#ParsedReport #CompletenessHigh
24-04-2026

APT36 / Transparent Tribe — DeskRAT via `.desktop` Files, T-72/T-90 Procurement Lures, and a WebSocket C2 That Greets Visitors as 'Stealth Server'

https://intel.breakglass.tech/post/apt36-deskrat-stealth-server-bossmaya-t72-t90

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)
Sindoor

Threats:
Deskrat
Braodo
Crimson_rat
Sindoor
Ares_rat
Opendir_technique

Victims:
Indian defense, Indian military, Indian government, Indian education, Indian diplomatic sector, Defense contractors

Industry:
Military, Education, Government

Geo:
Pakistani, Pacific, Pakistan, Hungary, Moldova, France, Indian, India

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.004, T1059.005, T1059.006, T1071.001, T1105, T1140, T1204.002, T1564.001, have more...

IOCs:
Domain: 9
Url: 4
IP: 5
File: 13
Hash: 7

Soft:
Linux, PyInstaller, inux EL, nstaller ELF, curl, inux, ux) Sam, ux vari, inux) S, inux va, have more...

Algorithms:
md5, base64, zip, sha1, bzip, sha256

Win API:
decompress

Languages:
python

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, или Transparent Tribe, нацелен на индийские оборонные организации с помощью ВПО на основе Go DeskRAT, доставляемого с помощью больших, специально созданных файлов ".desktop", которые используют freedesktop.org стандарт. ВПО подключается к серверам управления через WebSockets, инфраструктура которых размещена в Молдове, и демонстрирует заметные недостатки OPSEC, такие как раскрытие путей во время компиляции. Группа перешла от ВПО для Windows к имплантатам, ориентированным на Linux, приведя свою тактику в соответствие с геополитическими событиями в регионе.
-----

APT36, также известная как Transparent Tribe, участвовала в целенаправленной кампании против индийских оборонных организаций с использованием вредоносного инструмента, называемого DeskRAT. Этот инструмент, написанный на Go, поставляется через специально созданные файлы ".desktop`, использующие freedesktop.org стандарт для средств запуска приложений. Нынешняя приманка связана с предполагаемыми заказами на поставку танков Т-72 и Т-90, тема, которая, вероятно, вызовет интерес у оборонных подрядчиков.

Вредоносный файл ".desktop" необычно велик - 1,4 МБ, содержит полезную нагрузку, которая доставляется с помощью серии шагов кодирования и распаковки. Жертвы запускают этот файл, запуская конвейер, в котором полезная нагрузка извлекается и выполняется без необходимости компиляции, что делает возможным запуск в стандартных средах Linux, где предустановлены такие инструменты, как Python и bzip2. Инфраструктура командования и контроля (C2) работает через WebSockets, размещенную на IP-адресе в Молдове и использующую несколько доменов для маршрутизации данных.

Технический анализ двоичного файла DeskRAT выявляет недостатки операционной безопасности (OPSEC) со стороны операторов APT36. Двоичный файл с компрометацией раскрывает пути во время компиляции и информацию о локальном пользователе, которые потенциально могут привести к установлению авторства. Двоичный файл содержит пути, указывающие на то, что он был кросс-скомпилирован на компьютере с Windows пользователем с именем учетной записи "hp", что дополнительно раскрывает подробности его среды разработки.

DeskRAT устанавливает связь со своим сервером C2 через конечную точку WebSocket, идентифицируемую по определенному приветственному сообщению в формате JSON. Сервер предоставляет временную метку, которая предполагает, что настройки часового пояса оператора могут быть искусственными, что указывает либо на желание скрыть свое местоположение, либо на небрежную неправильную настройку. Постоянное использование нескольких доменов для C2 предполагает стратегию избыточности и гибкости в ответ на усилия по обнаружению.

Примечательно, что APT36 продемонстрировала цикличность в разработке своего ВПО - это четвертое поколение RAT, которое они внедрили с середины 2024 года. Их набор инструментов перешел от ВПО на базе Windows к имплантатам, ориентированным на Linux, что свидетельствует о стратегическом ответе на оперативные потребности индийского оборонного сектора. Их текущие операции характеризуются постоянной тематикой их приманок для фишинга, отражающих важные геополитические события между Индией и Пакистаном.

Индикаторы для обнаружения включают мониторинг наличия файлов ".desktop", превышающих обычные размеры, оповещение о подозрительных схемах выполнения ".desktop" и тщательный анализ исходящего трафика WebSocket, направленного на известные IP-адреса C2. Учитывая историческую ориентацию организации на чувствительные секторы, для организаций, работающих в этом контексте, необходимы тщательная осведомленность и упреждающие меры по Кибербезопасности.

#ParsedReport #CompletenessMedium
25-04-2026

Urelas is old, weird, and still watching Korean card games

https://www.derp.ca/research/urelas-korean-card-game-capture/

Report completeness: Medium

Threats:
Urelas
Pecompact2_tool

Victims:
Online gaming, Card games, Gambling, South korea

Industry:
Telco

Geo:
Korean, Korea

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.001, T1027.002, T1027.009, T1027.013, T1041, T1057, T1082, T1113, T1129, T1571, have more...

IOCs:
File: 12
Hash: 8
IP: 6
Path: 1

Algorithms:
sha256, zip

Functions:
SetParentId, SetCommand, SetGameId, GetDllDataLen, GetDllData

Win API:
GetWindowDC, CreateCompatibleBitmap, PrintWindow, BitBlt, GetDIBits

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Urelas - это устойчивый штамм ВПО, нацеленный на корейские карточные онлайн-игры, функционирующий как троян, который отслеживает определенные процессы, связанные с игрой. Он делает снимки экрана и передает информацию о хосте на серверы управления, расположенные в основном в Корее. Недавний образец показал его классическую архитектуру, включая вспомогательную библиотеку DLL для захвата скриншотов, и продемонстрировал всплеск активности, особенно в апреле 2026 года, с более чем 3100 задокументированными уникальными идентификаторами SHA256, что указывает на целенаправленное наблюдение за нишевыми игровыми клиентами.
-----

Urelas - это разновидность ВПО, которая существует уже более десяти лет и в основном нацелена на корейские карточные онлайн-игры. Он работает как троянец, отслеживая процессы, связанные с этими играми, делая снимки экрана и передавая информацию о хосте на сервер управления (C2). Принцип действия ВПО основан на конкретных игровых клиентах, включая Badugi, Poker и Hoola, которые он идентифицирует по связанным с ними исполняемым файлам. Такое целенаправленное поведение отличает Urelas от более обычных Троянских программ удаленного доступа (RATs), которые обладают более широкими и обобщенными возможностями.

Недавний образец от апреля 2026 года показывает, что Urelas продолжает использовать архитектуру, значительно схожую с его предыдущими итерациями. ВПО захватывает изображения игрового окна и сжимает их в записи формата JPEG/JFIF 6003 перед отправкой на конечные точки C2, размещенные в основном у корейских интернет-провайдеров, таких как SK Broadband и DLIVE. Анализ образца показывает заметный всплеск активности Urelas: за короткий промежуток времени было задокументировано более 3100 уникальных идентификаторов SHA256, особенно выделяя апрель 2026 года, когда произошло резкое увеличение числа новых случаев.

Технический анализ образца показывает многоуровневую структуру: родительский исполняемый файл записывает промежуточные исполняемые файлы и связанные с ними файлы конфигурации, включая файл состояния MSMP с битовой обработкой и вспомогательную библиотеку DLL с именем HGDraw.dll , который помогает делать скриншоты. Эта библиотека DLL сжата с использованием формата PECompact2 и датируется концом 2013 года, что указывает на то, что компоненты ВПО несколько устарели, но особенно эффективны для своей цели.

Архитектура C2 основана на определенных IP-адресах с различными конечными точками, используемыми для передачи собранных данных обратно злоумышленникам. Механизм закрепления для Urelas оставляет следы в реестре Windows, гарантируя, что он будет сохранен на зараженных компьютерах.

В конечном счете, Urelas демонстрирует целенаправленную нишевую функциональность, в первую очередь предназначенную для наблюдения за корейскими карточными играми, о чем свидетельствует его постоянное взаимодействие с узнаваемыми именами исполняемых файлов, связанных с игрой. В нем подчеркивается важность понимания конкретных моделей поведения ВПО, которые соответствуют конкретным вариантам использования, вместо того, чтобы применять универсальный подход к современным угрозам ВПО. Постоянный мониторинг такого ВПО необходим специалистам по Кибербезопасности из-за его уникальных эксплуатационных характеристик и специфической стратегии таргетинга в сфере онлайн-игр в Южной Корее.

#ParsedReport #CompletenessMedium
24-04-2026

TryNodeUpdate turns GitHub and BSC into a TCP control lane

https://www.derp.ca/research/trynodeupdate-github-node-bsc-contract-c2/

Report completeness: Medium

Threats:
Trynodeupdate
Ocrfix_technique
Hellsuchecker
Etherhiding_technique

Geo:
Germany

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053.005, T1059.001, T1059.005, T1059.007, T1095, T1105, T1571

IOCs:
Hash: 6
File: 10
Url: 3
Path: 1
Coin: 3
IP: 4

Soft:
Node.js, phpMyAdmin

Algorithms:
sha256

Win Services:
BITS

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TryNodeUpdate - это ВПО-вредоносное ПО для Windows, которое использует GitHub и смарт-цепочку Binance для своего механизма управления. Он использует скрипт PowerShell для установки запланированной задачи, которая извлекает Node.js контроллер, который разрешает конечную точку TCP для связи. Уникальная архитектура ВПО позволяет ему динамически определять свои серверные компоненты для командования и контроля, используя общедоступные службы для выполнения оперативных задач и используя необработанные TCP-соединения через порт 8446.
-----

TryNodeUpdate - это цепочка ВПО для Windows, которая стратегически использует GitHub и интеллектуальную цепочку Binance Smart Chain (BSC) в качестве части своего механизма контроля. Первоначально сценарий PowerShell устанавливает запланированную задачу, которая извлекает Node.js контроллер из общедоступного репозитория GitHub. Этот шаг также включает передачу контрактного адреса контроллеру, который впоследствии разрешает конечную точку TCP для связи, используя определенный вызов BSC RPC.

Оперативный аспект TryNodeUpdate отличается нетрадиционные методики. В отличие от нескольких предыдущих ВПО вредоносные программы, серверный компонент не предопределенный в PowerShell в PowerShell, ни встроенных в контроллер Node.js . Вместо этого, контроллер считывает переменную, TUNNEL_URL, из ответа договора, удаляет префикс "TCP://", и устанавливает соединение на разрешенный Хост на порт 8446. Для узлов с повышенными разрешениями, ВПО популярность в родной вспомогательный исполняемый файл с именем rpc.exe из конечной точки. Этим помощником выступает в качестве переподключение клиента и выполняет свои контрактные разрешение и представления данных задачи.

Архитектура ВПО имеет сходство с более ранними фреймворками command and control (C2) на основе блокчейна, такими как те, которые используются OCRFix и HellsUchecker, хотя и с явными тактическими различиями. В то время как предыдущие попытки основывались на хранении URL-адресов или использовании зашифрованных конфигураций, TryNodeUpdate использует GitHub для начального контроллера, общедоступный BSC для поиска контрактов и необработанное TCP-соединение для активного управления.

Компоненты ВПО включают в себя различные скрипты и исполняемые файлы, в частности средство запуска VBS и полезную нагрузку JS, а также конфигурации для идентификации клиента и управления состоянием. Репозиторий GitHub, используемый в качестве исходного кода для контроллера узла, 1CodeDev-hub/electronAI, является относительно новым, с историей модификаций, предполагающих активную разработку и адаптацию еще в 2026 году.

Дальнейший технический анализ показывает, что TryNodeUpdate использует DNS-запросы и пакеты TCP SYN, направленные на несколько IP-адресов, связанных с ответами SNI. В ходе анализа был особо выделен IP-адрес 206.206.127.94, известный своей функциональностью, которая включала предоставление набора сервисов и предоставление доступа к различным интерфейсам на основе PHP. Показано, что этот IP-адрес, наряду с другими, содержит интерфейсы, которые служат потенциальными опорными точками, но только надежное соединение через необработанный TCP на порту 8446 характеризуется как активный канал ВПО вредоносного ПО.

В рамках своей операционной целостности TryNodeUpdate полагается на службу bsc.blockrazor.xyz как на общедоступную зависимость BSC RPC, используя ее для выполнения операций чтения по контракту. Однако нет никаких доказательств того, что сам BlockRazor вовлечен в работу серверной части ВПО. В целом, ВПО демонстрирует изощренное использование внешних ресурсов для своих операций, сочетая устоявшиеся методы с инновационными подходами, позволяющими избежать обнаружения и сохранить командные возможности.

#ParsedReport #CompletenessHigh
23-04-2026

GopherWhisper: A burrow full of malware

https://web-assets.esetstatic.com/wls/en/papers/white-papers/gopherwhisper-burrow-full-malware.pdf

Report completeness: High

Actors/Campaigns:
Gopherwhisper (motivation: cyber_espionage)

Threats:
Jabgopher
Laxgopher
Compactgopher
Ratgopher
Sslordoor
Frienddelivery
Boxoffriends
Passview_tool
Process_hollowing_technique
Filecoder
Process_injection_technique

Victims:
Government entity in mongolia, Government

Industry:
Government

Geo:
China, Canada, Pacific, Mongolian, Mongolia

TTPs:
Tactics: 9
Technics: 37

IOCs:
File: 19
Hash: 2
Command: 4
Email: 10
Path: 1
IP: 1

Soft:
Slack, Discord, Outlook, OpenSSL, Windows Defender, Hyper-V, Graph API, Internet Explorer, Windows service, Microsoft Defender, have more...

Crypto:
bitcoin

Algorithms:
aes, rc4, base64, sha1, md5, zip, xor, aes-128-cbc, cbc, crc-32, aes-128, base58

Functions:
GetComputerNameEx, CreateEvent, GetModuleFileName

Win API:
gethostname, gethostbyname, ZwQuerySystemInformation, GetOEMCP, GetLocalTime, DeleteFileW, SHFileOperationW, GetMessageW, PostThreadMessageW, CreateThread, have more...

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи из компании ESET выявили нелегальный группировка имени GopherWhisper, адресности государственных органов Монголии и использование различных зайти на основе ВПО для управления и контроля через законного платформ раздоры и Slack. Среди основных средств-LaxGopher, RatGopher, и SSLORDoor, с такими методами, как Process Hollowing и механизмов закрепление впрыска маскируются под легитимные сервисы. GopherWhisper использует жестко запрограммированные учетные данные для C и C доступ и использует зашифрованную связь, демонстрации сложных оперативных методик.
-----

Исследователи ESET идентифицировали недокументированную преступную хакерскую APT-группировку под названием GopherWhisper, которая, как полагают, связана с интересами Китая. Эта группа в первую очередь нацелена на правительственные учреждения Монголии и использует широкий спектр инструментов ВПО, в основном разработанных в Go, для командования и контроля (C&C) через легальные сервисы, такие как Discord, Slack, Microsoft 365 Outlook и file.io . Анализ начался с наблюдения за бэкдором LaxGopher в январе 2025 года, что привело к обнаружению нескольких других вредоносных инструментов в арсенале GopherWhisper's.

Идентифицированные ключевые компоненты включают бэкдоры на базе Go LaxGopher, RatGopher, BoxOfFriends и бэкдор на C++ с именем SSLORDoor. Каждый из этих инструментов предназначен для взаимодействия с серверами C&C, замаскированными под законные сервисы. Например, LaxGopher использует Slack для отправки и получения инструкций, в то время как RatGopher использует Discord, а BoxOfFriends взаимодействует с Microsoft Graph. Набор инструментов также включает в себя инжектор JabGopher, который обеспечивает LaxGopher, и CompactGopher, инструмент для эксфильтрации данных.

Gopherwhisper's: применение жестко запрограммированные учетные данные для доступа к их c&инфраструктур с. Через эти учетные данные, ученые извлекли более 9000 сообщений злоумышленники' слабину и каналы рознь, обеспечивая понимание их методов работы. Команды, выполняемые эти бэкдоры варьируются от перечисления файлов и сбор данных для передачи конфиденциальных файлов с помощью C&каналах.

Примечательны механизмы инъекций и закрепления, используемые GopherWhisper. Например, JabGopher вводит LaxGopher в svchost.exe обрабатывайте с помощью process hollowing, обеспечивая скрытность во время выполнения операций. FriendDelivery, другой инжектор, связанный с BoxOfFriends, устанавливает закрепление путем Маскировки под законную Службу Windows. Эта служба использует системные процессы для поддержания своей функциональности даже после перезапуска.

Бэкдор SSLORDoor, отличающийся тем, что основан на C++, устанавливает зашифрованную связь обратно со своим C& C через необработанные TCP-сокеты с использованием протоколов SSL/TLS. Он использует запутанный механизм шифрования RC4 для передачи своих сообщений. Бэкдор BoxOfFriends еще раз демонстрирует изощренность GopherWhisper's, использующий Microsoft Graph API для облегчения работы с черновиками электронных писем, постоянно перезаписывая предыдущие сообщения для сохранения скрытности.

#ParsedReport #CompletenessHigh
24-04-2026

Two Passwords, Two Compromise Stories — and the PhantomStealer v3.5.0 Config That Answers a Community Ask

https://intel.breakglass.tech/post/two-passwords-agenttesla-phantomstealer-config

Report completeness: High

Threats:
Phantom_stealer
Cloudeye
Agent_tesla
Lolbin_technique
Process_hollowing_technique
Stealerium_stealer

Victims:
Shared hosting, Industrial assembly, Transportation, Small and medium business hosting accounts

Geo:
Romanian, Italian, Italy, Romania

CVEs:
CVE-2021-41617 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- openbsd openssh (<8.8)

CVE-2023-48795 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- openbsd openssh (<9.6)

CVE-2020-15778 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- openbsd openssh (<8.3)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1048, T1055.012, T1059.001, T1078, T1140, T1584, T1620

IOCs:
IP: 2
Domain: 6
Email: 1
File: 11
Hash: 8
Path: 1
Url: 1

Soft:
cPanel, Telegram, Discord, WordPress, OpenSSH, NET Framework, ASP.NET

Algorithms:
pbkdf2, xor, base64, aes, aes-256-cbc, sha256, zip

Functions:
Decrypt

Win API:
CreateRemoteThread

Languages:
powershell

Platforms:
x64

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник, осуществивший компрометацию общих учетных записей хостинга cPanel в Италии и Румынии, чтобы использовать их в качестве точек доступа по FTP для ВПО AgentTesla и PhantomStealer версии 3.5.0. Метод развертывания включал сложную четырехэтапную цепочку доставки с использованием дроппера PowerShell с шифрованием AES, за которым следовало обфускация XOR для выполнения библиотеки .NET DLL с помощью process hollowing. Кроме того, уязвимости в SSH-сервисах на румынском хостинге были отмечены как потенциальные векторы вторжения, что подчеркивает риски в средах общего хостинга.
-----

В отчете подробно описывается деятельность злоумышленника, использующего две компрометации общих учетных записей хостинга cPanel в Италии и Румынии, используя их в качестве точек доступа по FTP для двух разных семейств ВПО-похитителей информации: AgentTesla и PhantomStealer версии 3.5.0. В анализе особое внимание уделяется техническим аспектам вторжений и поведению ВПО, особенно методам развертывания и извлечения конфигурации.

Были идентифицированы две учетные записи: одна, принадлежащая итальянскому провайдеру (IP 86.107.32.157), используемая для эксфильтрации данных AgentTesla, и другая на румынском хостинге (IP 109.73.128.91), предназначенная для PhantomStealer. Скомпрометированные учетные данные FTP были заметно отличающимися; учетная запись The AgentTesla использовала упрощенный, предсказуемый пароль, что указывает на слабые методы обеспечения безопасности пользователя, в то время как учетная запись PhantomStealer использовала сложный пароль, вероятно, сгенерированный злоумышленником после получения доступа.

ВПО PhantomStealer, как было замечено, было версии 3.5.0, которая интегрирована с модулями, способными к эксфильтрации по FTP, но другие функции, включая SMTP и cryptocurrency clipper, были отключены в ее конфигурации. Он следовал сложной четырехэтапной цепочке доставки, начинающейся с дроппера PowerShell, который включал шифрование AES, затем обфускацию XOR и, в конечном счете, загрузку .NET DLL для выполнения. Эта библиотека DLL, называемая ALTERNATE.EXECUTE, была динамически создана из расшифрованного PowerShell и выполнена с помощью process hollowing законного двоичного файла Windows — aspnet_compiler.exe — демонстрируя сложную тактику уклонения.

Восстановление конфигурации PhantomStealer с использованием его собственных методов расшифровки выявило критические рабочие параметры, такие как учетные данные для входа в систему по FTP и флаги состояния модуля. Исследование выявило потенциальную возможность ВПО для использования устаревших служб SSH на румынском хостинге, на котором запущены уязвимые версии OpenSSH, намекая на возможные векторы вторжения, которые могут быть использованы злоумышленниками для первоначального доступа.

Для облегчения обнаружения были определены показатели компрометации (IOCs), связанные с ВПО и механизмами доставки. Рекомендации включали блокировку определенных IP-адресов, оповещение об исходящем FTP-трафике, особенно для диапазонов общего хостинга, и тщательное изучение конкретного поведения, связанного с aspnet_compiler.exe контекст выполнения. Этот инцидент подчеркивает сохраняющиеся риски, связанные с неадекватными методами обеспечения безопасности в средах общего хостинга, особенно в свете все более изощренной тактики киберпреступников.

#ParsedReport #CompletenessHigh
24-04-2026

KYCShadow: An Android Banking Malware Exploiting Fake KYC Workflows for Credential and OTP Theft

https://www.cyfirma.com/research/kycshadow-an-android-banking-malware-exploiting-fake-kyc-workflows-for-credential-and-otp-theft/

Report completeness: High

Threats:
Kycshadow
Credential_harvesting_technique

Victims:
Banking users, Financial services, India

Industry:
Critical_infrastructure, Financial

Geo:
India, Indian

TTPs:
Tactics: 9
Technics: 17

IOCs:
Url: 1
File: 6
Domain: 3
Hash: 2

Soft:
Android, WhatsApp, Google Play, AgentCore

Algorithms:
zip, sha256, base64, xor

Functions:
deriveKey, nativeRunUssd, getEnvironment, getNativeUrl, getNativeKey, getNativeAgentId, getNativeSmsAction, requestBatteryExemption

Win API:
loadLibrary

Languages:
java, javascript, kotlin

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 27, dump: 2, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
KYCShadow - это банковское ВПО для Android, которое нацелено на пользователей в Индии, Маскировка под приложение для проверки KYC с помощью вводящего в заблуждение экрана "Требуется обновление". Вредоносная программа ВПО функционирует как многоступенчатый дроппер, устанавливающий дополнительную полезную нагрузку, которая позволяет перехватывать SMS, управлять голосовыми вызовами и фишинг через интерфейс WebView, используя Firebase Cloud Messaging для управления. Его методы обфускации и пользовательский VPN-сервис облегчают кражу данных и манипулирование трафиком, что согласуется с организованными операциями по финансовому мошенничеству.
-----

KYCShadow - это банковское ВПО для Android, работающее как многоступенчатый дроппер, замаскированный под приложение для проверки KYC, предназначенное для пользователей в Индии через WhatsApp.

Заражение начинается с обманчивого экрана "Требуется обновление" и устанавливает дополнительную полезную нагрузку с помощью нескольких тактик, включая включение VPN, которая направляет трафик через сеть, контролируемую ВПО.

ВПО состоит из загрузчика (com.***appad.andr) и основной полезной нагрузки (com.am5maw3.android), при этом загрузчик расшифровывает и запускает дополнительную полезную нагрузку незаметно для пользователя.

Он использует Firebase Cloud Messaging для обмена управлением, размещенный по адресу https://jsonapi.biz , облегчающий удаленное выполнение команд, типичное для финансово мотивированных вредоносных кампаний.

После активации полезная нагрузка может выполнять перехват SMS, управление голосовыми вызовами, выполнение USSD и фишинг через интерфейс WebView для сбора конфиденциальной информации, такой как номера мобильных телефонов, PIN-коды банкоматов, данные Aadhaar и учетные данные карты.

ВПО использует продвинутые методы запутывания с помощью сведений о конфигурации и ключей, встроенных в собственную библиотеку (libnative-lib.so ), что усложняет работу по анализу.

На XOR метод расшифровки используется для извлечения полезной нагрузки во время выполнения, и ВПО можете перехвата трафика через пользовательский сервис VPN, уклонения от обнаружения.

KYCShadow обходит функции оптимизации заряда батареи для постоянного выполнения в фоновом режиме, что указывает на изощренное уклонение от мер безопасности Android.

Кампания демонстрирует тесные связи с предыдущими операциями по финансовому мошенничеству, связанными с аферами eChallan, что предполагает преемственность и возможные связи с одним развивающимся злоумышленником или группой.

Группа широко использует социальную инженерию и распространение ВПО с помощью платформ обмена сообщениями для совершения широкомасштабных финансовых афер.

#ParsedReport #CompletenessLow
26-04-2026

A Shortcut to Coercion: Incomplete Patch of APT28's Zero-Day Leads to CVE-2026-32202

https://www.akamai.com/blog/security-research/2026/apr/incomplete-patch-apt28s-zero-day-cve-2026-32202

Report completeness: Low

Actors/Campaigns:
Fancy_bear

Threats:
Motw_bypass_technique

Victims:
Ukraine, European union

Geo:
Ukraine

CVEs:
CVE-2026-32202 [Vulners]
CVSS V3.1: 4.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1607 (<10.0.14393.9060)
- microsoft windows_10_1809 (<10.0.17763.8644)
- microsoft windows_10_21h2 (<10.0.19044.7184)
- microsoft windows_10_22h2 (<10.0.19045.7184)
- microsoft windows_11_23h2 (<10.0.22631.6936)
have more...
CVE-2026-21510 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1607 (<10.0.14393.8868)
- microsoft windows_10_1809 (<10.0.17763.8389)
- microsoft windows_10_21h2 (<10.0.19044.6937)
- microsoft windows_10_22h2 (<10.0.19045.6937)
- microsoft windows_11_23h2 (<10.0.22631.6649)
have more...
CVE-2026-21513 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1607 (<10.0.14393.8868)
- microsoft windows_10_1809 (<10.0.17763.8389)
- microsoft windows_10_21h2 (<10.0.19044.6937)
- microsoft windows_10_22h2 (<10.0.19045.6937)
- microsoft windows_11_23h2 (<10.0.22631.6649)
have more...

ChatGPT TTPs:
do not use without manual check
T1187, T1203, T1218.002, T1553.005

IOCs:
File: 3

Soft:
Microsoft Defender, Windows shell, Windows Explorer, Component Object Model

Functions:
LinkTargetIDList, Verify, GetModuleMapped, PathFileExistsW

Win API:
ShellExecuteExW

#ParsedReport #GeneratedSchema
Generated with GPT-4