#ParsedReport #CompletenessLow
14-05-2026

Lookalike Domains Expose the iPhone Theft Economy

https://www.infoblox.com/blog/threat-intelligence/lookalike-domains-expose-the-iphone-theft-economy/

Report completeness: Low

Threats:
Smishing_technique
Supply_chain_technique
Spear-phishing_technique

Victims:
Iphone owners, Apple users, Xiaomi users, Samsung users, Mobile device owners

Industry:
E-commerce

Geo:
Venezuela, Mexico, India, Brazil, Pakistan, Asia, Bangladesh

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.002, T1566.004, T1567, T1588.002, T1592, T1656

IOCs:
Domain: 20

Soft:
Telegram, WhatsApp, Chrome

Platforms:
intel, apple

Links:
https://github.com/Infoblox-CTO/phoebe-openintel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, chats: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessMedium
14-05-2026

Analyzing TeamPCP’s Supply Chain Attacks: Checkmarx KICS and elementary-data in CI/CD Credential Theft

https://www.trendmicro.com/en_us/research/26/e/analyzing-teampcp-supply-chain-attacks.html

Report completeness: Medium

Actors/Campaigns:
Teampcp (motivation: financially_motivated)
Vect (motivation: financially_motivated)
Lapsus
Sandworm

Threats:
Supply_chain_technique
Shai-hulud
Dead_drop_technique
Credential_harvesting_technique

Victims:
Open source software projects, Ci cd pipelines, Software development organizations, Cloud connected ci runners

TTPs:
Tactics: 10
Technics: 21

IOCs:
File: 9
Url: 1

Soft:
Docker, Kubernetes, LiteLLM, Xinference, Trivy, OpenVSX, Bitwarden, alpine, debian, claude, have more...

Wallets:
zcash

Crypto:
bitcoin, ethereum, solana, litecoin, dogecoin, ripple, monero, cardano

Algorithms:
aes-256-gcm, xor, ecdsa, ed25519

Functions:
SigV4-authenticated

Languages:
javascript, python

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TeamPCP выполнила продвинутые атаки на цепочку поставок в апреле 2026 года, направленные на кражу учетных данных через скомпрометированные рабочие процессы CI/CD. В инциденте с Checkmarx KICS они проникли на такие платформы, как Docker Hub и GitHub Actions, внедряя вредоносные скрипты, которые собирали различные учетные данные, а в случае elementary-data они использовали комментарий в GitHub для запуска вредоносного пакета, который выполнялся через механизм файлов .pth в Python, обходя защиты антивирусов. Эти атаки продемонстрировали отточенные техники извлечения учетных данных, используя API AWS и применяя зашифрованные полезную нагрузку, что подчеркивает гибкость и сложность инфраструктуры злоумышленника.
-----

TeamPCP выполнила сложную стратегию атаки на цепочку поставок, направленную на массовый кражу учетных данных в апреле 2026 года.

Инцидент с Checkmarx KICS 22 апреля включал проникновение в Docker Hub, GitHub Actions и OpenVSX.

Легитимные образы Docker были заменены, а рабочие процессы GitHub модифицированы для внедрения вредоносных скриптов.

Украденные токены npm использовались для перехвата контроля над компонентами следующего уровня, такими как @bitwarden/cli, с целью проведения дальнейших атак.

Вредоносный код из Checkmarx KICS нацеливался на множество учетных данных, включая персональные токены доступа GitHub (PAT), учетные данные облачных провайдеров и SSH-ключи.

В инциденте с elementary-data 24 апреля инъекция скриптов была осуществлена через комментарий в pull request в GitHub Actions.

Атакующий обошел необходимость использования прямых учетных данных мейнтейнера; один комментарий запустил процесс CI для выпуска вредоносного пакета.

Этот вредоносный пакет был криптографически подписан, чтобы выглядеть легитимным, и использовал механизм файлов .pth Python для выполнения при запуске интерпретатора Python.

Архитектура атаки была спроектирована таким образом, чтобы избежать обнаружения традиционными антивирусами и обеспечить компрометацию множества систем без создания постоянных артефактов на диске.

Элементарный полезный груз запрашивал живые API Amazon Web Services (AWS) для сбора секретов из Secrets Manager и EC2 Metadata Service.

Угроза охватывала более 80 различных путей к файлам учётных данных, увеличивая потенциальную поверхность атаки.

Ключевыми индикаторами компрометации (IoC) являлись использование AES-256-GCM для шифрования полезной нагрузки и жёстко закодированный в вредоносный код открытый ключ.

Оба инцидента продемонстрировали гибкую инфраструктуру управления (C&C), которая быстро циклически переключалась между доменами и методами эксфильтрации.

Анализ подчеркивает необходимость строгого соблюдения практик безопасности в процессах CI/CD, особенно в отношении принципа наименьших привилегий.

#ParsedReport #CompletenessMedium
14-05-2026

OrBit (Re)turns: Tracking an open-source Linux rootkit across four years of forks and deployments

https://intezer.com/blog/orbit-returns/

Report completeness: Medium

Actors/Campaigns:
Blockade_spider (motivation: cyber_espionage)
Unc3886 (motivation: cyber_espionage)

Threats:
Orbit
Rhombus_ransomware
Medusa_ransomware
Credential_harvesting_technique
Embargo_ransomware
Seaelf

Victims:
Virtualization environments, Juniper infrastructure, Vmware infrastructure, Vps, Iot devices

Industry:
Iot

Geo:
Israel, Russia

ChatGPT TTPs:
do not use without manual check
T1014, T1021.004, T1027, T1027.008, T1027.009, T1040, T1053.003, T1083, T1105, T1556.003, have more...

IOCs:
Url: 1
File: 5
Hash: 28
IP: 2
Domain: 1

Soft:
Linux, ChatGPT, Claude, sudo, sshpass, SELinux

Algorithms:
base64, xor, sha256

Functions:
read, xread, xor_dump, build_root

Links:
https://github.com/ldpreload/Medusa
have more...
https://github.com/git/git/blob/master/wrapper.c#L228

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
OrBit — это руткит пользовательского пространства Linux, созданный на базе Medusa, обладающий расширенными возможностями, такими как глубокое хукирование libc, бэкдор-доступ через SSH и сбор учетных записей на основе PAM. Он имеет две линии развития: Lineage A, включающая широкий набор функций с улучшениями, такими как функция xread для обхода собственных хуков, и Lineage B, имеющая урезанный профиль с меньшим количеством функций. В 2025 году OrBit представил новую архитектуру инфиктора для внедрения полезной нагрузки в ELF-бинарники и начал демонстрировать возможности управления, что свидетельствует о его адаптивности среди различных злоумышленников, включая UNC3886 и BLOCKADE SPIDER.
-----

OrBit — руткит пользовательского пространства Linux, являющийся производным от открытого руткита Medusa, первоначально проанализированного в 2022 году. Он обладает расширенными возможностями, включая глубокое хукинг-вмешательство в libc, доступ через SSH-бэкдор и сбор учетных записей на основе PAM. OrBit был обнаружен как единственный образец с уникальными операционными отпечатками, однако дальнейшее расследование показало, что это переработанный вариант Medusa, который был публично выпущен в декабре 2022 года. На протяжении четырех лет своего развития OrBit оставался активно развернутым, при этом было выявлено несколько образцов, демонстрирующих две основные операционные линии: комплексную Lineage A и облегченную Lineage B.

Основной характеристикой Lineage A является широкий набор функций, сохраняющий те же основные возможности, что и в первоначальном выпуске. Заметным развитием в образцах 2023 года стало внедрение функции xread, позволяющей руткиту обходить собственный хук чтения, что решает проблемы совместимости с программами, использующими собственные внутренние обёртки для чтения. Напротив, Lineage B работает с существенно сокращённым профилем, исключая ключевые функции, такие как перехват учётных данных PAM и скрытие сетевых портов, что минимизирует его след. Экземпляры 2024 и 2025 годов указывают на продолжение развития обеих линий, при этом Lineage A демонстрирует признаки дальнейших улучшений, включая хук на стороне службы PAM, позволяющий злоумышленникам манипулировать результатами аутентификации.

Образец 2025 года ознаменовал собой поворотный момент для OrBit, представив новую архитектуру инфиктора, которая обеспечивает ресурсосберегающее распространение руткита. Этот инфиктор сканирует ELF-бинарные файлы и внедряет в них полезную нагрузку руткита. Это также первый вариант, демонстрирующий какие-либо возможности управления, что является отходом от ранее применявшегося пассивного метода развертывания. Данный инфиктор имеет структурное сходство с предыдущими дропперами, использовавшимися в других кампаниях, что предполагает возможное пересечение методов операторов или использование общих инструментов.

Анализ связей OrBit с известными злоумышленниками показывает, что он используется как минимум тремя различными группами, включая спонсируемую государством UNC3886 и актора eCrime, известного как BLOCKADE SPIDER. Улики указывают на систематическое использование кодовой базы Medusa, в частности кластера 2024 года, который идеально соответствует конфигурации UNC3886. Поскольку наблюдение за руткитом OrBit включает методы ротации учетных данных и динамические изменения путей установки, это подчеркивает модульную природу угрозы, при которой несколько акторов могут использовать и адаптировать единую кодовую базу для различных злонамеренных целей.

В заключение, OrBit является примером развивающегося ландшафта киберугроз, в котором единая кодовая база обеспечивает разнообразные операционные возможности для различных злоумышленников. ВПО демонстрирует стабильность в своей базовой архитектуре, одновременно адаптируясь к техникам уклонения и изменяющимся операционным задачам, что подчеркивает постоянную угрозу, которую оно представляет в сфере кибербезопасности.

#ParsedReport #CompletenessHigh
14-05-2026

Kimsuky targets organizations with PebbleDash-based tools

https://securelist.com/kimsuky-appleseed-pebbledash-campaigns/119785/

Report completeness: High

Actors/Campaigns:
Kimsuky
Lazarus
Bluenoroff

Threats:
Pebbledash
Dwagent_tool
Spear-phishing_technique
Appleseed
Hellodoor
Httpmalice
Memload
Http_troy
Happydoor
Ngrok_tool
Babyshark
Randomquery
Xrat_rat
Xenorat
Trurat
Reger_dropper
Pidoc
Nikidoor
Troll_stealer
Httpspy
Dw_service_tool

Victims:
Public sector, Private sector, Government organizations, Defense organizations, Medical industry, Military, Machinery industry, Energy industry

Industry:
Government, Military, Energy, Healthcare

Geo:
Germany, Brazilian, Korea, Brazil, Korean, German

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1027, T1033, T1036, T1041, T1053.005, T1056.001, T1059.001, T1059.003, have more...

IOCs:
Hash: 21
Command: 4
File: 13
Url: 5
Registry: 1
Path: 3
Domain: 12

Soft:
VSCode, Visual Studio Code, TryCloudflare, Dropbox, Windows service, Slack, unrar

Algorithms:
md5, xor, rc4, zip, chacha20, base64

Languages:
rust, powershell, jscript

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Kimsuky, также известная как APT43, — это сложный злоумышленник, говорящий на корейском языке, использующий ВПО из платформы PebbleDash, которое включает такие варианты, как HelloDoor и httpMalice. Они применяют кампании целевого фишинга с различными загрузчиками для первоначального доступа и используют продвинутые инструменты, такие как VSCode Tunneling, для удаленного доступа и эксфильтрации данных. Их операции преимущественно нацелены на оборонный и государственный секторы Южной Кореи, с недавними расширениями в Бразилию и Германию, что демонстрирует адаптивную стратегию шпионажа.
-----

Kimsuky, также идентифицируемый как APT43, — это злоумышленник, говорящий на корейском языке, который проявляет постоянную активность и значительно эволюционировал в своих методах в ходе недавних кампаний, особенно используя ВПО, полученное на базе платформы PebbleDash. Эта платформа, ранее ассоциировавшаяся с группой Lazarus Group, используется Kimsuky как минимум с 2021 года. Недавние адаптации включают внедрение таких продвинутых инструментов, как VSCode Tunneling, Cloudflare Quick Tunnels, утилита удаленного мониторинга DWAgent и язык программирования Rust для разработки.

Для получения первоначального доступа Kimsuky создает целевой фишинг-письма с вредоносными вложениями, замаскированными под документы, используя различные загрузчики в форматах JSE, PIF, SCR и EXE. Инструментарий характеризуется двумя основными кластерами ВПО: PebbleDash, включающий сложные варианты, такие как HelloDoor и httpMalice, и AppleSeed. ВПО PebbleDash предназначено для создания бэкдоров в целевых системах, особенно в секторах обороны, военных и правительственных структурах, преимущественно в Южной Корее, при этом недавние атаки распространились на Бразилию и Германию.

HelloDoor представляет собой первый вариант семейства PebbleDash, написанный на Rust, который обеспечивает закрепление путем изменения записей системного реестра. Его связь с сервером управления (C2) осуществляется по протоколу HTTP с использованием методов шифрования, включая RC4, а для сокрытия идентичности сервера применяется временное туннелирование через Cloudflare. Аналогично, вариант httpMalice работает по протоколам HTTP/HTTPS, способен выполнять команды и собирать подробную информацию о системе, при этом основное внимание уделяется поддержанию постоянного доступа через службы Windows или изменения реестра. Его способность выполнять команды отражает синергию с существующими основными функциями PebbleDash.

MemLoad, инструмент, развертываемый через другие дропперы, обеспечивает скрытность за счет маскировки развертывания своего бэкдора httpTroy и выполняет разведку целевых систем, уклоняясь от обнаружения с помощью проверок на виртуальные машины (anti-VM). Кроме того, Kimsuky использует легитимные инструменты, такие как Visual Studio Code, для создания постоянного удаленного доступа путем эксплуатации функций удаленного туннелирования, что позволяет злоумышленникам обходить традиционные механизмы обнаружения.

Кластер вредоносного ПО AppleSeed служит фреймворком для эксфильтрации данных, часто нацеленным на правительственные системы. Недавние разработки акцентировали сбор конфиденциальной информации, такой как документы и нажатия клавиш. Примечательно, что HappyDoor считается продвинутым вариантом AppleSeed.

Хотя Kimsuky в основном нацелена на объекты в Южной Корее, включая как государственный, так и частный секторы, её инфраструктура включает множество доменов, зарегистрированных через бесплатный хостинг-сервис в Южной Корее, а также взломанные веб-сайты для маскировки операций C2. Эволюционирующие тактики группы подчеркивают сложный и адаптивный подход к кибершпионажу, обеспечивающий сохранение доступа и контроля над целевыми системами. Двойной фокус как на оборонном секторе, так и на государственных организациях указывает на стратегическое согласование целей, которое укрепляет их оперативные задачи.

#ParsedReport #CompletenessHigh
14-05-2026

LATAM Under Siege: Agent Tesla’s 18-Month Credential Theft Campaign Against Chilean Enterprises

https://any.run/cybersecurity-blog/agent-tesla-latam-enterprise/

Report completeness: High

Threats:
Agent_tesla
Process_hollowing_technique
Bec_technique
Dotnet_reactor_tool
Supply_chain_technique
Spear-phishing_technique
Realvnc_tool
Tigervnc_tool
Ultra_vnc_tool
Process_injection_technique

Victims:
Chilean enterprises, Latin america enterprises, Finance departments, Procurement departments

Industry:
Healthcare, Entertainment, Logistic, Financial

Geo:
Peru, Spanish, Chile, Romanian, Latam, Chilean, Latin america, Latin american

TTPs:
Tactics: 5
Technics: 10

IOCs:
IP: 1
File: 29
Hash: 5
Email: 1
Domain: 3
Path: 1

Soft:
Linux, Android, NET Reactor, Chrome, Firefox, Outlook, Telegram, Salesforce, NET Framework, Opera, Vivaldi, have more...

Algorithms:
sha1, md5, aes-cbc, sha256, deflate, cbc, base64, aes, aes-256

Functions:
GetMethod, CreateInstance, CreateDelegate

Win API:
VirtualAllocEx, WriteProcessMemory, GetProcAddress, Decompress, CreateProcessA, ZwUnmapViewOfSection, ReadProcessMemory, GetThreadContext, SetThreadContext, ResumeThread, have more...

Languages:
javascript, jscript, powershell

Platforms:
x86

YARA: Found
SIGMA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Agent Tesla, нацеленная на предприятия в Чили и Латинской Америке, сосредоточена на краже учетных данных путем использования тактик социальной инженерии для доставки закодированных JScript дропперов, замаскированных под бизнес-файлы. После выполнения эти дропперы развертывают стейджеры PowerShell, которые взаимодействуют с сервером управления через легитимный румынский FTP-сайт. Agent Tesla — это основанный на .NET кейлоггер, способный красть конфиденциальную информацию из различных приложений, используя сложную обфускацию и Внедрение в пустой процесс для уклонения от обнаружения, что указывает на наличие устойчивого и хорошо обеспеченного ресурсами злоумышленника.
-----

Вредоносная кампания Agent Tesla, которая действует уже как минимум 18 месяцев, нацелена на предприятия в Чили и более широком регионе Латинской Америки с акцентом на кражу учетных данных. Она действует под видом финансовой и закупочной документации, используя тактики социальной инженерии для заманивания жертв в открытие вредоносных вложений, замаскированных под важные бизнес-файлы. ВПО в основном распространяется в виде закодированного загрузчика на JScript, который при выполнении разворачивает дополнительные компоненты через стейджеры PowerShell, использующие техники обхода политики выполнения.

После активации начального JScript-дроппера он извлекает несколько загрузчиков PowerShell, которые взаимодействуют с сервером управления (C2), используя легитимный румынский FTP-сайт для эксфильтрации и оперативных задач. Загрузчики PowerShell предназначены для загрузки полезной нагрузки Agent Tesla путем внедрения ее в доверенные системные процессы, в частности aspnet_compiler.exe, что помогает избежать обнаружения инструментами безопасности конечных точек.

Сам Agent Tesla представляет собой .NET-основанный стиллер и инструмент регистрации нажатий клавиш, способный извлекать конфиденциальную информацию из различных приложений, включая веб-браузеры, почтовые клиенты и FTP-приложения. Его возможности также включают мониторинг буфера обмена, регистрацию нажатий клавиш и возможность создания скриншотов. Примечательно, что вредоносное ПО использует сложные методы обфускации через .NET Reactor v6.x, что затрудняет его анализ с помощью традиционных методов статической детекции. Использование Внедрения в пустой процесс позволяет вредоносному ПО выполняться полностью в памяти, дополнительно снижая вероятность обнаружения.

Угроза выходит за рамки простого кражи учетных данных, поскольку она открывает путь для более масштабных атак, таких как компрометация бизнес-электронной почты (BEC) и финансовое мошенничество. Детальная целевая ориентация на финансовые и закупочные отделы указывает на стратегический подход злоумышленника к облегчению несанкционированного доступа к значительным финансовым транзакциям и конфиденциальным корпоративным данным.

Операционная инфраструктура кампании демонстрирует стабильность: один и тот же IP-адрес C2 используется на протяжении длительного времени, что подтверждает вероятность наличия хорошо обеспеченного и стойкого злоумышленника. Эта постоянная активность указывает на профессиональную операцию, которая постоянно адаптирует свои тактики, оставаясь незамеченной в бизнес-экосистеме Латинской Америки.

Для эффективного снижения рисков, связанных с Agent Tesla, организациям рекомендуется внедрять усиленные меры безопасности, такие как интерактивная песочница для анализа в реальном времени, целевые программы обучения киберграмотности для сотрудников уязвимых подразделений и мониторинг аномальной исходящей FTP-активности. Результаты подчеркивают устойчивый характер этой угрозы и острую необходимость в надежных стратегиях кибербезопасности, адаптированных для защиты от операций по краже учетных данных в регионе.

#ParsedReport #CompletenessHigh
14-05-2026

From PyInstaller to XWorm V7.4: Infection Chain Analysis

https://www.pointwild.com/threat-intelligence/from-pyinstaller-to-xworm-v7-4-infection-chain-analysis/

Report completeness: High

Threats:
Xworm_rat
Amsi_bypass_technique
Supply_chain_technique

Victims:
Organizations, Users

Industry:
Entertainment

TTPs:
Tactics: 7
Technics: 6

IOCs:
File: 10
Url: 1
Hash: 2

Soft:
PyInstaller, Windows service

Algorithms:
base64, aes, md5, sha512, aes-ecb, xor

Functions:
_IAT_PHANTOM_FIX

Win API:
AmsiScanBuffer, VirtualProtect, decompress

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Point Wild проанализировал многоэтапный загрузчик ВПО, связанный с кампанией XWorm V7.4, который использует обфускацию и техники антианализа для уклонения от обнаружения, включая патчинг AmsiScanBuffer для отключения AMSI. Загрузчик расшифровывает и распаковывает троян, обеспечивая несанкционированный доступ и связь с сервером C2. Ключевыми векторами заражения являются фишинг, скомпрометированное программное обеспечение и социальная инженерия, в то время как XWorm RAT демонстрирует расширенные возможности, такие как разведка хоста и выполнение удаленных команд.
-----

Point Wild провела детальный анализ вредоносного исполняемого файла, упакованного с помощью PyInstaller, который был идентифицирован как многоэтапный загрузчик ВПО, связанный с кампанией XWorm V7.4. Данное ВПО использует различные техники обфускации и механизмы противодействия анализу для сокрытия своей деятельности и уклонения от обнаружения стандартными средствами защиты.

Расследование показало, что основная вредоносная функциональность выполнялась через функцию с именем _VOID_DEPLOYER, после начального обманного кода, предназначенного для введения аналитиков в заблуждение. Примечательно, что ВПО использовало продвинутые техники обхода защиты, патчая AmsiScanBuffer в памяти, что эффективно отключало Microsoft Anti-Malware Scan Interface (AMSI) и минимизировало видимость для антивирусных и систем обнаружения на конечных точках перед развертыванием его полезной нагрузки. Загрузчик способен расшифровывать и распаковывать встроенный исполняемый файл непосредственно из пакета Python, затем записывает его в директорию %LOCALAPPDATA%, устанавливает для файла атрибуты скрытый и системный, и выполняет его тихо, без видимой консоли.

Вредоносная нагрузка, идентифицированная как XWorm V7.4, функционирует как Троянская программа (RAT), которая может обеспечивать несанкционированный доступ, выполнение команд и кражу учетных данных, а также проводить слежку и загружать вторичные вредоносные модули на скомпрометированные системы. Анализ выявил, что ВПО взаимодействует с сервером управления (C2) по адресу tcp://68.219.64.89:4444, что подтверждает его функциональность под контролем удаленных злоумышленников.

Кроме того, образец продемонстрировал характеристики, типичные для современных фреймворков доставки ВПО, включая многоэтапную обработку, обход AMSI и тактики скрытности полезной нагрузки. Механизм доставки вредоносного ПО описывал процесс, в котором различные вызовы API и компоненты реконструируются динамически для дальнейшего сокрытия его намерений и ограничения вероятности обнаружения.

Потенциальные векторы заражения этим ВПО включают фишинговые письма с вредоносными вложениями, скомпрометированные дистрибутивы программного обеспечения и тактики социальной инженерии, побуждающие пользователей запускать вредоносные исполняемые файлы.

Анализ внутренних операций XWorm RAT выявил несколько продвинутых техник. Он выполняет обширную разведку хоста и генерирует уникальный идентификатор клиента на основе атрибутов системы, что способствует идентификации скомпрометированных систем. Связь с сервером C2 осуществляется через TCP-сокеты со встроенными механизмами heartbeat, а также с использованием шифрования AES для скрытой передачи данных. Дополнительные возможности включают выполнение удаленных команд, внедрение дополнительных полезной нагрузки и организацию распределенных атак типа отказ в обслуживании (DDoS) под централизованным управлением.

В заключение, цепочка заражения XWorm V7.4 является сложной, используя многослойную обфускацию, скрытую развертку и динамические методы выполнения, что подчеркивает важность усиления стратегий обнаружения для борьбы с такими передовыми угрозами в ландшафте угроз.

#ParsedReport #CompletenessHigh
14-05-2026

VELVET CHOLLIMA Infostealer Campaign Using Trading App as Lure

https://hybrid-analysis.blogspot.com/2026/05/velvet-chollima-infostealer-campaign.html

Report completeness: High

Actors/Campaigns:
Kimsuky (motivation: financially_motivated)

Threats:
Moonpeak
Xenorat
Credential_harvesting_technique

Victims:
Cryptocurrency traders, Crypto signal communities, Professional networking platforms, Communications platforms

Geo:
North korea, Dprk

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1036, T1036.004, T1036.008, T1053.005, T1056.001, T1057, T1059.001, T1059.005, have more...

IOCs:
File: 11
IP: 2
Domain: 10
Hash: 4
Url: 2
Email: 4

Soft:
Windows Scheduled Task, Chrome, Android, ProtonMail

Algorithms:
gzip, sha256, sha1, md5

Functions:
GitLab, ReadMe

Languages:
powershell