#ParsedReport #CompletenessMedium
24-04-2026

TryNodeUpdate turns GitHub and BSC into a TCP control lane

https://www.derp.ca/research/trynodeupdate-github-node-bsc-contract-c2/

Report completeness: Medium

Threats:
Trynodeupdate
Ocrfix_technique
Hellsuchecker
Etherhiding_technique

Geo:
Germany

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053.005, T1059.001, T1059.005, T1059.007, T1095, T1105, T1571

IOCs:
Hash: 6
File: 10
Url: 3
Path: 1
Coin: 3
IP: 4

Soft:
Node.js, phpMyAdmin

Algorithms:
sha256

Win Services:
BITS

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TryNodeUpdate - это ВПО-вредоносное ПО для Windows, которое использует GitHub и смарт-цепочку Binance для своего механизма управления. Он использует скрипт PowerShell для установки запланированной задачи, которая извлекает Node.js контроллер, который разрешает конечную точку TCP для связи. Уникальная архитектура ВПО позволяет ему динамически определять свои серверные компоненты для командования и контроля, используя общедоступные службы для выполнения оперативных задач и используя необработанные TCP-соединения через порт 8446.
-----

TryNodeUpdate - это цепочка ВПО для Windows, которая стратегически использует GitHub и интеллектуальную цепочку Binance Smart Chain (BSC) в качестве части своего механизма контроля. Первоначально сценарий PowerShell устанавливает запланированную задачу, которая извлекает Node.js контроллер из общедоступного репозитория GitHub. Этот шаг также включает передачу контрактного адреса контроллеру, который впоследствии разрешает конечную точку TCP для связи, используя определенный вызов BSC RPC.

Оперативный аспект TryNodeUpdate отличается нетрадиционные методики. В отличие от нескольких предыдущих ВПО вредоносные программы, серверный компонент не предопределенный в PowerShell в PowerShell, ни встроенных в контроллер Node.js . Вместо этого, контроллер считывает переменную, TUNNEL_URL, из ответа договора, удаляет префикс "TCP://", и устанавливает соединение на разрешенный Хост на порт 8446. Для узлов с повышенными разрешениями, ВПО популярность в родной вспомогательный исполняемый файл с именем rpc.exe из конечной точки. Этим помощником выступает в качестве переподключение клиента и выполняет свои контрактные разрешение и представления данных задачи.

Архитектура ВПО имеет сходство с более ранними фреймворками command and control (C2) на основе блокчейна, такими как те, которые используются OCRFix и HellsUchecker, хотя и с явными тактическими различиями. В то время как предыдущие попытки основывались на хранении URL-адресов или использовании зашифрованных конфигураций, TryNodeUpdate использует GitHub для начального контроллера, общедоступный BSC для поиска контрактов и необработанное TCP-соединение для активного управления.

Компоненты ВПО включают в себя различные скрипты и исполняемые файлы, в частности средство запуска VBS и полезную нагрузку JS, а также конфигурации для идентификации клиента и управления состоянием. Репозиторий GitHub, используемый в качестве исходного кода для контроллера узла, 1CodeDev-hub/electronAI, является относительно новым, с историей модификаций, предполагающих активную разработку и адаптацию еще в 2026 году.

Дальнейший технический анализ показывает, что TryNodeUpdate использует DNS-запросы и пакеты TCP SYN, направленные на несколько IP-адресов, связанных с ответами SNI. В ходе анализа был особо выделен IP-адрес 206.206.127.94, известный своей функциональностью, которая включала предоставление набора сервисов и предоставление доступа к различным интерфейсам на основе PHP. Показано, что этот IP-адрес, наряду с другими, содержит интерфейсы, которые служат потенциальными опорными точками, но только надежное соединение через необработанный TCP на порту 8446 характеризуется как активный канал ВПО вредоносного ПО.

В рамках своей операционной целостности TryNodeUpdate полагается на службу bsc.blockrazor.xyz как на общедоступную зависимость BSC RPC, используя ее для выполнения операций чтения по контракту. Однако нет никаких доказательств того, что сам BlockRazor вовлечен в работу серверной части ВПО. В целом, ВПО демонстрирует изощренное использование внешних ресурсов для своих операций, сочетая устоявшиеся методы с инновационными подходами, позволяющими избежать обнаружения и сохранить командные возможности.

#ParsedReport #CompletenessHigh
23-04-2026

GopherWhisper: A burrow full of malware

https://web-assets.esetstatic.com/wls/en/papers/white-papers/gopherwhisper-burrow-full-malware.pdf

Report completeness: High

Actors/Campaigns:
Gopherwhisper (motivation: cyber_espionage)

Threats:
Jabgopher
Laxgopher
Compactgopher
Ratgopher
Sslordoor
Frienddelivery
Boxoffriends
Passview_tool
Process_hollowing_technique
Filecoder
Process_injection_technique

Victims:
Government entity in mongolia, Government

Industry:
Government

Geo:
China, Canada, Pacific, Mongolian, Mongolia

TTPs:
Tactics: 9
Technics: 37

IOCs:
File: 19
Hash: 2
Command: 4
Email: 10
Path: 1
IP: 1

Soft:
Slack, Discord, Outlook, OpenSSL, Windows Defender, Hyper-V, Graph API, Internet Explorer, Windows service, Microsoft Defender, have more...

Crypto:
bitcoin

Algorithms:
aes, rc4, base64, sha1, md5, zip, xor, aes-128-cbc, cbc, crc-32, aes-128, base58

Functions:
GetComputerNameEx, CreateEvent, GetModuleFileName

Win API:
gethostname, gethostbyname, ZwQuerySystemInformation, GetOEMCP, GetLocalTime, DeleteFileW, SHFileOperationW, GetMessageW, PostThreadMessageW, CreateThread, have more...

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи из компании ESET выявили нелегальный группировка имени GopherWhisper, адресности государственных органов Монголии и использование различных зайти на основе ВПО для управления и контроля через законного платформ раздоры и Slack. Среди основных средств-LaxGopher, RatGopher, и SSLORDoor, с такими методами, как Process Hollowing и механизмов закрепление впрыска маскируются под легитимные сервисы. GopherWhisper использует жестко запрограммированные учетные данные для C и C доступ и использует зашифрованную связь, демонстрации сложных оперативных методик.
-----

Исследователи ESET идентифицировали недокументированную преступную хакерскую APT-группировку под названием GopherWhisper, которая, как полагают, связана с интересами Китая. Эта группа в первую очередь нацелена на правительственные учреждения Монголии и использует широкий спектр инструментов ВПО, в основном разработанных в Go, для командования и контроля (C&C) через легальные сервисы, такие как Discord, Slack, Microsoft 365 Outlook и file.io . Анализ начался с наблюдения за бэкдором LaxGopher в январе 2025 года, что привело к обнаружению нескольких других вредоносных инструментов в арсенале GopherWhisper's.

Идентифицированные ключевые компоненты включают бэкдоры на базе Go LaxGopher, RatGopher, BoxOfFriends и бэкдор на C++ с именем SSLORDoor. Каждый из этих инструментов предназначен для взаимодействия с серверами C&C, замаскированными под законные сервисы. Например, LaxGopher использует Slack для отправки и получения инструкций, в то время как RatGopher использует Discord, а BoxOfFriends взаимодействует с Microsoft Graph. Набор инструментов также включает в себя инжектор JabGopher, который обеспечивает LaxGopher, и CompactGopher, инструмент для эксфильтрации данных.

Gopherwhisper's: применение жестко запрограммированные учетные данные для доступа к их c&инфраструктур с. Через эти учетные данные, ученые извлекли более 9000 сообщений злоумышленники' слабину и каналы рознь, обеспечивая понимание их методов работы. Команды, выполняемые эти бэкдоры варьируются от перечисления файлов и сбор данных для передачи конфиденциальных файлов с помощью C&каналах.

Примечательны механизмы инъекций и закрепления, используемые GopherWhisper. Например, JabGopher вводит LaxGopher в svchost.exe обрабатывайте с помощью process hollowing, обеспечивая скрытность во время выполнения операций. FriendDelivery, другой инжектор, связанный с BoxOfFriends, устанавливает закрепление путем Маскировки под законную Службу Windows. Эта служба использует системные процессы для поддержания своей функциональности даже после перезапуска.

Бэкдор SSLORDoor, отличающийся тем, что основан на C++, устанавливает зашифрованную связь обратно со своим C& C через необработанные TCP-сокеты с использованием протоколов SSL/TLS. Он использует запутанный механизм шифрования RC4 для передачи своих сообщений. Бэкдор BoxOfFriends еще раз демонстрирует изощренность GopherWhisper's, использующий Microsoft Graph API для облегчения работы с черновиками электронных писем, постоянно перезаписывая предыдущие сообщения для сохранения скрытности.

#ParsedReport #CompletenessHigh
24-04-2026

Two Passwords, Two Compromise Stories — and the PhantomStealer v3.5.0 Config That Answers a Community Ask

https://intel.breakglass.tech/post/two-passwords-agenttesla-phantomstealer-config

Report completeness: High

Threats:
Phantom_stealer
Cloudeye
Agent_tesla
Lolbin_technique
Process_hollowing_technique
Stealerium_stealer

Victims:
Shared hosting, Industrial assembly, Transportation, Small and medium business hosting accounts

Geo:
Romanian, Italian, Italy, Romania

CVEs:
CVE-2021-41617 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- openbsd openssh (<8.8)

CVE-2023-48795 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- openbsd openssh (<9.6)

CVE-2020-15778 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- openbsd openssh (<8.3)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1048, T1055.012, T1059.001, T1078, T1140, T1584, T1620

IOCs:
IP: 2
Domain: 6
Email: 1
File: 11
Hash: 8
Path: 1
Url: 1

Soft:
cPanel, Telegram, Discord, WordPress, OpenSSH, NET Framework, ASP.NET

Algorithms:
pbkdf2, xor, base64, aes, aes-256-cbc, sha256, zip

Functions:
Decrypt

Win API:
CreateRemoteThread

Languages:
powershell

Platforms:
x64

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник, осуществивший компрометацию общих учетных записей хостинга cPanel в Италии и Румынии, чтобы использовать их в качестве точек доступа по FTP для ВПО AgentTesla и PhantomStealer версии 3.5.0. Метод развертывания включал сложную четырехэтапную цепочку доставки с использованием дроппера PowerShell с шифрованием AES, за которым следовало обфускация XOR для выполнения библиотеки .NET DLL с помощью process hollowing. Кроме того, уязвимости в SSH-сервисах на румынском хостинге были отмечены как потенциальные векторы вторжения, что подчеркивает риски в средах общего хостинга.
-----

В отчете подробно описывается деятельность злоумышленника, использующего две компрометации общих учетных записей хостинга cPanel в Италии и Румынии, используя их в качестве точек доступа по FTP для двух разных семейств ВПО-похитителей информации: AgentTesla и PhantomStealer версии 3.5.0. В анализе особое внимание уделяется техническим аспектам вторжений и поведению ВПО, особенно методам развертывания и извлечения конфигурации.

Были идентифицированы две учетные записи: одна, принадлежащая итальянскому провайдеру (IP 86.107.32.157), используемая для эксфильтрации данных AgentTesla, и другая на румынском хостинге (IP 109.73.128.91), предназначенная для PhantomStealer. Скомпрометированные учетные данные FTP были заметно отличающимися; учетная запись The AgentTesla использовала упрощенный, предсказуемый пароль, что указывает на слабые методы обеспечения безопасности пользователя, в то время как учетная запись PhantomStealer использовала сложный пароль, вероятно, сгенерированный злоумышленником после получения доступа.

ВПО PhantomStealer, как было замечено, было версии 3.5.0, которая интегрирована с модулями, способными к эксфильтрации по FTP, но другие функции, включая SMTP и cryptocurrency clipper, были отключены в ее конфигурации. Он следовал сложной четырехэтапной цепочке доставки, начинающейся с дроппера PowerShell, который включал шифрование AES, затем обфускацию XOR и, в конечном счете, загрузку .NET DLL для выполнения. Эта библиотека DLL, называемая ALTERNATE.EXECUTE, была динамически создана из расшифрованного PowerShell и выполнена с помощью process hollowing законного двоичного файла Windows — aspnet_compiler.exe — демонстрируя сложную тактику уклонения.

Восстановление конфигурации PhantomStealer с использованием его собственных методов расшифровки выявило критические рабочие параметры, такие как учетные данные для входа в систему по FTP и флаги состояния модуля. Исследование выявило потенциальную возможность ВПО для использования устаревших служб SSH на румынском хостинге, на котором запущены уязвимые версии OpenSSH, намекая на возможные векторы вторжения, которые могут быть использованы злоумышленниками для первоначального доступа.

Для облегчения обнаружения были определены показатели компрометации (IOCs), связанные с ВПО и механизмами доставки. Рекомендации включали блокировку определенных IP-адресов, оповещение об исходящем FTP-трафике, особенно для диапазонов общего хостинга, и тщательное изучение конкретного поведения, связанного с aspnet_compiler.exe контекст выполнения. Этот инцидент подчеркивает сохраняющиеся риски, связанные с неадекватными методами обеспечения безопасности в средах общего хостинга, особенно в свете все более изощренной тактики киберпреступников.

#ParsedReport #CompletenessHigh
24-04-2026

KYCShadow: An Android Banking Malware Exploiting Fake KYC Workflows for Credential and OTP Theft

https://www.cyfirma.com/research/kycshadow-an-android-banking-malware-exploiting-fake-kyc-workflows-for-credential-and-otp-theft/

Report completeness: High

Threats:
Kycshadow
Credential_harvesting_technique

Victims:
Banking users, Financial services, India

Industry:
Critical_infrastructure, Financial

Geo:
India, Indian

TTPs:
Tactics: 9
Technics: 17

IOCs:
Url: 1
File: 6
Domain: 3
Hash: 2

Soft:
Android, WhatsApp, Google Play, AgentCore

Algorithms:
zip, sha256, base64, xor

Functions:
deriveKey, nativeRunUssd, getEnvironment, getNativeUrl, getNativeKey, getNativeAgentId, getNativeSmsAction, requestBatteryExemption

Win API:
loadLibrary

Languages:
java, javascript, kotlin

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 27, dump: 2, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
KYCShadow - это банковское ВПО для Android, которое нацелено на пользователей в Индии, Маскировка под приложение для проверки KYC с помощью вводящего в заблуждение экрана "Требуется обновление". Вредоносная программа ВПО функционирует как многоступенчатый дроппер, устанавливающий дополнительную полезную нагрузку, которая позволяет перехватывать SMS, управлять голосовыми вызовами и фишинг через интерфейс WebView, используя Firebase Cloud Messaging для управления. Его методы обфускации и пользовательский VPN-сервис облегчают кражу данных и манипулирование трафиком, что согласуется с организованными операциями по финансовому мошенничеству.
-----

KYCShadow - это банковское ВПО для Android, работающее как многоступенчатый дроппер, замаскированный под приложение для проверки KYC, предназначенное для пользователей в Индии через WhatsApp.

Заражение начинается с обманчивого экрана "Требуется обновление" и устанавливает дополнительную полезную нагрузку с помощью нескольких тактик, включая включение VPN, которая направляет трафик через сеть, контролируемую ВПО.

ВПО состоит из загрузчика (com.***appad.andr) и основной полезной нагрузки (com.am5maw3.android), при этом загрузчик расшифровывает и запускает дополнительную полезную нагрузку незаметно для пользователя.

Он использует Firebase Cloud Messaging для обмена управлением, размещенный по адресу https://jsonapi.biz , облегчающий удаленное выполнение команд, типичное для финансово мотивированных вредоносных кампаний.

После активации полезная нагрузка может выполнять перехват SMS, управление голосовыми вызовами, выполнение USSD и фишинг через интерфейс WebView для сбора конфиденциальной информации, такой как номера мобильных телефонов, PIN-коды банкоматов, данные Aadhaar и учетные данные карты.

ВПО использует продвинутые методы запутывания с помощью сведений о конфигурации и ключей, встроенных в собственную библиотеку (libnative-lib.so ), что усложняет работу по анализу.

На XOR метод расшифровки используется для извлечения полезной нагрузки во время выполнения, и ВПО можете перехвата трафика через пользовательский сервис VPN, уклонения от обнаружения.

KYCShadow обходит функции оптимизации заряда батареи для постоянного выполнения в фоновом режиме, что указывает на изощренное уклонение от мер безопасности Android.

Кампания демонстрирует тесные связи с предыдущими операциями по финансовому мошенничеству, связанными с аферами eChallan, что предполагает преемственность и возможные связи с одним развивающимся злоумышленником или группой.

Группа широко использует социальную инженерию и распространение ВПО с помощью платформ обмена сообщениями для совершения широкомасштабных финансовых афер.

#ParsedReport #CompletenessLow
26-04-2026

A Shortcut to Coercion: Incomplete Patch of APT28's Zero-Day Leads to CVE-2026-32202

https://www.akamai.com/blog/security-research/2026/apr/incomplete-patch-apt28s-zero-day-cve-2026-32202

Report completeness: Low

Actors/Campaigns:
Fancy_bear

Threats:
Motw_bypass_technique

Victims:
Ukraine, European union

Geo:
Ukraine

CVEs:
CVE-2026-32202 [Vulners]
CVSS V3.1: 4.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1607 (<10.0.14393.9060)
- microsoft windows_10_1809 (<10.0.17763.8644)
- microsoft windows_10_21h2 (<10.0.19044.7184)
- microsoft windows_10_22h2 (<10.0.19045.7184)
- microsoft windows_11_23h2 (<10.0.22631.6936)
have more...
CVE-2026-21510 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1607 (<10.0.14393.8868)
- microsoft windows_10_1809 (<10.0.17763.8389)
- microsoft windows_10_21h2 (<10.0.19044.6937)
- microsoft windows_10_22h2 (<10.0.19045.6937)
- microsoft windows_11_23h2 (<10.0.22631.6649)
have more...
CVE-2026-21513 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1607 (<10.0.14393.8868)
- microsoft windows_10_1809 (<10.0.17763.8389)
- microsoft windows_10_21h2 (<10.0.19044.6937)
- microsoft windows_10_22h2 (<10.0.19045.6937)
- microsoft windows_11_23h2 (<10.0.22631.6649)
have more...

ChatGPT TTPs:
do not use without manual check
T1187, T1203, T1218.002, T1553.005

IOCs:
File: 3

Soft:
Microsoft Defender, Windows shell, Windows Explorer, Component Object Model

Functions:
LinkTargetIDList, Verify, GetModuleMapped, PathFileExistsW

Win API:
ShellExecuteExW

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи Akamai обнаружили CVE-2026-32202, уязвимость с нулевым щелчком мыши, связанную с злоумышленником APT28, возникшую в результате неполного исправления для CVE-2026-21510. Эта уязвимость позволяет злоумышленникам заставлять системы-жертвы проходить аутентификацию на своих серверах без взаимодействия с пользователем, используя вредоносный файл LNK, который использует синтаксический анализ пространства имен оболочки Windows для выполнения произвольного кода. Ситуация подчеркивает критическую слабость механизмов аутентификации, поскольку атака может произойти в результате несанкционированной загрузки библиотеки DLL без надлежащих проверок безопасности.
-----

Исследователи Akamai выявили, что неполный патч для CVE-2026-21510, эксплойта, атрибутируемого с помощью злоумышленника APT28 (также известного как Fancy Bear), привел к появлению новой уязвимости CVE-2026-32202. Эта уязвимость с нулевым щелчком позволяет злоумышленнику заставить систему жертвы пройти аутентификацию на сервере злоумышленника без какого-либо взаимодействия с пользователем. Исправление, внедренное Microsoft, успешно устранило первоначальное Удаленное Выполнение Кода (RCE) и обход SmartScreen, связанные с CVE-2026-21510, но непреднамеренно оставило эту новую уязвимость без внимания.

CVE-2026-21510 и CVE-2026-21513 оба были использованы с использованием вредоносного файла LNK, который сыграл значительную роль в цепочке эксплуатации. Метод атаки включал настройку вредоносного файла LNK, который обходит функции безопасности, позволяя выполнять код с помощью библиотеки динамических ссылок (DLL), загруженной с удаленного сервера злоумышленника. Уязвимость использует синтаксический анализ пространства имен оболочки Windows, позволяя объектам Панели управления с компрометацией загружать библиотеку DLL без надлежащей проверки.

Структура вредоносного файла LNK включает в себя список целевых ссылок, который может быть обработан с помощью shell32.dll для отображения в проводнике Windows, аналогично компонентам Панели управления. Этот список идентификаторов содержит путь, ведущий к библиотеке DLL, размещенной на сервере злоумышленника, что приводит к выполнению кода злоумышленника. Примечательно, что этот процесс происходит без необходимых проверок с помощью Microsoft Defender SmartScreen или протоколов проверки подлинности, что увеличивает риск эксплуатации.

Недостатки в исправлении высвечивают более широкую проблему, касающуюся безопасности механизмов аутентификации пользователей, особенно в случаях, когда первоначальный запрос на ресурс не подлежит проверке на доверие. Использование CVE-2026-32202 с нулевым щелчком мыши расширяет возможности атаки, позволяя злоумышленникам незаметно красть учетные данные, просто заставляя жертву перейти к папке, содержащей вредоносный файл LNK.

Таким образом, полученные результаты подчеркивают критическую важность тщательного исправления ошибок и оценки уязвимостей. Хотя первоначальный эксплойт был устранен, появление CVE-2026-32202 служит наглядным примером того, как неполные исправления могут привести к новым угрозам безопасности. Усилия по исправлению также должны включать всестороннюю проверку, чтобы предотвратить зависимость от потенциально уязвимых систем, которые могут подвергнуть пользователей атакам с нулевым щелчком мыши.

#ParsedReport #CompletenessMedium
26-04-2026

Kyber ransomware is not just post-quantum name-dropping

https://www.derp.ca/research/kyber-ransomware-hybrid-crypto/

Report completeness: Medium

Threats:
Kyber_ransomware
Kyber
Shadow_copies_delete_technique
Vssadmin_tool
Wevtutil_tool

Victims:
Defense, Information technology services

Geo:
American

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1047, T1059.001, T1070.001, T1112, T1486, T1490

IOCs:
File: 5
Registry: 2
Path: 2
Url: 2
Domain: 2
Hash: 5

Soft:
ESXi, bcdedit, Tor Browser, hyperv

Algorithms:
aes, sha1, aes-256-ctr, md5, rsa-4096, sha256, hmac, kyber1024, xor, curve25519, aes-ctr

Win API:
NtWriteFile

Languages:
rust, powershell

Platforms:
intel, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Kyber ransomware использует архитектуру на основе Rust с передовыми криптографическими методами, используя AES в режиме CTR для шифрования файлов. Он содержит полезные нагрузки, ориентированные на файловые серверы VMware ESXi и Windows, используя различные методы шифрования, такие как ChaCha8 и RSA-4096 для переноса ключей для ESXi, в то время как в версии для Windows реализованы Kyber1024 и X25519. Программа-вымогатель препятствует восстановлению, удаляя shadow copies и резервные копии системы, очищая журналы событий и используя для зашифрованных данных особое расширение файла .#\~\~\~, что представляет значительный риск для организаций.
-----

Kyber ransomware использует архитектуру на основе Rust, использующую передовые криптографические методы, в частности, использует AES в режиме CTR для шифрования файлов, одновременно интегрируя постквантовые элементы с методом инкапсуляции Kyber1024. Анализ образцов выявил две различные полезные нагрузки — одна нацелена на VMware ESXi, а другая на файловые серверы Windows — обе связаны с одним и тем же идентификатором кампании и используют инфраструктуру Tor. Версия ESXi утверждает, что использует AES, X25519 и Kyber; однако было обнаружено, что она использует ChaCha8 с переносом ключей RSA-4096. Напротив, версия для Windows реализует рекламируемый Kyber1024 наряду с X25519 для защиты ключей, используя AES-CTR для массового шифрования.

Каждый зашифрованный файл содержит уникальный трейлер 0x744, который помогает восстановить формат файла. Программа-вымогатель захватывает метаданные файла, используя криптографический подход, указанный в ее архитектуре. Анализ показывает, что процесс шифрования выполняется двоичным файлом Rust PE32+ x64. Двоичный файл взаимодействует через несколько модулей Rust, что указывает на то, что он может выполнять различные функции, связанные с шифрованием.

В процессе шифрования программа-вымогатель создает записку с требованием выкупа под названием "read_me_now.txt " и добавляет к зашифрованным файлам отличительное расширение .#\~\~\~, сигнализирующее о том, что данные подверглись компрометации. Программа-вымогатель использует несколько методов для предотвращения попыток восстановления, включая удаление shadow copies и резервное копирование состояния системы с помощью таких команд, как "vssadmin" и "wbadmin", а также очищает журналы событий, чтобы устранить следы своей активности.

С криптографической точки зрения, при шифровании используется 32-байтовый ключ, который встроен в расписание ключей AES, в то время как среда выполнения поддерживает указатель ключа и соответствующие метаданные для облегчения процессов шифрования для каждого файла. Несмотря на надежную криптографическую основу, в проанализированном образце отсутствуют пути дешифрования, что указывает на необходимость отдельного дешифратора или службы, хранящей соответствующие Закрытые ключи для восстановления.

Для обнаружения и смягчения последствий защитникам рекомендуется отслеживать конкретные расширения файлов, подписи трейлеров и связанные с ними строки Rust crypto. Сочетание эффективных криптографических методов и агрессивных мер по предотвращению восстановления указывает на то, что Kyber ransomware представляет серьезную угрозу, что требует принятия бдительных мер по Кибербезопасности для организаций, подверженных риску.

#ParsedReport #CompletenessLow
25-04-2026

Rebex-based Telegram RAT Targeting Vietnam

https://dmpdump.github.io/posts/TelegramRat/

Report completeness: Low

Threats:
Telegramrat

Geo:
Vietnam

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.013, T1036.003, T1053.005, T1059.001, T1059.003, T1059.006, T1071.001, T1105, T1127.001, have more...

IOCs:
File: 15
Path: 7
Registry: 2
Command: 2
Hash: 4

Soft:
Telegram, Winlogon, NuGet

Algorithms:
base64, zip, xor

Win API:
sendMessage

Win Services:
Webclient

Languages:
powershell, python

Links:
https://github.com/dmpdump

#ParsedReport #ExtractedSchema

Classified images:
code: 17, schema: 1, dump: 1, windows: 1