#ParsedReport #CompletenessHigh
26-02-2026

[Op Report\] Velvet Tempest linked to ClickFix campaigns for Termite Ransomware, HoK Activity Observed

https://blog.deception.pro/blog/clickfix-hok-velvet-tempest-termite

Report completeness: High

Actors/Campaigns:
Alpha_spider (motivation: financially_motivated)

Threats:
Clickfix_technique
Termite
Donutloader
Nightshade
Credential_harvesting_technique
Lolbin_technique
Dead_drop_technique
Credential_dumping_technique
Nltest_tool
Bitsadmin_tool

Victims:
Non profit organizations

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1036, T1057, T1059, T1059.001, T1059.003, T1087.002, T1105, T1105, T1140, T1204.002, have more...

IOCs:
File: 6
IP: 10
Domain: 19
Url: 10
Path: 4
Hash: 34
Command: 7

Soft:
Active Directory, Chrome, curl, Steam, Chromium, Windows PowerShell, Windows Installer

Algorithms:
sha256

Functions:
Remove-Item

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник Velvet Tempest осуществил многоэтапное вторжение, используя Вредоносная реклама с поддельной капчей, что привело к запуску пользователями запутанных команд, что облегчило выполнение команд и проверку подключения. Операция включала в себя использование PowerShell для загрузки и запуска вредоносных компонентов, установление закрепление с помощью сценариев Python и проведение разведка Active Directory, при этом сбор учетных записей выполнялся с помощью сценариев браузера. Ключевые показатели включали использование определенных доменов и инструментов, в то время как доставка вредоносное ПО основывалась на таких методах, как двоичные файлы living-off-the-land, что указывает на наличие угрозы, предшествующей вымогательству, без немедленного шифрования.
-----

Операция, подробно описанная в этом отчете, описывает значительное многоэтапное вторжение, связанное с Velvet Tempest, известным злоумышленник, связанным с программой-вымогателем Termite. Все началось с кампании по Вредоносная реклама с использованием поддельной капчи в стиле ClickFix style, которая побуждала пользователей вставлять запутанную команду в диалоговое окно запуска Windows. Это действие вызвало выполнение вложенных команд с использованием cmd.exe и использовал finger.exe утилита для проверки исходящего подключения по TCP-порту 79, в конечном счете извлекающая запутанный файл, замаскированный под PDF, из инфраструктуры злоумышленника.

Затем актор применил несколько приемов, чтобы усилить атаку. Он использовал PowerShell для загрузки и выполнения компонентов из вредоносных доменов, запускал динамические полезные нагрузки .NET через csc.exe из временных пользовательских папок и настройте закрепление путем развертывания компонентов на основе Python в C:\ProgramData каталог. Последующие действия включали в себя разведка Active Directory на предмет доверия домену и списков пользователей, а также сбор учетных записей из браузеров с использованием сценариев PowerShell, полученных с идентифицированного сервера управление.

При доставке вредоносное ПО использовало устоявшиеся методы, такие как двоичные файлы "living-off-the-land" (LOLBins) и постоянный трафик управление, который смешивался с обычной активностью браузера. Несмотря на то, что в течение периода наблюдения шифрование с помощью программ-вымогателей не происходило, общая картина указывает на подготовку, соответствующую поведению программ-вымогателей, типичному для операций Velvet Tempest. В частности, кампания продемонстрировала акцент на управляемом пользователем выполнении команд, а не на традиционных методах, таких как макросы или вложения.

Показатели компрометация включали использование таких доменов, как vrstudio.студия жизни и игр.жизнь на этапах поиска в PowerShell, наряду с заметным использованием таких инструментов, как DonutLoader и CastleRAT. Вредоносное ПО использовало сложные методы, чтобы избежать обнаружения, включая компиляцию кода на хост-компьютере и продвинутые методы извлечения учетных данных.

Рекомендации по защите подчеркивают важность отслеживания необычных шаблонов выполнения, связанных с пользовательским вводом, особенно отмечая выполнение PowerShell через диалоговое окно запуска Windows. Обнаружение также должно быть сосредоточено на использовании необычных сетевых утилит, таких как finger.exe , шаблоны команд PowerShell (IEX + DownloadData) и необычное поведение из csc.exe и pythonw.exe , поскольку это указывает на сложная целенаправленная угроза, использующая поэтапные методы доставки и исполнения. Кроме того, особое внимание уделяется усилению безопасности с помощью упреждающих мер, таких как DNS-фильтрация подозрительных доменов и политики контроля приложений для ограничения использования LOLBins. В целом, кампания является примером передовой и изощренной стратегии выполнения, требующей бдительности и многоуровневого подхода к обеспечению безопасности для защиты от подобных угроз.

#ParsedReport #CompletenessHigh
26-02-2026

APT37 Adds New Capabilities for Air-Gapped Networks

https://www.zscaler.com/blogs/security-research/apt37-adds-new-capabilities-air-gapped-networks

Report completeness: High

Actors/Campaigns:
Scarcruft
Kimsuky

Threats:
Restleaf
Snakedropper
Thumbsbd
Virustask
Footwine
Bluelight
Chinotto
Process_injection_technique
Timestomp_technique

Victims:
Government related entities, Individuals interested in north korean media narratives, Air gapped systems users

Industry:
Government

Geo:
Dprk, North korean

TTPs:
Tactics: 3
Technics: 20

IOCs:
File: 10
Coin: 1
Path: 4
Registry: 2
Url: 3
Domain: 3
Hash: 7
IP: 1

Soft:
Android, Windows registry, Microsoft OneDrive, DropBox

Algorithms:
sha256, xor, zip

Functions:
rand

Languages:
powershell, ruby

#ParsedReport #ExtractedSchema

Classified images:
schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT37, северокорейский злоумышленник, запустил кампанию Ruby Jumper, которая использует файлы ярлыков Windows для развертывания многоэтапной стратегии вредоносное ПО, нацеленной на сети с воздушным зазором через съемные носители. Ключевые компоненты вредоносное ПО включают RESTLEAF для первоначального заражения и C2 через Zoho WorkDrive, SNAKEDROPPER для загрузки, THUMBSBD для двунаправленной связи и эксфильтрация данных, а также VIRUSTASK, который маскируется для распространения инфекции. Дополнительные инструменты, такие как FOOTWINE и BLUELIGHT, расширяют возможности наблюдения и выполнения команд, демонстрируя значительную эволюцию тактики за счет использования законных Облачные сервисы в злонамеренных целях.
-----

APT37, связанный с Северной Кореей злоумышленник, запустил кампанию Ruby Jumper в декабре 2025 года. Кампания использует файлы ярлыков Windows (LNK) для развертывания новых инструментов вредоносное ПО: RESTLEAF, SNAKEDROPPER, THUMBSBD и VIRUSTASK. Вредоносное ПО в первую очередь нацелено на сети с воздушным зазором, использующие съемные носители для связи и эксфильтрация данных. Заражение начинается с вредоносного файла LNK, который выполняет команды PowerShell для извлечения полезной нагрузки, включая документ-приманку и исполняемое вредоносное ПО. RESTLEAF - это имплантат первой ступени, использующий Zoho WorkDrive для связи командования и контроля (C2). Он извлекает файл шелл-кода из облака, выполняет его с помощью Внедрение кода в процессы и создает файлы-маяки для подтверждения заражения. SNAKEDROPPER действует как загрузчик, устанавливает среду выполнения Ruby, маскируется под USB-утилиту и обеспечивает закрепление с помощью запланированной задачи. THUMBSBD - это бэкдор, который использует съемный носитель для ретрансляции команд и передачи данных, сбора системной информации и обеспечения выполнения команд. VIRUSTASK распространяет вредоносное ПО, заменяя законные файлы вредоносными ярлыками на съемных носителях, создавая обширные векторы атак. FOOTWINE поставляется позже в виде бэкдора с возможностями Регистрация нажатий клавиш и Захват видеоданных с использованием пользовательского протокола на основе XOR для связи C2. BLUELIGHT облегчает выполнение произвольных команд и полагается на Облачные сервисы для операций C2. Кампания подчеркивает значительные достижения в технологиях APT37's для обхода защиты от воздушного зазора.

#ParsedReport #CompletenessHigh
27-02-2026

Combating the FunNULL Black Market: In-depth Analysis of the RingH23 and MacCMS Poisoning Attack Chain

https://blog.xlab.qianxin.com/exposing-funnull-how-ringh23-maccms-are-poisoning-the-web/

Report completeness: High

Actors/Campaigns:
Funnull (motivation: script_kiddie, propaganda, cyber_criminal, financially_motivated)
Pig_butchering (motivation: cyber_criminal)
Unc3886

Threats:
Ringh23_tool
Badredis2s_tool
Badhide2s_tool
Supply_chain_technique
Auto-color
Dns_tunneling_technique
Iodine_tool
Mitm_technique
Sedexp

Victims:
Cdn providers, Open source software users, Video streaming websites, Website visitors on mobile devices, Goedge cdn nodes, Apple cms users

Industry:
Education, Government, Media

Geo:
China, Philippines, Asia, Chinese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1021.004, T1041, T1059.004, T1071.001, T1071.004, T1090, T1105, T1140, T1190, have more...

IOCs:
Url: 28
Domain: 48
File: 14
Hash: 30
Coin: 1
IP: 26

Soft:
Nginx, Azure Blob, Polyfill, ThinkPHP, MySQL, Chrome, Android, Linux

Wallets:
tron

Crypto:
ethereum

Algorithms:
md5, base64, cbc, xor, aes-128-cbc, aes-cbc, gzip, aes

Functions:
isPc, step1

Win API:
decompress

Languages:
golang, javascript, php

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Преступная хакерская группировка FunNULL в Юго-Восточной Азии усовершенствовала свою тактику, в частности, благодаря атаке RingH23 и MacCMS poisoning, используя загрузчик ELF для развертывания сложного вредоносное ПО. Это включает в себя скрипты udev для закрепление, бэкдор для удаленного управления и модули Nginx для перехвата загрузки, использования узлов управления CDN и путей обновления Apple CMS. Их многоуровневая стратегия атаки использует вредоносный JavaScript для перенаправления пользователей и включает в себя руткит пользовательского пространства для скрытности, демонстрирующий эволюционирующий ландшафт угроз.
-----

FunNULL - преступная хакерская группировка, базирующаяся в Юго-Восточной Азии, известная тем, что прошла путь от мошенничества "pig butchering" до изощренных кибератак. Недавние действия группы включают атаки с отравлением RingH23 и MacCMS. Основное используемое вредоносное ПО - это загрузчик ELF, который запрашивает дополнительную вредоносную полезную нагрузку. Полезная нагрузка состоит из скриптов udev для закрепление, бэкдорных модулей для удаленных команд и модулей Nginx для перехвата загрузки и внедрения JavaScript.

Злоумышленники получают доступ к узлам управления сетью доставки контента (CDN) и развертывают компоненты с помощью удаленных команд на пограничных узлах. Два основных вектора заражения включают в себя отравление пути обновления Apple CMS для внедрения PHP-бэкдор и использование узлов управления GoEdge через SSH для распространения пакета RingH23.

Внедренный вредоносный JavaScript перенаправляет пользователей на вредоносные сайты, используя уязвимости, при этом воздействие затрагивает миллионы людей через основные CDN и легальные веб-сайты. Вредоносное ПО включает в себя продвинутые компоненты, такие как руткит в пользовательском пространстве для скрытия действий и модуль для манипулирования динамическими ссылками во время загрузки страницы. Злоумышленники адаптируют свои стратегии на основе оперативной обратной связи, изменяя поведение на стороне сервера и клиента, запускаемое условно.

Закрепление Udev используется для поддержания заражения при перезагрузках, что иллюстрирует сложность. Группа также перенесла свою инфраструктуру на новые домены, чтобы избежать обнаружения, демонстрируя непрерывную адаптацию к мерам Кибербезопасность. Веб-администраторам рекомендуется проводить тщательную проверку на наличие инфекций в файлах JavaScript и PHP и обеспечивать тщательное устранение бэкдор-систем, чтобы предотвратить повторное заражение.

#ParsedReport #CompletenessLow
27-02-2026

Inside a fake Google security check that becomes a browser RAT

https://www.malwarebytes.com/blog/privacy/2026/02/inside-a-fake-google-security-check-that-becomes-a-browser-rat

Report completeness: Low

Victims:
Consumers, Mobile users, Browser users

ChatGPT TTPs:
do not use without manual check
T1056, T1056.001, T1056.004, T1059.007, T1070.004, T1071.001, T1090, T1102, T1105, T1119, have more...

IOCs:
Domain: 1
Hash: 1
File: 1

Soft:
Android, Chrome, Chromium, Firefox, macOS

Algorithms:
sha256

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Изощренная киберугроза включает в себя веб-сайт-мошенник, имитирующий проверку безопасности Google, функционирующий как Троянская программа удаленного доступа на основе браузера (RAT) и поставляющий вредоносный Android APK. Этот APK-файл, замаскированный под обновление для системы безопасности, запрашивает обширные разрешения для сбора данных и использует методы закрепление, чтобы избежать удаления. Кроме того, компонент браузера действует как HTTP-прокси, позволяя злоумышленникам перехватывать веб-трафик и выполнять произвольный JavaScript, создавая двухуровневую угрозу слежки.
-----

В статье освещается сложная киберугроза, которая включает вредоносный веб-сайт, Маскировка которого осуществляется под проверку безопасности Google, которая в конечном итоге служит в качестве Троянская программа для удаленного доступа на основе браузера (RAT) и предоставляет дополнительную полезную нагрузку для Android. Основной домен управление, google-prism.com , использует CDN Cloudflare для своей инфраструктуры, что усложняет усилия по обнаружению, обычно применяемые против чисто вредоносных сайтов.

При взаимодействии с сайтом жертвы непреднамеренно подвергают себя воздействию вредоносного приложения для Android, замаскированного под важное обновление для системы безопасности. Этот APK-файл запрашивает тревожные 33 разрешения, включая конфиденциальные права доступа, такие как SMS, журналы вызовов, микрофон и контакты, что облегчает всесторонний сбор данных и наблюдение. Примечательно, что APK использует различные стратегии закрепление, такие как регистрация в качестве администратора устройства, установка аварийных сигналов и установка загрузочного приемника. Такая тактика затрудняет удаление, поскольку приложение может автоматически перезапускать свои компоненты в случае прерывания, и оно включает функции, поддерживающие попытки наложения фишинг-кода.

На стороне браузера вредоносное ПО функционирует как HTTP-прокси, позволяя злоумышленникам перехватывать запросы на выборку и выполнять произвольный JavaScript с помощью удаленной команды eval, отправляемой через WebSocket. Это подчеркивает двухуровневый подход атаки - как веб—перехват данных через браузер, так и более глубокое наблюдение с помощью Android-имплантата.

Жертвам настоятельно рекомендуется немедленно предпринять меры по устранению потенциальной угрозы, которые включают проверку на наличие вредоносного PWA на Android, его удаление и отзыв любых опасных разрешений. Рекомендации распространяются на удаление разрешений на уведомления и данных сайта, относящихся к вредоносному домену, в различных браузерах (Chrome, Edge, Firefox и Safari). Для каждого браузера приведены конкретные рекомендации, обеспечивающие тщательное удаление и защиту персональных данных.

В конечном счете, сложность этой угрозы заключается в ее многогранном подходе, который использует как возможности браузера, так и функции мобильных устройств, способствуя широкомасштабному наблюдению и эксфильтрация данных. Постоянная бдительность при управлении разрешениями и мониторинге незнакомых приложений или компонентов браузера имеет решающее значение для снижения риска, создаваемого этим вредоносное ПО.

#ParsedReport #CompletenessMedium
27-02-2026

Dark Web Profile: Andariel

https://socradar.io/blog/dark-web-profile-andariel/

Report completeness: Medium

Actors/Campaigns:
Andariel (motivation: cyber_criminal, financially_motivated, information_theft, cyber_espionage)
Lazarus
Bluenoroff

Threats:
Shatteredglass
Supply_chain_technique
Spear-phishing_technique
Watering_hole_technique
Lolbin_technique
Credential_dumping_technique
Mimikatz_tool
Procdump_tool
Putty_tool
Plink_tool
Stunnel_tool
Dtrack_rat
Process_hollowing_technique
Trurat
Tiger_rat
Earlyrat
Log4shell_vuln
Atharvan
Dora_rat
Dll_sideloading_technique
Durianbeacon
Nukesped_rat
Byovd_technique
Steganography_technique

Victims:
Defense sector, Nuclear engineering firms, Financial institutions, Healthcare providers, Software vendors, Aerospace firms, Telecommunications providers, Semiconductor firms, Engineering companies, Legal sector entities, have more...

Industry:
Aerospace, Government, Energy, Financial, Semiconductor_industry, Military, Telco, Healthcare, Critical_infrastructure

Geo:
Dprk, Asia, Japan, North korea, Korea

TTPs:
Tactics: 10
Technics: 12

IOCs:
File: 4

Soft:
Apache Tomcat, Microsoft SharePoint, WinSCP, 3Proxy

Algorithms:
aes-128, xor, zip, base64

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Andariel - северокорейская преступная хакерская группировка, связанная с Генеральным бюро разведка, специализирующаяся на глобальном кибершпионаже и финансовых операциях, особенно против секторов, представляющих стратегический интерес, таких как оборона и финансы. Их тактика включает использование уязвимостей N-day в приложениях, Целевой фишинг и перемещение внутри компании с помощью сбор учетных записей и таких инструментов, как Mimikatz. Они внедряют сложное вредоносное ПО, включая Maui ransomware и DTrack, для облегчения шпионажа и вымогательства путем поэтапной эксфильтрация данных и манипулирования облачными хранилищами.
-----

Andariel - преступная хакерская группировка, связанная с Генеральным бюро разведка Северной Кореи (RGB) и считающаяся подразделением печально известной группировки Lazarus. Основанная примерно в 2009 году, Andariel переключила свое внимание с региональных потрясений на глобальный кибершпионаж и финансовые операции, в первую очередь нацеливаясь на секторы, имеющие решающее значение для стратегических и экономических интересов Северной Кореи. Сюда входят оборонные подрядчики, фирмы, занимающиеся ядерным инжинирингом, финансовые учреждения и поставщики медицинских услуг, что иллюстрирует гибридный подход, сочетающий сбор разведывательной информации с внедрением программ-вымогателей и кражей криптовалюты.

Andariel отличается не только своими технологическими возможностями, но и структурированной интеграцией в военную разведку Северной Кореи. Он работает под несколькими псевдонимами — Onyx Sleet, Silent Chollima и другими, что указывает на внутреннюю классификацию, а не на независимые организации. Соответствие всеобъемлющим целям, поставленным северокорейским режимом, определяет оперативное поведение Andariel's, которое может варьироваться между шпионажем и финансово мотивированными атаками в зависимости от текущих приоритетов.

Оперативная тактика группы эволюционировала и включает в себя такие сложные методы, как использование уязвимостей N-day в таких приложениях, как Apache Tomcat и Microsoft SharePoint, наряду с Целевой фишинг с использованием специальных приманок, связанных с работой, и атаками на watering hole, нацеленными на интересующие сектора. Оказавшись внутри целевой сети, Andariel использует перемещение внутри компании с помощью сбор учетных записей и методов, которые сводят к минимуму риск обнаружения, используя встроенные инструменты Windows, методы credential Dumping, такие как Mimikatz, и протоколы удаленного доступа, такие как RDP и SSH, для более глубокого проникновения.

В операциях с программами-вымогателями Andariel используются такие штаммы, как Maui, которые используют шифрование AES для каждого файла и методы обфускации для защиты ключей, а также поддерживают двойные операции шпионажа и финансового вымогательства. Кроме того, они внедряют другое сложное вредоносное ПО, в том числе DTrack и TigerRAT, которые помогают в перемещение внутри компании и управление командами. Эксфильтрация данных проводится тщательно, часто с использованием облачных хранилищ, чтобы скрыть передачу украденной информации, с последующим внедрением программ-вымогателей для оказания дополнительного давления на жертв.

Чтобы смягчить потенциальные угрозы, исходящие от Andariel, организациям следует внедрить многоуровневую модель безопасности, ориентированную на управление уязвимостями, многофакторную аутентификацию, сегментацию сети и безопасность конечных точек. Регулярный мониторинг трафика RDP и SMB наряду с поддержанием защищенных автономных резервных копий повышает устойчивость к атакам программ-вымогателей. Динамичный характер операций Andariel's требует активной интеграции разведывательной информации об угрозах и постоянной адаптации к обороне для эффективного противодействия этой постоянной угрозе. Этот комплексный подход необходим для обнаружения, сдерживания и срыва развивающихся кампаний Andariel's.

#ParsedReport #CompletenessHigh
27-02-2026

StegaBin: 26 Malicious npm Packages Use Pastebin Steganography to Deploy Multi-Stage Credential Stealer

https://socket.dev/blog/stegabin-26-malicious-npm-packages-use-pastebin-steganography

Report completeness: High

Actors/Campaigns:
Stegabin (motivation: information_theft)
Contagious_interview
Famous_chollima
Lazarus

Threats:
Steganography_technique
Trufflehog_tool
Dead_drop_technique
Credential_harvesting_technique
Typosquatting_technique
Stegabin_loader

Victims:
Software development, Blockchain developers, Cryptocurrency sector

Industry:
Financial, Media

Geo:
North korea, North korean

TTPs:
Tactics: 5
Technics: 0

IOCs:
Hash: 9
IP: 3
File: 36
Domain: 31
Url: 8
Command: 1

Soft:
VSCode, Linux, macOS, Outlook, curl, Node.js, Chrome, Firefox, Opera, Vivaldi, have more...

Wallets:
metamask, coinbase, keplr

Crypto:
ethereum, binance

Algorithms:
bcrypt, base64, sha256, rc4, aes-256-cbc, xor

Functions:
checkNodeVersion, noEffectEnvCheck, getVSCodeUserDir, getOrCreateEncryptionKey, setInterval, writeEvent, SetWindowsHookEx, getActiveWindowTitle, GetWindowText, eval, have more...

Win API:
GetForegroundWindow, lockfile

Languages:
powershell, python, solidity

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция "StegaBin", атрибутирован с помощью северокорейского кибер-актор FAMOUS CHOLLIMA, связанного с группой Lazarus, включает в себя развертывание 26 вредоносных пакетов npm, которые используют steganography для сокрытия URL-адресов команд и контроля (C2) в доброкачественном тексте. Эта многоэтапная атака позволяет извлекать URL-адреса C2 и загружать полезные данные, зависящие от платформы, включая сложный инструментарий стиллер, предназначенный для сбора учетные данные и конфиденциальные данные из среды разработчиков. Вредоносное ПО использует различные методы закрепление и скрытность, обеспечивая постоянный доступ к компьютерам, подвергшимся компрометация, при этом извлекая информацию с помощью таких модулей, как кейлоггеры и стиллер криптовалютных данных.
-----

Недавняя операция, получившая название "StegaBin", была атрибутирован с северокорейской хакерская группировка, известная как FAMOUS CHOLLIMA, связанная с группой Lazarus. Эта кампания включает в себя развертывание 26 вредоносных пакетов npm, которые используют steganography на уровне символов для маскировки инфраструктуры командования и контроля (C2) в доброкачественном тексте, размещенном на Pastebin. Все эти пакеты, опубликованные под одноразовыми учетными записями в течение двух дней, ссылаются на общий вредоносный файл JavaScript, расположенный по адресу `vendor/scrypt-js/version.js `, который облегчает извлечение URL-адресов C2, закодированных в, казалось бы, невинных эссе по информатике.

Атака использует многоэтапный процесс заражения, при котором выполнение сценария установки npm позволяет извлекать URL-адреса C2, что приводит к загрузке полезных данных оболочки, зависящих от платформы. Инфраструктура размещена в 31 развертывании Vercel, при этом конечная версия RAT подключается к указанному IP-адресу для автоматического развертывания набора инструментов стиллер из девяти модулей, предназначенного для различных элементов среды разработчика компрометация. Модули включают в себя такие возможности, как закрепление VSCode, сбор учетных записей браузера, эксфильтрация Данные из буфера обмена, кража SSH-ключа и репозитория Git, а также использование TruffleHog для секретного сканирования.

Среди изощренных методов, используемых в этой кампании, вредоносные пакеты npm маскируются под законные зависимости, что помогает задержать обнаружение, позволяя приложениям-жертвам компилироваться и нормально функционировать при выполнении скрытых скриптов. Общая архитектура включает в себя серию ложных ответов, маркированные запросы и обширные методы для обеспечения того, чтобы вредоносное ПО сохранялось на компьютерах-жертвах с помощью различных средств, включая искусственное встраивание команд в конфигурацию задач VSCode.

Один из примечательных модулей, кейлоггер и похититель буфера обмена, может фиксировать нажатия клавиш и извлекать конфиденциальные данные, одновременно комментируя события в контексте активного окна, особенно ориентируясь на взаимодействие с браузером. Другой важный модуль обрабатывает кражу криптовалютных данных с помощью запутанного кода, извлекая информацию из популярных расширений кошелька в нескольких операционных системах. Стратегия вымогательства включает сканирование файловых систем на наличие конфиденциальных данных, использование FTP для эффективной массовой загрузки файлов и взаимодействие с компьютерами, подвергшимися компрометация, с помощью интерактивного RAT, который может динамически выполнять команды или фильтровать эксфильтрация на основе определенных шаблонов поиска.

Скрытые операционные методологии и технические тонкости, используемые в этой кампании, демонстрируют явную изощренность в нацеливании на разработчиков в экосистеме npm, использующих широко используемые библиотеки и фреймворк для облегчения широкомасштабной кражи учетных данных и эксфильтрация данных.

#ParsedReport #CompletenessMedium
27-02-2026

APT37's "Ruby Jumper" Uses USB Drives to Breach Networks That Were Never Online

https://www.codeaintel.com/p/apt37s-ruby-jumper-uses-usb-drives

Report completeness: Medium

Actors/Campaigns:
Ruby_jumper (motivation: cyber_espionage)
Scarcruft (motivation: cyber_espionage)
Kimsuky (motivation: cyber_espionage)

Threats:
Restleaf
Snakedropper
Thumbsbd
Virustask
Footwine
Bluelight
Stuxnet

Victims:
Government, Defense, Critical infrastructure operators, Research institutions, International policy organizations

Industry:
Critical_infrastructure, Military, Government

Geo:
North korea, Dprk, Korean

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1036.005, T1053.005, T1055, T1056.001, T1059, T1059.001, T1071.001, have more...

IOCs:
File: 8
Hash: 6
Registry: 1

Soft:
Windows Explorer, Android

Algorithms:
xor

Languages:
ruby, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4