#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по фишингу с использованием облачного хранилища Google направляет пользователей на различные мошеннические сайты, в основном в домене .autos. В нем есть централизованная страница, которая адаптируется на основе перенаправления пользователей, используя такие тактики, как поддельные опросы и предложения о работе, для сбора личной и финансовой информации. Злоумышленники генерируют большое количество электронных писем с фишингом, используя фильтрацию на основе IP для управления доступом, что усложняет усилия по обнаружению и позволяет часто менять темы фишинга.
-----

Недавний анализ выявил продолжающуюся кампанию фишинга, использующую инфраструктуру облачного хранилища Google для перенаправления пользователей на различные мошеннические сайты, в основном размещенные в домене верхнего уровня .autos. Ключевым аспектом этой кампании является централизованная страница облачного хранилища Google, которая функционирует как центр распределения трафика. Эта страница перенаправляет пользователей на несколько сайтов фишинга, основанных на заранее определенных конфигурациях кампаний, нацеленных на жертв с помощью различных мошеннических действий, включая поддельные опросы, схемы вознаграждения, антивирусные оповещения и ложные предложения о работе.

Характер попыток фишинга заключается в том, что жертв обманом заставляют предоставить личную или финансовую информацию, часто в рамках сценариев, требующих небольшой платы за доставку или завершение опроса. После того, как пользователи заполняют опрос, часто обещающий вознаграждение, их обычно просят предоставить данные кредитной карты для оплаты стоимости доставки. Этот метод свидетельствует о нацеленности кампании на сбор конфиденциальной информации под видом законных предложений.

Что примечательно, так это адаптивность инфраструктуры фишинга; в одном домене .autos может размещаться несколько тем мошенничества, которые меняются в зависимости от перенаправления пользователя. Это означает, что злоумышленники используют централизованную серверную часть, которая позволяет плавно менять темы для фишинга, что затрудняет жертвам и мерам безопасности выявление последовательных закономерностей в использовании домена. Развертывание многочисленных одноразовых доменов в домене .autos TLD еще больше поддерживает стратегию злоумышленников, позволяя часто вносить изменения в страницы фишинга при сохранении механизма доставки.

Было замечено, что кампания привела к появлению большого количества фишинг-писем: в течение одного дня появлялись сообщения о 40-50 электронных письмах, содержащих ссылки на облачные редиректы Google. Такая тревожная скорость распространения подчеркивает эффективность методологии злоумышленников. Кроме того, конструкция перенаправителя включает механизмы ограничения доступа с одного и того же IP-адреса. Как только пользователь получает доступ к странице фишинга, последующие попытки с этого IP-адреса могут привести к ошибкам или перенаправлению на несвязанные сайты. Такое поведение предполагает использование фильтрации на основе IP или Систем распределения трафика, которые широко распространены в стратегиях вредоносного трафика, позволяя злоумышленникам управлять доступом и оптимизировать эффективность своих операций фишинга, не привлекая непосредственного внимания.

#ParsedReport #CompletenessHigh
13-03-2026

Operation CamelClone: Multi-Region Espionage Campaign Targets Government and Defense Entities Amidst Regional Tensions

https://www.seqrite.com/blog/operation-camelclone-multi-region-espionage-campaign-targets-government-and-defense-entities-amidst-regional-tensions/

Report completeness: High

Actors/Campaigns:
Camelclone (motivation: cyber_espionage, financially_motivated)

Threats:
Hoppingant
Spear-phishing_technique
Rclone_tool

Victims:
Government agencies, Defense and military organizations, Foreign affairs and international cooperation departments, Policy and diplomatic institutions, Energy and strategic resource sectors

Industry:
Government, Logistic, Military, Energy

Geo:
Chinese, Middle east, Kuwait, Russian, Italy, China, Russia, Ukraine, Africa, Morocco, Mongolia, Algeria, Ukrainian

TTPs:
Tactics: 6
Technics: 11

IOCs:
File: 12
Domain: 1
Url: 12
Command: 1
Email: 4
Hash: 13

Soft:
Telegram

Algorithms:
zip, sha256, base64, xor

Languages:
javascript, powershell

Links:
https://github.com/rclone/

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, dump: 1, code: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция CamelClone - это шпионская кампания, нацеленная на правительственный и оборонный секторы в условиях геополитической напряженности. Он использует многоуровневую цепочку заражения, начинающуюся с вредоносных ZIP-файлов, содержащих файлы LNK, которые запускают скрипты PowerShell для загрузки загрузчика JavaScript HOPPINGANT с общедоступных сайтов обмена файлами. Загрузчик выполняет команды в кодировке Base64, в конечном итоге развертывая Rclone для извлечения конфиденциальных документов, в то время как кампания демонстрирует последовательное использование аналогичных полезных нагрузок и инфраструктуры в различных странах, таких как Алжир, Монголия, Украина и Кувейт.
-----

Операция CamelClone включает в себя изощренную шпионскую кампанию, направленную против правительственных и оборонных структур во многих регионах, особенно под влиянием текущей геополитической напряженности. К основным затронутым отраслям промышленности относятся правительственные учреждения, военные организации, министерства иностранных дел и энергетический сектор. Кампания демонстрирует многогранную цепочку заражения, начинающуюся с вредоносных архивов и переходящую к запуску загрузчика JavaScript с именем HOPPINGANT.

Процесс заражения начинается с ZIP-файлов, содержащих вредоносные ярлыки и ложные изображения, имитирующие официальные правительственные документы. Например, первоначальные образцы были названы так, чтобы выдавать себя за организации из Алжира и Монголии, с содержанием, предназначенным для должностных лиц соответствующих государственных органов. Злоумышленники использовали не только локализованные темы, такие как жилищное строительство или военное сотрудничество, но и координировали свои усилия в географически связанных регионах для усиления воздействия.

Вредоносные архивы содержат файлы LNK, которые выполняют скрипты PowerShell. Эти скрипты загружают и запускают загрузчик JavaScript HOPPINGANT с общедоступного веб-сайта для обмена файлами. Загрузчик использует Windows Script Host для выполнения команд PowerShell в кодировке Base64, дополнительно извлекая полезную нагрузку, которая в конечном итоге используется для эксфильтрации данных. Конечная полезная нагрузка - это исполняемый файл Rclone, который ненадлежащим образом используется для загрузки конфиденциальных документов из систем компрометации во внешние службы хранения данных, такие как MEGA.

Злоумышленники использовали общедоступные инфраструктуры обмена файлами, а не традиционные системы управления (C2), что усложняет обнаружение с точки зрения мер безопасности. На протяжении всех кампаний, нацеленных на Алжир, Монголию, Украину и Кувейт, наблюдалось постоянное использование одних и тех же доменов хостинга и структур полезной нагрузки, что указывает на скоординированные операции. Поведение вредоносного ПО — в частности, использование Rclone — наряду с аналогичными методами кодирования, такими как шифрование XOR для хранения учетных данных, предполагает, что все наблюдаемые образцы относятся к объединенным усилиям, а не к отдельным атакам.

Хотя определить конкретного злоумышленника по-прежнему не удается, оперативные схемы указывают на тесную связь с целями сбора разведывательных данных, направленными на мониторинг дипломатических отношений и оборонных возможностей в пострадавших регионах. По мере развития кампании необходим дальнейший мониторинг ее инфраструктуры и TTP (тактики, методов и процедур), чтобы получить больше информации о вовлеченных акторах и их стратегических целях.

#ParsedReport #CompletenessMedium
14-03-2026

ForceMemo: Hundreds of GitHub Python Repos Compromised via Account Takeover and Force-Push

https://www.stepsecurity.io/blog/forcememo-hundreds-of-github-python-repos-compromised-via-account-takeover-and-force-push

Report completeness: Medium

Actors/Campaigns:
Forcememo

Threats:
Glassworm
Supply_chain_technique
Steganography_technique

Victims:
Github developers, Python open source projects, Django applications, Machine learning research projects, Streamlit dashboards, Flask apis, Pypi ecosystem users

Industry:
Financial

Geo:
Russian, Russia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.006, T1059.007, T1078, T1102, T1105, T1555

IOCs:
File: 2
IP: 9

Soft:
Django, ion of No, bject, Node.js, macOS, Flask

Wallets:
metamask

Crypto:
solana

Algorithms:
base64, aes, xor

Languages:
python, javascript

Platforms:
x64, cross-platform, arm

Links:
https://gist.github.com/tip-o-deincognito/d0d05e148e87a515f534b5a8e9ed3b36
have more...
https://github.com/search?q=lzcdrtfxyqiplpd&type=code

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ForceMemo активно компрометирует учетные записи GitHub и внедряет вредоносное ПО в репозитории Python, особенно затрагивая проекты Django и машинного обучения. Злоумышленники используют вредоносное ПО GlassWorm, чтобы получить доступ к токенам GitHub, что позволяет им добавлять запутанный вредоносный код в проекты, придавая обновлениям видимость законности. Вредоносное ПО использует канал управления блокчейном Solana для скрытных операций, нацеливаясь на конфиденциальную информацию, такую как данные криптовалютного кошелька, и демонстрируя значительную эволюцию тактики киберпреступников.
-----

Недавняя кампания, идентифицированная как ForceMemo, привела к компрометации сотен учетных записей GitHub, что привело к внедрению вредоносного ПО в многочисленные репозитории Python. Самые ранние случаи заражения были прослежены до 8 марта 2026 года, когда кампания все еще была активна и могла привести к компрометации новых репозиториев. Злоумышленники нацелены на различные проекты на базе Python, включая приложения Django и код машинного обучения, и они добавляют запутанный вредоносный код к таким критически важным файлам, как setup.py и main.py . Установка или выполнение любого кода из этих хранилищ компрометации запускает вредоносное ПО.

Процесс атаки начинается с захвата учетной записи, которому способствует вредоносное ПО GlassWorm, которое заражает разработчиков с помощью вредоносного кода Visual Studio и расширений Cursor. Как только злоумышленники получают токены GitHub с помощью модуля кражи учетных данных GlassWorm's, они могут принудительно отправлять коммиты компрометации в репозитории, добавляя свое вредоносное ПО, сохраняя при этом метаданные исходного коммита, что создает обманчивую видимость того, что обновления являются законными.

Само вредоносное ПО запутывается с использованием нескольких уровней, включая кодировку base64, сжатие zlib и шифрование XOR со статическим ключом. В нем содержатся проверки для предотвращения выполнения в системах, расположенных в России, что свидетельствует о восточноевропейских методах обеспечения оперативной безопасности в связи с киберпреступностью. Наиболее тревожной особенностью вредоносного ПО является использование блокчейна Solana в качестве канала управления (C2), что делает инструкции неизменяемыми и устойчивыми к цензуре за счет считывания URL-адресов полезной нагрузки непосредственно из транзакций.

После запуска вредоносного ПО загружается полезная нагрузка Node.js в домашний каталог жертвы и извлекает зашифрованную полезную нагрузку JavaScript с указанного URL-адреса. Эта полезная нагрузка структурирована таким образом, чтобы красть конфиденциальную информацию, в частности, нацеливаясь на данные расширений браузера, связанные с криптовалютными кошельками, что важно, учитывая продолжающиеся кражи, связанные с криптографией, в киберпреступности.

Технический анализ атаки показал, что вредоносное ПО пытается подключиться к нескольким конечным точкам Solana RPC, тем самым повышая устойчивость к отключениям инфраструктуры. Использование Solana в качестве канала C2 предназначено для скрытности, позволяя злоумышленникам передавать команды посредством транзакций по цепочке, а не обычных серверных вызовов.

Хотя несколько репозиториев были идентифицированы как подвергшиеся компрометации, включая популярные пакеты на GitHub, пользователям рекомендуется проверять наличие признаков присутствия вредоносного ПО путем поиска определенных переменных-маркеров и отслеживания необычных изменений в своих системах. Угроза, исходящая от этой кампании, усугубляется изощренным использованием технологии блокчейн, что указывает на эволюцию тактики, используемой киберпреступниками в отношении атак на supply chain программного обеспечения. Исследователи безопасности продолжают следить за ситуацией, анализируя тонкости методов работы вредоносного ПО, чтобы разработать стратегии защиты от подобных проникновений.

#ParsedReport #CompletenessHigh
10-03-2026

BlackSanta EDR-Killer: A Silent Threat Targeting Recruitment Workflows

https://www.aryaka.com/docs/reports/blacksanta-edr-killer-threat-report.pdf

Report completeness: High

Threats:
Blacksanta_tool
Dll_sideloading_technique
Edr-killer
Spear-phishing_technique
Steganography_technique
Antidebugging_technique

Victims:
Hr and recruitment personnel

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1027.003, T1033, T1036.007, T1057, T1059.001, T1071.001, T1082, T1105, have more...

IOCs:
File: 44
Domain: 6
Registry: 2
IP: 11
Path: 3

Soft:
Dropbox, SumatraPDF, Ubuntu, ASP.NET, VirtualBox, qemu xen, Hyper-V, QEMU, Xen, Windows Defender, have more...

Algorithms:
zip, aes, base64

Functions:
Get-ChildItem

Win API:
IsDebuggerPresent, CheckRemoteDebuggerPresent, GetLogicalProcessorInformation, GetComputerNameA, GetUserNameA, GetUserDefaultLocaleName, GetUserDefaultLangID

Win Services:
WebClient

Languages:
powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания BlackSanta, атрибутируемая с русскоязычным злоумышленником, использует продвинутый Целевой фишинг для нацеливания на персонал отдела кадров, в основном используя вредоносные ISO-файлы, замаскированные под резюме. Он использует многоэтапный процесс развертывания, включая DLL sideloading с помощью законного приложения, и использует методы защиты от виртуальных машин и отладки, позволяющие избежать обнаружения при сборе системной информации для обмена данными управления. Вредоносное ПО также интегрирует компоненты для нарушения работы EDR-решений и поддержания долгосрочного доступа для эксфильтрации данных, демонстрируя свой изощренный подход к постоянной компрометации и скрытности.
-----

Недавно раскрытая вредоносная кампания BlackSanta, атрибутируемая с русскоязычным злоумышленником, в первую очередь нацелена на отдел кадров и подбор персонала с помощью изощренной тактики Целевого фишинга. Вредоносные электронные письма содержат ссылки на загрузку ISO-файлов, которые маскируются под законные резюме. Во время первоначального заражения эти ISO-файлы запускают многоэтапную цепочку развертывания вредоносного ПО, которая незаметно приводит к компрометации систем. Заметный образец инфекции с надписью "Celine_Pesant.iso ," приводит к последовательности выполнения, которая включает в себя ярлык Windows, скрипты PowerShell и методы Стеганографии для извлечения скрытых данных для дальнейшего использования.

В атаке используется метод DLL sideloading, при котором законное приложение (SumatraPDF) обманом загружает вредоносную библиотеку DLL (DWrite.dll ) из того же каталога, что позволяет вредоносному ПО обходить стандартные меры безопасности. После выполнения, DWrite.dll выполняет обширную проверку системы путем сбора важных сведений об операционной системе и подготовки к взаимодействию с сервером управления (C2). Он кодирует системную информацию и передает ее как часть запроса HTTPS POST на C2, получая плацдарм для последующих вредоносных действий.

Методы защиты от виртуальных машин, анти-отладки и обхода защиты являются неотъемлемой частью операций BlackSanta's. Вредоносное ПО обнаруживает присутствие виртуальных машин или средств отладки с помощью различных проверок, включая анализ системных свойств и блоков среды обработки. Если обнаружены индикаторы сред анализа, вредоносное ПО завершает выполнение, чтобы избежать обнаружения. Кроме того, он изменяет настройки защитника Windows, отключая защитные функции, что еще больше обеспечивает необнаруженную работу.

Важнейшим компонентом этой экосистемы вредоносного ПО является BlackSanta EDR-killer, специализирующийся на решениях для обнаружения конечных точек и реагирования на них (EDR). Нейтрализуя эти средства защиты, вредоносное ПО может выполнять дополнительные полезные нагрузки незамеченным. Кампания действовала незаметно более года, демонстрируя передовые тактики, которые включают эксфильтрацию данных, HTTPS-связь с серверами C2 и использование низкоуровневых драйверов, позволяющих обходить средства контроля безопасности.

Сложная инфраструктура вредоносного ПО позволяет загружать различные компоненты, включая элементы "Принесите свой собственный драйвер" (BYOD), которые облегчают более глубокий доступ к системе. Такая тщательная согласованность методов гарантирует, что злоумышленник сохраняет постоянный контроль над системами компрометации, обеспечивая масштабную кражу данных и избегая усилий по обнаружению на протяжении всего жизненного цикла эксплуатации. Скрытный и ориентированный на закрепление характер операций BlackSanta подчеркивает растущую сложность киберугроз, нацеленных на организационную среду.

#ParsedReport #CompletenessMedium
13-03-2026

First instance of PylangGhost RAT observed on npm

https://kmsec.uk/blog/pylangghost-npm/

Report completeness: Medium

Actors/Campaigns:
Famous_chollima
Jaime9008

Threats:
Pylangghost

Victims:
Software supply chain, Npm ecosystem

Geo:
Dprk

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.006, T1071.001, T1082, T1195

IOCs:
Email: 1
Domain: 1
IP: 1
Hash: 2
File: 7
Url: 2

Soft:
curl, macOS, linux, Chrome

Algorithms:
xor, zip

Functions:
createWriteStream, setTimeout

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PylangGhost, Троянская программа для удаленного доступа, связанная с преступной хакерской группировкой FAMOUS CHOLLIMA, была обнаружена в пакетах на npm, в частности, содержащих запутанный загрузчик и вредоносные файлы JavaScript. Вредоносное ПО имеет жестко запрограммированный сервер управления (IP: 173.211.46.22, порт: 8080) и может использовать расширения Chrome для перечисления конфиденциальных данных. Такая эволюция тактики подчеркивает опасения по поводу возможностей наблюдения вредоносного ПО и вызывает тревогу по поводу безопасности в экосистемах разработки программного обеспечения.
-----

PylangGhost - это Троянская программа для удаленного доступа (RAT), о которой впервые публично сообщила Cisco Talos в июне 2025 года и которая связана с преступной хакерской группировкой FAMOUS CHOLLIMA. Недавно вредоносное ПО было замечено в конце февраля - начале марта 2026 года, когда на платформе npm (Node Package Manager) были обнаружены два пакета, связанных с пользователем по имени jaime9008, что ознаменовало его первое появление в этом репозитории. Этот инцидент свидетельствует о быстрой эволюции штамма вредоносного ПО с момента его первоначального раскрытия.

Идентифицированные пакеты — в частности, версии `react-refresh-update` и `@jaime9008/math-service` — содержали запутанный загрузчик для PylangGhost. Сканирование выявило определенные действия по загрузке внутри пакетов, с такими версиями, как `react-refresh-update v1.0.4` и `@jaime9008/math-service v1.0.2`, успешно распространяющими вредоносные файлы JavaScript, такие как `runtime.js ` и`lib.js `. Сообщалось, что размер загрузчика составляет 29 МБ, что говорит о значительной функциональности, хотя его критиковали за громоздкость в эксплуатации.

Ключевой технической деталью является инфраструктура управления (C2), связанная с PylangGhost, которая, как сообщается, жестко закодирована в файлах конфигурации вредоносного ПО. Идентифицированный IP-адрес сервера C2 - 173.211.46.22, работающий через порт 8080. Эта информация стратегически встроена в вредоносное ПО, указывая на то, что операторы внедрили постоянный метод управления зараженными системами.

Дополнительные результаты включают наличие идентификаторов расширений Chrome, связанных с PylangGhost, что подразумевает, что вредоносное ПО также может использовать расширения браузера для потенциального перечисления и захвата конфиденциальных данных. Эти особенности подчеркивают эволюционирующую тактику злоумышленника, стоящего за PylangGhost, вызывая опасения по поводу его способности к широкомасштабному наблюдению и контролю за зараженными средами. Технические детали, связанные с этим RAT, подчеркивают необходимость бдительности в экосистемах разработки программного обеспечения, особенно при мониторинге и защите пакетов npm от подобных угроз.

#ParsedReport #CompletenessMedium
16-03-2026

Four Arms, One Monster: GlassWorm Invades GitHub, NPM, VS Code and PyPI

https://opensourcemalware.com/blog/four-arms-one-monster

Report completeness: Medium

Actors/Campaigns:
Forcememo
Polinrider
Tasksjacker

Threats:
Glassworm
Supply_chain_technique
Etherhiding_technique
Beavertail
Invisibleferret
Ottercookie

Victims:
Software supply chain, Developers, Open source ecosystems, Github projects, Npm packages, Vs code extensions, Pypi packages

Industry:
Financial, E-commerce

Geo:
Russian, Moscow, Dprk

TTPs:
Tactics: 5
Technics: 0

IOCs:
IP: 15
File: 5
Url: 1

Soft:
VSCode, Node.js, BitTorrent

Wallets:
tron

Crypto:
solana

Algorithms:
xor, aes, base64

Functions:
_isRussianSystem

Languages:
javascript, python

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания GlassWorm привела к компрометации более 430 репозиториев на таких платформах, как GitHub и NPM, с помощью сложных методов обфускации Unicode, которые внедряют вредоносную полезную нагрузку в законные проекты. Злоумышленники, вероятно, из России, используют гибридную архитектуру управления с использованием блокчейна Solana, обеспечивающую надежную связь посредством неизменяемых транзакций. Эта кампания подчеркивает тревожную эволюцию атак на supply chain, когда целенаправленный таргетинг позволяет им воздействие на многочисленные проекты с помощью одного элемента компрометации.
-----

В ходе недавней кампании GlassWorm исследователи безопасности обнаружили скоординированную киберугрозу, которая оказала воздействие на более чем 430 репозиториев и пакетов на нескольких платформах, включая GitHub, NPM, PyPI и VS Code marketplace. Кампания использует сложные методы обфускации на основе Unicode для внедрения вредоносной полезной нагрузки в законные проекты. Aikido Security установила, что эта кампания была нацелена на более чем 151 репозиторий GitHub и пакеты NPM, в то время как Socket сообщила о 72 вредоносных расширениях в Open-VSX marketplace, связанных с GlassWorm. Кроме того, кампания "ForceMemo" от Step Security продемонстрировала, что сотни репозиториев Python были подвергнуты компрометации в результате захвата учетных записей и вредоносных коммитов.

Исследования указывают на общую инфраструктуру этих атак, характеризующуюся тем, что один и тот же жестко закодированный блокчейн-адрес Solana появляется в отчетах нескольких поставщиков, что указывает на единственного злоумышленника, организующего атаки на всех платформах. Операционный метод подчеркивает изменение в атаках на supply chain, когда компрометация одного элемента может воздействий на тысячи проектов.

Анализ инфраструктуры позволяет предположить, что истоки кампании GlassWorm, скорее всего, российские, с отличительными характеристиками, включая комментарии к коду на русском языке и предотвращение выполнения в российских системах. В кампании используется гибридная архитектура управления (C2), сочетающая традиционные загрузчики с блокчейном Solana. Это инновационное использование технологии блокчейн позволяет злоумышленникам выдавать команды посредством неизменяемых транзакций, которые жертвы могут считывать, что делает C2 более устойчивым к попыткам взлома.

В частности, вредоносная полезная нагрузка в репозиториях NPM и GitHub практически невидима из-за использования селекторов вариантов Unicode, кодирующих вредоносное ПО. Такая тактика обфускации позволяет избежать большинства проверок кода, позволяя злоумышленникам выполнять код на Node.js среды без обнаружения. Расширения VS Code демонстрируют аналогичное поведение, предоставляя полезную нагрузку способом, имитирующим функциональность NPM.

Злоумышленники GlassWorm продемонстрировали оперативную безопасность, намеренно исключив российские системы из-под своей атаки, что часто ассоциируется с восточноевропейскими киберпреступниками, стремящимися снизить риск внутренних последствий.

Что касается защиты, кампания подчеркивает настоятельную необходимость улучшения сотрудничества между поставщиками систем безопасности на разных платформах для улучшения обмена информацией об угрозах. Объединив усилия для мониторинга новых тенденций в поведении вредоносного ПО и методах атак и реагирования на них, сообщество по Кибербезопасности может создать более устойчивую supply chain программного обеспечения, что становится все более необходимым, поскольку злоумышленники продолжают использовать слабые места на нескольких платформах одновременно.

#ParsedReport #CompletenessHigh
16-03-2026

Analysis of Konni Group's spearphishing-Chaotalk tied threat campaign

https://www.genians.co.kr/blog/threat_intelligence/kakaotalk

Report completeness: High

Actors/Campaigns:
Konni (motivation: information_theft)
Poseidon

Threats:
Spear-phishing_technique
Endrat
Rftrat
Remcos_rat

Victims:
Human rights community, Government sector, General users of kakaotalk

Industry:
Government, Healthcare

Geo:
Japan, North korea, Japanese, Finland, Netherlands, North korean

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1041, T1053.005, T1056.001, T1059.001, T1059.003, T1071.001, T1082, have more...

IOCs:
File: 5
Path: 15
Domain: 1
Command: 2
IP: 4
Hash: 7

Soft:
KakaoTalk, Android, task scheduler

Algorithms:
exhibit, md5, rc4, zip, xor

Functions:
GETFILELIST, SCANDIRECTORY, DOWNLOADPROCESS

Languages:
autoit, powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 1, code: 3, dump: 3, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейская APT-компания Konni Group проводит кампанию Целевого фишинга, используя вредоносные файлы LNK, замаскированные под PDF-документы, для получения первоначального доступа. Эти файлы выполняют скрипты PowerShell, которые загружают и устанавливают различные RAT, такие как EndRAT и RemcosRAT, обеспечивая длительный несанкционированный доступ к внутренним системам и данным. Злоумышленники также используют приложение KakaoTalk для распространения вредоносного ПО среди контактов, используя модульный подход к развертыванию полезной нагрузки и децентрализованную инфраструктуру управления.
-----

Konni Group, атрибутируемая с северокорейской сложной целенаправленной угрозой (APT), была вовлечена в изощренную кампанию Целевого фишинга, которая использует тактику социальной инженерии для компрометации целевых лиц. Первоначальный доступ осуществляется с помощью электронных писем, Маскировок под приглашения для участия в заседаниях по правам человека в Северной Корее, что приводит к запуску вредоносных файлов LNK. Эти файлы служат в качестве дропперов, которые загружают и устанавливают удаленно управляемое вредоносное ПО, предоставляя злоумышленникам длительный доступ для несанкционированного сбора информации, в частности внутренних документов.

После успешного проникновения в систему жертвы Konni Group использует компьютерное приложение KakaoTalk жертвы для распространения вредоносного ПО среди выбранных контактов в их списке друзей. Это использует основанный на доверии механизм распространения вредоносного ПО под видом законного контента, связанного с Северной Кореей, демонстрируя многоступенчатый подход к распространению. Кампания направлена не только на первичное заражение, но и охватывает угрозы, исходящие от установленных ПО для удаленного доступа (RATs), таких как EndRAT, RftRAT и RemcosRAT, которые вводятся в действие одновременно для установления контроля над компрометацией систем.

Технический анализ позволил получить представление о структуре файлов LNK, которые при запуске вызывают PowerShell для выполнения ряда действий: расшифровывают скрытые данные, загружают дополнительную полезную нагрузку с сервера управления (C2) и регистрируют вредоносное ПО для целей закрепления с помощью планировщика задач Windows. Артефакты указывают на то, что файлы LNK были разработаны таким образом, чтобы маскироваться под PDF-документы, заставляя пользователя выполнять их, в то же время незаметно загружая вредоносные скрипты, которые облегчают работу и обслуживание вредоносного ПО.

Кроме того, инфраструктура C2 работает через децентрализованную сеть, поддерживая множество IP-адресов из-за пределов Европы. Такая многонациональная структура усиливает их тактику уклонения и устойчивость инфраструктуры. Операционный фреймворк указывает на модульный подход к развертыванию вредоносного ПО, при котором дополнительная полезная нагрузка доставляется после заражения, позволяя злоумышленникам адаптироваться к меняющимся методам обнаружения.

Защитные меры против угроз такого типа основаны на системах обнаружения, основанных на поведении, которые позволяют отслеживать создание нестандартных процессов, манипуляции с запланированными задачами и любые попытки обмена данными с известными адресами C2. Основное внимание уделяется снижению рисков, связанных с долговременными угрозами, и защите приложений обмена сообщениями от несанкционированного использования.