#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Triada - это троян для Android, впервые обнаруженный в 2016 году, известный своими модульными возможностями бэкдора и руткита, которые предоставляют злоумышленникам привилегированный доступ. Он распространяется через модифицированные приложения, такие как FMWhatsApp и YoWhatsApp, а также предустанавливается на поддельные устройства. Базирующийся в Турции злоумышленник на протяжении многих лет развивал тактику от обхода процедур KYC до компрометации проверенных аккаунтов рекламодателей и использования предустановленных программ фишинга, замаскированных под обновления Chrome, и теперь размещает Вредоносные файлы на GitHub.
-----

Triada - это троян для Android, впервые обнаруженный в 2016 году, отличающийся модульным бэкдором и возможностями руткита, которые предоставляют злоумышленникам привилегированный доступ к скомпрометированным устройствам. Основные методы распространения Triada включают модифицированные приложения, такие как FMWhatsApp и YoWhatsApp. Эти неофициальные версии часто продвигаются с помощью платной рекламы и Социальных сетей, заманивая пользователей обещаниями расширенных функциональных возможностей. В дополнение к зараженным приложениям, также была обнаружена Triada, предустановленная на поддельных устройствах и активирующаяся при первой загрузке.

Как только устройство находится под угрозой, Triada может осуществлять различные рекламные обзоры техники и схемы манипуляций трафика. С 2020 года, один особенно организованной злоумышленник, предположительно в Турции, был замечен работающим зарегистрировать рекламодателя счетов, которые действуют как каналы доставки для Triada. Первое столкновение с Triada было отмечено в августе 2020 года, когда была обнаружена необычная активность среди группы рекламодателей, утверждающих, что они из Турции.

За прошедшие годы тактика этих злоумышленников значительно эволюционировала. В первой волне (2020-2021 годы) они использовали сомнительные методы для обхода процедур "Знай своего клиента" (KYC). Однако на втором этапе (2022-2024 годы) они перешли к более стратегическому подходу, скомпрометировав установленные, проверенные аккаунты рекламодателей для распространения вредоносного ПО. Эта новая тактика позволила им перенаправлять трафик через доверенные домены и использовать методы cloaking, чтобы избежать обнаружения.

Последняя разработка в эволюции Triada (до 2025 года и далее) предполагает использование предустановленных программ для фишинга, замаскированных под обновления браузера Chrome. Вредоносные файлы, связанные с этой итерацией, размещены на GitHub, что указывает на повышение сложности и адаптацию тактики для использования надежных платформ.

#ParsedReport #CompletenessMedium
09-12-2025

JS#SMUGGLER: Multi-Stage - Hidden iframes, Obfuscated JavaScript, Silent Redirectors & NetSupport RAT Delivery

https://www.securonix.com/blog/jssmuggler-multi-stage-hidden-iframes-obfuscated-javascript-silent-redirectors-netsupport-rat-delivery/

Report completeness: Medium

Threats:
Js-smuggler
Netsupportmanager_rat
Lolbas_technique

Victims:
Enterprise users

TTPs:
Tactics: 7
Technics: 13

IOCs:
File: 22
Url: 4
Domain: 9
Command: 1
Path: 1
IP: 9
Hash: 11

Soft:
Android, Node.js, Windows ActiveX, Windows security, Windows Defender, Windows Powershell

Algorithms:
aes, gzip, aes-256-ecb, base64, sha256, zip

Functions:
_0x19d1, DOM, createScript, _0x4eba19, generateRandomString, checkLastVisit, setTimeout

Languages:
javascript, powershell, jscript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Описанная Вредоносная Кампания включает в себя многоэтапную операцию, направленную на скрытность и закрепление. Она начинается с кода JavaScript загрузчик запутанным со взломанных сайтов, использованием профилирования устройства и тонкие отслеживания. Нападение прогрессирует через приложение HTML, который работает в скрытом режиме для выполнения зашифрованной PowerShell стагер, в конечном счете, приводит к установке NetSupport Троян удаленного доступа (RAT) за самовольное управления, с методами выделения стратегии уклонения и закрепление постоянства.
-----

Вредоносная Кампания, проанализированная Securonix Threat Research, представляет собой сложную многоэтапную операцию, в которой используются передовые тактики для достижения скрытого и постоянного контроля над системами-жертвами. Атака разворачивается в три ключевых этапа, начиная с сильно запутанного загрузчика JavaScript, который внедряется на скомпрометированные веб-сайты. Этот загрузчик, извлекаемый по определенному URL-адресу, использует комбинацию сопоставления числовых индексов и динамического поворота массива, чтобы скрыть свое истинное назначение. Он включает стратегии профилирования устройств, позволяющие решить, следует ли внедрять полноэкранный iframe для мобильных устройств или загружать дополнительный удаленный скрипт для пользователей настольных компьютеров. Тонкие механизмы отслеживания гарантируют, что вредоносная логика выполняется только один раз для каждого пользователя, что повышает ее скрытность.

На втором этапе злоумышленник использует HTML-приложение (HTA), доставляемое по динамически генерируемому URL-адресу. Использование законного компонента Windows mshta.exe , HTA выполняется полностью скрытым от пользователя. Он записывает зашифрованный этап PowerShell на диск и после выполнения расшифровывает его, используя комплексную схему AES-256-ECB, применяемую со сжатием Base64 и GZIP. Полезная нагрузка запускается в памяти, а затем удаляет свои временные файлы, чтобы свести к минимуму криминалистическое обнаружение.

Заключительный этап состоит из полностью расшифрованной полезной нагрузки PowerShell, которая загружает и устанавливает троян удаленного доступа NetSupport (RAT). После выполнения эта полезная нагрузка извлекает ZIP-файл из инфраструктуры злоумышленника, извлекает его и запускает клиентский исполняемый файл через скрытую оболочку JScript. Чтобы обеспечить закрепление, скрипт создает замаскированный ярлык в папке автозагрузки, облегчающий автоматическое выполнение при входе пользователя в систему.

NetSupport, предназначенный для законного удаленного администрирования, был перепрофилирован злоумышленниками для несанкционированного контроля, который в обсуждениях threat intelligence называется NetSupport RAT. Кампания нацелена на обычных корпоративных пользователей, а не на конкретные отрасли, используя скомпрометированные веб-сайты и тихие перенаправления. Хотя операция демонстрирует современные методы, такие как запутывание и уклончивое выполнение, в настоящее время недостаточно доказательств, чтобы связать ее с каким-либо конкретным злоумышленником или нацией.

Используя фреймворк MITRE ATT&CK, эта кампания использует такие тактики, как "компромиссы по принципу "Теневой (drive-by) компрометации, выполнение JavaScript, злоупотребление подписанными двоичными файлами, такими как mshta.exe , и различные методы закрепления с помощью методов папки автозагрузки. Методы направлены на уклонение от обнаружения с помощью запутанных полезных нагрузок и Отражающей загрузки кода, демонстрируя сложный подход к атакам удаленного доступа.

#ParsedReport #CompletenessMedium
09-12-2025

Makop ransomware: GuLoader and privilege escalation in attacks against Indian businesses

https://www.acronis.com/en/tru/posts/makop-ransomware-guloader-and-privilege-escalation-in-attacks-against-indian-businesses/

Report completeness: Medium

Threats:
Makop
Cloudeye
Phobos
Mimikatz_tool
Agent_tesla
Formbook
Loki_bot
Credential_dumping_technique
Vmprotect_tool
Nlbrute_tool
Password_spray_technique
Netscan_tool
Advanced-port-scanner_tool
Masscan_tool
Defendercontrol_tool
Byovd_technique
Medusalocker
Akira_ransomware
Qilin_ransomware
Process_hacker_tool
Lazagne_tool
Netpass_tool
Ransomhub
Blackbasta
Rhysida
Av-killer

Victims:
Businesses

Geo:
Indian, Brazil, Germany, India

CVEs:
CVE-2022-24521 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19265)
- microsoft windows_10_1607 (<10.0.14393.5066)
- microsoft windows_10_1809 (le10.0.17763.2803)
- microsoft windows_10_1909 (<10.0.18363.2212)
- microsoft windows_10_20h2 (<10.0.19042.1645)
have more...
CVE-2019-1388 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1607 (-)
- microsoft windows_10_1709 (-)
- microsoft windows_10_1803 (-)
- microsoft windows_10_1809 (-)
have more...
CVE-2025-7771 [Vulners]
CVSS V3.1: 8.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2020-0796 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1903 (-)
- microsoft windows_10_1909 (-)
- microsoft windows_server_1903 (-)
- microsoft windows_server_1909 (-)

CVE-2020-0787 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1607 (-)
- microsoft windows_10_1709 (-)
- microsoft windows_10_1803 (-)
- microsoft windows_10_1809 (-)
have more...
CVE-2016-0099 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1511 (-)
- microsoft windows_7 (-)
- microsoft windows_8.1 (-)
- microsoft windows_server_2008 (-, r2)
have more...
CVE-2017-0213 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1511 (-)
- microsoft windows_10_1607 (-)
- microsoft windows_10_1703 (-)
- microsoft windows_7 (-)
have more...
CVE-2018-8639 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1607 (-)
- microsoft windows_10_1703 (-)
- microsoft windows_10_1709 (-)
- microsoft windows_10_1803 (-)
have more...
CVE-2020-1066 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft .net_framework (3.0)

CVE-2021-41379 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19119)
- microsoft windows_10_1607 (<10.0.14393.4770)
- microsoft windows_10_1809 (<10.0.17763.2300)
- microsoft windows_10_1909 (<10.0.18363.1916)
- microsoft windows_10_2004 (<10.0.19041.1348)
have more...

TTPs:
Tactics: 7
Technics: 0

IOCs:
Path: 4
File: 13
Hash: 68

Soft:
Windows Defender, Microsoft Defender, ThrottleStop, Local Security Authority, twitter

Win Services:
BITS

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 8, dump: 1, code: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Makop, вариант Phobos, нацелена на незащищенные системы Протокола удаленного рабочего стола (RDP), в первую очередь затрагивая индийские предприятия, используя слабые учетные данные с помощью атак методом перебора или по словарю. Злоумышленники используют локальные эксплойты с повышением привилегий, включая такие уязвимости, как CVE-2017-0213 и CVE-2021-41379, и применяют методы обхода защиты с помощью AV killers, чтобы отключить меры безопасности. Они также используют средства сброса учетных данных, такие как Mimikatz, для расширения своего доступа и внедрили GuLoader для эффективной доставки полезной нагрузки, что указывает на изменение стратегии, аналогичное другим группам программ-вымогателей.
-----

Makop вымогателей, вариант Phobos Фобос, наблюдается эксплуатации подвергаются протокол удаленного рабочего стола (RDP) на системы, в частности, индийского бизнеса. Последние исследования показали, что злоумышленники используют локальное повышение привилегий подвиги наряду с традиционными методами вымогателей, демонстрируя тщательного подхода к увеличению их оперативной эффективности. Приступы обычно начинаются с несанкционированным доступом полученные с помощью грубой силы или атака по словарю на слабом РДП учетные данные, часто из-за отсутствия многофакторная проверка подлинности (MFA) среди целевых организаций.

Оказавшись в среде жертвы, операторы Makop используют различные тактические приемы для облегчения своей вредоносной деятельности. Они используют инструменты сетевого сканирования, такие как NetScan и Advanced IP Scanner, для обнаружения систем и выполнения перемещения внутри компании в сети. Кроме того, они применяют методы обхода защиты, используя облегченные AV Killers, включая Defender Control и Disable Defender, для временного отключения мер безопасности, тем самым прокладывая путь для последующего использования известных уязвимостей.

Фаза повышения привилегий имеет решающее значение в этих атаках, связанных с использованием нескольких уязвимостей в компонентах Windows. Примечательно, что CVE-2017-0213, CVE-2018-8639, CVE-2021-41379 и CVE-2016-0099 были использованы для получения системных привилегий. Эти уязвимости особенно эффективны и содержат общедоступный код подтверждения концепции (PoC), что делает их доступными для эксплуатации. Группа Makop поддерживает разнообразный набор инструментов локального повышения привилегий (LPE) для обеспечения постоянной эффективности, даже если один подход терпит неудачу.

Получение учетных данных является еще одним жизненно важным элементом операций Makop, который включает в себя использование хранилищ учетных данных, таких как Mimikatz, LaZagne и NetPass, для извлечения конфиденциальных данных. Вместе с брутфорс инструменты, такие как CrackAccount и AccountRestore, эти методы позволяют злоумышленникам получить несанкционированный доступ к дополнительным счетам, тем самым усиливая их воздействие на инфраструктуру жертвы.

Заметным дополнением к арсеналу Makop's является использование GuLoader, который был идентифицирован как метод доставки последующих полезных нагрузок. Эта тактика отражает тенденции, наблюдаемые среди других групп программ-вымогателей, указывая на сдвиг в сторону использования загрузчиков для улучшения стратегий развертывания полезной нагрузки. 55% атак Makop, зафиксированных в Индии, предполагают сосредоточение внимания на средах с более слабыми мерами безопасности, хотя инциденты также происходили в Бразилии, Германии и спорадически в других местах.

#ParsedReport #CompletenessLow
09-12-2025

Deceptive Layoff-Themed HR Email Distributes Remcos RAT Malware

https://www.seqrite.com/blog/deceptive-layoff-themed-hr-email-distributes-remcos-rat-malware/

Report completeness: Low

Threats:
Remcos_rat

Victims:
Corporate employees

TTPs:
Tactics: 7
Technics: 11

IOCs:
File: 2
Path: 2
Registry: 1
Hash: 3
IP: 1

Soft:
UNIX

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга, нацеленная на сотрудников во время увольнений, использует обманчивые электронные письма для распространения троянца удаленного доступа Remcos (RAT) через RAR-архив, замаскированный под двойное расширение, Маскировку под PDF-документ. После запуска Remcos RAT выполняет Регистрацию нажатий клавиш, Захват экрана, мониторинг буфера обмена и устанавливает соединение для управления, обеспечивая при этом закрепление с помощью изменений реестра Windows. Атака использует социальную инженерию для получения первоначального доступа и методы уклонения, чтобы скрыть свои злонамеренные намерения.
-----

Недавно была выявлена кампания по фишингу, которая использует электронные письма на тему увольнений для распространения троянца удаленного доступа Remcos (RAT). Эти вводящие в заблуждение электронные письма часто выдаются за уведомления об увольнении или другие сообщения, связанные с персоналом, и наживаются на тревогах сотрудников во время сокращений рабочей силы. Эта тактика использует в своих интересах повышенный уровень стресса, повышая вероятность того, что люди непреднамеренно перейдут по Вредоносным ссылкам или вложениям.

Первоначальный вектор атаки включает в себя архив RAR, замаскированный соглашением об именовании с двойным расширением, таким как "pdf.rar ." Хотя оно напоминает PDF-документ, вложение содержит вредоносный исполняемый файл, скомпилированный NSIS (Nullsoft Scriptable Install System), предназначенный для имитации законного документа. При запуске Remcos RAT выполняет различные задачи инициализации и впоследствии участвует в нескольких вредоносных операциях.

Как только полезная нагрузка Remcos установлена, она порождает множество потоков, каждый из которых посвящен определенным функциям. К ним относятся Регистрация нажатий клавиш, Захват экрана, мониторинг буфера обмена и создание цикла обработки команд для поддержания постоянной связи со злоумышленником. RAT обходит меры безопасности, Маскировка под доброкачественный PDF-файл, используя формат упаковки NSIS, чтобы скрыть его истинное назначение.

Что касается закрепления, вредоносное ПО Remcos регистрируется в реестре Windows в расположении, позволяющем ему автоматически запускаться при запуске системы. Он также поддерживает сведения о конфигурации таким образом, что позволяет ему продолжать свою работу в разных сеансах. Кроме того, вредоносное ПО собирает информацию о хосте при запуске, включая идентификаторы пользователей и системные данные.

Тактика, используемая в этой кампании, согласуется с несколькими конкретными техниками, описанными в рамках MITRE ATT&CK. Первоначальный доступ получен с помощью вредоносной рассылки по электронной почте, использующей методы социальной инженерии. Выполнение полезной нагрузки зависит от взаимодействия с пользователем, в то время как методы обхода защиты включают маскировку исполняемых файлов и использование известных средств установки системы. Вредоносное ПО предназначено для закрепления на зараженных компьютерах и беспрепятственного выполнения операций по сбору данных, в конечном счете подключаясь к управляемому злоумышленником серверу управления.

#ParsedReport #CompletenessMedium
09-12-2025

EtherRAT: DPRK uses novel Ethereum implant in React2Shell attacks

https://www.sysdig.com/blog/etherrat-dprk-uses-novel-ethereum-implant-in-react2shell-attacks

Report completeness: Medium

Actors/Campaigns:
Contagious_interview
Earth_lamia
Jackpot_panda
Unc5174
Lazarus
Colortoolsv2
Unc5342

Threats:
Etherrat
React2shell_vuln
Cobalt_strike_tool
Sliver_c2_tool
Vshell
Xmrig_miner
Etherhiding_technique
Beavertail
Credential_harvesting_technique
Invisibleferret
Supply_chain_technique
Log4shell_vuln

Victims:
Technology sector, Open source focused companies, Web application developers

Industry:
Financial

Geo:
China, North korean, Korea, Dprk, North korea

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1053.003, T1059.004, T1071.001, T1102, T1105, T1140, T1190, T1546.004, have more...

IOCs:
File: 23
Coin: 2
IP: 1

Soft:
Linux, Node.js, curl, Systemd, crontab

Crypto:
ethereum

Algorithms:
base64, aes-256-cbc, aes, md5

Functions:
eval

Languages:
python, powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Имплантат EtherRAT, связанный с Северной Кореей, использует недавно раскрытую уязвимость CVE-2025-55182 в серверных компонентах React, позволяющую выполнять удаленный код без проверки подлинности. Он использует многоэтапную цепочку атак, которая начинается с команды оболочки в кодировке base64 для установления первоначального доступа и включает различные методы закрепления, такие как задания cron и измененные профили пользователей для поддержания доступа. EtherRAT также использует смарт-контракты Ethereum для своей инфраструктуры командования и контроля (C2), повышая уклончивость и адаптивность по сравнению с типичным вредоносным ПО.
-----

EtherRAT - это киберугроза, связанная с Северной Кореей, использующая уязвимость серверных компонентов React CVE-2025-55182, позволяющую выполнять удаленный код без проверки подлинности. Эта уязвимость затрагивает React версий 19.x и Next.js фреймворки 15.x и 16.x. EtherRAT - это имплантат постоянного доступа, в отличие от типичных майнеров криптовалют или вредоносного ПО для кражи учетных данных. Цепочка атак состоит из четырех этапов, начиная с команды оболочки в кодировке base64, которая выполняет эксплойт React2Shell. Он устанавливает закрепление с помощью сценария оболочки и использует запутанный JavaScript-дроппер для расшифровки своей полезной нагрузки с помощью шифрования AES-256-CBC. EtherRAT поддерживает свое присутствие с помощью пяти методов закрепления, включая Записи автозапуска XDG и модификации заданий cron. Его инфраструктура командования и контроля использует смарт-контракты Ethereum для разрешения URL-адресов вместо жестко закодированных адресов и выполняет команды на основе ответов сервера C2. Дизайн EtherRAT's позволяет загружать законные Node.js распределения за уклонение. Он демонстрирует сходство с действиями северокорейских и китайских злоумышленников, но выделяется благодаря своему вектору доставки и методам C2, основанным на блокчейне.

#ParsedReport #CompletenessMedium
08-12-2025

Chinese Malware Delivery Domains Part IV

https://dti.domaintools.com/chinese-malware-delivery-domains-part-iv/

Report completeness: Medium

Threats:
Vmprotect_tool
Aspack_tool
Asprotect_tool
Mpress_tool

Victims:
Chinese speaking users

Industry:
Entertainment, Telco

Geo:
Hong kong, China, Chinese, Asia-pacific, Moscow, Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1071, T1568, T1583, T1583.001, T1583.003, T1585, T1587, T1588, have more...

IOCs:
Domain: 60
Hash: 15
Url: 13

Soft:
Chrome, Telegram, WhatsApp, Youdao, Sogou, Google Chrome

Wallets:
imtoken

Algorithms:
sha256

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, table: 1, chart: 3, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С июня 2023 года было выявлено большое скопление доменов доставки вредоносного ПО, связанных с китайскими злоумышленниками, в общей сложности более 4700 доменов. Их методы работы эволюционировали от централизованной модели к децентрализованной, уменьшая зависимость от отдельных интернет-провайдеров и повышая изощренность их тактики, включая использование больших загрузок файлов, которые препятствуют обнаружению. Кроме того, значительная часть инфраструктуры базируется в Китае, что отражает адаптацию стратегий операционной безопасности и локализации при одновременном использовании анализа, основанного на искусственном интеллекте, для расширения возможностей обнаружения.
-----

С июня 2023 года китайские злоумышленники управляют инфраструктурой доставки вредоносного ПО, в которой идентифицировано более 4700 доменов. К августу 2025 года инфраструктура перешла от централизованного хостинга к децентрализованному, что повысило операционную безопасность. Зависимость от одного интернет-провайдера снизилась с 90% до 40%, а инфраструктура теперь распределена по пяти странам. Количество используемых регистраторов увеличилось с трех до восьми. Проанализированные образцы вредоносного ПО показали загрузку больших файлов размером от 100 до 250 МБ, что затрудняло обнаружение. Регистрация доменов осуществляется нерегулярно, в соответствии с рабочими часами в Восточной Азии, со значительной активностью в праздничные дни в США. Массовая регистрация 16 октября привела к тому, что 69% доменов были созданы за один раз. 78,9% доменов связаны с .cn или .com.cn Используются исключительно TLD, более 38% из которых зарегистрированы через регистраторов на китайском языке, и местные DNS-провайдеры. Для анализа характеристик вредоносного ПО был внедрен рабочий процесс на базе искусственного интеллекта, который обработал 2000 доменов примерно за 10 часов. Злоумышленники усовершенствовали свою тактику, выдавая себя за популярные китайские приложения, что усложняет усилия по обнаружению.

#ParsedReport #CompletenessHigh
09-12-2025

MetaRAT-based Attack Campaign Targeting Japanese Organizations

https://www.lac.co.jp/lacwatch/report/20251208_004569.html

Report completeness: High

Actors/Campaigns:
Red_delta
Calypso
Stone_panda
Winnti
Luoyu
Redfoxtrot
Webworm
Naikon
Cloudcomputating

Threats:
Metarat
Talisman
Plugx_rat
Shadowpad
Ratels
Antidebugging_technique
Keylogdump_tool
Dll_sideloading_technique
Rainyday
Turian
Timestomp_technique
Eagerbee
Littlelamb_wooltea
Pitsock
Pitfuel

Victims:
Shipping, Transportation, Subsidiaries, Japanese organizations

Industry:
Transport, Ics, Telco, Government

Geo:
Asia, China, Kazakhstan, Japanese, Chinese, Russian

CVEs:
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.007, T1055, T1056.001, T1071.001, T1095, T1106, T1140, T1190, T1218, have more...

IOCs:
File: 11
Hash: 18
Domain: 6
IP: 9

Soft:
Windows service, Ivanti, Active Directory

Algorithms:
aes-256-ecb, gzip, xor, lznt1, sha256, aes, rc4

Functions:
Code

Win API:
RtlDecompressBuffer, decompress

Languages:
c_language

YARA: Found
SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, code: 12, windows: 3, dump: 6