#ParsedReport #CompletenessMedium
12-03-2026

A Slopoly start to AI-enhanced ransomware attacks

https://www.ibm.com/think/x-force/slopoly-start-ai-enhanced-ransomware-attacks

Report completeness: Medium

Actors/Campaigns:
Hive0163 (motivation: financially_motivated)
Fin12
Ta569
Tag-124
Landupdate808

Threats:
Slopoly
Interlock
Nodesnake
Interlockrat
Junkfiction
Polymorphism_technique
Clickfix_technique
Azcopy_tool
Oyster
Supper_backdoor
Zapcat
Portstarter
Systembc
Rhysida
Socgholish_loader
Kongtuke
Promptspy
Promptlock
Promptflux
Voidlink

Victims:
Ransomware victims

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1018, T1027, T1036, T1053.005, T1057, T1059.001, T1059.003, T1070.004, T1071.001, T1105, have more...

IOCs:
Domain: 34
IP: 4
Command: 3
File: 4
Hash: 1

Soft:
Instagram, Linux, Windows Task Scheduler, Windows Defender, OpenSSL

Algorithms:
sha256, aes-gcm, aes

Functions:
remove

Languages:
powershell, javascript, java, php

Links:
have more...
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/ibm-xti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2026 года группа Hive0163 запустила новый ransomware с поддержкой ИИ под названием "Slopoly," который использует зашифрованные сеансовые ключи, хранящиеся вне системы, и общается с сервером управления и контроля для выполнения команд. Цепочка атаки началась с тактики социального инженерии ClickFix, в результате чего была установлена рамочная структура вредоносного ПО на основе NodeJS, которая развернула Slopoly. Кроме того, ransomware Interlock, часть арсенала той же группы, использует шифрование AES и RSA, что усложняет обнаружение из-за использования стандартных взаимодействий с пользователем.
-----

В начале 2026 года IBM X-Force выявила новый улучшенный с помощью ИИ штамм программ-вымогателей под названием "Slopoly", развернутый группой Hive0163 во время операций с программами-вымогателями. Эта группа преследует финансовые цели и связана с несколькими высокопрофильными инцидентами программ-вымогателей, используя различные частные криптеры и вредоносные программы с доступом издалека, такие как NodeSnake, InterlockRAT и другие. Внедрение ИИ в разработку их вредоносного ПО указывает на тревожный сдвиг в том, как киберпреступники могут быстро внедрять инновации и расширять свои операции.

Malware Slopoly включает несколько примечательных функций, таких как хранение зашифрованных сеансовых ключей в назначенных файлах, а не в самом зашифрованном данных. Он работает через клиентский компонент, который взаимодействует с сервером управления и контроля (C2), отправляя периодические маяки и получая команды для выполнения. Архитектура Slopoly указывает на то, что он, вероятно, был сгенерирован менее продвинутой языковой моделью (LLM), которая создала скрипт PowerShell, характеризующийся стандартными логами, комментариями и именами переменных, что указывает на явный намерение для злонамеренного использования.

Цепочка атак началась с атаки ClickFix, тактики социальной инженерии, которая манипулирует пользователями, заставляя их запускать злонамеренные скрипты. Этот первоначальный взлом позволил установить фреймворк вредоносного ПО на базе NodeJS, который способствовал развертыванию последующих нагрузок, включая Slopoly. Операционные возможности вредоносного ПО включают функции задней двери и базовые, но важные функции, такие как сигнализация и выполнение команд через простой интерфейс. Обнаружение Slopoly затруднено из-за его зависимости от стандартных пользовательских взаимодействий и скромного уровня сложности.

Ransomware Interlock, еще один элемент инструментария Hive0163, работает как 64-битный исполняемый файл, использующий AES и RSA для шифрования файлов, специально нацеленный на файлы на логических дисках. Ransomware выполняется с различными параметрами, влияющими на его поведение шифрования и функции управления файлами. Он создает записки о выкупе после шифрования, оставляя такие следы, как механизмы "пersistence", чтобы сохранить доступ.

Наблюдаемые тактики и инструменты отражают тенденцию к более быстрому и преходящему развитию вредоносного ПО. Поскольку использование ИИ в киберпреступности увеличивается, легкость и эффективность, с которой актеры могут создавать уникальные экземпляры вредоносного ПО, ставят под сомнение традиционные методы выявления и атрибуции. Эволюция ландшафта угроз, отмеченная появлением эфемерного вредоносного ПО и приближающимися достижениями в области агентов ИИ, требует от рамок кибербезопасности адаптироваться к этим быстрым изменениям, чтобы защититься от все более сложных угроз.

#ParsedReport #CompletenessHigh
11-03-2026

HellsUchecker: ClickFix to blockchain-backed backdoor

https://www.derp.ca/research/hellsuchecker-clickfix-etherhiding/

Report completeness: High

Threats:
Hellsuchecker
Clickfix_technique
Lolbin_technique
Etherhiding_technique
Hellsgate_technique
Amos_stealer
Ocrfix_technique
Odyssey_stealer
Trojan.bat.agent.crd
Dropper/bat.agent.br
Polyglot_technique
Process_hacker_tool
Process_camouflage_technique
Timestomp_technique

Victims:
Windows users, Macos users

Industry:
Telco, Education, Financial

Geo:
Russian, Armenia, Russia, Moscow, Belarus, Azerbaijan, Tajikistan, Moldova, Georgia, Kyrgyzstan, Ukraine, Kazakhstan, Uzbekistan

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.005, T1027.010, T1036, T1036.005, T1055.012, T1059.003, T1059.006, T1070.004, have more...

IOCs:
Domain: 15
File: 33
Url: 3
Hash: 4
Path: 7
IP: 5
Email: 1
Coin: 2

Soft:
Cloudflare Turnstile, macOS, Windows TCP/IP, Unix, curl, Huorong, Visual Studio, NET Framework, gatekeeper, Xen, have more...

Crypto:
ethereum

Algorithms:
aes-128-cbc, deflate, sha3, sha256, prng, xor, rc4, base64, chacha20, zip

Functions:
name, CreateObject, LastIndexOf, RPC, C2, GetStdHandle

Win API:
RegisterApplicationRestart, VirtualAlloc, NtCreateSection, NtMapViewOfSection, CreateProcessW, NtDelayExecution, RtlAllocateHeap, polygon, MemoryBarrier, GlobalMemoryStatusEx, have more...

Languages:
python

Platforms:
x86, arm, intel, x64

YARA: Found

Links:
https://github.com/kirkderp/yara

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
HellsUchecker - это продвинутый x64 бекдор, использующий сложную 10-ступенчатую цепочку атак, инициируемую обманчивой ClickFix приманкой, которая имитирует CAPTCHA. Он использует фишинговую страницу, чтобы побудить выполнение злонамеренных команд через легитимную утилиту, после чего загружает полезные нагрузки, которые полностью работают в памяти для избежания обнаружения. Это вредоносное ПО использует уникальную технику выполнения Hell's Gate, проводит обширные проверки на наличие песочницы и использует блокчейн для управления командой и контролем, что обеспечивает постоянную адаптируемость и устойчивость.
-----

HellsUchecker – это сложный нативный x64 бэкдор размером 28 КБ, известный своей комплексной 10-ступенчатой атакой, которая начинается с обманчивой приманки ClickFix, напоминающей CAPTCHA от Cloudflare, и завершается нагрузкой, резидирующей в памяти, которая связывается со своим сервером управления и контроля (C2) по HTTPS.

Начальная стадия направляет жертв на фишинговую страницу h01-captcha.sbs, которая реплицирует легитимный интерфейс CAPTCHA. После взаимодействия она предлагает пользователям выполнить вредоносную командную строку, с помощью payload из буфера обмена, который запускает легитимную утилиту Windows "finger.exe" на порту 79. Эта утилита загружает вредоносные команды, скрытые в специально созданном файле .plan с вредоносного сервера. Затем payload применяет серию инструкций для отключения explorer.exe рабочего стола, загрузки легитимного пакета встроенного Python, замаскированного под PDF, и выполнения вторичного payload через скрипт, закодированный в base64.

По мере прогрессирования атаки используется смарт-контракт на BNB Smart Chain для маскировки деталей C2 сервера, внедряя конфигурацию в блокчейн и применяя уникальный механизм дешифрования, который использует основанный на времени nonce для дополнительной безопасности. Чтобы улучшить методы уклонения, HellsUchecker выполняет 26 проверок на анти-песочницу, чтобы избежать обнаружения, оценивая системные параметры, такие как ОЗУ и дисковое пространство, а также наличие известных средств безопасности. Чтобы дальнейше избежать анализа, вредоносное ПО реализует параллельные потоки, генерирующие ложный сетевой трафик для сокрытия своих реальных коммуникаций.

Инжектор использует технику, названную Hell's Gate, чтобы выполнять shellcode напрямую, не вызывая срабатывание традиционных механизмов обнаружения. Он избегает стандартного использования Windows API, улучшая скрытность за счет полагания на прямые системные вызовы. Окончательный полезный груз полностью загружается в память и создаётся так, чтобы существовать только как динамически сгенерируемый исполняемый файл, никогда не записываемый на диск, тем самым обходя традиционные методы обнаружения на основе файлов.

С операционной точки зрения, backdoor разработан для обеспеченияpersistens, создавая копии начального BAT-файла в различных скрытых директориях. При перезагрузке он может повторно инициировать процесс инфекции, получая последние конфигурации от C2, предоставляемые через обновления блокчейна. Эта непрерывная связь позволяет злоумышленнику без проблем адаптировать свою инфраструктуру управления. В настоящее время backdoor функционирует, а следы инфраструктуры простираются по нескольким странам, что еще раз указывает на его обширную и устойчивую природу.

В целом, HellsUchecker представляет собой значительное преимущество в киберугрозах, используя различные техники уклонения, сложные механизмы доставки вредоносных программ и инновационное использование блокчейна для командования и управления, что значительно усложняет обнаружение и смягчение угроз.

#ParsedReport #CompletenessHigh
16-03-2026

Web Shells, Tunnels, and Ransomware: Dissecting a Warlock Attack

https://www.trendmicro.com/en_us/research/26/c/dissecting-a-warlock-attack.html

Report completeness: High

Actors/Campaigns:
Warlock

Threats:
Yuze_tool
Byovd_technique
X2anylock
Rclone_tool
Cobalt_strike_tool
Dll_sideloading_technique
Mimikatz_tool
Dcsync_technique
Cloudflared_tool
Nsec-killer_tool
Credential_dumping_technique
Av-killer

Victims:
Technology sector, Manufacturing sector, Government sector, Education sector

Industry:
Government, Education

Geo:
Germany, Russia

TTPs:
Tactics: 11
Technics: 19

IOCs:
File: 50
Domain: 2
Url: 5
Path: 19
IP: 4
Command: 3
Hash: 6

Soft:
TightVNC, Microsoft SharePoint, Velociraptor, Windows service, PsExec, Microsoft Edge, SharePoint server, Supabase, PccNTMon, Active Directory, have more...

Algorithms:
zip, sha256

Win API:
TmExtIns

Win Services:
WebClient, Ntrtscan, TmListen, TmCCSF, TmPfw, MsMpEng

Languages:
powershell

Platforms:
cross-platform, x86

Links:
https://github.com/BlackSnufkin/BYOVD

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей Warlock усовершенствовала свою методику атак, интегрировав инструменты для сохранения доступа, бокового перемещения и уклонения, в частности, используя TightVNC, Yuze и эксплуатируя уязвимости драйверов NSec. Начальный доступ осуществляется через незавершенные серверы Microsoft SharePoint, что приводит к развертыванию программ-вымогателей через Cobalt Strike и тактикам уклонения, которые включают пользовательские инструменты на уровне ядра. Их операция включает сбор учетных данных с помощью Mimikatz, боковое перемещение с помощью PsExec и быстрое извлечение данных в ведро S3, контролируемое атакующим.
-----

Группа-вымогатель Warlock усовершенствовала свою цепочку атак с новыми тактиками, сосредоточенными на постоянстве, латеральном перемещении и уклонении. Они используют TightVNC, Yuze и технику BYOVD, эксплуатирующую уязвимости в драйвере NSec. Начальный доступ часто осуществляется через непатченные серверы Microsoft SharePoint, доступные из интернета. Они разворачивают вымогательские программы через Cobalt Strike, который соединяется через легитимный процесс w3wp.exe и внедряет вредоносный код, маскирующийся под бинарный файл Microsoft. Удалённые полезные нагрузки загружаются с помощью таких инструментов, как Velociraptor, замаскированных под легитимное программное обеспечение для эксфильтрации данных и командно-контрольных коммуникаций.

Методы постоянства включают скрытую установку TightVNC в качестве службы Windows. Yuze используется как основанный на C инструмент с открытым исходным кодом для обратного прокси, чтобы обойти традиционные меры безопасности. Группа также использует туннели Cloudflare, чтобы смешивать вредоносный трафик с легитимными операциями. Доступ к учетным данным включает атаки DCSync с использованием Mimikatz и debug.exe для сбора имен пользователей и паролей домена. Боковое движение достигается с помощью PsExec и PowerShell Remoting для выполнения команд и установки инструментов на других системах.

Для командного управления Warlock использует Velociraptor и туннелирование VS Code для скрытых коммуникационных каналов. Их специально разработанный инструмент NSec-Killer нацеливается на критически важные процессы продуктов безопасности на уровне ядра, чтобы избежать обнаружения. Выдача данных происходит напрямую в управляемый злоумышленником S3 бакет из целевых файловых общих папок. Вымогатель устанавливается с использованием групповой политики Active Directory для репликации вредоносных компонентов на системах, присоединённых к домену, что включает в себя шифрование файлов и оставление записки с требованием выкупа для жертв.

#ParsedReport #CompletenessHigh
16-03-2026

Remcos Banking Fraud via Three AutoIt Persistence Chains

https://www.derp.ca/research/remcos-autoit-persistence/

Report completeness: High

Actors/Campaigns:
Serpentine_cloud
Purecoder

Threats:
Remcos_rat
Purehvnc_tool
Violet_rat
Purelogs
Purecryptor
Process_hollowing_technique
Screen_shotting_technique
Hvnc_tool
Donut_loader
Donut

Victims:
Banking customers, Financial services

Industry:
Foodtech, Financial

Geo:
Canadian, American, Budapest

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1027, T1036.004, T1036.005, T1053.005, T1055.012, T1056.001, T1059.003, T1071.001, T1112, have more...

IOCs:
Hash: 11
File: 11
Path: 1
Domain: 19
IP: 1

Soft:
EcoOptimize, WealthWise, NET Framework, ledger live, EcoOptimize WealthWise

Wallets:
bitpay, exodus_wallet, atomicwallet, metamask

Algorithms:
aes-256, aes-256-cbc, lznt1, rc4, base64, ecc, gzip, aes, sha256, rsa-4096

Functions:
TestFunction

Win API:
ecompress

Languages:
autoit, python

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ сосредоточен на сложной кибератаке, использующей Remcos malware, применяющей три различных метода сохранения через сценарии AutoIt, направленной на захват скриншотов канадских банковских порталов. Вредоносное ПО использует процессное полое создание с помощью бинарников Windows для уклонения и имеет зашифрованные конфигурационные файлы, которые обеспечивают целенаправленную нацеливание на онлайн-банки. Кроме того, атака использует надежную инфраструктуру командного и контрольного управления с шифрованием mutual TLS, что указывает на высокий уровень сложности в стратегии экстракции данных и сохранения.
-----

Анализ сложной кибератаки с участием вредоносного ПО Remcos и его устойчивых механизмов выявляет использование трех различных цепочек устойчивости, которые используют язык сценариев AutoIt. Эти цепочки имитируют законные бизнес-приложения и устанавливаются в локальный каталог данных приложений пользователя, создавая запланированные задачи, которые периодически возобновляют свои полезные нагрузки. Две цепочки развертывают Remcos v7.0.1 Pro, который захватывает скриншоты канадских банковских порталов каждые пять секунд, в то время как третья цепочка поставляет PureHVNC, инструмент удаленного доступа.

Каждая из цепочек Remcos предназначена для обхода средств безопасности, используя родные бинарные файлы Windows для вытягивания процессов. Сообщения Eloquent сообщали о многочисленных случаях, когда обнаруженные процессы постоянно восстанавливались планировщиком задач. Например, на одной машине цепочка WealthWise зарегистрировала более 3,500 обнаружений всего за два дня, что указывает на надежную стратегию устойчивости. Файл конфигурации Remcos, который зашифрован с использованием алгоритмов RC4 и LZNT1, содержит основные параметры для его работы, включая полный список ключевых слов для активации функции снимка экрана, в основном направленной на финансовые учреждения в Канаде.

Инфраструктура командования и управления (C2) для атаки сложно спроектирована, демонстрируя устойчивость благодаря использованию множества доменов, размещенных различными провайдерами динамического DNS, что обеспечивает постоянную связь несмотря на потенциальные отключения. Вредоносное ПО использует взаимное TLS-шифрование с использованием самоподписанных сертификатов ECC P-256 для безопасной связи с сервером C2, хотя это является недостатком для жертв, так как злоумышленники могут легко экстрагировать данные, если файл конфигурации будет извлечен.

Более того, возможности нацеливания эволюционировали, как видно на примере варианта WealthWise; он сократил количество ключевых слов с 62 до 50 и сместил акцент с общих названий банков на те, что конкретно ссылаются на сами порталы онлайн-банкинга, что иллюстрирует усиление акцента на эффективном нацеливании. Поведение вредоносного ПО включает в себя комплексное ведение журналов и сохранение скриншотов в замаскированном месте, чтобы избежать обнаружения. Скриншоты чувствительных банковских данных хранятся в папках, вводящих в заблуждение, которые помечены как данные Spotify.

В противопоставлении элементов атаки цепочка UrbanEco работает независимо от Remcos, предоставляя инструмент PureHVNC, при этом она использует ту же инфраструктуру C2, что еще больше подчеркивает стратегию оператора по поддержанию доступа через несколько каналов. Этот многослойный подход к настойчивости и избыточности на разных инструментах вредоносного ПО демонстрирует продвинутое понимание тактик уклонения и готовность адаптировать стратегии в зависимости от обратной связи с окружением. В целом, эта серия выводов о атаке отражает хорошо скоординированную кампанию, которая высоко сосредоточена на финансовом мошенничестве и получении несанкционированного доступа к конфиденциальным данным через длительную настойчивость и сложные оперативные тактики.

#ParsedReport #CompletenessMedium
13-03-2026

The Rise of Fake Shipment Tracking Scams in MEA

https://www.group-ib.com/blog/mea-shipment-tracking-scam/

Report completeness: Medium

Threats:
Darcula_tool
Credential_harvesting_technique

Victims:
General public, Postal and delivery users

Industry:
Telco, Aerospace, Transport, E-commerce, Education, Government, Financial, Logistic

Geo:
Egyptian, Africa, China, Japan, Egypt, Middle east

ChatGPT TTPs:
do not use without manual check
T1056.001, T1071.001, T1566.002, T1583.001, T1608.004, T1621

IOCs:
Url: 1
File: 1
Domain: 4

Soft:
Telegram, WhatsApp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Мошенничество "фальшивая отслеживание доставки", распространенное с начала 2024 года, эксплуатирует зависимость от электронной коммерции, отправляя SMS-сообщения с утверждениями о сбоях в доставке и направляя жертв на поддельные сайты отслеживания для сбора личной и банковской информации. Используя подмену идентификатора отправителя, встроенные скрипты для сбора учетных данных и срочные тактики социального инжиниринга, эти атаки в основном нацелены на логистику посылок, финансовые услуги и телекоммуникации, особенно на Ближнем Востоке и в Африке. Ссылки на китайскоязычную платформу Phishing-as-a-Service, Darcula, способствуют быстрому развертыванию сложных операций фишинга.
-----

Мошенничество "фальшивый трекинг посылки" стало распространенной киберугрозой, использующей электронную торговлю и службы доставки посылок с начала 2024 года. Фишинговые схемы обычно начинаются через SMS-сообщения, утверждающие о сбоях в доставке, побуждая жертв обновить свой адрес или оплатить сборы за обработку. Сообщения создают ощущение срочности и выглядят официально, чтобы побудить взаимодействие с вредоносными ссылками, ведущими на поддельные страницы трекинга.

Эти схемы используют доставку SMS с использованием методов подделки идентификатора отправителя, чтобы сливаться с легитимными разговорами. Инфраструктура, используемая в этих схемах, демонстрирует характеристики организованной операции, с встроенными скриптами для сбора учетных данных и мониторинга в реальном времени через соединения WebSocket. Обычно украденные данные включают личные данные, банковские учетные данные, информацию о кредитных картах и одноразовые пароли (OTP), которые эксфильтруются через установленные каналы.

Темы атак расширились за пределы доставки посылок и включили онлайн-шопинг, телекоммуникационные услуги и обработку платежей, в первую очередь нацеливаясь на почтовые службы, финансовые услуги и телекоммуникации в регионе Ближнего Востока и Африки. Исследователи Group-IB связали эти мошеннические схемы с китайскоязычной платформой Phishing-as-a-Service Darcula, которая предлагает инструменты и шаблоны для фишинга для быстрого развертывания атак.

Фишинговые страницы часто используют оптимизированные для мобильных устройств URL, которые выглядят законными, используя имена местных организаций для повышения доверия. Техники, применяемые злоумышленниками, включают внедрение вредоносных скриптов и социальную инженерию, основанную на срочности, используя слабо регулируемые доменные имена для скрытого выполнения мошенничества.

#ParsedReport #CompletenessHigh
16-03-2026

GhostWeaver - a malware that lives up to its name

https://www.derp.ca/briefings/ghostweaver-powershell-rat/

Report completeness: High

Actors/Campaigns:
Ta582
Tag-124
Unc4108
Ta569
Ta866

Threats:
Ghostweaver
Pantera
Mintsloader
Uac_bypass_technique
Boinc_tool
Socgholish_loader
Parrot_tds_tool
Amsi_bypass_technique
Asyncrat
Nmap_tool
Formgrabber
Mitm_technique
Polymorphism_technique
Remcos_rat
Interlock
Rhysida
Oyster
Stealc
Obfus
Process_injection_technique
Violet_rat

Victims:
Enterprise networks, Wordpress site visitors, Boinc users, Windows domain controllers

Industry:
Energy, Financial

Geo:
Chinese

TTPs:
Tactics: 2
Technics: 19

IOCs:
File: 9
IP: 18
Hash: 16
Path: 4
Registry: 1
Command: 1

Soft:
Telegram, WordPress, Chrome, Firefox, Outlook, curl, Task Scheduler, Zimbra

Algorithms:
prng, base64, sha512, xor, sha256, gzip, sha1

Functions:
PowerShell, Get-Content, Get-MpComputerStatus

Win API:
AmsiOpenSession, VirtualProtectEx, WriteProcessMemory, ShowWindowAsync

Languages:
autoit, javascript, php, visual_basic, jscript, python, powershell

Platforms:
intel

YARA: Found

Links:
have more...
https://github.com/kirkderp/yara
https://github.com/CybercentreCanada/CCCS-Yara

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostWeaver, безфайловый PowerShell RAT, приписываемый угрозе TA582 (UNC4108), использует сложное шифрование, общаясь через GZip-сжатый JSON по TLS на порту 25658. Он применяет несколько алгоритмов генерации доменных имен для уклонения и имеет постоянный имплант, сигнализирующий каждые три минуты. Малварь включает в себя систему плагинов для динамических возможностей, позволяя выполнять функции, такие как веб-инъекция и кража учетных данных, при этом избегая традиционных методов обнаружения.
-----

GhostWeaver — это сложный безфайловый удаленный доступ Trojan (RAT) PowerShell, идентифицированный как полезная нагрузка актеров угроз TA582, также отслеживаемый как UNC4108 компанией Mandiant. Он использует командно-управляющее (C2) взаимодействие через GZip-сжатый JSON, инкапсулированный в TLS 1.0 на порту 25658. Обнаружение различными антивирусными вендорами классифицирует его под именем Pantera. Вредоносное ПО доставляется на реальные машины, в то время как ложные полезные нагрузки отправляются в песочницы с использованием оркестрованной системы с участием MintsLoader для оценки целей.

Архитектура GhostWeaver является особенно скрытной, с использованием передовых методов обфускации и алгоритмов генерации доменов (DGA), которые создают множество доменов для уклонения. Анализ импланта выявил его устойчивое поведение, при котором маяки отправляют сигналы каждые три минуты в течение более года до обнаружения. Зловред поддерживает несколько стратегий устойчивости, включая механизм обхода контроля учетных записей пользователя (UAC) через маскировку процесса, что позволяет ему работать незамеченным.

Инфраструктура C2 для GhostWeaver охватывает четыре провайдера хостинга, с несколькими узлами, поддерживающими активные соединения. Она использует пять различных алгоритмов DGA для генерации доменов, обойдя фильтрацию DNS через жестко закодированные публичные DNS-резолверы. Примечательно, что вредоносное ПО захватывает методы эксплуатации, связанные с системой распределения трафика TAG-124, которая фильтрует входящие соединения на основе различных факторов, направляя настоящих жертв на вредоносные нагрузки.

Протокол связи GhostWeaver характеризуется использованием сырого TCP, явно избегая стандартных методов HTTP. После установления соединения он использует уникальный формат, включающий заголовок длиной четыре байта и GZip-сжатый JSON. Эта связь предварительно контролируется на предмет манипуляций с интерфейсом сканирования антивирусного программного обеспечения (AMSI) для уклонения от обнаружения.

Установщик постоянного доступа, поставляемый C2, состоит из фреймворка PowerShell размером 58 килобайт, реализующего случайный выбор режима устойчивости на основе конкретных продуктов AV на машине жертвы. Кроме того, GhostWeaver имеет сложную систему плагинов, разрешенную его архитектурой, позволяющую динамическую загрузку различных обфусцированных .NET DLL для дальнейшей функциональности, включая веб-инъекции и кражу учетных данных.

Эволюция GhostWeaver демонстрирует впечатляющий уровень сложности, редкий для массового вредоносного ПО, так как он не присутствует на подпольных форумах или общественных репозиториях. Его поведение указывает на целевой подход к эксплуатации передовых ИТ-сред, развивая возможности для незаметного сбора и передачи критической информации обратно к злонамеренным акторам, при этом поддерживая низкий профиль против типичных механизмов обнаружения.

#ParsedReport #CompletenessHigh
10-03-2026

Tranium wiper: static analysis of a Go binary

https://www.derp.ca/research/tranium-wiper-analysis/

Report completeness: High

Threats:
Tranium
Ransom.win32.agent.gen
Stampado
Shadow_copies_delete_technique
Uac_bypass_technique
Fodhelper_technique
Vssadmin_tool
Ironchain

Victims:
Windows users

Geo:
American

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053.005, T1059.003, T1068, T1106, T1112, T1485, T1490, T1491.001, T1499, T1499.004, have more...

IOCs:
File: 32
Command: 4
Path: 1
Url: 5
Domain: 4
IP: 5
Hash: 3
Registry: 9

Soft:
huorong, Windows service, BOOTNXT, winlogon, Windows Defender, bcdedit

Algorithms:
md5, aes-cbc, sha1, sha256, aes

Functions:
FindWindow, CreateFont

Win API:
CryptProtectData, CryptUnprotectData, SystemParametersInfoW, RegisterClassExW, BitBlt, StretchBlt, DrawTextW, TextOutW, BeginPaint, SetTextColor, have more...

Platforms:
intel

Links:
https://github.com/kirkderp/yara

#ParsedReport #GeneratedSchema
Generated with GPT-4