#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания BlackSanta, атрибутируемая с русскоязычным злоумышленником, использует продвинутый Целевой фишинг для нацеливания на персонал отдела кадров, в основном используя вредоносные ISO-файлы, замаскированные под резюме. Он использует многоэтапный процесс развертывания, включая DLL sideloading с помощью законного приложения, и использует методы защиты от виртуальных машин и отладки, позволяющие избежать обнаружения при сборе системной информации для обмена данными управления. Вредоносное ПО также интегрирует компоненты для нарушения работы EDR-решений и поддержания долгосрочного доступа для эксфильтрации данных, демонстрируя свой изощренный подход к постоянной компрометации и скрытности.
-----

Недавно раскрытая вредоносная кампания BlackSanta, атрибутируемая с русскоязычным злоумышленником, в первую очередь нацелена на отдел кадров и подбор персонала с помощью изощренной тактики Целевого фишинга. Вредоносные электронные письма содержат ссылки на загрузку ISO-файлов, которые маскируются под законные резюме. Во время первоначального заражения эти ISO-файлы запускают многоэтапную цепочку развертывания вредоносного ПО, которая незаметно приводит к компрометации систем. Заметный образец инфекции с надписью "Celine_Pesant.iso ," приводит к последовательности выполнения, которая включает в себя ярлык Windows, скрипты PowerShell и методы Стеганографии для извлечения скрытых данных для дальнейшего использования.

В атаке используется метод DLL sideloading, при котором законное приложение (SumatraPDF) обманом загружает вредоносную библиотеку DLL (DWrite.dll ) из того же каталога, что позволяет вредоносному ПО обходить стандартные меры безопасности. После выполнения, DWrite.dll выполняет обширную проверку системы путем сбора важных сведений об операционной системе и подготовки к взаимодействию с сервером управления (C2). Он кодирует системную информацию и передает ее как часть запроса HTTPS POST на C2, получая плацдарм для последующих вредоносных действий.

Методы защиты от виртуальных машин, анти-отладки и обхода защиты являются неотъемлемой частью операций BlackSanta's. Вредоносное ПО обнаруживает присутствие виртуальных машин или средств отладки с помощью различных проверок, включая анализ системных свойств и блоков среды обработки. Если обнаружены индикаторы сред анализа, вредоносное ПО завершает выполнение, чтобы избежать обнаружения. Кроме того, он изменяет настройки защитника Windows, отключая защитные функции, что еще больше обеспечивает необнаруженную работу.

Важнейшим компонентом этой экосистемы вредоносного ПО является BlackSanta EDR-killer, специализирующийся на решениях для обнаружения конечных точек и реагирования на них (EDR). Нейтрализуя эти средства защиты, вредоносное ПО может выполнять дополнительные полезные нагрузки незамеченным. Кампания действовала незаметно более года, демонстрируя передовые тактики, которые включают эксфильтрацию данных, HTTPS-связь с серверами C2 и использование низкоуровневых драйверов, позволяющих обходить средства контроля безопасности.

Сложная инфраструктура вредоносного ПО позволяет загружать различные компоненты, включая элементы "Принесите свой собственный драйвер" (BYOD), которые облегчают более глубокий доступ к системе. Такая тщательная согласованность методов гарантирует, что злоумышленник сохраняет постоянный контроль над системами компрометации, обеспечивая масштабную кражу данных и избегая усилий по обнаружению на протяжении всего жизненного цикла эксплуатации. Скрытный и ориентированный на закрепление характер операций BlackSanta подчеркивает растущую сложность киберугроз, нацеленных на организационную среду.

#ParsedReport #CompletenessMedium
13-03-2026

First instance of PylangGhost RAT observed on npm

https://kmsec.uk/blog/pylangghost-npm/

Report completeness: Medium

Actors/Campaigns:
Famous_chollima
Jaime9008

Threats:
Pylangghost

Victims:
Software supply chain, Npm ecosystem

Geo:
Dprk

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.006, T1071.001, T1082, T1195

IOCs:
Email: 1
Domain: 1
IP: 1
Hash: 2
File: 7
Url: 2

Soft:
curl, macOS, linux, Chrome

Algorithms:
xor, zip

Functions:
createWriteStream, setTimeout

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PylangGhost, Троянская программа для удаленного доступа, связанная с преступной хакерской группировкой FAMOUS CHOLLIMA, была обнаружена в пакетах на npm, в частности, содержащих запутанный загрузчик и вредоносные файлы JavaScript. Вредоносное ПО имеет жестко запрограммированный сервер управления (IP: 173.211.46.22, порт: 8080) и может использовать расширения Chrome для перечисления конфиденциальных данных. Такая эволюция тактики подчеркивает опасения по поводу возможностей наблюдения вредоносного ПО и вызывает тревогу по поводу безопасности в экосистемах разработки программного обеспечения.
-----

PylangGhost - это Троянская программа для удаленного доступа (RAT), о которой впервые публично сообщила Cisco Talos в июне 2025 года и которая связана с преступной хакерской группировкой FAMOUS CHOLLIMA. Недавно вредоносное ПО было замечено в конце февраля - начале марта 2026 года, когда на платформе npm (Node Package Manager) были обнаружены два пакета, связанных с пользователем по имени jaime9008, что ознаменовало его первое появление в этом репозитории. Этот инцидент свидетельствует о быстрой эволюции штамма вредоносного ПО с момента его первоначального раскрытия.

Идентифицированные пакеты — в частности, версии `react-refresh-update` и `@jaime9008/math-service` — содержали запутанный загрузчик для PylangGhost. Сканирование выявило определенные действия по загрузке внутри пакетов, с такими версиями, как `react-refresh-update v1.0.4` и `@jaime9008/math-service v1.0.2`, успешно распространяющими вредоносные файлы JavaScript, такие как `runtime.js ` и`lib.js `. Сообщалось, что размер загрузчика составляет 29 МБ, что говорит о значительной функциональности, хотя его критиковали за громоздкость в эксплуатации.

Ключевой технической деталью является инфраструктура управления (C2), связанная с PylangGhost, которая, как сообщается, жестко закодирована в файлах конфигурации вредоносного ПО. Идентифицированный IP-адрес сервера C2 - 173.211.46.22, работающий через порт 8080. Эта информация стратегически встроена в вредоносное ПО, указывая на то, что операторы внедрили постоянный метод управления зараженными системами.

Дополнительные результаты включают наличие идентификаторов расширений Chrome, связанных с PylangGhost, что подразумевает, что вредоносное ПО также может использовать расширения браузера для потенциального перечисления и захвата конфиденциальных данных. Эти особенности подчеркивают эволюционирующую тактику злоумышленника, стоящего за PylangGhost, вызывая опасения по поводу его способности к широкомасштабному наблюдению и контролю за зараженными средами. Технические детали, связанные с этим RAT, подчеркивают необходимость бдительности в экосистемах разработки программного обеспечения, особенно при мониторинге и защите пакетов npm от подобных угроз.

#ParsedReport #CompletenessMedium
16-03-2026

Four Arms, One Monster: GlassWorm Invades GitHub, NPM, VS Code and PyPI

https://opensourcemalware.com/blog/four-arms-one-monster

Report completeness: Medium

Actors/Campaigns:
Forcememo
Polinrider
Tasksjacker

Threats:
Glassworm
Supply_chain_technique
Etherhiding_technique
Beavertail
Invisibleferret
Ottercookie

Victims:
Software supply chain, Developers, Open source ecosystems, Github projects, Npm packages, Vs code extensions, Pypi packages

Industry:
Financial, E-commerce

Geo:
Russian, Moscow, Dprk

TTPs:
Tactics: 5
Technics: 0

IOCs:
IP: 15
File: 5
Url: 1

Soft:
VSCode, Node.js, BitTorrent

Wallets:
tron

Crypto:
solana

Algorithms:
xor, aes, base64

Functions:
_isRussianSystem

Languages:
javascript, python

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания GlassWorm привела к компрометации более 430 репозиториев на таких платформах, как GitHub и NPM, с помощью сложных методов обфускации Unicode, которые внедряют вредоносную полезную нагрузку в законные проекты. Злоумышленники, вероятно, из России, используют гибридную архитектуру управления с использованием блокчейна Solana, обеспечивающую надежную связь посредством неизменяемых транзакций. Эта кампания подчеркивает тревожную эволюцию атак на supply chain, когда целенаправленный таргетинг позволяет им воздействие на многочисленные проекты с помощью одного элемента компрометации.
-----

В ходе недавней кампании GlassWorm исследователи безопасности обнаружили скоординированную киберугрозу, которая оказала воздействие на более чем 430 репозиториев и пакетов на нескольких платформах, включая GitHub, NPM, PyPI и VS Code marketplace. Кампания использует сложные методы обфускации на основе Unicode для внедрения вредоносной полезной нагрузки в законные проекты. Aikido Security установила, что эта кампания была нацелена на более чем 151 репозиторий GitHub и пакеты NPM, в то время как Socket сообщила о 72 вредоносных расширениях в Open-VSX marketplace, связанных с GlassWorm. Кроме того, кампания "ForceMemo" от Step Security продемонстрировала, что сотни репозиториев Python были подвергнуты компрометации в результате захвата учетных записей и вредоносных коммитов.

Исследования указывают на общую инфраструктуру этих атак, характеризующуюся тем, что один и тот же жестко закодированный блокчейн-адрес Solana появляется в отчетах нескольких поставщиков, что указывает на единственного злоумышленника, организующего атаки на всех платформах. Операционный метод подчеркивает изменение в атаках на supply chain, когда компрометация одного элемента может воздействий на тысячи проектов.

Анализ инфраструктуры позволяет предположить, что истоки кампании GlassWorm, скорее всего, российские, с отличительными характеристиками, включая комментарии к коду на русском языке и предотвращение выполнения в российских системах. В кампании используется гибридная архитектура управления (C2), сочетающая традиционные загрузчики с блокчейном Solana. Это инновационное использование технологии блокчейн позволяет злоумышленникам выдавать команды посредством неизменяемых транзакций, которые жертвы могут считывать, что делает C2 более устойчивым к попыткам взлома.

В частности, вредоносная полезная нагрузка в репозиториях NPM и GitHub практически невидима из-за использования селекторов вариантов Unicode, кодирующих вредоносное ПО. Такая тактика обфускации позволяет избежать большинства проверок кода, позволяя злоумышленникам выполнять код на Node.js среды без обнаружения. Расширения VS Code демонстрируют аналогичное поведение, предоставляя полезную нагрузку способом, имитирующим функциональность NPM.

Злоумышленники GlassWorm продемонстрировали оперативную безопасность, намеренно исключив российские системы из-под своей атаки, что часто ассоциируется с восточноевропейскими киберпреступниками, стремящимися снизить риск внутренних последствий.

Что касается защиты, кампания подчеркивает настоятельную необходимость улучшения сотрудничества между поставщиками систем безопасности на разных платформах для улучшения обмена информацией об угрозах. Объединив усилия для мониторинга новых тенденций в поведении вредоносного ПО и методах атак и реагирования на них, сообщество по Кибербезопасности может создать более устойчивую supply chain программного обеспечения, что становится все более необходимым, поскольку злоумышленники продолжают использовать слабые места на нескольких платформах одновременно.

#ParsedReport #CompletenessHigh
16-03-2026

Analysis of Konni Group's spearphishing-Chaotalk tied threat campaign

https://www.genians.co.kr/blog/threat_intelligence/kakaotalk

Report completeness: High

Actors/Campaigns:
Konni (motivation: information_theft)
Poseidon

Threats:
Spear-phishing_technique
Endrat
Rftrat
Remcos_rat

Victims:
Human rights community, Government sector, General users of kakaotalk

Industry:
Government, Healthcare

Geo:
Japan, North korea, Japanese, Finland, Netherlands, North korean

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1041, T1053.005, T1056.001, T1059.001, T1059.003, T1071.001, T1082, have more...

IOCs:
File: 5
Path: 15
Domain: 1
Command: 2
IP: 4
Hash: 7

Soft:
KakaoTalk, Android, task scheduler

Algorithms:
exhibit, md5, rc4, zip, xor

Functions:
GETFILELIST, SCANDIRECTORY, DOWNLOADPROCESS

Languages:
autoit, powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 1, code: 3, dump: 3, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейская APT-компания Konni Group проводит кампанию Целевого фишинга, используя вредоносные файлы LNK, замаскированные под PDF-документы, для получения первоначального доступа. Эти файлы выполняют скрипты PowerShell, которые загружают и устанавливают различные RAT, такие как EndRAT и RemcosRAT, обеспечивая длительный несанкционированный доступ к внутренним системам и данным. Злоумышленники также используют приложение KakaoTalk для распространения вредоносного ПО среди контактов, используя модульный подход к развертыванию полезной нагрузки и децентрализованную инфраструктуру управления.
-----

Konni Group, атрибутируемая с северокорейской сложной целенаправленной угрозой (APT), была вовлечена в изощренную кампанию Целевого фишинга, которая использует тактику социальной инженерии для компрометации целевых лиц. Первоначальный доступ осуществляется с помощью электронных писем, Маскировок под приглашения для участия в заседаниях по правам человека в Северной Корее, что приводит к запуску вредоносных файлов LNK. Эти файлы служат в качестве дропперов, которые загружают и устанавливают удаленно управляемое вредоносное ПО, предоставляя злоумышленникам длительный доступ для несанкционированного сбора информации, в частности внутренних документов.

После успешного проникновения в систему жертвы Konni Group использует компьютерное приложение KakaoTalk жертвы для распространения вредоносного ПО среди выбранных контактов в их списке друзей. Это использует основанный на доверии механизм распространения вредоносного ПО под видом законного контента, связанного с Северной Кореей, демонстрируя многоступенчатый подход к распространению. Кампания направлена не только на первичное заражение, но и охватывает угрозы, исходящие от установленных ПО для удаленного доступа (RATs), таких как EndRAT, RftRAT и RemcosRAT, которые вводятся в действие одновременно для установления контроля над компрометацией систем.

Технический анализ позволил получить представление о структуре файлов LNK, которые при запуске вызывают PowerShell для выполнения ряда действий: расшифровывают скрытые данные, загружают дополнительную полезную нагрузку с сервера управления (C2) и регистрируют вредоносное ПО для целей закрепления с помощью планировщика задач Windows. Артефакты указывают на то, что файлы LNK были разработаны таким образом, чтобы маскироваться под PDF-документы, заставляя пользователя выполнять их, в то же время незаметно загружая вредоносные скрипты, которые облегчают работу и обслуживание вредоносного ПО.

Кроме того, инфраструктура C2 работает через децентрализованную сеть, поддерживая множество IP-адресов из-за пределов Европы. Такая многонациональная структура усиливает их тактику уклонения и устойчивость инфраструктуры. Операционный фреймворк указывает на модульный подход к развертыванию вредоносного ПО, при котором дополнительная полезная нагрузка доставляется после заражения, позволяя злоумышленникам адаптироваться к меняющимся методам обнаружения.

Защитные меры против угроз такого типа основаны на системах обнаружения, основанных на поведении, которые позволяют отслеживать создание нестандартных процессов, манипуляции с запланированными задачами и любые попытки обмена данными с известными адресами C2. Основное внимание уделяется снижению рисков, связанных с долговременными угрозами, и защите приложений обмена сообщениями от несанкционированного использования.

#ParsedReport #CompletenessMedium
15-03-2026

Malicious Polymarket Bot Hides in Hijacked dev-protocol GitHub Org and Steals Wallet Keys

https://www.stepsecurity.io/blog/malicious-polymarket-bot-hides-in-hijacked-dev-protocol-github-org-and-steals-wallet-keys

Report completeness: Medium

Actors/Campaigns:
Dev-protocol_hijack
Insionceo
Wizardev-sol

Threats:
Typosquatting_technique
Supply_chain_technique
Credential_stealing_technique
J2team_tool

Victims:
Cryptocurrency developers, Defi users, Open source developers

Geo:
Japan, Japanese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1030, T1036.005, T1041, T1059, T1059.007, T1071.001, T1082, T1083, have more...

IOCs:
File: 6
Url: 4
Domain: 2

Soft:
sudo, udo ch, o chow, udo uf, o ufw, Slack

Crypto:
solana

Functions:
from_str, Maximum

Languages:
typescript, python, solidity, rust

Links:
have more...
https://github.com/dev-protocol
https://github.com/dev-protocol/polymarket-copytrading-bot-sport

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Организация GitHub "dev-protocol" была подвергнута компрометации с целью распространения вредоносного торгового бота Polymarket, размещающего репозитории с двумя typosquatted пакетами npm, "big-nunber" и "levex-refa". Оба пакета содержат запутанное вредоносное ПО, предназначенное для извлечения конфиденциальных данных, включая Закрытые ключи кошелька, и создания бэкдора SSH. Атака использует домены C2, Маскировку под законную инфраструктуру Cloudflare, что указывает на изощренный подход к уклонению от обнаружения и манипулированию стандартами бдительности пользователей.
-----

Организация GitHub "dev-protocol" была взломана для распространения вредоносного торгового бота Polymarket.

Компрометация включала в себя два typosquatted пакета npm: "big-nunber" и "levex-refa"..

"big-nunber" содержит запутанное вредоносное ПО и выполняет команды во время установки с помощью перехватчика после установки.

"levex-refa" использует запутанный код для поиска конфиденциальной информации, такой как ключи кошелька и файлы конфигурации, и отправляет эти данные на сервер C2.

Сервер C2 маскируется под законную инфраструктуру Cloudflare и связан с двумя доменами, размещенными на Vercel.

Вредоносное ПО может устанавливать бэкдоры, изменяя разрешения SSH, обеспечивая удаленный доступ через SSH.

Вредоносный код запускается как во время установки, так и во время запуска бота, который обычно работает с API Polymarket.

Злоумышленники активно удаляют сообщения об угрозе на GitHub, чтобы скрыть информацию.

Пострадавшим разработчикам рекомендуется менять ключи кошелька, проверять наличие несанкционированного доступа по SSH и сканировать на наличие вредоносных пакетов.

Рекомендации включают в себя отказ от хранения Закрытых ключей в уязвимых форматах и проведение аудита зависимостей.

Инцидент высветил риски, связанные с атаками на supply chain при разработке программного обеспечения.

#ParsedReport #CompletenessLow
16-03-2026

AI-Assisted Phishing Campaign Exploits Browser Permissions to Capture Victim Data

https://cyble.com/ai-assisted-phishing-campaign/

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Individual users, Consumers

Industry:
Financial, Telco, Healthcare

TTPs:
Tactics: 6
Technics: 4

IOCs:
File: 8

Soft:
Telegram, TikTok, Instagram, Google Chrome

Languages:
javascript

Links:
https://github.com/CRIL-ThreatIntelligence/IOCs/tree/main/AI-Assisted%20Phishing%20Uses%20Browser%20Permissions%20to%20Steal%20Data

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая кампания по фишингу эффективно злоупотребляет разрешениями браузера для сбора обширных персональных данных и данных об устройствах, применяя тактику обмана, такую как использование таких приманок, как "ID Scanner". Злоумышленники тайно захватывают изображения и аудио с помощью JavaScript и извлекают данные с помощью API-интерфейса бота Телеграм, фокусируясь на биометрической и мультимедийной информации, а не на традиционной краже учетных данных. Этот метод создает риски кражи личных данных, включая мошенничество с искусственными идентификационными данными, и в то же время демонстрирует потенциальное использование генеративного искусственного интеллекта при разработке фреймворка для фишинга.
-----

Кампания по фишингу заключается в сборе личных данных и данных устройств с помощью обманчивых приманок, таких как "Сканер удостоверений личности" и "Искусственный интеллект фонда здравоохранения". Злоумышленники получают важные разрешения, включая доступ к камере и микрофону. Рабочий процесс JavaScript захватывает изображения в реальном времени, записывает аудио и собирает конфиденциальную информацию, такую как показатели устройства и географическое местоположение. Собранные данные отправляются злоумышленникам через API бота в Телеграм. Этот подход фокусируется на получении биометрических данных и мультимедиа, а не на традиционной краже учетных данных. Этот сдвиг увеличивает риски искусственного мошенничества с идентификационными данными и обхода проверок личности с помощью видео. Схема фишинга использует медиа-API браузера для скрытого сбора данных после согласия пользователя. Данные передаются в файлах распространенных типов, таких как JPEG и WebM. Операция собирает обширные данные о браузерных средах для профилирования жертв. Аномалии в структуре сообщений предполагают использование автоматизированных инструментов для создания сложных страниц фишинга. Цели включают такие платформы, как TikTok, Instagram и Google Drive. Организации должны проявлять бдительность в отношении фишинга, который запрашивает разрешения на Аппаратное обеспечение у ненадежных доменов, поскольку эти методы указывают на эволюцию операций фишинга.

#ParsedReport #CompletenessLow
16-03-2026

Bench.sh: How Threat Actors Repurpose a Legitimate Benchmarking Tool for Post-Exploitation Recon

https://flare.io/learn/resources/blog/bench-sh-post-exploitation-recon

Report completeness: Low

Victims:
Exposed services, Virtual private server providers, Infrastructure used by attackers

Industry:
E-commerce, Logistic

Geo:
Asian, Chinese, Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1046, T1053.003, T1059.004, T1082, T1105, T1497, T1595

Soft:
Jupyter Notebook, Apache Tomcat, curl, Telegram

Languages:
php

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Акторы все чаще используют Bench.sh, легитимный скрипт для бенчмаркинга, на этапах постэксплуатации кибервторжений для оценки производственных возможностей скомпрометированных систем для злонамеренных действий, таких как криптомайнинг и DDoS-атаки. Он используется на платформах, таких как Telegram и хакерские форумы, для оценки инфраструктуры после развертывания VPS, что указывает на то, что атакующие систематически проверяют производительность процессора и сети. Кроме того, Bench.sh часто используется вместе со скриптами для оценки геолокации, что предполагает логистический подход в операциях киберпреступников.
-----

Акторы все чаще используют инструмент Bench.sh, легитимный скрипт для бенчмаркинга, на этапах постэксплуатации кибервторжений. Этот инструмент обычно используется для оценки жизнеспособности скомпрометированных систем для различных злонамеренных действий, включая криптомайнинг, проксирование и даже атаки с распределенным отказом в обслуживании (DDoS). Киберпреступники оценивают, есть ли у хоста достаточные ресурсы GPU, пропускная способность и способен ли он поддерживать эти действия, что указывает на то, что Bench.sh является критически важным компонентом в их оперативном рабочем процессе.

Тестирование, проведенное в контролируемой лабораторной среде, показало, что хотя Bench.sh выглядит безобидным и не демонстрирует явно злоумышленных действий, его полезность в киберпреступных операциях становится очевидной при анализе того, как он упоминается в обсуждениях акторов угроз. В частности, на таких платформах, как Telegram и различных хакерских форумах, Bench.sh часто появляется во время начальной оценки новоприобретенной инфраструктуры, особенно после предоставления Виртуальных Частных Серверов (VPS). Здесь злоумышленники используют скрипт для проверки производительности ЦП, ввода/вывода и сетевой пропускной способности. Этот процесс предшествует развертыванию других вредоносных инструментов или панелей управления и контроля (C2), демонстрируя систематический подход, схожий с тем, который применяется законными операциями разработки для валидации производительности.

Более того, Bench.sh часто сопровождается скриптами, разработанными для геолокации и оценки маршрутизации, что указывает на то, что злоумышленники не только анализируют производительность системы, но и оценивают географическое положение и стабильность своей атакующей инфраструктуры. Такое поведение предполагает сложную, ориентированную на логистику стратегию в экосистеме киберпреступности, где нападающие стремятся обеспечить оптимальные условия для своих операций перед началом дальнейших злонамеренных действий.

Команды безопасности должны быть бдительны к признакам активности Bench.sh в своих средах, особенно к случаям, когда скрипт выполняется без административного запуска. Такие случаи должны побуждать к расследованиям из-за их потенциальной связи с текущей злонамеренной активностью. Коррелирование выполнения Bench.sh с другими показателями постэксплуатации — такими как создание новых cron-задач или необычные исходящие соединения — может улучшить обнаружение и идентификацию настоящих угроз безопасности. Организациям также следует сосредоточиться на создании обнаружений для неожиданных вызовов к Bench.sh или аналогичным доменам, выявляя любые аномальные действия по бенчмаркингу как признак разведывательных действий со стороны атакующих.