#ParsedReport #CompletenessLow
11-12-2025

One newsletter to rule them all

https://blog.talosintelligence.com/one-newsletter-to-rule-them-all/

Report completeness: Low

Threats:
Deadlock
Byovd_technique
Win.ransomware.deadlock-10058428-0
Brickstorm
Coinminer

Industry:
Critical_infrastructure

Geo:
Chinese, China

CVEs:
CVE-2024-51324 [Vulners]
CVSS V3.1: 3.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


IOCs:
File: 4
Hash: 10

Algorithms:
sha256, md5

#ParsedReport #CompletenessHigh
12-12-2025

Operation MoneyMount-ISO Deploying Phantom Stealer via ISO-Mounted Executables

https://www.seqrite.com/blog/operation-moneymount-iso-deploying-phantom-stealer-via-iso-mounted-executables/

Report completeness: High

Actors/Campaigns:
Moneymount-iso (motivation: financially_motivated)

Threats:
Phantom_stealer
Steganography_technique
Cliplogger_tool
Dll_injection_technique

Victims:
Finance roles

Industry:
Financial

Geo:
Russian, Burma, Russia

TTPs:
Tactics: 7
Technics: 25

IOCs:
File: 9
Url: 1
Hash: 4

Soft:
gatekeeper, Chrome, Discord, Chromium, Telegram

Algorithms:
zip

Functions:
RunAllWalletExtraction, GetWallets

Win API:
OpenClipboard, GetClipboardData, GlobalLock

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция MoneyMount-ISO, исходящая из России, внедряет вредоносное ПО Phantom для кражи информации, нацеленное на финансовые секторы с помощью фишингов электронных писем, содержащих вложения файлов ISO. Атака начинается с ISO-файл, который устанавливает исполняемый файл, чтобы загрузить вредоносную нагрузку, в том числе библиотеку DLL, которая впрыскивает Фантом вредоносное ПО в систему. Phantom Stealer особенности исчерпывающие данные кражи функции, такие как сбор криптовалютным кошельком информация и учетные данные учетные данные, используя анти-анализа, а также кражи данных украденных через механизм телеграмму С2.
-----

Операция MoneyMount-ISO - это вредоносная кампания, выявленная Seqrite Labs, которая исходит из России и предназначена для развертывания вредоносного ПО Phantom, похищающего информацию. Эта кампания в первую очередь нацелена на финансовый сектор, создавая такие риски, как кража учетных данных, мошенничество со счетами/платежами и несанкционированные переводы. Атака начинается с фишинга электронных писем, якобы подтверждающих банковский перевод, содержащих ISO-файлы в виде вложений, которые получателям предлагается открыть.

Первый этап атаки включает в себя ZIP-архив, содержащий ISO-файл с именем "Банковский перевод confirmation.iso ." При открытии этот ISO-файл автоматически монтируется и показывает исполняемый файл, который облегчает последующую загрузку полезной нагрузки. Анализ этого исполняемого файла показывает, что он загружает в память дополнительные компоненты, в частности Phantom Stealer, что указывает на сложную многоэтапную цепочку заражения.

Первая полезная нагрузка - это DLL-файл с именем CreativeAI.dll , который содержит зашифрованную полезную нагрузку. После расшифровки эта библиотека DLL впоследствии внедряет вредоносное ПО Phantom Stealer в систему жертвы. Phantom Stealer оснащен различными модулями, предназначенными для масштабной кражи данных, включая извлечение информации о кошельке криптовалюты, токенов аутентификации Discord, паролей браузера, файлов cookie и данных кредитной карты, хранящихся в браузерах на базе Chromium.

Phantom Stealer обладает надежными возможностями антианализа, используя класс антианализа для обнаружения виртуальных сред и настроек, контролируемых аналитиком. Если будут запущены какие-либо проверки, вредоносное ПО может самоуничтожиться, чтобы избежать обнаружения. Кроме того, вредоносное ПО содержит компонент под названием BrowserWallets, который облегчает массовое извлечение сведений о криптовалютных кошельках путем сопоставления имен кошельков с идентификаторами добавочных номеров и доступа к настройкам профиля пользователя.

В дополнение к целям фишинга вредоносное ПО может собирать токены discord, сканируя файлы LevelDB на наличие определенных шаблонов токенов. Модуль Chromium Recovery систематически сканирует и расшифровывает пользовательские данные из различных хранимых баз данных SQLite, эффективно компилируя и экспортируя конфиденциальную информацию в структурированные форматы для дальнейшего использования.

В cliplogger ClipLogger постоянно следит за буфером обмена, захвата и лесозаготовки текстовых записей. Регистрация нажатий клавиш клавиатурных также интегрирована, что позволяет вредоносное ПО установить низкоуровневый Хук клавиатуре для входа нажатия клавиш в системе, в дальнейшем увеличивая свои возможности захвата данных. Наконец, эвакуация эксфильтрация осуществляется с помощью команды управление механизм, где похищенная информация передается злоумышленникам через зашифрованный токен бота.

#ParsedReport #CompletenessLow
12-12-2025

Chain Reaction: Attack Campaign Activity in the Aftermath of React Server Components Vulnerability

https://www.imperva.com/blog/chain-reaction-attack-campaign-activity-in-the-aftermath-of-react-server-components-vulnerability/

Report completeness: Low

Actors/Campaigns:
Chinaz
Unc5174

Threats:
Xnote
Snowlight
Reactonmynuts
Runnv
React2shell_vuln
Vshell
Mirai
Xmrig_miner
Cryptojacker

Victims:
Financial services, Websites

Industry:
Telco, Retail, Government, Education, Healthcare, Ngo

Geo:
Hong kong, Singapore, Kuwait, Argentina, Asia, Columbia, Colombia, Australia, United kingdom, Thailand, Russian, Indonesia, Brazil, Chinese, Canada

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


ChatGPT TTPs:
do not use without manual check
T1059.004, T1071.001, T1105, T1190, T1496, T1547

IOCs:
File: 3

Soft:
Linux

Crypto:
monero

Algorithms:
gzip

Win API:
writeFile

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость React2Shell (CVE-2025-55182) позволяет выполнять удаленный код без проверки подлинности посредством небезопасной десериализации на стороне сервера в серверных компонентах React, что приводит к более чем 127 миллионам попыток эксплуатации, затрагивающих 87 000 сайтов. Злоумышленники внедрили троян удаленного доступа (RAT) для системного контроля и передачи файлов и использовали различные механизмы "дроппера" для распространения вредоносного ПО, такого как VShell RAT и операции криптоджекинга. Недавние кампании демонстрируют сочетание спонсируемой государством и оппортунистической тактики, использующей этот критический недостаток.
-----

Уязвимость React2Shell, идентифицированная как CVE-2025-55182, связана с критическим недостатком, вызванным небезопасной десериализацией на стороне сервера полезных нагрузок, контролируемых клиентом, в серверных компонентах React. Эта уязвимость представляет значительный риск, позволяя выполнять удаленный код без проверки подлинности. После его раскрытия было зафиксировано более 127 миллионов запросов, связанных с попытками эксплуатации, которые затронули более 87 000 различных сайтов, что указывает на высокую степень автоматизированного сканирования и усилий по эксплуатации.

После публичного анонса React2Shell появились многочисленные предполагаемые эксплойты для проверки концепции (PoC), многие из которых были неправильно спроектированы и не смогли точно нацелиться на уязвимость в логике десериализации Flight. В результате злоумышленники быстро адаптировались к использованию уязвимости в рамках различных вредоносных кампаний.

Одним из наиболее заметных направлений атаки является широкомасштабная кампания по внедрению троянца удаленного доступа (RAT) с использованием уязвимости React2Shell. Это вредоносное ПО соединяется с командования и управления (C2) сервер для приема команд на основе JSON, что позволяет выполнить любую команду операционной системы, открытой обратной снаряды, и ручка передачи файлов. В другой нацелен операции, специально направленные на финансовые услуги в Гонконге, злоумышленники реализовали XNote RAT, которую подозревают в связях китайская хакерская группировка, лишний раз свидетельствует о потенциальной государственной поддержке участия.

Кроме того, было замечено, что дроппер SnowLight используется как в качестве вектора доступа, так и в качестве механизма закрепления, способного выполнять вредоносные скрипты для установки дополнительных полезных нагрузок, в частности VShell RAT. Кроме того, кампания, известная как ReactOnMyNuts, использовала эту уязвимость для распространения ботнет Mirai и XMRig - вредоносного ПО для криптозащиты через общие серверные архитектуры, используя простое выполнение команд для облегчения загрузки и установки вредоносных компонентов.

Считается, что еще одна инициатива по криптоджекингу, известная как кампания Runnv, исходит из Китая. Злоумышленники запустили скрипт dropper bash для извлечения дополнительных файлов полезной нагрузки, подчеркивая, что для получения ценных результатов требуются небольшие усилия, о чем свидетельствует ежедневный доход от их операций в размере примерно 170 долларов.

В целом, react2shell React2Shell стала катализатором массив кибер-операции, от правительственных хакеров установка сложных крыс схемы оппортунистических cryptojacking. Такая быстрая адаптация актеры опасный подчеркивает настоятельную необходимость для организаций проявлять бдительность в свою защиту против недавно обнаруженных уязвимостей.

#ParsedReport #CompletenessLow
13-12-2025

Technical Analysis of APT-C-26 (Lazarus) Group Deploying Blank Grabber Trojan Using WinRAR Vulnerability

https://www.ctfiot.com/286651.html

Report completeness: Low

Actors/Campaigns:
Lazarus (motivation: information_theft)

Threats:
Blankgrabber
Tsunami_framework
Credential_stealing_technique
Steganography_technique
Vmprotect_tool
Uac_bypass_technique
Hideconsole_tool

Victims:
Cryptocurrency users, Browser users, Corporate users

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


ChatGPT TTPs:
do not use without manual check
T1059, T1105, T1190, T1204.002, T1539, T1555.003

IOCs:
File: 5
Hash: 1

Soft:
Chromium, Discord, Telegram, Windows Defender, Chrome, Opera, Microsoft Edge, Yandex Browser, Firefox, Steam, have more...

Wallets:
metamask, exodus_wallet, electrum, zcash, jaxx, atomicwallet, coinomi, tronlink

Crypto:
ethereum, binance

Algorithms:
zip, xor, base64, md5

Functions:
exec

Win API:
CreateFileW

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В Lazarus Лазарь был развернут новый вредоносное ПО, в Blank Grabber хапуга, используя уязвимости в WinRAR уязвимость CVE-2025-8088. Жертвы вводятся в заблуждение и загружают вредоносный RAR-файл, который при извлечении запускает скрипт для извлечения Trojan. Это вредоносное ПО цели конфиденциальные данные, воруют пароли, куки браузера, и шифрует взаимодействий в приложении, например, раздор и Telegram, а также извлечение закрытые ключи от более чем 20 криптовалютные кошельки.
-----

Было замечено, что группа Lazarus, идентифицированная как APT-C-26, внедряет новое вредоносное ПО под названием троян Blank Grabber, используя уязвимость в WinRAR, в частности CVE-2025-8088. Методология этой атаки заключается в представлении вредоносного файла RAR, замаскированного под безобидный набор инструментов, чтобы побудить жертв загрузить его. Когда жертва извлекает содержимое этого файла, она запускает скрипт, который инициирует загрузку Blank Grabber Trojan.

Этот троянец предназначен для получения конфиденциальной информации от пользователей. Он способен красть пароли, файлы cookie и данные автоматического заполнения из браузеров на базе Chromium. Кроме того, это ставит под угрозу взаимодействие пользователей на коммуникационных платформах, таких как Discord и Telegram, путем перехвата данных сеанса. Примечательно, что вредоносное ПО также извлекает исходные Закрытые ключи из более чем 20 известных криптовалютных кошельков, включая MetaMask, Exodus и Electrum. Последствия этого метода атаки значительны, поскольку он может привести к значительным финансовым потерям и несанкционированному доступу к личным и корпоративным активам.

Анализ этой кампании подчеркивает важность повышенных мер безопасности как для отдельных лиц, так и для организаций. Осведомленность о таких уязвимостях и связанных с ними угрозах имеет важное значение для предотвращения утечек данных и защиты конфиденциальной информации от использования злоумышленниками, такими как группа Lazarus...........". Акторы.

#ParsedReport #CompletenessHigh
12-12-2025

NexusRoute: Attempting to Disrupt an Indian Government Ministry

https://www.cyfirma.com/research/nexusroute-attempting-to-disrupt-an-indian-government-ministry/

Report completeness: High

Actors/Campaigns:
Nexusroute (motivation: financially_motivated, cyber_criminal)

Threats:
Credential_harvesting_technique

Victims:
Indian government services, Mobile users

Industry:
Telco, Government, Financial, E-commerce

Geo:
Indian, India

TTPs:
Tactics: 10
Technics: 16

IOCs:
File: 4
IP: 2
Domain: 25
Hash: 2
Url: 3

Soft:
Android, Google Play

Algorithms:
base64, sha256, zip

Functions:
SwapMe, setComponentEnabledSetting

Languages:
java

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская кАмпания NexusRoute нацелена на системы индийского правительства mParivahan и e-Challan, используя вредоносное ПО для Android и тактику фишинга, чтобы скомпрометировать пользователей, выдавая себя за законные сервисы. В нем используется сложная среда разработки вредоносного ПО, которая включает динамическую загрузку кода, полное запутывание и различные методы закрепления, обеспечивая при этом такие функции, как перехват SMS, сбор конфиденциальных данных и GPS-отслеживание. Злоумышленники используют социальную инженерию, чтобы обманом заставить пользователей установить вредоносное ПО, которое затем использует наложения пользовательского интерфейса для кражи учетных данных и поддерживает контроль с помощью постоянных сообщений WebSocket.
-----

Хакерская кАмпания NexusRoute, выявленная CYFIRMA, представляет собой скоординированную и финансово мотивированную атаку, направленную на службы Министерства правительства Индии, в частности, на системы mParivahan и e-Challan. Эта операция использует тактику вредоносного ПО для Android и фишинга, используя общественное доверие, выдавая себя за государственные службы для распространения вредоносных APK-файлов через репозитории и страницы GitHub. Кроме того, он использует многочисленные домены для фишинга, предназначенные для вовлечения жертв в мошеннические схемы верификации и оплаты, включающие UPI и традиционные банковские транзакции.

Фреймворк вредоносного ПО характеризуется многоэтапным выполнением с собственной поддержкой, что усложняет усилия по обнаружению. Он использует динамическую загрузку кода, методы полной обфускации и различные механизмы закрепления, основанные на функциях Android, таких как BroadcastReceivers и службы переднего плана, для поддержания долгосрочного присутствия на зараженных устройствах. Технический анализ показывает, что вредоносное ПО может перехватывать SMS-сообщения, собирать конфиденциальные данные, такие как OTP и банковские учетные данные, отслеживать местоположение устройств с помощью GPS и незаметно извлекать данные через встроенную инфраструктуру управления.

Операции NexusRoute иллюстрируют полный жизненный цикл киберпреступности. Начиная с создания поддельных репозиториев GitHub и сотен доменов для фишинга, злоумышленники заманивают пользователей через поддельные платформы транспортных сервисов. Установка вредоносного ПО основана на тактике социальной инженерии, побуждающей пользователей разрешать установку из неизвестных источников. После установки вредоносное ПО запускает многоступенчатый загрузчик, который динамически расшифровывает вторичные полезные нагрузки с помощью DexClassLoader, переходя к выполнению машинного кода через Java Native Interface (JNI), который скрывает свои операции от традиционных методов анализа.

Ключевые особенности вредоносного ПО включают в себя использование функций системы Android, таких как SMS и доступ к контактным данным. Он выполняет обширные действия по наблюдению, включая сбор журналов вызовов и генерацию данных журнала для эксфильтрации. Система связи управления использует постоянные каналы WebSocket для управления и передачи данных в режиме реального времени. Вредоносное ПО перехватывает конфиденциальные пользовательские данные с помощью наложений пользовательского интерфейса, специально имитирующих законные государственные службы, тем самым облегчая кражу учетных данных с помощью таких методов, как Регистрация нажатием клавиш и Перехват данных с помощью подмены пользовательского интерфейса.

#ParsedReport #CompletenessLow
13-12-2025

Digging through Rust to find Gold: Extracting Secrets from Rust Malware

https://binarydefense.com/resources/blog/digging-through-rust-to-find-gold-extracting-secrets-from-rust-malware

Report completeness: Low

Threats:
Luca_stealer
Blackcat

IOCs:
File: 1
Hash: 1

Soft:
Linux, Node.js

Algorithms:
base64, sha256

Languages:
golang, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Разработка вредоносного ПО переходит от традиционных языков, таких как C/C++, к современным компилируемым языкам, таким как Rust, Golang и Nim, которые предлагают такие преимущества, как кросс-платформенная совместимость. Уникальные возможности Rust усложняют анализ вредоносного ПО из-за его строгой обработки ошибок, безопасности памяти и зависимости от внешних библиотек, что затрудняет аналитикам обратное проектирование. По мере того как Rust набирает популярность среди злоумышленников, существующие методы обнаружения с трудом поспевают за ним, позволяя этим новым разновидностям вредоносного ПО эффективно обходить традиционные меры безопасности.
-----

Последние тенденции указывают на переход в разработке вредоносного ПО от традиционных языков, таких как C/C++, к более новым компилируемым языкам, включая Rust, Golang и Nim. Этот переход отражает преимущества, которые предлагают эти языки, такие как кроссплатформенная совместимость при минимальной модификации кода. Однако это также требует адаптации средств защиты и методологий анализа для эффективного обнаружения и анализа вредоносного ПО, написанного на этих современных языках.

Rust, в частности, создает уникальные проблемы для анализа вредоносного ПО из-за своего набора инструментов компилятора, который включает компилятор rustc и систему сборки cargo. Эти инструменты облегчают создание проекта и управление им, встраивая различные типы строк и зависимостей в двоичные файлы. Система управления зависимостями Rust позволяет интегрировать внешние библиотеки, или "ящики", которые могут усложнить аналитикам работу по обратному проектированию, скрывая функциональность вредоносного ПО.

Анализ вредоносное ПО вредоносными программами, написанными в Русте свидетельствует различных проблем, обусловленных присущими особенностями конструкции языка. В частности, ржавчины строгий обработки ошибок памяти и меры безопасности, ввести дополнительные уровни сложности в ходе реверс-инжиниринга. Язык включает в себя автоматическое проверяет возможные ошибки, такие как проверка границ и нарушения доступа к памяти, которые могут помешать аналитиков для выявления вредоносного поведения. Это отличается от C/C++, которая возлагает бремя управления памятью полностью на разработчике, тем самым увеличивая потенциал для неопределенного поведения.

Рост популярности Rust в разработке вредоносного ПО свидетельствует о растущей тенденции к внедрению сложных форм киберугроз, таких как программы-вымогатели и кража информации. Текущая среда обнаружения угроз для вредоносного ПО на основе Rust остается менее развитой, чем для вредоносных программ, созданных с использованием более устоявшихся языков, что позволяет этим новым разновидностям более эффективно уклоняться от обнаружения. По мере того как популярность Rust растет среди злоумышленников, задача специалистов по кибербезопасности будет заключаться в совершенствовании их аналитических систем и методов обнаружения для учета уникальных характеристик и уклончивости написанного на Rust вредоносного ПО.

#ParsedReport #CompletenessLow
12-12-2025

SHADOW-VOID-042 Targets Multiple Industries with Void Rabisu-like Tactics

https://www.trendmicro.com/en_us/research/25/l/SHADOW-VOID-042.html

Report completeness: Low

Actors/Campaigns:
Void_rabisu (motivation: cyber_espionage, financially_motivated)
Shadow-void-042 (motivation: cyber_espionage, financially_motivated)

Threats:
Spear-phishing_technique
Romcom_rat
Residential_proxy_technique
Cuba_ransomware

Victims:
Defense sector, Energy sector, Chemical sector, Cybersecurity sector, Information and communications technology sector, Pharmaceuticals sector, Human resources personnel, Executives

Industry:
Telco, Energy, Logistic, Retail, Government, Foodtech, Healthcare, Chemical, Financial

Geo:
Ukraine, America, Russian

CVEs:
CVE-2018-6065 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<65.0.3325.146)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1105, T1204.001, T1566.001, T1620

IOCs:
Path: 1

Soft:
Chrome, Chromium, WeChat, outlook

Algorithms:
cbc, sha512, aes

Win API:
GetSystemInfo

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, code: 1, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ноябре 2025 года группа вторжения SHADOW-VOID-042 провела нацеленную кампанию Целевого фишинга, используя тактику социальной инженерии, напоминающую стиль Trend Micro, направленную на такие сектора, как оборона и фармацевтика. В атаке использовалась многоэтапная цепочка заражения с использованием отдельных файлов JavaScript, загружающих 64-разрядный шеллкод, который вызывал Windows API для доставки зашифрованного кода и подключался к жестко закодированным серверам C&C. Раннее вмешательство платформы Trend Vision One предотвратило развертывание связанного с ней вредоносного ПО, такого как Void Rabisu, в результате чего конечные цели злоумышленников остались неопределенными.
-----

В ноябре 2025 года была обнаружена изощренная кампания Целевого фишинга, связанная с временным набором вторжений с пометкой SHADOW-VOID-042. Эта кампания была нацелена на множество отраслей, включая оборону, энергетику, фармацевтику, кибербезопасность и ИКТ, используя тактику социальной инженерии, имитирующую корпоративный стиль Trend Micro. В электронных письмах с фишингом содержались веб-сайты-приманки, предназначенные для заманивания жертв, и они были заблокированы платформой безопасности Trend Vision One еще до того, как были развернуты какие-либо окончательные полезные приложения. Обнаружение предполагает сильную связь с тактикой группы вторжения Void Rabisu, которая связана с группой акторов с гибридной мотивацией и известными российскими интересами.

В кампании использовалась многоэтапная цепочка заражения, специально разработанная для целевых машин, которая имела сходство с более ранней кампанией в октябре 2025 года, также связанной с набором SHADOW-VOID-042. В ходе этой предыдущей кампании мишенями были руководители и сотрудники отдела кадров, которые использовали приемы социальной инженерии, связанные с жалобами на домогательства и запросами на академические исследования. Это свидетельствует о стратегической эволюции подхода злоумышленников, демонстрирующей их способность адаптироваться к различным организационным контекстам.

Во время ноябрьской кампании, вредоносное ПО вредоносных программ включены погрузка три отдельных файлов JavaScript. Один из этих файлов содержит 64-битный шеллкод, который сделал вызовы API-интерфейсов Windows с помощью уникального алгоритма хэширования. Этот шеллкод служил грузчиком на зашифрованный код, который был настроен для машины нацелен на основе уникального идентификатора. Последующий этап включает пытается подключиться к нескольким жестко командования и управления (C&C) для сервера, стремясь получить дополнительную аппаратуру встроены в цепочку заражения. Злоумышленники предприняли несколько попыток подключения, что свидетельствует об отказоустойчивости их методологии.

Несмотря на эти сложные уровни тактики проникновения, платформе Trend Vision One удалось остановить кампанию на ранней стадии цепочки заражения, предотвратив любое развертывание вредоносного ПО, связанного с Void Rabisu или потенциальным Backdoor. ROMCOM Из-за этого раннего вмешательства специфика конечной полезной нагрузки и конечные цели злоумышленников остаются неопределенными. Текущее отслеживание этих кампаний в рамках SHADOW-VOID-042 будет продолжено, поскольку аналитики стремятся установить более четкие связи с Void Rabisu и получить представление о возможностях и намерениях вовлеченных злоумышленников.