#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Poisson включала французскоязычного киберпреступника, применявшего сложные тактики против небольшого автомобильного бизнеса, используя фреймворк C2 Havoc для выдачи 339 команд для сбора данных. Атакующий реализовал многоэтапную атаку без файлов, внедрив shellcode, и использовал Python-кейлоггер для захвата учетных данных без выделенного сервера эксфильтрации. Значительной частью операции стала установка OpenSSH и VPN Tailscale для постоянного доступа, что позволило злоумышленнику возобновить деятельность несмотря на сбои в работе сервера C2, что указывает на растущую сложность киберугроз.
-----

Poisson, киберпреступник, говорящий по-французски, атаковал небольшой автомобильный бизнес и четырех человек в ходе 33-дневной атаки с 30 марта по 1 мая 2026 года.

Атака использовала фреймворк Havoc C2 для выдачи 339 команд для компрометации данных, сфокусировавшись на учетных данных банковских и почтовых сервисов.

Первоначальный доступ осуществлялся с помощью многоэтапной атаки без файлов, при которой шеллкод внедрялся в системные процессы.

Poisson развернул 70-строчный Python-кейлоггер для перехвата нажатий клавиш без сервера эксфильтрации, извлекая данные вручную.

Он установил OpenSSH и Tailscale VPN на машину жертвы, создав постоянный доступ, который сохранялся даже при простое сервера C2 Havoc.

Это закрепление позволило Poisson возвращаться на скомпрометированные системы без повторного использования уязвимостей после того, как канал C2 отключался и затем возобновлял работу.

Наблюдались недостатки в области операционной безопасности, включая зависимость от бесплатных сервисов, таких как DuckDNS и Backblaze B2, что приводило к перебоям в пропускной способности.

Он раскрыл SSH-ключи и операционную документацию из-за плохого управления публичным хранилищем.

Тактика Пуассона была сосредоточена на краже учетных данных, а не на более широкой компрометации данных или развертывании программ-вымогателей.

Он выполнил обход контроля учётных записей (UAC) для получения административного доступа и использовал запланированные задачи для поддержания контроля.

Внесены изменения в настройки питания системы для обеспечения работы устройств в активном режиме для целей логирования, что указывает на стратегию долгосрочного доступа.

Операция подчеркивает недостаточность традиционных мер защиты, которые полагаются исключительно на отключение серверов C2.

Организациям необходимы надежные стратегии для обнаружения и удаления устойчивых механизмов доступа, установленных злоумышленниками.

Рекомендуется мониторинг несанкционированного ПО для удаленного доступа или конфигураций VPN для противодействия устойчивым угрозам.

#ParsedReport #CompletenessMedium
16-06-2026

Inside Amos Stealer: How This Threat Targets macOS Credentials and Keychains

https://www.cyberproof.com/blog/inside-amos-stealer-how-this-threat-targets-macos-credentials-and-keychains/

Report completeness: Medium

Threats:
Amos_stealer
Credential_harvesting_technique

Victims:
Macos users, Enterprises, Developers

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1030, T1041, T1059.002, T1059.004, T1070.004, T1071.001, T1074.001, T1083, T1105, have more...

IOCs:
Url: 2
File: 1

Soft:
macOS, curl, OpenSSL, Google Chrome, Microsoft Edge

Algorithms:
zip

Languages:
applescript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Amos Stealer — это стиллер информации, нацеленный на macOS, который в первую очередь сосредоточен на сборе учетных данных пользователей, данных браузеров и различных конфиденциальных файлов с помощью обманных загрузок и социальной инженерии. Он использует команду curl для скрытой доставки полезной нагрузки, выполняя скрипты, которые извлекают конфиденциальную информацию из высокоценных каталогов и Связки ключей macOS, консолидируя данные в zip-файл для эксфильтрации через HTTP PUT-запросы. Вредоносное ПО применяет техники для обхода проверки TLS и стирает следы своей активности после эксфильтрации, что указывает на значительную угрозу для пользователей macOS.
-----

Amos Stealer — вредоносное программное обеспечение, специально нацеленное на пользователей macOS для извлечения конфиденциальной информации. Обычно оно распространяется через обманные загрузки программного обеспечения, вредоносные веб-сайты и тактики социальной инженерии. Основная цель этого стиллера — сбор учетных данных пользователей, данных браузера, конфигураций криптовалютных кошельков и различных проприетарных файлов. Этот сдвиг в сторону сред macOS подчеркивает растущий тренд среди злоумышленников, сосредоточенных на кампаниях, мотивированных финансовой выгодой.

Первоначальный доступ к системам часто осуществляется с помощью команды curl, которая позволяет скрытно загружать удаленные полезную нагрузку с серверов, контролируемых злоумышленниками. Этот метод позволяет противникам выполнять скрипты оболочки или AppleScripts с минимальной заметностью. В ходе недавних расследований аномальные выполнения команды curl выявили активные заражения Amos Stealer, при этом злоумышленники специально использовали флаги -fsSL для оптимальной доставки и выполнения полезной нагрузки.

После загрузки полезной нагрузки скрипт инициализируется с использованием жестко закодированных переменных, включающих домен, ключ API и токен аутентификации. Криминалистический анализ выявил, что после выполнения команды AppleScript через оболочку zsh вредоносное ПО проводит автоматические проверки для обеспечения успешного выполнения скрипта. Если скрипт работает корректно и находит целевые файлы, он готовится к эксфильтрации данных. Этот процесс включает разделение данных на сегменты по 10 МБ для обхода потенциальных сетевых аномалий, генерацию уникальных идентификаторов сеансов для загрузки и возможность повторных попыток при сбое передачи.

Amos Stealer агрессивно нацелен на высокоценные директории с конфиденциальной информацией, в частности извлекая артефакты браузеров из таких браузеров, как Google Chrome и Microsoft Edge. Он также компрометирует macOS Связка ключей, предоставляя доступ к корпоративным учетным данным. Кроме того, он собирает конфиденциальные файлы из домашней директории пользователя, включая директории .kube, .ssh, .zshrc и .gitconfig. Собранная информация консолидируется в архив osalogging.zip в директории /tmp, а затем эксфильтруется через HTTP PUT-запрос на домен управления злоумышленника. Процесс эксфильтрации включает флаг -k для обхода проверки TLS и использует замаскированную строку User-Agent браузера для сокрытия.

После успешной отправки данных Amos Stealer пытается стереть любые следы своей активности, выполняя команды очистки на скомпрометированной системе. Это ВПО иллюстрирует изменяющийся ландшафт угроз, показывая, что macOS не застрахована от агрессивных операций по краже информации. Для снижения этих рисков команды безопасности должны внедрять продвинутые методы охоты на угрозы на основе поведения и применять строгие практики усиления защиты конечных точек.

#ParsedReport #CompletenessMedium
16-06-2026

GlassWASM: WebAssembly Malware Found in Trojanized Open VSX Extensions

https://socket.dev/blog/glasswasm-malware-open-vsx-extensions

Report completeness: Medium

Threats:
Glassworm
Dead_drop_technique
Typosquatting_technique
Supply_chain_technique

Victims:
Software developers, Cryptocurrency developers, Open vsx users, Visual studio code fork users

Industry:
Transport, E-commerce, Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.008, T1036.005, T1059.001, T1059.004, T1071.001, T1082, T1102.001, T1105, T1140, have more...

IOCs:
File: 15
Url: 7
Hash: 9
Command: 3
Coin: 1
Domain: 1
IP: 2

Soft:
Open VSX, Visual Studio Code, Node.js, pen VSX ex, url -f, inux, curl, linux, macOS, Unix, have more...

Wallets:
mainnet

Crypto:
solana

Algorithms:
sha256, exhibit, md5, sha1, chacha20

Functions:
JS, getSignaturesForAddress, getTransaction, RPC

Languages:
typescript, javascript, golang, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Обнаружение вредоносного ПО, использующего скомпилированный WebAssembly (WASM) в поддельных расширениях Visual Studio Code, вызвало обеспокоенность, особенно тех, что найдены на маркетплейсе Open VSX. ВПО, идентифицированное как snqpkebiwrxmoivl.wasm, активируется с помощью процесса загрузки и взаимодействует с блокчейном Solana для функций управления, избегая традиционных методов обнаружения благодаря зашифрованному содержимому. Связанное с группой GlassWorm, его архитектура позволяет динамические обновления и установку вторичных компонентов через кроссплатформенные команды, подчеркивая необходимость бдительности в отношении включений WASM в программные пакеты.
-----

Обнаружение скомпилированного вредоносного ПО WebAssembly (WASM) в троянизированных расширениях Visual Studio Code (VS Code) задокументировано командой Socket по исследованию угроз. Эти вредоносные расширения существуют на маркетплейсе Open VSX и используют payload WebAssembly, встроенный в загрузчик TinyGo. Вредоносное ПО, идентифицированное как snqpkebiwrxmoivl.wasm, выполняется при активации расширений через процесс загрузки, который вызывает модуль с помощью go.run(). Цель вредоносных расширений, по-видимому, сосредоточена на криптовалюте, что иллюстрируется пользовательским интерфейсом, имитирующим отладчик хешей транзакций блокчейна.

Стратегия обфускации, применяемая в ВПО, заслуживает внимания: модуль WASM шифрует все значимые строки с помощью шифра ChaCha20, что предотвращает обнаружение с помощью традиционных сигнатурных методов. Во время выполнения деобфусцированный модуль взаимодействует с блокчейном Solana, опрашивая API JSON-RPC на предмет транзакций, направленных на кошелек, контролируемый злоумышленником. Извлеченные команды, детализированные в поле SPL Memo этих транзакций, позволяют ВПО конструировать и выполнять платформозависимые команды загрузки и выполнения через утилиту child_process Node.

Атака использует сложную инфраструктуру управления (C2), применяя блокчейн Solana в качестве мёртвой точки для предотвращения изъятия или прерывания работы традиционными методами. Каждый полезный груз может быть динамически обновлён путём публикации новых транзакций в блокчейне. Ссылаясь на фиксированный адрес кошелька, вредоносное ПО получает свои операционные инструкции напрямую из блокчейна, избегая жёстко закодированных серверов управления, которые могли бы стать целью.

С точки зрения распространения, троянизированные расширения имитируют легитимные инструменты VS Code, воспроизводя точные идентификаторы издателей и элементы описания, чтобы эксплуатировать доверие, связанное с проверенными сущностями на других реестрах. Конкретные образцы, такие как ExarGD/vsblack и noellee-doc/flint-debug, были повторно опубликованы недавно созданным аккаунтом, что указывает на заранее спланированную стратегию Имперсонация.

Вредоносное ПО в основном использует кроссплатформенные команды, направленные на выполнение HTTP-запросов с помощью cURL или PowerShell в зависимости от операционной системы, для загрузки и выполнения вторичных полезной нагрузки, размещенных на динамически назначенных доменах. Архитектура вредоносного ПО подчеркивает важность тщательного анализа включений WebAssembly в пакетах npm, поскольку они представляют собой уникальные сигнатуры обхода.

Атрибуция этой вредоносной кампании, как полагают, связана с группой разработчиков GlassWorm, известной схожими техниками уклонения и использованием блокчейна Solana для целей C2. Учитывая общую инфраструктуру и методологии, включая извлечение метаданных из блокчейна и динамическую генерацию команд, этот вариант вредоносного ПО демонстрирует прогресс в тактиках обфускации по сравнению с предыдущими действиями GlassWorm. Для снижения рисков организациям рекомендуется отслеживать определенные шаблоны команд и улучшать свои возможности обнаружения угроз на основе WASM в программных пакетах, особенно тех, которые интегрируют JavaScript и WebAssembly.

#ParsedReport #CompletenessMedium
16-06-2026

Rokarolla : Android Banker with Complete Device Takeover Capabilities

https://zimperium.com/blog/rokarolla-android-banker-with-complete-device-takeover-capabilities

Report completeness: Medium

Threats:
Rokarolla
Jsonpacker_tool

Victims:
Banking, Cryptocurrency, Social media, Android users

Industry:
Financial

Geo:
Asia

TTPs:
Tactics: 9
Technics: 18

IOCs:
Url: 1

Soft:
Android, TikTok, Google Chrome, Google Play, Whatsapp

Links:
https://github.com/Zimperium/IOC/tree/master/2026-06-Rokarolla/commands.md
https://github.com/Zimperium/IOC/tree/master/2026-06-Rokarolla/apks.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Rokarolla — это Android-троян для банковского мошенничества, нацеленный на более чем 200 финансовых и криптовалютных приложений, распространяющийся через вредоносные сайты, имитирующие легитимные приложения. Используя дроппер, имитирующий Google Play Protect, он получает обширный контроль через службы доступности Android, что позволяет ему выполнять различные команды для финансового мошенничества, включая кражу учетных данных и перехват коммуникаций. Его функции скрытности позволяют маскировать свое присутствие, отключать меры безопасности и поддерживать операционную эффективность за счет динамических обновлений C2.
-----

Rokarolla — это недавно выявленный Android-троян, представляющий серьезную угрозу для пользователей, поскольку он нацелен на широкий спектр более чем 200 финансовых и криптовалютных приложений. В основном распространяется через вредоносные сайты, маскирующиеся под легитимные приложения, это ВПО может выполнять обширные административные команды для управления зараженными устройствами. Оно использует 137 команд, предназначенных для содействия финансовому мошенничеству путем кражи конфиденциальной информации, такой как учетные данные экрана блокировки, списки контактов и SMS-сообщения.

ВПО использует дроппер, который имитирует Google Play Protect, обманывая пользователей и заставляя их разрешить установку основного полезного груза. Этот метод обходит меры безопасности Android, предоставляя Rokarolla доступ к критическим функциям устройства через службы Accessibility. После заражения троян связывается со своим сервером управления (C2) по защищенному каналу HTTPS для извлечения телеметрии устройства и поддержания операционной устойчивости посредством динамических обновлений C2.

Rokarolla обладает возможностью сбора учетных данных для разблокировки с устройства путем создания поддельных оверлеев, имитирующих легитимный экран блокировки Android, что позволяет эффективно перехватывать пользовательский ввод. Для дальнейшего поддержания контроля над устройством она развертывает несколько оверлеев и использует специальные возможности Android для мониторинга пользовательского интерфейса и его маппинга для будущей эксплуатации.

Вредоносное ПО также проникает в банковские и криптовалютные приложения, извлекая информацию об этих приложениях вместе с их рабочим статусом. При обнаружении целевого приложения оно загружает и отображает поддельную фишинговую страницу на основе HTML для извлечения конфиденциальных данных, таких как учетные данные банков. Кроме того, оно может захватывать контактную информацию WhatsApp путем анализа содержимого экрана, эксфильтровать SMS-сообщения и перехватывать телефонные звонки, чтобы предотвратить получение пользователями оповещений от своих банков.

Rokarolla использует команды для регистрации нажатий клавиш, извлечения текста с экрана и манипуляции буфером обмена для подмены критических данных без согласия пользователя. Вместо традиционных методов удалённого доступа к экрану он применяет механизм создания снимков для захвата скриншотов активности пользователя, что обеспечивает скрытый мониторинг.

Скрытность и закрепление являются ключевыми особенностями Rokarolla, поскольку он активно работает над отключением мер безопасности и маскировкой своего присутствия. ВПО может скрывать значок своего приложения, отключать звуки устройства и удалять уведомления, которые могут предупредить пользователя о его присутствии. Оно также удерживает экран устройства включенным неограниченно долго, чтобы обеспечить непрерывность своих мошеннических операций.

#ParsedReport #CompletenessHigh
15-06-2026

Public and Private Medical Community Targeted by China-Nexus Threat Actor Pursuing Artificial Intelligence, Cyber, Medical, and National Defense Research

https://cloud.google.com/blog/topics/threat-intelligence/prc-targets-us-medical-research/

Report completeness: High

Actors/Campaigns:
Unc6508 (motivation: cyber_espionage)
Harvester

Threats:
Infinitered
Residential_proxy_technique

Victims:
Medical research institutions, Academic institutions, Military health institutions, Clinical providers, Health regulatory bodies, Public health organizations, Defense research organizations

Industry:
Education, Iot, Healthcare, Military

Geo:
China, Indo-pacific, Canada, American

TTPs:
Tactics: 6
Technics: 13

IOCs:
File: 3
IP: 1
Hash: 7

Soft:
Chrome, Gmail

Algorithms:
base64

Functions:
getcwd, php_uname, phpversion

Languages:
php

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник UNC6508, связанный с Китаем, с сентября 2023 года атакует академические, медицинские и военные секторы Северной Америки, фокусируясь на уязвимостях в серверах REDCap. Они развернули собственное ВПО INFINITERED, которое собирает учетные данные для входа и обеспечивает скрытую эксфильтрацию данных, используя такие методы, как троянизация легитимных файлов и создание веб-оболочек для закрепления. Их операции демонстрируют сложные методы обфускации со стратегическим акцентом на военные и медицинские исследования, что указывает на мотивы государственного шпионажа.
-----

Кампания, приписываемая UNC6508, злоумышленнику с китайскими связями, нацелена на академические, медицинские и военные исследовательские секторы Северной Америки в течение длительного периода, оставаясь незамеченной с сентября 2023 года. Актеры скомпрометировали внешние веб-приложения, в основном эксплуатируя серверы REDCap, используемые в медицинском исследовательском сообществе. Они развернули пользовательское ВПО под названием INFINITERED, предназначенное для захвата легитимных учетных данных и содействия скрытой эксфильтрации данных из целевых внутренних систем.

Первоначальный доступ к серверам REDCap был получен путем эксплуатации уязвимостей, особенно в устаревших версиях программного обеспечения. После закрепления UNC6508 провел внутреннюю разведку для обнаружения и сбора учетных данных учетных записей баз данных и служб, а также развернул Веб-шелл с именем help.php для закрепления. Спустя три месяца было развернуто INFINITERED, которое троянизировало легитимные системные файлы REDCap и реализовало модульные компоненты, позволяющие обеспечить расширенный контроль и функциональность. ВПО способно выполнять инъекцию кода в процессе обновления REDCap, обеспечивая его сохранение после обновлений и поддержание доступа.

Вредоносное ПО INFINITERED включает в себя краулер учетных данных, который захватывает учетные данные пользователей во время входа в систему, и механизм бэкдора, присутствующий в пользовательских хуках, который выполняется при каждой загрузке страницы. Бэкдор позволяет злоумышленнику выполнять команды, выполнять SQL-запросы и передавать файлы по мере необходимости. Примечательно, что после года операций UNC6508 получил доступ к учетной записи администратора, используя украденные учетные данные, и применил новую технику, которая эксплуатировала правила соответствия контента для эксфильтрации целевых электронных сообщений. Это было обеспечено через правило соответствия под названием «Patroit», которое отслеживало шаблоны ключевых слов для пересылки корреспонденции в скрытую копию (BCC) на учетную запись Gmail, контролируемую злоумышленником.

Амбиции кампании выходят за рамки медицинских исследований и включают сбор разведданных в сфере обороны и передовых технологий, что соответствует стратегическим интересам Китайской Народной Республики. Ключевые слова и целевые лица указывали на фокус на обороне, военной стратегии и конкретных областях медицинских исследований, таких как чикунгунья.

Меры безопасности операций (OpSec), принятые UNC6508, были сложными, с использованием сетей обфускации, включавших скомпрометированные маршрутизаторы и VPN, что значительно скрывало их деятельность. Они также создавали аккаунты, контролируемые злоумышленником, через сервисы массового создания, усиливая свою оперативную скрытность.

Атрибуция данной активности к UNC6508 выполняется с высокой степенью уверенности на основе вредоносной инфраструктуры, согласованных оперативных шаблонов и специфического подхода к целеполаганию, что соответствует историческим тенденциям государственного шпионажа, осуществляемого КНР. Данная атрибуция подчеркивает сохраняющийся риск, создаваемый акторами, мотивированными шпионажем, в значимых секторах, имеющих критическое значение для национальной безопасности и технологического развития.

#ParsedReport #CompletenessLow
17-06-2026

Steals Accounts and Wallets in Seconds! Electron Program Disguised as a Backdoor to Steal Encrypted Data

https://www.huorong.cn/document/tech/vir_report/1969

Report completeness: Low

Soft:
Electron

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, code: 5

#ParsedReport #CompletenessHigh
17-06-2026

The Invisible Stinger: Over 4,000 Outdated Routers Compromised by AryStinger, Turned into Launchpads for Hackers’ Global Attacks

https://blog.xlab.qianxin.com/arystinger-botnet-hijacks-legacy-routers-for-global-attacks/

Report completeness: High

Threats:
Arystinger
Dropbear_tool
Gs-netcat
Fscan_tool
Dropbearkey_tool
Masscan_tool

Victims:
Router devices, Network attached storage devices

Industry:
Iot

Geo:
Sweden, Singapore, South korea, Malaysia, China

CVEs:
CVE-2025-11837 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qnap malware_remover (<6.6.8.20251023)

CVE-2013-3307 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2016-5681 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-868l_firmware (le2.03)


ChatGPT TTPs:
do not use without manual check
T1001, T1016, T1018, T1021.004, T1041, T1046, T1057, T1059.004, T1059.006, T1071.001, have more...

IOCs:
File: 1
Domain: 1
Url: 3
Hash: 52
IP: 1

Soft:
hat offi, eChat of, curl

Algorithms:
xor, md5, gzip

Languages:
java, python

Platforms:
mips

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AryStinger — это семейство ВПО, эксплуатирующее устаревшие маршрутизаторы, особенно те, что оснащены чипами RTL819X, и использующее уязвимости CVE-2013-3307 и CVE-2016-5681 для разведки и эксфильтрации данных. Оно существует в двух версиях — одна для маршрутизаторов, другая для устройств NAS — и взаимодействует со своим C2-сервером через зашифрованные HTTP/HTTPS. AryStinger поддерживает широкий спектр вредоносных возможностей, включая сканирование сети, удаленное управление с помощью таких инструментов, как Dropbear, и было обнаружено на более чем 4300 маршрутизаторах по всему миру, представляя значительные риски из-за низких показателей обнаружения.
-----

Семейство ВПО AryStinger использует уязвимости в устаревших маршрутизаторах, в основном тех, что используют чипы серии RTL819X от Linksys и D-Link. Эти маршрутизаторы, не получавшие обновлений прошивки или безопасности, служат скомпрометированными точками входа для кибератак, направленных на разведку и эксфильтрацию данных. В частности, вредоносное ПО нацелено на две известные уязвимости: CVE-2013-3307 и CVE-2016-5681, обе из которых появились более десяти лет назад. AryStinger существует в двух версиях: версия RTL819X, реализованная на C, и стандартная версия, написанная на Go, предназначенная для устройств NAS.

Вредоносное ПО взаимодействует со своим сервером управления (управление) (C2) по протоколам HTTP/HTTPS, шифруя сетевой трафик с использованием кодирования Protobuf и XOR. Обе версии поддерживают широкий спектр вредоносных возможностей, включая сканирование сети, идентификацию служб и создание каналов постоянного удаленного управления с помощью таких инструментов, как Dropbear и gs-netcat. Зараженные устройства могут не только обеспечивать скрытый контроль для злоумышленников, но и служить платформами для запуска дополнительных атак, таких как операции распределенного отказа в обслуживании (DDoS) или развертывание дополнительных вредоносных загрузок.

Каждый экземпляр AryStinger называется «Исполнителем» (Executor), что позволяет злоумышленникам разделять задачи и выполнять операции разведки параллельно, повышая эффективность своих действий. ВПО обнаружено более чем на 4300 маршрутизаторах по всему миру, при этом значительные концентрации зафиксированы в Южной Корее, Китае и Швеции. Его низкий уровень обнаружения в основных средствах защиты создает повышенный риск, затрудняя отслеживание источников атак, исходящих из этих скомпрометированных устройств.

Деятельность AryStinger включает различные основные задачи, такие как аутентификация с сервером C2, загрузка дополнительного ВПО и выполнение задач сканирования. ВПО позволяет собирать конфиденциальную информацию посредством сетевой разведки, а также осуществлять потенциально вредоносные действия, такие как DNS-перехват для перенаправления пользователей на вредоносные сайты.

Кроме того, стандартная версия AryStinger была дополнена дополнительным функционалом, таким как возможность выполнения внутренних сканирований сети и запуска динамических полезной нагрузки, что повышает её универсальность и вероятность успеха в целевых средах. Эта эволюция возможностей ВПО значительно усиливает обеспокоенность относительно целостности и безопасности сетей, использующих устаревшее аппаратное обеспечение, подчеркивая необходимость постоянной бдительности и проактивных мер в практике кибербезопасности.

#ParsedReport #CompletenessLow
15-06-2026

Iran Hajj Organization Data Claim, Crypto Leads Sale, APT43 Tooling Claim, Sweden User Data, and Chrysler Breach Claim

https://socradar.io/blog/iran-hajj-organization-apt43-sweden-data/

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Sim_swapping_technique
Smishing_technique
Everest

Victims:
Government, Travel, Finance, Cryptocurrency, Marketing, Data services, Automotive

Industry:
Government, Financial

Geo:
Swedish, Sweden, North korea, Iran

ChatGPT TTPs:
do not use without manual check
T1014, T1068, T1110.004, T1204, T1566, T1566.004, T1656

Soft:
Android, Linux

Wallets:
coinbase

Crypto:
bitcoin, binance

Algorithms:
zip