#ParsedReport #CompletenessMedium
11-06-2026

Threat Actors Weaponize AI Hype to Deliver AsyncRAT

https://www.fortinet.com/blog/threat-research/threat-actors-weaponize-ai-hype-to-deliver-asyncrat

Report completeness: Medium

Threats:
Asyncrat
Process_hollowing_technique
Runpe_tool

Victims:
Users seeking ai related learning resources

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1033, T1036.004, T1036.005, T1036.008, T1041, T1053.005, T1055.012, T1059.001, have more...

IOCs:
File: 31
Domain: 3
IP: 1
Hash: 3

Soft:
PostgreSQL, Claude, AutoHotkey, NET Framework, Microsoft Defender, Task Scheduler

Algorithms:
zip, gzip, exhibit, aes-cbc, pbkdf2, md5, xor, base64

Functions:
Execute

Win API:
Run

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, code: 26, dump: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют популярность ИИ, распространяя ВПО, замаскированное под легитимные документы ИИ, и инициируя атаки через сжатые архивы, скрывающие вредоносные скрипты. Цепочка заражения использует скрипты PowerShell для декодирования полезной нагрузки и закрепления через Планировщик задач Windows. ВПО, известное как AsyncRAT, использует AutoHotkey для выполнения, применяет техники обфускации и включает продвинутые методы, такие как Внедрение в пустой процесс, для снижения обнаружения, а также поддерживает связь с серверами управления для эксфильтрации данных.
-----

Злоумышленники используют текущие тенденции в области искусственного интеллекта для распространения ВПО, замаскированного под легитимные документы, связанные с ИИ. Недавняя кампания, зафиксированная лабораторией FortiGuard Labs, включала файлы с названиями, относящимися к учебным ресурсам по ИИ, которые были созданы для того, чтобы заманить пользователей, ищущих такой контент. Начальный этап этой атаки включает сжатый архив, который кажется безобидным, но на самом деле скрывает вредоносные скрипты, предназначенные для выполнения сложной многоэтапной цепочки заражения, в конечном итоге доставляя AsyncRAT — троянскую программу удаленного доступа на базе .NET.

ВПО начинает свое выполнение с ZIP-архива, содержащего ярлык и скрытые файлы. Срабатывает скрипт PowerShell, использующий криптографические методы для декодирования полезной нагрузки, скрытой в исходных документах. Этот скрипт создает другие скрипты и обеспечивает закрепление через Планировщик задач Windows, маскируя свою активность под службу аудио Realtek. Скрипты применяют техники обфускации, включая использование переменных на упрощенном китайском языке и нестандартных идентификаторов, заимствованных из культурных отсылок, что усложняет анализ и обнаружение.

Особого внимания заслуживает использование скриптов AutoHotkey, которые служат движком выполнения для ВПО, позволяя загружать и выполнять дополнительные компоненты без опоры исключительно на скомпилированные бинарные файлы. Последние этапы атаки включают сложные техники, такие как Внедрение в пустой процесс и отражательная загрузка, для выполнения .NET-загрузчиков скрытным образом, одновременно минимизируя видимость для криминалистический анализ за счет очистки следов выполнения.

Основной полезный груз, идентифицированный как модульный RAT, устанавливает связь с серверами управления (управление) (C2), собирая и выгружая подробную информацию о системе об окружении жертвы. ВПО использует передовые методы связи, включая шифрование исходящих данных и пользовательскую сериализацию, обеспечивая постоянное взаимодействие с инфраструктурой C2.

#ParsedReport #CompletenessHigh
08-06-2026

Old WinRAR Flaw Fuels Attacks on Ukraine: How Unmanaged Software Keeps the Door Open

https://www.trendmicro.com/en_us/research/26/f/old-winrar-flaw-fuels-attacks-on-ukraine.html

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage)
Uac-0226 (motivation: cyber_espionage)
Fancy_bear
Apt29
Sandworm
Turla
Void_rabisu

Threats:
Giftedcrook
Romcom_rat
Spear-phishing_technique
Antidebugging_technique
Gammasteel

Victims:
Ukrainian organizations, Military innovation centers, Military formations, Law enforcement agencies, Local self government bodies, Government entities, Military entities

Industry:
Government, Military

Geo:
Switzerland, Netherlands, Ukraine, France, Crimea, Germany, Ukrainian, Malaysian, Russia, Moscow

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)

CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)

CVE-2018-20250 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (le5.61)


TTPs:
Tactics: 8
Technics: 17

IOCs:
File: 13
Hash: 37
Command: 5
Path: 3
IP: 14
Url: 5
Domain: 2
Email: 1

Soft:
Telegram, Chrome, Firefox, Opera, Google Chrome, Microsoft Edge, Mozilla Firefox, KeePass, PDQ Deploy

Algorithms:
prng, exhibit, fnv-1a, base64, sha256, rc4

Functions:
Get-Content, flexibility_denominator_wiretap, Sleep

Win API:
NtProtectVirtualMemory, NtAllocateVirtualMemory, NtCreateThreadEx, CryptUnprotectData, CreateProcessW, DeleteFileW, CryptImportKey, VirtualAlloc

Languages:
powershell

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость WinRAR CVE-2025-8088 продолжает эксплуатироваться злоумышленниками, связанными с Россией, такими как SHADOW-EARTH-066 и Earth Dahu, против украинских целей. SHADOW-EARTH-066 сменил тактику, эксплуатируя эту уязвимость с помощью стиллера GIFTEDCROOK, который поддерживает загрузку в памяти и зашифрованный C2, тогда как Earth Dahu использует цепочку атак на основе HTA для развертывания инструментов шпионажа. Обе кампании подчеркивают риски, связанные с неуправляемым программным обеспечением, и постоянную угрозу киберэксплуатации, несмотря на наличие существующих исправлений.
-----

Продолжающаяся эксплуатация уязвимости WinRAR CVE-2025-8088, исправленной в июле 2025 года, по-прежнему представляет значительную киберугрозу для украинских организаций. Уязвимость, являющаяся ошибкой обхода ограничений пути (CVSS 8.4), позволяет злоумышленникам записывать файлы за пределами каталога извлечения с использованием альтернативных потоков данных NTFS. Эта уязвимость используется различными группами, лояльными России, включая SHADOW-EARTH-066 и Earth Dahu (Gamaredon), против украинских военных и государственных структур.

SHADOW-EARTH-066, обозначенный CERT-UA как UAC-0226, перешел от более ранней тактики использования макросов Excel для первоначального доступа к эксплуатации уязвимости CVE-2025-8088. Он развертывает стиллер GIFTEDCROOK, способный собирать пароли браузеров, сеансовые куки и определенные расширения файлов перед самоуничтожением. Эволюционировавшая версия этого стиллера, известная как result.dll, демонстрирует значительные улучшения, такие как загрузка DLL в памяти и зашифрованная инфраструктура управления. ВПО, скомпилированное на C++, использует двухслойное шифрование RC4 для эксфильтрации украденных данных, что указывает на преднамеренную попытку избежать обнаружения и анализа.

В отличие от этого, Earth Dahu использует ту же уязвимость, применяя цепочку атак на основе HTA. Группа размещает вредоносные HTA-файлы или обфусцированные VBS-скрипты в папке автозагрузки, выполняя их при входе пользователя для доставки инструментов шпионажа. Этот метод демонстрирует характерный сдвиг в тактике, отражающий необходимость обеспечения оперативной безопасности по мере снижения эффективности других методов.

Обе кампании демонстрируют, как неуправляемое программное обеспечение, такое как WinRAR, может создавать уязвимости, сохраняющиеся даже после выпуска исправлений. Отсутствие централизованных механизмов обновления для таких приложений оставляет организации уязвимыми, позволяя злоумышленникам поддерживать доступ через надежную точку входа. Академический анализ указывает на историю уязвимостей в аналогичных широко используемых утилитарных приложениях, подчеркивая необходимость надежного управления программным обеспечением и соблюдения правил безопасности.

Стратегии эксплуатации, применяемые как SHADOW-EARTH-066, так и Earth Dahu, подчеркивают существенные различия в разработке и методологии: одна из них отдает предпочтение скомпилированной цепочке ВПО на C++, тогда как другая полагается на механизмы скриптования. Однако обе группы используют одну и ту же уязвимость в WinRAR, что представляет собой значительный риск для инициатив по безопасности Украины и может повлиять на страны-союзники через скомпрометированные учетные данные и данные.

Организациям рекомендуется приоритизировать установку исправлений для WinRAR, проводить тщательные поиски индикаторов компрометации и обеспечивать строгие практики управления учетными данными для снижения текущих рисков, создаваемых этими злоумышленниками.

#ParsedReport #CompletenessMedium
12-06-2026

Active Exploitation of Oracle PeopleSoft Zero-Day (CVE-2026-35273)

https://www.rapid7.com/blog/post/etr-active-exploitation-of-oracle-peoplesoft-zero-day-cve-2026-35273

Report completeness: Medium

Actors/Campaigns:
Unc6240 (motivation: information_theft, cyber_criminal)
Shinyhunters (motivation: information_theft, cyber_criminal)

Threats:
Meshcentral_tool
Meshagent_tool

Victims:
Higher education, Universities and colleges

Industry:
Education, Telco

CVEs:
CVE-2017-3548 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle peoplesoft_enterprise_peopletools (8.54, 8.55)

CVE-2013-3821 [Vulners]
CVSS V3.1: 6.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle peoplesoft_products (8.51, 8.52, 8.53)

CVE-2026-35273 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1036.005, T1071.001, T1187, T1190, T1219, T1560.001

IOCs:
Url: 1
IP: 6
Domain: 1
Hash: 5
File: 1

Soft:
Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-35273 — критическая уязвимость SSRF в Oracle PeopleSoft Enterprise PeopleTools, позволяющая Удаленное Выполнение Кода без аутентификации, затрагивающая версии 8.61 и 8.62. Финансово мотивированная хакерская группировка UNC6240 (ShinyHunters) активно эксплуатировала эту нулевую уязвимость с 27 мая по 9 июня 2026 года, нацеливаясь на конечные точки, такие как /PSEMHUB/hub, и похищая данные, опубликованные на их сайте утечек. Цепочка эксплуатации включала развертывание агентов MeshCentral для поддержания доступа и выполнения латерального перемещения, при этом исходящие подключения SMB потенциально могли раскрывать хеши NetNTLM на TCP-порту 445.
-----

CVE-2026-35273 — критическая уязвимость, выявленная в компоненте Updates Environment Management корпоративной системы Oracle PeopleSoft PeopleTools, о которой Oracle публично объявила 10 июня 2026 года. Уязвимости присвоен балл CVSSv3.1 равный 9.8, и она представляет особую опасность, так как может быть эксплуатирована удаленно без аутентификации, что позволяет выполнить Удаленное Выполнение Кода (RCE). Уязвимость классифицируется как подделка запросов на стороне сервера (SSRF) и затрагивает версии PeopleTools 8.61 и 8.62. После выявления этой уязвимости Oracle выпустила внеплановый патч в тот же день.

До публикации рекомендации Oracle активная эксплуатация этой уязвимости нулевого дня была зафиксирована Mandiant, которая отслеживала инциденты с 27 мая по 9 июня 2026 года. Эта эксплуатация была приписана хакерской группировке, мотивированной финансовой выгодой и известной как UNC6240 или ShinyHunters, которая имеет историю краж данных и взломов, нацеленных на различные сектора, особенно высшее образование, где 68 процентов скомпрометированных организаций были университетами и колледжами. Эксплуатация в основном была сосредоточена вокруг конечных точек Environment Management Hub (PSEMHUB), а данные, украденные в ходе этой кампании, были опубликованы на ShinyHunters Data Leak Site вскоре после периода эксплуатации.

Технический анализ выявил две основные конечные точки, задействованные в эксплуатации, а именно /PSEMHUB/hub и /PSIGW/HttpListeningConnector. Цепочка эксплуатации потенциально могла приводить к исходящим SMB-соединениям на TCP-порту 445, предоставляя злоумышленникам возможность перехватывать хеши NetNTLM учетных записей машин Windows. Действия после начальной компрометации обычно включали развертывание агентов удаленного управления MeshCentral, замаскированных под сервисы Microsoft Azure, что позволяло злоумышленникам сохранять контроль и выполнять такие действия, как внутренняя разведка, латеральное перемещение и эксфильтрация данных с использованием методов сжатия zstd.

Для организаций, использующих инструменты оценки уязвимостей, такие как Rapid7, аутентифицированные проверки уязвимостей, связанные с CVE-2026-35273, стали доступны вскоре после раскрытия информации об уязвимости. Кроме того, команды безопасности могут использовать ресурсы из Intelligence Hub от Rapid7, чтобы оставаться в курсе последних событий, связанных с этой уязвимостью, включая соответствующие индикаторы компрометации. Сетевые индикаторы, связанные с кампанией, включали несколько IP-адресов, а также домен управления, azurenetfiles.net, который маскировался под легитимный сервис Microsoft Azure.

#ParsedReport #CompletenessLow
12-06-2026

astro.config.mjs Supply Chain Attack via Blockchain C2

https://safedep.io/astro-config-blockchain-c2-supply-chain/

Report completeness: Low

Threats:
Supply_chain_technique
Dead_drop_technique

Victims:
Open source software projects, Software development

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1008, T1027, T1041, T1059.007, T1071.001, T1102.001, T1105, T1140, T1195.002

IOCs:
File: 8
IP: 4

Soft:
Node.js, Chrome, trongrid

Wallets:
tron, mainnet

Crypto:
aptos, binance

Algorithms:
xor

Functions:
createRequire, eval, getJson

Languages:
javascript

Platforms:
x64

Links:
https://github.com/Egonex-AI/Understand-Anything/pull/206
https://github.com/Egonex-AI/Understand-Anything/issues/432
have more...
https://github.com/AsimRaza10/Understand-Anything/blob/8d30be36d2a0e22b848322902fce4085f5b0c0e6/homepage/astro.config.mjs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака через цепочку поставок, направленная на репозиторий Egonex-AI/Understand-Anything, использовала вредоносный pull request для внедрения полезной нагрузки в файл `astro.config.mjs`, который выполняется автоматически во время разработки. Атака включает процедуру связи с жестко закодированными серверами управления, продвинутые техники обфускации для манипуляции функцией `require` и использует блокчейн для ретрансляции команд второго этапа, усложняя усилия по обнаружению и смягчению последствий. Этот инцидент демонстрирует растущую сложность тактик киберугроз, объединяющих социальную инженерию, обфускацию кода и технологию блокчейн.
-----

Недавняя атака на Цепочку поставок с использованием вредоносного pull request (PR) выявила значительные уязвимости в жизненном цикле разработки программного обеспечения, особенно в проектах с открытым исходным кодом. В данном случае атака была направлена против репозитория Egonex-AI/Understand-Anything, где полезная нагрузка была хитро встроена в файл `astro.config.mjs`. Этот файл является ключевым в фреймворке Astro, так как он выполняется как модуль Node.js для каждой операции сборки и разработки, автоматически выполняя полезную нагрузку без взаимодействия с пользователем.

Вредоносный PR, замаскированный под безобидное название и описание, содержал сфабрикованные технические изменения, скрывающие истинную природу модификаций. Полезная нагрузка запускает процедуру связи с одним из трех жестко заданных серверов управления (C2). После установления первоначального соединения она использует маркер кампании для эксфильтрации и применяет продвинутые техники для загрузки бот-клиента. Примечательно, что она использует ретранслятор команд второго этапа через публичную блокчейн-инфраструктуру, что затрудняет ограничение атаки путем простой блокировки IP-адресов, используемых серверами управления.

Специфический механизм атаки включал обфускацию потока команд, что позволяло эффективно восстанавливать функцию `require` в контексте ES-модуля без привлечения немедленного внимания при проверке кода. Это было достигнуто путем добавления в код невидимых операторов импорта. Этап B атаки дополнительно включал тщательно скоординированное взаимодействие с блокчейн-системами для получения данных транзакций, которые затем декодировались и выполняли последующие вредоносные команды.

Переход к технологии блокчейн в качестве средства ретрансляции команд имеет особое значение. Это позволяет злоумышленнику изменять полезную нагрузку путем простых обновлений данных транзакции в блокчейне, тем самым избегая традиционных методов обнаружения, ориентированных на блокировку IP-адресов или доменов. Злоумышленник может изменять команду без изменения публичного репозитория, эксплуатируя зависимость от публичных API, что усложняет попытки смягчения последствий из-за их законного использования в легитимных приложениях.

Этот инцидент выявляет тревожную тенденцию в тактике киберугроз, сочетающую социальную инженерию, обфускацию кода и технологию блокчейн для создания сложных векторов атак. Многоуровневый подход этой атаки не только позволяет обойти традиционные меры безопасности, но и подчеркивает необходимость бдительных процессов рецензирования кода и повышенного внимания к рискам в Цепочке поставок в современных практиках разработки программного обеспечения.

#ParsedReport #CompletenessHigh
12-06-2026

OceanLotus: From external espionage to domestic targeting

https://www.welivesecurity.com/en/eset-research/oceanlotus-external-espionage-domestic-targeting/

Report completeness: High

Actors/Campaigns:
Oceanlotus (motivation: cyber_espionage)

Threats:
Spectralviper
Supply_chain_technique
Dns_tunneling_technique
Soundbite
Phoreal
Cuegoe
Watering_hole_technique
Process_injection_technique

Victims:
Stock investors, Financial services, Infrastructure and transport construction, Businesses, Human rights activists, Human rights defenders, Government

Industry:
Financial, Government

Geo:
Vietnam, Singapore, Asia, Germany, Vietnamese, China

TTPs:
Tactics: 8
Technics: 16

IOCs:
Url: 2
Domain: 6
File: 11
IP: 8
Hash: 20

Soft:
Linux, Microsoft SQL server, Microsoft SQL, curl

Languages:
python

Links:
https://github.com/eset/malware-ioc/tree/master/oceanlotus

#ParsedReport #ExtractedSchema

Classified images:
code: 2, windows: 2, schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
OceanLotus (APT32) сместила фокус с внешней разведки на внутренние цели во Вьетнаме, проводя кампании с использованием своего бэкдора SPECTRALVIPER. Она скомпрометировала вьетнамскую инфраструктурную компанию и осуществила атаку через цепочку поставок на платформе FireAnt MetaKit, используя уязвимости Удаленного Выполнения Кода и внедряясь в легитимные механизмы обновлений. SPECTRALVIPER обладает возможностями бэкдора и загрузчика, взаимодействует с серверами C&C по протоколу HTTPS и может координировать операции на нескольких зараженных хостах, демонстрируя продвинутые техники, соответствующие государственным целям в условиях антикоррупционных усилий во Вьетнаме.
-----

OceanLotus, также известная как APT32, продемонстрировала заметный сдвиг в своих операционных приоритетах от внешней разведки к усилению внутреннего таргетинга, особенно во Вьетнаме, что наблюдалось в период с 2024 по 2026 год. Группа участвовала в двух конкретных кампаниях, используя свой бэкдор-ВПО SPECTRALVIPER. Одна операция включала компрометацию вьетнамской компании, занимающейся строительством инфраструктуры и транспорта, а другая была атакой через цепочку поставок, направленной на программную платформу FireAnt MetaKit, инструмент, широко используемый биржевыми инвесторами во Вьетнаме.

По сообщениям, строительная компания была взломана в период с ноября 2024 года по февраль 2026 года, вероятно, через уязвимости удаленного выполнения кода (RCE), в частности в сервере Microsoft SQL. В сети использовались различные версии SPECTRALVIPER, что демонстрирует адаптированные модификации под конкретные среды скомпрометированных хостов. Тем временем, в рамках атаки через цепочку поставок на FireAnt MetaKit, начавшейся в октябре 2025 года, злоумышленники проникли в легитимный механизм обновлений платформы для распространения вредоносных версий, которые развертывали SPECTRALVIPER.

Архитектура SPECTRALVIPER включает возможности, позволяющие ей функционировать как бэкдор и как загрузчик, что облегчает манипуляцию процессами и внедрение вредоносного кода в целевые приложения. ВПО устанавливает контакт со своими серверами управления (управление) с использованием HTTPS, встраивая ключевые данные, такие как информация о профилировании хоста и уникальный заголовок User-Agent, в HTTP-запросы. Эта коммуникационная инфраструктура, по-видимому, предназначена для избежания обнаружения в обычном сетевом трафике.

Одной из заметных особенностей SPECTRALVIPER является модель оркестрации, при которой различные экземпляры могут обмениваться данными и активировать команды через именованные каналы, что позволяет осуществлять перемещение внутри компании в скомпрометированных сетях. Этот метод подчеркивает потенциал вредоносного ПО для распределенных операций, делая его способным эффективно управлять множеством зараженных хостов.

Время и фокус этих атак коррелируют с внутренними усилиями Вьетнама по борьбе с коррупцией, что предполагает, что OceanLotus может согласовывать свои кибероперации с государственными целями по противодействию финансовым преступлениям и коррупции. Ошибка в области оперативной безопасности (OPSEC), оставившая определенные детали программирования в SPECTRALVIPER, способствовала более глубокому пониманию работы вредоносного ПО, демонстрируя, как группа использует передовые техники для достижения своих шпионских целей в условиях меняющегося политического ландшафта Вьетнама.

#ParsedReport #CompletenessHigh
10-06-2026

SilabRAT, What’s Your Power?

https://www.group-ib.com/blog/silabrat-hijackloader-trojan-malware/

Report completeness: High

Actors/Campaigns:
O1oo1 (motivation: financially_motivated, cyber_criminal)

Threats:
Silabrat
Snappyclient
Hijackloader
Hvnc_tool
Asmcrypt
Clickfix_technique
Uac_bypass_technique
Icmluautil_tool
Lockbit
Blackmatter
Credential_harvesting_technique

Victims:
Finance, Cryptocurrency

Geo:
Russian

TTPs:
Tactics: 3
Technics: 32

IOCs:
File: 1
Hash: 4
IP: 1

Soft:
Chrome, Chromium, MinHook, TightVNC, Electron

Wallets:
ledger_wallet, trezor

Algorithms:
chacha20-poly1305, base58, lzma

Win API:
NtOpenFile, ZwQueryFullAttributesFile, AmsiScanBuffer, AmsiScanString

Win Services:
GoogleChromeElevationService

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SilabRAT, Троянская программа для удалённого доступа, разработанная злоумышленником o1oo1, предназначена для получения финансовой выгоды путём кражи учётных данных и продаётся как ВПО как услуга в Darkweb. Она использует скрытый протокол удалённого рабочего стола (HVNC) для скрытого удалённого управления и применяет такие техники, как перехват сессий, клонирование профилей браузера и обход шифрования, привязанного к приложениям в Chrome, для извлечения конфиденциальных данных. Её архитектура позволяет покупателям запускать собственные серверы управления, повышая операционную безопасность, и она реализует закрепление через ключи реестра Windows Run и запланированные задачи.
-----

SilabRAT, также известный как SnappyClient, — это продвинутая Троянская программа (RAT), ориентированная в первую очередь на финансовую выгоду через кражу учетных данных. Разработанная злоумышленником, известным как o1oo1, она продавалась на форумах Darkweb как ВПО как услуга (MaaS) с конца 2025 года. SilabRAT примечателен использованием скрытого удаленного рабочего стола (HVNC), что позволяет ему сохранять возможности удаленного контроля, избегая обнаружения пользователями и системами безопасности. Методы его развертывания включают спам по электронной почте и кампании ClickFix, где социальная инженерия используется для компрометации жертв.

Возможности SilabRAT обширны. Он может выполнять перехват сессий, клонирование профилей браузера и даже обходить шифрование App-Bound Encryption (ABE) в Chrome с помощью DLL для эксплуатации системных процессов. Это позволяет вредоносному ПО извлекать сохраненные в браузере пароли и файлы cookie без обнаружения. Кроме того, он обладает функциями, адаптированными для криптографических операций, такими как идентификация адресов кошельков и попытка взлома паролей, связанных с криптокошельками. Архитектура вредоносного ПО поддерживает управление и мониторинг зараженных машин в реальном времени, позволяя операторам удаленно выполнять команды, захватывать нажатия клавиш и управлять деятельностью по краже данных.

RAT построен на модели с размещением у оператора, где покупатели настраивают и запускают собственные серверы управления (C2), не разделяя инфраструктуру с другими. Такая конфигурация обеспечивает злоумышленникам более высокий уровень операционной безопасности и контроля над своими кампаниями. Подписка на SilabRAT оценивается примерно в 5 000 долларов в месяц, и она может быть объединена с AsmCrypt, инструментом обфускации, разработанным o1oo1, что способствует повышению скрытности ВПО.

Что касается методов установки и закрепления, SilabRAT может использовать ключи автозагрузки реестра Windows и запланированные задачи для обеспечения запуска при входе пользователя в систему или в заданные интервалы времени, что гарантирует его сохранность на зараженных машинах. Вредоносное ПО также включает простые методы обхода защиты, включая вмешательство в функции Интерфейса сканирования антивирусного программного обеспечения (AMSI). Учитывая эволюционную природу вредоносного ПО, вероятно появление дополнительных функций и улучшений, при этом в планах на будущее — настраиваемая инъекция кода, нацеленная на приложения на базе Electron на платформах, связанных с криптовалютой.