#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по фишингу в Бразилии использует agenteV2, сложный банковский троян, который выдает себя за судебный вызов, чтобы обманом заставить пользователей установить ВПО. Он устанавливает бэкдор WebSocket для доступа в режиме реального времени, позволяя в режиме реального времени отслеживать банковскую деятельность и мгновенное финансовое мошенничество. ВПО использует двухуровневую тактику социальной инженерии, чтобы избежать обнаружения, и использует динамичную стратегию управления, усложняя традиционные защитные меры и подчеркивая значительные риски для организаций, связанных с бразильскими финансовыми системами.
-----

В статье обсуждается весьма изощренная кампания фишинга в Бразилии, использующая ВПО, известное как agenteV2. Этот интерактивный банковский троянец маскируется под официальную судебную повестку, чтобы обманом заставить жертв загрузить вредоносную полезную нагрузку. После запуска ВПО устанавливает постоянный бэкдор WebSocket, который позволяет злоумышленникам получать доступ к системе жертвы в режиме реального времени, что позволяет осуществлять финансовое мошенничество в реальном времени и кражу учетных данных. Угроза в первую очередь нацелена на пользователей в Бразилии, уделяя особое внимание крупным банкам и расширениям криптовалютных кошельков, тем самым вызывая серьезные опасения у организаций, сотрудники которых могут быть подвержены кампании.

agenteV2 демонстрирует расширенные возможности по сравнению с традиционным ВПО, использующим credential-stealing для кражи учетных данных. Он транслирует экран жертвы, позволяя злоумышленникам отслеживать банковские операции и действовать мгновенно при обнаружении банковского сеанса. Злоумышленники могут выполнять команды удаленно, что приводит к потенциальному финансовому мошенничеству, происходящему всего через несколько минут после заражения, в рамках любых типичных мер реактивной безопасности. Вредоносная программа ВПО использует многоуровневые методы закрепления, включая запланированные задачи и изменения реестра, гарантируя, что она остается работоспособной после перезагрузки системы и технического обслуживания.

В ходе фишинг-атаки используется реалистичное электронное письмо, выдающее себя за федеральный суд Бразилии, в котором получателю предлагается открыть защищенный паролем PDF-файл. В результате взаимодействия с пользователем запрашивается загрузка файла VBS, который затем извлекает вредоносные исполняемые компоненты. Этот двухуровневый метод социальной инженерии эффективно действует, обходя механизмы безопасности, которые могли бы тщательно проверять вложения и ссылки.

Важно отметить, что ВПО извлекает адрес сервера управления (C2) с общедоступной страницы Pastebin. Этот метод позволяет быстро менять IP-адреса без необходимости повторного размещения ВПО в системах компрометации, что делает IP-блокировки неэффективными через короткие промежутки времени. Для эффективных контрмер рекомендуется стратегия обнаружения, основанная на поведении, а не традиционная блокировка на основе IP-адреса.

Базовый код agenteV2 компилируется с помощью Nuitka в машинный код, что затрудняет статический анализ, но плохие методы обеспечения операционной безопасности разработчиков, такие как сохранение отладочных строк и доступных имен переменных, оставляют исследователям возможности для использования. Кроме того, ВПО включает проверку на наличие местного программного обеспечения для борьбы с мошенничеством, что указывает на хорошо проработанную стратегию таргетинга, характерную для бразильских финансовых учреждений.

Подводя итог, ВПО agenteV2 является примером современных угроз, которые являются интерактивными и управляются оператором, что значительно повышает ставки организаций в их защитных позициях от финансового мошенничества в режиме реального времени. Эффективное смягчение последствий должно быть сосредоточено на понимании его динамического поведения и расширении возможностей обнаружения, а не исключительно на блокировании известных IOC.

#ParsedReport #CompletenessMedium
25-04-2026

73 Open VSX Sleeper Extensions Linked to GlassWorm Show New Malware Activations

https://socket.dev/blog/73-open-vsx-sleeper-extensions-glassworm

Report completeness: Medium

Threats:
Glassworm
Supply_chain_technique
Dead_drop_technique

Victims:
Open vsx, Developers

Industry:
E-commerce

Geo:
Turkish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.007, T1102.001, T1105, T1140, T1195.001, T1204

IOCs:
File: 1
Hash: 3
Url: 3

Soft:
Open VSX, Visual Studio Code

Crypto:
solana

Algorithms:
sha256

Functions:
install

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания GlassWorm эволюционировала, чтобы использовать 73 клонированных расширения Open VSX, изначально безвредных, но позже использовавшихся для доставки ВПО, имитируя законное программное обеспечение, чтобы обмануть разработчиков. Новые учетные записи GitHub размещают эти расширения, некоторые из которых, как было подтверждено, доставляют ВПО с помощью транзитивных методов вместо прямого внедрения полезных нагрузок. Кампания использует встроенные двоичные файлы и запутанный JavaScript для скрытия вредоносных URL-адресов, что позволяет избежать обнаружения за счет выполнения вредоносных команд в надежных средах IDE, таких как Visual Studio Code.
-----

Кампания GlassWorm расширила свою тактику, используя клонированные открытые расширения VSX, которые теперь включают в себя 73 идентифицированных спящих расширения, которые перешли от доброкачественного внешнего вида к средствам доставки ВПО. Расширения Sleeper изначально публикуются без злого умысла и предназначены для укрепления доверия, прежде чем использоваться в качестве оружия для атак. Эти клонированные расширения часто точно отражают законные, используя знакомые названия, значки и контент, чтобы ввести разработчиков в заблуждение. В качестве примера приведена Имперсонация законного турецкого языкового пакета для Visual Studio Code, который создан так, чтобы выглядеть аутентичным, несмотря на то, что был опубликован новыми учетными записями на GitHub.

С апреля 2026 года было замечено, что злоумышленник использует недавно созданные учетные записи GitHub, в которых размещено минимальное количество репозиториев, в основном пустых или содержащих вводящую в заблуждение информацию. Активация по меньшей мере шести из этих расширений подтвердила их роль в распространении ВПО, в то время как другие остаются в состоянии готовности к активации, что соответствует предыдущим моделям кампании GlassWorm. Механизмы доставки эволюционировали, перейдя от встраивания вредоносной полезной нагрузки непосредственно в расширения к использованию переходных методов доставки, таких как указание внешних зависимостей или инструкций по установке, указывающих на вредоносные артефакты.

Расширения могут реализовывать вредоносную логику с помощью встроенных двоичных файлов или запутанного JavaScript. В частности, использование встроенных двоичных файлов .node позволяет расширениям скрывать вредоносные URL-адреса, ведущие к файлам .vsix, при установке выполняются команды, предназначенные для популярных IDE, таких как VS Code. В отличие от этого, некоторые варианты полагаются исключительно на запутанный JavaScript для извлечения полезной информации, динамически декодируя информацию во время выполнения для выполнения после активации расширения. Этот многогранный подход позволяет избежать традиционных механизмов обнаружения, поскольку сам код расширения не раскрывает вредоносное поведение, которое в конечном итоге запускается.

Эволюционирующие методы, используемые GlassWorm, указывают на тревожную тенденцию в атаках на supply chain, когда вредоносный контент доставляется по надежным программным каналам, эффективно используя тактику социальной инженерии для проникновения в среды разработки.

#ParsedReport #CompletenessLow
23-04-2026

Is Shai-Hulud Back? Compromised Bitwarden CLI Contains a Self-Propagating npm Worm

https://www.aikido.dev/blog/shai-hulud-npm-bitwarden-cli-compromise

Report completeness: Low

Threats:
Shai-hulud
Supply_chain_technique
Dead_drop_technique

Victims:
Software development, Developers, Cloud infrastructure

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1071.001, T1082, T1102.001, T1105, T1213, T1528, T1552.001, T1552.004, have more...

IOCs:
File: 3
Url: 3
Hash: 2

Soft:
Bitwarden, Docker, Claude

Algorithms:
sha256

Languages:
javascript

Platforms:
cross-platform, intel

Links:
https://github.com/AikidoSec/safe-chain

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет Bitwarden CLI npm версии 2026.4.0 подвергся компрометации, содержащей червя Shai-Hulud, который нацелен на SSH-ключи, облачные секреты и файлы конфигурации, используя брешь в конвейере публикации Bitwarden. ВПО использует предустановленный хук для выполнения своей полезной нагрузки без взаимодействия с пользователем, загружая среду выполнения Bun JavaScript для запутывания и выполнения своих функций credential-harvesting, специально предназначенных для доступа к сервисам AWS, Azure и GCP. Он взаимодействует с вредоносными URL-адресами C2 и может публиковать данные компрометации на GitHub, создавая серьезные риски для подключенных к облаку сред.
-----

Пакет Bitwarden CLI npm версии 2026.4.0 был идентифицирован как вредоносный, содержащий самораспространяющегося червя, обозначенного как Shai-Hulud: Третье пришествие. Это сложное ВПО предназначено для кражи учетных данных, в частности, для SSH-ключей, облачных секретов и файлов конфигурации. Компрометация в результате атаки на конвейер публикации Bitwarden, которой, вероятно, способствовал предварительный доступ, полученный во время недавнего взлома Checkmarx, червь использует вредоносный предустановочный хук, который запускает свою полезную нагрузку без взаимодействия с пользователем во время установки через npm.

После запуска ВПО загружает законную среду выполнения Bun JavaScript, основанную на операционной системе и архитектуре жертвы, для запуска своей запутанной полезной нагрузки. После Деобфускации полезная нагрузка действует как полнофункциональный сборщик учетных данных и обладает возможностями червя supply chain. Он сканирует файлы определенных учетных данных и использует учетные данные из окружающего облака для доступа к секретным службам управления в AWS, Azure и GCP, значительно подвергая опасности среды, подключенные к облачной инфраструктуре.

ВПО взаимодействует с двумя URL-адресами command and control (C2), причем основным C2 является нелегитимный домен Checkmarx, связанный с TLD острова Рождества, который должен быть немедленно заблокирован. Если этот основной C2 недоступен, у ВПО есть запасной метод, который использует поиск по фиксации на GitHub для потенциальной идентификации подписанного заменяющего имени хоста.

Сведения ускользнул отправляется в репозиторий GitHub создан под аккаунтом жертвы, облегчая Shai-hulud's саморазвития путем публикации на GitHub жертвы публично маркеров, если у них нет организационного членства. Для тех, с организацией доступа, жетоны хранятся в частных зашифрованных данных.

Этот инцидент указывает на значительный риск, особенно для подключенных к облаку сред разработчиков, и подчеркивает необходимость проявлять бдительность при мониторинге и защите supply chains программного обеспечения от таких сложных методов кражи учетных данных.

#ParsedReport #CompletenessMedium
25-04-2026

Three Paste-Hosts, One HMAC Key, and 257 Azure Subdomains — Inside the 'edit_phone_number' Tech-Support-Scam Kit Targeting Japan

https://intel.breakglass.tech/post/edit-phone-number-tss-jp-three-paste-host-rotation

Report completeness: Medium

Threats:
Tech-support-scam_kit_tool
Homoglyph_technique

Victims:
Consumers

Geo:
Tokyo, Japanese, Japan

ChatGPT TTPs:
do not use without manual check
T1027, T1102, T1140, T1566.002, T1583.001, T1583.006, T1656

IOCs:
Domain: 18
IP: 1
File: 20
Url: 4
Hash: 4

Soft:
Microsoft Defender, , CryptoJS, ryption re

Algorithms:
aes-cbc, aes-256-cbc, cbc, hmac, aes, base64, sha256

Functions:
setInterval

Languages:
python, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложный набор для мошенничества в службе технической поддержки нацелен на японских пользователей с помощью фишинг-контента, размещенного в Azure. Комплект выдает себя за Microsoft Defender и извлекает номера телефонов службы поддержки жертв каждые 6-12 секунд с помощью компонента JavaScript, используя шифрование AES-256-CBC и согласованный ключ HMAC-SHA256 для уникальной идентификации. Операция использует сеть внутренних серверов и многочисленные поддомены хранилища Azure для поддержания своей кампании по фишингу, демонстрируя обманчивый интерфейс, который вызывает панику среди жертв.
-----

Анализ выявил сложный набор для мошенничества с технической поддержкой, специально предназначенный для японских пользователей, использующий веб-сайты, размещенные на Azure, для распространения своего фишингов -контента. Набор работает, выдавая себя за Microsoft Defender, запрашивая у жертв электронные письма, которые подделывают законные сообщения Microsoft, в частности, используя соблазнительную строку темы на японском языке для привлечения кликов.

В основе схемы лежит компонент JavaScript, который извлекает номер телефона службы поддержки жертвы с предопределенного хостинга для вставки каждые 6-12 секунд. Этот постоянный поиск позволяет операторам легко чередовать телефонные номера на нескольких страницах фишинга без повторного развертывания инфраструктуры. Диалоговое окно фишинга зашифровано в формате AES-256-CBC, ключ получен из хэша URL-адреса, а достоверность обеспечивается с помощью жестко закодированного 32-символьного ключа HMAC-SHA256. Согласованность этого ключа HMAC во всех экземплярах дает ему уникальную возможность снятия отпечатков пальцев, хотя и полезную для оперативной идентификации комплекта.

Судебно-медицинская экспертиза, связанная с этой аферой, также выявила зависимость набора от целого ряда внутренних серверов, в основном размещенных на realslimshady.сетевой домен, с дополнительной поддержкой со стороны abrakadabra.it.com и неконки.топ. Полная архитектура поддерживает большое количество уникальных поддоменов статических веб—сайтов Azure Storage — было идентифицировано 257 - каждый из которых связан с этими серверными системами, создавая обширную инфраструктуру для устойчивого фишинга.

Расшифрованные страницы фишинга демонстрируют лживый интерфейс Microsoft Defender, который использует вызывающий панику язык, направленный на то, чтобы убедить жертв в том, что их устройства подверглись компрометации. Текст насыщен техническим жаргоном, украшен поддельными предупреждениями и командами, призывающими к немедленным действиям, в частности, предписывающими пользователям звонить по отображаемому номеру телефона. Указанные телефонные номера не соответствуют стандартным японским форматам, что указывает на то, что это могут быть номера VoIP, предназначенные для создания ложного ощущения срочности.

Видимость этой операции может быть ограничена путем блокировки упомянутых доменов paste-host и любых связанных с ними ссылок Azure. Эффективные меры обнаружения для defenders включают мониторинг исходящих запросов к этим доменам и внедрение правил YARA для отслеживания появляющихся наборов, которые содержат похожие текстовые шаблоны или функции JavaScript. Примечательной деталью в отчете является то, что, нарушив связь между paste и хостом, защитники потенциально могут уничтожить всю кампанию одним быстрым действием, что подчеркивает критический характер архитектурных решений, принятых организаторами этой аферы.

#ParsedReport #CompletenessHigh
24-04-2026

APT36 / Transparent Tribe — DeskRAT via `.desktop` Files, T-72/T-90 Procurement Lures, and a WebSocket C2 That Greets Visitors as 'Stealth Server'

https://intel.breakglass.tech/post/apt36-deskrat-stealth-server-bossmaya-t72-t90

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)
Sindoor

Threats:
Deskrat
Braodo
Crimson_rat
Sindoor
Ares_rat
Opendir_technique

Victims:
Indian defense, Indian military, Indian government, Indian education, Indian diplomatic sector, Defense contractors

Industry:
Military, Education, Government

Geo:
Pakistani, Pacific, Pakistan, Hungary, Moldova, France, Indian, India

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.004, T1059.005, T1059.006, T1071.001, T1105, T1140, T1204.002, T1564.001, have more...

IOCs:
Domain: 9
Url: 4
IP: 5
File: 13
Hash: 7

Soft:
Linux, PyInstaller, inux EL, nstaller ELF, curl, inux, ux) Sam, ux vari, inux) S, inux va, have more...

Algorithms:
md5, base64, zip, sha1, bzip, sha256

Win API:
decompress

Languages:
python

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, или Transparent Tribe, нацелен на индийские оборонные организации с помощью ВПО на основе Go DeskRAT, доставляемого с помощью больших, специально созданных файлов ".desktop", которые используют freedesktop.org стандарт. ВПО подключается к серверам управления через WebSockets, инфраструктура которых размещена в Молдове, и демонстрирует заметные недостатки OPSEC, такие как раскрытие путей во время компиляции. Группа перешла от ВПО для Windows к имплантатам, ориентированным на Linux, приведя свою тактику в соответствие с геополитическими событиями в регионе.
-----

APT36, также известная как Transparent Tribe, участвовала в целенаправленной кампании против индийских оборонных организаций с использованием вредоносного инструмента, называемого DeskRAT. Этот инструмент, написанный на Go, поставляется через специально созданные файлы ".desktop`, использующие freedesktop.org стандарт для средств запуска приложений. Нынешняя приманка связана с предполагаемыми заказами на поставку танков Т-72 и Т-90, тема, которая, вероятно, вызовет интерес у оборонных подрядчиков.

Вредоносный файл ".desktop" необычно велик - 1,4 МБ, содержит полезную нагрузку, которая доставляется с помощью серии шагов кодирования и распаковки. Жертвы запускают этот файл, запуская конвейер, в котором полезная нагрузка извлекается и выполняется без необходимости компиляции, что делает возможным запуск в стандартных средах Linux, где предустановлены такие инструменты, как Python и bzip2. Инфраструктура командования и контроля (C2) работает через WebSockets, размещенную на IP-адресе в Молдове и использующую несколько доменов для маршрутизации данных.

Технический анализ двоичного файла DeskRAT выявляет недостатки операционной безопасности (OPSEC) со стороны операторов APT36. Двоичный файл с компрометацией раскрывает пути во время компиляции и информацию о локальном пользователе, которые потенциально могут привести к установлению авторства. Двоичный файл содержит пути, указывающие на то, что он был кросс-скомпилирован на компьютере с Windows пользователем с именем учетной записи "hp", что дополнительно раскрывает подробности его среды разработки.

DeskRAT устанавливает связь со своим сервером C2 через конечную точку WebSocket, идентифицируемую по определенному приветственному сообщению в формате JSON. Сервер предоставляет временную метку, которая предполагает, что настройки часового пояса оператора могут быть искусственными, что указывает либо на желание скрыть свое местоположение, либо на небрежную неправильную настройку. Постоянное использование нескольких доменов для C2 предполагает стратегию избыточности и гибкости в ответ на усилия по обнаружению.

Примечательно, что APT36 продемонстрировала цикличность в разработке своего ВПО - это четвертое поколение RAT, которое они внедрили с середины 2024 года. Их набор инструментов перешел от ВПО на базе Windows к имплантатам, ориентированным на Linux, что свидетельствует о стратегическом ответе на оперативные потребности индийского оборонного сектора. Их текущие операции характеризуются постоянной тематикой их приманок для фишинга, отражающих важные геополитические события между Индией и Пакистаном.

Индикаторы для обнаружения включают мониторинг наличия файлов ".desktop", превышающих обычные размеры, оповещение о подозрительных схемах выполнения ".desktop" и тщательный анализ исходящего трафика WebSocket, направленного на известные IP-адреса C2. Учитывая историческую ориентацию организации на чувствительные секторы, для организаций, работающих в этом контексте, необходимы тщательная осведомленность и упреждающие меры по Кибербезопасности.

#ParsedReport #CompletenessMedium
25-04-2026

Urelas is old, weird, and still watching Korean card games

https://www.derp.ca/research/urelas-korean-card-game-capture/

Report completeness: Medium

Threats:
Urelas
Pecompact2_tool

Victims:
Online gaming, Card games, Gambling, South korea

Industry:
Telco

Geo:
Korean, Korea

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.001, T1027.002, T1027.009, T1027.013, T1041, T1057, T1082, T1113, T1129, T1571, have more...

IOCs:
File: 12
Hash: 8
IP: 6
Path: 1

Algorithms:
sha256, zip

Functions:
SetParentId, SetCommand, SetGameId, GetDllDataLen, GetDllData

Win API:
GetWindowDC, CreateCompatibleBitmap, PrintWindow, BitBlt, GetDIBits

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Urelas - это устойчивый штамм ВПО, нацеленный на корейские карточные онлайн-игры, функционирующий как троян, который отслеживает определенные процессы, связанные с игрой. Он делает снимки экрана и передает информацию о хосте на серверы управления, расположенные в основном в Корее. Недавний образец показал его классическую архитектуру, включая вспомогательную библиотеку DLL для захвата скриншотов, и продемонстрировал всплеск активности, особенно в апреле 2026 года, с более чем 3100 задокументированными уникальными идентификаторами SHA256, что указывает на целенаправленное наблюдение за нишевыми игровыми клиентами.
-----

Urelas - это разновидность ВПО, которая существует уже более десяти лет и в основном нацелена на корейские карточные онлайн-игры. Он работает как троянец, отслеживая процессы, связанные с этими играми, делая снимки экрана и передавая информацию о хосте на сервер управления (C2). Принцип действия ВПО основан на конкретных игровых клиентах, включая Badugi, Poker и Hoola, которые он идентифицирует по связанным с ними исполняемым файлам. Такое целенаправленное поведение отличает Urelas от более обычных Троянских программ удаленного доступа (RATs), которые обладают более широкими и обобщенными возможностями.

Недавний образец от апреля 2026 года показывает, что Urelas продолжает использовать архитектуру, значительно схожую с его предыдущими итерациями. ВПО захватывает изображения игрового окна и сжимает их в записи формата JPEG/JFIF 6003 перед отправкой на конечные точки C2, размещенные в основном у корейских интернет-провайдеров, таких как SK Broadband и DLIVE. Анализ образца показывает заметный всплеск активности Urelas: за короткий промежуток времени было задокументировано более 3100 уникальных идентификаторов SHA256, особенно выделяя апрель 2026 года, когда произошло резкое увеличение числа новых случаев.

Технический анализ образца показывает многоуровневую структуру: родительский исполняемый файл записывает промежуточные исполняемые файлы и связанные с ними файлы конфигурации, включая файл состояния MSMP с битовой обработкой и вспомогательную библиотеку DLL с именем HGDraw.dll , который помогает делать скриншоты. Эта библиотека DLL сжата с использованием формата PECompact2 и датируется концом 2013 года, что указывает на то, что компоненты ВПО несколько устарели, но особенно эффективны для своей цели.

Архитектура C2 основана на определенных IP-адресах с различными конечными точками, используемыми для передачи собранных данных обратно злоумышленникам. Механизм закрепления для Urelas оставляет следы в реестре Windows, гарантируя, что он будет сохранен на зараженных компьютерах.

В конечном счете, Urelas демонстрирует целенаправленную нишевую функциональность, в первую очередь предназначенную для наблюдения за корейскими карточными играми, о чем свидетельствует его постоянное взаимодействие с узнаваемыми именами исполняемых файлов, связанных с игрой. В нем подчеркивается важность понимания конкретных моделей поведения ВПО, которые соответствуют конкретным вариантам использования, вместо того, чтобы применять универсальный подход к современным угрозам ВПО. Постоянный мониторинг такого ВПО необходим специалистам по Кибербезопасности из-за его уникальных эксплуатационных характеристик и специфической стратегии таргетинга в сфере онлайн-игр в Южной Корее.

#ParsedReport #CompletenessMedium
24-04-2026

TryNodeUpdate turns GitHub and BSC into a TCP control lane

https://www.derp.ca/research/trynodeupdate-github-node-bsc-contract-c2/

Report completeness: Medium

Threats:
Trynodeupdate
Ocrfix_technique
Hellsuchecker
Etherhiding_technique

Geo:
Germany

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053.005, T1059.001, T1059.005, T1059.007, T1095, T1105, T1571

IOCs:
Hash: 6
File: 10
Url: 3
Path: 1
Coin: 3
IP: 4

Soft:
Node.js, phpMyAdmin

Algorithms:
sha256

Win Services:
BITS

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TryNodeUpdate - это ВПО-вредоносное ПО для Windows, которое использует GitHub и смарт-цепочку Binance для своего механизма управления. Он использует скрипт PowerShell для установки запланированной задачи, которая извлекает Node.js контроллер, который разрешает конечную точку TCP для связи. Уникальная архитектура ВПО позволяет ему динамически определять свои серверные компоненты для командования и контроля, используя общедоступные службы для выполнения оперативных задач и используя необработанные TCP-соединения через порт 8446.
-----

TryNodeUpdate - это цепочка ВПО для Windows, которая стратегически использует GitHub и интеллектуальную цепочку Binance Smart Chain (BSC) в качестве части своего механизма контроля. Первоначально сценарий PowerShell устанавливает запланированную задачу, которая извлекает Node.js контроллер из общедоступного репозитория GitHub. Этот шаг также включает передачу контрактного адреса контроллеру, который впоследствии разрешает конечную точку TCP для связи, используя определенный вызов BSC RPC.

Оперативный аспект TryNodeUpdate отличается нетрадиционные методики. В отличие от нескольких предыдущих ВПО вредоносные программы, серверный компонент не предопределенный в PowerShell в PowerShell, ни встроенных в контроллер Node.js . Вместо этого, контроллер считывает переменную, TUNNEL_URL, из ответа договора, удаляет префикс "TCP://", и устанавливает соединение на разрешенный Хост на порт 8446. Для узлов с повышенными разрешениями, ВПО популярность в родной вспомогательный исполняемый файл с именем rpc.exe из конечной точки. Этим помощником выступает в качестве переподключение клиента и выполняет свои контрактные разрешение и представления данных задачи.

Архитектура ВПО имеет сходство с более ранними фреймворками command and control (C2) на основе блокчейна, такими как те, которые используются OCRFix и HellsUchecker, хотя и с явными тактическими различиями. В то время как предыдущие попытки основывались на хранении URL-адресов или использовании зашифрованных конфигураций, TryNodeUpdate использует GitHub для начального контроллера, общедоступный BSC для поиска контрактов и необработанное TCP-соединение для активного управления.

Компоненты ВПО включают в себя различные скрипты и исполняемые файлы, в частности средство запуска VBS и полезную нагрузку JS, а также конфигурации для идентификации клиента и управления состоянием. Репозиторий GitHub, используемый в качестве исходного кода для контроллера узла, 1CodeDev-hub/electronAI, является относительно новым, с историей модификаций, предполагающих активную разработку и адаптацию еще в 2026 году.

Дальнейший технический анализ показывает, что TryNodeUpdate использует DNS-запросы и пакеты TCP SYN, направленные на несколько IP-адресов, связанных с ответами SNI. В ходе анализа был особо выделен IP-адрес 206.206.127.94, известный своей функциональностью, которая включала предоставление набора сервисов и предоставление доступа к различным интерфейсам на основе PHP. Показано, что этот IP-адрес, наряду с другими, содержит интерфейсы, которые служат потенциальными опорными точками, но только надежное соединение через необработанный TCP на порту 8446 характеризуется как активный канал ВПО вредоносного ПО.

В рамках своей операционной целостности TryNodeUpdate полагается на службу bsc.blockrazor.xyz как на общедоступную зависимость BSC RPC, используя ее для выполнения операций чтения по контракту. Однако нет никаких доказательств того, что сам BlockRazor вовлечен в работу серверной части ВПО. В целом, ВПО демонстрирует изощренное использование внешних ресурсов для своих операций, сочетая устоявшиеся методы с инновационными подходами, позволяющими избежать обнаружения и сохранить командные возможности.

#ParsedReport #CompletenessHigh
23-04-2026

GopherWhisper: A burrow full of malware

https://web-assets.esetstatic.com/wls/en/papers/white-papers/gopherwhisper-burrow-full-malware.pdf

Report completeness: High

Actors/Campaigns:
Gopherwhisper (motivation: cyber_espionage)

Threats:
Jabgopher
Laxgopher
Compactgopher
Ratgopher
Sslordoor
Frienddelivery
Boxoffriends
Passview_tool
Process_hollowing_technique
Filecoder
Process_injection_technique

Victims:
Government entity in mongolia, Government

Industry:
Government

Geo:
China, Canada, Pacific, Mongolian, Mongolia

TTPs:
Tactics: 9
Technics: 37

IOCs:
File: 19
Hash: 2
Command: 4
Email: 10
Path: 1
IP: 1

Soft:
Slack, Discord, Outlook, OpenSSL, Windows Defender, Hyper-V, Graph API, Internet Explorer, Windows service, Microsoft Defender, have more...

Crypto:
bitcoin

Algorithms:
aes, rc4, base64, sha1, md5, zip, xor, aes-128-cbc, cbc, crc-32, aes-128, base58

Functions:
GetComputerNameEx, CreateEvent, GetModuleFileName

Win API:
gethostname, gethostbyname, ZwQuerySystemInformation, GetOEMCP, GetLocalTime, DeleteFileW, SHFileOperationW, GetMessageW, PostThreadMessageW, CreateThread, have more...

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4