#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная мошенническая схема, направленная против клиентов SNCF, использует фишинг и социальную инженерию, применяя тщательно выверенные по времени поддельные рекламные письма и поддельные веб-сайты для эксплуатации доверия к бренду. Злоумышленники используют данные из предыдущего взлома для идентификации целей, а затем следуют с звонками от лиц, выдающих себя за банковских консультантов, чтобы получить конфиденциальную финансовую информацию. Мошенники используют авторитетные платежные процессоры, чтобы придать легитимность своим операциям, усложняя усилия жертв по восстановлению и подчеркивая возрастающую сложность тактик киберкриминал.
-----

Сложная и многоэтапная мошенническая схема, направленная против клиентов французской национальной железнодорожной компании SNCF, наглядно демонстрирует текущую эволюцию онлайн-мошенничества с использованием техник фишинга и социальной инженерии. Схема работает за счет эксплуатации эмоционального состояния жертв и узнаваемости бренда, что приводит к финансовым потерям через двухэтапный подход, завершающийся несанкционированными транзакциями.

Начальный этап мошенничества использует целевые фишинг-стратегии, при которых злоумышленники отправляют поддельные рекламные письма, обещающие скидки на продукты SNCF. Эти кампании тщательно синхронизированы по времени с периодами высокой туристической активности, особенно во время французских школьных каникул, когда семьи с большей вероятностью планируют поездки. Мошенники используют данные из предыдущего инцидента утечки, конкретно инцидента Addka72424 в сентябре 2024 года, чтобы выявить и нацелить на тех, кто с большей вероятностью попадется на эту аферу. Это позволяет им создавать реалистичные поддельные веб-сайты, эффективно имитирующие официальные порталы SNCF и внушающие доверие среди потенциальных жертв.

После того как жертвы попадают в ловушку и предоставляют свои личные данные и платежные реквизиты через эти мошеннические платформы, вступает в силу второй этап мошенничества. Жертвы получают последующие звонки от лиц, выдающих себя за банковских консультантов, которые утверждают, что обнаружили подозрительные транзакции на счете жертвы. Эта манипуляция использует первоначальное обманное воздействие для извлечения конфиденциальной финансовой информации, такой как коды безопасности и данные банковских счетов, которыми мошенники пользуются для авторизации дополнительных несанкционированных платежей.

Важно отметить, что мошенники используют авторитетные онлайн-платежные процессоры, такие как Stripe, создавая видимость легитимности своей деятельности. Этот аспект серьезно затрудняет возможность жертв вернуть похищенные средства, поскольку злоумышленники эксплуатируют каналы отчетности этих платформ. К тому времени, когда жертвы начинают подавать заявления или открывать дела о мошенничестве, часто уже слишком поздно; мошенники исчезают, унося с собой деньги.

Применяемые здесь тактики подчеркивают растущий тренд в киберкриминале, где злоумышленники сочетают передовые методы социальной инженерии и точное нацеливание для максимизации эффективности своих схем. Такие мошеннические схемы не только наносят жертвам значительные финансовые потери, но и вызывают глубокое эмоциональное расстройство, поскольку люди переживают осознание того, что их обманули дважды.

По мере того как подобные виды мошенничества распространяются в цифровой экономике, осведомленность и обучение методам выявления и реагирования на подозрительные коммуникации становятся жизненно важными. Организациям и частным лицам необходимо сохранять бдительность в отношении этих все более сложных угроз, особенно тех, которые успешно используют психологическое манипулирование и эмоциональную эксплуатацию для достижения своих злонамеренных целей.

#ParsedReport #CompletenessMedium
13-05-2026

Sinkholing CountLoader: Insights into Its Recent Campaign

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/sinkholing-countloader-insights-into-its-recent-campaign/

Report completeness: Medium

Threats:
Countloader
Etherhiding_technique
Amsi_bypass_technique

Victims:
Cryptocurrency users, India, Indonesia, United states, South east asia

Industry:
Financial

Geo:
India, Indonesia, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1008, T1027, T1053.005, T1055, T1059.001, T1059.007, T1091, T1102.001, T1105, T1115, have more...

IOCs:
File: 3
Domain: 23
Hash: 19
Url: 6

Crypto:
ethereum

Algorithms:
base64, des, xor

Functions:
taskType

Languages:
python, javascript, powershell

Links:
https://github.com/S3cur3Th1sSh1t/Amsi-Bypass-Powershell?tab=readme-ov-file#patching-clr

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания CountLoader использует сложный многоуровневый подход с применением зашифрованного JavaScript и PowerShell-скриптов для заражения, скрывая свою деятельность через инъекцию shellcode в память. ВПО, в основном доставляемое через вредоносный EXE-файл, устанавливает соединения с серверами управления через собственный зашифрованный протокол и может распространяться через вредоносные ярлыки LNK на USB-накопителях. Его финальный payload — криптографический клиппер — заменяет адреса кошельков в буфере обмена, чтобы перенаправить средства, а также использует методы для обхода обнаружения, такие как отключение AMSI и реализация запланированных задач для закрепления.
-----

Недавняя кампания CountLoader, выявленная McAfee Labs, демонстрирует сложный метод кибератаки, включающий многоуровневое маскирование и сложную цепочку заражения. Злоумышленники используют различные загрузчики, включая скрипты PowerShell и обфусцированный JavaScript, выполняемые через mshta.exe для обеспечения процесса заражения. Каждый этап этого процесса спроектирован так, чтобы оставаться скрытым, применяя техники инъекции шеллкода в память, что дополнительно усложняет усилия по обнаружению.

Заражение начинается с выполнения вредоносного EXE-файла, который запускает однострочный скрипт PowerShell для загрузки дополнительных полезной нагрузки. Этот начальный скрипт PowerShell содержит необычную обфускацию, что затрудняет анализ его поведения средствами защиты. CountLoader, являющийся критическим компонентом этой атаки, создается в виде HTA-файла с использованием продвинутой обфускации строк. После выполнения он пытается связаться с серверами управления (управление), выбирая активный сервер на основе успешных ответов рукопожатия. Это ВПО использует собственный зашифрованный протокол связи для взаимодействия со своим сервером управления, что способствует скрытности.

Телеметрия McAfee от операции sinkhole выявила огромное количество заражений — примерно 86 000 уникальных машин, с существенным подключением к C2-инфраструктуре на уровне около 5 000 соединений в минуту. Способность ВПО распространяться через съемные носители, такие как USB-накопители, привела к примерно 9 000 заражений, связанных с этим методом. Метод заключается в создании вредоносных ярлыков LNK, которые запускают ВПО при срабатывании.

Финальный полезный код, развернутый в этой кампании, представляет собой крипто-клиппер, который отслеживает активность буфера обмена и заменяет скопированные адреса криптографических кошельков на те, которые контролируются злоумышленниками. Этот сложный полезный код, получающий адрес C2-сервера через метод, называемый EtherHiding, дополнительно демонстрирует передовые стратегии, применяемые злоумышленниками.

Для поддержания закрепления CountLoader создает запланированные задачи, которые обеспечивают его непрерывную работу на скомпрометированных системах. Использование резервных C2-доменов и техник выполнения в памяти гарантирует высокую надежность и уклонение от механизмов безопасности. Кроме того, такие меры, как отключение AMSI (Antimalware Scan Interface), повышают шансы вредоносного ПО избежать обнаружения, позволяя ему выполнять свою основную функцию — перехват криптографических транзакций.

#ParsedReport #CompletenessMedium
13-05-2026

NATS-as-C2: Inside a new technique attackers are using to harvest cloud credentials and AI API keys

https://webflow.sysdig.com/blog/nats-as-c2-inside-a-new-technique-attackers-are-using-to-harvest-cloud-credentials-and-ai-api-keys

Report completeness: Medium

Threats:
Nats-as-c2_technique
Dirtypipe_vuln
Dirtycreds_vuln
Keyhunter_tool
Credential_harvesting_technique
Llmjacking_technique

CVEs:
CVE-2026-33017 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.8.2)


TTPs:
Tactics: 2
Technics: 0

IOCs:
IP: 3
File: 14
Hash: 3

Soft:
Langflow, Discord, Telegram, Flask, CodePen, JSFiddle, StackBlitz, CodeSandbox, boto3, LiteLLM, have more...

Algorithms:
sha256

Functions:
AWS, SetTaskProgress

Languages:
python

Platforms:
arm

Links:
have more...
https://github.com/fadidevv/keyhunter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда исследователей угроз Sysdig выявила новую технику управления, названную NATS-as-C2, используемую злоумышленниками для сбора учетных записей и ключей API. Этот метод, использующий сервер NATS, отличается от традиционной связи управления и связан с эксплуатацией уязвимости несанкционированного удаленного выполнения (RCE) без аутентификации в Langflow (CVE-2026-33017). Операция, получившая название KeyHunter, включала сложную разведку и сбор учетных записей на платформах, таких как AWS и среды разработки в облаке, с использованием передовых инструментов для уклонения и скрытности.
-----

Sysdig TRT выявил технику управления (C2) под названием NATS-as-C2, используемую для сбора учетных данных облачных сервисов и ключей API.

Этот метод использует сервер NATS, отклоняясь от традиционных методов атакующей коммуникации.

Эта техника связана с эксплуатацией уязвимости CVE-2026-33017, позволяющей выполнять несанкционированный Удаленное Выполнение Кода (RCE) в Langflow без аутентификации.

В ходе расследования оператор загрузил с сервера DigitalOcean Python-воркер и бинарный файл Go.

Атакующий попытался выполнить эскалацию привилегий в контейнере, используя эксплойты, такие как DirtyPipe и DirtyCreds.

Операция KeyHunter была направлена на извлечение учетных данных из облачных платформ, таких как Cloud Development Environments и AWS.

Работник указывал свои возможности через темы NATS для различных функций сбора учетных записей, включая scan_cde и validate_aws.

Функция scan_cde нацелена на такие платформы, как CodePen и StackBlitz.

KeyHunter использует авторизацию на уровне субъекта в NATS, повышая скрытность и ограничивая роли коммуникации для скомпрометированных узлов.

Этот принцип наименьших привилегий способствует уклонению от традиционных механизмов обнаружения.

Атакующий выполнил вызовы API AWS для эксплуатации похищенных учетных данных и поиска дополнительных уязвимостей.

Атака включала попытки использования моделей AWS Bedrock без оплаты, что демонстрировало понимание сервисов AWS.

Такие инструменты, как utls для имитации TLS-отпечатков, и sidecar-компонент для headless-браузера для рендеринга JavaScript, подчеркивают изощренность злоумышленника.

Система обмена сообщениями на базе NATS отличает этот подход от более простых методов сбора учетных записей.

Обнаружение атак с использованием NATS в качестве C2 возможно с помощью существующих систем безопасности, таких как Sysdig Secure.

Появление NATS в качестве C2 знаменует собой значительную эволюцию киберугроз, требующую усиления стратегий исходящего эгресс-трафика для защиты.

Бдительный мониторинг аномалий необходим для обнаружения будущих эксплойтов, использующих передовые инфраструктуры, такие как NATS.

#ParsedReport #CompletenessLow
13-05-2026

Mini Shai-Hulud tears at OSS trust

https://www.reversinglabs.com/blog/mini-shai-hulud-tears-at-oss-trust

Report completeness: Low

Actors/Campaigns:
Mini_shai-hulud
Teampcp

Threats:
Shai-hulud
Supply_chain_technique
Credential_stealing_technique
Trufflehog_tool
Typosquatting_technique

Victims:
Open source software, Software supply chain, Developer environments, Continuous integration systems

Industry:
Petroleum

ChatGPT TTPs:
do not use without manual check
T1078, T1195.001, T1528

Soft:
Twitter, TanStack

Crypto:
ripple

Languages:
javascript

Links:
https://github.com/guardrails-ai/guardrails/issues/1473

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Mini Shai-Hulud, выявленная в апреле и теперь затрагивающая более 160 пакетов npm, включая те, что входят в экосистему TanStack, подчеркивает значительную угрозу Цепочка поставок, где злоумышленники используют скомпрометированные учетные данные для публикации, чтобы внедрить вредоносные версии в доверенные пакеты. Эта кампания расширила свой охват, включив 373 вредоносных версий пакетов, с целью кражи токенов npm, учетных данных GitHub и секретов облачных провайдеров с использованием таких инструментов, как TruffleHog, что отражает тревожный сдвиг в направлении атак на основные доверительные отношения внутри экосистем открытого исходного кода. Атака демонстрирует опасную эволюцию от традиционных методов эксплуатации к прямому компрометированию легитимных пакетов для сбор учетных записей.
-----

Mini Shai-Hulud — это угроза Цепочке поставок программного обеспечения, затрагивающая более 160 пакетов с открытым исходным кодом npm.

Он возродился после того, как ранее атаковал SAP Cloud Application Programming и инструмент сборки Cloud MTA Build Tool.

Экосистема TanStack пострадала в значительной степени, было выявлено 84 вредоносные версии пакетов.

42 из этих скомпрометированных пакетов принадлежали к пространству имён @tanstack/*, включая @tanstack/react-router.

Вредоносные версии включали функционал для кражи учётных данных, направленный на среды разработки и системы CI.

В рамках кампании зафиксировано 373 вредоносных записи «пакет-версия» для 169 названий пакетов npm.

Основная цель заключается в компрометации сред разработки для кражи учетных данных.

Злоумышленники используют доверенные рабочие процессы публикации для распространения вредоносного контента в затронутых средах.

Методология напоминает оригинальный червь Shai-Hulud, систематически собирая токены npm и учетные данные GitHub.

Такие инструменты, как TruffleHog, используются для извлечения конфиденциальной информации из скомпрометированных систем.

Это представляет собой переход от тайпо-сквоттинга к прямой компрометации легитимных пакетов.

Кампания подчеркивает атаки на фундаментальные доверительные отношения внутри экосистем открытого исходного кода.

Npm обеспечил почти 90% обнаруженного ВПО с открытым исходным кодом, о котором недавно сообщалось.

Утечки токенов npm и персональных токенов доступа GitHub широко распространены и подпитывают атаки на цепочку поставок программного обеспечения.

Требуется повышенная бдительность для обеспечения безопасности цепочек поставок программного обеспечения и защиты сред разработки.

#ParsedReport #CompletenessMedium
13-05-2026

New TrickMo Variant: Device Take Over malware targeting Banking, Fintech, Wallet & Auth apps

https://www.threatfabric.com/blogs/trickmo-unmasked-the-hidden-dex-module-and-the-variant-that-replaced-it

Report completeness: Medium

Threats:
Trickmo
Ssh_tunnelling_technique
Godfather

Victims:
Banking, Financial technology, Digital wallet, Authentication services

Industry:
Financial, E-commerce

Geo:
France, Turkish, Italy, Austria

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.005, T1041, T1046, T1056.001, T1071.001, T1082, T1090, T1105, T1113, T1518, have more...

IOCs:
Hash: 6

Soft:
Android, TikTok, Telegram, curl, Google Play

Algorithms:
sha256, base32

Functions:
getScreenshot, setNotificationFilter, setKeyLoggerConfig, setVars, setSwitch, setServers, getInstalledApps, getState, getUsageStats, setRingerMode, have more...

Win API:
loadModule, setGestureConfig

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вариант Android-ВПО TrickMo, выявленный в начале 2026 года, был значительно переработан для повышения скрытности за счет работы через The Open Network (TON), что помогает ему избегать традиционных методов обнаружения. Он нацелен на банковские и финансовые приложения, используя автоматизацию для получения разрешений на доступ в реальном времени для контроля, кражи учетных данных и перехвата коммуникаций. Управление осуществляется через децентрализованную сеть TON, скрывающую шаблоны трафика, и включает расширенные функции разведки для картирования сетевой среды жертвы, с указаниями на будущие возможности через потенциальные обновления.
-----

Новый вариант Android-банковского ВПО TrickMo, выявленный в начале 2026 года, представляет собой значительную переработку, направленную на повышение скрытности и устойчивости к обнаружению. Сохраняя большую часть своей базовой функциональности, этот вариант претерпел существенные изменения в своей внутренней архитектуре, главным образом сосредоточенные на работе через The Open Network (TON) вместо традиционных интернет-маршрутов. Этот переход облегчает обход обычных стратегий противодействия ВПО, которые опираются на публичную интернет-инфраструктуру и доменные блокировки.

ТrickMo, нацеленный на банковские, финтех-приложения, кошельки и аутентификаторы, использует комбинацию автоматизации и принудительных тактик для получения разрешений службы доступности, что обеспечивает возможность управления скомпрометированными устройствами в реальном времени. Ключевые возможности включают кражу учетных данных путем Имперсонация легитимных банковских приложений, ведение журнала нажатий клавиш, запись экрана и двунаправленное удаленное управление, которое позволяет операторам отправлять команды и взаимодействовать с устройством так, как если бы они были пользователем. Дополнительные функции позволяют ВПО незаметно перехватывать SMS-сообщения и уведомления, предоставляя операторам комплексный набор инструментов для эксплуатации зараженных устройств.

Коммуникация варианта с центром управления (C2) перешла на децентрализованную сеть в TON, где используются конечные точки .adnl. Такая архитектура помогает скрыть шаблоны трафика и усиливает контроль оператора. ВПО использует локальный прокси TON, поддерживающий гибкие сетевые конфигурации, что позволяет ему функционировать как программируемый выходной узел благодаря функциям, таким как туннелирование SSH и проксирование SOCKS5. Это означает, что скомпрометированные устройства могут маршрутизировать сетевой трафик, усложняя системам безопасности обнаружение и блокировку вредоносной активности на основе IP-адресов.

Новые команды, внедрённые в этой версии, дополняют её функциональность возможностями для сетевой разведки и тестирования, включая DNS-запросы, ICMP-пинги и проверки TCP-портов. Это позволяет операторам собирать информацию об сетевой среде устройства жертвы, добавляя уровень операционной сложности, выходящий за рамки традиционной банковской эксплуатации.

Несмотря на эти достижения, некоторые возможности были перераспределены для будущего использования, а не для немедленного применения. Например, включение фреймворк Pine hooking указывает на возможность развертывания дополнительных функций в будущем посредством обновлений во время выполнения без изменения основной кодовой базы.

#ParsedReport #CompletenessHigh
13-05-2026

Unusual Data Exfiltration Paths: Leveraging Rclone for SharePoint Data Theft

https://labs.yarix.com/2026/05/unusual-data-exfiltration-paths-leveraging-rclone-for-sharepoint-data-theft/

Report completeness: High

Threats:
Rclone_tool
Netscan_tool
Dcsync_technique
Mimikatz_tool
Golden_ticket_technique
Credential_dumping_technique

Victims:
Organization, External it service provider, Sharepoint, Microsoft 365

Industry:
Education

Geo:
Russian, Great britain, Netherlands, Russia

TTPs:
Tactics: 9
Technics: 12

IOCs:
IP: 4
File: 7
Email: 1
Hash: 1

Soft:
Linux, PsExec, Remote Desktop Services, Microsoft Defender, Active Directory, Chrome, Microsoft OneDrive, Microsoft SharePoint, Microsoft Windows Defender Windows Defender, icrosoft Windows Defender Windows Defender Ex, have more...

Algorithms:
sha256

Functions:
ReadWrite

Win API:
NtLmSsp

Win Services:
{ @Name

Languages:
java

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализированная кибератака включала кражу учетных данных у внешнего поставщика ИТ-услуг, что позволило несанкционированный доступ через SSL-VPN с использованием скомпрометированной учетной записи. Атакующий использовал PsExec для перемещения внутри компании и предпринял попытку атаки DCSync для извлечения данных паролей. Эксфильтрация данных проводилась с помощью rclone с использованием токенов легитимных учетных записей, а атака завершилась развертыванием ransomware, продемонстрировав различные сложные техники, соответствующие фреймворку MITRE ATT&CK.
-----

Рассмотренный случай демонстрирует сложную кибератаку, использующую различные техники, включая эксплуатацию внешних VPN-сервисов и применение инструментов для эксфильтрации данных. Атака началась с получения учетных данных, связанных с аккаунтом внешнего ИТ-провайдера, что позволило злоумышленнику (TA) получить несанкционированный доступ к корпоративной инфраструктуре жертвы. Этот первоначальный доступ был осуществлен через SSL-VPN, при этом логи указывают на то, что соединение было установлено с компрометированного аккаунта и машины Kali Linux — платформы, часто ассоциируемой с пентестингом и вредоносной деятельностью.

После первоначального проникновения злоумышленник установил службу PsExec на нескольких серверах, что позволило выполнять удаленные команды для дальнейшего перемещения внутри компании по сети. Примечательно, что была предпринята атака DCSync — метод, используемый для несанкционированной имперсонации контроллера домена и извлечения конфиденциальных данных паролей, что могло предоставить ТА обширный доступ к учетным данным пользователей. Хотя остается неясным, была ли эта попытка успешной, она подчеркивает амбиции атаки по повышению привилегий и поддержанию доступа.

Деятельность злоумышленника включала удаление важных средств защиты и обнаружение учетных данных в файле, сгенерированном с помощью инструмента получения учетных данных, возможно Mimikatz. Метод эксфильтрации заключался в использовании инструмента rclone, который обычно применяется для передачи данных в Облачные сервисы. Злоумышленник настроил rclone с токенами доступа, полученными от легитимной учетной записи, что позволило загружать файлы из SharePoint в течение двух дней до обнаружения вторжения.

Эксфильтрация применяла двухфазный подход, начиная с аутентичного доступа с IP-адреса, связанного с легитимным пользователем, и переходя к доступу через другой геолоцированный российский IP-адрес после получения необходимых токенов через rclone. Этот переход демонстрирует сложность атаки в маскировке её операций для уклонения от обнаружения. В конечном итоге, ТА инициировал деятельность по вымогательству, что подтверждается распространением ransom-ноты и шифрованием данных на системах корпорации.

В рамках реагирования на инцидент была обозначена необходимость немедленных корректирующих действий, включая сброс паролей для всех пользователей домена, внедрение многофакторной аутентификации и строгие ограничения доступа на основе геолокации и необходимости использования SSL-VPN. Такой подход соответствует лучшим практикам усиления безопасности для снижения рисков, связанных с внешними угрозами.

Событие наглядно демонстрирует набор тактик, техник и процедур (TTPs), соответствующих фреймворку MITRE ATT&CK, в частности использование существующих учетных записей, внешних служб удаленного доступа, эксфильтрация учетных данных через DCSync и других методологий, которые способствуют масштабному проникновению и эксфильтрация данных. Сложность этой атаки подчеркивает насущную необходимость для организаций внедрять проактивные меры безопасности, способные адаптироваться к развивающимся киберугрозам.

#ParsedReport #CompletenessHigh
13-05-2026

Multi-Stage SEO Poisoning Campaign Targets Chinese-Speaking Developers with Kong RAT

https://www.esentire.com/blog/multi-stage-seo-poisoning-campaign-targets-chinese-speaking-developers-with-kong-rat

Report completeness: High

Threats:
Seo_poisoning_technique
Kong_rat
Dll_sideloading_technique
Uac_bypass_technique
Finalshell
Xshell_tool
Dllsearchorder_hijacking_technique
Icmluautil_tool

Victims:
Chinese speaking developers, It professionals, System administrators, Chinese speaking users

Geo:
Hong kong, Chinese

TTPs:
Tactics: 4
Technics: 0

IOCs:
Domain: 16
File: 33
IP: 3
Hash: 22
Path: 5
Url: 15
Registry: 4
Command: 2

Soft:
Telegram, QuickQ, Alibaba Cloud, Windows Scheduled Task, Task Scheduler, Windows Explorer, WeChat, Chrome, WhatsApp

Algorithms:
fnv-1a, xor, sha256, prng

Functions:
GetAsyncKeyState-based, CreateAndExecuteTask, RPC, main, run, run_0, time64

Win API:
QueueUserAPC, EnumWindows, CheckTokenMembership, ExitProcess, VirtualAlloc, VirtualFree, LoadLibraryA, GetProcAddress, FreeLibrary, CreateToolhelp32Snapshot, have more...

Languages:
lua

Platforms:
x64

YARA: Found

Links:
https://github.com/eSentire/iocs/blob/main/KONG%20RAT/Kong-RAT-IoCs-04-16-2026.txt
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Kong RAT, нацеленная на разработчиков, говорящих на китайском языке, использует шестистадийный вектор атаки, начинающийся с Отравления поисковой оптимизации (SEO) и приводящий к доставке троянизированных установок программного обеспечения. Изначальный загрузчик вредоносного кода, замаскированный под легальное программное обеспечение, использует сложные техники для повышения привилегий и уклонения от обнаружения, включая тихий обход UAC через COM. Kong RAT взаимодействует со своим C2-сервером через собственный протокол на порту 5947, обеспечивая выполнение различных злонамеренных операций и маскируя свою активность под нормальный сетевой трафик.
-----

В марте 2026 года была обнаружена сложная вредоносная кампания под названием «Kong RAT», нацеленная на китайскоязычных разработчиков и ИТ-специалистов посредством Отравления поисковой оптимизации (SEO). Эта кампания использовала поддельные веб-сайты для доставки троянизированных версий популярных программных инструментов, заманивая жертв, искавших такие приложения, как SSH-клиент FinalShell и Xshell. Изначальный загрузчик вредоносного ПО, Setup.exe с легитимным видом, скомпилированный в .NET 10.0 NativeAOT, искусно избегал реверс-инжиниринга, преобразуя C# в нативный машинный код. Инфраструктура вредоносного ПО, размещенная на Alibaba Cloud, была активна с мая 2025 года, и все полезная нагрузка постоянно доставлялась через домен oss-cn-hongkong.aliyuncs.com.

Подход злоумышленника включал шестистадийную цепочку выполнения, начиная от отравления поисковой оптимизации (SEO Poisoning) и заканчивая финальным развертыванием Kong RAT. Первоначальный доступ был получен, когда жертвы скачивали троянизированные установщики с поддельных доменов, которые также содержали намеренные попытки выглядеть легитимно с помощью реалистичных скриншотов. Важно отметить, что дроппер не только развертывал вредоносные компоненты, но и применял техники повышения привилегий для избежания обнаружения. Он использовал комбинацию ShellExecute для первоначального запроса повышения прав через UAC, а затем переходил к тихому обходу UAC через COM, используя специально созданное поведение для маскировки идентичности процессов.

После установки вредоносное ПО реализовало ряд инновационных методов выполнения shellcode-пакетов, в частности, через обратные вызовы EnumWindows, что позволяло обходить распространенные средства защиты, контролирующие создание потоков. Загрузчик shellcode был встроен в специально созданный XML-файл, к которому обращались во время выполнения. Функциональность Kong RAT включала функцию регистрации нажатий клавиш, работающую со встроенным переключателем отключения, позволяющим оператору отключить её удаленно. Кроме того, оно использовало легитимные сервисы (например, LeTV CDN) для сбора геолокационной информации о целевых системах, маскируя свою активность под нормальный сетевой трафик.

Связь с сервером управления (управление) (C2) осуществлялась по протоколу TCP на порту 5947 с использованием собственного протокола (MPK1) для передачи данных, что затрудняло обнаружение при анализе в песочнице; при некорректном вызове по умолчанию поведение было безвредным. Фреймворк C2 обеспечивал выполнение широкого спектра команд — от удаленного выполнения команд оболочки до более сложных операций, таких как загрузка модулей, управление сессиями и даже самоуничтожение ВПО по требованию.

Kong RAT продемонстрировал продвинутые техники обфускации и уклонения, включая создание постоянных процессов через Планировщик заданий Windows и сложную обработку команд на уровне C2, что указывает на тщательно спланированную стратегию поддержания контроля над зараженными системами. Используя такие методы, как подгрузка DLL и регистрация в среде Windows, это ВПО представляет собой явную угрозу для физических лиц и организаций в целевых демографических группах, что свидетельствует о высокой вероятности того, что за его деятельностью стоит злоумышленник, говорящий на китайском языке.