#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, или Transparent Tribe, нацелен на индийские оборонные организации с помощью ВПО на основе Go DeskRAT, доставляемого с помощью больших, специально созданных файлов ".desktop", которые используют freedesktop.org стандарт. ВПО подключается к серверам управления через WebSockets, инфраструктура которых размещена в Молдове, и демонстрирует заметные недостатки OPSEC, такие как раскрытие путей во время компиляции. Группа перешла от ВПО для Windows к имплантатам, ориентированным на Linux, приведя свою тактику в соответствие с геополитическими событиями в регионе.
-----

APT36, также известная как Transparent Tribe, участвовала в целенаправленной кампании против индийских оборонных организаций с использованием вредоносного инструмента, называемого DeskRAT. Этот инструмент, написанный на Go, поставляется через специально созданные файлы ".desktop`, использующие freedesktop.org стандарт для средств запуска приложений. Нынешняя приманка связана с предполагаемыми заказами на поставку танков Т-72 и Т-90, тема, которая, вероятно, вызовет интерес у оборонных подрядчиков.

Вредоносный файл ".desktop" необычно велик - 1,4 МБ, содержит полезную нагрузку, которая доставляется с помощью серии шагов кодирования и распаковки. Жертвы запускают этот файл, запуская конвейер, в котором полезная нагрузка извлекается и выполняется без необходимости компиляции, что делает возможным запуск в стандартных средах Linux, где предустановлены такие инструменты, как Python и bzip2. Инфраструктура командования и контроля (C2) работает через WebSockets, размещенную на IP-адресе в Молдове и использующую несколько доменов для маршрутизации данных.

Технический анализ двоичного файла DeskRAT выявляет недостатки операционной безопасности (OPSEC) со стороны операторов APT36. Двоичный файл с компрометацией раскрывает пути во время компиляции и информацию о локальном пользователе, которые потенциально могут привести к установлению авторства. Двоичный файл содержит пути, указывающие на то, что он был кросс-скомпилирован на компьютере с Windows пользователем с именем учетной записи "hp", что дополнительно раскрывает подробности его среды разработки.

DeskRAT устанавливает связь со своим сервером C2 через конечную точку WebSocket, идентифицируемую по определенному приветственному сообщению в формате JSON. Сервер предоставляет временную метку, которая предполагает, что настройки часового пояса оператора могут быть искусственными, что указывает либо на желание скрыть свое местоположение, либо на небрежную неправильную настройку. Постоянное использование нескольких доменов для C2 предполагает стратегию избыточности и гибкости в ответ на усилия по обнаружению.

Примечательно, что APT36 продемонстрировала цикличность в разработке своего ВПО - это четвертое поколение RAT, которое они внедрили с середины 2024 года. Их набор инструментов перешел от ВПО на базе Windows к имплантатам, ориентированным на Linux, что свидетельствует о стратегическом ответе на оперативные потребности индийского оборонного сектора. Их текущие операции характеризуются постоянной тематикой их приманок для фишинга, отражающих важные геополитические события между Индией и Пакистаном.

Индикаторы для обнаружения включают мониторинг наличия файлов ".desktop", превышающих обычные размеры, оповещение о подозрительных схемах выполнения ".desktop" и тщательный анализ исходящего трафика WebSocket, направленного на известные IP-адреса C2. Учитывая историческую ориентацию организации на чувствительные секторы, для организаций, работающих в этом контексте, необходимы тщательная осведомленность и упреждающие меры по Кибербезопасности.

#ParsedReport #CompletenessMedium
25-04-2026

Urelas is old, weird, and still watching Korean card games

https://www.derp.ca/research/urelas-korean-card-game-capture/

Report completeness: Medium

Threats:
Urelas
Pecompact2_tool

Victims:
Online gaming, Card games, Gambling, South korea

Industry:
Telco

Geo:
Korean, Korea

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.001, T1027.002, T1027.009, T1027.013, T1041, T1057, T1082, T1113, T1129, T1571, have more...

IOCs:
File: 12
Hash: 8
IP: 6
Path: 1

Algorithms:
sha256, zip

Functions:
SetParentId, SetCommand, SetGameId, GetDllDataLen, GetDllData

Win API:
GetWindowDC, CreateCompatibleBitmap, PrintWindow, BitBlt, GetDIBits

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Urelas - это устойчивый штамм ВПО, нацеленный на корейские карточные онлайн-игры, функционирующий как троян, который отслеживает определенные процессы, связанные с игрой. Он делает снимки экрана и передает информацию о хосте на серверы управления, расположенные в основном в Корее. Недавний образец показал его классическую архитектуру, включая вспомогательную библиотеку DLL для захвата скриншотов, и продемонстрировал всплеск активности, особенно в апреле 2026 года, с более чем 3100 задокументированными уникальными идентификаторами SHA256, что указывает на целенаправленное наблюдение за нишевыми игровыми клиентами.
-----

Urelas - это разновидность ВПО, которая существует уже более десяти лет и в основном нацелена на корейские карточные онлайн-игры. Он работает как троянец, отслеживая процессы, связанные с этими играми, делая снимки экрана и передавая информацию о хосте на сервер управления (C2). Принцип действия ВПО основан на конкретных игровых клиентах, включая Badugi, Poker и Hoola, которые он идентифицирует по связанным с ними исполняемым файлам. Такое целенаправленное поведение отличает Urelas от более обычных Троянских программ удаленного доступа (RATs), которые обладают более широкими и обобщенными возможностями.

Недавний образец от апреля 2026 года показывает, что Urelas продолжает использовать архитектуру, значительно схожую с его предыдущими итерациями. ВПО захватывает изображения игрового окна и сжимает их в записи формата JPEG/JFIF 6003 перед отправкой на конечные точки C2, размещенные в основном у корейских интернет-провайдеров, таких как SK Broadband и DLIVE. Анализ образца показывает заметный всплеск активности Urelas: за короткий промежуток времени было задокументировано более 3100 уникальных идентификаторов SHA256, особенно выделяя апрель 2026 года, когда произошло резкое увеличение числа новых случаев.

Технический анализ образца показывает многоуровневую структуру: родительский исполняемый файл записывает промежуточные исполняемые файлы и связанные с ними файлы конфигурации, включая файл состояния MSMP с битовой обработкой и вспомогательную библиотеку DLL с именем HGDraw.dll , который помогает делать скриншоты. Эта библиотека DLL сжата с использованием формата PECompact2 и датируется концом 2013 года, что указывает на то, что компоненты ВПО несколько устарели, но особенно эффективны для своей цели.

Архитектура C2 основана на определенных IP-адресах с различными конечными точками, используемыми для передачи собранных данных обратно злоумышленникам. Механизм закрепления для Urelas оставляет следы в реестре Windows, гарантируя, что он будет сохранен на зараженных компьютерах.

В конечном счете, Urelas демонстрирует целенаправленную нишевую функциональность, в первую очередь предназначенную для наблюдения за корейскими карточными играми, о чем свидетельствует его постоянное взаимодействие с узнаваемыми именами исполняемых файлов, связанных с игрой. В нем подчеркивается важность понимания конкретных моделей поведения ВПО, которые соответствуют конкретным вариантам использования, вместо того, чтобы применять универсальный подход к современным угрозам ВПО. Постоянный мониторинг такого ВПО необходим специалистам по Кибербезопасности из-за его уникальных эксплуатационных характеристик и специфической стратегии таргетинга в сфере онлайн-игр в Южной Корее.

#ParsedReport #CompletenessMedium
24-04-2026

TryNodeUpdate turns GitHub and BSC into a TCP control lane

https://www.derp.ca/research/trynodeupdate-github-node-bsc-contract-c2/

Report completeness: Medium

Threats:
Trynodeupdate
Ocrfix_technique
Hellsuchecker
Etherhiding_technique

Geo:
Germany

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053.005, T1059.001, T1059.005, T1059.007, T1095, T1105, T1571

IOCs:
Hash: 6
File: 10
Url: 3
Path: 1
Coin: 3
IP: 4

Soft:
Node.js, phpMyAdmin

Algorithms:
sha256

Win Services:
BITS

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TryNodeUpdate - это ВПО-вредоносное ПО для Windows, которое использует GitHub и смарт-цепочку Binance для своего механизма управления. Он использует скрипт PowerShell для установки запланированной задачи, которая извлекает Node.js контроллер, который разрешает конечную точку TCP для связи. Уникальная архитектура ВПО позволяет ему динамически определять свои серверные компоненты для командования и контроля, используя общедоступные службы для выполнения оперативных задач и используя необработанные TCP-соединения через порт 8446.
-----

TryNodeUpdate - это цепочка ВПО для Windows, которая стратегически использует GitHub и интеллектуальную цепочку Binance Smart Chain (BSC) в качестве части своего механизма контроля. Первоначально сценарий PowerShell устанавливает запланированную задачу, которая извлекает Node.js контроллер из общедоступного репозитория GitHub. Этот шаг также включает передачу контрактного адреса контроллеру, который впоследствии разрешает конечную точку TCP для связи, используя определенный вызов BSC RPC.

Оперативный аспект TryNodeUpdate отличается нетрадиционные методики. В отличие от нескольких предыдущих ВПО вредоносные программы, серверный компонент не предопределенный в PowerShell в PowerShell, ни встроенных в контроллер Node.js . Вместо этого, контроллер считывает переменную, TUNNEL_URL, из ответа договора, удаляет префикс "TCP://", и устанавливает соединение на разрешенный Хост на порт 8446. Для узлов с повышенными разрешениями, ВПО популярность в родной вспомогательный исполняемый файл с именем rpc.exe из конечной точки. Этим помощником выступает в качестве переподключение клиента и выполняет свои контрактные разрешение и представления данных задачи.

Архитектура ВПО имеет сходство с более ранними фреймворками command and control (C2) на основе блокчейна, такими как те, которые используются OCRFix и HellsUchecker, хотя и с явными тактическими различиями. В то время как предыдущие попытки основывались на хранении URL-адресов или использовании зашифрованных конфигураций, TryNodeUpdate использует GitHub для начального контроллера, общедоступный BSC для поиска контрактов и необработанное TCP-соединение для активного управления.

Компоненты ВПО включают в себя различные скрипты и исполняемые файлы, в частности средство запуска VBS и полезную нагрузку JS, а также конфигурации для идентификации клиента и управления состоянием. Репозиторий GitHub, используемый в качестве исходного кода для контроллера узла, 1CodeDev-hub/electronAI, является относительно новым, с историей модификаций, предполагающих активную разработку и адаптацию еще в 2026 году.

Дальнейший технический анализ показывает, что TryNodeUpdate использует DNS-запросы и пакеты TCP SYN, направленные на несколько IP-адресов, связанных с ответами SNI. В ходе анализа был особо выделен IP-адрес 206.206.127.94, известный своей функциональностью, которая включала предоставление набора сервисов и предоставление доступа к различным интерфейсам на основе PHP. Показано, что этот IP-адрес, наряду с другими, содержит интерфейсы, которые служат потенциальными опорными точками, но только надежное соединение через необработанный TCP на порту 8446 характеризуется как активный канал ВПО вредоносного ПО.

В рамках своей операционной целостности TryNodeUpdate полагается на службу bsc.blockrazor.xyz как на общедоступную зависимость BSC RPC, используя ее для выполнения операций чтения по контракту. Однако нет никаких доказательств того, что сам BlockRazor вовлечен в работу серверной части ВПО. В целом, ВПО демонстрирует изощренное использование внешних ресурсов для своих операций, сочетая устоявшиеся методы с инновационными подходами, позволяющими избежать обнаружения и сохранить командные возможности.

#ParsedReport #CompletenessHigh
23-04-2026

GopherWhisper: A burrow full of malware

https://web-assets.esetstatic.com/wls/en/papers/white-papers/gopherwhisper-burrow-full-malware.pdf

Report completeness: High

Actors/Campaigns:
Gopherwhisper (motivation: cyber_espionage)

Threats:
Jabgopher
Laxgopher
Compactgopher
Ratgopher
Sslordoor
Frienddelivery
Boxoffriends
Passview_tool
Process_hollowing_technique
Filecoder
Process_injection_technique

Victims:
Government entity in mongolia, Government

Industry:
Government

Geo:
China, Canada, Pacific, Mongolian, Mongolia

TTPs:
Tactics: 9
Technics: 37

IOCs:
File: 19
Hash: 2
Command: 4
Email: 10
Path: 1
IP: 1

Soft:
Slack, Discord, Outlook, OpenSSL, Windows Defender, Hyper-V, Graph API, Internet Explorer, Windows service, Microsoft Defender, have more...

Crypto:
bitcoin

Algorithms:
aes, rc4, base64, sha1, md5, zip, xor, aes-128-cbc, cbc, crc-32, aes-128, base58

Functions:
GetComputerNameEx, CreateEvent, GetModuleFileName

Win API:
gethostname, gethostbyname, ZwQuerySystemInformation, GetOEMCP, GetLocalTime, DeleteFileW, SHFileOperationW, GetMessageW, PostThreadMessageW, CreateThread, have more...

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи из компании ESET выявили нелегальный группировка имени GopherWhisper, адресности государственных органов Монголии и использование различных зайти на основе ВПО для управления и контроля через законного платформ раздоры и Slack. Среди основных средств-LaxGopher, RatGopher, и SSLORDoor, с такими методами, как Process Hollowing и механизмов закрепление впрыска маскируются под легитимные сервисы. GopherWhisper использует жестко запрограммированные учетные данные для C и C доступ и использует зашифрованную связь, демонстрации сложных оперативных методик.
-----

Исследователи ESET идентифицировали недокументированную преступную хакерскую APT-группировку под названием GopherWhisper, которая, как полагают, связана с интересами Китая. Эта группа в первую очередь нацелена на правительственные учреждения Монголии и использует широкий спектр инструментов ВПО, в основном разработанных в Go, для командования и контроля (C&C) через легальные сервисы, такие как Discord, Slack, Microsoft 365 Outlook и file.io . Анализ начался с наблюдения за бэкдором LaxGopher в январе 2025 года, что привело к обнаружению нескольких других вредоносных инструментов в арсенале GopherWhisper's.

Идентифицированные ключевые компоненты включают бэкдоры на базе Go LaxGopher, RatGopher, BoxOfFriends и бэкдор на C++ с именем SSLORDoor. Каждый из этих инструментов предназначен для взаимодействия с серверами C&C, замаскированными под законные сервисы. Например, LaxGopher использует Slack для отправки и получения инструкций, в то время как RatGopher использует Discord, а BoxOfFriends взаимодействует с Microsoft Graph. Набор инструментов также включает в себя инжектор JabGopher, который обеспечивает LaxGopher, и CompactGopher, инструмент для эксфильтрации данных.

Gopherwhisper's: применение жестко запрограммированные учетные данные для доступа к их c&инфраструктур с. Через эти учетные данные, ученые извлекли более 9000 сообщений злоумышленники' слабину и каналы рознь, обеспечивая понимание их методов работы. Команды, выполняемые эти бэкдоры варьируются от перечисления файлов и сбор данных для передачи конфиденциальных файлов с помощью C&каналах.

Примечательны механизмы инъекций и закрепления, используемые GopherWhisper. Например, JabGopher вводит LaxGopher в svchost.exe обрабатывайте с помощью process hollowing, обеспечивая скрытность во время выполнения операций. FriendDelivery, другой инжектор, связанный с BoxOfFriends, устанавливает закрепление путем Маскировки под законную Службу Windows. Эта служба использует системные процессы для поддержания своей функциональности даже после перезапуска.

Бэкдор SSLORDoor, отличающийся тем, что основан на C++, устанавливает зашифрованную связь обратно со своим C& C через необработанные TCP-сокеты с использованием протоколов SSL/TLS. Он использует запутанный механизм шифрования RC4 для передачи своих сообщений. Бэкдор BoxOfFriends еще раз демонстрирует изощренность GopherWhisper's, использующий Microsoft Graph API для облегчения работы с черновиками электронных писем, постоянно перезаписывая предыдущие сообщения для сохранения скрытности.

#ParsedReport #CompletenessHigh
24-04-2026

Two Passwords, Two Compromise Stories — and the PhantomStealer v3.5.0 Config That Answers a Community Ask

https://intel.breakglass.tech/post/two-passwords-agenttesla-phantomstealer-config

Report completeness: High

Threats:
Phantom_stealer
Cloudeye
Agent_tesla
Lolbin_technique
Process_hollowing_technique
Stealerium_stealer

Victims:
Shared hosting, Industrial assembly, Transportation, Small and medium business hosting accounts

Geo:
Romanian, Italian, Italy, Romania

CVEs:
CVE-2021-41617 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- openbsd openssh (<8.8)

CVE-2023-48795 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- openbsd openssh (<9.6)

CVE-2020-15778 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- openbsd openssh (<8.3)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1048, T1055.012, T1059.001, T1078, T1140, T1584, T1620

IOCs:
IP: 2
Domain: 6
Email: 1
File: 11
Hash: 8
Path: 1
Url: 1

Soft:
cPanel, Telegram, Discord, WordPress, OpenSSH, NET Framework, ASP.NET

Algorithms:
pbkdf2, xor, base64, aes, aes-256-cbc, sha256, zip

Functions:
Decrypt

Win API:
CreateRemoteThread

Languages:
powershell

Platforms:
x64

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник, осуществивший компрометацию общих учетных записей хостинга cPanel в Италии и Румынии, чтобы использовать их в качестве точек доступа по FTP для ВПО AgentTesla и PhantomStealer версии 3.5.0. Метод развертывания включал сложную четырехэтапную цепочку доставки с использованием дроппера PowerShell с шифрованием AES, за которым следовало обфускация XOR для выполнения библиотеки .NET DLL с помощью process hollowing. Кроме того, уязвимости в SSH-сервисах на румынском хостинге были отмечены как потенциальные векторы вторжения, что подчеркивает риски в средах общего хостинга.
-----

В отчете подробно описывается деятельность злоумышленника, использующего две компрометации общих учетных записей хостинга cPanel в Италии и Румынии, используя их в качестве точек доступа по FTP для двух разных семейств ВПО-похитителей информации: AgentTesla и PhantomStealer версии 3.5.0. В анализе особое внимание уделяется техническим аспектам вторжений и поведению ВПО, особенно методам развертывания и извлечения конфигурации.

Были идентифицированы две учетные записи: одна, принадлежащая итальянскому провайдеру (IP 86.107.32.157), используемая для эксфильтрации данных AgentTesla, и другая на румынском хостинге (IP 109.73.128.91), предназначенная для PhantomStealer. Скомпрометированные учетные данные FTP были заметно отличающимися; учетная запись The AgentTesla использовала упрощенный, предсказуемый пароль, что указывает на слабые методы обеспечения безопасности пользователя, в то время как учетная запись PhantomStealer использовала сложный пароль, вероятно, сгенерированный злоумышленником после получения доступа.

ВПО PhantomStealer, как было замечено, было версии 3.5.0, которая интегрирована с модулями, способными к эксфильтрации по FTP, но другие функции, включая SMTP и cryptocurrency clipper, были отключены в ее конфигурации. Он следовал сложной четырехэтапной цепочке доставки, начинающейся с дроппера PowerShell, который включал шифрование AES, затем обфускацию XOR и, в конечном счете, загрузку .NET DLL для выполнения. Эта библиотека DLL, называемая ALTERNATE.EXECUTE, была динамически создана из расшифрованного PowerShell и выполнена с помощью process hollowing законного двоичного файла Windows — aspnet_compiler.exe — демонстрируя сложную тактику уклонения.

Восстановление конфигурации PhantomStealer с использованием его собственных методов расшифровки выявило критические рабочие параметры, такие как учетные данные для входа в систему по FTP и флаги состояния модуля. Исследование выявило потенциальную возможность ВПО для использования устаревших служб SSH на румынском хостинге, на котором запущены уязвимые версии OpenSSH, намекая на возможные векторы вторжения, которые могут быть использованы злоумышленниками для первоначального доступа.

Для облегчения обнаружения были определены показатели компрометации (IOCs), связанные с ВПО и механизмами доставки. Рекомендации включали блокировку определенных IP-адресов, оповещение об исходящем FTP-трафике, особенно для диапазонов общего хостинга, и тщательное изучение конкретного поведения, связанного с aspnet_compiler.exe контекст выполнения. Этот инцидент подчеркивает сохраняющиеся риски, связанные с неадекватными методами обеспечения безопасности в средах общего хостинга, особенно в свете все более изощренной тактики киберпреступников.

#ParsedReport #CompletenessHigh
24-04-2026

KYCShadow: An Android Banking Malware Exploiting Fake KYC Workflows for Credential and OTP Theft

https://www.cyfirma.com/research/kycshadow-an-android-banking-malware-exploiting-fake-kyc-workflows-for-credential-and-otp-theft/

Report completeness: High

Threats:
Kycshadow
Credential_harvesting_technique

Victims:
Banking users, Financial services, India

Industry:
Critical_infrastructure, Financial

Geo:
India, Indian

TTPs:
Tactics: 9
Technics: 17

IOCs:
Url: 1
File: 6
Domain: 3
Hash: 2

Soft:
Android, WhatsApp, Google Play, AgentCore

Algorithms:
zip, sha256, base64, xor

Functions:
deriveKey, nativeRunUssd, getEnvironment, getNativeUrl, getNativeKey, getNativeAgentId, getNativeSmsAction, requestBatteryExemption

Win API:
loadLibrary

Languages:
java, javascript, kotlin

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 27, dump: 2, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
KYCShadow - это банковское ВПО для Android, которое нацелено на пользователей в Индии, Маскировка под приложение для проверки KYC с помощью вводящего в заблуждение экрана "Требуется обновление". Вредоносная программа ВПО функционирует как многоступенчатый дроппер, устанавливающий дополнительную полезную нагрузку, которая позволяет перехватывать SMS, управлять голосовыми вызовами и фишинг через интерфейс WebView, используя Firebase Cloud Messaging для управления. Его методы обфускации и пользовательский VPN-сервис облегчают кражу данных и манипулирование трафиком, что согласуется с организованными операциями по финансовому мошенничеству.
-----

KYCShadow - это банковское ВПО для Android, работающее как многоступенчатый дроппер, замаскированный под приложение для проверки KYC, предназначенное для пользователей в Индии через WhatsApp.

Заражение начинается с обманчивого экрана "Требуется обновление" и устанавливает дополнительную полезную нагрузку с помощью нескольких тактик, включая включение VPN, которая направляет трафик через сеть, контролируемую ВПО.

ВПО состоит из загрузчика (com.***appad.andr) и основной полезной нагрузки (com.am5maw3.android), при этом загрузчик расшифровывает и запускает дополнительную полезную нагрузку незаметно для пользователя.

Он использует Firebase Cloud Messaging для обмена управлением, размещенный по адресу https://jsonapi.biz , облегчающий удаленное выполнение команд, типичное для финансово мотивированных вредоносных кампаний.

После активации полезная нагрузка может выполнять перехват SMS, управление голосовыми вызовами, выполнение USSD и фишинг через интерфейс WebView для сбора конфиденциальной информации, такой как номера мобильных телефонов, PIN-коды банкоматов, данные Aadhaar и учетные данные карты.

ВПО использует продвинутые методы запутывания с помощью сведений о конфигурации и ключей, встроенных в собственную библиотеку (libnative-lib.so ), что усложняет работу по анализу.

На XOR метод расшифровки используется для извлечения полезной нагрузки во время выполнения, и ВПО можете перехвата трафика через пользовательский сервис VPN, уклонения от обнаружения.

KYCShadow обходит функции оптимизации заряда батареи для постоянного выполнения в фоновом режиме, что указывает на изощренное уклонение от мер безопасности Android.

Кампания демонстрирует тесные связи с предыдущими операциями по финансовому мошенничеству, связанными с аферами eChallan, что предполагает преемственность и возможные связи с одним развивающимся злоумышленником или группой.

Группа широко использует социальную инженерию и распространение ВПО с помощью платформ обмена сообщениями для совершения широкомасштабных финансовых афер.

#ParsedReport #CompletenessLow
26-04-2026

A Shortcut to Coercion: Incomplete Patch of APT28's Zero-Day Leads to CVE-2026-32202

https://www.akamai.com/blog/security-research/2026/apr/incomplete-patch-apt28s-zero-day-cve-2026-32202

Report completeness: Low

Actors/Campaigns:
Fancy_bear

Threats:
Motw_bypass_technique

Victims:
Ukraine, European union

Geo:
Ukraine

CVEs:
CVE-2026-32202 [Vulners]
CVSS V3.1: 4.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1607 (<10.0.14393.9060)
- microsoft windows_10_1809 (<10.0.17763.8644)
- microsoft windows_10_21h2 (<10.0.19044.7184)
- microsoft windows_10_22h2 (<10.0.19045.7184)
- microsoft windows_11_23h2 (<10.0.22631.6936)
have more...
CVE-2026-21510 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1607 (<10.0.14393.8868)
- microsoft windows_10_1809 (<10.0.17763.8389)
- microsoft windows_10_21h2 (<10.0.19044.6937)
- microsoft windows_10_22h2 (<10.0.19045.6937)
- microsoft windows_11_23h2 (<10.0.22631.6649)
have more...
CVE-2026-21513 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1607 (<10.0.14393.8868)
- microsoft windows_10_1809 (<10.0.17763.8389)
- microsoft windows_10_21h2 (<10.0.19044.6937)
- microsoft windows_10_22h2 (<10.0.19045.6937)
- microsoft windows_11_23h2 (<10.0.22631.6649)
have more...

ChatGPT TTPs:
do not use without manual check
T1187, T1203, T1218.002, T1553.005

IOCs:
File: 3

Soft:
Microsoft Defender, Windows shell, Windows Explorer, Component Object Model

Functions:
LinkTargetIDList, Verify, GetModuleMapped, PathFileExistsW

Win API:
ShellExecuteExW

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи Akamai обнаружили CVE-2026-32202, уязвимость с нулевым щелчком мыши, связанную с злоумышленником APT28, возникшую в результате неполного исправления для CVE-2026-21510. Эта уязвимость позволяет злоумышленникам заставлять системы-жертвы проходить аутентификацию на своих серверах без взаимодействия с пользователем, используя вредоносный файл LNK, который использует синтаксический анализ пространства имен оболочки Windows для выполнения произвольного кода. Ситуация подчеркивает критическую слабость механизмов аутентификации, поскольку атака может произойти в результате несанкционированной загрузки библиотеки DLL без надлежащих проверок безопасности.
-----

Исследователи Akamai выявили, что неполный патч для CVE-2026-21510, эксплойта, атрибутируемого с помощью злоумышленника APT28 (также известного как Fancy Bear), привел к появлению новой уязвимости CVE-2026-32202. Эта уязвимость с нулевым щелчком позволяет злоумышленнику заставить систему жертвы пройти аутентификацию на сервере злоумышленника без какого-либо взаимодействия с пользователем. Исправление, внедренное Microsoft, успешно устранило первоначальное Удаленное Выполнение Кода (RCE) и обход SmartScreen, связанные с CVE-2026-21510, но непреднамеренно оставило эту новую уязвимость без внимания.

CVE-2026-21510 и CVE-2026-21513 оба были использованы с использованием вредоносного файла LNK, который сыграл значительную роль в цепочке эксплуатации. Метод атаки включал настройку вредоносного файла LNK, который обходит функции безопасности, позволяя выполнять код с помощью библиотеки динамических ссылок (DLL), загруженной с удаленного сервера злоумышленника. Уязвимость использует синтаксический анализ пространства имен оболочки Windows, позволяя объектам Панели управления с компрометацией загружать библиотеку DLL без надлежащей проверки.

Структура вредоносного файла LNK включает в себя список целевых ссылок, который может быть обработан с помощью shell32.dll для отображения в проводнике Windows, аналогично компонентам Панели управления. Этот список идентификаторов содержит путь, ведущий к библиотеке DLL, размещенной на сервере злоумышленника, что приводит к выполнению кода злоумышленника. Примечательно, что этот процесс происходит без необходимых проверок с помощью Microsoft Defender SmartScreen или протоколов проверки подлинности, что увеличивает риск эксплуатации.

Недостатки в исправлении высвечивают более широкую проблему, касающуюся безопасности механизмов аутентификации пользователей, особенно в случаях, когда первоначальный запрос на ресурс не подлежит проверке на доверие. Использование CVE-2026-32202 с нулевым щелчком мыши расширяет возможности атаки, позволяя злоумышленникам незаметно красть учетные данные, просто заставляя жертву перейти к папке, содержащей вредоносный файл LNK.

Таким образом, полученные результаты подчеркивают критическую важность тщательного исправления ошибок и оценки уязвимостей. Хотя первоначальный эксплойт был устранен, появление CVE-2026-32202 служит наглядным примером того, как неполные исправления могут привести к новым угрозам безопасности. Усилия по исправлению также должны включать всестороннюю проверку, чтобы предотвратить зависимость от потенциально уязвимых систем, которые могут подвергнуть пользователей атакам с нулевым щелчком мыши.

#ParsedReport #CompletenessMedium
26-04-2026

Kyber ransomware is not just post-quantum name-dropping

https://www.derp.ca/research/kyber-ransomware-hybrid-crypto/

Report completeness: Medium

Threats:
Kyber_ransomware
Kyber
Shadow_copies_delete_technique
Vssadmin_tool
Wevtutil_tool

Victims:
Defense, Information technology services

Geo:
American

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1047, T1059.001, T1070.001, T1112, T1486, T1490

IOCs:
File: 5
Registry: 2
Path: 2
Url: 2
Domain: 2
Hash: 5

Soft:
ESXi, bcdedit, Tor Browser, hyperv

Algorithms:
aes, sha1, aes-256-ctr, md5, rsa-4096, sha256, hmac, kyber1024, xor, curve25519, aes-ctr

Win API:
NtWriteFile

Languages:
rust, powershell

Platforms:
intel, x64