#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Выявлена киберугроза, нацеленная на пользователей Mac, которая использует поддельный сайт BlueWallet для распространения вредоносного AppleScript посредством социальной инженерии, а не путем эксплуатации уязвимостей macOS. ВПО перехватывает конфиденциальные данные через масштабный захват буфера обмена и обрабатывает информацию о криптографических кошельках и менеджерах паролей, тайно перенаправляя средства. Оно работает в два этапа, используя Телеграм для управления и эксфильтрации, что создает значительные трудности для обнаружения из-за его интеграции с легитимными функциями macOS и зашифрованными каналами связи.
-----

Обнаружена вредоносная операция, нацеленная на пользователей Mac через поддельный сайт BlueWallet, имитирующий легитимный биткоин-кошелек. Эта стратегия включает тактики социальной инженерии, а не эксплуатацию уязвимостей в macOS. Жертв обманывают, заставляя загружать и выполнять вредоносный AppleScript, который выглядит безвредно, тем самым предоставляя злоумышленникам доступ к конфиденциальной информации на их системах.

Вредоносное ПО может захватывать сохраненные пароли, информацию о криптографических кошельках, документы и другие конфиденциальные данные, используя обширные техники перехвата буфера обмена. Оно отслеживает активность буфера обмена, чтобы заменять адреса криптографических кошельков на те, которые контролируются злоумышленником, обеспечивая скрытое перенаправление средств без ведома пользователя. Метод доставки особенно коварен; скрипт разработан для обхода базовых проверок безопасности путем инструктирования доверенного инструмента macOS выполнять код, тем самым скрывая его вредоносную природу.

Вредоносное ПО работает в двух основных этапах. Начальный этап представляет собой небольшой AppleScript, маскирующийся под системное обновление, который загружает реальную полезную нагрузку через скрытую команду, выполняемую в фоновом режиме. Второй этап, после запуска, создает скрытую рабочую директорию и получает настройки конфигурации из слабо обфусцированных значений. Примечательно, что вредоносное ПО использует канал Телеграм как для управления, так и для эксфильтрации данных, используя возможности платформы в области безопасности и масштабируемости.

Эта конкретная угроза целенаправленно атакует различные криптовалютные кошельки и связанные с ними инструменты, включая популярные приложения, такие как Electrum, Exodus и Trezor Suite, а также расширения для браузерных кошельков. Помимо криптовалют, ВПО стремится к компрометации Менеджеров паролей, таких как LastPass и Bitwarden, и приложений для двухфакторной аутентификации, таких как Google Authenticator. Оно также пытается получить доступ к данным сессий из приложений для общения, включая Телеграм и Discord, что усиливает потенциальные риски для жертв.

Для эксфильтрации собранных данных вредоносное ПО архивирует информацию перед отправкой на канал управления через Телеграм, поддерживая скрытую работу. Это также включает компонент, который непрерывно мониторит буфер обмена на наличие адресов криптовалют, повышая способность злоумышленников захватывать финансовые транзакции в реальном времени. Команды управления могут выполняться удаленно через Телеграм, что создает значительные трудности для обнаружения и смягчения последствий.

Сложности в обнаружении возникают из-за эффективного использования повседневных функций macOS, а также ожидаемой сложности в маркировке коммуникаций Telegram как вредоносных. Для обнаружения могут быть использованы поведенческие сигналы, связанные с работой AppleScript, что требует повышенного внимания к неожиданным выполнениям скриптов и использованию Telegram в качестве средства связи для целей управления. В целом, эта кампания иллюстрирует изменяющийся ландшафт киберугроз, подчеркивая важность осведомленности пользователей и проактивных мер безопасности.

#ParsedReport #CompletenessMedium
01-06-2026

Mini Shai-Hulud Campaign Hits Red Hat Cloud Services npm Packages

https://socket.dev/blog/mini-shai-hulud-campaign-hits-red-hat-cloud-services-npm-packages

Report completeness: Medium

Actors/Campaigns:
Mini_shai-hulud
Teampcp

Threats:
Supply_chain_technique
Credential_harvesting_technique
Shai-hulud
Blight_botnet

Victims:
Cloud services, Software development, Ci cd systems, Developers

Geo:
Russian

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 9
Registry: 3
Url: 1
Domain: 1
Hash: 5

Soft:
Kubernetes, anthropic, curl, Docker, sudo

Algorithms:
aes-gcm, zip, aes-256-gcm, sha256

Win API:
lockfile

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Mini Shai-Hulud нацелена на пакеты npm в рамках Облачных сервисов Red Hat, компрометируя их для кражи конфиденциальной информации, такой как токены GitHub Actions и учетные данные облачных систем. ВПО активируется через обфусцированный хук preinstall в процессе установки npm, используя методы зашифрованной эксфильтрации и динамического выполнения с помощью JavaScript-загрузчика. Данная кампания применяет передовые методы закрепления, проверки окружения на наличие переменных CI/CD и может манипулировать рабочими процессами GitHub, представляя значительные риски для разработчиков и автоматизированных систем.
-----

Недавняя кампания Mini Shai-Hulud нацелена на пакеты npm в пространстве имен Red Hat Cloud Services, компрометируя их для кражи конфиденциальной информации разработчиков и секретов CI/CD в процессе установки. Эта кампания использует тактики, аналогичные предыдущим угрозам, особенно сосредотачиваясь на выполнении в момент установки, сбор учетных записей и распространении по цепочке, что стало возможным благодаря новым открытым источникам атак.

Затронутые пакеты npm используют зашифрованный полезный груз, который активируется через хук preinstall, позволяя вредоносному ПО выполняться в процессе установки npm до любого взаимодействия разработчика с пакетом. Анализ полезного груза выявляет его предназначение для сбора различных высокоценных секретов, включая токены GitHub Actions, токены npm, облачные учетные данные и SSH-ключи. Полезный груз также оснащен зашифрованными возможностями эксфильтрации и механизмом резервного копирования для использования GitHub для дальнейшей про

В частности, вредоносные пакеты, после установки, используют загрузчик JavaScript, который расшифровывает встраиваемую полезную нагрузку с помощью AES-128-GCM и выполняет код динамически из зашифрованного файла index.js. Этот метод скрывает вредоносные функции от статического анализа и подготавливает дополнительные действия по краже учетных данных и разведке. Загрузчик работает автоматически до завершения установки, вводя пользователей в заблуждение, выдавая себя за легитимную функциональность Red Hat Cloud Services.

ВПО использует сложные методы закрепления и проверки окружения, включая оценку переменных систем CI/CD и средств защиты, что снижает риски обнаружения. К заметным функциональным возможностям относятся извлечение контейнерных образов, клонирование репозиториев и доступ к метаданным различных облачных провайдеров и служб управления секретами. Оно также пытается модифицировать рабочие процессы GitHub, тем самым укрепляя свое встроенное присутствие.

Организациям рекомендуется внимательно отслеживать в своих средах любую установку затронутых пакетов, особенно в системах CI/CD, ввиду того, что ВПО нацелено на критически важные секреты автоматизации. В случаях компрометации меры по сдерживанию должны выходить за рамки простого удаления пакетов, подчеркивая необходимость ротации всех скомпрометированных учетных данных, изоляции затронутых систем и анализа журналов на наличие следов атаки.

Усиление контроля за CI/CD и управлением зависимостями имеет первостепенное значение для снижения таких рисков в будущем. Рекомендуемые лучшие практики включают использование белого списка зависимостей, обеспечение целостности файлов блокировки и генерацию программного биллинга (SBOM) для мониторинга подозрительных изменений в пакетах. Бдительность в анализе поведения во время выполнения критически важна для обнаружения любой вредоносной активности, возникающей из-за этих скомпрометированных пакетов.

#ParsedReport #CompletenessHigh
02-06-2026

From Fake Purchase Orders to Remote Access: Analyzing the JS.MonoGlyphRAT Threat to US Enterprises

https://any.run/cybersecurity-blog/monoglyphrat-attacks-us-enterprise/

Report completeness: High

Threats:
Monoglyph_rat
Bec_technique
Amsi_bypass_technique

Victims:
Technology, Managed security service providers, Telecommunications, Education, United states, Germany, Sweden, Australia, Costa rica, Greece, have more...

Industry:
Financial, Telco, Healthcare, Education

Geo:
Turkey, Sweden, Germany, Costa rica, Australia, Poland, Greece

TTPs:
Tactics: 7
Technics: 14

IOCs:
File: 16
Hash: 1
Coin: 1
Command: 5
Registry: 1
Url: 1
IP: 2
Domain: 2

Soft:
Linux, Android, Windows registry

Algorithms:
sha256, base64, aes-128-cbc, aes-cbc, aes, xor

Functions:
VirtualProtect

Win API:
AmsiScanBuffer, tualProtect, an

Languages:
powershell, jscript, javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 27, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
JS.MonoGlyphRAT — это сложное ВПО, нацеленное на предприятия США, особенно в секторах технологий и образования, доставляемое в виде файлов JavaScript, маскирующихся под легитимные документы. После запуска оно создает бэкдор, обеспечивая постоянный доступ и развертывание дополнительных вредоносных загрузок, включая программы-вымогатели. Используя уникальные техники обфускации, оно взаимодействует с сервером C2 через HTTP, выполняет команды через PowerShell и применяет такие поведения, как необычные процессы wscript.exe и HTTP-трафик, для уклонения от обнаружения.
-----

JS.MonoGlyphRAT представляет собой новую и передовую киберугрозу, которая оказывает значительное влияние на предприятия США, особенно в таких секторах, как технологии, телекоммуникации, управляемые услуги безопасности и образование. Это ВПО, которое доставляется в виде кажущихся безобидными файлов JavaScript, замаскированных под бизнес-документы, такие как заказы на покупку или коммерческие предложения, и при выполнении устанавливает бэкдор в систему жертвы. Оказавшись внутри, оно позволяет злоумышленникам поддерживать тихий и постоянный доступ, значительно повышая уровень угрозы из-за своей способности развертывать дополнительные вредоносные компоненты, включая программы-вымогатели.

Вредоносное ПО использует уникальную технику обфускации, называемую моноглифом, при которой идентификаторы JavaScript формируются из повторяющихся символов, что затрудняет статический анализ. Функционально JS.MonoGlyphRAT действует как загрузчик, обеспечивая загрузку других вредоносных инструментов и выполнение произвольных команд через PowerShell — преимущественно посредством взаимодействия с Windows Script Host (WSH). Закрепление обеспечивается путем модификации реестра Windows, что гарантирует восстановление вредоносного ПО даже после перезагрузок.

С технической точки зрения, JS.MonoGlyphRAT имеет несколько эксплуатационных характеристик. Он взаимодействует со своим сервером управления (управление) с помощью HTTP-запросов, используя заголовки для параметров задач и команд выполнения. Особо примечательной является его способность загружать зашифрованные с помощью AES полезной нагрузки и выполнять их в памяти, что минимизирует вероятность обнаружения традиционными антивирусными решениями, которые сильно полагаются на известные сигнатуры ВПО. Поведенческие индикаторы вредоносного ПО включают необычные действия, такие как процессы wscript.exe, запускаемые из пользовательских каталогов, взаимодействия с PowerShell с определенными флагами и HTTP-трафик на нестандартных портах, что указывает на связь с сервером управления.

Текущая угроза, исходящая от JS.MonoGlyphRAT, усугубляется его широким потенциалом для оперативных сбоев, финансовых потерь от программ-вымогателей и регуляторных штрафов, а также значительным репутационным ущербом в случае утечек. Активные меры обнаружения требуют сосредоточения на поведенческих паттернах, а не на традиционных методах обнаружения, что подчеркивает важность возможностей немедленного анализа и реагирования.

Вредоносное ПО остаётся неатрибутированным во многих источниках разведки угроз, классифицируясь преимущественно как «Неизвестное вредоносное ПО» на платформах, таких как VirusTotal и ThreatFox, что указывает на критический пробел в усилиях по комплексному публичному отслеживанию и идентификации. Это создаёт сложности для организаций, стремящихся укрепить свою защиту от этой развивающейся угрозы. В связи с этим непрерывный мониторинг выявленных поведенческих сигнатур и использование песочниц для анализа в реальном времени имеют решающее значение для эффективных стратегий защиты от JS.MonoGlyphRAT.

#ParsedReport #CompletenessHigh
01-06-2026

Detecting Nimbus Manticore and their sideloading infection chains

https://www.nextron-systems.com/2026/06/01/detecting-nimbus-manticore-and-their-sideloading-infection-chains/

Report completeness: High

Actors/Campaigns:
Tortoiseshell

Threats:
Dllsearchorder_hijacking_technique
Appdomain_hijacking_technique
Asyncrat
Junk_code_technique
Supply_chain_technique

Victims:
Aerospace, Defense

Industry:
Bp_outsourcing, Financial, Aerospace

Geo:
Iran, Middle east

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.016, T1036, T1036.003, T1071.001, T1090, T1204.002, T1564.001, T1566.002, T1574.001, have more...

IOCs:
Url: 1
File: 3
Hash: 10
Domain: 11

Soft:
Microsoft Visual Studio, Microsoft Word

Algorithms:
zip, aes

Functions:
TaskScheduler, CheckForUpdates

Win API:
LoadLibrary, NtGlobalFlag

YARA: Found

Links:
https://github.com/NextronSystems/iocs/tree/master/reports/UNC1549%20(Nimbus%20Manticore)
https://github.com/Neo23x0/signature-base/pull/410/changes

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Nimbus Manticore, хакерская группировка, связанная с Ираном, нацелена на аэрокосмическую и оборонную отрасли на Ближнем Востоке и в Европе, используя тактики социальной инженерии, такие как имперсонация хедхантеров в LinkedIn для развертывания ВПО, замаскированного под приложение двухфакторной аутентификации. ВПО доставляется через ZIP-файл, содержащий переименованный компонент Microsoft Visual Studio, и использует такие техники, как подмена DLL и обфускация, чтобы избежать обнаружения. Их инфраструктура управления опирается на домены, размещенные в Azure, что повышает их скрытность и усложняет усилия по обнаружению.
-----

Описанный инцидент выделяет операции, приписываемые хакерской группировке Nimbus Manticore (также известной как UNC1549 или Smoke Sandstorm), связанной с Ираном, которая в первую очередь нацелена на аэрокосмическую и оборонную отрасли на Ближнем Востоке и в Европе. Эта группировка использует сложные тактики социальной инженерии, такие как имперсонация легитимного рекрутера в LinkedIn, чтобы заманить жертв в фальшивые процессы найма. Их фишинг-атаки включают тщательно составленные PDF-файлы и портал найма, выглядящий легитимно, которые в конечном итоге приводят к развертыванию ВПО, замаскированного под приложение двухфакторной аутентификации.

ВПО использует цепочку заражения через подгрузку (sideloading), опирающуюся на техники подмены порядка поиска DLL и перехвата AppDomain. В данном случае вредоносный код доставляется в ZIP-архиве, содержащем переименованный компонент Microsoft Visual Studio (setup.exe), который при запуске использует модифицированный конфигурационный файл для загрузки контролируемой злоумышленником сборки (TOTPGuard.dll). Такая схема предназначена для того, чтобы оставаться незамеченной, поскольку полезная нагрузка подписана Microsoft и сливается с нормальным поведением приложений, тем самым избегая обнаружения.

В ходе своих кампаний группа Nimbus Manticore демонстрирует тенденцию к усилению обфускации в своем вредоносном ПО. Проанализированный полезный модуль содержал сложные техники обфускации кода, включая непрозрачные предикаты и динамические вычисления переходов, направленные на затруднение статического анализа и реверс-инжиниринга. Хотя функциональные возможности предыдущих внедрений оставались в основном неизменными, улучшения в обфускации указывают на то, что операторы адаптируются к методам обнаружения и совершенствуют тактики уклонения.

Инфраструктура command-and-control (C2) преимущественно опирается на домены, размещенные в Azure, что дает им преимущество в виде доверенной репутации и снижает вероятность того, что враждебный трафик вызовет срабатывание систем оповещения в средах, привыкших к сервисам Azure. Были предложены стратегии обнаружения, делающие акцент на анализе возраста домена как потенциального индикатора угрозы. Более строгие ограничения доступа к новым доменам, особенно в чувствительных бизнес-подразделениях, могли бы снизить уровень воздействия.

Для противодействия этим тактикам организациям рекомендуется внедрять комплексные программы обучения по информационной безопасности, охватывающие фишинг не только по электронной почте, но и акцентирующие внимание на распознавании атак социальной инженерии через такие платформы, как LinkedIn. Обнаружение подозрительного поведения, такого как аномальные техники боковой загрузки (sideloading) и необычные конфигурации приложений, имеет решающее значение для защиты от эволюционирующих стратегий злоумышленников, таких как Nimbus Manticore. В целом, хотя фундаментальное поведение этой группы остается стабильным, ее операционная сложность продолжает создавать существенные трудности для киберзащиты.

#ParsedReport #CompletenessLow
02-06-2026

Unidentified RAT pushes NetSupport RAT

https://isc.sans.edu/diary/Unidentified+RAT+pushes+NetSupport+RAT/33034

Report completeness: Low

Actors/Campaigns:
Smartapesg

Threats:
Netsupportmanager_rat
Clickfix_technique

Victims:
Windows hosts

ChatGPT TTPs:
do not use without manual check
T1059.003, T1070.004, T1095, T1105, T1132, T1204

IOCs:
IP: 1
Url: 8
Hash: 4
File: 2

Soft:
Mastodon

Algorithms:
zip, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Неидентифицированная Троянская программа (RAT), связанная с кампанией SmartApeSG ClickFix, была замечена, генерируя незашифрованный трафик на сервер C2 по IP-адресу 89.110.110.119 через TCP-порт 443 с апреля 2026 года. Эта начальная RAT способствует распространению NetSupport Manager RAT через свои коммуникации, при этом вредоносные payloads передаются через типы файлов, указывающие на злонамеренные намерения. Процесс установки NetSupport включает создание пакетного файла, который извлекает его из CAB-файла, а затем удаляет себя для поддержания закрепления.
-----

Неидентифицированная Троянская программа (RAT) обнаружена в ходе текущих заражений, связанных с кампанией SmartApeSG ClickFix, при этом заметная активность наблюдалась 27 мая 2026 года. Первоначальная RAT, чье имя остается неизвестным, генерирует закодированный трафик (не защищенный HTTPS/SSL/TLS), направляемый на сервер управления (C2) с IP-адресом 89.110.110.119 через TCP-порт 443. Этот шаблон связи регулярно фиксировался с апреля 2026 года.

Кампания SmartApeSG, по-видимому, распространяет последующие полез нагрузки, в частности RAT NetSupport Manager, используя каналы связи изначального RAT. В ходе проанализированного инцидента несколько файлов, связанных с RAT NetSupport, были переданы через трафик, сгенерированный изначальным RAT. Конкретные индикаторы этой активности включают различные типы файлов и местоположения, указывающие на злонамеренные намерения:

Архив Zip (примерно 26,5 МБ), размещенный по адресу hxxps://silverharvestnetwork.com/check, содержит установщик начального RAT. При выполнении создается пакетный файл DOS с именем token.bat, расположенный в каталоге C:\ProgramData. Этот пакетный файл размером около 8,3 КБ отвечает за извлечение и запуск NetSupport RAT из архива Microsoft Cabinet (CAB), находящегося по пути C:\ProgramData\setup.cab, размер которого составляет примерно 17,3 МБ.

После успешной установки вредоносного NetSupport RAT скрипт удаляет себя вместе со связанными файлами (processor.vbs и setup.cab), чтобы избежать обнаружения и обеспечить закрепление на заражённой системе. Текущие индикаторы этой активности, такие как домены и хеши файлов, подвержены частым изменениям, что свидетельствует об адаптивности кампании и попытках злоумышленников избежать анализа. Для получения обновлений в реальном времени по этим индикаторам, связанным с SmartApeSG и аналогичными угрозами, доступны мониторинговые каналы, подчёркивающие динамичный характер текущих киберугроз.

#ParsedReport #CompletenessMedium
02-06-2026

Game Over: WeedHack – The Rise of Minecraft Malware-as-a-Service Campaigns

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/weedhack-minecraft-malware-as-a-service-campaign-research/

Report completeness: Medium

Actors/Campaigns:
Raspberry_typhoon

Threats:
Weedhack
Seo_poisoning_technique
Etherhiding_technique
Lumma_stealer
Xworm_rat
Residential_proxy_technique
Uac_bypass_technique

Victims:
Minecraft users, Teenagers, Young adults, Gaming, Cryptocurrency

Industry:
Entertainment, Financial

Geo:
Germany, Norway, United kingdom, Sweden, Spain, Finland, America, Canada, India, Vietnam, Italy

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1033, T1036, T1041, T1053.005, T1056.001, T1059.003, T1082, T1083, have more...

IOCs:
File: 51
Command: 1
Url: 29

Soft:
inecraft Ma, Minecraft, iscord ac, inecraft cl, Telegram, Discord, Steam, iscord se, windows defender, Apache Maven, have more...

Crypto:
ethereum, bitcoin, litecoin

Algorithms:
lzma

Languages:
java

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания «Weedhack» — это операция по модели ВПО как услуга, нацеленная на игроков Minecraft с января 2026 года, распространяющая более 3 820 вредоносных JAR-файлов через отравление поисковой оптимизации (SEO) и YouTube. ВПО, замаскированное под легитимные клиенты и моды Minecraft, включает функции для сбора конфиденциальной информации, удаленного доступа к веб-камерам, регистрации нажатий клавиш и других возможностей, преимущественно привлекая подростков в качестве клиентов. Оно использует многоэтапный механизм доставки полезной нагрузки, методы обфускации и инфраструктуру командно-контрольного сервера (C2) на базе блокчейна Ethereum, что обеспечивает устойчивый контроль и уклонение от мер безопасности.
-----

Кампания «Weedhack» представляет собой масштабную операцию Malware-as-a-Service (MaaS), нацеленную на игроков Minecraft, позволяющую злоумышленникам осуществлять масштабное наблюдение и кражу данных через удобный интерфейс. Активная с января 2026 года, кампания, по документальным данным, распространяет более 3 820 уникальных вредоносных JAR-файлов через различные каналы, особенно используя Отравление поисковой оптимизации (SEO) и YouTube для привлечения жертв. ВПО маскируется под легитимные клиенты и моды Minecraft, привлекая значительный трафик — в среднем от 2 000 до 3 000 посещений в день — путем применения обманных методов для создания ощущения легитимности.

Кампания позволяет клиентам, которые в основном являются подростками, получить доступ к бесплатному уровню, включающему комплексные инфостилеры, захватывающие идентификаторы сессий Minecraft, файлы cookie браузера и учетные данные из различных сервисов, таких как Discord и Steam. За подписку стоимостью от 5 долларов пользователи могут разблокировать дополнительные функции, включая удаленный доступ к веб-камерам, управление файлами, Регистрация нажатий клавиш и демонстрацию экрана. Операция способствует кибербуллингу, при этом пользователи, по сообщениям, используют ВПО для преследования и запугивания своих сверстников.

Weedhack использует сложные технические методы для поддержания своей деятельности, включая инфраструктуру управления (C2), которая использует блокчейн Ethereum для связи. Такой подход обеспечивает операционную стабильность ВПО, поскольку оно может динамически обновлять свои домены управления в ответ на потенциальные блокировки. Пакет ВПО работает через многоэтапную структуру: начальный пакет загружает последующие пакеты с удаленных серверов, применяя техники обфускации и различные методы для обхода мер безопасности, таких как UAC (Контроль учетных записей) в системах Windows.

Финальные полезная нагрузка обеспечивают возможности удаленного управления, включая доступ к веб-камере и функции манипуляции файлами. Различные компоненты, такие как 'RuntimeBroker.exe', действуют как бэкдоры, обеспечивая возможность ВПО восстановить себя после попыток удаления и поддерживать закрепление на устройствах жертв. Связь в рамках кампании в основном осуществляется через выделенный канал Телеграм, который стал центром для обсуждений и оперативных инструкций среди пользователей.

#ParsedReport #CompletenessHigh
02-06-2026

MUSTANG PANDA x PLUGX - Analysis of the January 2026 sample: a multi-layer execution chain

https://bluecyber.hashnode.dev/mustang-panda-x-plugx-analysis-of-the-january-2026-sample-a-multi-layer-execution-chain

Report completeness: High

Actors/Campaigns:
Red_delta

Threats:
Plugx_rat
Dll_sideloading_technique
Api_obfuscation_technique
Junk_code_technique

Victims:
Viet nam

Geo:
Chinese, Vietnam

TTPs:
Tactics: 7
Technics: 26

IOCs:
File: 5
Domain: 3
Registry: 2
IP: 1
Url: 1
Path: 1
Hash: 6

Soft:
WinHTTP, Microsoft Edge

Algorithms:
sha256, rc4, xor

Functions:
Read-Write-Execute, GetModuleHandle, fn_start_controller_runtime_100016E1, SetConsoleMode

Win API:
LoadLibrary, WinMain, RtlRegisterWait, GetModuleFileNameW, NtTerminateProcess, SetEvent, SetUnhandledExceptionFilter, WriteProcessMemory, GetCurrentProcess, CommandLineToArgvW, have more...

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В анализе подробно описывается образец ВПО, связанный с хакерской группировкой Mustang Panda, использующий семейство ВПО PlugX. Он проникает в системы через исполняемый файл загрузчика Browser_Updater.exe, который запускает сложную цепочку выполнения, включающую подгрузку DLL и многоуровневое шифрование полезной нагрузки с использованием различных алгоритмов. Ключевыми компонентами являются Avk.exe для подгрузки DLL, при этом финальная полезная нагрузка обеспечивает закрепление через манипуляции с реестром и взаимодействует с сервером C2, применяя тактики уклонения, такие как обфускация разрешения имен API и имитация трафика через прокси.
-----

Анализ сосредоточен на образце ВПО, связанном с хакерской группировкой Mustang Panda и семейством ВПО PlugX, с акцентом на многослойную цепочку выполнения, характеризующуюся сложными техниками обфускации и уклонения. ВПО внедряется через исполняемый файл с именем Browser_Updater.exe, который служит загрузчиком, а не установщиком. При запуске он распаковывает архивный файл, который после выполнения инициирует загрузку трех критических компонентов: Avk.exe, Avk.dll и AVKTray.dat. Avk.exe маскируется под легитимное программное обеспечение, одновременно обеспечивая подгрузку DLL для доставки вредоносной нагрузки.

Выполнение начинается с подгрузки DLL через Avk.exe. Реальный полезный груз находится в файле AVKTray.dat и проходит многослойное шифрование с использованием различных алгоритмов — DJB2, XOR 0x63, ROL19 и RC4 с определенным ключом (VOphJo). В конечном итоге конечный полезный груз представляет собой вручную отображенный 32-битный PE-файл, который обеспечивает закрепление путем создания ключа запуска в реестре в директории %PUBLIC% GData и создает мьютекс с именем aumhYjQIQ. Затем он настраивает параметры прокси на основе настроек Интернета пользователя и инициирует связь со своим сервером управления (управление) по адресу fruitbrat.com:443.

Заметной особенностью этого ВПО является его высоко модульная структура выполнения. Каждый компонент выполняет свою уникальную роль: Avk.exe функционирует исключительно для подгрузки DLL, тогда как процессы дешифрования и выполнения тщательно спроектированы для затруднения обнаружения. Загрузчик использует технику для самостоятельного определения базового адреса PE-файла в памяти, избегая стандартных вызовов API, которые могут отслеживаться механизмами безопасности. Кроме того, он инкапсулирует методы разрешения имен API, где адреса функций разрешаются через XOR-кодированные строки, хранящиеся в стеке, что усложняет обратную разработку.

Последующие этапы выполнения ВПО включают инициализацию контекстов, установление идентичности через значения реестра и выполнение HTTP-обменов для операций C2. ВПО считывает конфигурацию прокси пользователя, формирует запросы, имитирующие легитимный трафик браузера, и использует систему токенов сеанса для связи, дополнительно маскируя свое присутствие. Интересной мерой является завершение процесса диагностического инструмента Internet Explorer для уклонения от обнаружения при анализе сетевого трафика.

По мере анализа данного ВПО становится ясно, что постоянный мониторинг поведенческих паттернов и цепочек выполнения может быть более эффективным, чем исключительно опора на конкретные индикаторы компрометации (IOCs). Эта многоуровневая архитектура позволяет вносить изменения в IOCs для различных вариантов образцов, сохраняя при этом базовое поведение, что подчеркивает важность стратегий обнаружения на основе поведения. Развертывание инструментов для извлечения и анализа конфигураций в вариантах PlugX и AVKTray обеспечивает быстрый способ выявления потенциальных угроз на основе схожих операционных структур, а не отдельных компонентов. Эта методология способствует пониманию и смягчению последствий эволюционирующих киберугроз, соответствующих характеристикам PlugX.