#ParsedReport #CompletenessLow
17-06-2026

I Accidentally Logged as Admin Into a Threat Actor Website

https://potato.id/en/posts/i-accidentally-logged-into-threat-actor-website/

Report completeness: Low

Threats:
Ngrok_tool

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.015, T1105

IOCs:
Domain: 2
Hash: 1
File: 1

Soft:
Twitter, MySQL, Docker, Firefox

Algorithms:
sha256

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование мошеннического портала загрузки программного обеспечения выявило его как платформу распространения ВПО, построенную на PHP-приложении с базой данных MySQL, которая перенаправляла посетителей на сайты загрузки вредоносного ПО. Благодаря случайному доступу к административной панели исследователь выявил серьезные недостатки безопасности, включая динамические конечные точки и слабую защиту базы данных, что подчеркивает, как простые ошибки при настройке могут приводить к уязвимостям. Результаты подчеркивают устойчивые риски, создаваемые такими недостаточно защищенными операциями по распространению вредоносного ПО в ландшафте киберугроз.
-----

Расследование подозрительного веб-сайта, изначально воспринимавшегося как портал для загрузки мошеннического программного обеспечения, выявило существенные детали о платформе распространения ВПО. Платформа представляла собой PHP-приложение с базой данных MySQL, основной целью которого было перенаправление посетителей на страницы загрузки, предоставляющие вредоносные payloads. Исследователь случайно получил доступ к административной панели этой инфраструктуры, настроив экземпляр MySQL через Docker и завершив установку приложения.

Начальный процесс установки включал создание учетной записи администратора и, в этот период, приложение настроило необходимую схему базы данных и таблицы. Однако исследователь столкнулся с проблемами подключения, что привело к остановке экземпляра MySQL. Несмотря на это, неожиданное обновление страницы привело к успешному доступу к панели управления, что указывает на уязвимости в настройках веб-сайта, позволяющие несанкционированный административный доступ.

Дальнейший анализ показал, что инфраструктура вредоносного ПО была слабо защищена. Она в значительной степени опиралась на динамические конечные точки для хранения файлов и обработки загрузок, что подвергало критические компоненты архитектуры риску. Интерфейс панели управления, изначально разработанный на русском языке, подтвердил операционные аспекты платформы, демонстрируя, как простые ошибки при развертывании могут открывать пути к административным системам для непредназначенных пользователей. Это выявило, что операции распространения вредоносного ПО часто зависели от недорогих и легко развертываемых PHP-приложений, которые, несмотря на внешнюю простоту, содержали серьезные уязвимости безопасности.

Инцидент демонстрирует хрупкость таких инфраструктур в ландшафте киберугроз, показывая, как случайный запрос мог перерасти в прямое взаимодействие с активной операцией ВПО. Хотя исследователю не удалось нейтрализовать инфраструктуру к концу расследования, этот опыт подчеркнул важность понимания тактик и техник, используемых злоумышленниками для создания и поддержания своих платформ. Непрерывная работа домена подчеркивала постоянную угрозу, исходящую от этих злоумышленников в среде киберпространства.

#ParsedReport #CompletenessHigh
17-06-2026

Ababil of Minab Exposed: LA Metro SCADA Backups and Israeli Victim Data Left Open on an Iranian Staging Server

https://hunt.io/blog/ababil-of-minab-iranian-hackers-exposed-la-metro-breach-open-directory

Report completeness: High

Actors/Campaigns:
Ababil_of_minab (motivation: information_theft)
Blackshadow

Threats:
Proxychains_tool

Victims:
La metro, South florida regional transportation authority, Unimac, Vyncs, Ruppin academic center, Bac.org.il, Adabroker.com.tr, Courier.co.il, Ifat media group, Taam tehara titan, have more...

Industry:
Aerospace, Ics, Maritime, Government, Healthcare, Foodtech, Transport

Geo:
Saudi, Los angeles, Israel, Israeli, Saudi arabia, Iranian, Middle east, San francisco, Turkish, Netherlands, Canadian, California, Turkey, United states

TTPs:
Tactics: 3
Technics: 12

IOCs:
IP: 3
Domain: 1
Url: 1
Hash: 3
File: 41
Coin: 1

Soft:
Flask, SimpleHTTP, Microsoft SQL Server, Outlook, Chrome, Telegram, OpenSSH, Linux, openssl, WordPress, have more...

Algorithms:
aes-cbc, sha256, md5, zip

Languages:
php, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ababil of Minab, проиранский злоумышленник, активен с марта 2026 года и атакует инфраструктуру США и Израиля, включая подтвержденные инциденты, такие как взлом LA County Metro. Группа использовала сложные методы эксфильтрации, включая собственный Flask-приемник, для сбора конфиденциальных данных, которые были обнаружены на открытом staging-сервере, содержащем 5 ГБ файлов от различных жертв. Анализ выявил несколько техник атаки, включая удаление данных в SQL Server и использование SCP для передачи данных, что подчеркивает уязвимости и представляет значительные риски для утечек данных.
-----

Ababil of Minab, проиранский злоумышленник, появился в марте 2026 года, нацеливаясь на различные организации в США, Израиле, Саудовской Аравии и Турции. Заметные заявления о взятии на себя ответственности включают подтвержденный взлом Метрополитенского транспортного управления округа Лос-Анджелес (LACMTA) и других значимых инфраструктурных организаций. После детального отчета Gambit Security от 26 мая 2026 года анализ выявил деструктивные действия, такие как удаление баз данных SQL Server и уничтожение резервных копий Veeam в нескольких средах жертв, хотя личности дополнительных целей не были раскрыты.

Критические находки появились, когда Hunt.io выявил основной сервер-накопитель группы, работающий на 5.255.127.55:8020. Этот сервер, размещенный в Нидерландах, был полностью открыт и содержал значительный объем конфиденциальных данных: 2 238 файлов общим объемом около 5 ГБ, которые включали данные, похищенные у подтвержденных жертв, таких как LA Metro, Ruppin Academic Center и несколько израильских организаций. Данные включали резервные копии баз данных Microsoft SQL Server, кадровые записи и конфигурации SCADA, что представляет собой значительный риск утечки данных.

Анализ сервера подтвердил наличие нескольких методов эксфильтрации, включая пользовательский приемник на базе Flask, который обеспечивал загрузку больших файлов через защищенный процесс, основанный на чанках. Этот метод демонстрировал признаки сложной обработки, при которой оператор использовал различные техники для сбора и сокрытия данных с веб-серверов жертв, применяя публичные каталоги для хранения сжатых архивов с скомпрометированных систем.

Данные LA Metro выявили обширные внутренние записи и операционные документы, в то время как другие жертвы включали турецкую брокерскую компанию по страхованию, израильскую платформу объявлений и различные базы данных, содержащие конфиденциальную личную информацию. Особенно тревожным фактом стало раскрытие учетных данных в открытом виде и конфигурационных файлов, что создало путь для потенциальной будущей эксплуатации.

Тщательный мониторинг Hunt.io позволил восстановить деятельность оператора, выявив рабочие процессы извлечения и передачи данных, часто с использованием таких устоявшихся протоколов, как SCP. Неправильная конфигурация сервера промежуточного хранения и отсутствие мер безопасности подчеркивали потенциальный вред кампании, что привело к составлению обширного списка индикаторов компрометации (IoCs), связанных с злоумышленником.

Были предложены стратегии смягчения последствий, сосредоточенные на усиленном мониторинге конечных точек на предмет подозрительной активности и защите файлов резервных копий баз данных от несанкционированного доступа. Эта кампания подчеркивает постоянную опасность, исходящую от злоумышленников, таких как Ababil of Minab, и указывает на необходимость надежных практик кибербезопасности для защиты как от кражи данных, так и от нарушения работы систем. Этот инцидент служит напоминанием о непрерывной эволюции в ландшафте киберугроз, особенно в регионах геополитической напряженности.

#ParsedReport #CompletenessLow
17-06-2026

Mastra Supply Chain Compromise: easy-day-js Dropper Pulls a Cross-Platform RAT Into @mastra Installs

https://www.upwind.io/feed/mastra-supply-chain-compromise-easy-day-js-dropper-pulls-a-cross-platform-rat-into-mastra-installs

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique

Victims:
Mastra, Developer workstations, Continuous integration environments

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1057, T1059.004, T1059.007, T1070.004, T1071.001, T1105, T1119, T1132.001, have more...

IOCs:
File: 9
IP: 2

Soft:
macOS, Linux, Chrome, Caddy

Wallets:
metamask, coinbase, keplr, tronlink

Algorithms:
ecc, base64

Win API:
Lockfile

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
17 июня 2026 года атака через Цепочку поставок была направлена на организацию @mastra/* в npm с внедрением вредоносного пакета easy-day-js@1.11.22, который функционировал как загрузчик для кроссплатформенной Троянской программы (RAT). Атака началась с версии библиотеки, использующей метод typosquatting, что позволило вредоносному пакету оставаться незамеченным в течение 18 часов, прежде чем он выполнил скрипт, обходящий SSL-сертификаты для загрузки RAT. Эта Троянская программа проводила разведку на зараженных системах, собирая конфиденциальную информацию, связанную с криптовалютами, и пересылая ее на удаленный сервер.
-----

17 июня 2026 года была осуществлена масштабная атака на цепочку поставок, в результате которой была скомпрометирована организация @mastra/* в npm путем внедрения вредоносного пакета easy-day-js@1.11.22. Этот пакет функционировал как загрузчик, который при установке запускал скрипт postinstall, приводящий к загрузке и установке кроссплатформенной Троянской программы удаленного доступа (RAT). Данная Троянская программа установила постоянные бэкдоры на системах macOS, Linux и Windows.

Атака произошла вскоре после публикации версии библиотеки dayjs с опечаткой в названии (typosquatted). Изначальный вредоносный пакет easy-day-js@1.11.21 имитировал dayjs, не содержа вредоносного кода, что позволило ему избежать обнаружения примерно в течение 18 часов. Вторая версия внедрила механизм дроппера; в частности, скрипт setup.cjs выполнялся при установке, инициируя различные вредоносные действия. Дроппер модифицировал среду Node.js для обхода проверки SSL-сертификатов и загрузил дополнительную полезную нагрузку с указанного сервера управления (C2).

После выполнения второй стадии полезной нагрузки, 41 КБ зашифрованного RAT, выполнил разведку на хост-системе, собирая информацию об установленных приложениях, запущенных процессах и потенциально прибыльных идентификаторах расширений браузера, связанных с криптокошельками. Эти данные были эксфильтрованы обратно на сервер C2 способом, разработанным для обхода обнаружения традиционными межсетевыми экранами веб-приложений (WAF).

Для тех систем, которые потенциально могли быть скомпрометированы, были описаны несколько индикаторов для проверки заражения. Это включает поиск ссылок на easy-day-js в lock-файлах, мониторинг специфических маркеров временных директорий, а также проверку механизмов закрепления во всех трех операционных системах, вместе с запросами на сетевую активность, связанную с C2-серверами.

Шаги по устранению уязвимости подчеркивают срочные действия, такие как фиксация затронутых пакетов на их предыдущих безопасных версиях, блокировка вредоносного пакета и рассмотрение любой среды разработки, которая выполнила скомпрометированные пакеты, как потенциально нарушенной. Организациям также рекомендуется ротировать учетные данные, которые могли быть раскрыты, особенно поскольку внедренный код использовал среду оболочки по умолчанию для доступа к чувствительным токенам.

В заключение, устранение последствий этой атаки на цепочку поставок требует немедленного обнаружения, изоляции и внедрения строгих мер сетевой безопасности для предотвращения дальнейших контактов с инфраструктурой выявленных злоумышленников.

#ParsedReport #CompletenessMedium
17-06-2026

Anatomy of a Deno-Based Proxy & RAT - InfoGuard Labs

https://labs.infoguard.ch/posts/anatomy_deno_rat/

Report completeness: Medium

Threats:
Deno_tool
Spear-phishing_technique

Victims:
Employees

TTPs:
Tactics: 5
Technics: 14

IOCs:
Path: 7
File: 12
Registry: 2
Command: 1
Coin: 1
Hash: 5
Domain: 1

Soft:
Microsoft Defender, Microsoft Teams, Node.js, ServiceNow

Algorithms:
base64, sha256, zip

Functions:
Teams, TextDecoder

Languages:
javascript, typescript

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Появилась новая угроза вредоносного ПО, использующая Deno в качестве Троянской программы (RAT) и прокси-фреймворка, которая следует за двухэтапной атакой, включающей фишинговые письма и имперсонацию звонков в Microsoft Teams. Модульная архитектура вредоносного ПО состоит из четырех файлов JavaScript, что повышает тактику уклонения за счет распределения функций по отдельным скриптам и подключения к конечной точке управления (command-and-control) через WebSocket на Amazon CloudFront для выполнения команд. Ключевые модули обеспечивают локальное выполнение команд и перемещение через скомпрометированный хост, усложняя усилия по обнаружению.
-----

Недавние расследования выявили новую угрозу вредоносного программного обеспечения, которая использует Deno, безопасную среду выполнения JavaScript и TypeScript, в качестве комбинированной Троянской программы для удаленного доступа (RAT) и фреймворка прокси. Это ВПО появилось в результате сложного двухэтапного процесса атаки, который начался с масштабной кампании спама по электронной почте, направленной на запутывание сотрудников, за которой быстро последовали звонки в имитаторе Microsoft Teams от актора, выдающего себя за службу технической поддержки. Пострадавшие пользователи были вынуждены загрузить и выполнить вредоносный файл с поддельного портала самообслуживания.

Архитектура ВПО отличается от традиционных скомпилированных загрузчиков за счёт модульного дизайна на базе Deno, включающего четыре основных JavaScript-файла. Такая архитектура обеспечивает большую гибкость и уклонение от обнаружения, поскольку разделяет функциональность между несколькими скриптами. Основной бэкдор подключается к WebSocket-конечной точке управления (C2), размещённой на Amazon CloudFront, что позволяет получать инструкции и выполнять локальные команды через вспомогательные сервисы. Использование характеристик Deno, обеспечивающих безопасность по умолчанию, способствует методичному запросу разрешений, распределяя необходимые возможности по различным модулям.

Заметными особенностями ВПО являются использование локальных HTTP-сервисов по протоколу loopback и несколько дочерних процессов, запускаемых основным скриптом-загрузчиком. Основной скрипт app.js координирует работу других модулей, обеспечивая выполнение каждого из них только с необходимыми правами доступа. Такая сегрегация усложняет усилия по обнаружению, поскольку базовые операции могут не вызывать срабатывания систем обнаружения и реагирования на конечных точках (EDR), даже если другие действия, такие как LDAP-запросы, могут их вызывать.

Отдельные модули играют ключевую роль в работе ВПО. Модуль back.js действует как мост C2, поддерживая соединение WebSocket для ретрансляции команд, в то время как helper.js обеспечивает выполнение локальных команд, не вызывая излишнего подозрения, за счет поддержания внутренних взаимодействий. Модуль webui.js имеет решающее значение, поскольку он превращает скомпрометированную хост-машину в сетевой пивот, предоставляя злоумышленникам возможности внутреннего доступа. Эта функция пивотирования позволяет перенаправлять трафик через зараженную машину, позволяя злоумышленникам использовать ее для более глубоких операций по проникновению в сеть.

Усилия по обнаружению не должны полагаться исключительно на выявление вредоносного кода, а вместо этого должны охватывать более широкий подход, включающий поведенческий мониторинг, особенно с акцентом на признаки Имперсонации, всплески спам-активности и подозрительное выполнение Deno с флагами разрешений высокого риска. Обеспечение корреляции между различными выходами телеметрии — такими как данные об идентификации, электронной почте, конечных точках и сети — будет иметь решающее значение для эффективного противодействия этому формирующемуся ландшафту угроз, где социальная инженерия переплетается с передовыми техниками ВПО.

#ParsedReport #CompletenessMedium
17-06-2026

Malware à la Mode: Tracking Dropping Elephant Tradecraft Through a China-Themed Loader Chain

https://www.rapid7.com/blog/post/tr-malware-tracking-dropping-elephant-tradecraft-china-themed-loader-chain

Report completeness: Medium

Actors/Campaigns:
Donot

Threats:
Dll_sideloading_technique
Donut
Sandbox_evasion_technique
Diaphora
Spear-phishing_technique

Victims:
Energy sector

Geo:
China

TTPs:
Tactics: 7
Technics: 15

IOCs:
File: 4
Domain: 2
Path: 3
Command: 1
Hash: 10

Soft:
BinDiff

Algorithms:
sha256, aes, chaskey, base64, aes-256-cbc, salsa20

Functions:
FreeConsole, sub_415750

Win API:
VirtualAlloc, EnumUILanguagesW, LoadLibrary, GetProcAddress, InternetReadFile, BitBlt, GetSystemMetrics

Languages:
powershell

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 3, windows: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Rapid7 выявил сложную вредоносную кампанию злоумышленника Dropping Elephant, использующего документ-приманку на китайскую тематику для развертывания модифицированного in-memory RAT. Ключевые техники включают side-loading DLL Microsoft-бинарника и shellcode Donut для обхода обнаружения. Атака начинается, когда вредоносный ярлык Windows запускает PowerShell-загрузчик, который извлекает ВПО, использующее продвинутые методы уклонения, включая flattening потока управления, зашифрованные коммуникации и техники антианализа.
-----

Исследователи Rapid7 раскрыли сложную вредоносную кампанию, приписываемую злоумышленнику, известному как Dropping Elephant. Эта кампания использует документ-приманку на китайскую тематику для доставки сильно модифицированного трояна удаленного доступа (Троянская программа) в памяти, демонстрируя передовые техники уклонения. Заметные тактики включают боковую загрузку DLL легитимного бинарного файла Microsoft, Fondue.exe, и использование shellcode Donut, который отображает Троянская программа непосредственно в память, тем самым избегая традиционных мер безопасности, ориентированных на диск.

Эволюционировавший RAT демонстрирует сложные проблемы обнаружения благодаря таким методам, как выравнивание потока управления, восстановление API во время выполнения и усиленные каналы управления (C2). Несмотря на значительные изменения, анализ указывает на преемственность с устоявшейся тактикой Dropping Elephant из-за согласованных паттернов беконинга, возможностей создания скриншотов и структур обработки команд.

Атака начинается, когда пользователь взаимодействует с вредоносным ярлыком Windows GRES3001.lnk, замаскированным под PDF-документ, связанный с контрактом в энергетическом секторе Китая. Выполнение ярлыка запускает зашифрованный загрузчик PowerShell, который извлекает как поддельный документ, так и полезную нагрузку ВПО с сервера-посредника. Процесс опирается на стандартные техники обфускации для избежания обнаружения.

После запуска загрузчика он использует подгрузку DLL для выполнения вредоносного файла APPWIZ.cpl. Этот файл служит загрузчиком, отвечающим за чтение и расшифровку следующего этапа полезной нагрузки. Он использует вызовы VirtualAlloc и memcpy для отображения shellcode Donut в сегмент памяти, доступный для записи и выполнения, никогда не записывая финальный RAT на диск. RAT использует шифрование Chaskey, применяет патчинг кода для обхода средств защиты (AMSI, WLDP, ETW) и интегрирует высокий уровень обфускации для усложнения обнаружения угроз.

Затем 32-битный нативный RAT отделяется от консольного интерфейса, динамически разрешает необходимые API и устанавливает связь со своим C2-сервером через HTTPS. Связь использует специфический токен для C2-трафика, а RAT отправляет периодические маячки для проверки связи с сервером. Эти маячки также включают разведывательные данные о хосте жертвы, включая информацию об окружении системы и потенциальных средствах защиты, используя техники антианализа и проверки процессов.

Оперативные тактики, применяемые Dropping Elephant, отражают непрерывные инвестиции в улучшение возможностей своего ВПО, особенно в плане методов обхода обнаружения и доставки. Опора кампании на резидентность в памяти для своего RAT знаменует собой заметный сдвиг от традиционных методов, которые могли оставлять артефакты на диске. Это подчеркивает важность для защитников сосредоточиться на поведенческих индикаторах и видимости на уровне памяти, а не исключительно на традиционных индикаторах компрометации (IOCs), таких как хеш-значения или имена файлов. Анализ предполагает, что обновления в дизайне RAT могут происходить параллельно с неизменными оперативными подходами, что требует постоянной бдительности против этой развивающейся угрозы.

#ParsedReport #CompletenessHigh
17-06-2026

Analysis of APT37 NarwhalRAT Leveraging MS-Themed Phishing and Dead-drop C2

https://www.genians.co.kr/en/blog/threat_intelligence/narwhalrat

Report completeness: High

Actors/Campaigns:
Scarcruft (motivation: cyber_espionage)

Threats:
Narwhalrat
Dead_drop_technique
Spear-phishing_technique
Rokrat
Sandbox_evasion_technique
Lolbin_technique

Victims:
Korean users

Geo:
Korean, Korea

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1008, T1010, T1025, T1027, T1027.013, T1033, T1036.003, T1036.004, T1036.005, T1036.008, have more...

IOCs:
Domain: 5
Command: 1
File: 16
Path: 1
Url: 2
Hash: 4
IP: 6

Soft:
curl, Windows security, Windows scheduled task, VirtualBox, hyperv, macOS, Internet Explorer, Windows CryptoAPI, Task Scheduler

Algorithms:
aes, base64, aes-128, xor, md5, sha256, zip

Functions:
chr, inside, RtlMoveMemory, SHGetFolderPathA

Win API:
VirtualAlloc, CreateMutexW, GetLastError, GetFileAttributesA, CreateDirectoryA, SetFileAttributesA, SHGetFolderPathA, SHCreateDirectoryExA, CryptDeriveKey, GetForegroundWindow, have more...

Languages:
python, powershell

Links:
https://github.com/LOLBAS-Project/LOLBAS

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 2, code: 2, dump: 1, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NarwhalRAT, связанный со злоумышленником APT37, нацелен на пользователей Южной Кореи с использованием тактик целевого фишинга, применяя обманные LNK-файлы для запуска процесса заражения. Он использует двойную структуру управления для обеспечения связи, которая задействует корейский сервер-ретранслятор и API pCloud, в то время как многоэтапное заражение позволяет ему избегать обнаружения с помощью команд PowerShell и Batch. ВПО может извлекать конфиденциальную информацию с помощью регистрации нажатий клавиш, захвата экрана и сбора данных с USB-устройств, а также демонстрирует продвинутые техники, такие как динамическая конфигурация управления для обеспечения связи и выполнение в памяти, чтобы повысить скрытность и устойчивость.
-----

Анализ NarwhalRAT, приписываемого злоумышленнику APT37, описывает сложную кибератаку, в первую очередь направленную на пользователей Южной Кореи. Первоначальный доступ был получен через Целевой фишинг с использованием электронных писем, замаскированных под сообщения от команды учетной записи Microsoft, при этом вредоносные LNK-файлы побуждали пользователей невольно установить вредоносное ПО NarwhalRAT. Атака использовала двойную структуру управления (C2), применяя как корейский сервер-ретранслятор, так и API pCloud в качестве резолвера мертвой точки для сокрытия своей истинной инфраструктуры.

После запуска файла LNK был инициирован многоэтапный процесс заражения, который включал команды PowerShell и Batch, разработанные для обхода стандартных средств обнаружения безопасности. ВПО собирало различные типы конфиденциальной информации с помощью регистрации нажатий клавиш, захватов экрана, сбора данных с USB-устройств и выполнения удаленных команд. Его операционный фреймворк включал не только локальное хранение файлов, но и возможность выполнения в памяти, что позволяло ему манипулировать системой, не оставляя традиционных следов, характерных для ВПО.

Одной из ключевых особенностей NarwhalRAT является его динамическая конфигурация C2, которая позволяет злоумышленникам изменять параметры связи в реальном времени с помощью зашифрованных настроек, хранящихся в конфигурационном файле. Этот файл, замаскированный под расширение .cat для имитации легитимных файлов Windows, обеспечивал постоянное хранение конфигураций команд и операционных состояний, повышая его скрытность и устойчивость к усилиям по обнаружению.

Вредоносное ПО было искусным в выполнении потенциально вредоносных функций без традиционных методов выполнения на основе файлов, вместо этого полагаясь на библиотеку Python ctypes для прямого взаимодействия с API Windows для таких операций, как выделение памяти и управление процессами. Примечательно, что оно использовало выделение памяти RWX (Чтение-Запись-Выполнение), тактику, часто связанную с продвинутым вредоносным ПО, которое стремится избежать обнаружения, сосредоточенного исключительно на файловой активности.

Более того, оперативные техники, применяемые в NarwhalRAT, демонстрируют заметные параллели с ранее задокументированными инцидентами APT37, особенно в методе целевого фишинга, структуре компонентов ВПО и тактиках, используемых для закрепления и выполнения команд. По сути, NarwhalRAT представляет собой эволюцию существующих возможностей APT37, включающую усовершенствованные методы первоначального доступа, обхода обнаружения и стратегий целевого извлечения информации, адаптированных для конкретной демографической группы пользователей.

Учитывая его сложные методы, организациям рекомендуется укреплять свою защиту, улучшая стратегии обнаружения и реагирования на конечных точках. Это включает в себя фокус не только на традиционных индикаторах компрометации, но и на поведенческих паттернах, указывающих на многоуровневый характер атак, наблюдаемых в цепочке заражения NarwhalRAT.

#ParsedReport #CompletenessLow
17-06-2026

Analysis of Recent Phishing Website Attacks by APT-C-08 (Manlinghua)

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247508668&idx=1&sn=1ec03eafb27735e2f5e3b7ea02e77d42&chksm=f9c191b5ceb618a3a101b03fdfd83de445d8e33839d01840374c7e7035d9e245ecba854efb4d&scene=178&cur_album_id=1955835290309230595&search_click_id=#rd

Report completeness: Low

Actors/Campaigns:
Bitter (motivation: information_theft)

Victims:
Government agencies, Defense contractors, Universities, Overseas institutions, South asian region

Industry:
Education, Government

Geo:
Asian

ChatGPT TTPs:
do not use without manual check
T1059.005, T1204.002, T1566.002

IOCs:
Hash: 1
File: 2
Domain: 1
IP: 1

Soft:
LiteSpeed

Algorithms:
md5, zip