#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 2, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В последних отчетах подробно описываются значительные утечки, связанные с конфиденциальными данными, включая базу данных Организации по делам хаджа и паломничества Ирана, содержащую более 168 миллионов записей, что создает риски кражи личных данных. Пользовательские данные крупных криптовалютных платформ попали в открытый доступ, что позволяет проводить потенциальные фишинговые атаки и атаки с подменой SIM-карт. Кроме того, северокорейский злоумышленник APT43 связан с передовыми инструментами, способными нарушить работу систем Android и Linux, а группа вымогательского ПО Everest заявляет о похищении 1 ТБ данных у компании Chrysler, что повышает риски целевых фишинговых кампаний.
-----

Согласно последним отчетам по безопасности, зафиксировано несколько утечек данных и потенциальных угроз, связанных с конфиденциальной информацией. Появилось утверждение о том, что злоумышленник якобы продает базу данных, содержащую более 168 миллионов записей за период с 1984 по 2024 год, взятых из Организации по делам паломничества и хаджа Ирана. Этот набор данных включает личную информацию, такую как имена, номера удостоверений личности, данные паспортов, контактные данные, а также конфиденциальные документы, относящиеся к государственным служащим и военному персоналу. Если это утверждение соответствует действительности, оно создает значительные риски кражи личных данных и финансового мошенничества.

В другом случае данные пользователей с различных криптовалютных платформ, включая Binance.US, Coinbase и Crypto.com, якобы были агрегированы и предложены на продажу. Этот набор данных содержит сотни тысяч строк пользовательской информации, которые могут быть использованы для фишинговых атак, подмены SIM-карт и Подстановки украденных учетных данных, что дополнительно угрожает безопасности криптопользователей.

Еще одно тревожное развитие событий связано со злоумышленником, известным как APT43, который ассоциируется с кибердеятельностью Северной Кореи. Сообщается о публикации, которая, по утверждениям, содержит бэкдоры, руткиты и уязвимости нулевого дня, связанные с этой группой. alleged инструменты включают бэкдор на C++ с надежными мерами противодействия криминалистическому анализу и инструменты, способные нарушить работу систем Android и ядер Linux. Если какие-либо из этих утверждений окажутся верными, они представляют собой серьезную угрозу целостности систем, обеспечивая несанкционированный доступ и закрепление в целевых сетях.

В Швеции на продажу появился набор данных, связанный с AdressFakta, который, по сообщениям, включает более 5 миллионов уникальных записей пользователей. Наличие адресов проживания и контактных данных из этого набора данных указывает на возможность проведения масштабных фишинговых атак и атак социальной инженерии, что может дополнительно поставить под угрозу личную жизнь отдельных лиц.

Наконец, группа вымогательского ПО Everest взяла на себя ответственность за инцидент с нарушением безопасности, связанный с компанией Chrysler, утверждая, что было похищено более 1 ТБ данных, включая информацию из CRM-системы. Если эти утверждения будут подтверждены, раскрытие данных о взаимодействии с клиентами может привести к целевым фишинговым атакам и мошенническим схемам социальной инженерии, направленным против клиентов и деловых партнеров.

Последствия этих событий подчеркивают критическую необходимость бдительного сбора киберугроз для снижения рисков, связанных с утечками данных и вредоносной кибердеятельностью. Таким образом, непрерывный мониторинг угроз в даркнете остается необходимым для эффективного управления цифровыми рисками.

#ParsedReport #CompletenessHigh
16-06-2026

Hidden in Teams: DragonForce Attackers Weaponize Microsoft Teams Relays to Stay Hidden

https://www.security.com/threat-intelligence/dragonforce-msteams-backdoor

Report completeness: High

Actors/Campaigns:
Dragonforce

Threats:
Dragonforce_ransomware
Byovd_technique
Dll_hijacking_technique
Abyss_locker
Abyssworker
Av-killer
Netscan_tool

Victims:
Services

Geo:
Switzerland

CVEs:
CVE-2023-52271 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- topazevolution antifraud (le2.0.0.0)

CVE-2025-1055 [Vulners]
CVSS V3.1: 5.6,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-61155 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1055, T1068, T1090, T1105, T1112, T1136.001, T1190, T1211, have more...

IOCs:
File: 7
Hash: 22
Domain: 8
Url: 1
IP: 1

Soft:
Microsoft Teams, MSSQL, VirtualBox

Algorithms:
zip

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогателей DragonForce использует троянский бэкдор Backdoor.Turn, написанный на Go, который эксплуатирует ретранслятор TURN Microsoft Teams для скрытых коммуникаций управления, что затрудняет их обнаружение. Изначально они получили доступ к американской компании через уязвимость в SQL-сервере, сохраняли доступ в течение одного-двух месяцев и развертывали вымогательское ПО с помощью техники сайд-лоадинга с использованием вредоносной DLL в легитимном приложении VirtualBox. Их тактика включает перехват DLL, эксплуатацию уязвимостей драйверов (в частности, Huawei) и применение продвинутых методов уклонения, что указывает на сложную эволюцию операций, выходящую за рамки типичных моделей вымогательского ПО.
-----

Группа вымогательского ПО DragonForce разработала передовые методы проведения кибератак, в частности используя основанную на Go троянскую программу Backdoor.Turn, которая использует инфраструктуру ретрансляции TURN Microsoft Teams для связи управления (C2). Такой подход позволяет злоумышленникам маскировать свой трафик C2 в рамках легитимных соединений с серверами Microsoft Teams, что затрудняет обнаружение для сетевых защитников, которые могут наблюдать только нормальный исходящий трафик. Backdoor.Turn представляет собой значительное новшество в поведении ВПО, так как это первый известный случай, когда ВПО использует ретрансляции TURN подобным образом.

Злоумышленники изначально скомпрометировали сеть американской сервисной компании, используя неуказанную уязвимость в сервере SQL или MSSQL, которая, возможно, была получена через брокера доступа, и сохраняли доступ в течение одного-двух месяцев перед развертыванием своего ransomware. Вредоносная нагрузка включала загрузку ZIP-файла, содержащего легитимное приложение VirtualBox, сопровождаемое вредоносной DLL, которая использовалась для side-loading и для обеспечения доступа и эксфильтрации данных. Этот процесс включал техники, которые изменяли правила брандмауэра и использовали агрегированные учетные данные для поддержания контроля над скомпрометированными системами.

Критическим компонентом тактики злоумышленников стала подмена DLL для внедрения вредоносного кода в доверенные процессы, в частности VirtualBox, что предоставляло метод повышения привилегий без срабатывания средств защиты. Кроме того, злоумышленники использовали технику «Bring Your Own Vulnerable Driver» (BYOVD), эксплуатируя известные уязвимости в легитимных драйверах, включая новое эксплойт-решение для Huawei's HWAuidoOs2Ec.sys. Дополнительно они использовали различные уязвимости драйверов в других системах, демонстрируя стратегический фокус на разработке передовых техник обхода, позволяющих осуществлять более глубокое проникновение в сети.

В ходе своей деятельности группа DragonForce продемонстрировала высокий уровень сложности, перейдя от стандартной модели программы-вымогателя как услуги к более структурированной картельной организации. Эта эволюция отражает расширенные возможности, стратегическое планирование целевых кампаний и растущий фокус на операционном совершенствовании. Развертывание Backdoor.Turn в сочетании с их многовекторными стратегиями обхода защиты подчеркивает положение группы среди наиболее стойких и способных угроз программ-вымогателей, выявленных на сегодняшний день.

#ParsedReport #CompletenessMedium
16-06-2026

Dozens of malicious wallpapers found on Steam Workshop: gamers’ accounts at risk

https://securelist.com/dozens-of-malicious-wallpapers-found-on-steam-workshop/120186/

Report completeness: Medium

Threats:
Darkcomet_rat
Lumma_stealer
Vidar_stealer
Renengine

Victims:
Gamers, Steam workshop users, Wallpaper engine users, Gaming

Industry:
Entertainment

Geo:
Russia, Germany, Vietnam, Hong kong, Singapore, India, China, Canada

ChatGPT TTPs:
do not use without manual check
T1027.013, T1036.005, T1071.001, T1078, T1204.002, T1486, T1496

IOCs:
File: 2
Url: 24
Hash: 13

Soft:
Steam, Android

Algorithms:
md5

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания, нацеленная на геймеров, особенно в Китае и России, использует приложение Wallpaper Engine для распространения вредоносных загрузок через скомпрометированные пакеты обоев. Злоумышленники эксплуатируют возможность этого программного обеспечения выполнять код, внедряя ВПО, такое как бэкдоры (например, Synaptics.exe) из семейства DarkKomet, которые захватывают и передают учетные данные Steam на свои серверы. Операция включает различные техники, включая исполняемые файлы и архивы, защищенные паролем, что указывает на сотрудничество между несколькими группами хакеров.
-----

Начиная с конца 2025 года волна ВПО распространяется через Steam Workshop, в частности, нацеленная на геймеров в Китае и России. Основной метод, используемый злоумышленниками, заключается в эксплуатации Wallpaper Engine — популярного приложения, позволяющего пользователям устанавливать анимированные обои на рабочем столе. Эта функциональность была изменена, при этом ВПО скрыто в пакетах обоев, которыми делятся пользователи. Когда люди применяют эти скомпрометированные обои, их учетные записи Steam могут быть перехвачены, а системы заражены бэкдорами или криптомайнерами.

Работа Wallpaper Engine представляет собой уязвимость безопасности из-за её способности выполнять сторонний код на машинах пользователей, что киберпреступники активно использовали для внедрения ВПО непосредственно в обои рабочего стола. Атакующие применяли различные техники для доставки ВПО. В наблюдавшихся случаях ВПО упаковывалось вместе с исполняемыми файлами или скрывалось в архивах, защищённых паролем. Жертв либо вынуждали вводить пароли, либо они извлекались автоматизированными скриптами. Вредоносная нагрузка обычно активируется сразу после того, как пользователь выбирает обои.

Анализированный вариант обоев, обнаруженный в декабре 2025 года, выглядит безобидно, но запускает серьезный процесс заражения после запуска. Пока игра на основе обоев работает как задумано, проявляется скрытая угроза: выполняется бэкдор Synaptics.exe, связанный с семейством ВПО DarkKomet. Одновременно другой исполняемый файл устанавливает модифицированную системную библиотеку AggregatorHost.dll, предназначенную для поиска и сбора учетных данных Steam с скомпрометированной системы. Эти данные затем передаются на сервер, контролируемый злоумышленниками, что дает им возможность эксплуатировать активную сессию Steam жертвы.

Масштаб кампании вызывает тревогу, поскольку злоумышленники эффективно используют функцию обоев приложения для распространения множества типов вредоносного ПО, включая инфостилеры, бэкдоры и криптомайнеры. Это указывает на коллективные усилия, в которых участвуют несколько хакерских групп, а не одна организация. Текущие расследования показывают, что основные жертвы сосредоточены в Китае, на которые приходится около 89% обнаруженных попыток загрузки вредоносных файлов, за которыми следуют меньшие показатели из России и различных других стран.

Несмотря на предпринятые командой Steam меры по удалению выявленного вредоносного контента с платформы, стремительное появление новых зараженных обоев требует от пользователей осторожности. Рекомендуется проводить антивирусные сканирования перед применением любых обоев из Steam Workshop для снижения потенциальных рисков. Текущая тенденция подчеркивает, что даже хорошо зарекомендовавшие себя платформы могут служить каналами для распространения ВПО, что требует постоянной бдительности и проактивных мер безопасности.

#ParsedReport #CompletenessMedium
17-06-2026

GitBait: Phishing the Mexican Financial Sector

https://www.group-ib.com/blog/gitbait-phishing-mexico-banking-finance/

Report completeness: Medium

Actors/Campaigns:
Gitbait (motivation: financially_motivated)

Threats:
Credential_harvesting_technique

Victims:
Financial institutions, Banking sector, Financial sector

Industry:
Financial

Geo:
Latin america, Mexico, Mexican

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1056.003, T1566.002, T1567, T1567.002, T1583.006

IOCs:
File: 3
IP: 2
Url: 5
Domain: 35

Soft:
SheetBest, Telegram, WhatsApp, iMessage

Functions:
fetch

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга «GitBait» нацелена на мексиканский финансовый сектор, используя GitHub-hosted Pages для сбора учетных записей у как минимум 12 банков в течение трех лет. Она использует модульную фишинговую инфраструктуру с обфусцированными скриптами, что позволяет осуществлять динамическую таргетинговую атаку и применять API SheetBest для централизованной эксфильтрации данных. Сложность кампании обусловлена ее последовательной HTML-структурой, захватом учетных данных в реальном времени с помощью JavaScript и возможностью избегать обнаружения за счет использования HTTPS-шифрования и множества доменов.
-----

Недавнее обнаружение фишинговой кампании, получившей название «GitBait», выявило передовую угрозу, нацеленную на мексиканский финансовый сектор, использующую GitHub-hosted Pages для организации масштабной и длительной фишинговой операции против как минимум 12 банков за последние три года. Эта модульная фишинговая инфраструктура использует обфусцированные скрипты и Бессерверная инфраструктура, централизуя эксфильтрация учетные данные через API SheetBest, что позволяет злоумышленникам собирать учетные данные пользователей без необходимости выделенных бэкенд-серверов.

Исследователи выявили сложность фишинговой операции благодаря её модульному набору инструментов, который позволяет осуществлять динамическую таргетинговую атаку на различные финансовые учреждения. Используемые фишинговые страницы разработаны для имитации легитимных банковских сайтов, предоставляя жертвам знакомый интерфейс, что повышает вероятность их взаимодействия. Эта деятельность усиливается распространением мошеннических URL-адресов через распространённые каналы, включая SMS и мессенджеры. Жертв заманивают на эти поддельные сайты для ввода конфиденциальной информации, такой как имена пользователей, пароли и данные банковских карт.

С точки зрения технической реализации кампания использует согласованную HTML-структуру для различных имитируемых брендов, в то время как её JavaScript-код перехватывает вводимые данные и отправляет их на указанный конечный пункт службы SheetBest, сохраняя похищенную информацию в таблицах Google Sheets, контролируемых злоумышленниками. Это устраняет необходимость в традиционной инфраструктуре управления и усложняет обнаружение автоматизированными системами, поскольку сетевой трафик выглядит легитимным. Кроме того, применяются альтернативные методы эксфильтрации данных, такие как отправка учетных данных в режиме реального времени в бот Телеграм.

Использование GitHub Pages представляет собой преимущество для злоумышленников; оно предлагает доверенный хостинг со встроенным шифрованием HTTPS, что снижает подозрения среди жертв и затрудняет усилия по обнаружению. Кампания оказалась устойчивой: создано несколько доменов и клонированных фишинговых страниц для обхода стратегий удаления, при этом поддерживается активное присутствие в различных репозиториях, а не опора на один домен.

#ParsedReport #CompletenessHigh
17-06-2026

FishMonger’s arsenal upgraded: SprySOCKS for Windows

https://www.welivesecurity.com/en/eset-research/fishmongers-arsenal-upgraded-sprysocks-windows/

Report completeness: High

Actors/Campaigns:
Earth_lusca (motivation: cyber_espionage)
I-soon_leak (motivation: cyber_espionage)
Winnti (motivation: cyber_espionage)

Threats:
Sprysock
Watering_hole_technique
Cobalt_strike_tool
Biopass_rat
Shadowpad
Funnyswitch_backdoor
Dll_sideloading_technique
Trochilus_rat
Redleaves
Driverloader_tool
Hideprocess_tool
Process_injection_technique

Victims:
Government organizations, Universities

Industry:
Education, Government

Geo:
China, Chinese, Taiwan, Thailand, Hong kong, Pakistan, Honduras

TTPs:
Tactics: 12
Technics: 38

IOCs:
File: 23
IP: 5
Command: 1
Path: 1
Hash: 11
Registry: 1

Soft:
Linux, Windows remote access, Windows kernel, indows kernel dr

Algorithms:
xor, aes-ecb, base64, aes, zip

Functions:
DeviceIoControl, GetErrorMessageModule, SetErrorMessageModule, CreateProcessAsUser

Win API:
CreateProcessAsUserW, NtLoadDriver, NtQuerySystemInformation, eviceIoControl fu, IoCompletionRoutine, CmRegisterCallbackEx, ControlService, KdDisableDebugger

Platforms:
cross-platform, x64

Links:
https://github.com/RamadhanAmizudin/malware/tree/master/Trochilus
have more...
https://github.com/ldcsaa/HP-Socket
https://github.com/killeven/DllToShellCode

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 2, windows: 1, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET обнаружили два не задокументированных варианта бэкдора FishMonger для Windows, идентифицированных как WIN_DRV и WIN_PLUS, которые нацелены на государственные организации в нескольких странах с 2023 по 2024 год. WIN_DRV использует драйверы ядра для сокрытия сетевой активности и коммуникаций, тогда как WIN_PLUS не имеет этой функции, что делает его менее скрытным. Оба варианта используют жёстко закодированную структуру C&C для выполнения команд и демонстрируют сходство с RAT с открытым исходным кодом, что указывает на продвинутые тактики уклонения и развивающийся ландшафт угроз.
-----

Исследователи ESET выявили две недокументированные версии бэкдора FishMonger для Windows, SprySOCKS, которая ранее была известна только в своей Linux-версии. Эти версии для Windows, обозначенные как WIN_DRV и WIN_PLUS, демонстрировали активное использование для атак на правительственные организации в Гондурасе, Тайване, Таиланде и Пакистане в период с 2023 по 2024 год. Обе версии работают с жестко заданной конфигурацией управления (C&C), которая поддерживает связь через протоколы TCP, UDP и WebSocket и может выполнять более 30 команд управления, включая управление файлами и получение системной информации.

Ключевой характеристикой варианта WIN_DRV является использование им драйверов ядра для повышения скрытности за счет сокрытия сетевых подключений, процессов и файлов. Этот вариант создает пассивный TCP-бэкдор, который осуществляет связь на случайно выбранном порту, избегая раскрытия своего порта прослушивания для сетевого мониторинга. Потенциал компонента UEFI-буткит был предположен в связи с CVE-2023-24932, что ознаменовало заметный сдвиг в тактиках атак группы.

Методы первоначального доступа для FishMonger часто включают эксплуатацию уязвимостей публичных серверов, хотя конкретные методы входа для этой кампании остаются неопределенными. Бэкдор SprySOCKS основан на открытом RAT под названием Trochilus и имеет общие черты с бэкдором RedLeaves. Эта архитектура включает общие форматы связи C&C и наборы команд между ее версиями для Linux и Windows, хотя и с улучшениями, специфичными для каждой операционной системы.

Версия WIN_DRV встраивает вредоносный бэкдор в DLL под названием PrcsServer.dll. Её рабочий процесс включает загрузчик, который выполняется в контексте легитимной службы печати, тем самым пытаясь избежать обнаружения. Эта версия использует драйвер под названием RawWNPF, способный скрывать не только сетевую активность путём перехвата системных вызовов, но и применять перенаправление TCP-пакетов для сокрытия коммуникаций. Напротив, вариант WIN_PLUS, будучи структурно схожим, не использует драйвер RawWNPF, что делает его менее эффективным в операциях по сокрытию.

Оба варианта используют структурированный подход для связи с C&C. Версия WIN_DRV может устанавливать командные сессии без необходимости обращения к заранее определённому адресу C&C, используя специально созданные данные, отправляемые на любой открытый TCP-порт на машине жертвы. Они также запрограммированы маскировать свою вредоносную активность, даже применяя пользовательские вызовы Windows API для манипуляции системными вызовами и избегания обнаружения стандартными сетевыми инструментами.

По мере того как FishMonger продолжает расширять свои возможности на различных платформах и применять всё более сложные тактики, мониторинг их активности и усиление защиты от эксплуатации публичных сервисов становится критически важным для затронутых организаций. Последствия эволюции этого бэкдора и его функциональности указывают на устойчивый ландшафт угроз, подкреплённый передовыми техниками уклонения и расширенным операционным охватом.

#ParsedReport #CompletenessHigh
15-06-2026

Operation Turb00: Analyzing and Hunting a Vidar Campaign

https://mrtiepolo.medium.com/operation-turb00-analyzing-and-hunting-a-vidar-campaign-b45481d8cd74

Report completeness: High

Actors/Campaigns:
Turb00

Threats:
Vidar_stealer
Goloader
Dead_drop_technique
Process_hacker_tool
Procmon_tool
Lolbin_technique

Victims:
Users

Geo:
Finland

TTPs:
Tactics: 4
Technics: 1

IOCs:
File: 19
Command: 5
Domain: 11
Url: 7
Path: 4
Registry: 6
IP: 6
Hash: 4

Soft:
WinHTTP, Firefox, Telegram, Steam, Windows service, Chrome, openssl, Linux

Algorithms:
fnv-1a, xor, base64, zip, sha256

Win API:
VirtualAlloc, WriteProcessMemory, LazyDLL, LazyProc, GetProcAddress, CryptUnprotectData, BitBlt, WinHttpSendRequest, CreateRemoteThread, NtCreateThreadEx, have more...

Languages:
python, golang

Platforms:
x64, amd64

YARA: Found
SIGMA: Found

Links:
https://github.com/tiepologian/signature-base/blob/main/rules/vidar\_turb00/vidar\_turb00\_hunting\_vt.yar
https://github.com/tiepologian/signature-base/blob/main/rules/vidar\_turb00/vidar\_turb00.yar
https://github.com/tiepologian/signature-base/tree/main/rules/vidar\_turb00
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя вредоносная кампания, получившая название «Operation Turb00», представляет собой многоэтапную атаку с использованием загрузчика на базе Go и стиллера Vidar, при этом первоначальное обнаружение было связано с поведением, характерным для стиллеров. Двухэтапное ВПО работает в памяти, используя пользовательский декодер строк для выполнения команд и применяя тактики уклонения. Стиллер Vidar собирает и эксфильтрует учетные данные через базы данных SQLite, использует «rundll32» для дополнительного выполнения полезной нагрузки и устанавливает постоянную Служба Windows для продолжения работы, а также опирается на согласованную инфраструктуру C2.
-----

Анализ недавней вредоносной кампании выявил многоэтапную операцию, включающую загрузчик на базе Go и стиллер Vidar, получившую название «Operation Turb00». Первоначальное обнаружение произошло благодаря предупреждению антивируса, указывающему на поведение стиллера без привязки к семейству. ВПО состоит из двухэтапной угрозы, где загрузчик расшифровывает и выполняет полезную нагрузку Vidar полностью в памяти. Проведенный детальный анализ позволил идентифицировать 55 связанных образцов и раскрыл информацию об операционной инфраструктуре вредоносного ПО.

Статический анализ подтвердил, что вредоносное ПО представляет собой исполняемый файл PE32+, написанный на языке программирования Go, с аномально высокой энтропией, указывающей на наличие упакованных компонентов. Детальный функциональный анализ выявил в загрузчике на Go пользовательский декодер строк, который динамически извлекает функции Windows API, что свидетельствует о применении изощренных техник уклонения. Данный загрузчик выдает ложные результаты для запутывания анализа, в то время как вредоносная нагрузка выполняется в памяти. Второй этап, после расшифровки, продемонстрировал типичную функциональность Vidar, включая сбор учетных записей из различных приложений и подготовку данных для эксфильтрации.

Динамический анализ подтвердил предсказанное поведение стилера Vidar. После запуска он собирал учетные данные и данные браузеров из зараженной среды, помещая эту информацию в базы данных SQLite перед ее эксфильтрацией через указанные каналы управления (управление). Примечательно, что вредоносное ПО использовало "rundll32" для запуска дополнительных полезной нагрузки, применяя техники living-off-the-land для избежания обнаружения. Кроме того, этот вариант реализовал механизмы закрепления, устанавливая замаскированную Служба Windows, которая сохраняется после последующих удалений вредоносного ПО.

В рамках кампании использовалась согласованная инфраструктура C2, в частности были выявлены домены, связанные с операцией, такие как "srv.turbo88ku.top". Анализ показал, что, несмотря на типичное для Vidar поведение, предполагающее эфемерные операции, данный вариант обеспечивал закрепление путем создания DLL в файловой системе. Расследование было расширено и включало методы кластеризации, которые выявили согласованные закономерности среди множества образцов, установив уникальные атрибуты и шаблоны загрузчика в использовании доменов и операционном поведении.

Продвинутые методы, такие как мониторинг создания поддоменов, помогли выявить предварительно подготовленную вредоносную инфраструктуру, что позволило проактивно обнаруживать операционные шаблоны этого актора. Серия выявленных данных привела к созданию нескольких правил обнаружения на основе результатов статического и динамического анализа, обеспечивая возможность идентификации новых образцов даже после того, как актор применяет иные тактики.

В заключение данное расследование продемонстрировало не только технические сложности ВПО, но и подчеркнуло важность создания повторно используемых инструментов и методологий обнаружения. Оно завершилось стратегиями для будущего мониторинга, выделив циклическую природу киберугроза как неотъемлемой части постоянных усилий по обеспечению кибербезопасности.

#ParsedReport #CompletenessLow
17-06-2026

I Accidentally Logged as Admin Into a Threat Actor Website

https://potato.id/en/posts/i-accidentally-logged-into-threat-actor-website/

Report completeness: Low

Threats:
Ngrok_tool

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.015, T1105

IOCs:
Domain: 2
Hash: 1
File: 1

Soft:
Twitter, MySQL, Docker, Firefox

Algorithms:
sha256

Languages:
php