#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В оперативном отчете ФБР подробно описывается рост числа случаев кражи денег в банкоматах в США: более 700 случаев в 2025 году привели к убыткам на сумму более 20 миллионов долларов. Киберпреступники используют вредоносное ПО Ploutus для использования уязвимостей в программном обеспечении eXtensions for Financial Services (XFS) для незаконной выдачи наличных в обход банковской авторизации. Злоумышленники обычно получают физический доступ к банкоматам и внедряют вредоносное ПО различными методами, создавая значительные угрозы для нескольких производителей банкоматов из-за лежащих в их основе уязвимостей ОС Windows.
-----

ФБР сообщает о резком росте числа случаев кражи денег в банкоматах в США: в 2025 году их будет более 700, а убытки превысят 20 миллионов долларов. Джекпот в банкоматах использует программные и физические уязвимости, в основном используя вредоносное ПО Ploutus для манипулирования выдачей наличных без авторизации. Ploutus нацелен на уровень расширений для финансовых служб (XFS), позволяющий злоумышленникам обходить банковскую авторизацию и выдавать наличные непосредственно из банкоматов. Злоумышленники часто получают физический доступ с помощью универсальных ключей и могут удалить жесткий диск банкомата, чтобы заразить его вредоносное ПО с внешнего компьютера. Они также могут заменить жесткий диск на предварительно загруженное устройство. Это вредоносное ПО использует уязвимости в операционной системе Windows, что позволяет ему работать в банкоматах разных производителей. Рекомендуемые меры по смягчению последствий включают нацелен-ный аудит съемных носителей, поддержание проверенного "золотого образа" для банкоматов, внесение устройств в белый список, использование шифрования жесткого диска и настройку банкоматов на отключение при обнаружении определенных признаков компрометация. Для повышения готовности к угрозам также рекомендуется использовать решения для защиты от вредоносных программ и обучать персонал распознаванию сигналов о взломе.

#ParsedReport #CompletenessLow
22-02-2026

OPSEC on a Budget: What BadAudio Reveals About APT24 Securite360

https://securite360.net/opsec-on-a-budget-what-badaudio-reveals-about-apt24

Report completeness: Low

Actors/Campaigns:
Pitty_tiger

Threats:
Badaudio
Plugx_rat
Shadowpad

Victims:
Taiwan, United states

Geo:
Taiwan, China, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1033, T1041, T1071.001, T1140, T1573.001

IOCs:
File: 3
Hash: 1

Soft:
WinINet API, WordPress

Algorithms:
xor, aes, aes-256

Win API:
GetUserNameExW, HeapDestroy, VirtualFree, TerminateThread, ExitProcess, InternetCloseHandle, HttpQueryInfoA, InternetReadFile, InternetOpenA, HeapDestroy VirtualFree TerminateThread ExitProcess InternetCloseHandle, have more...

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT24, злоумышленник, связанный с Китаем, действует по меньшей мере с 2011 года, нацеливаясь на Тайвань и США. Недавнее использование ими загрузчика BadAudio знаменует переход к пользовательскому вредоносное ПО, которое собирает информацию о хостах, такую как имена пользователей и системные имена хостов, для разведка, прежде чем связываться с серверами командования и контроля (C2). BadAudio использует сложные методы обфускации с маскировкой XOR на основе SSE, использует AES-256 для шифрования данных и полагается на WinInet API для передачи данных, хотя его домен C2 недавно вернул ответ NXDOMAIN, что указывает на нестабильность в его операционной инфраструктуре.
-----

APT24, также известный как набор для взлома, связанный с Китаем, действует по меньшей мере с 2011 года, в основном нацеленный на организации на Тайване и, в некоторой степени, в Соединенных Штатах. Недавние анализы, в частности отчет Google Cloud, показали, что APT24's использует уникальный загрузчик, известный как BadAudio, что подчеркивает переход к пользовательскому вредоносное ПО вместо того, чтобы полагаться на более известные семейства, связанные с китайскими актор.

BadAudio предназначен для сбора информации, идентифицирующей хост, такой как текущее имя пользователя Windows и системное имя хоста, используя такие функции API, как GetUserNameExW и GetComputerNameW. Эта информация имеет решающее значение для этапа разведка вредоносное ПО, функционируя как средство сбора данных о зараженной среде перед взаимодействием с серверами командования и контроля (C2).

Технический анализ BadAudio показывает его сложные методы запутывания, в первую очередь за счет использования строк стека, которые используют маскировку XOR на основе SSE. Это вредоносное ПО восстанавливает обфускированные строковые буферы непосредственно в памяти, применяя 128-битные операции XOR для Деобфускация своих строк непосредственно перед их использованием. Кроме того, многие процедуры обфускации используют 16-байтовую маску, совместно используемую для различных строк и коммуникаций C2, что указывает на уровень синхронизации при обработке данных.

Что касается передачи данных, BadAudio использует шифрование AES-256 в режиме CTR для защиты информации, собранной с хоста. Жестко закодированный 256-битный ключ AES, хранящийся в вредоносное ПО в виде констант, используется для шифрования конфиденциальных данных перед их отправкой на сервер C2. Процесс передачи использует WinInet API для создания HTTP-запросов, которые включают пользовательские заголовки для передачи зашифрованных данных.

Однако во время тестирования домен C2, связанный с BadAudio, вернул ответ NXDOMAIN, указывающий на то, что он либо больше не функционирует, либо намеренно отключен. Это указывает на потенциальную нестабильность инфраструктуры, используемой APT24.

#ParsedReport #CompletenessHigh
22-02-2026

Chronology of MuddyWater APT Attacks Targeting the Middle East

https://www.genians.co.kr/blog/threat_intelligence/muddywater-apt

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: financially_motivated, information_theft)

Threats:
Spear-phishing_technique
Dll_sideloading_technique
Syncro_tool
Atera_tool
Screenconnect_tool
Simplehelp_tool
Splashtop_tool
Anydesk_tool
Teamviewer_tool

Victims:
Telecommunications, Universities, Insurance, Public pension fund, It services providers, Diplomatic organizations, Government agencies

Industry:
Telco, Military, Education, Energy, Government, Healthcare

Geo:
Jordan, Malaysian, Egypt, Israel, France, United kingdom, Iraq, Asia, Israeli, Oman, America, Middle east, Turkmenistan, Asian, Egyptian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1027.013, T1033, T1036, T1055, T1059.001, T1059.005, T1071.001, T1078, have more...

IOCs:
File: 17
Domain: 3
Path: 2
IP: 2
Hash: 39

Soft:
Microsoft Office, Microsoft Word, Dropbox, Microsoft OneDrive, Windows Installer, Microsoft Defender

Algorithms:
xor, exhibit, zip, md5

Functions:
Document_Open, dddd, love_me_

Win API:
InitializeSecurityContextW

Languages:
rust, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, code: 1, table: 1, dump: 5, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-группировка MuddyWater специализируется на долгосрочных атаках по сбору разведывательной информации на Ближнем Востоке, используя такие методы, как эксплойты RMM и Целевой фишинг на основе макросов. Их операции включают манипулирование пользователями с целью включения макросов во вредоносных документах Word и использование скрытых методов, таких как скрипты PowerShell и вредоносное ПО на основе Rust, для действий после проникновения. Недавние атаки включали в себя нападение на иракского телекоммуникационного оператора, продемонстрировав сложный подход к извлечению конфиденциальной информации в различных секторах.
-----

APT-группировка MuddyWater нацелена на организации на Ближнем Востоке, для которых характерно долгосрочное проникновение и сбор разведывательных данных, а не сиюминутная финансовая выгода. В их атаках преимущественно используются эксплойты удаленного мониторинга и управления (RMM) и методы, основанные на макросах, для первоначального проникновения. Целевой фишинг на основе документов остается распространенной стратегией, использующей методы социальной инженерии, чтобы обманом заставить пользователей включить макросы, которые выполняют вредоносные коды, часто скрытые в кажущихся законными документах Microsoft Word.

Несмотря на улучшения в системе безопасности Microsoft Office, такие как блокировка выполнения макросов по умолчанию, тактика группы заключается в манипулировании доверием пользователей с помощью тщательно подготовленных электронных писем, в которых пользователям предлагается включить макросы самостоятельно. Это особенно эффективно в средах, работающих под управлением старых версий программного обеспечения, где по-прежнему активен автозапуск макросов. В ходе недавних инцидентов они применили дополнительные методы, такие как вредоносные HTML-файлы, которые перенаправляются в облачные сервисы хранения данных, такие как Dropbox или OneDrive, для доставки полезной нагрузки.

На этапе после проникновения MuddyWater использует целый ряд тактических приемов, чтобы сохранить доступ и избежать обнаружения. Они используют скрипты PowerShell для выполнения команд и DLL Sideloading, а также сложные инструменты удаленного администрирования для скрытого управления системами компрометация. Примечательно, что они добились успехов, внедрив вредоносное ПО на основе Rust в свою деятельность, повысив свое техническое мастерство.

В качестве конкретного примера была отмечена атака Целевой фишинг на иракского телекоммуникационного оператора, в ходе которой злоумышленники использовали зараженные макросами документы Word, замаскированные под законные бизнес-файлы, чтобы получить доступ к внутренним системам. Аналогичные методы были применены при атаках на образовательные учреждения и различные отрасли промышленности, включая здравоохранение и финансы, с использованием скоординированных кампаний, направленных на извлечение конфиденциальной информации с течением времени.

Принцип работы MuddyWater's иллюстрирует растущую изощренность кибератак, спонсируемых государством, что требует надежной фреймворк Кибербезопасность, в котором особое внимание уделяется системам обнаружения конечных точек и реагирования (EDR). Эти системы должны обнаруживать не только традиционные индикаторы компрометация, но и аномальные модели поведения, указывающие на постоянный доступ или перемещение внутри компании в сетях. Этот переход к обнаружению, основанному на поведении, имеет решающее значение для выявления и смягчения угроз со стороны таких актор APT, как MuddyWater, на ранней стадии жизненного цикла атаки.

#ParsedReport #CompletenessMedium
22-02-2026

GreyNoise Labs Weekly OAST (Well-known Out-of-band Interaction Domains) Report Week Ending 2026-02-20

https://www.labs.greynoise.io/grimoire/2026-02-20-weekly-oast-report/

Report completeness: Medium

Actors/Campaigns:
Axiom
Hafnium

Threats:
Interactsh_tool
Nuclei_tool
Proxylogon_exploit
Typosquatting_technique
Log4shell_vuln
Lumma_stealer
Spark_rat
Vshell

Victims:
Global observation grid, General internet facing services, Ai llm orchestration infrastructure, Email servers, Beyondtrust installations

Industry:
Entertainment, Telco

Geo:
Sweden, Switzerland, China, Russian, Korea, Brazil, France, French, Luxembourg, Moscow, Vietnam, Russia

CVEs:
CVE-2026-1731 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- beyondtrust privileged_remote_access (<25.1)
- beyondtrust remote_support (<25.3.2)

CVE-2026-23760 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- smartertools smartermail (<100.0.9511)

CVE-2026-0770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (1.4.2)

CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)

CVE-2021-26855 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)

CVE-2025-4123 [Vulners]
CVSS V3.1: 7.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- grafana (<10.4.18, <11.2.9, <11.3.6, <11.4.4, <11.5.4)

CVE-2025-2775 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sysaid (le23.3.40)

CVE-2026-1281 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (le12.5.0.0, 12.5.1.0, 12.6.0.0, 12.6.1.0, 12.7.0.0)

CVE-2025-61882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle concurrent_processing (le12.2.14)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1090, T1102, T1190, T1568, T1583, T1584, T1585, T1588.002, T1595, have more...

IOCs:
IP: 22
Domain: 2
Email: 1
Url: 1

Soft:
Linux, Ubuntu, OpenSSH, nginx, Langflow, Ivanti EPMM, Gmail, Telegram

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В период с 14 по 20 февраля 2026 года GreyNoise зарегистрировал 3882 сеанса в 33 кампаниях внеполосного взаимодействия (OAST) с 24 уникальных IP-адресов, в основном используя индивидуальные адреса, а не кластеризованные. Задействованные ключевые инфраструктуры включают пуленепробиваемые хосты и эксплойты, нацеленные на такие уязвимости, как ProxyLogon и критические недостатки RCE CVE-2026-1731 и CVE-2026-0770. Поведение сеанса указывает на двойное развертывание средств сканирования, при этом заметная кампания Viet Storage использует сложные стратегии загрузки и постоянное сканирование на наличие уязвимостей Log4j, что свидетельствует как о продолжающихся усилиях по эксплуатации, так и о потенциальном изменении стратегий актор.
-----

В период с 14 по 20 февраля 2026 года GreyNoise обнаружил 3882 сеанса с 24 уникальных IP-адресов, задействованных в 33 кампаниях внеполосного взаимодействия (OAST). Вся активность исходила с отдельных IP-адресов, что отличалось от кластерных кампаний предыдущих недель. Ключевые инфраструктуры, связанные с этой деятельностью, включают пуленепробиваемых хостинг-провайдеров, Private Layer и RouterHosting/Cloudzy. В отчете отмечено 5695 декодированных вхождений в домен OAST с помощью схемы кодирования Interactsh. Было 33 уникальных идентификатора кампании и 12 различных отпечатков JA4T TCP, причем доминирующий отпечаток был привязан к кластеру Nuclears/loopback (размер окна 65495). Высокие объемы сеансов указывали на использование средств сканирования двойного развертывания с различными конфигурациями. Кампания по хранению данных во Вьетнаме была самой масштабной с 741 сеансом и 2138 уникальными доменами OAST, использующими сложную многовекторную стратегию ввода полезной нагрузки. Другая кампания от Ghosty Networks включала необычную активность протокола, связанную с игровым сервером, что наводило на мысль о потенциальной компрометация инфраструктуры. Московские кампании OVH/Alliance LLC были нацелен на уязвимости, такие как ProxyLogon (CVE-2021-26855), и включали инструменты эксплуатации инфраструктуры. В наблюдаемой сети происходит активное использование критических уязвимостей RCE CVE-2026-1731 и CVE-2026-0770. Постоянное сканирование Log4j указывает на непатентованные системы или фреймворк автоматического сканирования. Сложность атрибуции возникает из-за дублирования инфраструктур злоумышленник с российскими связями, использующих международные услуги хостинга, что намекает на юрисдикционный арбитраж. Переход к структуре с одним IP-адресом может усложнить оценку координации между кампаниями.

#ParsedReport #CompletenessHigh
24-02-2026

Apache ActiveMQ Exploit Leads to LockBit Ransomware

https://thedfirreport.com/2026/02/23/apache-activemq-exploit-leads-to-lockbit-ransomware/

Report completeness: High

Threats:
Lockbit
Meterpreter_tool
Metasploit_tool
Anydesk_tool
Blackmatter
Lolbin_technique
Cobalt_strike_tool
Amsi_bypass_technique

Victims:
Enterprise networks

CVEs:
CVE-2023-46604 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)


TTPs:
Tactics: 10
Technics: 0

IOCs:
Command: 1
IP: 3
File: 14
Hash: 5
Path: 2

Soft:
ActiveMQ, Linux, Windows Powershell, OpenWire, speakeasy, Winlogon, Windows Defender, SoftPerfect Network Scanner, Microsoft Defender, Windows Firewall, have more...

Algorithms:
sha256, gzip, base64

Functions:
GetSystem

Win API:
IsDebuggerPresent, VirtualAlloc, VirtualProtect, CreateThread, WaitForSingleObject

Languages:
powershell, java

Platforms:
apple

YARA: Found
SIGMA: Found

Links:
https://github.com/evkl1d/CVE-2023-46604/blob/main/exploit.py
have more...
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_Metasploit.yar

#ParsedReport #ExtractedSchema

Classified images:
dump: 1, code: 9, chats: 1, table: 5, windows: 3, chart: 1, schema: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка воспользовалась уязвимостью CVE-2023-46604 в сервере Apache ActiveMQ, сделав возможным Удаленное Выполнение Кода с помощью вредоносной конфигурации Java Spring. Восстановив доступ через 18 дней после выселения, злоумышленник повысил привилегии, получил доступ к Память процесса LSASS для перемещение внутри компании и установил AnyDesk для постоянного доступа. В конечном счете, они внедрили LockBit ransomware с использованием протокола RDP, используя скрытые команды и уникальный метод передачи информации о выкупе, подчеркнув сложность атаки и угрозу, исходящую от неконтролируемых уязвимостей.
-----

Хакерская группировка воспользовалась уязвимостью CVE-2023-46604 в подключенном к Интернету сервере Apache ActiveMQ, инициировав двухэтапное вторжение, начавшееся в феврале 2024 года. Эксплуатация допускала Удаленное Выполнение Кода (RCE) с помощью злонамеренно созданной команды с использованием файла конфигурации Java Spring, который злоумышленник отправил на сервер ActiveMQ. Получив первоначальный доступ, злоумышленник развернул этап Metasploit (uFSyLszKsuR.exe ) через сертификат Windows, чтобы загрузить и запустить вредоносное ПО.

После первого вторжения злоумышленник был удален, но сумел восстановить доступ 18 дней спустя, воспользовавшись той же уязвимостью. При повторном входе в систему злоумышленник выполнил команды для повышения привилегий и получил доступ к конфиденциальной памяти процесса LSASS, облегчив перемещение внутри компании по сети. Они использовали учетную запись привилегированного сервиса, вероятно, полученную во время первоначального взлома, для проведения дальнейших атак.

Злоумышленник установил AnyDesk, средство удаленного рабочего стола, на хост компрометация, предоставив им постоянный доступ. Они выполнили несколько команд, чтобы убедиться, что RDP включен, что позволяет им удаленно получать доступ к файлам и развертывать их на различных серверах, включая те, на которых хранятся резервные копии и файловые данные. На протяжении всей своей деятельности злоумышленник поддерживал надежное соединение с их сервером управление по IP-адресу 166.62.100.52.

Впоследствии злоумышленник развернул LockBit ransomware, используя протокол RDP. Исполняемые файлы программы-вымогателя, идентифицированные как LB3_pass.exe и LB3.exe , попадали в системы-нацелен и выполнялись с помощью различных средств, включая стандартные пользовательские интерфейсы и команды в стиле PsExec, что расширяло возможности их распространения. Примечательно, что записка с требованием выкупа отклонялась от обычной практики, предписывая жертвам использовать приложение для обмена сеансовыми сообщениями вместо стандартных методов связи, предполагая, что это была независимая операция с использованием просочившегося конструктора LockBit.

В ходе всей операции были продемонстрированы эффективные методы уклонения и перемещение внутри компании, включая использование Metasploit для выполнения Службы удаленного доступа и проведения сканирования сети для обнаружения других уязвимых систем. То, что злоумышленник может уклоняться от обнаружения антивирусными решениями на отдельных этапах вторжения, подчеркивает сложность атаки, подчеркивая критическую необходимость своевременных исправлений и мониторинга известных уязвимостей, таких как CVE-2023-46604. Промежуток времени от первоначальный доступ до развертывания программ-вымогателей составил около 419 часов, что указывает на серьезный риск для организаций, которые не в состоянии эффективно контролировать и защищать свои сетевые среды.

#ParsedReport #CompletenessMedium
23-02-2026

Four Malicious NuGet Packages Target ASP.NET Developers With JIT Hooking and Credential Exfiltration

https://socket.dev/blog/four-malicious-nuget-packages-target-asp-net-developers-with-jit-hooking-and-credential

Report completeness: Medium

Threats:
Typosquatting_technique
Ncryptyo
Credential_harvesting_technique
Supply_chain_technique
Ncrypto
Dotnet_reactor_tool
Eziriz_tool
Timebomb_technique
Process_injection_technique

Victims:
Asp.net developers, Software development ecosystem

TTPs:
Tactics: 3
Technics: 9

IOCs:
File: 24
IP: 1
Hash: 4

Soft:
NuGet, ASP.NET, Outlook, NET Reactor, Linux, macOS, Unix

Algorithms:
aes, aes-256-cbc, sha1, base64, sha256, gzip

Functions:
GetManifestResourceStream, HTTP, GetUserPermissions, GetRolePermissions, UpdateRolePermissions, UpdateUserPermissions, ConvertHtmlToPDF, CreateNoWindow, getJit

Win API:
GetProcAddress, LoadLibrary, VirtualAlloc, WriteProcessMemory, OpenProcess, VirtualProtect

Platforms:
arm, x64, apple, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние данные свидетельствуют о целенаправленной атаке на supply chain ASP.NET разработчики используют четыре вредоносных пакета NuGet, причем NCryptYo служит основным дроппером, который создает локальный прокси-сервер для доступа через черный ход. Это вредоносное ПО использует обфускацию для имитации законных библиотек и использует JIT-компиляцию для необнаруженного выполнения полезных нагрузок, причем только один антивирусный движок отмечает это. Сопутствующие пакеты, такие как DOMOAuth2_ и IRAOAuth2.0, облегчают сбор учетных записей и поддерживают подключения к общей инфраструктуре командования и контроля, ставя под угрозу безопасность приложений и конфиденциальность данных.
-----

Недавнее исследование выявило сложную атаку, направленную на supply chain. ASP.NET разработчикам с помощью четырех вредоносных пакетов NuGet. Замаскированные под легальные библиотеки, эти пакеты облегчают кражу конфиденциальных идентификационных данных и обеспечивают бэкдор-доступ к приложениям. Основной пакет, NCryptYo, действует как дроппер этапа 1, который создает локальный прокси-сервер на localhost:7152. Его методы запутывания имитируют законные криптографические библиотеки, в то время как связанные пакеты, DOMOAuth2_ и IRAOAuth2.0, предназначены для эксфильтрации ASP.NET Идентификационные данные и внедрить постоянные бэкдор с помощью SimpleWriter_, способного записывать файлы и выполнять процессы.

NCryptYo маскируется путем typosquatting законной библиотеки NCrypto, используя нефункциональный общедоступный API, который умело скрывает свою вредоносную природу. Вредоносное ПО использует перехватчики компиляции "Точно в срок" (JIT) для расшифровки Встраиваемая полезная нагрузка во время выполнения, гарантируя, что оно может работать незамеченным с помощью типичных мер безопасности. Примечательно, что только один из 72 антивирусных движков на VirusTotal обнаружил этот дроппер, что подчеркивает проблемы, связанные с распознаванием сильно запутанного .NET вредоносное ПО.

Взаимосвязанность этих пакетов очевидна благодаря общим встроенным токенам аутентификации и согласованным средам сборки, которые демонстрируют координацию их разработки. Например, все три сопутствующих пакета включают в свои метаданные строку, идентичную байту, указывающую на общую инфраструктуру командования и контроля (C&C). Эта архитектура гарантирует, что NCryptYo обрабатывает первоначальное развертывание, в то время как другие пакеты передают конфиденциальную информацию.

DOMOAuth2_ специализируется на сбор учетных записей, отфильтровывая данные, относящиеся к учетным записям пользователей и разрешениям, на сервер C&C злоумышленник. Он вводит двунаправленный канал управления, позволяющий злоумышленникам манипулировать правилами авторизации и получать доступ на уровне администратора в приложениях-жертвах. Между тем, IRAOAuth2.0 предоставляет более ограниченный метод интеграции, но все еще представляет значительный риск из-за своих ошибочных зависимостей. SimpleWriter_, Маскировка под инструмент преобразования PDF, не требует активного подключения C& C для вредоносных действий, поскольку он записывает контролируемые данные на диск и незаметно запускает двоичные файлы.

Угрозы, исходящие от этих вредоносных пакетов, выходят за рамки локальной среды разработчиков; они компрометация развернутых ASP.NET приложения через управляемые системы авторизации, непрерывно удаляющие данные и поддерживающие доступ.

#ParsedReport #CompletenessHigh
23-02-2026

Fake Huorong security site infects users with ValleyRAT

https://www.malwarebytes.com/blog/scams/2026/02/huorong

Report completeness: High

Actors/Campaigns:
Silver_fox

Threats:
Valleyrat
Winos
Typosquatting_technique
Dll_sideloading_technique
Catena
Process_injection_technique

Victims:
Huorong users, Security software users, Chinese software users

Industry:
Entertainment

Geo:
China, Chinese

TTPs:
Tactics: 8
Technics: 13

IOCs:
Domain: 8
File: 8
Path: 2
Registry: 2
IP: 1
Hash: 6

Soft:
Huorong, NSIS installer, Cloudflare R2, Windows Defender, VirtualBox, LetsVPN

Algorithms:
zip, sha256

Win API:
SetWindowsHookExW

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4