#ParsedReport #CompletenessMedium
16-12-2025

The Detection & Response Chronicles: Exploring Telegram Abuse

https://blog.nviso.eu/2025/12/16/the-detection-response-chronicles-exploring-telegram-abuse/

Report completeness: Medium

Actors/Campaigns:
Lunar_spider

Threats:
Deerstealer
Xworm_rat
Raven_stealer
Fakecaptcha_tool
Latrodectus
Telecaptcha_tool
Socgholish_loader
Hijackloader
Lumma_stealer

Victims:
Fakecaptcha victims, Web users, Information technology users, Malware victims

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.001, T1059.007, T1071.001, T1102.001, T1102.002, T1140, T1204.002, T1560.001, have more...

IOCs:
Domain: 2
Hash: 59
File: 1

Soft:
Telegram, Microsoft Defender for Endpoint, Google Chrome, WordPress, curl, Discord

Algorithms:
zip

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники все чаще используют Telegram для вредоносных действий, используя его анонимность и надежный бот-API для операций управления. Недавние оценки выявили кампании таких групп, как Lunar Spider и Lumma Stealer, которые используют Telegram для мониторинга жертв, эксфильтрации данных и выполнения команд, используя такие методы, как фрагменты JavaScript и криптографическое запутывание. Другие вредоносные ПО, такие как DeerStealer и Raven Stealer, также используют Telegram для связи с злоумышленниками и скрытой передачи скомпрометированных данных.
-----

Злоумышленники все чаще используют приложения для обмена сообщениями, такие как Telegram, для вредоносных действий из-за его функций, которые поддерживают анонимность, устойчивость и простоту общения. В недавних оценках безопасности, проведенных Центром операций по обеспечению безопасности NVISO (SOC), с октября 2025 года были выявлены четыре отдельные попытки вторжения, в частности с использованием Telegram, что подчеркивает его роль в различных стратегиях кибератак.

Telegram действует как облачная платформа обмена сообщениями, которая облегчает шифрованную связь и поддерживает надежный Bot API. Этот API часто используется злоумышленниками, которые либо жестко кодируют токены ботов, либо используют определенные каналы для функций управления (C2). Характеристики платформы делают ее привлекательной для злоумышленников, ищущих надежные и анонимные способы выполнения операций или взаимодействия со скомпрометированными системами.

Одним из важных примеров является кампания группы Lunar Spider, которая использовала API Telegram для мониторинга жертв при выполнении своей платформы FakeCaptcha. Внедрив фрагменты JavaScript, которые отслеживали взаимодействие посетителей с их панелью, злоумышленники передали эту информацию обратно в Telegram-канал, продемонстрировав использование клиентского кода для облегчения передачи данных.

Аналогичным образом, вредоносное ПО DeerStealer - стиллер информации - использовало Telegram для уведомления злоумышленников о выполненных полезных загрузках, распространяясь через поддельные оповещения об обновлениях браузера. Другой ключевой игрок, Lumma Stealer, инновационно восстановил свои коммуникации C2 через Telegram-каналы. Это вредоносное ПО использовало криптографические методы для сокрытия идентификаторов каналов и поддержания постоянной работоспособности, позволяя быстро вносить изменения, чтобы избежать обнаружения.

Raven Stealer - это еще один современный стиллер информации, который использует Telegram для извлечения скомпрометированных данных. После сохранения украденной информации в архиве он использует API Telegram для загрузки данных с помощью определенных команд, что позволяет злоумышленникам незаметно извлекать конфиденциальную информацию. Кроме того, троянская версия XWorm builder использует Telegram не только для эксфильтрации данных, но и для удаленного выполнения команд, позволяя злоумышленнику отправлять и получать команды через бот-инфраструктуру платформы.

#ParsedReport #CompletenessLow
15-12-2025

Advent of Configuration Extraction - Part 3: Mapping GOT/PLT and Disassembling the SNOWLIGHT Loader

https://blog.sekoia.io/advent-of-configuration-extraction-part-3-mapping-got-plt-and-disassembling-the-snowlight-loader/

Report completeness: Low

Actors/Campaigns:
Unc5174

Threats:
Snowlight
Vshell
Polaredge

Victims:
Linux systems

ChatGPT TTPs:
do not use without manual check
T1036.004, T1095, T1105, T1571

IOCs:
Hash: 1
File: 16

Soft:
Linux

Algorithms:
xor, sha256

Functions:
PLT, section_from_virtual_address, disasm

Win API:
gethostbyname, htons

Win Services:
bits

Languages:
python

Platforms:
cross-platform, x86, mips, arm, intel

Links:
have more...
https://github.com/SEKOIA-IO/Community/tree/main/Configuration\_extractors
https://github.com/SEKOIA-IO/Community/blob/main/Configuration\_extractors/SNOWLIGHT.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Загрузчик SNOWLIGHT - это компактный исполняемый файл ELF для Linux, который извлекает и выполняет удаленные полезные нагрузки, взаимодействуя со своим сервером C2 через необработанные TCP-сокеты. Извлечение конфигурации использует библиотеку LIEF и Capstone для дизассемблирования, позволяя идентифицировать жестко закодированные порты C2 и адреса динамических функций. Ключевые данные анализируются из раздела ".rodata" вредоносного ПО, раскрывая методы связи с помощью идентифицированных маркеров и облегчая детальный анализ его операционного поведения.
-----

Загрузчик SNOWLIGHT, идентифицированный Mandiant, представляет собой компактный исполняемый файл ELF, разработанный на C, предназначенный для извлечения и выполнения удаленных полезных нагрузок в системах Linux. Имея размер менее 10 КБ, он взаимодействует со своим сервером управления (C2) через необработанный TCP-сокет, используя различный порт для разных образцов. Операционное поведение вредоносного ПО включает в себя извлечение его конфигурации, что имеет решающее значение для понимания его подключения C2.

Для автоматизации извлечения сведений о конфигурации из SNOWLIGHT используется инструмент LIEF. Эта кроссплатформенная библиотека специализируется на разборе исполняемых форматов, таких как ELF, PE и MachO, обеспечивая необходимый доступ к низкоуровневым двоичным структурам, таким как заголовки и таблицы перемещения. Он играет решающую роль в обратном проектировании и анализе вредоносного ПО, облегчая контролируемую модификацию двоичных файлов без ущерба для их целостности.

Заключительный этап процесса экстракции конфигурация Предполагает соотнесение разобранном виде инструкции с динамически разрешать адреса функций, тем самым восстанавливается жестко порт С2 используется SNOWLIGHT. Это достигается путем объединения получили разрешение/ДПП по лифу с инструкцией анализ с замковым камнем, который помогает в определении вызов `вызовом`. Хорошо структурированного подхода при проектировании экстрактор, в том числе отдельной парсинг `.rodata`, осмотр эльф, и plt/у картография, повышает эффективность процесса разработки, в частности, с динамически связанные исполняемые файлы ELF.

Начальный шаг в создании средства извлечения конфигурации требует ручного анализа нескольких образцов SNOWLIGHT, чтобы расшифровать, как вредоносное ПО получает доступ к своим конфигурационным данным и анализирует их. Это включает в себя проверку данных, хранящихся в разделе `.rodata`, который анализируется с использованием разделителя нулевого байта (`\x00`) для генерации списка псевдостро-подобных шаблонов. Общий маркер "kworker/0:2" идентифицируется во всех образцах, что приводит к расположению значения C2 непосредственно за этим маркером.

Чтобы получить порт C2, важно проанализировать основную функцию вредоносного ПО, начиная с идентификации его адреса. LIEF облегчает это, предоставляя доступ к экспортируемым символам, тем самым обеспечивая прямой доступ к точке входа основной функции. Точно определяя виртуальный адрес main, можно получить соответствующие байты для дизассемблирования, что помогает разрешить динамические вызовы, имеющие ключевое значение для настройки сети SNOWLIGHT's. Таким образом, процесс дизассемблирования в сочетании с восстановлением динамической компоновки с помощью разрешения GOT и PLT является неотъемлемой частью понимания поведения SNOWLIGHT's и его метода взаимодействия с инфраструктурой C2.

#ParsedReport #CompletenessMedium
15-12-2025

Malicious NuGet Package Typosquats Popular .NET Tracing Library to Steal Wallet Passwords

https://socket.dev/blog/malicious-nuget-package-typosquats-popular-net-tracing-library

Report completeness: Medium

Threats:
Homoglyph_technique
Typosquatting_technique
Supply_chain_technique

Victims:
Software developers, .net developers

Industry:
Financial

Geo:
Moscow, Russian, Russia

TTPs:
Tactics: 2
Technics: 9

IOCs:
File: 19
IP: 2
Url: 2
Path: 1

Soft:
NuGet, Outlook

Functions:
WebClient, Any

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет NuGet, Tracer.Fody.NLog, был идентифицирован как типографская Имперсонация законного средства трассировки.Библиотека Fody, облегчающая кражу JSON-данных и паролей Stratis wallet. Эта атака по Цепочке поставок иллюстрирует более широкую тенденцию в экосистеме NuGet, использующую такие методы, как Маскировка и Имперсонация. Внедренное вредоносное ПО включает в себя функции эксфильтрации данных, в частности, нацеленные на финансовые учетные данные, и соответствует нескольким тактикам, описанным в платформе MITRE ATT&CK.
-----

Вредоносный пакет NuGet с именем Tracer.Fody.Было обнаружено, что NLog опечатывает законное .Библиотека сетевой трассировки Tracer.Fody. Используя методы homoglyph, пакет-самозванец обманывает разработчиков, заставляя их загружать его, что потенциально может привести к краже JSON-данных и паролей Stratis wallet. Процесс эксфильтрации нацелен на российский IP-адрес, что указывает на оперативный интерес конкретного злоумышленника к финансовым учетным данным.

Законный индикатор.Библиотека Fody лежит в основе различных расширений IL weaving, которые широко используются в .Сетевое сообщество с сотнями тысяч загрузок через популярные расширения. Учитывая его распространенность, разработчики могут не слишком внимательно изучать деревья зависимостей, что еще больше повышает эффективность этой атаки по Цепочке поставок. Вредоносный код, внедренный в Tracer.Fody.NLog был задокументирован как включающий функции, специально разработанные для извлечения и эксфильтрации конфиденциальных данных кошелька.

Этот инцидент не единичен; он отражает более широкую картину аналогичных атак, нацеленных на экосистему NuGet. Более ранний пример включал пакет, Маскировку под законную библиотеку Стивена Клири, что подчеркивало постоянные угрозы внутри платформы.

Тактика, методы и процедуры (TTP), используемые в этой атаке, соответствуют нескольким методам в рамках MITRE ATT&CK. Такие принципы, как создание учетной записи (T1585), развитие возможностей (T1587.001), Компрометация цепочки поставок (T1195.002) и выполнение вредоносных библиотек (T1204.005), иллюстрируют комплексную стратегию, используемую злоумышленниками. Кроме того, они используют Маскировку (T1036) и Имперсонацию (T1656) для достижения своих целей, в то же время нацеливаясь на незащищенные учетные данные (T1552) для Кражи денежных средств (T1657).

#ParsedReport #CompletenessLow
15-12-2025

What AWS Security learned from responding to recent npm supply chain threat campaigns

https://aws.amazon.com/blogs/security/what-aws-security-learned-from-responding-to-recent-npm-supply-chain-threat-campaigns/

Report completeness: Low

Threats:
Shai-hulud
Supply_chain_technique
Credential_harvesting_technique

Victims:
Software supply chain, Open source package ecosystem, Developers

Industry:
Ngo, Healthcare

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.007, T1195, T1195.001, T1199, T1204.002

IOCs:
File: 1
Domain: 1

Soft:
GuardDuty

Languages:
javascript

Links:
https://github.com/nrwl/nx/security/advisories/GHSA-cxm3-wv7p-598c

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние хакерские кАмпании по Цепочке поставок npm выявили значительные уязвимости в сторонних репозиториях программного обеспечения, в частности, в результате таких инцидентов, как компрометация пакета Nx, которая включала использование файла JavaScript для извлечения конфиденциальных файлов конфигурации GitHub. Несмотря на проблемы с генерацией токенов, злоумышленники инициировали серию скоординированных атак, включая кампании Shai-Hulud, нацеленные на многочисленные надежные пакеты. Отдельная операция по сбору токенов скомпрометировала более 150 000 пакетов npm, продемонстрировав острую необходимость в бдительности при обеспечении безопасности Цепочек поставок программного обеспечения.
-----

Недавние хакерские кАмпании по борьбе с Цепочками поставок npm выявили уязвимости, связанные со сторонними репозиториями программного обеспечения, что побудило AWS Security усилить меры реагирования. Примечательно, что такие инциденты, как компрометация пакета Nx, червь Shai-Hulud и масштабная операция по сбору токенов, выявили важные методы, используемые злоумышленниками.

Компромисс Nx выявил использование файла JavaScript с именем "telemetry.js ," который был адаптирован для взаимодействия с инструментами командной строки generative AI с помощью скомпрометированного пакета npm. Злоумышленники стремились извлечь конфиденциальные конфигурационные файлы с GitHub. Однако они столкнулись с препятствиями, когда не смогли сгенерировать действительные токены доступа, что привело к их неудаче в компрометации каких-либо данных. Этот инцидент не только выявил ключевые уязвимости, но и позволил AWS предпринять упреждающие действия для защиты своих сервисов и клиентов.

Кампании Shai-Hulud, появившиеся вскоре после инцидента с Nx, были нацелены на значительное количество популярных пакетов. Первоначальная волна воздействия затронула 18 доверенных пакетов, в то время как более масштабная атака на первом этапе нацелена на 180 пакетов, а последующая волна, получившая название "Shai-Hulud 2", состоялась в конце ноября. Эти скоординированные усилия подчеркивают стратегию злоумышленников по компрометации надежных сред разработки, подчеркивая необходимость бдительности и защитных мер в Цепочках поставок программного обеспечения.

Кроме того, отдельная кампания по сбору токенов привела к выявлению более 150 000 скомпрометированных пакетов npm. Автоматическое реагирование AWS Security включало регистрацию этих вредоносных пакетов в реестре вредоносных пакетов OpenSSF всего за 30 минут после обнаружения, тем самым расширяя спектр защиты не только для клиентов AWS, но и для более широкого сообщества разработчиков программного обеспечения.

Уроки, извлеченные из этих инцидентов, побудили AWS усовершенствовать свои протоколы реагирования на инциденты и усовершенствовать свои внутренние системы безопасности. Описанные атаки служат напоминанием о крайней необходимости для организаций внедрять надежные меры защиты от угроз, связанных с Цепочкой поставок программного обеспечения. AWS рекомендует использовать хорошо продуманную платформу AWS и подчеркивает важность развития стратегической устойчивости для снижения подверженности таким уязвимостям. Уделяя приоритетное внимание безопасности в своей деятельности, организации могут лучше защитить себя от подобных атак на Цепочки поставок в будущем.

#ParsedReport #CompletenessLow
15-12-2025

Arctic Wolf Observes Malicious SSO Logins on FortiGate Devices Following Disclosure of CVE-2025-59718 and CVE-2025-59719

https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-sso-logins-following-disclosure-cve-2025-59718-cve-2025-59719/

Report completeness: Low

Victims:
Fortinet fortigate users, Firewall and vpn appliance administrators

CVEs:
CVE-2025-59718 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le7.0.21, le7.2.14, le7.4.10, le7.6.3)
- fortinet fortiswitchmanager (le7.0.5, le7.2.6)
- fortinet fortios (le7.0.17, le7.2.11, le7.4.8, le7.6.3)

CVE-2025-59719 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (le7.4.9, le7.6.4, 8.0.0)


ChatGPT TTPs:
do not use without manual check
T1078, T1190, T1552.001

IOCs:
IP: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Были обнаружены вредоносные попытки входа с помощью единого входа (SSO), нацеленные на устройства FortiGate, использующие уязвимости CVE-2025-59718 и CVE-2025-59719. Это наводит на мысль о нацеленной кампании с вторжениями со стороны различных хостинг-провайдеров, указывая на то, что злоумышленники сосредотачиваются на интерфейсах управления брандмауэрами и VPN. Использование специализированных Поисковых систем для определения конкретных конфигураций Аппаратного обеспечения обеспечивает массовую эксплуатацию, подчеркивая необходимость безопасного доступа к этим интерфейсам управления.
-----

Arctic Wolf обнаружил вредоносные логины единого входа (SSO), нацеленные на устройства FortiGate, после раскрытия уязвимостей CVE-2025-59718 и CVE-2025-59719. Эта активность, отмеченная 12 декабря 2025 года, была связана со вторжениями, исходящими от различных хостинг-провайдеров, что указывает на нацеленную кампанию против FortiGate appliances.

Вторжения предполагают, что злоумышленники используют имеющиеся уязвимости, подчеркивая необходимость немедленных действий со стороны затронутых организаций. При обнаружении подобной вредоносной активности рекомендуется предположить, что учетные данные брандмауэра, особенно те, которые хэшируются в скомпрометированных конфигурациях, могли быть раскрыты. Следовательно, организациям следует быстро сбросить свои учетные данные брандмауэра, чтобы снизить риск дальнейшего несанкционированного доступа.

Кроме того, в рекомендации указывается, что злоумышленники часто сосредотачиваются на интерфейсах управления брандмауэрами и VPN во время таких атак. Использование специализированных Поисковых систем, предназначенных для идентификации конкретных конфигураций Аппаратного обеспечения, помогает этим злоумышленникам осуществлять массовую эксплуатацию. Это подчеркивает необходимость того, чтобы организации ограничивали доступ к этим критически важным интерфейсам управления только доверенными внутренними пользователями, тем самым уменьшая площадь атаки и потенциальные точки входа для эксплуатации.

Таким образом, организации, использующие устройства FortiGate, должны проявлять бдительность в отношении попыток злонамеренного входа в систему с помощью единого входа, принимать оперативные меры в ответ на предполагаемые взломы и применять строгий контроль доступа к своим интерфейсам управления, чтобы усилить свою защиту от этих угроз.

#ParsedReport #CompletenessHigh
16-12-2025

Say hello to Nextron s RuneAI

https://www.nextron-systems.com/2025/12/16/say-hello-to-nextrons-runeai/

Report completeness: High

Threats:
Dll_sideloading_technique
Cobalt_strike_tool
Supply_chain_technique

Industry:
E-commerce

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059, T1059.001, T1071.001, T1102, T1105, T1547.009, T1552.001

IOCs:
File: 3
Hash: 4
IP: 1
Url: 2

Soft:
Dropbox

Algorithms:
zip, sha256, aes

Functions:
readFilePath, writeFilePath

Languages:
powershell

YARA: Found

Links:
https://github.com/Neo23x0/signature-base/blob/master/yara/mal\_etoroloro\_nodepackage\_dec25.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RuneAI от Nextron идентифицировал скрипт, действующий как троян удаленного доступа (RAT), с критическими уязвимостями, включая жестко закодированные учетные данные Dropbox и механизм доставки вредоносной полезной нагрузки с использованием Dropbox. Он использует PowerShell для загрузки и выполнения ZIP-файлов, обеспечивая при этом закрепление путем размещения вредоносного пакетного файла в папке автозагрузки Windows. Сценарий также допускает непроверенное удаленное выполнение команд, позволяя злоумышленникам запускать произвольные команды из размещенного файла, что вызывает серьезные проблемы с безопасностью.
-----

RuneAI от Nextron выявил скрипт, содержащий значительные уязвимости в системе безопасности, которые позиционируют его как троян удаленного доступа (RAT) с возможностями командования и контроля (C2). Анализ указывает на несколько критических недостатков безопасности, включая наличие жестко закодированных учетных данных Dropbox, механизм доставки вредоносной полезной нагрузки с использованием Dropbox, тактику закрепления через папку автозагрузки Windows и непроверенное удаленное выполнение команд, что может позволить злоумышленникам выполнять произвольные команды.

В процессе обнаружения были обнаружены жестко закодированные учетные данные, такие как идентификатор клиента Dropbox, секрет и токен обновления, встроенные в исходный код, который является общедоступным. Это создает риск кражи учетных данных. Кроме того, скрипт использует PowerShell для загрузки и выполнения вредоносных ZIP-файлов из Dropbox, функционируя как вредоносное ПО Dropper. Он также обеспечивает закрепление, копируя вредоносный пакетный файл в папку автозагрузки Windows, позволяя ему запускаться при каждой перезагрузке системы.

Одной из тревожных характеристик скрипта является его непроверенная возможность удаленного выполнения команд. Вредоносное ПО может выполнять команды из файла, размещенного в Dropbox, без каких-либо проверок, что вызывает серьезные опасения по поводу безопасности. Кроме того, связь C2 облегчается через Dropbox, где он может считывать команды из указанного пути к файлу и отправлять выходные данные обратно по пути записи в файл.

После автоматизированного анализа, проведенного RuneAI, дальнейшее расследование, проведенное командой Nextron по исследованию угроз, подтвердило эти выводы с помощью тщательного анализа вредоносного ПО и обратного инжиниринга. Их оценки подчеркивают важность логики обнаружения и методологий, которые команда использует для распознавания таких угроз и реагирования на них, гарантируя, что фактические вторжения отличаются от безобидной деятельности. Эти текущие исследования и анализ помогают в разработке эффективных мер защиты от этих возникающих угроз.

#ParsedReport #CompletenessMedium
17-12-2025

Kimwolf Exposed: The Massive Android Botnet with 1.8 Million Infected Devices

https://blog.xlab.qianxin.com/kimwolf-botnet-en/

Report completeness: Medium

Actors/Campaigns:
Badbox

Threats:
Kimwolf
Etherhiding_technique
Aisuru
Mirai
Bigpanzi
Vo1d

Victims:
Global internet infrastructure, Smart tv devices, Tv boxes, Android devices

Industry:
Financial, Media, Iot

Geo:
Philippines, Brazil, Argentina, Morocco, Saudi arabia, South africa, Germany, Usa, Algeria, Turkey, Chinese, France, Thailand, Pakistan, Indonesia, Mexico, Dprk, India, China, Iraq, Canada

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1090, T1095, T1102, T1498, T1547.005, T1573, T1583.001

IOCs:
Domain: 13
File: 9
Hash: 33
IP: 4
Coin: 1

Soft:
Android, wolfSSL, Unix

Crypto:
ethereum

Algorithms:
md5, crc-32, sha1, xor

Languages:
rust

Platforms:
x86, x64, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет Kimwolf - это крупномасштабная угроза для Android, выявленная примерно на 1,8 миллионах зараженных устройств, использующая библиотеку wolfSSL и работающая в основном через две версии, которые ориентированы на прокси-сервисы и DDoS-атаки. Его инфраструктура командования и контроля является сложной, использующей шифрование TLS и цифровые подписи с эллиптической кривой для связи. Несмотря на значительную активность, недавние усилия по удалению сократили его операционное влияние, что вызывает опасения по поводу неустойчивого поведения команд ботнет и его воздействия на уязвимости смарт-устройств.
-----

Ботнет Kimwolf, недавно идентифицированный как сверхмасштабный Android-ботнет, может похвастаться примерно 1,8 миллионами активных зараженных устройств и уникальной инфраструктурой командования и контроля (C2), примером чего является его заметный рейтинг домена. Захваченные образцы и оценки C2 от партнеров по безопасности показали, что этот ботнет использует библиотеку wolfSSL. Значительная активность наблюдалась после успешного захвата домена C2 1 декабря, что подчеркнуло его обширный охват с максимумом почти в 1,83 миллиона активных узлов. Тем не менее, активность ботнет впоследствии снизилась после агрессивных действий по уничтожению его инфраструктуры, в результате чего, по оценкам, ежедневное количество активных устройств составляет около 200 000.

Kimwolf работает в основном через две основные версии, v4 и v5, причем большинство команд сосредоточено на прокси-сервисах, что составляет 96,5% его директив, в то время как остальная часть посвящена DDoS-атакам, нацеленным на различные секторы в нескольких странах, главным образом в США, Китае, Франции, Германии и Канаде. Злоумышленники также используют компоненты на базе Rust, в частности командный клиент и ByteConnect SDK, для повышения эффективности использования полосы пропускания и общих операционных возможностей. Вредоносный APK-файл, идентифицированный в этом ботнете, связанный с образцом Aisuru, запускается автоматически при запуске устройства, что свидетельствует о стратегическом фокусе на устройствах Android, в частности на смарт-телевизорах и связанных с ними технологиях, страдающих различными уязвимостями.

При обмене данными в ботнете используется шифрование TLS, в то время как его внутренний протокол имеет определенную структуру сообщений с параметрами, важными для регистрации бота и верификации на его серверах C2. Бот проверяет свою легитимность с помощью цифровых подписей с эллиптической кривой и отвечает идентификаторами групп для эффективной обработки команд. Такая структурированная коммуникация подчеркивает сложный дизайн ботнет, направленный на поддержание его операционной целостности при внешних сбоях.

Поведенческие наблюдения в ходе оперативных разбирательств между 19 и 22 ноября показал Kimwolf испуская чудовищную 1,7 млрд команды целеуказания многочисленными ИПС под сомнение стратегическую последовательность этих операций, так как они не привели к значительным разрушениям. Этот перебоями подачи команды вызывает вопросы о возможных внутренних ошибок или преднамеренного хаоса от хакеров. В конечном счете, анализ Kimwolf подчеркивает ее поразительно агрессивную тактику, комплекс инфраструктуру, а насущная необходимость для сообщества безопасности для устранения уязвимостей, связанных с умных и подключенных устройств.