#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
29 апреля 2026 года была раскрыта уязвимость CVE-2026-41940 в cPanel и WHM, что привело к быстрой эксплуатации, особенно против военных и правительственных целей в Юго-Восточной Азии. Атакующие использовали публичный код PoC и кастомные эксплойты, включая SQL-инъекцию для повышения привилегий и коммуникацию через ELF-пэйлоад под названием AdaptixC2. Усилия по эксфильтрации данных выявили конфиденциальную информацию, связанную с электрификацией железных дорог Китая, что указывает на согласованную инициативу по сбору разведданных со стороны атакующих.
-----

29 апреля 2026 года была раскрыта уязвимость, идентифицированная как CVE-2026-41940, затрагивающая платформы cPanel и WHM, которая позволяла критическое обход аутентификации для несанкционированного доступа к панелям управления. После раскрытия эксплуатация быстро эскалировала, при этом активность злоумышленников была в основном направлена на военные и государственные структуры в Юго-Восточной Азии, особенно на Филиппинах и в Лаосе, а также на различных провайдеров хостинговых услуг. Актеры использовали общедоступный код доказательства концепции (PoC) для этой уязвимости.

Аналитика от Ctrl-Alt-Intel выделила злоумышленника, действующего с конкретного IP-адреса, который был вовлечен в прямые взаимодействия, направленные на эксплуатацию этой уязвимости. Проведенные операции включали использование кастомного эксплойта, специфичного для индонезийского военного учебного портала, где злоумышленник применил известную аутентифицированную SQL-инъекцию для повышения привилегий в базе данных PostgreSQL, используя функцию сервера COPY ... TO PROGRAM для выполнения команд оболочки.

Актор использовал инфраструктуру управления (C2) с ELF-бэкдором под названием AdaptixC2 для связи, в частности, через домен, настроенный для эксфильтрации данных. Использование таких инструментов, как OpenVPN и Ligolo, способствовало созданию слоя постоянного доступа, который позволял оператору выполнять переходы в сети жертв и устанавливать SSH-доступ с правами root.

Эксфильтрация данных, направленная на конфиденциальную информацию, связанную с Комитетом электрификации Китайского железнодорожного общества, раскрыла сведения о государственной железнодорожной инфраструктуре и управлении в Китае. Похищенные документы содержали детали о практике электрификации железных дорог и записи о встречах среди железнодорожных чиновников, что подтверждает нарушение безопасности критически важных данных, связанных с операционными технологиями, относящимися к железнодорожным системам Китая.

Анализ атрибуции указывал на возможное участие вьетнамских акторов на основе комментариев, найденных в связанных скриптах; однако анализ пришел к выводу, что таких маркеров самих по себе недостаточно для окончательной атрибуции. Характер операций указывал на более масштабную стратегическую инициативу, направленную на сбор региональной разведданных, что подтверждается широтой охвата целевых объектов и фокусом на документах железнодорожной инфраструктуры.

Инцидент отражает быструю эволюцию от раскрытия уязвимости до практической эксплуатации, подчеркивая значительные риски для военных и государственных структур в регионе, а также передовые оперативные методы, применяемые злоумышленниками. Тактика эксплуатации и поведение после компрометации соответствуют шаблонам, характерным для сложных усилий по эксфильтрации данных, что дополнительно указывает на растущую угрозу для региональной инфраструктуры кибербезопасности.

#ParsedReport #CompletenessLow
01-05-2026

Malicious Ad for Homebrew Leads to MacSync Stealer

https://dshield.org/diary/Malicious+Ad+for+Homebrew+Leads+to+MacSync+Stealer/32942/

Report completeness: Low

Threats:
Macc_stealer

Victims:
Macos users

ChatGPT TTPs:
do not use without manual check
T1005, T1036, T1041, T1059.004, T1105, T1204.001, T1204.004, T1560

IOCs:
Url: 3
Domain: 1
Hash: 3

Soft:
macOS

Algorithms:
base64, zip, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В последние время киберкампании всё чаще нацелены на устройства macOS, в частности через вредоносную рекламу, которая перенаправляет пользователей на поддельную страницу Homebrew, продвигающую вредоносное ПО MacSync Stealer. Это вредоносное ПО обманывает пользователей, заставляя их выполнять команды в терминале, что позволяет ему получить повышенный доступ и собрать конфиденциальные данные, которые затем отправляются на сервер управления. Это подчеркивает использование тактик социальной инженерии для сокрытия вредоносной деятельности в среде macOS.
-----

Последние тенденции указывают на рост киберкампаний, нацеленных на устройства macOS, в частности на ноутбуки MacBook и мини-компьютеры Mac mini. Один из заметных случаев связан с вредоносной рекламой, которая перенаправляет пользователей на мошенническую веб-страницу, имитирующую Homebrew — популярный сторонний менеджер пакетов для macOS. Эта вредоносная реклама была замечена 30 апреля 2026 года, что привело доверчивых жертв на сайт, который утверждает, что поддерживает Homebrew, но на самом деле продвигает вредоносное ПО MacSync Stealer.

Страница, о которой идет речь, по состоянию на 1 мая 2026 года остается активной и содержит обманные скрипты, побуждающие пользователей загружать ВПО, замаскированное под легитимное программное обеспечение. В частности, пользователей вводят в заблуждение, заставляя копировать и вставлять команды в их терминал, что запускает процесс заражения. После выполнения ВПО запрашивает у приложения Terminal повышенный доступ к Finder в macOS, что облегчает его установку.

На этапе заражения MacSync Stealer функционирует путем сбора конфиденциальной информации с скомпрометированного хоста. Данные временно хранятся в файле `osalogging.zip`, расположенном в директории `/tmp/`, после чего передаются на сервер управления (C2), что сигнализирует об успешной эксфильтрации данных. Базовая инфраструктура спроектирована так, чтобы маскировать вредоносные намерения, затрудняя пользователям распознавание угрозы.

Стейкхолдерам в области кибербезопасности рекомендуется сохранять бдительность и скептицизм в отношении результатов поиска, предлагающих загрузки программного обеспечения, особенно когда задействована Имперсонация. Этот случай подчеркивает необходимость повышения осведомленности о потенциальных атаках, использующих тактики социальной инженерии в экосистеме macOS.

#ParsedReport #CompletenessLow
01-05-2026

The cPanel Situation Is…

https://censys.com/blog/the-cpanel-situation-is/

Report completeness: Low

Threats:
Mirai
Hiddentear

Victims:
Cpanel and whm systems, Hosting providers, Vps providers

CVEs:
CVE-2026-41940 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cpanel (<86.0.41, <110.0.97, <118.0.63, <126.0.54, <130.0.19)


ChatGPT TTPs:
do not use without manual check
T1110.001, T1190, T1486

IOCs:
Hash: 1
File: 10

Soft:
cPanel, anel, Twitter

Algorithms:
sha256

Win API:
ARC

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость CVE-2026-41940 в cPanel/WHM позволяет неаутентифицированным злоумышленникам обходить аутентификацию и получать повышенный доступ, что приводит к всплеску вредоносной активности, в частности, направленной на VPS и хостинг-провайдеров. Наблюдаются два основных вектора атаки: развертывание вариантов Mirai для действий после эксплуатации и кампания с программой-вымогателем, шифрующей файлы с расширением .sorry. Быстрый рост числа недавно скомпрометированных экземпляров cPanel указывает на крупномасштабную эксплуатацию, предполагая скоординированные усилия, связанные с данной уязвимостью.
-----

Недавнее раскрытие информации о CVE-2026-41940, критической уязвимости обхода аутентификации до аутентификации в cPanel/WHM, привело к значительным последствиям для безопасности этих систем. Эта уязвимость позволяет неаутентифицированным злоумышленникам обходить средства контроля аутентификации и получать повышенный доступ, что может способствовать последующей эксплуатации. После её раскрытия 29 апреля 2026 года наблюдался заметный рост вредоносной активности, направленной на cPanel и WHM. Данные Censys показывают, что примерно 80% новых вредоносных хостов, замеченных 1 мая, работали с этими приложениями, что является резким отклонением от нормальных паттернов активности.

В связи с данной уязвимостью выделились два основных вектора атаки. Первый заключается в развертывании вариантов Mirai, которые запускаются после того, как системы будут скомпрометированы. Второй вектор, по-видимому, представляет собой кампанию по вымогательству, которая изменяет файлы путем их шифрования и добавления расширения .sorry. Быстрый рост количества сообщений о деятельности по вымогательству коррелирует с большим количеством хостов cPanel, которые без необходимости экспонируют файлы через открытые каталоги, что указывает на то, что, вероятно, идет масштабная автоматизированная эксплуатация.

Расследования показали, что всплеск вредоносных классификаций в значительной степени был сосредоточен среди хостов, управляемых провайдерами виртуальных частных серверов (VPS) и хостинг-провайдерами, использующими cPanel. Изначально сравнительный анализ вредоносной активности указывал на то, что системы cPanel вносили ничтожную долю в общий объем до 1 мая, но ситуация кардинально изменилась, когда за один день было добавлено почти 15 000 новых вредоносных экземпляров cPanel, что свидетельствует об эксплуатации уязвимости.

Дальнейшее изучение ВПО, предположительно связанного с этими эксплойтами, указало на вариант Mirai под названием nuclear.x86. Однако анализ бинарного файла показал, что, хотя эксплойты для cPanel не были напрямую интегрированы в ВПО, оно используется как промежуточная площадка для действий после эксплуатации.

Зафиксировано тревожное развитие событий, связанное с программой-вымогателем: на более чем 7 000 серверов cPanel были обнаружены новые открытые каталоги, в которых файлы имели расширение .sorry — это общая черта активности программ-вымогателей. Это расширение файла и структурный паттерн вызывают серьезные опасения относительно скоординированной атаки программы-вымогателя, использующей уязвимость cPanel, которая, по-видимому, развивается по мере обнаружения все большего количества зараженных систем.

#ParsedReport #CompletenessMedium
30-04-2026

Popular lightning PyPI Package Backdoored in Latest Shai-Hulud Wave

https://www.endorlabs.com/learn/popular-lightning-pypi-package-backdoored-in-latest-shai-hulud-wave

Report completeness: Medium

Threats:
Shai-hulud
Dead_drop_technique
Supply_chain_technique

Industry:
Petroleum

Geo:
Russian

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 12
Email: 1
Hash: 3

Soft:
Jupyter notebook, Linux, macOS, claude, Anthropic, sudo, laude ex, laude ag

Algorithms:
sha256, base64, gzip, zip

Functions:
_run_runtime, print, getSecretsFromVault

Languages:
python, javascript

Platforms:
x64, arm, apple

#ParsedReport #CompletenessLow
29-04-2026

Meet Bluekit: The AI-Powered All-in-One Phishing Kit

https://www.varonis.com/blog/bluekit

Report completeness: Low

Threats:
Bec_technique
Smishing_technique
Credential_harvesting_technique
Antibot
Cloaking_technique
Mamont_spy

Victims:
Email and cloud accounts, Developer platforms, Social media, Retail, Crypto services

Industry:
Retail, Transport

ChatGPT TTPs:
do not use without manual check
T1056.003, T1539, T1566.002, T1567, T1583.001

Soft:
Telegram, Gmail, Outlook, ProtonMail, Twitter, GPT-4, Claude, DeepSeek

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Bluekit — это новый фишинговый набор, который централизует операции через продвинутую платформу с автоматической регистрацией доменов и ИИ-ассистентом, помогающим в создании фишинговых кампаний. Набор интегрирует множество функций, позволяя упростить создание сайтов, управление доменами и отслеживание сессий, что дает операторам возможность собирать детализированные данные помимо кражи учетных данных. По мере развития Bluekit его широкое распространение может усилить угрозы фишинга, делая бдительность необходимой против эволюционирующих тактик.
-----

Bluekit — это новый обнаруженный фишинговый набор, который централизует фишинговые операции с расширенными функциями, включая автоматизированные процессы для регистрации доменов и интегрированного ИИ-ассистента. Этот набор представляет собой сдвиг на рынке фишинга, который раньше полагался на отдельные инструменты для различных функций, таких как сбор учетных записей, ротация доменов и SMS-шлюзы. С Bluekit операторы могут оптимизировать свои усилия через единый интерфейс, предлагающий более 40 веб-шаблонов, нацеленных на различные платформы, такие как iCloud, Gmail, Outlook, Twitter и другие.

Панель Bluekit обеспечивает комплексный фишинговый рабочий процесс, включающий создание сайтов, настройку доменов, сбор логов и функции поддержки кампаний. Она позволяет операторам приобретать или подключать домены, а также управлять фишинговыми страницами и данными логов из одного места. Эта интеграция включает расширенные возможности управления сессиями, такие как отслеживание состояний сессий и запись данных браузера после входа в систему, что позволяет операторам собирать более подробную информацию, выходящую за рамки простого кражи учетных данных.

Уникальной особенностью Bluekit является её AI Assistant, которая предоставляет несколько вариантов моделей, включая версию на базе GPT-4.1. Она предназначена для помощи в создании фишинг-кампаний; однако ранние оценки показывают, что, хотя она генерирует структурированные черновики для кампаний — например, схему повторной верификации MFA в Microsoft 365 — эти выходные данные в основном состоят из заполнителей и требуют значительной доработки перед тем, как их можно будет использовать в атаках. Это указывает на то, что текущие возможности ИИ в основном помогают на этапах предварительного планирования, а не предоставляют полностью функциональное решение для фишинга.

Bluekit всё ещё находится на стадии разработки, с постоянными обновлениями и добавлением новых функций и шаблонов. Исследователи внимательно следят за его эволюцией, поскольку темпы разработки могут привести к более широкому внедрению и увеличению числа активных кампаний, использующих этот набор инструментов. Таким образом, Bluekit представляет собой значительную проблему в сфере фишинговых угроз, подчеркивая постоянную необходимость бдительности и обновленных средств защиты против тактик, применяемых злоумышленниками в этой развивающейся среде.

#ParsedReport #CompletenessLow
28-04-2026

Inside a Fake DHL Campaign Built to Steal Credentials

https://www.forcepoint.com/blog/x-labs/fake-dhl-phishing-campaign-credential-theft

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Consumers, Individuals

Industry:
Logistic

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016.001, T1566.002, T1567, T1614

IOCs:
Domain: 1
Url: 3
Email: 2

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания, использующая брендинг DHL, нацелена на пользователей с целью кражи учетных данных посредством двухфазного подхода: первоначального обманным образом составленного электронного письма и поддельного этапа проверки одноразового пароля (OTP). Фишинговый набор инструментов использует цепочку атаки из 11 шагов, применяя JavaScript для генерации шестизначного OTP, а также эксплуатирует EmailJS для бесшовной эксфильтрации данных. Тактика позволяет злоумышленникам собирать конфиденциальную информацию, используя знакомые элементы и доверенный брендинг, несмотря на отсутствие сложного вредоносного программного обеспечения или бэкенд-инфраструктуры.
-----

Недавняя фишинговая кампания, выявленная X-Labs, нацелена на физических лиц и использует брендинг DHL для обмана пользователей и кражи их учетных данных. Атака состоит из двух основных фаз: первоначального приманки и эксплуатации поддельного шага проверки одноразового пароля (OTP), обе из которых призваны создать доверие перед выполнением кражи конфиденциальной информации. Фишинговое письмо имитирует уведомление о доставке от DHL, используя отображаемое имя "DHL EXPRESS", хотя оно отправлено с мошеннического домена cupelva.com. Хотя сообщение может проходить проверки DKIM, что может ввести в заблуждение системы фильтрации, оно в конечном итоге является вредоносным, поскольку аутентифицировано доменом, принадлежащим злоумышленникам.

Фишинговый набор, описываемый как легкий, следует 11-шаговой цепочке атаки. После получения фишингового письма жертвы направляются на поддельную страницу OTP, которая генерирует шестизначный номер с помощью локального JavaScript, способствуя иллюзии легитимности. На этом этапе набор извлекает публичный IP-адрес жертвы через различные сервисы, что помогает злоумышленнику выявлять целевые объекты высокой ценности и отличать реальных пользователей от тех, кто представлен автоматизированными сканерами. Эти данные также могут использоваться для поддержки дальнейших мошеннических действий.

Для облегчения сбора учетных записей злоумышленники используют EmailJS, легитимный сервис, который позволяет осуществлять бесшовную эксфильтрацию данных через браузер без серьезных требований к инфраструктуре. Используя эту тактику, злоумышленники могут сохранять низкий профиль и более эффективно разрабатывать свои фишинговые схемы. В конечном итоге, хотя кампания не использует сложное ВПО или сложные системы бэкенда, она опирается на знакомые элементы, чтобы подтолкнуть жертв к передаче своих учетных данных, не вызывая подозрений.

Сочетание ложного процесса верификации, использования легитимного стороннего сервиса для сбора данных и финального перенаправления на подлинный сайт DHL — это стратегические шаги, направленные на предотвращение немедленного обнаружения. Этот инцидент подчеркивает, что фишинговые атаки могут быть высокоэффективными даже без технической сложности, полагаясь вместо этого на психологическую манипуляцию и узнаваемость бренда для достижения своих целей.

#ParsedReport #CompletenessLow
30-04-2026

Anti-DDoS Firm Heaped Attacks on Brazilian ISPs

https://www.cryptika.com/anti-ddos-firm-heaped-attacks-on-brazilian-isps/

Report completeness: Low

Actors/Campaigns:
Ddos-for-hire

Threats:
Dns_amplification_technique
Mirai

Victims:
Brazilian isps, Small regional providers

Industry:
Financial, Telco, Entertainment, Iot

Geo:
Brazil, Brazilian

CVEs:
CVE-2023-1389 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tp-link archer_ax21_firmware (<1.1.4)


ChatGPT TTPs:
do not use without manual check
T1059.006, T1190, T1498, T1498.002, T1552.004, T1583.003, T1584.008, T1595.001

IOCs:
Domain: 2

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Значительные DDoS-атаки, направленные на бразильских интернет-провайдеров, связаны с злоумышленником, сохраняющим доступ к Huge Networks и использующим скомпрометированные закрытые SSH-ключи. Актор применяет технику массового сканирования для создания ботнета, нацеленного на небезопасные маршрутизаторы и неуправляемые DNS-серверы, в частности эксплуатируя уязвимость CVE-2023-1389 в маршрутизаторах TP-Link Archer AX21. В атаках задействовано ВПО на базе Mirai, что указывает на сложные атаки, использующие тактику DNS-рефлекса для усиления воздействия, подчеркивая существующие уязвимости и угрозы со стороны инсайдеров в секторе.
-----

Недавние расследования выявили масштабные DDoS-атаки, направленные на бразильских интернет-провайдеров, с доказательствами, указывающими на злоумышленника, сохраняющего постоянный доступ к Huge Networks, провайдеру услуг DDoS-защиты. В открытом архиве вредоносных программ на португальском языке, написанных на Python, были обнаружены закрытые SSH-ключи компании, что предполагает, что потенциальный инсайдер или сложный внешний актор координирует эти атаки.

Методология, применяемая этим актором, строится на создании DDoS-ботнета с использованием подхода массового сканирования, при котором целенаправленно атакуются небезопасные интернет-маршрутизаторы и неуправляемые серверы системы доменных имен (DNS). Эти скомпрометированные системы используются для проведения атак с отражением через DNS, которые заключаются в отправке поддельных DNS-запросов, вызывающих ответы, направляемые на предполагаемую жертву, что эффективно усиливает интенсивность атаки. Такая тактика может генерировать ответы, значительно превышающие по объему исходные запросы, создавая серьезную угрозу для уязвимых сетей.

В частности, сообщается, что ботнет был мобилизован против маршрутизаторов TP-Link Archer AX21, которые всё ещё подвержены уязвимости CVE-2023-1389 — критической уязвимости несанкционированной инъекции команд, не требующей аутентификации, исправленной ранее в апреле 2023 года. Извлечённая история командной строки из вредоносного архива включает сведения о сканировании, координируемом с сервера Digital Ocean, известного злоупотреблениями. Скрипты были специально написаны для атак на диапазоны IP-адресов Бразилии, выполняя атаки на выбранные цели в течение коротких интервалов времени с использованием нескольких параллельных процессов.

Участие вредоносного ПО на базе Mirai подчеркивает сложность этих атак. Mirai, известный своими рекордными DDoS-атаками с 2016 года, был связан с множеством повышенных угроз в киберпространстве, особенно против игровых и интернет-провайдерских организаций. Анализ также выявляет домены, ранее связанные с ботнетами Интернета вещей (IoT), что дополнительно подчеркивает масштаб и сложность операций злоумышленника.

Генеральный директор Huge Networks Эрик Насименто отрицал какое-либо личное участие в организации атак в корыстных целях и назвал спекуляции необоснованными. Он отметил, что атаки были направлены на более мелких региональных провайдеров, которые не входят в клиентскую базу Huge Networks, тем самым опровергая версию о том, что компания могла бы извлечь выгоду из хаоса. Насименто предположил, что существуют доказательства, которые могут указывать на конкурента, тем самым вводя в формирующийся нарратив элемент потенциального корпоративного шпионажа.

В заключение, эти DDoS-атаки, усиленные скомпрометированными инфраструктурами и уязвимостями, подчеркивают непрерывный ландшафт угроз, с которым сталкиваются интернет-провайдеры в Бразилии, усугубленный постоянным риском инсайдерских угроз и межорганизационной конкуренции, которые часто размывают границы между безопасностью и эксплуатацией в области кибербезопасности.

#ParsedReport #CompletenessHigh
29-04-2026

Deep#Door Stealer: Stealthy Python Backdoor and Credential Stealer Leveraging Tunneling, Multi-Layer Persistence, and In-Memory Surveillance Capabilities

https://www.securonix.com/blog/deepdoor-python-backdoor-and-credential-stealer/

Report completeness: High

Threats:
Deepdoor
Credential_stealing_technique
Credential_harvesting_technique
Sandbox_evasion_technique
Process_injection_technique
Credential_dumping_technique
Procmon_tool
Timestomp_technique

Victims:
Windows systems

Industry:
Critical_infrastructure

TTPs:
Tactics: 11
Technics: 30

IOCs:
Domain: 1
Command: 5
File: 6
Hash: 4

Soft:
Windows security, Windows Defender, Microsoft Defender, Windows PowerShell, Windows Firewall, Event Tracing for Windows, Windows kernel, VirtualBox, Hyper-V, Xen, have more...

Algorithms:
xor, base64, sha256

Functions:
Set-MpPreference, _chk_triage, find_bore_port, _find_bore_port, _patch_amsi, _patch_etw, _unhook_ntdll, _clear_cmdline, _stomp_pe_header, _kill_event_log, have more...

Win API:
IsDebuggerPresent, NtQueryInformationProcess, NtCreateFile, GetCommandLineW

Win Services:
EventLog

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Deep#Door — это бэкдор на базе Python, который инициирует атаки через пакетный файл, отключая функции безопасности Windows и извлекая встроенный Python-код, одновременно снижая количество артефактов на диске. Данный бэкдор действует как Троянская программа, предоставляя широкие возможности для наблюдения и используя публичный сервис туннелирования TCP для скрытой связи, что позволяет избегать традиционных методов обнаружения. Его продвинутые техники обфускации и многоуровневое декодирование полезной нагрузки подчеркивают растущий тренд в сторону более скрытных и устойчивых стратегий создания ВПО.
-----

Deep#Door — это сложный бэкдор на базе Python, выявленный группой Securonix Threat Research, который демонстрирует растущий тренд использования обфусцированных скриптов вместо традиционного исполняемого ВПО. Он начинает атаку с помощью начального пакетного файла (install_obf.bat), который отключает функции безопасности Windows и динамически извлекает встроенный Python-пэйлоад (svc.py). Такая архитектура снижает необходимость в отдельных этапах загрузки и минимизирует артефакты на диске, одновременно обеспечивая широкое закрепление с помощью таких методов, как скрипты в папке автозагрузки, ключи реестра Run, запланированные задачи и подписки WMI.

После активации Deep#Door предоставляет злоумышленникам надежный фреймворк Троянской программы (RAT), позволяющий выполнять полный набор команд и осуществлять многоаспектный мониторинг, включая Регистрация нажатий клавиш, доступ к веб-камере и отслеживание буфера обмена. ВПО использует публичный сервис туннелирования TCP bore.pub для обеспечения скрытой связи без раскрытия традиционных серверов управления (C2), тем самым избегая обнаружения.

Архитектура бэкдора включает несколько продвинутых техник обфускации и обхода защиты, направленных на срыв усилий по анализу и обнаружению. Это включает отключение критических средств защиты безопасности с помощью команд PowerShell, изменение настроек реестра и патчинг функций Windows Defender. Реализованы как стратегии обхода защиты до выполнения, так и во время выполнения, чтобы поддерживать секретность и операционную живучесть. Например, ВПО использует многослойный процесс декодирования для своей полезной нагрузки и применяет тактические методы для проверки среды, чтобы отличать настоящие системы от сред анализа.

Во время выполнения Deep#Door также структурирует свой канал связи для обеспечения устойчивости к потенциальным сбоям. ВПО сканирует широкие диапазоны портов для установления соединений с туннелирующим сервисом, применяя аутентификацию по принципу «запрос-ответ» для защиты взаимодействий с инфраструктурой атакующего.

Кроме того, основные функции встроенного Python-импланта (svc.py) создают широкую поверхность атаки, включая возможности для сбора учетных записей, обширные возможности удаленного управления и даже деструктивные действия, направленные на нарушение работы системы. Эта комбинация шпионажа и целенаправленного срыва работы подчеркивает его надежность как универсальной угрозы для длительных оперативных кампаний, отражая эволюцию ландшафта киберугроз, которые объединяют скриптовые фреймворки со скрытностью и устойчивостью к обнаружению.

В конечном итоге, Deep#Door представляет собой сдвиг в сторону более гибких, устойчивых и незаметных стратегий ВПО, использующих встроенные скриптовые техники для эксплуатации уязвимостей системы и маскировки вредоносной активности под нормальное поведение системы.