#ParsedReport #CompletenessLow
09-03-2026

Iranian APT MuddyWater Uses Dindoor Malware to Target U.S. Networks

https://socradar.io/blog/iran-muddywater-dindoor-malware-us-networks/

Report completeness: Low

Actors/Campaigns:
Muddywater (motivation: cyber_espionage, hacktivism)

Threats:
Dindoor
Spear-phishing_technique
Fakeset
Rclone_tool

Victims:
Aviation, Financial services, Software development, Government, Telecommunications, Critical infrastructure, Non profit organization, Defense and aerospace software supplier, Airport, Bank, have more...

Industry:
Telco, Financial, Critical_infrastructure, Government, Aerospace, Software_development

Geo:
Israel, Israeli, Canadian, Iranian, Iran

ChatGPT TTPs:
do not use without manual check
T1059, T1059.006, T1059.007, T1566.001

IOCs:
Domain: 5

Wallets:
wassabi

Languages:
typescript, javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MuddyWater, иранская группа APT, связанная с Министерством разведки и безопасности, проводит кампанию кибершпионажа, направленную на организации США в критически важных секторах, используя вновь открытую вредоносную заднюю дверь под названием Dindoor, которая работает в среде Deno и выполняет JavaScript/TypeScript для скрытого манипулирования. Кампания также использует другую заднюю дверь, Fakeset, и применяет Rclone для эксфильтрации данных, что указывает на акцент на чувствительные оперативные или финансовые данные на фоне обострённой геополитической напряжённости. Деятельность группы отражает стратегические государственные интересы в согласии с геополитическими маневрами Ирана.
-----

Иранская группа APT MuddyWater, предположительно связанная с Иранским министерством разведки и безопасности, проводит кампанию кибершпионажа, которая, как сообщается, скомпрометировала несколько организаций США, охватывающих критически важные сектора, такие как авиация, финансовые услуги и разработка программного обеспечения. Эта кампания, приписываемая группе, также известной как Seedworm, опирается на недавно идентифицированную вредоносную программу-заднюю дверь под названием Dindoor, а также на другие инструменты вредоносного ПО, которые обеспечивают длительный доступ к затронутым сетям.

Dindoor, известный благодаря своему развертыванию в среде выполнения Deno, позволяет выполнять код на JavaScript и TypeScript вне веб-браузеров, что дает возможность злоумышленникам эффективно манипулировать скомпрометированными системами, маскируя свою деятельность среди легитимных процессов. Обнаружение этого вредоносного ПО имеет большое значение, так как оно не было ранее задокументировано, что затрудняет обнаружение для традиционных решений безопасности на основе сигнатур. Наряду с Dindoor, другой бекдор под названием Fakeset — написанный на Python — был связан с аналогичными целями удаленного доступа.

Целевые организации включали аэропорт в США, банк, канадскую некоммерческую организацию и поставщика программного обеспечения, связанного с сектором обороны и аэрокосмической отрасли, с особым акцентом на организации, управляющие чувствительными операционными или финансовыми данными. Тайминг атак указывает на то, что противники получили доступ к некоторым сетям до обострения геополитических напряжений, что позволяло им проводить потенциальный сбор разведывательной информации и преднамеренную эксплуатацию ситуации.

Во время своих операций MuddyWater использовал задние двери для постоянного доступа и пытался осуществить экстракцию данных с помощью Rclone, инструмента передачи файлов с открытым исходным кодом, чтобы загружать конфиденциальные файлы в облачное хранилище. Характер кампании, отмечающийся постоянством доступа и стратегическим прицелом на ключевые сектора, подчеркивает соответствие группы интересам иранского государства на фоне продолжающегося геополитического конфликта между Ираном и Израилем.

Для организаций, обеспокоенных этой угрозой, мониторинг поведенческих аномалий имеет решающее значение, особенно атипичное использование инструментов, таких как Rclone, для эксфильтрации данных и неожиданные выполнения процессов Deno runtime. Также рекомендуется улучшить видимость использования сертификатов, связанных с сомнительными бинарными файлами, и мониторить индикаторы компрометации, связанные с деятельностью MuddyWater. Раннее выявление необычной активности особенно важно, учитывая склонность угрозных акторов поддерживать долгосрочный доступ перед действиями.

#ParsedReport #CompletenessMedium
10-03-2026

Silence of the hops: The KadNap botnet

https://blog.lumen.com/silence-of-the-hops-the-kadnap-botnet/

Report completeness: Medium

Actors/Campaigns:
Doppelgnger

Threats:
Kadnap
Faceless_tool
Moon_botnet
Residential_proxy_technique
Remproxy
Quad7
Password_spray_technique

Victims:
Asus routers, Edge networking devices, Residential proxy users targets, Internet users

Industry:
Iot

Geo:
Hong kong, Russia, Taiwan

ChatGPT TTPs:
do not use without manual check
T1036, T1053.003, T1059.004, T1071.004, T1090, T1105, T1562.004

IOCs:
IP: 3

Soft:
Kademlia, Twitter, BitTorrent

Algorithms:
sha1, aes, xor

Platforms:
mips, arm

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/KadNap\_IOCs.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет KadNap нацеливается на маршрутизаторы Asus и другие вычислительные устройства на границе, состоящий из более чем 14 000 зараженных устройств, в основном в США. Он использует модифицированный протокол Kademlia DHT для скрытия C2 серверов внутри P2P сети, что усложняет обнаружение. Первичная инфекция происходит через вредоносный shell-скрипт, который устанавливает ELF файл, обеспечивая постоянство и облегчая соединения с другими жертвами для выполнения команд, при этом его инфраструктура разработана для уклонения от разрушения.
-----

Недавно раскрытая бот-сеть KadNap представляет собой значительную угрозу, в первую очередь нацеленную на маршрутизаторы Asus и потенциально другие устройства сетевого края. Обнаруженная Black Lotus Labs в Lumen, это сложное программное обеспечение для распространения вредоносных программ способствует созданию крупномасштабной бот-сети, которая в настоящее время включает более 14,000 зараженных устройств, в основном находящихся в Соединенных Штатах. Операторы используют настраиваемую версию протокола Kademlia Distributed Hash Table (DHT), что позволяет им скрывать свои серверы управления и контроля (C2) в сети одноранговой (P2P). Эта схема позволяет создавать каналы связи, которые трудно нарушить и обнаружить защитникам, эффективно маскируя вредоносный трафик под легитимную P2P-активность.

Начальная инфекция включает в себя загрузку вредоносного оболочки скрипта, который обеспечивает постоянное присутствие на зараженных устройствах, особенно путем настройки задания cron, которое выполняет определенный ELF файл, связанный с вредоносным ПО KadNap, через регулярные интервалы. Этот вредоносный код умеет выявлять и подключаться к другим жертвам в сети, формируя "телефонное дерево" C2 адресов, что облегчает удаленное выполнение команд. Более того, он демонстрирует универсальность, с вариантами, разработанными как для архитектур процессоров ARM, так и MIPS.

Как только malware инициализируется, он подключается к известным bootstrap-узлам в сети BitTorrent, чтобы найти другие зараженные устройства и цели командования, генерируя настраиваемые DHT-пакеты для облегчения связи. Критической характеристикой ботнета KadNap является его использование постоянных конечных узлов равноправных участников, что обеспечивает непрерывный контроль над его инфраструктурой; анализ показывает, что одни и те же два конечных узла передачи постоянно используются malware.

Анализ активности этой ботсети показывает, что она работает с сегментированной инфраструктурой, основанной на типах жертв, при этом устройства Asus в основномcommunicating с двумя указанными C2 серверами, в то время как другие инфицированные устройства подключаются к другим. Потенциальные приложения KadNap включают использование в качестве вредоносного прокси для различных киберпреступных действий, тем самым представляя значительные риски как для организаций, так и для отдельных пользователей, чьи устройства были скомпрометированы.

Black Lotus Labs планирует поделиться индикаторами компрометации (IoCs) в общественных лентах, чтобы помочь сообществу кибербезопасности в противодействии этой развивающейся угрозе. Поскольку эта сеть использует механизм децентрализованного контроля для уклонения от обнаружения, ее непрерывный рост подчеркивает растущую сложность тактики ботнетов и уязвимости, присутствующие в инфраструктуре Интернета вещей (IoT).

#ParsedReport #CompletenessLow
09-03-2026

Extended IOCs for TaxiSpy Android Banking Malware

https://zimperium.com/blog/extended-iocs-for-taxispy-android-banking-malware

Report completeness: Low

Threats:
Taxispy
Credential_harvesting_technique

Victims:
Banking users, Organizations using mobile devices

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1403, T1409, T1412, T1416, T1430, T1437, T1466

Soft:
Android

Links:
https://github.com/Zimperium/IOC/tree/master/2026-03-TaxiSpyRat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TaxiSpy — это продвинутое банковское вредоносное ПО для Android, которое сочетает в себе функции банковского трояна с возможностями удаленного доступа, позволяя злоумышленникам контролировать устройства, перехватывать SMS, отслеживать приложения и собирать конфиденциальные данные. Недавний анализ выявил более 60 недокументированных образцов TaxiSpy, подчеркивая усилия операторов по уклонению от обнаружения через постоянные обновления. Вредоносное ПО представляет собой значительные риски не только для отдельных пользователей банковских услуг, но и для организаций, позволяя похищать учетные данные и обходить многофакторную аутентификацию, что потенциально может привести к несанкционированному доступу к корпоративным ресурсам.
-----

TaxiSpy — это сложная кампания банковского вредоносного ПО для Android, которая сочетает в себе функции традиционного банковского трояна с полноценными возможностями трояна удаленного доступа (RAT). Его дизайн позволяет злоумышленникам полностью контролировать зараженные устройства, позволяя им перехватывать SMS-сообщения, мониторить финансовые приложения, захватывать конфиденциальные данные ввода и выполнять удаленные команды. Вредоносное ПО демонстрирует продвинутые методы постоянного присутствия, пытаясь стать стандартным обработчиком SMS для входящих сообщений и используя службы доступности Android для мониторинга пользовательской активности и автоматизации злонамеренных действий. Кроме того, оно взаимодействует с инфраструктурой, управляемой нападающими, чтобы получать команды и экстрагировать украденную информацию.

Недавние анализы выявили более 60 ранее не задокументированных образцов TaxiSpy, что указывает на продолжающееся переупаковку его операторами для обхода механизмов детекции. Это поведение характерно для современных стратегий Android malware, где постоянное обновление вариантов вредоносных программ используется для обхода основанных на сигнатурах защит. Нападающие используют эти развивающиеся возможности в первую очередь для сбора учетных данных и финансового мошенничества, проводя при этом обширное наблюдение за устройствами скомпрометированных пользователей.

Потенциальные последствия TaxiSpy выходят за рамки отдельных пользователей банковских услуг и охватывают организации, которые полагаются на мобильные устройства для доступа к корпоративным ресурсам. Захватывая SMS-сообщения и собирая учетные данные, TaxiSpy позволяет злоумышленникам обходить многофакторную аутентификацию и получать постоянный доступ к чувствительным корпоративным приложениям и данным, что создает значительные риски для безопасности предприятий.

Для решения этих возникающих угроз организациям следует внедрять надежные меры безопасности, сосредотачиваясь на обнаружении поведения мобильных устройств и защите во времени выполнения. В частности, решения безопасности Zimperium, которые используют механизмы динамического обнаружения на устройстве, могут выявлять активность TaxiSpy в реальном времени, даже когда угрозы изменяют свои тактики. Поскольку вредоносное ПО для Android всё больше включает в себя шпионские возможности, эффективные решения, которые выявляют злонамеренное поведение на самом устройстве, будут необходимы для защиты целостности организации и предотвращения злонамеренных нарушений.

#ParsedReport #CompletenessLow
02-03-2026

Before the Proxy: Uncovering Active PlugX Staging Infrastructure Linked to Three PRC Actors

https://cyberandramen.net/2026/03/02/before-the-proxy-uncovering-active-plugx-staging-infrastructure-linked-to-three-prc-actors/

Report completeness: Low

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Plugx_rat
Staticplugin
Dll_sideloading_technique

Victims:
Government organizations, Diplomatic organizations, Civil society organizations, Diplomats

Industry:
Government

Geo:
Asia, United kingdom, Taiwan, Germany, Japan, Malaysia, Hong kong, Mongolia, Asian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1090.003, T1105, T1218, T1218.005, T1553.002, T1573, T1573.002, T1574.002, have more...

IOCs:
File: 3
Domain: 15
IP: 15

Algorithms:
rc4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследования по поводу вредоносного ПО PlugX связали его с группами, спонсируемыми государством Китая, Mustang Panda, UNC6384 и RedDelta, нацеленными на правительственные и дипломатические структуры через сеть из 14 доменов. Инфраструктура командного и управляющего центра использует истекшие домены, переходя на VPS для сокрытия через Cloudflare. Последние методы доставки включают использование STATICPLUGIN и MSBuild для эксплуатации побочного загрузки DLL, что выявляет общую операционную структуру среди этих угроз.
-----

Недавние расследования по PlugX malware обнаружили сеть из 14 доменов, связанных с китайскими государственно спонсируемыми угрозами, особенно Mustang Panda, UNC6384 и RedDelta. Эти домены являются частью сложной шпионской кампании, нацеленной на государственные и дипломатические структуры. Оператор командования и управления (C2), стоящий за этой кампанией, проявляет методический подход, обычно регистрируя истекшие домены и переходя на виртуальные частные серверы (VPS) с ASN 149440, связанным с Evoxt Enterprise, прежде чем затемнить инфраструктуру через Cloudflare.

Malware PlugX сам по себе является модульным трояном для удаленного доступа (RAT), известным своей обширной историей и постоянной ассоциацией с кибероперациями КНР. Он в первую очередь использовался против государственных и дипломатических целей по всему миру, демонстрируя адаптивность на протяжении своих различных итераций. В частности, недавние отчеты зафиксировали действия, связанные с UNC6384 и Mustang Panda, которые совместно проводили кампании против дипломатов, в основном в Юго-Восточной Азии, используя начальные загрузчики, такие как STATICPLUGIN, перед развертыванием PlugX. Оба актора имеют пересекающиеся C2-сети и разделяют общие стратегии командования и развертывания, что указывает на возможную оперативную координацию.

В начале 2026 года отчет подробно описал доставку варианта PlugX через STATICPLUGIN, который подключался к домену, идентифицированному в ходе исследования. Последующий анализ признал другой метод заражения, включающий MSBuild и боковую загрузку DLL GData, нацеливающуюся на другой домен. Методичный характер тактики, методов и процедур (TTP) злоумышленника указывает на общую операционную рамку среди трех противников, акцентированных в результатах.

Расследование началось с обнаружения образцов PlugX и предоставленного адреса C2, предоставленного исследователями в области кибербезопасности. После этого дополнительные детали стали известны через анализ WHOIS домена C2, подтверждающий регистрацию домена через NameCheap и использование Cloudflare для анонимности. Установленные шаблоны указывают на намеренное использование безобидно выглядящих доменов для сокрытия злонамеренной активности, усложняя реагирование защитников.

В итоге, Mustang Panda, UNC6384 и RedDelta демонстрируют систематический подход к созданию инфраструктуры C2, который приоритизирует скрытность и устойчивость к обнаружению. Их зависимость от известных регистраторов, устаревших доменов с низким контролем и быстрая миграция в облачные сервисы подчеркивает их способность эффективно поддерживать свои вредоносные операции. Учитывая поведенческие совпадения, продолжающийся мониторинг этой активности рекомендуется для противодействия развивающемуся ландшафту угроз, представленному этими актерами.

#ParsedReport #CompletenessHigh
09-03-2026

OPERATION FALSE SIREN ANDROID SPYWARE CAMPAIGN

https://www.cyfirma.com/research/operation-false-siren-android-spyware-campaign/

Report completeness: High

Actors/Campaigns:
False_siren (motivation: cyber_espionage)

Threats:
Redalert
Smishing_technique
Umgdn
Tsunami_botnet
Alertx

Victims:
Civilians, Mobile users

Industry:
Financial, Government, Military

Geo:
Israeli, Israel

TTPs:
Tactics: 5
Technics: 16

IOCs:
File: 10
Coin: 1
Domain: 1
Url: 2
Hash: 2

Soft:
ANDROID, Google Play, APKTOOL

Algorithms:
base64, xor, sha256

Functions:
getInstallerPackageName, PackageManager, getApkContentsSigners, getSigningCertificateHistory, startForegroundService, startService, Gonomery, Petchary, onMessageReceived, Deifies, have more...

Languages:
java

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция False Siren использует троянское приложение Red Alert для атаки на израильских граждан, применяя SMS-фишинг для доставки вредоносного APK. Дроппер использует динамическое прокси-API-хукинг для обхода проверки приложений и подделывает свою идентичность как легитимное приложение Google Play Store. После активации полезная нагрузка шпионского ПО umgdn использует два канала C2, GPS-трекинг и обширные разрешения для сбора данных, применяя методы обфускации для противодействия обнаружению.
-----

Операция False Siren — это сложная кампания по распространению шпионского ПО для Android, нацеленная на израильских граждан через троянскую версию доверенного приложения гражданской обороны Red Alert. Механизм развертывания использует SMS-фишинг (смишинг) с сообщениями, которые выдают себя за официальное командование израильского тыла. Жертвы заманиваются в загрузку APK по сокращённой URL-ссылке, которая, как кажется, предлагает срочное обновление безопасности.

Скачанный APK содержит многозадачный фреймворк вредоносного ПО, где начальный компонент-дроппер управляет извлечением и выполнением более обширного шпионского полезного груза, известного как umgdn. Этот дроппер использует передовые техники, такие как динамическое прокси-базированное API hooking, позволяя ему манипулировать Android PackageManager для обхода проверки подписи приложений. Дроппер умело подделывает свою идентичность установщика, чтобы заставить приложение казаться установленным из Google Play Store.

После выполнения компонента он извлекает встроенный шпионский payload umgdn с помощью рефлексивных методов, перенаправляет пути приложений APK и обеспечивает постоянство, регистрируя приемник BOOT_COMPLETED. Это гарантирует, что шпионское ПО остается активным после перезагрузок устройства. Вредоносное ПО включает в себя два канала командного и контрольного (C2) управления с использованием Firebase Cloud Messaging (FCM) и SDK Pushy, что позволяет обеспечить надежные, резервные каналы связи. Команды выдаются на основе GPS-координат устройства с использованием геозонированного диспетчера для активации мер наблюдения.

Шпионское ПО имеет обширные разрешения, позволяя ему собирать SMS-сообщения, контакты, учетные записи Google и проводить непрерывное отслеживание GPS, не вызывая подозрений. Вредоносное ПО маскируется под законное приложение Red Alert, подражая реальным типам предупреждений, что увеличивает его скрытность и эффективность в уклонении от обнаружения.

Техническая сложность подчеркивается использованием методов обфускации строк, шифрованием чувствительной информации уникальными ключами для срыва статического анализа. Кампания подчеркивает более широкую тенденцию использования доверенных приложений общественных служб для облегчения распространения вредоносного ПО, особенно в условиях высокого риска, таких как зоны конфликта.

#ParsedReport #CompletenessLow
09-03-2026

Quiz sites trick users into enabling unwanted browser notifications

https://www.malwarebytes.com/blog/threat-intel/2026/03/quiz-sites-trick-users-into-enabling-unwanted-browser-notifications

Report completeness: Low

Victims:
Consumers

Geo:
Germany, Japan, Canada, France

ChatGPT TTPs:
do not use without manual check
T1204, T1204.001, T1566.002

IOCs:
Domain: 16
File: 2

Soft:
Chrome, Firefox, Opera, Adguard, Chromium, Android, MacOS, Linux, Chrome, Firefox

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ показывает, что неожиданные веб-уведомления, а не вредоносное ПО, сбили с толку пользователей, заставив их думать, что их устройства заражены. Обманчивые веб-сайты, такие как "unsphiperidion.co.in" и "triviabox.co.in", заставляли пользователей включать эти уведомления, давая ложные обещания о браузерных расширениях и викторинах. Эти уведомления могут появляться в различных операционных системах и основных браузерах, подчеркивая необходимость для пользователей быть осведомленными о тактиках манипуляции, чтобы предотвратить взаимодействие с мошенническим контентом.
-----

Недавний анализ показал, что многие пользователи обратились за помощью к Malwarebytes, подозревая, что их устройства былиinfected из-за неожиданных уведомлений. Однако эти уведомления не были вызваны вредоносным ПО, а скорее веб-уведомлениями, которые пользователи были обмануты включить некоторыми веб-сайтами. Ключевыми примерами были домены, такие как "unsphiperidion.co.in" и "triviabox.co.in", которые ввели пользователей в заблуждение с помощью обманчивой рекламы, обещающей расширения для браузера, такие как Adguard, но в конечном итоге перенаправляли их на другой нежелательный контент.

Эти вебсайты часто привлекают пользователей викторинами на различные темы, включая географию и историю, нацеливаясь на определенные аудитории в таких странах, как Канада, Германия, Франция, Япония и США. Основная цель этих сайтов — сотрудничать с рекламой программного обеспечения для безопасности, что вызывает беспокойство по поводу их легитимности и потенциально вводящих в заблуждение практик в области кибербезопасности.

Расследования показали, что push-уведомления могут потенциально затрагивать пользователей на различных операционных системах, включая Windows, Android и MacOS. Некоторые браузеры, в частности Chrome, Firefox, Opera, Edge и Safari, отображают эти уведомления даже когда браузер не открыт, увеличивая риск взаимодействия пользователей с мошенническим контентом.

Пользователям рекомендуется управлять настройками браузера, чтобы контролировать или полностью отключать веб-уведомления, чтобы предотвратить манипуляции со стороны таких сайтов. Например, в Chrome пользователи могут перейти в Настройки > Конфиденциальность и безопасность > Настройки сайта > Уведомления и соответствующим образом настроить разрешения. Подобные инструкции применимы к различным браузерам, что позволяет пользователям защищать себя от этих обманчивых тактик. Понимание этих техник имеет решающее значение для пользователей, чтобы избежать активации нежелательных уведомлений и потенциального компрометации их устройств.

#ParsedReport #CompletenessHigh
10-03-2026

GhostWeaver - a malware that lives up to its name

https://www.derp.ca/research/ghostweaver-tag124-powershell-rat/

Report completeness: High

Actors/Campaigns:
Ta582
Tag-124
Unc4108
Ta569
Ta866

Threats:
Ghostweaver
Pantera
Mintsloader
Uac_bypass_technique
Boinc_tool
Socgholish_loader
Parrot_tds_tool
Amsi_bypass_technique
Asyncrat
Nmap_tool
Formgrabber
Mitm_technique
Polymorphism_technique
Remcos_rat
Interlock
Rhysida
Oyster
Stealc
Obfus
Process_injection_technique
Violet_rat

Victims:
Enterprises, Wordpress site visitors, Windows domain controllers, General windows users

Industry:
Financial, Energy

Geo:
Chinese

TTPs:
Tactics: 2
Technics: 19

IOCs:
File: 9
IP: 23
Hash: 17
Path: 4
Registry: 1
Command: 1

Soft:
Telegram, WordPress, Chrome, Firefox, Outlook, curl, Task Scheduler, Zimbra

Algorithms:
base64, sha256, gzip, sha512, sha1, xor, prng

Functions:
PowerShell, Get-Content, Get-MpComputerStatus

Win API:
AmsiOpenSession, VirtualProtectEx, WriteProcessMemory, ShowWindowAsync

Languages:
autoit, powershell, python, visual_basic, jscript, php, javascript

Platforms:
intel

YARA: Found

Links:
https://github.com/kirkderp/yara
have more...
https://github.com/CybercentreCanada/CCCS-Yara

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostWeaver — это продвинутая безфайловая PowerShell RAT, ассоциированная с группой угроз TA582, работающая через уникальные механизмы C2, использующие GZip- сжатый JSON через устаревший TLS 1.0 на порту 25658. Она использует алгоритм генерации доменов для обфускации C2, обширную операционную синхронизацию через несколько кластеров C2 и сложные методы сохранения, включая обход UAC и сбор данных с использованием Планировщика задач Windows. Вредоносное ПО избегает обнаружения, изменяя свое поведение в зависимости от конкретных антивирусных решений и загружает плагины рефлексивно из .NET DLL для выполнения задач, таких как кража учетных данных.
-----

GhostWeaver — это сложный безфайловый троян удаленного доступа (RAT) на базе PowerShell, который использует уникальный механизм командного и контрольного управления (C2), применяя GZip-сжатый JSON, передаваемый по устаревшим TLS 1.0 соединениям на порту 25658. Особенно примечателен своими скрытными операциями и техниками уклонения, включая алгоритм генерации доменов (DGA), который генерирует домены ежедневно и еженедельно, чтобы скрыть свои C2-коммуникации. Этот вредоносный код в основном доставляется через MintsLoader — систему оценки, которая различает реальные машины и виртуальные среды, гарантируя, что она нацеливается только на действительные системы.

Вредоносное ПО функционирует под эгидой группы угроз TA582, которую Mandiant называет UNC4108. Попытки деплоя GhostWeaver поддерживаются обширной инфраструктурой, состоящей из четырех кластеров C2. Текущие расследования выявили несколько узлов C2, которые активно работают с начала 2026 года. Каждый узел C2 может быстро отправлять байт-идентичные установщики постоянной загрузки на зараженные машины, демонстрируя высокую степень операционной синхронизации.

Загрузка GhostWeaver включает четыре различных режима постоянства, которые используют механизм обхода UAC, манипулируя полями блока окружения процесса (PEB) для подделки легитимных процессов Windows, тем самым уклоняясь от обнаружения программным обеспечением безопасности. Защищённая загрузка, выполняемая каждые три минуты, использует Планировщик заданий Windows, применяя обфусцированную команду PowerShell, которая собирает данные, не оставляя следов в стандартных журналах событий. Установщик для обеспечения постоянства разработан не только для установки контроля в системе, но и включает функции для противодействия обнаружению антивирусными решениями. Например, он может обнаруживать конкретные продукты AV и изменять свое поведение в зависимости от них.

Дополнительно, архитектура GhostWeaver позволяет загружать плагины рефлексивно во время выполнения из .NET DLL без оставления артефактов на диске, что улучшает его способности к скрытности. Эти плагины выполняют ряд злонамеренных действий, таких как кража учетных данных из браузеров и данных Outlook. Используемые протоколы C2 нестандартные и разработаны для уклонения от традиционных фильтров выезда, что делает обнаружение C2-трафика исключительно сложным. Вредоносное ПО также использует сложные техники разрешения DNS для обхода корпоративной фильтрации, используя закодированные в программе публичные DNS резолверы.