#ParsedReport #CompletenessHigh
06-03-2026

Mobile spyware campaign impersonates Israel's Red Alert rocket warning system

https://www.acronis.com/en/tru/posts/mobile-spyware-campaign-impersonates-israels-red-alert-rocket-warning-system/

Report completeness: High

Actors/Campaigns:
Anonghost (motivation: hacktivism)
Handala
Aridviper

Threats:
Smishing_technique
Credential_harvesting_technique
Alertx

Victims:
Individuals, Telecommunications

Industry:
Critical_infrastructure, Financial

Geo:
Middle east, Israel, Israeli

TTPs:
Tactics: 7
Technics: 16

IOCs:
Domain: 2
File: 2
Url: 1
Hash: 1

Soft:
twitter, Android, Google Play

Algorithms:
base64, sha256, xor

Functions:
getApkContentsSigners, getSigningCertificateHistory, getInstallerPackageName, onSmsPermissionGranted, onContactsPermissionGranted, Maynt, Shatters, getAccounts, Unflush

Win API:
getPackageInfo

Languages:
java, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chats: 2, code: 8, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Целевая киберкампания распространила троянское Android-приложение, имитирующее систему Red Alert Израиля, через SMS-сообщения, похожие на официальные коммуникации. Зловред работает как загрузчик в два этапа, используя такие техники, как подмена сертификатов, чтобы избежать обнаружения, и собирает чувствительные данные, включая местоположение и контакты, при этом активно контролируя разрешения. Связанный с угрозой Arid Viper, эта кампания демонстрирует продвинутые тактики, использующие кризисы для эффективного социального инжиниринга и скрытного сбора данных.
-----

Недавняя целевая киберкампания была выявлена, в которой злонамеренный актер доставил тройananaсированную версию Android-приложения, маскирующегося под систему предупреждения о ракетных атаках "Red Alert" Израиля. Эта атака использовала SMS-сообщения, которые были разработаны таким образом, чтобы напоминать коммуникации от официального Командования Тыла, побуждая получателей скачать якобы обновленную версию приложения через укороченные ссылки. Анализ этого вредоносного ПО выявил обширную цепочку инфекции, начиная с атаки смс-фишинга и заканчивая сложными возможностями эксфильтрации данных.

Троянское приложение, которое сохраняет легитимные функции приложения Red Alert, работает по двухступенчатой архитектуре. Вначале приложение выступает в роли вредоносного загрузчика, используя различные техники, включая подделку сертификатов и манипуляции во время выполнения, чтобы представлять себя как легитимно подписанное приложение. Эта обфускация позволяет ему обходить меры безопасности Android. После установки вредоносное ПО активно отслеживает предоставленные разрешения, собирая конфиденциальные данные, такие как SMS-сообщения, контакты и информацию о местоположении. Оно использует несколько провайдеров контента Android и системных API для выполнения этих действий скрытно.

Примечательно, что вредоносное ПО использует разрешения, которые позволяют ему получать доступ к данным GPS в реальном времени и могут вызывать определенные действия в зависимости от местоположения жертвы. Оно собирает обширную информацию о пользователе, включая имена контактов, номера телефонов и адреса электронной почты. Техники сбора данных включают опрос системных баз данных, что позволяет противнику создавать полное досье о цифровых контактах жертвы и шаблонах коммуникации.

Инфраструктура управления и контроля (C2) встроена в приложение и защищена с помощью многослойных методов обфускации строк. Точка доступа, предназначенная для эксфиляции данных, была зарегистрирована недавно, что дополнительно указывает на использованиеDisposable infrastructure, характерное для целевых кампаний. Собранные данные, включая конфиденциальную информацию и списки приложений, непрерывно передаются обратно атакующим.

Анализ атрибуции указывает на связь между угрозой и группировкой Arid Viper, известной своим вниманием к израильским целям и схожему оперативному поведению. Эта оценка возникает из-за совпадения оперативных паттернов и функциональных возможностей вредоносного ПО, ранее относимых к этому актору.

Кампания подчеркивает использование доверенной инфраструктуры во время кризисов, значительно повышая эффективность тактик социальной инженерии и позволяя осуществлять скрытый сбор данных. Тщательно разработанный malware иллюстрирует высокие возможности основного злоумышленника и их специфическую стратегию целевой атаки, используя повышенное общественное беспокойство в периоды конфликта.

#ParsedReport #CompletenessMedium
05-03-2026

Seedworm: Iranian APT on Networks of U.S. Bank, Airport, Software Company

https://www.security.com/threat-intelligence/iran-cyber-threat-activity-us

Report completeness: Medium

Actors/Campaigns:
Muddywater (motivation: hacktivism, information_theft, cyber_espionage, psyop)
Handala (motivation: hacktivism, psyop)
Tortoiseshell
Charming_kitten (motivation: cyber_espionage)
Blackshadow
Dienet (motivation: hacktivism)
Predatory_sparrow
Void_manticore (motivation: hacktivism)
Irgc
Aridviper

Threats:
Dindoor
Rclone_tool
Fakeset
Stagecomp
Darkcomp
Spear-phishing_technique
Phoenix_keylogger
Password_spray_technique
Clickfix_technique
Dns_amplification_technique
Synflood_technique
Credential_harvesting_technique
Supply_chain_technique
Disttrack
Shadow_copies_delete_technique
Mfa_bombing_technique
Stuxnet
Karma
Bibi-wiper
Httpsnoop
Anydesk_tool
Screenconnect_tool
Regeorg_tool
Mantis_botnet
Micropsia
Aridgopher

Victims:
Banking, Airport, Software company defense supplier, Non governmental organizations, Israeli government officials, Energy companies, Municipal government, Government of albania, Journalists, Cyber security experts, have more...

Industry:
Petroleum, Critical_infrastructure, Transport, Aerospace, Energy, Ics, Education, Logistic, Government, Ngo, Financial, Military, Telco, Healthcare

Geo:
France, Palestine, Canadian, Iranian, Belgium, Palestinian, Middle east, Africa, Israeli, America, Saudi, Asia, Mena, Saudi arabia, Saudi arabian, Israel, Iran, Canada, Albania

CVEs:
CVE-2017-7921 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- hikvision ds-2cd2032-i_firmware (-)
- hikvision ds-2cd2112-i_firmware (-)
- hikvision ds-2cd2132-i_firmware (-)
- hikvision ds-2cd2212-i5_firmware (-)
- hikvision ds-2cd2232-i5_firmware (-)
have more...
CVE-2023-6895 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- hikvision intercom_broadcast_system (<4.1.0)


ChatGPT TTPs:
do not use without manual check
T1046, T1059, T1059.001, T1090, T1105, T1110.003, T1114, T1190, T1204.001, T1219, have more...

IOCs:
Domain: 5
File: 6
Hash: 25

Soft:
Telegram, Twitter, Gmail, WhatsApp

Wallets:
wassabi

Algorithms:
zip

Languages:
python, powershell, javascript, typescript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранская группа APT Seedworm, активная с февраля 2026 года, нацелилась на различные сети США, в частности на банк, аэропорт и некоммерческую организацию, особенно в ответ на растущую напряженность с военными операциями США и Израиля. Группа использует новое вредоносное ПО, в частности, заднюю дверь Dindoor, использующую Deno, и заднюю дверь Fakeset на Python, которые связаны с попытками экстракции данных и разработкой пользовательских вредоносных программ. Эта эскалация киберопераций соответствует изменению Ирана в сторону более разрушительных тактик на фоне продолжающихся геополитических конфликтов, что указывает на возросшую угрозу.
-----

Иранская группа APT Seedworm, также известная под псевдонимами MuddyWater и Temp Zagros, активно действует в различных сетях США с февраля 2026 года. Целевыми организациями являются банк, аэропорт, некоммерческая организация и израильские операции американской софтверной компании. Эта активность происходит на фоне повышенной напряженности после координированных военных операций США и Израиля против Ирана.

Одним из замечательных событий стало открытие новой задней двери под названием Dindoor, которая использует Deno, безопасное время выполнения JavaScript, для выполнения. Эта задняя дверь была выявлена в сетях израильского подразделения программной компании, а также в сети американского банка и канадской некоммерческой организации. Попытка эксфильтрации данных с использованием Rclone в облачное хранилище Wasabi также была связана с этой группой, хотя неясно, была ли эта попытка успешной.

В дополнение к Dindoor, была обнаружена отдельная Python-задняя дверь под названием Fakeset, нацеленная на аэропорт США и некоммерческие организации. Fakeset была подписана сертификатами, которые ранее ассоциировались с Seedworm, что усиливает атрибуцию этой злонамеренной активности к группе. Эти операции предполагают, что Seedworm обладает разнообразным инструментарием, способным разрабатывать индивидуальный вредоносный ПО и использовать двусторонние инструменты для достижения своих целей.

По мере эскалации конфликта в регионе вероятность дальнейших киберопераций со стороны акторов, связанных с Ираном, увеличивается. Национальный центр кибербезопасности Великобритании подчеркнул этот потенциал, заявив, что киберакторы, связанные с Ираном, сохраняют возможность проведения киберопераций, несмотря на интернет-нарушения внутри Ирана. Исторические паттерны указывают на то, что иранские кибероперации изменились с традиционного шпионажа на более разрушительные способности, часто используя стиратели и DDoS-атаки для политического сигнализирования.

Другие иранские группы, такие как Handala, участвовали в хактивистских действиях, нацеленных на израильские организации с использованием сферического фишинга, эксфильтрации данных и даже программ-вымогателей. Также имеются доказательства иранских шпионских попыток, направленных на НПО и академические учреждения, использующих техники социальной инженерии для получения доступа к конфиденциальной информации.

В условиях нарастания напряженности между США и Ираном организациям настоятельно рекомендуется подготовиться к увеличению киберугроз. Потенциальные тактики атак могут включать DDoS-кампании против критической инфраструктуры и сбор учетных данных через целевой фишинг. Такие действия могут не только нарушить работу, но и служить формой запугивания, использующей психологическую войну.

Защитникам рекомендуется внедрить проактивные меры, включая мониторинг на предмет необычных попыток входа, установление защиты от DDoS-атак и обеспечение своевременного исправления систем. Поскольку угрозы адаптируют свои методы, бдительность остается важной для минимизации рисков, связанных с иранской киберактивностью, которая всё больше демонстрирует сложность и устойчивость на фоне геополитической напряженности.

#ParsedReport #CompletenessHigh
04-03-2026

Malware, from the Outside!: How a Threat Actor Used Fake OpenClaw Installers to Infect Systems with GhostSocks and Information Stealers

https://www.huntress.com/blog/openclaw-github-ghostsocks-infostealer

Report completeness: High

Actors/Campaigns:
Blackbasta

Threats:
Ghostsocks
Stealth_packer_tool
Amos_stealer
Antivm_technique
Blackbasta
Bloat_technique
Vidar_stealer
Purelogs
Antidebugging_technique

Victims:
Openclaw users, General users

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1053.005, T1055, T1059.003, T1059.004, T1071.001, T1083, T1090, T1105, have more...

IOCs:
File: 9
Url: 5
Hash: 10
Email: 3
Path: 10
Domain: 1
Registry: 1
IP: 22

Soft:
OpenClaw, macOS, ChatGPT, Clawdbot, Moltbot, Telegram, Steam, Windows installer, GateKeeper, curl, have more...

Algorithms:
xor, sha256, zip

Win API:
NtQuerySystemInformation, NtClose, GetThreadContext, SetThreadContext

Languages:
applescript, rust

Platforms:
apple, intel, arm

Links:
https://gist.github.com/JPMinty/98a1ea598bbfa97c779d9ad338280374/raw/cf1f83cd0a59b1bcb07ece9724339031403e8982/Debug%20comments%20from%20identified%20'Stealth%20Packer'%20packed%20Malware
https://gist.github.com/JPMinty/98a1ea598bbfa97c779d9ad338280374#file-debug-comments-from-identified-stealth-packer-packed-malware
https://github.com
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С 2 по 10 февраля 2026 года злоумышленники использовали вредоносные репозитории GitHub, замаскированные под установщики OpenClaw, чтобы распространять программы-ишекатели информации, используя упаковщик вредоносного ПО, известный как Stealth Packer. Эта кампания способствовала похищению данных и обходу многофакторной аутентификации с помощью GhostSocks, который превратил зараженные системы в прокси для несанкционированного доступа. Атаки нацеливались как на Windows, так и на macOS, применяя загрузчик на основе Rust для доставки различных вариантов вредоносного ПО, включая Vidar stealer и OpenClawBot, которые захватывали конфиденциальную информацию после получения административных учетных данных.
-----

С 2 по 10 февраля 2026 года злоумышленники использовали зловредные репозитории GitHub, маскирующиеся под установщики OpenClaw, для распространения кражи информации, в частности, применяя новый упаковщик вредоносного ПО под названием Stealth Packer. Эти зловредные установщики были слабо обнаруживаемыми эксплойтами, предназначенными для целенаправленной атаки на пользователей, пытающихся установить OpenClaw на системах Windows и macOS. В частности, вредоносное ПО способствовало краже информации и позволяло обходить многофакторную аутентификацию (MFA) и меры против мошенничества с использованием инструмента, известного как GhostSocks, который превращает скомпрометированные системы в прокси для несанкционированного доступа к учетным записям.

Механизм распространения кампании включал в себя продвижение вредоносного репозитория на GitHub непосредственно в результатах поиска AI Bing, используя алгоритмы платформы для того, чтобы незаметно направлять пользователей к компрометированному программному обеспечению. Предыдущие кампании также использовали техники отравления поисковых запросов, что демонстрирует тенденцию, при которой злоумышленники используют инструменты ИИ для распространения вредоносных установщиков. Установщик с темой OpenClaw внедрял несколько разновидностей вредоносного ПО после выполнения, включая загрузчик на основе Rust, который способствовал развертыванию программ-шпионов, работающих исключительно в оперативной памяти.

Stealth Packer имеет значительное значение в этом контексте благодаря своим продвинутым возможностям, включая внедрение вредоносного ПО в оперативную память, манипуляцию настройками брандмауэра и выполнение проверок на антивиртуализацию, что способствует скрытной работе без обнаружения. Конкретные артефакты вредоносного ПО, связанные с этой кампанией, включали различные исполняемые файлы, такие как cloudvideo.exe и svc_service.exe, первый из которых является известным крадуном Vidar, тогда как второй подозревался в том, что он является загрузчиком вредоносного ПО на Rust, который динамически выполнял(payloads).

GhostSocks, играющий ключевую роль в успешности операции атаки, используется для скрытия идентичности злоумышленника, перенаправляя вредоносный трафик через систему жертвы. Вариант, наблюдаемый в этом инциденте, особенно внедрил усовершенствованные функции безопасности, используя соединения TLS, что является изменением от его ранних версий. Эта функциональность не только позволяет эксфильтровать чувствительные данные, но и обеспечивает устойчивость в скомпрометированных окружениях.

Для целей macOS связанный вредоносный аккаунт предоставил вариант, известный как OpenClawBot, который имитировал законные команды развертывания, но был предназначен для захвата конфиденциальной информации, включая файлы, защищенные TCC. Вредоносное ПО запрашивало у пользователей административные креденшелы перед выполнением своих функций кражи информации.

#ParsedReport #CompletenessMedium
09-03-2026

Weaponizing LSPosed: Remote SMS Injection and Identity Spoofing in Modern Payment Ecosystems

https://www.cloudsek.com/blog/weaponizing-lsposed-remote-sms-injection-and-identity-spoofing-in-modern-payment-ecosystems

Report completeness: Medium

Threats:
Lsposed_tool
Edxposed_tool
Hinatabot
Watering_hole_technique
Mitm_technique

Victims:
Banking customers, Financial institutions, Upi ecosystem, Payment apps, Banks

Industry:
Financial, Telco

Geo:
Pakistan, India, Nepal, Berlin, Indian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1390, T1401, T1404, T1405, T1406, T1410, T1412, T1437, T1456, T1471, have more...

IOCs:
File: 7
Url: 1

Soft:
Android, Google Play, Telegram, WhatsApp, Flutter

Functions:
sender, getLine1Number

Languages:
java

Links:
https://github.com/LSPosed/LSPosed
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 6, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фреймворк LSPosed развился в значительную мобильную угрозу, позволяя злоумышленникам манипулировать средой выполнения Android, особенно нацеливаясь на индийскую систему UPI. Используя модуль под названием Digital Lutera, они используют уязвимости, перехватывая платежные приложения, не изменяя их цифровые подписи, что позволяет им обойти традиционные меры безопасности. Злоумышленники могут разрушить безопасность привязки SIM в UPI, облегчая несанкционированные манипуляции с транзакциями через троянские приложения, которые взаимодействуют с скомпрометированными устройствами и командными серверами.
-----

Фреймворк LSPosed позволяет злоумышленникам манипулировать средой выполнения Android и захватывать законные платежные приложения, не модифицируя их. Модуль Digital Lutera использует методы перехвата во время выполнения, чтобы специфически нацеливаться на системы UPI в Индии, эксплуатируя уязвимости внутри них. Злоумышленники могут разобрать защиту привязки SIM UPI, перехватывать системные сообщения и подделывать идентификацию устройств, чтобы извлекать данные 2FA. Использование троянских APK позволяет злоумышленникам устанавливать вредоносные программы на устройства жертв, которые затем контролируются через сервер командования и управления. Скомпрометированное приложение может эксфильтровать конфиденциальную информацию и отправлять поддельные SMS-сообщения банковским сервисам. Злоумышленники злоупотребляют предположением, что физическое присутствие SIM обеспечивает безопасность устройства, что позволяет несанкционированный доступ и перевод средств. Меры по смягчению последствий должны включать внедрение API Google Play Integrity и использование нативного кода для критической проверки идентичности. Злоумышленник, известный как "Berlin", демонстрирует переход к сложным многоканальным атакам, которые увеличивают финансовые риски и усложняют меры кибербезопасности.

#ParsedReport #CompletenessLow
02-03-2026

Scam Alerts Deceiving Users to Download Harmful Android Applications

https://www.sonicwall.com/blog/scam-alerts-deceiving-users-to-download-harmful-android-applications

Report completeness: Low

Victims:
Android users, Consumers

Geo:
India

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.002, T1411, T1412, T1417, T1418, T1430, T1566.003

IOCs:
File: 1
Hash: 11
Url: 1

Soft:
Android, WhatsApp, Telegram

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Зловмисная Android-кампания нацелена на пользователей в Индии через промоакции, вовлекая их в загрузку вредоносных приложений через социальные сети и мессенджеры. После установки, вредоносное ПО запрашивает навязчивые разрешения, использует фишинговые тактики для сбора конфиденциальной информации и взаимодействует с серверами командования и управления. Ключевые техники включают использование локального WebView для загрузки вредоносных скриптов для эксфильтрации личных и финансовых данных в контролируемый злоумышленником бот в Telegram.
-----

SonicWall Capture Labs выявила злонамеренную кампанию для Android, которая нацелена на пользователей рекламными предложениями и уведомлениями, стремясь обмануть их и заставить загрузить вредоносные приложения. Эта кампания распространяется через социальные сети, мессенджеры и сторонние магазины приложений, заманивая жертв заманчивыми сообщениями о кэшбэке и штрафах за дорожные правонарушения. Как только люди устанавливают замаскированные приложения, вредоносное ПО запрашивает у пользователей навязчивые разрешения и использует фишинг для сбора конфиденциальной информации, такой как данные кредитных карт, одноразовые пароли (OTP) и PIN-коды Унифицированного интерфейса платежей (UPI).

Кампания, похоже, в основном ориентирована на пользователей в Индии, используя сообщения, которые играют на общих финансовых мотивах. После установки вредоносное приложение не только собирает обширную информацию о устройстве, но и общается с серверами управления и контроля (C2), контролируемыми злоумышленниками. Одна из критических техник, применяемых вредоносным ПО, включает использование локального WebView для загрузки файла index.html, расположенного в папке активов приложения. Этот файл содержит вредоносные скрипты, предназначенные для сбора личной информации, включая номер телефона пользователя, который затем передается боту в Telegram, управляемому злоумышленником.

Этот метод эксфиляции позволяет нападающим собирать персональные данные и получать доступ к чувствительной финансовой информации, используя токен бота Telegram и идентификатор чата для облегчения извлечения украденных данных карт. Комплексный характер операций — перехват звонков и SMS, наряду с эксфиляцией пользовательских данных — подчеркивает агрессивные тактики, применяемые в этой мошеннической схеме. Меры защиты от подобных угроз включают решения такие как SonicWall Capture ATP с Инспекцией Глубокой Памяти в Реальном времени (RTDMI), которые нацелены на обеспечение защиты от развивающихся угроз вредоносного ПО.

#ParsedReport #CompletenessHigh
05-03-2026

North Korea Tried to Hack Our CEO Through a Fake Job Interview on LinkedIn

https://allsecure.io/blog/lazarus-linkedin-attack/

Report completeness: High

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Beavertail
Invisibleferret
Ottercookie
Xmrig_miner
Anydesk_tool

Victims:
Software development, Crypto and web3, Technology founders and executives

Industry:
Entertainment

Geo:
Dprk, Korean, North korea, North korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1027, T1036.005, T1056, T1059, T1059.007, T1070, T1071.001, T1082, have more...

IOCs:
File: 6
Url: 7
Email: 8
IP: 1
Domain: 1
Hash: 10

Soft:
curl, vscode, Node.js, Chrome, Opera

Wallets:
metamask

Algorithms:
base64

Functions:
setApiKey, validateApiKey, Function

Languages:
javascript

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Lazarus, государственный спонсируемый угрозы-актор из Северной Кореи, попыталась инфильтровать высокоценные цели через LinkedIn, начиная с незапрошенных сообщений о наборе, которые перерасходились в видеозвонки с использованием потенциальных дипфейков. Кампания включала в себя恶意 репозиторий, маскирующийся под платформу Web3 для игр, использующий вредоносное ПО, которое использовало легитимные npm-библиотеки для сокрытия своих операций и устанавливало C2-соединение каждые пять секунд. Цели вредоносного ПО включали кражу конфиденциальной информации, такой как криптовалютные кошельки и пароли, демонстрируя передовое сокрытие и операционную безопасность.
-----

Данный инцидент связан с попыткой кибер-вторжения со стороны государственных спонсируемых акторов из Северной Кореи, в частности группы Lazarus, использующих сложный метод для компрометации высокоценимых целей через профессиональные сети в LinkedIn. Атака началась с непрошенной вакансии и перешла в видеозвонок, в котором использовалась потенциально дипфейковая личность. Несоответствия в голосе звонящего вызвали подозрения, что побудило цель провести дальнейшее расследование.

При проверке вредоносного репозитория, замаскированного под законную игровую платформу Web3, исследователи обнаружили ряд хитро замаскированных компонентов вредоносного ПО. Атака использовала три независимых вектора заражения, которые выполняли вредоносные действия в тот момент, когда был доступен связанный с проектом каталог. Репозиторий имел более чем правдоподобный фасад, с функциями, типичными для современных игровых платформ, что делало его значительным инструментом угрозы.

Малварь состояла из нескольких этапов, начиная с компактного JavaScript-пейлоада, доставленного через окружение Node.js. Этот пейлоад, изначально безобидный на вид, инициировал серию операций, которые включали отпечатки машин и установление связи командного центра (C2), которая происходила каждые пять секунд. По мере прогрессирования инфекции дальнейшие вредоносные компоненты развертывались с C2, включая постоянный агент, который полностью работал в памяти, избегая хранения на диске и тем самым уклоняясь от распространенных методов обнаружения.

Значительной особенностью этой архитектуры вредоносного ПО было использование легитимных библиотек npm в качестве прикрытия. Это включало в себя внедрение вредоносного ПО в большой, на вид безобидный пакет, что усложняло анализ и усилия по его обнаружению. Начальные стадии вредоносного ПО были зафиксированы и проанализированы, но после обнаружения мониторинговой активности исследователей злоумышленники активировали аварийный выключатель, разрывая соединение и предотвращая доступ к дальнейшим компонентам, предназначенным для кражи.

Основные цели этой высок Sophisticated атаки заключались в компрометации чувствительной информации, включая криптовалютные кошельки, пароли, SSH-ключи и персональные данные с помощью современных модулей кражи. Это было подтверждено данными из репозитория GitHub — легитимного проекта, который был изменен для злонамеренных целей, демонстрируя высокий уровень операционной безопасности и мастерства со стороны Lazarus Group.

Индикаторы компрометации (IOC), связанные с этой кампанией, включают измененные файлы конфигурации, которые способствовали выполнению вредоносного ПО и его связям с C2. Преднамеренное использование техник обфускации и мониторинг в реальном времени указывают на целенаправленное усилие по атаке на высокопрофильных лиц в секторах технологий и криптовалют, подчеркивая продолжающуюся угрозу, исходящую от киберопераций Северной Кореи. Эти выводы подчеркивают необходимость повышенной бдительности среди профессионалов, работающих в сфере технологий и финансов, поскольку государственные акторы продолжают развивать свои тактики, чтобы использовать уязвимости в профессиональных средах.

#ParsedReport #CompletenessLow
05-03-2026

ClipXDaemon: Autonomous X11 Clipboard Hijacker Delivered via Bincrypter-Based Loader

https://cyble.com/blog/clipxdaemon-autonomous-x11-clipboard-hijacker/

Report completeness: Low

Threats:
Clipxdaemon
Bincrypter_tool
Shadowhs_tool
Hackshell_tool

Victims:
Linux users, Cryptocurrency users, Developers, Traders

TTPs:
Tactics: 6
Technics: 6

IOCs:
Coin: 5
Hash: 3

Soft:
Linux, OpenSSL, systemd

Wallets:
tron

Crypto:
bitcoin, ethereum, litecoin, monero, dogecoin, ripple

Algorithms:
aes-256-cbc, sha256, base64, gzip, chacha20, aes

Links:
https://github.com/hackerschoice/bincrypter