#ParsedReport #CompletenessHigh
24-04-2026

Xinference PyPI Supply Chain Poisoning Warning

https://nsfocusglobal.com/xinference-pypi-supply-chain-poisoning-warning/

Report completeness: High

Actors/Campaigns:
Xinference_compromise
Teampcp

Threats:
Supply_chain_technique

Victims:
Xinference, Software users

Industry:
Telco, Financial

Geo:
Usa, China

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1059.006, T1071.001, T1140, T1195.001, T1552.004

IOCs:
File: 8
Url: 1
Hash: 8

Soft:
curl, Kubernetes, Docker, Slack, Discord, Helm, WireGuard

Algorithms:
base64, sha256, md5

Languages:
python

Links:
https://github.com/xorbitsai/inference/releases

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
22 апреля 2026 года в результате атаки на supply chain была задействована библиотека Xinference в PyPI, где злоумышленники компрометации учетных данных сопровождающих выпустили три вредоносные версии. Эти версии содержали троянские программы, которые отправляли конфиденциальные данные, такие как облачные учетные данные и токены API, на сервер управления, используя закодированные полезные данные в библиотеке `__init__.py - файл. Вредоносная библиотека была загружена более чем 680 000 раз, что указывает на уязвимости в supply chain программного обеспечения с открытым исходным кодом.
-----

22 апреля 2026 года NSFOCUS CERT сообщила об инциденте с отравлением supply Chain, связанном с библиотекой Xinference в индексе пакетов Python (PyPI). Злоумышленники подвергли компрометации учетные данные разработчиков Xinference для получения разрешения на выпуск, что привело к выпуску трех версий вредоносной библиотеки. Эти версии содержали троянские программы, которые при Выполнении с участием пользователя передавали конфиденциальные данные, такие как облачные учетные данные, SSH-ключи, токены API, пароли к базе данных и конфигурации переменных среды, на сервер командования и контроля (C2) злоумышленников.

Вредоносная полезная нагрузка была закодирована на нескольких уровнях Base64 в библиотеке `__init__.py - файл. Эксплуатация началась, когда пользователь импортировал библиотеку Xinference, запустив загрузку и последующее выполнение вредоносного кода, находящегося в `__init__.py `. Полезная нагрузка была разработана для создания переменной, которая декодировала бы и выполняла полезную нагрузку второго этапа с использованием подпроцесса Python. В частности, он использовал команду `curl` с пользовательским HTTP-заголовком для передачи собранных данных на сервер, расположенный по адресу https://whereisitat .люциатемысупербокс.пространство.

Масштаб атаки был значительным: Xinference подвергся более чем 680 000 загрузкам из репозитория, что подвергло риску любого пользователя вредоносных версий. После сообщений пользователей о необычном поведении разработчики Xinference быстро удалили вредоносные версии, но инцидент выявил уязвимости в supply chain программного обеспечения с открытым исходным кодом.

Чтобы снизить риски для затронутых пользователей, было намечено несколько шагов по устранению неполадок. Пользователям было рекомендовано вернуться к безопасной версии библиотеки (версия 2.5.0) и, в случае обнаружения вредоносных пакетов, немедленно изолировать ресурсы компрометации. Также были рекомендованы проверки истории оболочки на наличие аномалий (таких как несанкционированные команды, включающие `curl`, `wget` и `base64`), наряду с тщательной проверкой SSH-ключей и конфиденциальных файлов для обнаружения любого несанкционированного доступа.

Более того, пользователям было дано указание отслеживать файлы журналов на предмет подключений к домену злоумышленника и рекомендовано изменить свои файлы хостинга, чтобы заблокировать эти домены. Этот инцидент подчеркивает необходимость проявлять бдительность при поддержании целостности библиотеки и защите учетных данных для выпуска в экосистемах с открытым исходным кодом.

#ParsedReport #CompletenessHigh
24-04-2026

Inside agenteV2: How Brazilian Attackers Use Fake Court Summons to Steal Banking Credentials in Real Time

https://any.run/cybersecurity-blog/brazilian-banking-phishing-campaign/

Report completeness: High

Threats:
Agentev2
Credential_harvesting_technique
Dead_drop_technique
Spear-phishing_technique
Uac_bypass_technique

Victims:
Brazilian users, Organizations in brazil, Banking customers, Cryptocurrency wallet users, Finance teams, Executives

Industry:
Healthcare, Financial

Geo:
Brazil, Portuguese, Germany, Brazilian, Latam, Brasil, Ita

TTPs:
Tactics: 9
Technics: 21

IOCs:
File: 34
IP: 3
Url: 12
Registry: 4
Domain: 2
Command: 2
Path: 3
Hash: 2

Soft:
Pastebin, Linux, Android, Nuitka, PyInstaller, OpenSSL, Chrome, Opera, astebin, nginx, have more...

Algorithms:
sha1, md5, base64, sha256, xor, vigenere

Functions:
VBScript, Execute

Win API:
copyfile

Languages:
powershell, python, php, cpython

Platforms:
x86

YARA: Found

Links:
https://pastebin.com/raw/0RmxqY57

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по фишингу в Бразилии использует agenteV2, сложный банковский троян, который выдает себя за судебный вызов, чтобы обманом заставить пользователей установить ВПО. Он устанавливает бэкдор WebSocket для доступа в режиме реального времени, позволяя в режиме реального времени отслеживать банковскую деятельность и мгновенное финансовое мошенничество. ВПО использует двухуровневую тактику социальной инженерии, чтобы избежать обнаружения, и использует динамичную стратегию управления, усложняя традиционные защитные меры и подчеркивая значительные риски для организаций, связанных с бразильскими финансовыми системами.
-----

В статье обсуждается весьма изощренная кампания фишинга в Бразилии, использующая ВПО, известное как agenteV2. Этот интерактивный банковский троянец маскируется под официальную судебную повестку, чтобы обманом заставить жертв загрузить вредоносную полезную нагрузку. После запуска ВПО устанавливает постоянный бэкдор WebSocket, который позволяет злоумышленникам получать доступ к системе жертвы в режиме реального времени, что позволяет осуществлять финансовое мошенничество в реальном времени и кражу учетных данных. Угроза в первую очередь нацелена на пользователей в Бразилии, уделяя особое внимание крупным банкам и расширениям криптовалютных кошельков, тем самым вызывая серьезные опасения у организаций, сотрудники которых могут быть подвержены кампании.

agenteV2 демонстрирует расширенные возможности по сравнению с традиционным ВПО, использующим credential-stealing для кражи учетных данных. Он транслирует экран жертвы, позволяя злоумышленникам отслеживать банковские операции и действовать мгновенно при обнаружении банковского сеанса. Злоумышленники могут выполнять команды удаленно, что приводит к потенциальному финансовому мошенничеству, происходящему всего через несколько минут после заражения, в рамках любых типичных мер реактивной безопасности. Вредоносная программа ВПО использует многоуровневые методы закрепления, включая запланированные задачи и изменения реестра, гарантируя, что она остается работоспособной после перезагрузки системы и технического обслуживания.

В ходе фишинг-атаки используется реалистичное электронное письмо, выдающее себя за федеральный суд Бразилии, в котором получателю предлагается открыть защищенный паролем PDF-файл. В результате взаимодействия с пользователем запрашивается загрузка файла VBS, который затем извлекает вредоносные исполняемые компоненты. Этот двухуровневый метод социальной инженерии эффективно действует, обходя механизмы безопасности, которые могли бы тщательно проверять вложения и ссылки.

Важно отметить, что ВПО извлекает адрес сервера управления (C2) с общедоступной страницы Pastebin. Этот метод позволяет быстро менять IP-адреса без необходимости повторного размещения ВПО в системах компрометации, что делает IP-блокировки неэффективными через короткие промежутки времени. Для эффективных контрмер рекомендуется стратегия обнаружения, основанная на поведении, а не традиционная блокировка на основе IP-адреса.

Базовый код agenteV2 компилируется с помощью Nuitka в машинный код, что затрудняет статический анализ, но плохие методы обеспечения операционной безопасности разработчиков, такие как сохранение отладочных строк и доступных имен переменных, оставляют исследователям возможности для использования. Кроме того, ВПО включает проверку на наличие местного программного обеспечения для борьбы с мошенничеством, что указывает на хорошо проработанную стратегию таргетинга, характерную для бразильских финансовых учреждений.

Подводя итог, ВПО agenteV2 является примером современных угроз, которые являются интерактивными и управляются оператором, что значительно повышает ставки организаций в их защитных позициях от финансового мошенничества в режиме реального времени. Эффективное смягчение последствий должно быть сосредоточено на понимании его динамического поведения и расширении возможностей обнаружения, а не исключительно на блокировании известных IOC.

#ParsedReport #CompletenessMedium
25-04-2026

73 Open VSX Sleeper Extensions Linked to GlassWorm Show New Malware Activations

https://socket.dev/blog/73-open-vsx-sleeper-extensions-glassworm

Report completeness: Medium

Threats:
Glassworm
Supply_chain_technique
Dead_drop_technique

Victims:
Open vsx, Developers

Industry:
E-commerce

Geo:
Turkish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.007, T1102.001, T1105, T1140, T1195.001, T1204

IOCs:
File: 1
Hash: 3
Url: 3

Soft:
Open VSX, Visual Studio Code

Crypto:
solana

Algorithms:
sha256

Functions:
install

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания GlassWorm эволюционировала, чтобы использовать 73 клонированных расширения Open VSX, изначально безвредных, но позже использовавшихся для доставки ВПО, имитируя законное программное обеспечение, чтобы обмануть разработчиков. Новые учетные записи GitHub размещают эти расширения, некоторые из которых, как было подтверждено, доставляют ВПО с помощью транзитивных методов вместо прямого внедрения полезных нагрузок. Кампания использует встроенные двоичные файлы и запутанный JavaScript для скрытия вредоносных URL-адресов, что позволяет избежать обнаружения за счет выполнения вредоносных команд в надежных средах IDE, таких как Visual Studio Code.
-----

Кампания GlassWorm расширила свою тактику, используя клонированные открытые расширения VSX, которые теперь включают в себя 73 идентифицированных спящих расширения, которые перешли от доброкачественного внешнего вида к средствам доставки ВПО. Расширения Sleeper изначально публикуются без злого умысла и предназначены для укрепления доверия, прежде чем использоваться в качестве оружия для атак. Эти клонированные расширения часто точно отражают законные, используя знакомые названия, значки и контент, чтобы ввести разработчиков в заблуждение. В качестве примера приведена Имперсонация законного турецкого языкового пакета для Visual Studio Code, который создан так, чтобы выглядеть аутентичным, несмотря на то, что был опубликован новыми учетными записями на GitHub.

С апреля 2026 года было замечено, что злоумышленник использует недавно созданные учетные записи GitHub, в которых размещено минимальное количество репозиториев, в основном пустых или содержащих вводящую в заблуждение информацию. Активация по меньшей мере шести из этих расширений подтвердила их роль в распространении ВПО, в то время как другие остаются в состоянии готовности к активации, что соответствует предыдущим моделям кампании GlassWorm. Механизмы доставки эволюционировали, перейдя от встраивания вредоносной полезной нагрузки непосредственно в расширения к использованию переходных методов доставки, таких как указание внешних зависимостей или инструкций по установке, указывающих на вредоносные артефакты.

Расширения могут реализовывать вредоносную логику с помощью встроенных двоичных файлов или запутанного JavaScript. В частности, использование встроенных двоичных файлов .node позволяет расширениям скрывать вредоносные URL-адреса, ведущие к файлам .vsix, при установке выполняются команды, предназначенные для популярных IDE, таких как VS Code. В отличие от этого, некоторые варианты полагаются исключительно на запутанный JavaScript для извлечения полезной информации, динамически декодируя информацию во время выполнения для выполнения после активации расширения. Этот многогранный подход позволяет избежать традиционных механизмов обнаружения, поскольку сам код расширения не раскрывает вредоносное поведение, которое в конечном итоге запускается.

Эволюционирующие методы, используемые GlassWorm, указывают на тревожную тенденцию в атаках на supply chain, когда вредоносный контент доставляется по надежным программным каналам, эффективно используя тактику социальной инженерии для проникновения в среды разработки.

#ParsedReport #CompletenessLow
23-04-2026

Is Shai-Hulud Back? Compromised Bitwarden CLI Contains a Self-Propagating npm Worm

https://www.aikido.dev/blog/shai-hulud-npm-bitwarden-cli-compromise

Report completeness: Low

Threats:
Shai-hulud
Supply_chain_technique
Dead_drop_technique

Victims:
Software development, Developers, Cloud infrastructure

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1071.001, T1082, T1102.001, T1105, T1213, T1528, T1552.001, T1552.004, have more...

IOCs:
File: 3
Url: 3
Hash: 2

Soft:
Bitwarden, Docker, Claude

Algorithms:
sha256

Languages:
javascript

Platforms:
cross-platform, intel

Links:
https://github.com/AikidoSec/safe-chain

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет Bitwarden CLI npm версии 2026.4.0 подвергся компрометации, содержащей червя Shai-Hulud, который нацелен на SSH-ключи, облачные секреты и файлы конфигурации, используя брешь в конвейере публикации Bitwarden. ВПО использует предустановленный хук для выполнения своей полезной нагрузки без взаимодействия с пользователем, загружая среду выполнения Bun JavaScript для запутывания и выполнения своих функций credential-harvesting, специально предназначенных для доступа к сервисам AWS, Azure и GCP. Он взаимодействует с вредоносными URL-адресами C2 и может публиковать данные компрометации на GitHub, создавая серьезные риски для подключенных к облаку сред.
-----

Пакет Bitwarden CLI npm версии 2026.4.0 был идентифицирован как вредоносный, содержащий самораспространяющегося червя, обозначенного как Shai-Hulud: Третье пришествие. Это сложное ВПО предназначено для кражи учетных данных, в частности, для SSH-ключей, облачных секретов и файлов конфигурации. Компрометация в результате атаки на конвейер публикации Bitwarden, которой, вероятно, способствовал предварительный доступ, полученный во время недавнего взлома Checkmarx, червь использует вредоносный предустановочный хук, который запускает свою полезную нагрузку без взаимодействия с пользователем во время установки через npm.

После запуска ВПО загружает законную среду выполнения Bun JavaScript, основанную на операционной системе и архитектуре жертвы, для запуска своей запутанной полезной нагрузки. После Деобфускации полезная нагрузка действует как полнофункциональный сборщик учетных данных и обладает возможностями червя supply chain. Он сканирует файлы определенных учетных данных и использует учетные данные из окружающего облака для доступа к секретным службам управления в AWS, Azure и GCP, значительно подвергая опасности среды, подключенные к облачной инфраструктуре.

ВПО взаимодействует с двумя URL-адресами command and control (C2), причем основным C2 является нелегитимный домен Checkmarx, связанный с TLD острова Рождества, который должен быть немедленно заблокирован. Если этот основной C2 недоступен, у ВПО есть запасной метод, который использует поиск по фиксации на GitHub для потенциальной идентификации подписанного заменяющего имени хоста.

Сведения ускользнул отправляется в репозиторий GitHub создан под аккаунтом жертвы, облегчая Shai-hulud's саморазвития путем публикации на GitHub жертвы публично маркеров, если у них нет организационного членства. Для тех, с организацией доступа, жетоны хранятся в частных зашифрованных данных.

Этот инцидент указывает на значительный риск, особенно для подключенных к облаку сред разработчиков, и подчеркивает необходимость проявлять бдительность при мониторинге и защите supply chains программного обеспечения от таких сложных методов кражи учетных данных.

#ParsedReport #CompletenessMedium
25-04-2026

Three Paste-Hosts, One HMAC Key, and 257 Azure Subdomains — Inside the 'edit_phone_number' Tech-Support-Scam Kit Targeting Japan

https://intel.breakglass.tech/post/edit-phone-number-tss-jp-three-paste-host-rotation

Report completeness: Medium

Threats:
Tech-support-scam_kit_tool
Homoglyph_technique

Victims:
Consumers

Geo:
Tokyo, Japanese, Japan

ChatGPT TTPs:
do not use without manual check
T1027, T1102, T1140, T1566.002, T1583.001, T1583.006, T1656

IOCs:
Domain: 18
IP: 1
File: 20
Url: 4
Hash: 4

Soft:
Microsoft Defender, , CryptoJS, ryption re

Algorithms:
aes-cbc, aes-256-cbc, cbc, hmac, aes, base64, sha256

Functions:
setInterval

Languages:
python, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложный набор для мошенничества в службе технической поддержки нацелен на японских пользователей с помощью фишинг-контента, размещенного в Azure. Комплект выдает себя за Microsoft Defender и извлекает номера телефонов службы поддержки жертв каждые 6-12 секунд с помощью компонента JavaScript, используя шифрование AES-256-CBC и согласованный ключ HMAC-SHA256 для уникальной идентификации. Операция использует сеть внутренних серверов и многочисленные поддомены хранилища Azure для поддержания своей кампании по фишингу, демонстрируя обманчивый интерфейс, который вызывает панику среди жертв.
-----

Анализ выявил сложный набор для мошенничества с технической поддержкой, специально предназначенный для японских пользователей, использующий веб-сайты, размещенные на Azure, для распространения своего фишингов -контента. Набор работает, выдавая себя за Microsoft Defender, запрашивая у жертв электронные письма, которые подделывают законные сообщения Microsoft, в частности, используя соблазнительную строку темы на японском языке для привлечения кликов.

В основе схемы лежит компонент JavaScript, который извлекает номер телефона службы поддержки жертвы с предопределенного хостинга для вставки каждые 6-12 секунд. Этот постоянный поиск позволяет операторам легко чередовать телефонные номера на нескольких страницах фишинга без повторного развертывания инфраструктуры. Диалоговое окно фишинга зашифровано в формате AES-256-CBC, ключ получен из хэша URL-адреса, а достоверность обеспечивается с помощью жестко закодированного 32-символьного ключа HMAC-SHA256. Согласованность этого ключа HMAC во всех экземплярах дает ему уникальную возможность снятия отпечатков пальцев, хотя и полезную для оперативной идентификации комплекта.

Судебно-медицинская экспертиза, связанная с этой аферой, также выявила зависимость набора от целого ряда внутренних серверов, в основном размещенных на realslimshady.сетевой домен, с дополнительной поддержкой со стороны abrakadabra.it.com и неконки.топ. Полная архитектура поддерживает большое количество уникальных поддоменов статических веб—сайтов Azure Storage — было идентифицировано 257 - каждый из которых связан с этими серверными системами, создавая обширную инфраструктуру для устойчивого фишинга.

Расшифрованные страницы фишинга демонстрируют лживый интерфейс Microsoft Defender, который использует вызывающий панику язык, направленный на то, чтобы убедить жертв в том, что их устройства подверглись компрометации. Текст насыщен техническим жаргоном, украшен поддельными предупреждениями и командами, призывающими к немедленным действиям, в частности, предписывающими пользователям звонить по отображаемому номеру телефона. Указанные телефонные номера не соответствуют стандартным японским форматам, что указывает на то, что это могут быть номера VoIP, предназначенные для создания ложного ощущения срочности.

Видимость этой операции может быть ограничена путем блокировки упомянутых доменов paste-host и любых связанных с ними ссылок Azure. Эффективные меры обнаружения для defenders включают мониторинг исходящих запросов к этим доменам и внедрение правил YARA для отслеживания появляющихся наборов, которые содержат похожие текстовые шаблоны или функции JavaScript. Примечательной деталью в отчете является то, что, нарушив связь между paste и хостом, защитники потенциально могут уничтожить всю кампанию одним быстрым действием, что подчеркивает критический характер архитектурных решений, принятых организаторами этой аферы.

#ParsedReport #CompletenessHigh
24-04-2026

APT36 / Transparent Tribe — DeskRAT via `.desktop` Files, T-72/T-90 Procurement Lures, and a WebSocket C2 That Greets Visitors as 'Stealth Server'

https://intel.breakglass.tech/post/apt36-deskrat-stealth-server-bossmaya-t72-t90

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)
Sindoor

Threats:
Deskrat
Braodo
Crimson_rat
Sindoor
Ares_rat
Opendir_technique

Victims:
Indian defense, Indian military, Indian government, Indian education, Indian diplomatic sector, Defense contractors

Industry:
Military, Education, Government

Geo:
Pakistani, Pacific, Pakistan, Hungary, Moldova, France, Indian, India

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.004, T1059.005, T1059.006, T1071.001, T1105, T1140, T1204.002, T1564.001, have more...

IOCs:
Domain: 9
Url: 4
IP: 5
File: 13
Hash: 7

Soft:
Linux, PyInstaller, inux EL, nstaller ELF, curl, inux, ux) Sam, ux vari, inux) S, inux va, have more...

Algorithms:
md5, base64, zip, sha1, bzip, sha256

Win API:
decompress

Languages:
python

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, или Transparent Tribe, нацелен на индийские оборонные организации с помощью ВПО на основе Go DeskRAT, доставляемого с помощью больших, специально созданных файлов ".desktop", которые используют freedesktop.org стандарт. ВПО подключается к серверам управления через WebSockets, инфраструктура которых размещена в Молдове, и демонстрирует заметные недостатки OPSEC, такие как раскрытие путей во время компиляции. Группа перешла от ВПО для Windows к имплантатам, ориентированным на Linux, приведя свою тактику в соответствие с геополитическими событиями в регионе.
-----

APT36, также известная как Transparent Tribe, участвовала в целенаправленной кампании против индийских оборонных организаций с использованием вредоносного инструмента, называемого DeskRAT. Этот инструмент, написанный на Go, поставляется через специально созданные файлы ".desktop`, использующие freedesktop.org стандарт для средств запуска приложений. Нынешняя приманка связана с предполагаемыми заказами на поставку танков Т-72 и Т-90, тема, которая, вероятно, вызовет интерес у оборонных подрядчиков.

Вредоносный файл ".desktop" необычно велик - 1,4 МБ, содержит полезную нагрузку, которая доставляется с помощью серии шагов кодирования и распаковки. Жертвы запускают этот файл, запуская конвейер, в котором полезная нагрузка извлекается и выполняется без необходимости компиляции, что делает возможным запуск в стандартных средах Linux, где предустановлены такие инструменты, как Python и bzip2. Инфраструктура командования и контроля (C2) работает через WebSockets, размещенную на IP-адресе в Молдове и использующую несколько доменов для маршрутизации данных.

Технический анализ двоичного файла DeskRAT выявляет недостатки операционной безопасности (OPSEC) со стороны операторов APT36. Двоичный файл с компрометацией раскрывает пути во время компиляции и информацию о локальном пользователе, которые потенциально могут привести к установлению авторства. Двоичный файл содержит пути, указывающие на то, что он был кросс-скомпилирован на компьютере с Windows пользователем с именем учетной записи "hp", что дополнительно раскрывает подробности его среды разработки.

DeskRAT устанавливает связь со своим сервером C2 через конечную точку WebSocket, идентифицируемую по определенному приветственному сообщению в формате JSON. Сервер предоставляет временную метку, которая предполагает, что настройки часового пояса оператора могут быть искусственными, что указывает либо на желание скрыть свое местоположение, либо на небрежную неправильную настройку. Постоянное использование нескольких доменов для C2 предполагает стратегию избыточности и гибкости в ответ на усилия по обнаружению.

Примечательно, что APT36 продемонстрировала цикличность в разработке своего ВПО - это четвертое поколение RAT, которое они внедрили с середины 2024 года. Их набор инструментов перешел от ВПО на базе Windows к имплантатам, ориентированным на Linux, что свидетельствует о стратегическом ответе на оперативные потребности индийского оборонного сектора. Их текущие операции характеризуются постоянной тематикой их приманок для фишинга, отражающих важные геополитические события между Индией и Пакистаном.

Индикаторы для обнаружения включают мониторинг наличия файлов ".desktop", превышающих обычные размеры, оповещение о подозрительных схемах выполнения ".desktop" и тщательный анализ исходящего трафика WebSocket, направленного на известные IP-адреса C2. Учитывая историческую ориентацию организации на чувствительные секторы, для организаций, работающих в этом контексте, необходимы тщательная осведомленность и упреждающие меры по Кибербезопасности.

#ParsedReport #CompletenessMedium
25-04-2026

Urelas is old, weird, and still watching Korean card games

https://www.derp.ca/research/urelas-korean-card-game-capture/

Report completeness: Medium

Threats:
Urelas
Pecompact2_tool

Victims:
Online gaming, Card games, Gambling, South korea

Industry:
Telco

Geo:
Korean, Korea

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.001, T1027.002, T1027.009, T1027.013, T1041, T1057, T1082, T1113, T1129, T1571, have more...

IOCs:
File: 12
Hash: 8
IP: 6
Path: 1

Algorithms:
sha256, zip

Functions:
SetParentId, SetCommand, SetGameId, GetDllDataLen, GetDllData

Win API:
GetWindowDC, CreateCompatibleBitmap, PrintWindow, BitBlt, GetDIBits

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4