует шифрование AES-256 наряду с Внедрением в пустой процесс для ввода своей полезной нагрузки. OctoRAT, после активации, выполняет такие функции, как кража данных, удаленный доступ и UAC bypass с помощью уязвимости FodHelper, что подчеркивает риск взлома инструментов разработчика.
-----

Вредоносное расширение кода Visual Studio "prettiervscodeplus" было обнаружено на VSCode Marketplace. Он имитировал легитимный форматировщик Prettier и служил каналом для многоэтапной атаки с использованием загрузчика Anivia и вредоносного ПО OctoRAT. Расширение было доступно в течение короткого периода времени, что привело всего к шести загрузкам, прежде чем оно было удалено. Эта атака является примером Компрометации цепочки поставок, которая использовала доверие разработчиков к популярным инструментам.

Атака была инициирована с помощью загрузчика VBScript, который выполнял операции через COM-объекты Windows и создавал временный файл PowerShell. Загрузчик Anivia, проанализированный с помощью его кода на C#, использует жестко закодированный массив зашифрованных байтов для хранения полезной нагрузки, которую он расшифровывает в памяти с использованием шифрования AES-256 в режиме CBC. Этот загрузчик также использует Внедрение в пустой процесс, чтобы внедрить свою полезную нагрузку в процесс компилятора Visual Basic. Впоследствии полезная нагрузка третьей ступени, OctoRAT, активирует механизмы управления после ввода и использует различные методы для кражи данных и удаленного доступа.

OctoRAT является сложной системой, предоставляющей широкие возможности, включая удаленный доступ к рабочему столу, сбор учетных записей браузера и закрепление за запланированными задачами. Вредоносное ПО пытается UAC bypass, используя уязвимость FodHelper, которая позволяет ему работать с повышенными привилегиями. Его команды позволяют ему выполнять произвольные скрипты, извлекать конфиденциальные данные, такие как учетные данные Wi-Fi и информация о кошельке криптовалюты, а также устанавливать функции обратного прокси, эффективно превращая зараженные машины в инфраструктуру атаки.

Обнаружение этого вредоносного ПО включает мониторинг подозрительных установок вредоносного расширения, отслеживание необычной сетевой активности с помощью процесса компиляции Visual Basic и выявление попыток доступа к известным серверам управления. Экземпляр характеризуется веб-Панелью управления, используемой злоумышленником для управления операциями этого ботнет. Учитывая вредоносный характер функциональных возможностей OctoRAT's, его развертывание иллюстрирует тревожную тенденцию в ориентации на разработчиков с помощью надежных платформ, подчеркивая необходимость повышенных мер безопасности в средах разработки. Этот инцидент служит важным напоминанием о развивающихся угрозах в Цепочках поставок программного обеспечения, особенно в том, что касается инструментов разработчика.

#ParsedReport #CompletenessMedium
03-12-2025

From KPOT to Koi: The privatisation of a stealer family

https://www.pwc.com/gx/en/issues/cybersecurity/cyber-threat-intelligence/from-kpot-to-koi.html

Report completeness: Medium

Actors/Campaigns:
White_dev_192
Pinchy_spider

Threats:
Kpot_stealer
Koiloader
Koibackdoor
Koi_stealer
Koifusion
Cuckoo_stealer
Revil
Junk_code_technique
Cryptowallet-draining_technique
Amadey
Rustdoor

Victims:
Users of messaging apps, Online gaming users, Crypto wallet users, Crypto trading users, Browser users, Email client users, Vpn client users, Ftp client users

Industry:
Entertainment

Geo:
Dprk, Ukrainian, Belarusian, Russian, North korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1053.005, T1105, T1106, T1204.002, T1497, T1543.001, T1547, have more...

IOCs:
Hash: 271
File: 6
Url: 2

Soft:
macOS, Windows Task Scheduler, Firefox, Mozilla Firefox, Google Chrome, Microsoft Edge, Opera, Discord, WinSCP, Steam, Chromium, have more...

Wallets:
electron_cash, jaxx, guarda_wallet, bitpay, mymonero, coinomi, daedalus, wassabi, exodus_wallet, trezor, have more...

Crypto:
ethereum, monero

Algorithms:
xor, sha256

Win API:
FindResourceW, LoadResource, SizeOfResource, GetUserDefaultLangID, ShellExecuteW, InitiateSystemShutdownExW, SeShutdownPrivilege, CreateStreamOnHGlobal

Languages:
javascript

Platforms:
cross-platform

Links:
https://github.com/PwCUK-CTO/TI-blog-2025-From-KPOT-to-Koi