#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют легитимные платформы, такие как GitHub и SourceForge, для распространения поддельного программного обеспечения, которое устанавливает бэкдор DinDoor на базе Deno, функционирующий как скрытый RAT. Это ВПО использует скомпрометированные каналы YouTube для перенаправления пользователей на вредоносные репозитории, где выполняются поддельные MSI-файлы или сценарии PowerShell, что приводит к установке альтернативных пакетных менеджеров Windows и среды выполнения Deno. DinDoor устанавливает закрепление, связывается с серверами C2 и может похищать конфиденциальную информацию, применяя при этом продвинутые техники, такие как пиринговая связь через Microsoft Edge, для уклонения от обнаружения.
-----

Злоумышленники используют легитимные платформы, такие как GitHub и SourceForge, для распространения поддельных установщиков программного обеспечения, имитирующих популярные приложения.

Эти кампании используют бэкдор на базе Deno под названием DinDoor, функционирующий как скрытая Троянская программа (RAT).

Вредоносные репозитории продвигаются через скомпрометированные каналы YouTube, направляя пользователей на загрузку поддельных MSI-файлов или сценариев PowerShell.

При выполнении эти скрипты устанавливают пакетные менеджеры Windows, такие как Scoop и WinGet, которые необходимы для развертывания среды выполнения Deno.

Затем среда выполнения Deno запускает RAT, который может развертывать дополнительные полезную нагрузку и похищать данные из браузеров и криптокошельков.

DinDoor обеспечивает закрепление и взаимодействует с серверами управления (управление) (C2) через различные HTTP-конечные точки.

RAT собирает системную информацию и может управлять устройствами через собственную реализацию VNC.

Он нацелен конкретно на расширения криптокошельков и обладает возможностью эксфильтрации данных браузера из нескольких популярных браузеров.

DinDoor может выполнять команды, делать скриншоты и управлять данными из буфера обмена.

Заметной особенностью DinDoor является использование им режима peer-to-peer через браузер Microsoft Edge, что позволяет ему обходить традиционные методы обнаружения.

Эта операция «peer-to-peer» использует технологию WebRTC для создания прямого канала связи для потоковой передачи видео, превращая Edge в видео-ретранслятор.

RAT позволяет выполнять команды, собирающие сведения о системе и управляющие процессами, используя Base64-кодированную связь с C2-сервером для обеспечения оперативной безопасности.

Также была замечена облегченная версия RAT с урезанными возможностями и вариантами методов связи с C2.

#ParsedReport #CompletenessLow
26-05-2026

Quasar Linux (QLNX): A Developer-Targeted Linux RAT and Detection Strategy

https://guardsix.com/blog/quasar-linux-qlnx-a-developer-targeted-linux-rat-and-detection-strategy

Report completeness: Low

Threats:
Quasar_rat
Supply_chain_technique
Credential_harvesting_technique
Mitm_technique

Victims:
Developer workstations, Devops endpoints, Ci cd build hosts

TTPs:
Tactics: 6
Technics: 21

IOCs:
File: 4

Soft:
Linux, Kubernetes, Debian, Ubuntu, Fedora, sudo, Systemd, Unix

Algorithms:
xor

Languages:
python, c_language, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Quasar Linux (QLNX) — это Троянская программа (RAT), нацеленная на среды разработки Linux, использующая передовые техники уклонения. Она функционирует через фреймворк из 58 команд, работает без создания файлов с помощью `memfd_create`, маскируется под легитимные процессы и содержит руткит на базе eBPF и бэкдор PAM для кражи учетных данных. QLNX динамически компилирует свои компоненты с помощью `gcc`, что усложняет обнаружение, и устанавливает одноранговую сеть для ретрансляции команд, затрудняя устранение последствий.
-----

Quasar Linux (QLNX) — это сложная Троянская программа (RAT), специально разработанная для атаки на среды разработки Linux, использующая высокоценные учетные данные, присутствующие на таких системах. Выявленная исследователями TrendMicro, QLNX отличается от основанной на Windows QuasarRAT и использует комбинацию инновационных методов для обхода традиционных механизмов обнаружения. ВПО нацелено на рабочие станции разработчиков и хосты сборки CI/CD, работающие под управлением различных популярных дистрибутивов Linux (Debian, Ubuntu, RHEL, Fedora и Arch), и спроектировано так, чтобы оставаться практически невидимым.

Архитектура QLNX построена вокруг фреймворка RAT, включающего 58 команд, и использует техники бездискового выполнения, которые задействуют системный вызов `memfd_create` для создания временных файлов в памяти для своей полезной нагрузки. Это позволяет ему выполняться без создания обнаруживаемых артефактов на диске. После запуска троян маскируется под легитимные потоки ядра, эффективно сливаясь с нормальными системными операциями. Он включает в себя руткит ядра на основе eBPF и бэкдор Плагинного модуля аутентификации (PAM), что позволяет ему захватывать конфиденциальные учетные данные, такие как SSH-ключи, токены Git, секреты AWS и многое другое.

Заметной особенностью QLNX является его способность динамически компилировать свои компоненты во время выполнения, используя локальный `gcc` для генерации руткита и модулей PAM, нацеленных на конкретную версию ядра скомпрометированного хоста. Эта характеристика делает его особенно трудным для обнаружения статическими антивирусными решениями и решениями мониторинга целостности файлов, поскольку ВПО генерирует уникальные разделяемые объекты, адаптированные под каждую среду. Кроме того, QLNX устанавливает одноранговую сетевую топологию, обеспечивая связь и ретрансляцию команд между зараженными хостами, что усложняет попытки прервать каналы управления.

Обнаружение QLNX основано на мониторинге конкретных индикаторов компрометации (IoC), таких как попытки изменить файл `/etc/ld.so.preload` — метод, который он использует для внедрения своих вредоносных библиотек в каждый новый запущенный процесс. К другим индикаторам высокого приоритета относятся необычные вызовы `gcc` и наличие неожиданных скрытых файлов, созданных в `/tmp` или `/var/log`. Непрерывный мониторинг попыток аутентификации, связанных с PAM, также имеет решающее значение, поскольку ВПО перехватывает пароли открытым текстом во время локальных входов и событий sudo через свои механизмы бэкдор.

С точки зрения устранения последствий, полная очистка систем, зараженных QLNX, представляет собой сложную задачу. Рекомендуемые практики предписывают полное стирание данных с системы и переустановку операционной системы с чистого образа для любого узла, демонстрирующего признаки компрометации. Учитывая его возможности работы в режиме «peer-to-peer», изолированные усилия по устранению последствий могут непреднамеренно позволить устойчивым угрозам восстановить свое присутствие. Эффективные стратегии изоляции требуют единообразного отключения предположительно скомпрометированных узлов от сети, очистки файла `/etc/ld.so.preload` и сбора любых захваченных журналов учетных данных для криминалистического анализа перед их удалением.

#ParsedReport #CompletenessMedium
26-05-2026

Megalodon: Mass GitHub Repo Backdooring via CI Workflows

https://safedep.io/megalodon-mass-github-repo-backdooring-ci-workflows/#full-list-of-compromised-github-repositories

Report completeness: Medium

Actors/Campaigns:
Megalodon

Threats:
Merlin_tool

Victims:
Github repositories, Npm ecosystem, Open source projects, Software development

Industry:
E-commerce, Healthcare, Software_development

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1059.004, T1071.001, T1083, T1195.001, T1528, T1552, T1552.001, have more...

IOCs:
IP: 1
File: 2
Url: 1

Soft:
Docker, Kubernetes

Algorithms:
base64

Languages:
javascript, php, python, csharp, java, golang

Platforms:
apple

Links:
https://github.com/Tiledesk/tiledesk-server
https://github.com/Tiledesk/tiledesk-server/commit/acac5a9854650c4ae2883c4740bf87d34120c038
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания «Megalodon», начатая 18 мая 2026 года, скомпрометировала более 5 500 репозиториев GitHub с помощью 5 718 вредоносных коммитов, используя автоматизированные техники и поддельные идентичности. Атакующие внедрили вредоносные рабочие процессы GitHub Actions, которые похищали конфиденциальные данные, включая учетные данные облачных сервисов и SSH-ключи, на сервер C2. Два варианта полезной нагрузки, «SysDiag» и «Optimize-Build», использовались для обеспечения широкого выполнения и распространения вредоносного кода, эксплуатируя уязвимости в процессах CI/CD.
-----

Кампания «Megalodon», запущенная 18 мая 2026 года, представляла собой агрессивную автоматизированную операцию, в ходе которой было скомпрометировано 5 561 репозиторий GitHub путем внедрения 5 718 вредоносных коммитов всего за шесть часов. Атакующий использовал одноразовые учетные записи и поддельные идентичности, такие как «build-bot» и «ci-bot», для внедрения вредоносных рабочих процессов GitHub Actions. Эти рабочие процессы содержали bash-скрипты, закодированные в формате base64, целью которых было похищение широкого спектра конфиденциальных данных, включая секреты CI, учетные данные облачных сервисов, SSH-ключи, токены OIDC и различные секреты исходного кода, на сервер управления (C2), расположенный по адресу 216.126.225.129:8443.

Были развернуты два различных варианта полезной нагрузки: массовый вариант под названием «SysDiag», который срабатывал каждый раз при создании или обновлении pull-запроса, обеспечивая комплексное автоматическое выполнение; и более целевой вариант, получивший название «Optimize-Build», который заменял существующие рабочие процессы и выполнялся только при определенных условиях срабатывания через GitHub API. Последний вариант был обнаружен встроенным в пакет npm «@tiledesk/tiledesk-server» в версиях от 2.18.6 до 2.18.12, распространялся в рамках обычного процесса публикации скомпрометированным сопровождающим, что непреднамеренно позволяло вредоносному коду распространяться.

Вредоносные рабочие процессы были способны извлекать обширную информацию, включая учетные данные AWS, токены доступа Google Cloud Platform (GCP), закрытые ключи SSH, конфигурации аутентификации Docker и различные конфигурационные файлы, содержащие конфиденциальные данные. Векторы атаки активно искали в рабочем пространстве распространенные секреты с использованием регулярных выражений и похищали жизненно важные URL-адреса запросов токенов OIDC и токены действий GitHub, что облегчало потенциальную имперсонацию и дальнейший доступ к облачным средам.

Расследование показало, что коммиты, созданные пользователями "build-system@noreply.dev" и "ci-bot@automated.dev", указывали на автоматизированные процессы CI/CD, поскольку злоумышленник создал их, чтобы слиться с обычными коммитами CI. Примечательно, что вредоносный коммит (идентификатор acac5a9) был сделан без pull request или слияния, что предполагает несанкционированный доступ через скомпрометированный персональный токен доступа (PAT) или ключ развертывания.

К концу операции было задокументировано в общей сложности 5 718 коммитов, направленных на множество репозиториев, включая несколько проектов организации Tiledesk. Этот инцидент подчеркивает значительный риск, связанный с безопасностью конвейеров CI/CD, и акцентирует внимание на критической необходимости строгих мер безопасности вокруг репозиториев GitHub и рабочих процессов CI/CD для предотвращения подобных атак с использованием бэкдора в будущем.

#ParsedReport #CompletenessLow
26-05-2026

TrapDoor: Malicious npm, PyPI, Crates.io Packages Target Developer Secrets & AI Tooling

https://socradar.io/blog/trapdoor-npm-pypi-cratesio-secrets-ai-tooling/

Report completeness: Low

Actors/Campaigns:
Trapdoor

Threats:
Supply_chain_technique

Victims:
Software development, Cryptocurrency, Decentralized finance, Artificial intelligence

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.004, T1053.003, T1059.007, T1195.001, T1528, T1543.002, T1546, T1546.004, T1552, have more...

IOCs:
File: 1

Soft:
CLAUDE, systemd

Languages:
javascript, rust, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания вредоносного ПО TrapDoor представляет собой серьезную угрозу, нацеленную на разработчиков в экосистемах, таких как npm, PyPI и Crates.io, при этом выявлено более 34 вредоносных пакетов. Злоумышленники используют доверенные процессы во время установки программного обеспечения и фаз сборки, применяя тактики, такие как манипуляция со скриптами сборки и использование общего полезного груза для выполнения вредоносного кода. После установки TrapDoor занимается сбором информации, собирая конфиденциальные данные (учетные данные облачных сервисов, токены GitHub и т. д.) и стремится к закреплению через различные системные модификации и попытки перемещение внутри компании.
-----

Кампания вредоносного ПО TrapDoor представляет собой значительную угрозу для разработчиков, особенно в таких экосистемах, как npm, PyPI и Crates.io. Исследователи выявили эту скоординированную атаку на Цепочку поставок, в ходе которой вредоносные пакеты загружались в популярные реестры разработчиков, что привело к появлению более 34 вредоносных пакетов и затронуло более 380 версий. Данная кампания нацелена в первую очередь на разработчиков, занимающихся криптовалютой и децентрализованными финансами (DeFi), а также тех, кто работает с Искусственным интеллектом (AI), что указывает на фокус на финансовых активах и конфиденциальных данных проектов.

Метод выполнения TrapDoor особенно коварен, так как он использует доверенные процессы на этапах установки и сборки программного обеспечения. В Rust, например, злоумышленники эксплуатируют скрипты build.rs, которые являются неотъемлемой частью процесса сборки crates. Это позволяет им выполнять собственный код на этапах компиляции, в том числе в средах непрерывной интеграции, когда для сборки загружается их скомпрометированная зависимость. В экосистеме npm в нескольких пакетах наблюдался общий полезный груз под названием trap-core.js, что демонстрирует модульный дизайн атаки, при котором начальный пакет действует как загрузчик для последующих вредоносных действий.

После установки вредоносное ПО занимается рядом злонамеренных действий, классифицируемых в целом как сбор информации (infostealing) и закрепление. Оно предназначено для сбора конфиденциальной информации, такой как переменные окружения, учетные данные облачных сервисов, токены GitHub, SSH-ключи и данные браузеров. Важным аспектом его работы является проверка токенов AWS и GitHub, что помогает злоумышленникам выявлять и приоритизировать ценные учетные данные, тогда как попытки перемещения внутри компании на основе SSH указывают на стремление расширить доступ за пределы первоначально скомпрометированных систем. Кроме того, TrapDoor использует несколько механизмов закрепления, стремясь обеспечить долгосрочное присутствие с помощью различных методов, таких как модификация файлов .cursorrules, CLAUDE.md, Git-хуков, shell-хуков и конфигураций systemd.

Защита от таких угроз требует бдительности при мониторинге подозрительных изменений в репозиториях и конечных точках разработчиков. Организациям следует приоритизировать проверку критических файлов и внедрение надежной стратегии мониторинга рисков Цепочка поставок для выявления уязвимостей, представляемых сторонними зависимостями. Появление TrapDoor демонстрирует эволюцию ландшафта угроз Цепочка поставок, особенно в средах, которые полагаются на пакеты с открытым исходным кодом и практики совместной разработки, подчеркивая необходимость повышенного внимания и проактивных мер безопасности.

#ParsedReport #CompletenessHigh
26-05-2026

RemotePE: The Lazarus RAT that lives in memory

https://blog.fox-it.com/2026/05/22/remotepe-the-lazarus-rat-that-lives-in-memory/

Report completeness: High

Actors/Campaigns:
Lazarus (motivation: information_theft)
Applejeus

Threats:
Remotepe
Themeforestrat
Pondrat
Dpapiloader
Remotepeloader
Hellsgate_technique
Tartarusgate_tool
Poolrat

Victims:
Financial organizations, Cryptocurrency organizations

Geo:
North korean, Netherlands, Korea

ChatGPT TTPs:
do not use without manual check
T1001.003, T1012, T1027, T1027.007, T1036.004, T1036.005, T1041, T1070.004, T1071.001, T1105, have more...

IOCs:
Path: 5
File: 8
Email: 1
Domain: 6
Hash: 8

Soft:
Windows service, Event Tracing for Windows, UNIX

Algorithms:
aes-gcm, prng, aes, zip, base64, xor, mszip

Functions:
EtwEventWrite

Win API:
WmiOpenBlock, InitSecurityInterfaceW, NtOpenSection, NtMapViewOfSection, NtUnmapViewOfSection, NtProtectVirtualMemory, NtClose, EtwEventWrite, CommandLineToArgvW, CryptUnprotectData, have more...

Languages:
python

YARA: Found

Links:
https://gist.github.com/fox-srt/6f838d0b574b095d578b2beed7dc2a24

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Lazarus, связанная с Северной Кореей, использует взаимосвязанный набор вредоносных инструментов, включающий DPAPILoader, RemotePELoader и RemotePE, нацеленный на финансовый сектор и сектор криптовалют, с акцентом на работу в памяти для уклонения от обнаружения. DPAPILoader маскируется под легитимную DLL, используя DPAPI от Microsoft для расшифровки полезной нагрузки, в то время как RemotePELoader применяет техники уклонения для загрузки основных модулей с сервера C2. Наконец, RemotePE функционирует как Троянская программа с скрытой связью и командами, обеспечивая постоянный доступ к скомпрометированным системам и усложняя усилия по обнаружению.
-----

Группа Lazarus, связанная с Северной Кореей, использует сложный набор вредоносных инструментов, нацеленный на финансовые и криптовалютные организации. Этот набор, состоящий из трех взаимосвязанных семейств ВПО — DPAPILoader, RemotePELoader и RemotePE — работает преимущественно в памяти и спроектирован так, чтобы избегать обнаружения, оставляя минимальное количество следов для криминалистический анализ.

DPAPILoader выступает в качестве первой стадии и реализован в виде DLL-файла, маскирующегося под C:\Windows\System32\Iassvc.dll под именем службы Internet Authentication Service. Он использует API защиты данных Microsoft (DPAPI) для расшифровки полезной нагрузки с диска и загрузки её в память. Такой подход гарантирует, что даже если образец загружен в VirusTotal, он останется неэффективным из-за необходимости наличия специфических ключей DPAPI, привязанных к среде жертвы. DPAPILoader выборочно обрабатывает файлы в целевой директории, исключая файлы Microsoft Cabinet и расшифровывая файлы, прошедшие его проверки. Этот метод приводит к созданию уникальных зашифрованных блоков при каждом развертывании, усложняя статический анализ.

Следующим в цепочке является RemotePELoader. Этот загрузчик второго этапа извлекает основной модуль с сервера управления (C2). RemotePELoader реализует техники уклонения, включая HellsGate, который динамически разрешает номера системных вызовов Windows для обхода мер безопасности, и модифицирует Event Tracing for Windows (ETW), чтобы избежать обнаружения программным обеспечением безопасности. При выполнении он считывает настройки конфигурации с диска, идентифицируемые по проверке размера, и начинает цикл для связи со своим сервером управления. Используя HTTP POST-запросы, он отправляет и получает дополнительные полез

Последним компонентом этого набора инструментов является RemotePE, полностью функциональная троянская программа (RAT), которая выполняется исключительно в памяти. Такая архитектура минимизирует вероятность обнаружения или криминалистический анализ. RemotePE поддерживает множество команд от сервера C2, выполняя стандартные функции RAT, а также использует метод безопасного удаления, который перезаписывает файлы постоянными байтами. Кроме того, в нем предусмотрена система плагинов для динамического выполнения дополнительных полезной нагрузки.

Связь RemotePE с C2 осуществляется по структурированному протоколу, разделяя логику с RemotePELoader, но вводя специфические форматы команд и ответов, адаптированные для его функциональности. Оба загрузчика и финальный RAT опираются на единый конфигурационный файл, обеспечивая непрерывность их работы после перезагрузки. Инфраструктура, поддерживающая эту цепочку ВПО, часто использует услуги общего хостинга, что усложняет усилия защитников по идентификации и блокировке.

В заключение, DPAPILoader, RemotePELoader и инструментарий RemotePE демонстрируют настойчивые усилия аффилированных лиц Lazarus Group по достижению скрытого доступа и контроля над скомпрометированными системами за счет эффективного сокрытия своей деятельности и минимизации рисков обнаружения. Стратегии целевого обнаружения должны фокусироваться на аномальном использовании DPAPI, подозрительном поведении DLL и необычных шаблонах связи с C2.

#ParsedReport #CompletenessLow
21-05-2026

Introducing Showboat: A new malware family taunts defenses and targets international telecom firms

https://www.lumen.com/blog/en-us/introducing-showboat-a-new-malware-family-taunts-defenses-and-targets-international-telecom-firms

Report completeness: Low

Threats:
Showboat
Poison_ivy
Shadowpad
Nosydoor
Dead_drop_technique
Supply_chain_technique

Victims:
Telecommunications providers, Internet service provider, Telecommunications firms, Middle east, Southeast asia, Azerbaijan, United states, Donbas region

Industry:
Telco, Critical_infrastructure

Geo:
America, China, Russian, Asia, Middle east, Azerbaijan, Ukrainian, Afghanistan

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1057, T1059.004, T1082, T1090.001, T1102.001, T1105, T1113, T1132.001, have more...

IOCs:
Url: 6

Soft:
Linux m, Linux, Pastebin, Outlook

Algorithms:
sha256, base64, xor

#ParsedReport #ExtractedSchema

Classified images:
code: 2, table: 1, windows: 2, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Showboat — это новое семейство ВПО для Linux, связанное с киберкампаниями против международных телекоммуникационных компаний, особенно тех, что находятся на Ближнем Востоке. Работая с середины 2022 года, оно функционирует как модульный фреймворк для пост-эксплуатации, обеспечивая удаленный доступ к оболочке и передачу файлов, а также применяя техники уклонения для сохранения скрытности. Его связь с инфраструктурой управления зашифрована и включает конфигурации с удаленного сервера, что указывает на стратегический фокус на критических телекоммуникационных сетях и возможную поддержку со стороны злоумышленников, связанных с КНР.
-----

Новое семейство ВПО для Linux, получившее название Showboat, связано с устойчивыми киберкампаниями против международных телекоммуникационных компаний. Обнаруженное Black Lotus Labs, Showboat работает с середины 2022 года и функционирует как модульный фреймворк для постэксплуатации, позволяющий злоумышленникам создавать удаленные оболочки, передавать файлы и действовать как прокси-сервер Socks5. Оно связано с кластерами активности, которые, по сообщениям, связаны с Китайской Народной Республикой (КНР), затрагивая телекоммуникационных провайдеров на Ближнем Востоке и имперсонируя компании в Юго-Восточной Азии.

Вредоносное ПО использует продвинутые техники уклонения. Оно может скрывать свое присутствие на зараженных системах, позволяя злоумышленникам глубже взаимодействовать с их сетями. Первоначальный анализ предполагает, что Showboat был развернут через инфраструктуру управления (C2), связанную с IP-адресами в Чэнду, Китай. Вредоносное ПО компилирует конфигурации с удаленного сервера и отправляет данные обратно через зашифрованный метод связи, который использует кодировку base64 в формате PNG.

Функционал Showboat включает несколько критических возможностей, таких как загрузка и выгрузка файлов, скрытие процессов, поддержание постоянного доступа и смена C2-узлов. Примечательно, что вредоносное ПО может выполнять команды, позволяющие ему скрываться в системе, загружая код из онлайн-источников, таких как Pastebin, чтобы оставаться незамеченным. Его функции Socks5 и portmap обеспечивают сканирование внутренней сети и подключение к устройствам, не экспонированным в интернет.

Связь с инфраструктурой C2 осуществляется после первоначальной настройки, когда вредоносное ПО отправляет строку JSON, содержащую информацию о хосте и данные о версии вредоносного ПО. Эта система дополнительно защищена самоподписанным сертификатом X.509 для установления связи с C2, который использует методы, вероятно, предназначенные для обхода обнаружения системами безопасности.

Расследования активности вредоносного ПО выявляют корреляцию между несколькими узлами C2, работающими под одним и тем же отпечатком SHA256. Это указывает на то, что Showboat используется в рамках различных кампаний несколькими злоумышленниками, связанными с КНР, которые фокусируются на телекоммуникационных компаниях. Анализ инфраструктуры показывает связи с скомпрометированными организациями в Соединенных Штатах и Украине, что намекает на более широкую кампанию, нацеленную на телекоммуникационные сети, имеющие критическое значение для глобальной связи.

Учитывая стратегическую важность телекоммуникационных провайдеров, особенно в регионах, близких к крупным державам, появление Showboat сигнализирует о продолжающемся ландшафте угроз, где акторы-государства используют сложное ВПО для проникновения в уязвимые сети. Распространенность такого стойкого ВПО подчеркивает необходимость усиления мониторинга и мер безопасности для защиты критической инфраструктуры от этих целевых угроз.

#ParsedReport #CompletenessLow
27-05-2026

BTMOB: A stealthy RAT burrowing deep into Android devices

https://www.welivesecurity.com/en/malware/btmob-stealthy-rat-burrowing-deep-android-devices/

Report completeness: Low

Threats:
Btmob_rat
Spysolr

Victims:
Android users, Streaming services, Cryptocurrency platforms, Tax and customs authorities

Industry:
Financial, Government

Geo:
Ukraine, Argentina, Latin america, Brazil

ChatGPT TTPs:
do not use without manual check
T1476, T1513, T1517, T1587.001, T1588.001, T1660

IOCs:
IP: 20
Hash: 36

Soft:
Android, Telegram, Instagram, Google Play

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BTMOB — это сложная троянская программа для удаленного доступа к Android (RAT), которая эволюционировала из вредоносного ПО SpySolr и известна своей способностью похищать данные, делать скриншоты и обеспечивать полный контроль над зараженными устройствами. Она в основном использует тактики социальной инженерии, чтобы заманить жертв на фишинговые сайты, что приводит к установке вредоносных APK-файлов, использующих службы доступности Android для получения повышенных прав. Работая по модели ВПО как услуга, доступность BTMOB на форумах даркнета и удобный конструктор APK-файлов способствуют ее быстрому распространению и эволюции, вызывая опасения по поводу широкого использования.
-----

BTMOB — это сложная троянская программа для удаленного доступа к Android (RAT), выявленная в Бразилии, отличающаяся потенциалом масштабного ущерба, а не высокими показателями обнаружения. Впервые замеченная в феврале 2025 года и являющаяся эволюцией вредоносного ПО SpySolr, BTMOB выделяется среди традиционных банковских троянских программ, предлагая злоумышленникам более широкий набор вредоносных возможностей. К ним относятся эксфильтрация конфиденциальных данных, захват скриншотов и запись активности устройства, что в конечном итоге обеспечивает полный удаленный контроль над скомпрометированными устройствами.

Процесс заражения в первую очередь использует тактики социальной инженерии. Жертв часто перенаправляют на фишинговые сайты, которые маскируются под популярные сервисы, такие как стриминговые платформы или сайты для майнинга криптовалют. Оказавшись на этих сайтах, жертв заманивают в поддельные магазины приложений, предлагающие вредоносные APK-файлы для установки. BTMOB использует службы доступности Android для получения повышенных прав, что обеспечивает более глубокий доступ к системе при минимальном взаимодействии с пользователем — это распространенная техника в современном ВПО.

Динамика рынка, связанная с BTMOB, значительна, поскольку он работает по модели ВПО как услуга (MaaS). Эта модель позволяет распространять RAT через рекламные каналы в интернете, включая платформы социальных сетей, где потенциальные покупатели могут связаться с операторами. Вредоносное ПО поставляется с интерфейсом для сборки APK, что позволяет даже нетехническим пользователям создавать кастомные полезную нагрузку и фишинг-тактики, адаптированные под конкретные регионы. Например, появились сообщения о кампаниях BTMOB, имитирующих государственные органы, такие как налоговые и таможенные органы Аргентины.

Экономическая ситуация с BTMOB такова, что стоимость лицензии на весь срок службы — около 5 000 долларов США — остается низкой по сравнению с потенциальной финансовой выгодой от успешных мошеннических действий. Кроме того, доступность ВПО вызывает обеспокоенность; в январе 2026 года сообщалось, что файлы, связанные с BTMOB, были доступны бесплатно на форуме в даркнете, что иллюстрирует риск распространения коммерческого ВПО на вторичные рынки. Подобная динамика способствует появлению множества вариантов, которые быстро генерируются и распространяются, усложняя усилия по обнаружению.

В оборонительном плане BTMOB выявляется с помощью нескольких сигнатур обнаружения в средствах безопасности, включая MSIL/BtmobRat и различные обнаружения, связанные с Android. Недавние анализы выявили множество образцов и вариантов, появившихся за короткий период, что подчеркивает быструю смену и эволюцию, ожидаемые для этого ВПО. По мере того как BTMOB набирает популярность, его способность к широкому использованию и настройке делает его значительной угрозой для мониторинга за пределами места его происхождения в Бразилии.