#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Преступная хакерская кампания использует поддельные сайты распространения Microsoft Teams для развертывания варианта вредоносного ПО ValleyRAT через троянизированный установщик. Установщик применяет подгрузку DLL, используя легитимный GameBox.exe в качестве фасада, при этом размещая загрузчик, вредоносную DLL (utility.dll) и другие двоичные файлы. Вредоносное ПО использует передовые техники уклонения, такие как изменение настроек Windows Defender, отражательная загрузка для избежания обнаружения и поддержание связи с сервером C2 для эксфильтрации конфиденциальных данных, что указывает на связь с хакерской группировкой SilverFox APT.
-----

Выявлена недавняя преступная хакерская кампания, использующая поддельные сайты распространения Microsoft Teams для доставки варианта вредоносного ПО ValleyRAT. Сайты, созданные для того, чтобы максимально имитировать легальную страницу загрузки Microsoft Teams, используют обманные домены, такие как teams-securecall.com и teamszs.com. Пользователи, не подозревающие об опасности, которые скачивают zip-архив, становятся жертвами троянизированного установщика, использующего подгрузку DLL (DLL sideloading) с помощью легитимного исполняемого файла GameBox.exe, разработанного Tencent.

После запуска установщик выступает в роли механизма развертывания, а не выполняет традиционную установку программного обеспечения. Он размещает несколько компонентов, включая загрузчик, вредоносную DLL-библиотеку (utility.dll) и дополнительные двоичные файлы, одновременно помещая на рабочий стол пользователя легитимный установщик Microsoft Teams для маскировки установки вредоносных компонентов. Значительным методом обхода является изменение настроек Windows Defender для игнорирования действий, связанных с ВПО, путем выполнения определенных команд PowerShell, которые добавляют исключения в систему.

Вредоносное ПО также использует техники скрытности, такие как изменение атрибутов файлов для скрытия установленных компонентов и хранение конфигурационной информации в ключах реестра, которые напоминают предыдущие реализации ValleyRAT. Полезная нагрузка, зашифрованная с помощью AES, расшифровывается в памяти во время выполнения, что способствует бесшовному процессу проникновения. Загрузчик использует техники отраженной загрузки для выполнения вредоносного ПО без создания обнаруживаемых файлов на диске.

Анализ сетевой коммуникации показывает, что ВПО поддерживает исходящие TCP-соединения с сервером управления (C2), что обеспечивает двустороннюю передачу данных. Оно собирает конфиденциальную информацию, включая нажатия клавиш и данные из буфера обмена, которые логируются для последующей эксфильтрации на C2. Модульная природа ВПО позволяет злоумышленнику динамически обновлять полезную нагрузку, повышая её эффективность в различных кампаниях.

Ключевые индикаторы компрометации (IOCs), связанные с этой кампанией, включают zip-файл (98653.2.87.teamsx.zip), utility.dll и зашифрованный файл user.dat. Кампания демонстрирует использование социальной инженерии, сложных тактик уклонения и многоэтапного развертывания ВПО, подчеркивая четкий фокус злоумышленников на скрытности и закреплении, которые, как полагают, связаны с хакерской группировкой SilverFox APT.

#ParsedReport #CompletenessLow
20-05-2026

New VoidStealer Trojan bypasses Chrome’s stored data protection

https://www.kaspersky.com/blog/chrome-application-bound-encryption-bypass-voidstealer/55735/

Report completeness: Low

Threats:
Voidstealer
Meduza
Lumma_stealer
Whitesnake_stealer
Lumar
Poverty_stealer
Clickfix_technique

Victims:
Chrome users, Windows users, Chromium based browser users

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1005, T1539, T1555.003

Soft:
Chrome, Google Chrome, Microsoft Edge, Opera, Vivaldi

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VoidStealer — это новый стиллер-троян, который обходит App-Bound Encryption (ABE) в Chrome для извлечения конфиденциальных пользовательских данных, в частности сохраненных сеансовых файлов cookie и учетных данных. Он использует момент, когда мастер-ключ шифрования находится в памяти в виде открытого текста, применяя технику отладчика для приостановки выполнения браузера и доступа к этому ключу. Архитектура вредоносного ПО построена по модели ВПО как услуга, что делает его более доступным для злоумышленников и подчеркивает наличие уязвимостей, несмотря на достижения в области безопасности.
-----

Троян VoidStealer — это недавно обнаруженный стиллер, использующий сложную технику для обхода привязанного к приложению шифрования (App-Bound Encryption, ABE) в Chrome, что позволяет ему красть конфиденциальные данные пользователей. Эта возможность позволяет VoidStealer атаковать сохраненные сеансовые файлы cookie и учетные данные, которые должны были быть защищены мерами безопасности Chrome, разработанными для защиты от несанкционированного доступа, особенно с уже скомпрометированных систем.

ABE, представленная Google в июле 2024 года с версией Chrome 127, была разработана для усиления защиты данных путем привязки шифрования к конкретному приложению — в данном случае к Chrome. Она использует отдельный сервис для защиты мастер-ключа, необходимого для расшифровки конфиденциальной информации. Цель заключалась в том, чтобы предотвратить доступ инфостилеров к защищенным данным, даже если ВПО работает с привилегиями пользователя. Однако авторы ВПО постоянно находят способы обойти эти защиты, что указывает на сохранение уязвимостей.

Метод VoidStealer использует момент, когда мастер-ключ существует в виде открытого текста в памяти браузера. Это происходит, когда Chrome расшифровывает данные для операционного использования, например, при входе на веб-сайты. VoidStealer прикрепляется к Chrome в качестве отладчика, что позволяет ему контролировать выполнение программы. Когда происходит процесс расшифровки, вредоносное ПО устанавливает точку останова, замораживая выполнение браузера, что предоставляет ему доступ к мастер-ключу напрямую из оперативной памяти (RAM).

Эта тактика отражает более широкую тенденцию: разработчики ВПО быстро адаптируются к мерам безопасности. До появления VoidStealer другие инфостилеры, включая Meduza, Whitesnake и Lumma Stealer, уже заявляли о возможности обхода ABE, что демонстрирует непрерывный цикл адаптации и контр-адаптации между разработчиками вредоносного ПО и исследователями безопасности.

Кроме того, архитектура VoidStealer работает по модели ВПО как услуга, что облегчает её развертывание менее квалифицированными злоумышленниками. Это повышает риск массовых атак, поскольку вредоносное ПО можно арендовать, а не разрабатывать собственные решения. Учитывая растущую сложность таких угроз, полагаться исключительно на встроенные функции безопасности недостаточно для предотвращения утечек данных. Пользователям рекомендуется избегать установки программного обеспечения из непроверенных источников, обновлять операционные системы и использовать надежные инструменты управления паролями вместо хранения конфиденциальной информации непосредственно в браузерах, таких как Chrome.

#ParsedReport #CompletenessLow
19-05-2026

Popular Go Decimal Library Targeted by Long-Running Typosquat with DNS Backdoor

https://socket.dev/blog/popular-go-decimal-library-typosquat-dns-backdoor

Report completeness: Low

Actors/Campaigns:
Boltdb-go

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Software development, Financial services, Billing, Cryptocurrency, Analytics, Continuous integration

TTPs:
Tactics: 4
Technics: 6

IOCs:
Domain: 2
File: 7
Hash: 4

Wallets:
metamask

Algorithms:
sha256, zip, md5, sha1

Functions:
init, main, CombinedOutput

Links:
https://socket.dev/go/package/github.com/shopsprint/decimal?version=v1.3.3
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный модуль Go, маскирующийся под легитимную библиотеку shopspring/decimal, был использован для создания канала управления с помощью DNS TXT-записей. Активный с 2017 года и модифицированный в августе 2023 года, он включает троянизированную функцию init(), которая каждые пять минут опрашивает жестко заданный домен DNS для выполнения команд. Это представляет значительные риски, позволяя выполнять несанкционированные команды в средах, импортирующих скомпрометированную библиотеку, без вызова предупреждений из-за неограниченного кэширования версий модулей.
-----

Вредоносный Go-модуль с именем github.com/shopsprint/decimal имитирует легитимную библиотеку shopspring/decimal.

Этот тайпсквотинг-инструмент активен с 8 ноября 2017 года и был вооружён 19 августа 2023 года с выпуском версии v1.3.3.

Версия v1.3.3 содержит вредоносную функцию init(), которая устанавливает канал управления (C2) через DNS TXT-записи к домену, контролируемому злоумышленником.

Модуль использует бесплатный провайдер динамической DNS для своей инфраструктуры C2.

Вредоносная версия сохраняет публичный API и функциональность легитимной библиотеки, одновременно внедряя полезную нагрузку, которая выполняет команды через DNS TXT-записи.

Заражённое программное обеспечение опрашивает вредоносную DNS-запись каждые пять минут для выполнения полученных команд в скрытом режиме.

Изменения в версиях v1.3.2 и v1.3.3 включают дополнительные импорты (net, os/exec и time), цикл C2 в горутине и нефункциональную функцию main() для маскировки.

Встроенный домен C2 — dnslog-cdn-images.freemyip.com, который разрешается в поддельный IP-адрес.

Использование DNS TXT-записей помогает злоумышленнику избегать обнаружения, которое обычно сосредоточено на HTTP-трафике.

Разработчики, загрузившие вредоносную версию, не получали бы предупреждений, поскольку Go Module Proxy кэширует все версии модулей неограниченно долго.

Заражение позволяет выполнять широкие команды с теми же правами пользователя, что создает риск компрометации учетных данных и токенов доступа в таких средах, как конвейеры CI/CD.

Разработчикам рекомендуется провести аудит зависимостей на наличие опечатанного модуля и заменить его на легитимный.

Командам безопасности следует отслеживать вредоносные DNS-запросы и ограничивать исходящий трафик на скомпрометированные домены, а также сканировать кэши модулей Go на наличие вредоносных зависимостей.

#ParsedReport #CompletenessMedium
20-05-2026

Tracking TamperedChef Clusters via Certificate and Code Reuse

https://unit42.paloaltonetworks.com/tracking-tampered-chef-clusters/

Report completeness: Medium

Actors/Campaigns:
Cl-cri-1089
Cl-unk-1090
Cl-unk-1100

Threats:
Tamperedchef
Evilai
Appsuite
Justaskjacky
Residential_proxy_technique
Bloat_technique

Victims:
Global users, Productivity software users, Israel, United states

Industry:
Government, Logistic, E-commerce, Media, Healthcare, Education, Iot

Geo:
Israeli, Malaysia, Malaysian, Singapore, Ukraine, Ukrainian, Israel, Togo

ChatGPT TTPs:
do not use without manual check
T1027, T1027.010, T1033, T1036, T1041, T1053.005, T1082, T1090, T1105, T1204.002, have more...

IOCs:
Url: 1
File: 2
Domain: 2
Hash: 2

Soft:
CrystalPDF, DocuFlex, Neutralinojs, 7zSFX, PDFPrime, SwiftNav, RapiDoc, RapiDoc RapiDoc, PAN-OS

Wallets:
harmony_wallet

Algorithms:
zip, sha256

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО TamperedChef, также известное как EvilAI, представляет собой значительную киберугрозу, распространяемую через троянизированные приложения для продуктивности, такие как редакторы PDF, что приводит пользователей к вредоносным загрузкам. Оно демонстрирует сходство с рекламным ПО, но обладает скрытым закреплением и способностью выполняться после длительных периодов бездействия. Вредоносное ПО, наблюдаемое в различных кампаниях и связанное с организованными сетями, использует обманные механизмы доставки, такие как Сертификаты подписи кода и сайты, выглядящие легитимно, для распространения вторичных загрузок, таких как крадущие информацию программы и RAT.
-----

Вредоносное ПО TamperedChef, также известное как EvilAI, распространяется через троянизированные приложения для повышения продуктивности, такие как редакторы PDF и календари.

Это часто приводит пользователей к вредоносным полезным нагрузкам через обманные рекламные объявления.

Данный тип ВПО имеет сходство с потенциально нежелательными программами (PUPs) и рекламным ПО, обладая сильными механизмами закрепления.

TamperedChef обладает скрытными характеристиками, оставаясь в спящем режиме в течение длительных периодов перед выполнением вредоносных компонентов.

Наблюдаются кластеры активности, связанные с данным ВПО, выявлено более 4 000 образцов и около 100 уникальных вариантов.

Вторичные полезная нагрузка из этих кампаний включает в себя инфостилеры и удаленные доступ трояны (RATs), доставляемые через серверы управления (C2).

В 2025 году наблюдается рост вредоносных приложений, имитирующих легитимные инструменты, что привело к выявлению более 100 новых связанных вариантов ВПО.

Эти приложения используют обманные механизмы доставки и тщательно разработанные веб-сайты для уклонения от обнаружения, а также мошеннические тактики рекламы и задачи, запланированные по расписанию.

Операторы ВПО повышают легитимность с помощью Сертификатов подписи кода, хотя плохая гигиена в этих сертификатах может способствовать обнаружению.

Существует значительная связь между кластерами активности и корпоративными структурами в Израиле и Украине, что указывает на организованную сеть, стоящую за операциями.

Вертикальная интеграция разработки ВПО и рекламных операций указывает на наличие обширных возможностей для проведения рекламных кампаний.

TamperedChef ведет себя как рекламное ПО, но также собирает конфиденциальную информацию пользователей, включая учетные данные и сведения об устройстве.

Доставка полезной нагрузки часто включает скрытые RAT с акцентом на манипуляции с браузером.

Мониторинг журналов доступа на предмет потенциального несанкционированного использования учётных данных имеет решающее значение, поскольку кампании TamperedChef продолжают развиваться.

#ParsedReport #CompletenessHigh
20-05-2026

Operation Dragon Whistle: UNG002 Targets Chinese Academia via Weaponized Institutional Lure

https://www.seqrite.com/blog/operation-dragon-whistle-ung002-targets-chinese-academia-via-weaponized-institutional-lure/

Report completeness: High

Actors/Campaigns:
Dragon_whistle
Ung002
Cobalt_whisper

Threats:
Spear-phishing_technique
Dll_sideloading_technique
Lolbin_technique
Dllsearchorder_hijacking_technique
Cobalt_strike_tool

Victims:
Education, Government affiliated academic bodies, Sports and physical education departments, Students, Academic administration

Industry:
Education, Government, Healthcare

Geo:
Korean, Chinese, China

TTPs:
Tactics: 6
Technics: 18

IOCs:
File: 14
IP: 1
Domain: 1
Hash: 6

Soft:
macOS, Bandizip, Windows security, Event Tracing for Windows, Alibaba Cloud, Feishu, HiChina, baba Cloud spec

Algorithms:
sha256, zip

Functions:
CreateArk

Win API:
GetTickCount, CheckRemoteDebuggerPresent, IsDebuggerPresent, VirtualAlloc, CreateToolhelp32Snapshot, Process32First, Process32Next

Languages:
visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 5, code: 1, dump: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Dragon Whistle, проведенная злоумышленником UNG002, представляет собой кампанию целевого фишинга, нацеленную на персонал Чанчжоуского университета, с использованием приманки, связанной с фиктивным тестированием физической подготовки. Выполнение атаки включает ZIP-файл, который запускает вредоносный VBScript-код с применением техники living-off-the-land, что приводит к подгрузке вредоносной DLL-библиотеки. В результате выполнения полезной нагрузки активируется Cobalt Strike Beacon, связывающийся с инфраструктурой управления на Alibaba Cloud и использующий методы антианализа для уклонения от обнаружения.
-----

Операция Dragon Whistle, приписываемая злоумышленнику UNG002, включает в себя сложную кампанию целевого фишинга, направленную против студентов и преподавателей Чанчжоуского университета в Китае. Кампания использует тщательно подготовленную приманку, связанную с предстоящей обязательной физической аттестацией университета, запланированной на 2026 год. Фишинговое письмо содержит ZIP-архив с официальным названием, побуждающий получателей загрузить и выполнить его из-за срочности, связанной с их правом на получение диплома.

При анализе было установлено, что целевой фишинг-письмо было отправлено с бесплатного почтового сервиса, специально предназначенного для обхода стандартных мер безопасности электронной почты. ZIP-архив содержит документ-приманку, который максимально точно имитирует официальное уведомление университета, что свидетельствует о глубоком понимании злоумышленниками институциональных процессов и корпоративной культуры. Приманка дополняется дополнительными элементами, такими как реальные имена сотрудников и контактные данные, что способствует высокой степени достоверности социальной инженерии.

После запуска ZIP-архива используется техника living-off-the-land, при которой задействуется легитимный исполняемый файл Windows Explorer для выполнения вредоносного кода на VBScript. Этот скрипт играет ключевую роль в координации последовательности атаки, управляя одновременным и скрытым выполнением как поддельного PDF-файла, так и настоящего вредоносного кода. Он динамически формирует пути к этим файлам во время выполнения, чтобы избежать обнаружения при статическом анализе, а также обеспечивает достаточное время для отображения поддельного файла перед запуском реального вредоносного кода.

Следующий этап атаки включает подгрузку DLL (DLL side-loading), при которой скрипт запускает легитимный файл (Bandizip), заражённый вредоносной DLL (ark.x64.dll). ВПО использует различные техники противодействия анализу, такие как проверка наличия активных процессов мониторинга и уклонение от обнаружения общедоступными инструментами анализа. Если ВПО обнаруживает подобную активность мониторинга, оно завершает своё выполнение для сохранения анонимности.

После подтверждения безопасной среды выполнения вредоносное ПО переходит к доставке своей полезной нагрузки, что завершается запуском Cobalt Strike Beacon. Примечательно, что весь процесс происходит в памяти для минимизации артефактов на диске, напрямую взаимодействуя с инфраструктурой управления (управление), размещенной на Alibaba Cloud, что является повторяющимся выбором этого актора для избежания обнаружения и блокировки.

Расследование этой кампании выявило обширные оперативные связи с предыдущей деятельностью UNG002, в частности, отражая аналогичные тактики, техники и процедуры, наблюдавшиеся в более ранних кампаниях, таких как Operation Cobalt Whisper. Использование инфраструктуры Feishu и других доменных индикаторов дополнительно подтвердило атрибуцию к китайскому актору.

В заключение, операция Dragon Whistle представляет собой значительную эскалацию стратегии целеполагания UNG002, эффективно использующую социальное давление внутри академических учреждений для манипуляции поведением, стимулирования взаимодействия и выполнения вредоносного программного обеспечения (ВПО) при сохранении скрытности.

#ParsedReport #CompletenessMedium
20-05-2026

PoisonX WindowsTelemetry: BYOVD-Assisted RAT With a Plugin Loader

https://www.derp.ca/research/poisonx-windowstelemetry-byovd-rat/

Report completeness: Medium

Threats:
Poisonx
Byovd_technique
Rusty_stealer
Ailurophile_stealer
Mranon
Dll_sideloading_technique
Dllsearchorder_hijacking_technique
Winrm_tool
Cridex
Domain_fronting_technique

Geo:
Hong kong

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1007, T1010, T1012, T1027, T1027.007, T1049, T1057, T1059.001, T1059.003, T1068, have more...

IOCs:
File: 8
IP: 2
Path: 1
Command: 1
Hash: 7

Soft:
Windows Defender

Algorithms:
base64, sha256, xor

Win API:
NtQuerySystemInformation, PsSetCreateProcessNotifyRoutine, PsSetCreateThreadNotifyRoutine, PsSetLoadImageNotifyRoutine, TerminateProcess, NtSuspendProcess, NtResumeProcess, EnumWindows, RtlCompressBuffer, getaddrinfo, have more...

Languages:
powershell

Platforms:
x64

Links:
https://github.com/kirkderp/yara/tree/main/poisonx\_windowstelemetry
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Семейство вредоносного ПО PoisonX использует многоэтапную атаку с применением подгрузки DLL и техники BYOVD. Оно начинается с того, что легитимный процесс dashost.exe загружает вредоносный VERSION.dll, который декодирует встроенные строки и изменяет настройки Windows Defender для отключения защиты. Вредоносное ПО использует собственный драйвер для обхода обнаружения и взаимодействует с сервером C2 с использованием собственного протокола, выполняя различные задачи, сохраняя закрепление и скрытность посредством поведенческих модификаций.
-----

Недавно выявленное семейство вредоносного ПО PoisonX связано с двумя архивами WindowsTelemetry, использующими сложную многоэтапную технику атаки, включающую подгрузку DLL и метод BYOVD (Bring Your Own Vulnerable Driver). Ключевыми артефактами этой атаки являются вредоносный файл VERSION.dll, используемый для подгрузки Троянской программы (RAT), а также полезная нагрузка планировщика и конечная точка сервера управления (C2), расположенная по IP-адресу 101.32.190.202:8080.

Атака начинается с легитимного процесса Windows dashost.exe, который заставляет загрузить вредоносный VERSION.dll, размещённый в его каталоге. Этот вредоносный DLL затем использует операции XOR для декодирования встроенных строк, читает зашифрованный файл scheduler.cache и отображает его содержимое в память, эффективно сохраняя скрытность во время выполнения. Кроме того, перед установкой RAT вредоносное ПО изменяет настройки Windows Defender для отключения защиты в реальном времени и создания исключений процессов для каталога его развертывания.

Метод BYOVD, применяемый в данном случае, заключается в записи на диск пользовательского драйвера, который манипулирует обратными вызовами ядра, связанными с уведомлениями о процессах, потоках и образах. Этот драйвер отключает защиту от использования уязвимых драйверов, устанавливая значение реестра `VulnerableDriverBlocklistEnable` равным 0. Затем он нацеливается на удаление обратных вызовов продуктов безопасности путем перезаписи записей обратных вызовов в памяти, тем самым уклоняясь от обнаружения программным обеспечением безопасности.

После завершения предварительных этапов вредоносное ПО загружает декодированный файл cache.db, который имеет структуру 64-битного PE (Portable Executable) файла и выполняет роль основного компонента выполнения RAT. Этот базовый компонент инициирует связь с C2, используя собственный протокол поверх raw TCP. Он выполняет различные операционные задачи, такие как перечисление и управление процессами, контроль служб и сбор информации о системе, все это обеспечивается через встроенный JSON интерфейс.

RAT содержит механизмы для поддержания закрепления и возможности установки SOCKS5-прокси для туннелирования запросов без использования стандартного метода HTTP connect. Важно отметить, что заражение использует различные поведенческие модификации, включая изменения настроек реестра Windows и установку драйвера, которые могут быть выявлены с помощью специфических YARA-правил, нацеленных на вредоносный VERSION.dll, артефакты планировщика и ядро RAT.

Эта масштабная реализация атак демонстрирует эволюцию ландшафта угроз и подчеркивает постоянную необходимость бдительности в защите от таких продвинутых постоянных угроз, как PoisonX.

#ParsedReport #CompletenessLow
20-05-2026

Telegram smishing is back after two years, and account takeovers are on again

https://asec.ahnlab.com/ko/93789/

Report completeness: Low

Threats:
Smishing_technique

Victims:
Telegram users

ChatGPT TTPs:
do not use without manual check
T1078, T1566.002, T1566.003, T1656

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4