#ParsedReport #CompletenessMedium
11-03-2026

Cracker of secrets: F6 investigated a new version of the Android Trojan Falcon

https://www.f6.ru/blog/falcon-rat/

Report completeness: Medium

Threats:
Falconrat
Killbot
Anubis
Mamont_spy
Nfcgate_tool

Victims:
Banking, Investment funds, Government services, Mobile operators, Marketplaces, Social networks, Messengers, App stores, Free classifieds services, Contactless payments, have more...

Industry:
Financial, E-commerce, Government

Geo:
Russia, Russian, Chinese, Australia

ChatGPT TTPs:
do not use without manual check
T1409, T1412, T1417, T1418, T1422, T1444, T1454, T1476, T1516

IOCs:
Url: 5
Hash: 12
File: 2

Soft:
Android, Telegram, RuStore, Google Play, VKontakte, Viber, WhatsApp

Algorithms:
sha256, sha1, rc4, md5

Functions:
USSD, removeApp, SelfDefense, UpdateData, Insert_Or_Update_Bot_Info, getJSONArrayOfUIElems

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянец Falcon, особенно его последняя версия FalconRAT, стал серьезной угрозой для пользователей Android в России, воздействие на более чем 10 000 устройств по состоянию на начало 2026 года. Этот банковский троян маскируется под легальные приложения, использует методы веб-инъекций для кражи учетных данных и использует дроппер для установки с помощью тактики фишинга. Он собирает конфиденциальные данные, включая SMS-сообщения для двухфакторной аутентификации, и обладает функциями самосохранения, позволяющими избежать удаления, при этом намеренно избегая целей в определенных регионах, таких как США и Австралия.
-----

Троянец Falcon, в частности его последняя версия, известная как FalconRAT, стал серьезной угрозой для пользователей Android, особенно в России. Обнаруженный в конце 2025 года, этот банковский троянец был подключен к более чем 10 000 устройствам для компрометации к началу 2026 года. Аналитики сообщают, что в этой версии представлены улучшения по сравнению с предыдущими версиями, такие как включение модуля VNC для удаленного управления и механизмов эксфильтрации данных через Телеграм.

FalconRAT работает путем Маскировки под законные приложения различных банков, государственных служб и платежных платформ, способствуя краже данных в более чем 30 целевых приложениях, включая крупнейшие российские финансовые учреждения и платформы Социальных сетей. Чтобы получить учетные данные пользователя, Falcon использует технологию веб-внедрения, которая имитирует интерфейс легальных сервисов, побуждая пользователей неосознанно вводить свои регистрационные данные и коды двухфакторной аутентификации непосредственно в формы, контролируемые вредоносным ПО.

После установки Falcon использует приложение-дроппер, которое инициирует загрузку вредоносного ПО, часто распространяемого с помощью тактики фишинга. Процесс установки включает в себя запрос пользователям разрешений, которые затем используются для операционных нужд троянца. Анализ кода вредоносного ПО показывает, что оно автоматизирует этот процесс предоставления разрешений, используя элементы пользовательского интерфейса для выполнения кликов, которые кажутся пользователю безобидными.

FalconRAT собирает конфиденциальную информацию, включая SMS-сообщения для двухфакторной аутентификации, протоколирует звонки и входящие сообщения для дальнейшего использования. Примечательно, что при обнаружении определенных системных действий, таких как попытки удалить приложение или проверить установленные приложения, вредоносное ПО использует различные стратегии, чтобы помешать вмешательству пользователя, включая скрытие интерфейсов и перенаправление действий пользователя обратно на главный экран.

Кроме того, вредоносное ПО может отправлять индивидуальные или массовые SMS-сообщения с устройств компрометации, позволяя своим операторам распространять угрозу дальше. Приложение обладает механизмами самосохранения, что делает его устойчивым к удалению и встроенному антивирусному обнаружению на устройствах Android. Важно отметить, что его поведение предполагает намеренный обход, чтобы избежать нацеливания на пользователей из определенных регионов, таких как США и Австралия, что указывает на уровень оперативной секретности злоумышленников.

Чтобы снизить риски, связанные с FalconRAT, эксперты по безопасности рекомендуют соблюдать осторожность, например, избегать неизвестных контактов, загружать приложения только из признанных официальных магазинов и тщательно проверять разрешения, запрашиваемые установленными приложениями. Пользователям следует проявлять бдительность в отношении ненормального поведения устройств, которое может указывать на наличие такого вредоносного ПО. Эти выводы подчеркивают меняющийся ландшафт киберугроз и изощренные методы, используемые злоумышленниками для использования уязвимостей в поведении пользователей и безопасности устройств.

#ParsedReport #CompletenessLow
11-03-2026

RondoDox Botnet: From Zero to 174 Exploited Vulnerabilities

https://www.bitsight.com/blog/rondodox-botnet-infrastructure-analysis

Report completeness: Low

Threats:
Rondodox
Rapperbot
Mirai
Xmrig_miner
React2shell_vuln

Victims:
Iot devices, Internet exposed services, Residential isp customers

Industry:
Ics, Telco, Iot, Media

Geo:
Sweden, America, Tunisia, Canada, Brazil, Netherlands, Germany, Iran, China, Congo, Russia

CVEs:
CVE-2025-37164 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- hpe oneview (le10.20.00)

CVE-2025-32756 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortimail (<7.0.9, <7.2.8, <7.4.5, <7.6.3)
- fortinet fortindr (<7.0.7, <7.2.5, <7.4.8, 1.1.0, 1.2.0)
- fortinet fortirecorder (<6.4.6, <7.0.6, <7.2.4)
- fortinet fortivoice (<6.4.11, <7.0.7, 7.2.0)

CVE-2023-46604 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)

CVE-2025-52089 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- totolink n300rb_firmware (8.54)

CVE-2025-24016 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- wazuh (<4.9.1)

CVE-2025-24893 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- xwiki (<15.10.11, <16.4.1, 5.3)

CVE-2025-57296 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tenda ac6_firmware (15.03.05.19)

CVE-2025-47812 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- wftpserver wing_ftp_server (<7.4.4)

CVE-2025-62593 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2025-48827 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vbulletin (le5.7.5, le6.0.3)

CVE-2025-20281 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco identity_services_engine (3.3.0, 3.4.0)
- cisco identity_services_engine_passive_identity_connector (3.3.0, 3.4.0)


ChatGPT TTPs:
do not use without manual check
T1037, T1059.004, T1105, T1190, T1496, T1595

IOCs:
File: 1
Domain: 2
IP: 37
Hash: 1

Soft:
Twitter, Android

Platforms:
m68k, mips

Links:
https://github.com/ray-project/ray/security/advisories/GHSA-q279-jhrf-cc6v
https://github.com/bitsight-research/threat\_research/tree/main/rondodox
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет RondoDox использовал 174 уязвимости, достигая максимума в 15 000 попыток эксплуатации ежедневно, и в основном использует для компрометации IP-адреса резидентов. Он нацелен на устройства с уязвимостями Удаленного Выполнения Кода (RCE), выполняя сценарий оболочки для инициирования различных вредоносных действий, включая запуск майнера XMRig. Недавно ботнет перешел к более целенаправленному подходу к эксплуатации, сосредоточив внимание на новых уязвимостях, таких как CVE-2023-46604 и CVE-2025-55182, с признаками постоянного совершенствования методов эксплуатации.
-----

Ботнет RondoDox привлек к себе внимание благодаря широкому использованию эксплойтов, в которых, как сообщается, реализовано 174 различных уязвимости, что является заметной фигурой в области киберугроз. Этот ботнет продемонстрировал агрессивное поведение, достигнув максимума в 15 000 попыток эксплуатации за один день, и, по-видимому, использует IP-адреса с компрометацией как часть своей инфраструктуры. Злоумышленники, стоящие за RondoDox, активно отслеживают информацию об уязвимостях и сумели использовать некоторые уязвимости до их публикации Common Vulnerability and Exposure (CVE). Первоначально применяя точечный метод эксплуатации, акторы переходят к более целенаправленному подходу, фокусируясь на недавних уязвимостях.

Цепочка заражения RondoDox отражает множество других ботнет, в частности Mirai; однако его основная функция заключается в выполнении атак типа "Отказ в обслуживании" (DoS), а не в сканировании и эксплуатации различных систем, как это делает Mirai. RondoDox работает путем сканирования устройств с уязвимостями Удаленного Выполнения Кода (RCE) для извлечения и выполнения сценария оболочки на целевом устройстве. В качестве примера приводится эксплойт, нацеленный на не прошедшую проверку подлинности уязвимость RCE в устройствах Linksys. После запуска вредоносное ПО выполняет различные действия, такие как попытка удалить другое вредоносное ПО, настройка закрепления и запуск майнера XMRig для дальнейшего использования системы.

Анализ инфраструктуры RondoDox's показывает зависимость как от ее фреймворка для эксплуатации, так и от возможностей хостинга. Показатели активности RondoDox's включают постоянное использование термина "rondo" в скриптах и заметные Адреса эл. почты в заголовках User-Agent. Работа ботнет охватывает множество IP-адресов, классифицированных либо как эксплуатирующая, либо как хостинговая инфраструктура, в основном полученная от известных хостинг-провайдеров, которые принимают платежи в криптовалюте. Дополнительное наблюдение указывает на подозрительные открытые сервисы на некоторых жилых IP-адресах, намекая на потенциальную компрометацию.

Эволюция ботнете RondoDox демонстрирует заметное сокращение числа эксплуатируемых уязвимостей, сократившись примерно с 40 обнаруженных уязвимостей до всего двух по состоянию на начало января 2026 года. Это изменение подчеркивает адаптацию злоумышленников к использованию новых уязвимостей, таких как CVE-2023-46604 и CVE-2025-55182, последняя из которых была использована всего через несколько дней после ее раскрытия. Примечательно, что некоторые уязвимости демонстрировали проблемы при внедрении эксплойтов, что говорит о том, что злоумышленники все еще совершенствуют свои методы эксплуатации.

Хотя появились заявления об использовании RondoDox инфраструктур "Загрузчик как услуга" и возможностей распределенного командования и контроля (C2), они были встречены скептически. Расследования показывают, что некоторые показатели могут не отражать злонамеренный умысел и вместо этого указывать на использование компрометации, но обычных хостов для размещения и контроля функций.

#ParsedReport #CompletenessLow
11-03-2026

PixRevolution: The Agent-Operated Android Trojan Hijacking Brazils PIX Payments in Real Time

https://zimperium.com/blog/pixrevolution-the-agent-operated-android-trojan-hijacking-brazils-pix-payments-in-real-time

Report completeness: Low

Threats:
Pixrevolution

Victims:
Financial institutions, Mobile banking users

Industry:
Financial, Government

Geo:
Ita, Brazil, Polish, Portuguese, Brazilian, India, Brasil

TTPs:
Tactics: 7
Technics: 10

Soft:
Android, Google Play

Algorithms:
base64

Functions:
onInstallFinished, isEditable, dispatchGesture, getBoundsInScreen

Links:
https://github.com/Zimperium/IOC/tree/master/2026-03-PixRevolution

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PixRevolution - это банковский троян для Android, нацеленный на бразильскую платежную систему PIX, использующий ее мгновенный характер транзакций для перехвата средств в режиме реального времени. Он использует тактику обмана, представляя поддельный экран загрузки во время транзакций, и привлекает людей-операторов для манипулирования процессом именно в моменты подтверждения. Вредоносное ПО проникает на устройства через поддельные списки приложений, отслеживает изменения пользовательского интерфейса для финансовой активности и осуществляет захват экрана в режиме реального времени, чтобы облегчить мошенническое перенаправление платежей, что делает его адаптируемым и сложным для статической защиты.
-----

PixRevolution - это новый банковский троян для Android, нацеленный на бразильскую систему мгновенных платежей PIX. Он перехватывает средства во время транзакций в режиме реального времени с необходимым привлечением операторов-людей или искусственного интеллекта. Вредоносное ПО активируется, когда пользователь инициирует перевод PIX, отображая поддельный индикатор загрузки при перенаправлении платежей злоумышленникам. Заражение обычно происходит через поддельные страницы магазина Google Play. Некоторые варианты вредоносного ПО действуют как дропперы, автоматически устанавливая троянца с помощью Android PackageInstaller API. После установки он прослушивает события устройства и отслеживает изменения пользовательского интерфейса для финансовых транзакций, используя MediaProjection API для Захвата экрана в режиме реального времени. Когда транзакция обнаружена, она накладывает счетчик загрузки, изменяет информацию о получателе и имитирует нажатие подтверждения. PixRevolution адаптируется к различным макетам приложений без использования жестко заданного списка целевых объектов. Его сложная модель взаимодействия с людьми повышает эффективность атак, противодействуя традиционным мерам безопасности. Это вредоносное ПО создает значительные риски необратимых финансовых потерь для пользователей, что требует срочного обнаружения и вмешательства.

#ParsedReport #CompletenessMedium
11-03-2026

APT Profile Earth Lusca

https://www.cyfirma.com/research/apt-profile-earth-lusca/

Report completeness: Medium

Actors/Campaigns:
Earth_lusca (motivation: information_theft, cyber_espionage, financially_motivated)
Winnti

Threats:
Spyder
Sodamaster
Shadowpad
Xdealer
Reshell
Ktlvdoor
Cobalt_strike_tool
Spear-phishing_technique
Steganography_technique
Credential_dumping_technique
Dcsync_technique

Victims:
Government, Media, Telecommunications, Academic organizations, Religious organizations, Cryptocurrency platforms, Technology

Industry:
Government, Telco

Geo:
Asia-pacific, China, Asia

CVEs:
CVE-2024-23897 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- jenkins (<2.426.3, <2.442)

CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1809 (<10.0.17763.5458)
- microsoft windows_10_21h2 (<10.0.19044.4046)
- microsoft windows_10_22h2 (<10.0.19045.4046)
- microsoft windows_11_21h2 (<10.0.22000.2777)
- microsoft windows_11_22h2 (<10.0.22621.3155)
have more...
CVE-2022-21587 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle e-business_suite (le12.2.11)

CVE-2023-32315 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- igniterealtime openfire (<4.6.8, <4.7.5)

CVE-2016-5195 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- canonical ubuntu_linux (12.04, 14.04, 16.04, 16.10)

CVE-2021-22555 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- netapp c400_firmware (-)


TTPs:
Tactics: 13
Technics: 44

Soft:
CHROMIUM, Linux, Openfire, Jenkins, Windows Service

Languages:
visual_basic, javascript, powershell, java, python

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Earth Lusca, связанная с Китаем APT-группировка, действующая с 2019 года, фокусируется на кибершпионаже в таких секторах, как правительство и телекоммуникации, а также нацелена на криптовалютные платформы для получения финансовой выгоды. Его расширяющийся арсенал вредоносного ПО включает KTLVdoor, мультиплатформенный бэкдор в Go с расширенной защитой от обфускации, который позволяет удаленно выполнять команды как в системах Windows, так и в Linux, и использует установленное вредоносное ПО, такое как ShadowPad и Cobalt Strike. Группа использует сложные методы управления с ротацией облачных серверов, используя методы фреймворка MITRE ATT&CK для постоянного доступа и устойчивого сбора разведывательной информации.
-----

Earth Lusca, также известная как FishMonger, представляет собой связанную с Китаем APT-группировку, которая действует с 2019 года. Группа в первую очередь занимается кибершпионажем, нацеленным на различные секторы, включая правительство, СМИ, телекоммуникации, научные круги и религиозные организации, а также проводит финансово мотивированные атаки на криптовалютные платформы. Его деятельность отражает значительную зависимость от известных семейств вредоносного ПО и передовых технологий, часто связанных с другими группами, такими как APT41 и Winnti Group, хотя Earth Lusca, по-видимому, действует независимо.

Недавние действия Earth Lusca свидетельствуют об эволюции ее арсенала вредоносного ПО, особенно с внедрением KTLVdoor. Этот мультиплатформенный бэкдор, написанный на Go, использует передовые методы запутывания и может маскироваться под законные системные утилиты, такие как sshd и java. Бэкдор предоставляет злоумышленникам широкие возможности, включая удаленное выполнение команд, сканирование портов, манипулирование файлами и мониторинг системы как в системах Windows, так и в Linux. Оперативная деятельность группы по-прежнему сосредоточена на скрытности и закреплении, что имеет решающее значение для ее долгосрочных целей шпионажа.

Несмотря на интеграцию новых инструментов, Earth Lusca продолжает использовать набор установленных вредоносных ПО, таких как ShadowPad, Winnti, Spyder и Cobalt Strike, для поддержания доступа и эксфильтрации данных. Эти инструменты являются модульными и расширяют возможности злоумышленников выполнять удаленные команды, проводить разведку и доставлять дополнительную полезную нагрузку. Целевая стратегия группы особенно ярко выражена в Азиатско-Тихоокеанском регионе, с акцентом на секторы, связанные с конфиденциальной политической, экономической или технологической информацией, подчеркивая их цели, связанные со сбором разведывательных данных.

Для поддержки своей деятельности Earth Lusca разработала сложную архитектуру управления (C2), которая включает в себя несколько серверов, управляемых через облачных провайдеров. Такое расположение обеспечивает быструю ротацию инфраструктуры, усложняя усилия по обнаружению с помощью мер безопасности. Более того, группа использует передовые методы обфускации и антианализа, такие как шифрование сообщений и переименование функций в своих двоичных файлах вредоносного ПО, чтобы препятствовать обратному проектированию и продлить эффективность своих инструментов.

Методы атак, используемые Earth Lusca, тесно связаны с фреймворком MITRE ATT&CK в различных категориях, включая первоначальный доступ с помощью spear phishing и использование общедоступных приложений, закрепление с помощью таких методов, как запланированные задачи и сервисы, и стратегии эксфильтрации данных с использованием облачных хранилищ. Системный подход группы делает упор на постоянный доступ к сетям компрометации и подчеркивает ее долгосрочные цели шпионажа, а не сиюминутную финансовую выгоду, что позволяет осуществлять постоянный сбор конфиденциальной информации.

#ParsedReport #CompletenessLow
12-03-2026

Contagious Interview: Malware delivered through fake developer job interviews

https://www.microsoft.com/en-us/security/blog/2026/03/11/contagious-interview-malware-delivered-through-fake-developer-job-interviews/

Report completeness: Low

Actors/Campaigns:
Contagious_interview (motivation: information_theft)

Threats:
Ottercookie
Invisibleferret
Beavertail
Flexibleferret

Victims:
Software development, Media and communications

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 2

Soft:
Microsoft Defender, Visual Studio Code, KeePass, 1Password, macOS, Node.js, curl, Microsoft Defender for Endpoint, qemu, virtualbox, have more...

Algorithms:
exhibit

Languages:
javascript, python, powershell

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Contagious Interview использует социальную инженерию для нацеливания на разработчиков программного обеспечения путем внедрения вредоносного ПО в доверенные сценарии подбора персонала, в первую очередь с использованием бэкдора под названием OtterCookie, который используется для масштабной кражи данных и удаленных операций. Злоумышленники также используют облегченный агент-маячок для сбора системной информации и контроля удаленных команд с помощью безобидных на вид модулей npm, облегчающих Регистрацию нажатий клавиш и эксфильтрацию данных. Кампания подчеркивает тенденцию к развитию методов атак, которые используют доверие разработчиков, создавая значительные риски для корпоративной безопасности и целостности данных.
-----

Кампания Contagious Interview нацелена на разработчиков программного обеспечения с помощью социальной инженерии, используя сценарии вербовки для запуска вредоносных пакетов. Он действует с декабря 2022 года. Злоумышленники используют доверие разработчиков к таким инструментам, как Visual Studio Code, для распространения вредоносного ПО. Основной бэкдор, OtterCookie, представляет собой вариант JavaScript, способный к масштабной краже данных и передаче команд и контроля. Он поддерживает выполнение произвольного кода и проверки среды. Облегченный агент-маячок собирает системную информацию и выполняет удаленные команды. В Windows он перечисляет учетные данные, в то время как в macOS он находит конфиденциальные файлы, избегая общих системных каталогов. OtterCookie использует Node.js фреймворк для сбора криптографических ключей и исходного кода, эксфильтрации данных с помощью замаскированных HTTP-запросов. В кампании также используется бэкдор на Python под названием Invisible Ferret для удаленного выполнения команд и другой под названием FlexibleFerret, который использует тактику социальной инженерии. Качество вредоносного ПО указывает на переход злоумышленников к методам быстрой разработки. Кампания подчеркивает значительные риски, связанные с нацеливанием на разработчиков и использованием уязвимостей для обширного сбора данных.

#ParsedReport #CompletenessHigh
12-03-2026

MicroStealer Analysis: A Fast-Spreading Infostealer with Limited Detection

https://any.run/cybersecurity-blog/microstealer-technical-analysis/

Report completeness: High

Threats:
Microstealer
Junk_code_technique
Zelix_klassmaster_technique
Credential_dumping_technique

Victims:
Education, Telecommunications

Industry:
Financial, Healthcare, Telco, Education

Geo:
Germany

TTPs:
Tactics: 9
Technics: 16

IOCs:
Domain: 16
File: 39
Command: 2
Path: 1
Url: 2
Hash: 4

Soft:
Node.js, Steam, Linux, Android, Electron, Discord, Dropbox, NSIS installer, Windows Task Scheduler, Opera, have more...

Wallets:
metamask, coinbase, exodus_wallet, electrum, atomicwallet, jaxx

Crypto:
ethereum

Algorithms:
sha1, md5, zip, sha256

Functions:
InitializeStringTable, GetString, readFi, Robot, getToken

Win API:
SeDebugPrivilege, Rectangle, DuplicateToken, ImpersonateLoggedOnUser

Languages:
java, powershell, javascript

Links:
https://github.com/horsicq/Detect-It-Easy
have more...
https://github.com/NationalSecurityAgency/ghidra

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MicroStealer - это сложный стиллер информации, идентифицируемый с декабря 2022 года, использующий многоуровневый механизм доставки, включающий NSIS и Java, что усложняет усилия по обнаружению. Он нацелен на учетные данные браузера и данные сеанса, используя такие методы, как внедрение JS для кражи учетных данных, и работает скрытно через действительные пользовательские сеансы. Вредоносное ПО сохраняется через планировщик задач Windows, проводит проверки среды, чтобы избежать обнаружения, и использует Windows DPAPI и LSASS для извлечения учетных данных, демонстрируя обширные меры защиты от анализа.
-----

MicroStealer - это сложный стиллер информации, который приобрел заметную популярность с момента своего первого обнаружения в декабре 2022 года. Он демонстрирует многоуровневый механизм доставки с использованием NSIS (Nullsoft Scriptable Install System) и Java, что усложняет традиционные усилия по обнаружению. Расследования в области безопасности показывают, что вредоносное ПО использует хитрую цепочку доставки через компрометацию или выданные за себя учетные записи, в первую очередь затрагивая такие секторы, как образование и телекоммуникации.

Основными целями вредоносного ПО являются учетные данные браузера и конфиденциальные данные сеанса. Он собирает информацию в веб-браузерах, работает скрытно через действительные пользовательские сеансы, используя украденные файлы cookie, и отправляет данные на серверы, контролируемые злоумышленниками, включая Discord. Примечательно, что MicroStealer может делать снимки экрана и извлекать учетные данные как из стандартных веб-браузеров, так и из приложений для криптовалютных кошельков, используя такие методы, как внедрение JS, для облегчения кражи учетных данных пользователя.

Статический анализ показывает, что процесс выполнения MicroStealer's начинается с установщика NSIS — RocobeSetup, который распаковывает вредоносный JAR—файл. Этот JAR-файл запускается в фоновом режиме после завершения процесса установки, что позволяет вредоносному ПО избежать обнаружения на начальном этапе. Использование Electron для загрузчика добавляет еще один уровень запутывания, эффективно обходя методы статического анализа, которые могли бы выявить его присутствие.

MicroStealer сохраняется через планировщик задач Windows, позволяя его автоматическое выполнение при входе пользователя в систему. Кроме того, он пытается получить повышенные привилегии, используя тактику социальной инженерии, чтобы предоставить пользователю запрос на контроль учетных записей пользователей (UAC). Он также проводит проверки среды, чтобы прекратить свое выполнение, если обнаруживает виртуальную машину, тем самым ограничивая усилия по анализу.

Кража учетных данных выполняется с использованием Windows DPAPI для доступа к защищенной информации из различных браузеров на базе Chromium, Opera и Opera GX. Вредоносное ПО дополнительно использует взаимодействие с LSASS (службой подсистемы локальных органов безопасности) для захвата токенов безопасности, если определенные средства защиты отключены. Кроме того, он профилирует активность жертв на таких платформах, как Discord и Steam, чтобы определить приоритеты целей для эксплуатации.

Динамика работы MicroStealer's подчеркивает важность стратегий быстрого обнаружения. Ранний мониторинг подозрительной инфраструктуры и методы эксфильтрации данных могут помочь выявить компрометации до того, как вредоносное ПО полностью задействует свои возможности. Учитывая сложное поведение стиллера и меры по противодействию анализу, эффективные методы поиска угроз и реагирования на инциденты имеют решающее значение для смягчения его воздействия на корпоративную среду.

#ParsedReport #CompletenessHigh
12-03-2026

You've been visited by a Labooboo extortionist: Toy Ghouls encrypt Russian companies' data

https://securelist.ru/toy-ghouls/114942/

Report completeness: High

Actors/Campaigns:
Bearlyfy (motivation: financially_motivated, hacktivism)
Head_mare (motivation: hacktivism)

Threats:
Lockbit
Redalert
Babuk
1c-shell_tool
Nssm_tool
Wevtutil_tool
Localtonet_tool
Cloudflared_tool
Fscan_tool
Netscan_tool
Ad_explorer_tool
Ntdsutil_tool
Paexec_tool
Minidump_tool
Mimikatz_tool
Passthehash_technique
Dcsync_technique
Devolutions_remote_desktop_tool
Meshagent_tool
Rudesktop_tool
Anydesk_tool
Shadow_copies_delete_technique
Phantomproxylite_tool

Victims:
Russian organizations, Oil and gas sector, Food service sector

Industry:
Foodtech, Petroleum

Geo:
Russian

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 22
Path: 3
Command: 1
Email: 5
IP: 5
Domain: 4
Hash: 22

Soft:
Linux, ESXI, OpenSSH, rsocx, Sysinternals, Active Directory, PsExec, Hyper-V, Windows shell, SoftPerfect network scanner, have more...

Algorithms:
zip, chacha20, poly1305, salsa20, ntruencrypt

Functions:
Get-VM

Win Services:
ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, xfssvccon, mydesktopservice, ocautoupds, encsvc, tbirdconfig, have more...

Languages:
powershell, golang

Platforms:
x86, intel