#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
25 ноября 2025 года Intel 471 идентифицировала Android-банковский троян под названием FvncBot, который работает как загрузчик, замаскированный под приложение безопасности для mBank в Польше. FvncBot поддерживает Регистрацию нажатий клавиш, использует службы специальных возможностей Android и использует Firebase Cloud Messaging для приема команд, позволяя вести журнал в режиме реального времени и манипулировать зараженными устройствами. Вредоносное ПО, скорее всего, распространяется через веб-сайты фишинга или платформы обмена сообщениями, используя тактику социальной инженерии, чтобы обманом заставить пользователей установить его.
-----

25 ноября 2025 года исследователи Intel 471 идентифицировали вредоносное приложение, функционирующее в качестве загрузчика для нового банковского трояна Android под названием FvncBot, предназначенного для пользователей мобильного банкинга в Польше. Приложение было замаскировано под приложение безопасности для mBank, авторитетного польского банка, чтобы обмануть пользователей. Загрузчик и связанная с ним полезная нагрузка были запутаны с помощью службы шифрования apk0day, что указывает на потенциальную связь между разработчиками обоих компонентов.

FvncBot включает в себя различные вредоносные функции для облегчения финансового мошенничества. В частности, он использует Регистрация нажатий клавиш приемы, которые используют сервис специальных возможностей Android ПО для кражи конфиденциальной информации, такой как пароли и одноразовый пароль (OTP) кодов. Эти данные хранятся в буфере фиксированного размера и передача пакетов по протоколу HTTP, когда буфер достигает своего предела. Кроме того, FvncBot может отправлять логи в режиме реального времени через соединение с WebSocket, решающее значение для задач, таких как прослушивание экрана, и устройство дистанционного управления.

Вредоносное ПО использует Firebase Cloud Messaging (FCM) для получения команд, повышая свои операционные возможности. Такие функции, как атаки с использованием веб-инъекций и скрытые виртуальные сетевые вычисления (HVNC), еще больше повышают уровень угрозы, позволяя злоумышленникам тайно манипулировать зараженным устройством.

Хотя механизм распространения этого троянца остается неясным, исторические данные свидетельствуют о том, что банковские трояны Android часто обходят Google Play, распространяясь через веб-сайты фишинга или платформы обмена сообщениями, где вредоносные приложения маскируются под законные предложения. Эта тактика подчеркивает текущие проблемы в области мобильной безопасности, когда злоумышленники используют социальную инженерию, чтобы обманом заставить пользователей устанавливать вредоносное ПО.

#ParsedReport #CompletenessMedium
05-12-2025

Malicious Crate Mimicking Finch Exfiltrates Credentials via a Hidden Dependency

https://socket.dev/blog/malicious-crate-mimicking-finch-exfiltrates-credentials

Report completeness: Medium

Actors/Campaigns:
Faceless

Threats:
Typosquatting_technique
Finch-rust
Sha-rust
Credential_stealing_technique
Supply_chain_technique
Credential_harvesting_technique

Victims:
Software developers, Open source ecosystem

Industry:
Financial

TTPs:
Tactics: 4
Technics: 4

IOCs:
File: 9
Url: 2
Email: 2
Domain: 1

Soft:
Outlook

Crypto:
solana

Algorithms:
base64

Functions:
_API_URL, _S4, _S5, _S10

Languages:
rust

Links:
have more...
http://github.com/onecodex/finch-rshttps://github.com/onecodex/finch-rs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный Rust-файл с именем "finch-rust", созданный с помощью typosquatting злоумышленником "faceless", имитирует законный инструмент биоинформатики и служит загрузчиком для другого credential-stealing-файла, "sha-rust"." Вредоносный код использует обфускацию и кодировку base64, чтобы облегчить кражу учетных данных пользователя, Маскировку под надежный инструмент. Злоумышленник выдал себя за законного разработчика и использует конфигурацию незакрепленных зависимостей для включения автоматических обновлений, демонстрируя такие тактики, как Компрометация цепочки поставок и запутывание с помощью платформы MITRE ATT&CK.
-----

Недавнее исследование выявило вредоносный Rust crate под названием "finch-rust", который является результатом typosquatting-атаки злоумышленника, называемого "faceless". Этот вредоносный пакет имитирует законный инструмент биоинформатики под названием "finch", который загрузили более 67 000 раз. Ключевая функциональность "finch-rust" заключается в том, чтобы выступать в качестве загрузчика, который интегрирует скрытую зависимость от другого пакета под названием "sha-rust", ответственного за кражу учетных данных пользователя. За короткий промежуток в две недели "sha-rust" претерпел восемь быстрых итераций, что свидетельствует о его активном развитии и растущей сложности атаки.

При проверке вредоносный код вводит одну строку, предназначенную для инициирования кражи учетных данных, в то время как сам "finch-rust" выглядит законным и функционирует аналогично оригинальному инструменту finch. Специфическая механика процесса credential-stealing предполагает использование строк в кодировке base64 и запутанных имен функций, и то, и другое является тактикой, используемой для уклонения от обнаружения с помощью мер безопасности.

Актор, стоящий за этой атакой, успешно выдал себя за заслуживающего доверия пользователя GitHub "radioman", который является законным разработчиком Rust с историей вклада и проектов. Однако вредоносных хранилищ не существует, поскольку злоумышленник сфабриковал адрес электронной почты и URL-адреса хранилища для укрепления доверия. Учетные данные, на которые нацелено вредоносное ПО, состоят из файлов, хранящих конфиденциальную пользовательскую информацию.

Кроме того, "Finch-RUST" использует конфигурацию зависимостей снимается, что позволяет автоматически обновлять и предоставлять последние версии вредоносную нагрузку, усиливая его потенциал для дальнейшей эксплуатации жертв. Активность выравнивает различные тактики, описанные в рамках Митре АТТ&СК, в том числе компрометация цепочки поставок и выполнение с участием пользователя через вредоносные библиотеки, вместе с техникой для запутывания и учетных данных эксфильтрация через систему командования и управления (С2) каналы. Этот случай иллюстрирует опасности цепочка поставок снабжения и подчеркивает необходимость для разработчиков проявлять осторожность при зависимостей в своих проектах.

#ParsedReport #CompletenessMedium
06-12-2025

APT-C-53 (Gamaredon) phishing attack campaign using CVE-2025-8088

https://www.ctfiot.com/285414.html

Report completeness: Medium

Actors/Campaigns:
Gamaredon

Threats:
Spear-phishing_technique

Victims:
Ukrainian government departments, Government

Industry:
Government

Geo:
Ukrainian

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1566.001

IOCs:
File: 3
Url: 1
Domain: 5
Hash: 2
IP: 2

Soft:
WeChat

Algorithms:
zip, md5, base64

Win API:
decompress

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-53, или Gamaredon, использует CVE-2025-8088 в WinRAR для атак с обходом пути в рамках кампании spear phishing, нацеленной на украинские государственные структуры. Деятельность группы подчеркивает значительный риск кражи разведывательных данных, подчеркивая необходимость повышения бдительности в отношении таких развивающихся киберугроз. Закрепление Gamaredon's иллюстрирует текущие проблемы в области кибербезопасности, с которыми сталкиваются правительственные организации.
-----

В apt-c-53 группа, также известная как Gamaredon, активно эксплуатируя уязвимость CVE-2025-8088, уязвимость в WinRAR, которая позволяет для обхода пути атаки. Этот эксплуатации является частью более широкой Spear phishing копье для украинских правительственных учреждений в 2025 году, отметив постоянную угрозу, группа представляет в плане краж разведки. В докладе подчеркивается необходимость организации в целях повышения их информированности по вопросам безопасности и защитных мер. Это включает укрепление протоколы шифрования секретной информации, осуществляет строгий контроль доступа, и принимает активные меры для снижения рисков утечки информации, связанные с подобной злонамеренной кибернетической деятельности. Gamaredon Gamaredon подчеркивают исключительную важность кибербезопасность кибербезопасность в условиях новых угроз.

#ParsedReport #CompletenessMedium
03-12-2025

Malicious VSCode Extension Launches Multi-Stage Attack Chain with Anivia Loader and OctoRAT

https://hunt.io/blog/malicious-vscode-extension-anivia-octorat-attack-chain

Report completeness: Medium

Threats:
Anivia
Octorat
Process_hollowing_technique
Uac_bypass_technique
Fodhelper_technique
Credential_harvesting_technique
Supply_chain_technique

Victims:
Software developers, Vscode users

Industry:
Entertainment, E-commerce

Geo:
Netherlands, Germany

TTPs:
Tactics: 10
Technics: 18

IOCs:
IP: 7
File: 5
Path: 4
Registry: 3
Command: 2
Hash: 4

Soft:
VSCode, Visual Studio Code, Windows COM, NET Framework, Windows security, Chrome, Firefox, Windows Task Scheduler, Windows service, Windows Firewall, have more...

Wallets:
bitcoincore, electrum, exodus_wallet, atomicwallet, coinomi

Crypto:
bitcoin, ethereum

Algorithms:
base64, zip, aes-256, cbc, aes, sha256

Languages:
visual_basic, powershell, python

Links:
https://github.com/biwwwwwwwwwww/vscode
have more...
https://github.com/biwwwwwwwwwww/vscode/commits/main/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное расширение кода Visual Studio "prettiervscodeplus" представляло угрозу для Цепочки поставок, имитируя легальный инструмент и способствуя многоэтапной атаке с помощью загрузчика Anivia и вредоносного ПО OctoRAT. Загрузчик Anivia использует VBScript для создания файла PowerShell и использует шифрование AES-256 наряду с Внедрением в пустой процесс для ввода своей полезной нагрузки. OctoRAT, после активации, выполняет такие функции, как кража данных, удаленный доступ и UAC bypass с помощью уязвимости FodHelper, что подчеркивает риск взлома инструментов разработчика.
-----

Вредоносное расширение кода Visual Studio "prettiervscodeplus" было обнаружено на VSCode Marketplace. Он имитировал легитимный форматировщик Prettier и служил каналом для многоэтапной атаки с использованием загрузчика Anivia и вредоносного ПО OctoRAT. Расширение было доступно в течение короткого периода времени, что привело всего к шести загрузкам, прежде чем оно было удалено. Эта атака является примером Компрометации цепочки поставок, которая использовала доверие разработчиков к популярным инструментам.

Атака была инициирована с помощью загрузчика VBScript, который выполнял операции через COM-объекты Windows и создавал временный файл PowerShell. Загрузчик Anivia, проанализированный с помощью его кода на C#, использует жестко закодированный массив зашифрованных байтов для хранения полезной нагрузки, которую он расшифровывает в памяти с использованием шифрования AES-256 в режиме CBC. Этот загрузчик также использует Внедрение в пустой процесс, чтобы внедрить свою полезную нагрузку в процесс компилятора Visual Basic. Впоследствии полезная нагрузка третьей ступени, OctoRAT, активирует механизмы управления после ввода и использует различные методы для кражи данных и удаленного доступа.

OctoRAT является сложной системой, предоставляющей широкие возможности, включая удаленный доступ к рабочему столу, сбор учетных записей браузера и закрепление за запланированными задачами. Вредоносное ПО пытается UAC bypass, используя уязвимость FodHelper, которая позволяет ему работать с повышенными привилегиями. Его команды позволяют ему выполнять произвольные скрипты, извлекать конфиденциальные данные, такие как учетные данные Wi-Fi и информация о кошельке криптовалюты, а также устанавливать функции обратного прокси, эффективно превращая зараженные машины в инфраструктуру атаки.

Обнаружение этого вредоносного ПО включает мониторинг подозрительных установок вредоносного расширения, отслеживание необычной сетевой активности с помощью процесса компиляции Visual Basic и выявление попыток доступа к известным серверам управления. Экземпляр характеризуется веб-Панелью управления, используемой злоумышленником для управления операциями этого ботнет. Учитывая вредоносный характер функциональных возможностей OctoRAT's, его развертывание иллюстрирует тревожную тенденцию в ориентации на разработчиков с помощью надежных платформ, подчеркивая необходимость повышенных мер безопасности в средах разработки. Этот инцидент служит важным напоминанием о развивающихся угрозах в Цепочках поставок программного обеспечения, особенно в том, что касается инструментов разработчика.

#ParsedReport #CompletenessMedium
03-12-2025

From KPOT to Koi: The privatisation of a stealer family

https://www.pwc.com/gx/en/issues/cybersecurity/cyber-threat-intelligence/from-kpot-to-koi.html

Report completeness: Medium

Actors/Campaigns:
White_dev_192
Pinchy_spider

Threats:
Kpot_stealer
Koiloader
Koibackdoor
Koi_stealer
Koifusion
Cuckoo_stealer
Revil
Junk_code_technique
Cryptowallet-draining_technique
Amadey
Rustdoor

Victims:
Users of messaging apps, Online gaming users, Crypto wallet users, Crypto trading users, Browser users, Email client users, Vpn client users, Ftp client users

Industry:
Entertainment

Geo:
Dprk, Ukrainian, Belarusian, Russian, North korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1053.005, T1105, T1106, T1204.002, T1497, T1543.001, T1547, have more...

IOCs:
Hash: 271
File: 6
Url: 2

Soft:
macOS, Windows Task Scheduler, Firefox, Mozilla Firefox, Google Chrome, Microsoft Edge, Opera, Discord, WinSCP, Steam, Chromium, have more...

Wallets:
electron_cash, jaxx, guarda_wallet, bitpay, mymonero, coinomi, daedalus, wassabi, exodus_wallet, trezor, have more...

Crypto:
ethereum, monero

Algorithms:
xor, sha256

Win API:
FindResourceW, LoadResource, SizeOfResource, GetUserDefaultLangID, ShellExecuteW, InitiateSystemShutdownExW, SeShutdownPrivilege, CreateStreamOnHGlobal

Languages:
javascript

Platforms:
cross-platform

Links:
https://github.com/PwCUK-CTO/TI-blog-2025-From-KPOT-to-Koi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Koi, стиллер информации, являющийся эволюцией KPOT, знаменует собой переход от общедоступного к более эксклюзивному ландшафту угроз. Он работает в Windows с тремя компонентами: KoiLoader, KoiBackdoor и KoiStealer. KoiLoader скрывает свою деятельность, в то время как KoiStealer фокусируется на краже данных из целевых приложений, таких как платформы обмена сообщениями и криптовалютные клиенты; также появился вариант macOS под названием KoiFusion, поддерживающий схожую архитектуру и тактику скрытности в обеих операционных системах.
-----

Стиллер Koi представляет собой значительную эволюцию по сравнению с более ранним вредоносным ПО KPOT, переходя от общедоступной модели к более эксклюзивному, контролируемому ландшафту угроз. Появившись на форумах BlackHat в 2018 году, KPOT перешел в приватизированный вариант после того, как его исходный код был продан с аукциона UNKN, физическому лицу, связанному с REvil ransomware group. Результатом этого преобразования стала разработка Koi, которая является не просто ребрендированной версией KPOT, а скорее обновленной и модульной структурой вредоносного ПО.

Koi работает в Windows с тремя основными компонентами: KoiLoader, KoiBackdoor и KoiStealer. Первый этап, KoiLoader, разработан в виде двоичного файла C++, который использует методы шифрования для сокрытия своей деятельности. Он динамически разрешает вызовы Windows API, используя пользовательский алгоритм хэширования, эффективно запутывая свои операции, чтобы избежать обнаружения. Этот загрузчик расшифровывает и загружает KoiBackdoor, который проводит предварительную проверку, чтобы определить, находится ли зараженная система внутри Содружества Независимых Государств, и оценивает, запущена ли она в виртуальной среде. KoiBackdoor служит двойным целям, предоставляя KoiStealer, а также позволяя злоумышленникам выдавать дополнительные команды.

KoiStealer - это полезная нагрузка на базе .NET, отвечающая за основную функциональность кражи данных. Он осуществляет сбор данных, может загружать и запускать дополнительные модули, а также поддерживает целевую эксфильтрацию файлов. Примечательно, что как Koi, так и его предшественники имеют определенные операционные сходства, такие как ориентация на конкретные приложения, имеющие отношение к краже учетных данных, включая платформы обмена сообщениями, клиенты онлайн-игр и криптовалютные приложения.

Семейство Koi также распространилось на macOS, причем вариант, известный как KoiFusion, впервые появился примерно в марте 2025 года. Эта разработка подчеркивает адаптивность вредоносного ПО Koi, поддерживая согласованную архитектуру и способ работы как на платформах Windows, так и на macOS. Оба варианта включают проверку языка операционной системы хоста, хотя и с различным поведением по умолчанию, и они используют схожую структуру управления для связи со своими серверами. Кроме того, тактика обработки отфильтрованных данных в памяти сводит к минимуму количество журналов на физических дисках, что еще больше расширяет возможности скрытности.

По мере того как Koi и связанная с ним инфраструктура становятся все более укоренившимися, ландшафт кибербезопасности может столкнуться с проблемами, связанными с различием между основными поставщиками услуг вредоносного ПО и более сложными и менее заметными частными экосистемами, что усложняет обнаружение и атрибуцию.

#ParsedReport #CompletenessHigh
05-12-2025

Weyhro C2: Because Ransomware Wasnt Paying the Bills Anymore

https://lumma-labs.com/weyhro-c2-because-ransomware-wasnt-paying-the-bills-anymore-b136fd7ef100

Report completeness: High

Threats:
Weyhro-c2_tool
Proxychains_tool
Hvnc_tool
Process_injection_technique
Process_hollowing_technique

Industry:
Healthcare

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1055.001, T1055.012, T1059.003, T1070.004, T1090.003, T1105, T1106, T1562.001, have more...

IOCs:
File: 4
Path: 3
Hash: 3
IP: 1

Soft:
Event Tracing for Windows, Local Security Authority

Algorithms:
xor, aes, aes-128, aes-128-ctr, chacha20

Functions:
FindFirstFile, FindNextFile, CreateRemoteThread-based, send

Win API:
CreateFileW, GetFileSize, VirtualAlloc, ReadFile, CloseHandle, EtwEventWrite, AmsiScanBuffer, SHGetFolderPathW, GetFileAttributesW, RegOpenKeyExA, have more...

Win Services:
bits

Platforms:
x86, x64

YARA: Found

Links:
https://github.com/RussianPanda95/Yara-Rules/blob/main/WeyhroC2/win\_mal\_weyhroc2.yar?source=post\_page-----b136fd7ef100---------------------------------------

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Weyhro C2 демонстрирует передовые методы, такие как Внедрение в пустой процесс и командно-контрольные коммуникации (C2), избегая обнаружения с помощью шифрования ChaCha20 для расшифровки пути и disabling Event Tracing для Windows (ETW). Он устанавливается в папку AppData пользователя для закрепления и использует скрытые виртуальные сетевые вычисления (HVNC) для скрытых операций. Уязвимость существует из-за незашифрованных текстовых сообщений с сервером C2, представляющих возможность для перехвата.
-----

Вредоносное ПО Weyhro C2 представляет собой переход от традиционных программ-вымогателей к более универсальным возможностям, демонстрируя передовые методы закрепления, Внедрения кода в процесс и коммуникации командования и контроля (C2).

Ключевой особенностью вредоносного ПО Weyhro C2 является его эффективный метод обхода систем обнаружения конечных точек и реагирования (EDR). Вредоносное ПО начинается с использования шифрования ChaCha20 для расшифровки пути к Windows ntdll.dll файл, тем самым позволяя маскировать вредоносные операции. Кроме того, в нем используется простой метод исправления для отключения трассировки событий для Windows (ETW), который помогает предотвратить обнаружение путем перезаписи первого байта функции EtwEventWrite в ntdll.dll .

Для закрепление на вредоносное ПО устанавливается в папку AppData пользователя, проверяя существующие файлы перед копированием себя для обеспечения чистой установки. Этот метод гарантий против избыточность и увеличивает его шансы на повторное исполнение после перезагрузки системы.

Weyhro C2 способен к Внедрению в пустой процесс, вводя вредоносный код специально в законные процессы, такие как cmd.exe . Это достигается путем шифрования пути целевого процесса и манипулирования несколькими API, необходимыми для управления процессом, чтобы выполнить внедрение без срабатывания аварийных сигналов.

Кроме того, он использует скрытые виртуальные сетевые вычисления (HVNC), обеспечивая удаленный доступ к системе с помощью полностью невидимого сеанса работы на рабочем столе. Это дает злоумышленникам возможность действовать незаметно, поскольку любые действия, выполняемые в этом скрытом состоянии, не будут видны пользователю.

Значительные возможности включают в себя функцию сброса заявок Kerberos, позволяющую извлекать конфиденциальные токены аутентификации из местного органа безопасности, что может облегчить дальнейшее перемещение внутри компании в целевой среде.

Вредоносное ПО содержит загрузчик, который разрешает API Windows, используя поиск по хэшу вместо стандартного импорта, что повышает скрытность операции. Что касается файловых операций, то он эффективно обрабатывает команды, передаваемые с сервера C2, интерпретируя и выполняя эти действия в соответствии с указанными путями к файлам.

Weyhro C2 поддерживает несколько команд, таких как создание прокси-сервера SOCKS5 на компьютере жертвы, предоставляя злоумышленнику средства для маршрутизации трафика в частном порядке. Он также реализует механизм обратной оболочки, который захватывает и перенаправляет стандартные потоки ввода-вывода, позволяя злоумышленнику закрепиться в системе. Команда heartbeat облегчает постоянную связь с сервером C2, гарантируя, что имплантат остается работоспособным.

Однако заметной уязвимостью в этом вредоносном ПО является использование незашифрованного открытого текста для связи C2. Несмотря на использование методов шифрования для сокрытия определенных аспектов полезной нагрузки, отсутствие шифрования фактических данных, отправляемых на C2 и с него, выявляет существенный недостаток, который может быть использован для обнаружения или перехвата сообщений вредоносного ПО.

#ParsedReport #CompletenessMedium
06-12-2025

Inside Shanya, a packer-as-a-service fueling modern attacks

https://news.sophos.com/en-us/2025/12/06/inside-shanya-a-packer-as-a-service-fueling-modern-attacks/

Report completeness: Medium

Threats:
Shanya_tool
Edr-killer
Heartcrypt_tool
Armillaria
Bumblebee
Chuchuka
Lumma_stealer
Stealc
Nightshade
Junk_code_technique
Dll_sideloading_technique
Akira_ransomware
Medusa_ransomware
Qilin_ransomware
Crytox
Clickfix_technique

Geo:
Russia, Russian, China, Austria, Switzerland, Tunisia, Czech, Czechia

ChatGPT TTPs:
do not use without manual check
T1027, T1106, T1497.001, T1562.001, T1622

IOCs:
Hash: 4
File: 15
Url: 2

Soft:
Telegram, ThrottleStop

Algorithms:
sha256

Functions:
getPEB

Win API:
RtlDeleteFunctionTable, LdrLoadDll

Languages:
powershell

Links:
https://github.com/hasherezade/pe-sieve
have more...
https://github.com/sophoslabs/IoCs

#ParsedReport #ExtractedSchema

Classified images:
table: 1, code: 9, dump: 7, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Криптер Shanya, появившийся в конце 2024 года, является важным пакетным сервисом, используемым группами вымогателей для маскировки вредоносного ПО, сменив HeartCrypt. Он использует блок среды процесса (PEB) для хранения данных и использует методы динамического разрешения Windows API, расширяя возможности уклонения. Связанная с кампанией CastleRAT, нацеленной на гостиничный сектор, Shanya действует как EDR killer, подрывая меры безопасности и создавая серьезную угрозу.
-----

Появление шифровальщика Shanya представляет собой значительное развитие в предложениях "упаковщик как услуга" в экосистеме киберпреступников, особенно пользующихся популярностью у групп вымогателей. Первоначально упоминавшийся на подпольных форумах ближе к концу 2024 года, Shanya получил признание за свою способность маскировать вредоносное ПО, сменив более ранний сервис HeartCrypt. Ранние образцы шифровальщика Shanya содержали идентифицируемые артефакты, такие как исполняемый файл с именем shanya_crypter.exe , подчеркивая его специфическую функцию в среде вредоносного ПО.

Географически к концу 2025 года в Shanya было зафиксировано широкое распространение инфекций во всех четырех полушариях, хотя некоторые страны сообщили о более высоких показателях заболеваемости на душу населения. Глубоко техническая разработка Shanya включает в себя использование блока среды процесса (PEB) для безопасного хранения важных данных, таких как адреса API, что помогает выполнять полезную нагрузку без обнаружения. Вредоносное ПО динамически разрешает функции Windows API путем анализа структуры PEB_LDR_DATA, используя пользовательский алгоритм хэширования, который меняется в зависимости от каждого образца, тем самым улучшая методы обхода.

Shanya включает в себя различные анти-анализ меры, такие как вызов RtlDeleteFunctionTable с недопустимые аргументы для создания необработанных исключений, если программа запускается в отладчике. Эта тактика направлена на то, чтобы помешать как автоматическому, так и ручному анализу, тем самым сохраняя его функциональность до тех пор, пока не будет выполнена вредоносная полезная нагрузка.

Само вредоносное ПО связано с кампанией распространения, известной как CastleRAT, которая, как сообщается, нацелена на гостиничный сектор. В этих атаках Shanya служит защитным слоем для вредоносного ПО, специально классифицируемого как средство уничтожения EDR (Endpoint Detection and Response), целью которого является подрыв мер безопасности, что делает вредоносное ПО особенно опасным.

Для борьбы с этими угрозами Sophos определила несколько сигнатур обнаружения для Shanya, включая варианты с маркировкой ATK/Shanya-B, ATK/Shanya-C и ATK/Shanya-D для борьбы с этими угрозами. Продолжающаяся эволюция предложений packer-as-a-service в сочетании с EDR killers предполагает наличие постоянной угрозы, обусловленной финансовыми стимулами для киберпреступников. Эти события указывают на то, что такие сложные типы вредоносного ПО, вероятно, будут продолжать развиваться и создавать проблемы для кибербезопасности в будущем.