#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2026 года был идентифицирован новый вариант вредоносное ПО PlugX, связанный с APT-группировка UNC6384, нацеленный на правительственные учреждения Юго-Восточной Азии. Вредоносное ПО запускается с помощью законно выглядящего исполняемого файла, Browser_Updater.exe , который загружает вредоносный MSI-файл. Он использует DLL sideloading для вредоносного загрузчика и шифрует данные конфигурации с помощью RC4, демонстрируя достижения в методах обхода, включая использование отозванного сертификата и скрытых доменов C2.
-----

Вредоносное ПО в январе 2026 года был идентифицирован новый вариант PlugX, связанный с APT-группировка UNC6384, которая, как полагают, занимается кибершпионажем, нацеленным в первую очередь на правительственные организации и должностных лиц в Юго-Восточной Азии. Механизм выполнения этого варианта PlugX включает вредоносный исполняемый файл с именем Browser_Updater.exe это маскируется под законное программное обеспечение, обновляющее веб-браузер. При запуске, независимо от взаимодействия с пользователем, он загружает и запускает вредоносный MSI-файл с сервера злоумышленника, что указывает на эволюцию вредоносное ПО STATICPLUGIN, ранее атрибутирован с UNC6384.

Примечательно, что вредоносное ПО подписано с использованием отозванного сертификата китайской компании Shanxi Shengyuan, тот же сертификат, как сообщается, использовался для других вредоносных действий, связанных с вредоносное ПО, таким как ValleyRAT. Инфраструктура, на которой размещаются эти атаки, включает сервер управление (C2), идентифицированный по IP-адресу 45.251.243.210, который ранее использовался для распространения PlugX.

После запуска вариант PlugX устанавливается в системе жертвы путем удаления файлов с законными именами — в частности, с использованием исполняемого файла антивирусного продукта G DATA CyberDefense AG, Avk.exe , чтобы замаскировать вредоносный загрузчик, Avk.dll . Этот метод использует DLL sideloading для загрузки и выполнения полезной нагрузки PlugX, содержащейся в DLL, которая декодируется и выполняется в памяти с помощью механизма шеллкода, использующего кодировку XOR.

При инициализации этот вариант PlugX расшифровывает важные данные конфигурации, такие как адрес сервера C2, найденные в разделе .data, используя шифрование RC4, с ключом, полученным из определенной позиции в строке конфигурации. В отличие от более ранних версий, наблюдавшихся до декабря 2025 года, где при расшифровке обнаруживались данные в виде открытого текста, информация о конфигурации этого нового варианта зашифрована и требует более сложного процесса декодирования.

Кроме того, последующий анализ показал, что инфраструктура C2 может включать в себя несколько доменов, один из которых обнаружен как fruitbrat.com , который скрыт Cloudflare, что делает фактический IP менее идентифицируемым. Однако исторические данные указывают на то, что сервер C2 другого варианта PlugX указывал на IP-адрес 108.165.255.97:443, который показал поведение, аналогичное поведению домена fruitbrat.

Непрерывная эволюция и усовершенствование вредоносное ПО PlugX указывают на то, что APT-группировка, такая как UNC6384, активно расширяет свои возможности по уклонению от обнаружения, что свидетельствует о постоянной угрозе, требующей постоянной бдительности и анализа со стороны специалистов по Кибербезопасность.

#ParsedReport #CompletenessLow
24-02-2026

1Campaign: A New Cloaking Platform Helping Attackers Abuse Google Ads

https://www.varonis.com/blog/1campaign

Report completeness: Low

Threats:
1campaign_tool
Cloaking_technique
Bec_technique
Smishing_technique
Spiderman_tool
Fishxproxy_tool

Victims:
Phishing victims, Crypto users, Advertising platforms, Financial services

Industry:
Financial, Telco

Geo:
Hungary, Canada, Albania, China, Germany, Japan, Netherlands, France

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1204.001, T1562.006, T1566.002, T1583.001, T1583.003, T1590.005, T1591.002, T1592.004, have more...

Soft:
Telegram, Twitter

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
1Campaign - это платформа Cloaking, предназначенная для того, чтобы киберпреступники могли уклоняться от показа рекламы Google, позволяя фишинг-страницам и страницам с крипто-утечкой дольше оставаться активными. Он использует методы cloaking, чтобы показывать исследователям безопасности доброкачественный контент, направляя жертв на вредоносные сайты, включая фильтрацию посетителей в режиме реального времени, оценку мошенничества и нацелен на географическую оптимизацию. Платформа также облегчает проведение как вредоносных, так и доброкачественных рекламных кампаний, усложняя обнаружение и подчеркивая растущую сложность и доступность инструментов, которые позволяют проводить крупномасштабные операции по мошенничеству с рекламой и фишинг-атакам.
-----

1Campaign - это сложная платформа Cloaking, позволяющая киберпреступникам обходить процессы проверки рекламы Google.

Он использует методы Cloaking, показывая исследователям и автоматическим сканерам доброкачественный контент и направляя жертв на вредоносные сайты.

Платформа оснащена информационной панелью с фильтрацией посетителей в режиме реального времени, оценкой мошенничества и географическим таргетингом.

Посетителям присваиваются баллы за мошенничество на основе их профиля, блокирующие сообщения из известных источников, таких как технологические компании и поставщики систем безопасности.

Например, успешность кампании "Blockbyblockchain" составила 0,6%, что свидетельствует об эффективной фильтрации.

1Campaign позволяет настраивать таргетинг на определенные географические местоположения и типы устройств для оптимизации попыток фишинг.

Он может запускать как вредоносные, так и безобидные рекламные кампании Google, позволяя злоумышленникам выдавать себя за законные компании.

Этот инструмент является частью тенденции, делающей сложные инструменты фишинг более доступными для киберпреступников, не требуя от них продвинутых технических навыков.

1Campaign связан с Вредоносная реклама, перенаправляющая трафик на сайты, размещающие фишинг и вредоносное ПО, через законное рекламное пространство.

Платформа усложняет традиционные методы обнаружения фишинг-атак, избегая воздействия мер безопасности на вредоносный контент.

1Campaign иллюстрирует опасную конвергенцию мошенничества с рекламой и фишинг, создающую серьезные проблемы для защитников безопасности.

#ParsedReport #CompletenessMedium
24-02-2026

North Korean Lazarus Group Now Working With Medusa Ransomware

https://www.security.com/threat-intelligence/lazarus-medusa-ransomware

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: cyber_espionage)
Spearwing
Andariel (motivation: cyber_espionage)
Play_ransomware

Threats:
Medusa_ransomware
Playcrypt
Comebacker
Blindingcan
Mimikatz_tool
Credential_dumping_technique
Dll_sideloading_technique

Victims:
Healthcare, Non profit, Education, Defense, Technology, Government, Private companies

Industry:
Financial, Military, Government, Healthcare

Geo:
Middle east, North korean, Taiwan, North korea, Korea

ChatGPT TTPs:
do not use without manual check
T1003.001, T1055, T1090, T1486, T1651

IOCs:
Hash: 48
IP: 4
Domain: 8

Soft:
Chrome, Curl

Links:
https://github.com/gentilkiwi/mimikatz
have more...
https://github.com/BernKing/ChromeStealer

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Спонсируемые государством северокорейские актор, связанные с группой Lazarus, в частности подгруппа Stonefly, начали использовать Medusa ransomware для атак на сектор здравоохранения США, используя модель "программа-вымогатель как услуга" с момента ее запуска в 2023 году. Medusa была причастна к более чем 366 задокументированным атакам, целями которых были медицинские учреждения и некоммерческие организации, а средние требования о выкупе составляли около 260 000 долларов. Группа использует ряд сложных инструментов, таких как Comebacker, Blindingcan и Mimikatz, что отражает приверженность киберпреступность и финансовую эксплуатацию в сфере здравоохранения.
-----

Спонсируемые государством северокорейские злоумышленник, в первую очередь связанные с группой Lazarus, недавно начали использовать Medusa ransomware в своих продолжающихся операциях по вымогательству против сектора здравоохранения США. Исторически эта группа была связана с различными семействами программ-вымогателей, включая Maui и Play, но данные, полученные от Symantec и Carbon Black Threat Hunter Team, указывают на то, что они перешли к использованию Medusa, которая с момента своего запуска в 2023 году преступная хакерская группировка Spearwing использует программу-вымогатель как услугу. Medusa's operation позволяет аффилированным злоумышленникам внедрять программу-вымогатель в обмен на сокращение выплат выкупа, при этом уже задокументировано более 366 заявлений об атаках.

Medusa Ransomware была причастна к атакам по меньшей мере на четыре медицинские и некоммерческие организации по всей территории США с ноября 2025 года, при этом, по сообщениям, требования о выкупе в среднем составляли около 260 000 долларов. Конкретные цели включают некоммерческую организацию по охране психического здоровья и образовательное учреждение для детей, страдающих аутизмом. Степень причастности Северной Кореи к этим конкретным атакам остается неясной, поскольку они могут также включать действия других филиалов Medusa group.

Подгруппа Lazarus, известная как Stonefly, также известная как Andariel, исторически занималась шпионажем против особо ценных объектов, но примерно последние пять лет занималась программами-вымогателями. Несмотря на предыдущие обвинения, в которых подчеркивалась их деятельность с использованием программ-вымогателей, особенно против больниц США, они продолжали проводить дальнейшие атаки вплоть до конца 2024 года, осуществляя вторжения, которые не привели к развертыванию программ-вымогателей, но были финансово мотивированы.

В своих текущих кампаниях группа Lazarus использует множество сложных инструментов. К ним относятся Comebacker, пользовательский бэкдор и загрузчик; Blindingcan, Троянская программа для удаленного доступа; ChromeStealer, который нацелен на данные браузера Chrome; Curl, инструмент командной строки с открытым исходным кодом для передачи данных; Infohook, для кражи информации; и Mimikatz для credential dumping. Несмотря на то, что продолжающиеся атаки Medusa демонстрируют тактику, методы и процедуры (TTP), аналогичные прошлым операциям Stonefly, разнообразный набор инструментов усложняет атрибуцию из-за общего использования вредоносное ПО и методов различными группировками Lazarus.

Приверженность северокорейских актор к киберпреступность, особенно их готовность нацелиться на сектор здравоохранения, означает постоянный сдвиг в сторону использования потенциальных уязвимостей для получения финансовой выгоды. В отличие от многих киберпреступных группировок, которые могут избегать нападений на медицинские учреждения из-за проблем с репутацией, группу Lazarus, похоже, не останавливают такие этические соображения, подтверждающие их агрессивную позицию в области кибермогательства и эксплуатации.

#ParsedReport #CompletenessMedium
24-02-2026

The Package

https://www.veracode.com/blog/malicious-npm-package-hiding-in-plain-pixels/

Report completeness: Medium

Threats:
Typosquatting_technique
Process_hollowing_technique
Uac_bypass_technique
Fodhelper_technique
Amsi_bypass_technique
Runpe_tool
Nop_sled_technique
Steganography_technique
Quasar_rat
Supply_chain_technique

Victims:
Software supply chain, Npm developers

TTPs:
Tactics: 2
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1036, T1055.012, T1057, T1059.001, T1059.003, T1071.001, T1105, T1112, have more...

IOCs:
File: 16
Registry: 2
Command: 3
Path: 2
Url: 1

Soft:
NET Framework, slack

Algorithms:
sha256, base64, 3des, aes-256-ecb, aes, gzip

Functions:
Get-CimInstance, GetTask, GetFolder

Win API:
GetProcAddress, VirtualProtect, AmsiScanBuffer, GetThreadContext, SetThreadContext, ompress → in, decompress, AddVectoredExceptionHandler

Win Services:
WebClient, avastsvc

Languages:
powershell, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет NPM, имитирующий законный "buildrunner", служит загрузчиком для продвинутых вредоносное ПО, включая Pulsar RAT. Вредоносное ПО, доставляемое с помощью пакетного файла из репозитория Codeberg, устанавливается в каталог автозагрузки Windows со случайным именем для обеспечения закрепление и использует сильную маскировку, чтобы избежать обнаружения. В нем используются методы UAC bypass Windows и сложные команды PowerShell, специально разработанные для обхода антивирусных мер, включая методы AMSI bypass и тройное шифрование критически важных данных.
-----

Вредоносный пакет NPM, typosquat законного пакета "buildrunner", служит загрузчиком для сложной вредоносная кАмпания. Вредоносное ПО встроено в стеганографические изображения в формате PNG и включает в себя Pulsar, Троянская программа удаленного доступа (RAT) и загрузчик process hollowing. Этот подход, использующий недавно опубликованные, но кажущиеся законными пакеты, направлен на то, чтобы обманом заставить разработчиков загрузить Backdoor.

Процесс установки показывает, что фактический вредоносный код отсутствует в самом пакете; пакетный файл, ответственный за удаление вредоносное ПО, извлекается из репозитория Codeberg во время установки. Этот пакетный файл записывается в каталог автозагрузки Windows со случайным именем файла, обеспечивая закрепление без предупреждения пользователя, поскольку он выполняется автоматически при входе в Windows. Выполняемые команды сильно запутаны, причем значительные части разделены между многочисленными переменными, чтобы избежать обнаружения программным обеспечением безопасности. Стратегия запутывания включает в себя использование комментариев-заполнителей, которые увеличивают размер файла и вводят аналитиков в заблуждение.

Ключевым используемым методом является использование обхода контроля учетных записей пользователей Windows (UAC) с помощью fodhelper.exe , позволяя вредоносное ПО получать административные привилегии без запроса пользователя. Этот метод дополняется методами вредоносное ПО, позволяющими вызывать PowerShell безголовым способом, что делает обнаружение еще более сложным.

Полезная нагрузка PowerShell работает с определенными командами, адаптированными для различных антивирусных программ, что указывает на уровень сложности и целенаправленности. Он использует различные методы для извлечения своей конечной полезной нагрузки из стеганографически закодированных изображений, причем одно изображение содержит скрипт PowerShell, предназначенный для обхода интерфейса проверки на вредоносное ПО (AMSI), демонстрирующий расширенные возможности обхода мер безопасности.

Последующая полезная нагрузка, сборка .NET, подтверждает свои злонамеренные намерения посредством process hollowing, внедряя код в законные процессы. Это выполняется с помощью серии закодированных вызовов API и Динамическое разрешение функций, что позволяет избежать жестко закодированных зависимостей, которые могут быть легко отмечены системами безопасности. Более того, конечная полезная нагрузка обладает множеством механизмов закрепление, специально разработанных для того, чтобы избежать обнаружения популярными антивирусными решениями.

В вредоносное ПО встроены три различных метода AMSI bypass, включающих низкоуровневые методы отладки, которые обходят традиционные меры обнаружения. Включение метода тройного шифрования для критически важных данных полезной нагрузки еще больше усложняет анализ и обнаружение.

#ParsedReport #CompletenessMedium
24-02-2026

How Tycoon 2FA Is Rewriting the Rules of Identity Theft: Not Just a Phishing Kit A Business Model

https://www.pointwild.com/threat-intelligence/how-tycoon-2fa-is-rewriting-the-rules-of-identity-theft-not-just-a-phishing-kit-a-business-model/

Report completeness: Medium

Threats:
Tycoon_2fa
Aitm_technique
Credential_harvesting_technique
Spear-phishing_technique
Dadsec_tool

Victims:
Enterprises, Government agencies, Cloud-first businesses, Financial services, Technology, Healthcare, Professional services

Industry:
Government, Financial, Healthcare, E-commerce

Geo:
India, Canada

TTPs:
Tactics: 8
Technics: 10

IOCs:
IP: 1

Soft:
Telegram, Gmail, Microsoft Teams, Burp Suite, cPanel, Azure AD, Laravel, Cloudflare Turnstile

Algorithms:
base64, aes

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Tycoon 2FA - это усовершенствованный метод фишинг-атаки, использующий модель Фишинг как услуга (PhaaS) для обхода Многофакторная аутентификация (MFA) с помощью подхода Adversary-in-the-Middle (AiTM). Эта архитектура фиксирует сеансовые файлы cookie во время процесса аутентификации, позволяя злоумышленникам перехватывать активные сеансы без непосредственного компрометации учетные данные. Обнаруженный в августе 2023 года, Tycoon 2FA нацелен на такие платформы, как Microsoft 365 и Gmail, используя методы запутывания и антианализа, чтобы избежать обнаружения и усложнить атрибуцию.
-----

Tycoon 2FA представляет собой значительную эволюцию в методах фишинг-тестирования, в частности, благодаря своей модели Фишинг как услуга (PhaaS), которая позволяет актор с низкой квалификацией беспрепятственно обходить Многофакторная аутентификация (MFA). Вместо использования традиционных подходов Tycoon 2FA использует архитектуру Adversary-in-the-Middle (AiTM), облегчающую перехват сеанса, а не прямую компрометацию учетные данные. Служба фиксирует сеансовые файлы cookie в режиме реального времени, действуя в качестве ретранслятора во время процесса аутентификации, эффективно позволяя злоумышленникам перехватывать активные сеансы без необходимости Взлом пароля или развертывания вредоносное ПО.

Впервые обнаруженный в августе 2023 года, Tycoon 2FA стал доминирующим инструментом, ориентированным на такие платформы, как Microsoft 365 и Gmail, используя ошибочное представление о том, что включение MFA само по себе обеспечивает достаточную безопасность. Злоумышленники используют фишинг-страницы, размещенные на доменах с компрометация, где жертвам передаются законные запросы MFA. Когда пользователи одобряют эти уведомления, Tycoon 2FA фиксирует сеансовые файлы cookie, делая традиционные меры безопасности неэффективными. Такой подход привел к тысячам инцидентов с credential-harvesting в различных секторах, особенно в сфере финансов, технологий и здравоохранения.

В операции используются передовые методы запутывания и механизмы антианализа, позволяющие избежать обнаружения средствами безопасности. Это включает в себя агрессивную блокировку проверок с помощью динамического JavaScript, который предотвращает использование инструментов разработчика и выполняет дактилоскопию браузера для фильтрации трафика ботов. Кроме того, сервис включает в себя такие механизмы, как поддельные капчи и многодоменные архитектуры для обеспечения постоянного доступа и избыточности, что усложняет усилия по установлению авторства и затрудняет предприятиям точное определение источника нарушений.

Техническая основа Tycoon 2FA включает в себя настройку обратного прокси, позволяющую злоумышленникам размещать несколько фишинг-страниц одновременно, осуществляя эксфильтрация учетных данных с помощью запутанных POST-запросов. Эта сложная инфраструктура не только увеличивает масштаб атак, но и быстро адаптируется к методологиям защиты, делая обычные контрмеры неэффективными. Службы безопасности сталкиваются с проблемами из-за недостаточного обнаружения атак в стиле AiTM и привычной чрезмерной зависимости от MFA как автономного решения.

#ParsedReport #CompletenessMedium
25-02-2026

Developer-targeting campaign using malicious Next.js repositories

http://microsoft.com/en-us/security/blog/2026/02/24/c2-developer-targeting-campaign/

Report completeness: Medium

Threats:
Lolbin_technique

Victims:
Software developers

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 9
Domain: 13
IP: 4
Url: 21
Hash: 6

Soft:
Microsoft Defender, Node.js, Visual Studio Code, Microsoft Defender for Endpoint, chrome

Algorithms:
sha256, sha1, base64

Functions:
Function, count

Win API:
readFile

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена кампания, нацеленная на разработчиков, использующая вредоносные репозитории, замаскированные под законные Next.js проекты для выполнения вредоносного кода. Атака начинается с репозиториев на таких платформах, как Bitbucket, которые заманивают разработчиков с помощью контента на тему работы, встраивая вредоносный JavaScript, который позволяет осуществлять связь по управление (C2). Ключевые методы выполнения включают манипулирование рабочими пространствами кода Visual Studio, использование процессов сборки во время разработки приложений и внедрение вредоносной логики во внутренние приложения, все это приводит к постоянным подключениям C2 с помощью облегченных полезных нагрузок 1-го и 2-го этапов в памяти, которые избегают традиционного обнаружения.
-----

Была выявлена скоординированная кампания, нацеленная на разработчиков, в которой использовались вредоносные репозитории, замаскированные под законные Next.js проекты. Эксперты Microsoft Defender обнаружили, что в этих репозиториях используются приманки, связанные с работой, чтобы завоевать популярность в среде разработчиков, увеличивая вероятность выполнения вредоносного кода. Кампания запускается с помощью вредоносных репозиториев, в частности, одного из них, размещенного на Bitbucket, которые имитируют технические оценки, позволяя злоумышленникам внедрять вредоносный JavaScript в код, которому разработчики часто доверяют.

Расследование выявило ряд вредоносных репозиториев, использующих различные механизмы выполнения, все из которых приводят к извлечению во время выполнения и выполнению управляемого злоумышленником JavaScript, функционально прокладывая путь для обмена данными по управление-командам (C2). В ходе анализа были определены три важных пути выполнения: выполнение в рабочей области Visual Studio Code, выполнение во время сборки во время разработки приложения и выполнение при запуске сервера, которое использует эксфильтрация переменных среды и динамический Удаленное Выполнение Кода (RCE).

В первом пути вредоносная конфигурация рабочей области Visual Studio Code запускает немедленное выполнение задачи при открытии проекта. Этому способствует конфигурационный файл JSON, который позволяет запускать вредоносный загрузчик JavaScript. Второй путь активируется, когда разработчик выполняет команды типа "npm run dev", где троянские ресурсы, часто выступающие в качестве законных библиотек JavaScript, извлекают вредоносный код из удаленных источников, таких как Vercel. Последний метод включает запуск серверной части приложения, где вредоносная логика встроена в модули или маршруты, выполнение кода, который извлекает данные переменной окружения и запускает JavaScript, полученный от злоумышленника.

В конечном счете, все три пути ведут к полезной нагрузке этапа 1, которая устанавливает постоянное соединение с сервером C2, регулярно запрашивая команды и предоставляя злоумышленникам ценную информацию о хосте. Эта полезная нагрузка спроектирована таким образом, чтобы быть легкой и работать за счет выполнения в памяти, избегая необходимости записи файлов на диск, тем самым обходя традиционные механизмы обнаружения. После начальной точки опоры полезная нагрузка этапа 2 позволяет продолжать взаимодействие с сервером C2, получать задания и облегчать дальнейшую эксплуатацию.

Microsoft Defender настроил множество мер обнаружения для выявления и смягчения последствий таких угроз, уделяя особое внимание координации между различными компонентами, включая конечные точки, облачные приложения и службы идентификации. Возможности обнаружения сосредоточены на выявлении аномального поведения, такого как повторное подключение к серверам C2, выполнение потенциально запутанных сценариев и несанкционированный доступ к конфиденциальным артефактам разработчика. Эти выводы подчеркивают важность тщательного мониторинга и адаптивных стратегий безопасности в меняющемся ландшафте киберугроза, нацеленных на разработчиков.

#ParsedReport #CompletenessHigh
25-02-2026

Violet RAT v4.7: The Most Dangerous Payload in a 9-RAT Toolkit

https://www.derp.ca/violet-rat-analysis/

Report completeness: High

Actors/Campaigns:
Serpentine_cloud
Purecoder

Threats:
Violet_rat
Purelogs
Purecryptor
Ninerat
Donut
Hvnc_tool
Process_injection_technique
Ngrok_tool
Asyncrat
Venomrat
Wdkillernew_tool
Xworm_rat
Dcrat
Remcos_rat
Purehvnc_tool
Pureminer
Purerat
Heracles
Xenocode_tool

Victims:
Multiple sectors

Industry:
Financial

Geo:
Budapest

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 25
Hash: 4
Registry: 3
IP: 3

Soft:
NET Framework, Discord, Windows Defender, Chrome, macOS, Linux, Firefox, iPadOS, TryCloudflare

Algorithms:
base64, md5, sha256, rc4, 7zip, aes, aes-128-ecb, aes-ecb, aes-128, aes-256-cbc, xor

Functions:
closeKL, ENC, Close, CreateInstance

Win API:
CompareString

Languages:
python, autoit

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Violet RAT версии 4.7 - это сложная Троянская программа удаленного доступа, которая работает через структурированный диспетчер команд и использует для развертывания дропперы на основе Python. Он обладает обширными функциональными возможностями, полученными от плагинов среды выполнения, включая возможности программ-вымогателей, Регистрация нажатий клавиш и удаленный доступ к рабочему столу, управляемый через фреймворк .NET. Ключевые характеристики включают выполнение в памяти, Обфускация команд и манипулирование процессами для закрепление, что делает его критически важным компонентом при многоэтапных вторжениях и потенциальной угрозой при скоординированных атаках вредоносное ПО.
-----

Violet RAT версии 4.7 является частью многоступенчатого фреймворк для внедрения с nine RAT семействами. Он работает на архитектуре командного диспетчера с использованием плагинов среды выполнения. RAT развертывается с помощью дропперов на базе Python, которые используют AES-256-CBC или RC4 для шифрования полезной нагрузки. Он запускается в памяти посредством отражающей загрузки сборки для выполнения команд со своего сервера управление (C2). Основной двоичный файл содержит около 8000 строк кода на промежуточном языке и 120 ветвей команд для различных функций, включая программы-вымогатели, удаленный доступ к рабочему столу, Регистрация нажатий клавиш и кражу учетных данных.

Диспетчер команд использует .СЕТЕВОЙ фреймворк и VB.NET поздние методы привязки для выполнения методов. Violet RAT использует в своих командах вращающуюся разделительную строку, что оказывает воздействие на поведение во время выполнения и шифрование. Он использует кодировку base64 с трехуровневой схемой для запутывания конфиденциальных данных и обменивается данными через HTTP POST-запросы без TLS. Домены C2 включают в себя vijdklet.duckdns.org и vigroup2125.duckdns.org , работающий на портах 7575 и 2125.

У RAT есть механизмы закрепление, которые отключают антивирусные продукты, манипулируют процессами, чтобы скрыть файлы, и использует технологию распространения по USB с помощью обманчивых файлов быстрого доступа. Он поддерживает сетевую разведка и может участвовать в DDoS-атаках. Violet RAT родственна XWorm, но имеет модификации для улучшения команд и запутывания. История его развертывания показывает, что он часто поставляется вместе с другим вредоносное ПО при скоординированных атаках, что усложняет анализ из-за его подключаемого подхода, зависящего от инфраструктуры C2 для выполнения важнейших функций.

#ParsedReport #CompletenessLow
25-02-2026

Librarian Likho scales attacks: analyze the group's new campaign

https://securelist.ru/librarian-likho-ongoing-campaign/114879/

Report completeness: Low

Actors/Campaigns:
Librarian_ghouls (motivation: information_theft)

Threats:
Anydesk_tool
Passview_tool
Defendercontrol_tool

Victims:
Public sector, Construction, Industrial production, Russian organizations

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1048, T1059.003, T1070.004, T1071.001, T1105, T1204.002, T1543.003, have more...

IOCs:
File: 19
Path: 1
Hash: 41
Domain: 6
Email: 3

Soft:
curl, Windows Defender, Microsoft Defender