#ParsedReport #CompletenessMedium
26-02-2024

UTG-Q-007: Vietnamese Trojan ROTbot is targeting Asia

https://www.ctfiot.com/163398.html

Report completeness: Medium

Actors/Campaigns:
Utg-q-007

Threats:
Rotbot
Ducktail_stealer
Uac_bypass_technique
Netsupportmanager_rat
Stealc
Asyncrat
Rhadamanthys
Quasar_rat

Industry:
Healthcare, Telco, Financial, Entertainment

Geo:
Vietnamese, Asia, India, China, Asian, Vietnam, Chinese, Korea, Australian

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1547, T1059, T1060, T1071, T1027, T1588, T1082, T1595, have more...

IOCs:
File: 7
Url: 25
IP: 2
Hash: 9

Soft:
telegram, instagram, tiktok, wordpress, dpress, ss, libreoffice, WeChat

Algorithms:
base64, md5, aes, gzip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Центр анализа угроз QiAnXin обнаружил целенаправленную фишинговую кампанию с использованием различных троянских программ, в частности ROTBot, неизвестной организацией UTG-Q-007. Злоумышленники сосредоточены на азиатских странах и таких отраслях, как строительство и маркетинг недвижимости. Их тактика включает в себя сложные методы уклонения от обнаружения, сотрудничества с другими группами для получения финансовой выгоды и эксфильтрации конфиденциальных данных. Исследователи планируют внимательно следить за UTG-Q-007, чтобы разработать эффективные стратегии смягчения последствий.
-----

Центр анализа угроз QiAnXin обнаружил целенаправленную фишинговую кампанию, направленную на клиентов во время их ежедневных операций с терминалами.

Фишинговые электронные письма содержали вредоносные файлы lnk и, казалось бы, безобидные PDF-приманки.

Tianqing EDR немедленно перехватила троянский скрипт, предотвратив значительный ущерб.

Злоумышленники внедрили уникальный троян ROTbot для извлечения конфиденциальных данных и сотрудничества с другой группой с целью получения финансовой выгоды.

Группа исполнителей угроз классифицируется как неизвестная организация с номером отслеживания UTG-Q-007.

Они ориентированы на азиатские страны, такие как Китай, Южная Корея, Вьетнам и Индия, особенно на такие отрасли, как строительство, маркетинг недвижимости и интернет-сектор.

Злоумышленники используют передовые методы, такие как обход контроля учетных записей пользователей, манипулирование системными настройками и вредоносные HTA-файлы, чтобы обойти меры безопасности.

UTG-Q-007 использует различные трояны, включая ROTBot, NetSupport, Stealc, AsyncRAT и Rhadamanthys.

Троянец ROTBot проводит разведку на устройствах жертвы и подключается к удаленным серверам управления для получения инструкций.

Управляющий код ROTbot взят из проекта Quasar с открытым исходным кодом.

Сервер C2 ROTbot был отследен до Vietnam Post and Telecommunications Group.

В 2024 году ROTbot использовал трех Telegram-ботов для общения.

QiAnXin планирует продолжить тщательный мониторинг UTG-Q-007 для разработки соответствующих стратегий смягчения последствий и реагирования.

#ParsedReport #CompletenessMedium
25-02-2024

Intruders in the Library: Exploring DLL Hijacking

https://unit42.paloaltonetworks.com/dll-hijacking-techniques

Report completeness: Medium

Actors/Campaigns:
Duke
Red_delta

Threats:
Dll_hijacking_technique
Dll_sideloading_technique
Asyncrat
Dridex
Plugx_rat
Toneshell
Catb_ransomware
Atom_bombing_technique

Industry:
Financial

Geo:
Spanish, American, Chinese, Argentina, Colombia

ChatGPT TTPs:
do not use without manual check
T1574.002, T1574.004, T1574.001, T1574.010, T1574.006, T1055, T1547.001, T1553.002

IOCs:
Registry: 2
Path: 4
File: 20
Hash: 53

Soft:
Windows Search, Embarcadero

Algorithms:
zip, sha256

Functions:
InternetUpdateTask

Win Services:
EHttpSrv

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
table: 2, windows: 4, schema: 5, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что перехват библиотек DLL - это скрытый и эффективный метод, используемый злоумышленниками для запуска вредоносных программ путем обмана операционной системы, заставляя ее загружать вредоносные библиотеки DLL вместо законных. Понимание теоретических основ, распространенных вариаций и реальных примеров перехвата библиотек DLL имеет решающее значение для того, чтобы читатели могли осознать значимость этой угрозы и принять меры защиты от нее.
-----

Перехват DLL - это старый, но эффективный метод, используемый как участниками угроз, так и специалистами по безопасности для скрытого запуска вредоносных программ, избегая обнаружения. Этот метод заключается в том, чтобы обманом заставить операционную систему запустить вредоносный двоичный файл вместо законной библиотеки DLL. Понимание теоретических основ взлома библиотек DLL, раскрытие тайны его концепций, изучение распространенных вариаций и приведение примеров из реальной жизни необходимы читателям, чтобы понять значимость этой угрозы.

DLL-файлы предназначены для запуска другими программами в Microsoft Windows. Злоумышленники используют перехват DLL, чтобы обманом заставить законную программу Windows загрузить и выполнить вредоносную DLL-библиотеку. Этот метод служит различным целям, таким как уклонение от защиты, повышение привилегий и сохранение. Перехват библиотеки DLL основан на механизме порядка поиска библиотеки DLL в Windows, который определяет последовательность местоположений, проверяемых при загрузке библиотеки DLL. Порядок поиска включает специальные и стандартные места поиска, при этом злоумышленники часто выбирают стандартные места поиска для скрытого выполнения своих вредоносных библиотек DLL в контексте законного приложения.

Тремя распространенными наблюдаемыми методами перехвата DLL являются боковая загрузка DLL, перехват порядка поиска DLL и фантомная загрузка DLL. Сторонняя загрузка библиотеки DLL, наиболее распространенный метод, заключается в том, что злоумышленник помещает вредоносную библиотеку DLL с тем же именем, что и законная библиотека DLL, в каталог, в котором выполняется поиск уязвимого исполняемого файла. Используя порядок поиска библиотеки DLL Windows, злоумышленники могут запускать свою вредоносную библиотеку DLL раньше действительной, получая скрытное выполнение в контексте законных приложений.

Реальные примеры атак с перехватом DLL включают использование таких методов, как сторонняя загрузка DLL для установки бэкдоров, таких как ToneShell и PlugX. Эти атаки демонстрируют, как субъекты угроз используют перехват DLL для обеспечения сохраняемости, выполнения вредоносных команд и установления связи командования и контроля. Кроме того, кампания CatB ransomware демонстрирует фантомную загрузку DLL как метод развертывания компонентов программы-вымогателя путем манипулирования каталогом System32 и выполнения вредоносных библиотек DLL.

В борьбе с атаками перехвата DLL решающее значение имеет обнаружение аномалий, когда исполняемый файл загружает вредоносную DLL-библиотеку с идентичным именем. Эффективные методы обнаружения включают тщательное изучение характеристик вредоносной DLL-библиотеки, выявление отличительных характеристик уязвимого приложения и анализ событий загрузки. Понимая эти принципы, разработчики могут внедрять защитные меры для защиты приложений от потенциальных уязвимостей, связанных с перехватом библиотек DLL.

#ParsedReport #CompletenessHigh
26-02-2024

CVE-2024-21412 APT(Water Hydra)-0 Day

https://www.ctfiot.com/162025.html

Report completeness: High

Actors/Campaigns:
Water_hydra (motivation: cyber_criminal)
Darkcasino
Evilnum
Duke (motivation: cyber_criminal)
Darkpink (motivation: cyber_criminal)
Fancy_bear (motivation: cyber_criminal)
Leviathan (motivation: cyber_criminal)
Ghostwriter (motivation: cyber_criminal)
Scarcruft (motivation: cyber_criminal)
Sandworm (motivation: cyber_criminal)
Full_water_hydra

Threats:
Darkme
Spear-phishing_technique
Motw_bypass_technique
Junk_code_technique
Darkgate

Victims:
Financial market traders, Global banks, Cryptocurrency platforms, Foreign exchange and stock trading platforms, Gambling websites, Betting companies

Industry:
Financial

Geo:
Russia, Russian

CVEs:
CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: 8.1
X-Force: Patch: Official fix

CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 21h2 (-)
- microsoft windows 10 22h2 (-)
have more...
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


TTPs:

ChatGPT TTPs:
do not use without manual check
T1566.002, T1190, T1203, T1059, T1574.001, T1027, T1218, T1555, T1105, T1570, have more...

IOCs:
Domain: 3
File: 16
Command: 2
IP: 1
Url: 4
Hash: 2

Soft:
Microsoft Defender, Telegram, WordPress, Windows Explorer, Process Explorer, Sysinternals Process Explorer, WeChat

Algorithms:
zip, rc4

Functions:
CreateWindowEx

Win API:
RunDllEntryPointW

Languages:
visual_basic

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и использовании критической уязвимости (CVE-2024-21412) группой продвинутых постоянных угроз Water Hydra, также известной как DarkCasino. В тексте обсуждается, как Water Hydra осуществила сложную цепочку атак нулевого дня, нацеленных на трейдеров финансового рынка, используя такие методы, как точечный фишинг, манипулирование ярлыками в Интернете и злоупотребление веб-компонентами. В нем подчеркивается важность уязвимостей нулевого дня для обеспечения возможности продвинутых кибератак и даются рекомендации организациям по защите от таких угроз, включая принятие комплексных решений для обеспечения безопасности и внедрение надежных мер безопасности конечных точек.
-----

Программа нулевого дня Trend Micro выявила критическую уязвимость CVE-2024-21412, используемую группой APT Water Hydra (DarkCasino) для проведения сложных атак нулевого дня, нацеленных на трейдеров финансового рынка.

Цепочка атак Water Hydra включала в себя фишинг на форекс-форумах, манипулирование интернет-ярлыками и злоупотребление компонентами WebDAV для распространения вредоносного ПО DarkMe.

Злоумышленники обошли защиту Microsoft Defender SmartScreen, используя уязвимость CVE-2024-21412 в ярлыках Интернета, чтобы обманом заставить пользователей запускать вредоносное ПО DarkMe.

Water Hydra продемонстрировала высокое техническое мастерство, используя нераскрытые уязвимости нулевого дня и развивая свою цепочку заражения с помощью новых методов и полезных нагрузок.

Вредоносная программа DarkMe, после запуска, подключалась к серверу C&C по протоколу TCP, собирала системную информацию и обладала возможностями для манипулирования файлами, выполнения команд оболочки и эксфильтрации данных.

Уязвимости нулевого дня имеют решающее значение для сложных кибератак и создают серьезные угрозы безопасности, позволяя группам APT, таким как Water Hydra, осуществлять целенаправленные атаки с разрушительными последствиями.

Организациям рекомендуется внедрять комплексные решения для обеспечения безопасности, такие как Trend Vision One, swift system isolation и надежные меры безопасности конечных точек, для защиты от продвинутых угроз и снижения рисков, связанных с эксплойтами нулевого дня.

#ParsedReport #CompletenessLow
26-02-2024

Bahamut. Bahamut groups recent attacks revealed

https://mp.weixin.qq.com/s/YAAybJBAvxqrQWYDg31BBw

Report completeness: Low

Actors/Campaigns:
Manlinghua

Threats:
Bahamut
Beacon

Geo:
Pakistan, Asia

ChatGPT TTPs:
do not use without manual check
T1566, T1444, T1102, T1583, T1585, T1587, T1113, T1595

IOCs:
Hash: 7

Soft:
Android, whatsapp, tsapp 数据, telegram, viber

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 2, dump: 1, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в описании и анализе участника угроз Bahamut, детализирующем их тактику, операции и недавние действия, а также подчеркивающем опыт группы в разработке сложных вредоносных программ для целенаправленных атак. В тексте также упоминается роль Центра анализа угроз 360 и лаборатории 360 FiberHome в исследовании киберугроз и борьбе с ними, особенно в области мобильной безопасности.
-----

Feature 360 Threat Intelligence Center - это выдающаяся платформа для анализа угроз, которая использует обширный набор данных 360 Security Brain для получения высококачественной информации об угрозах безопасности. Он объединяет различные группы безопасности для анализа уязвимостей, вредоносного кода и анализа информации об угрозах, что в конечном итоге повышает возможности защиты, обнаружения и реагирования. В этом контексте группа "Багамут", первоначально выявленная Bellingcat в 2017 году и позже изученная BlackBerry, выделяется как изощренный исполнитель угроз, нацеленный в первую очередь на Ближний Восток и Южную Азию.

Считается, что Багамут действует как наемник по кибератакам, используя для проведения своих атак такие тактики, как фишинговые веб-сайты, платформы поддельных новостей и социальные сети. Примечательно, что недавние наблюдения свидетельствуют о том, что Bahamut инициировал атаки, ориентированные на мобильные устройства, включающие распространение образцов троянцев удаленного доступа (RAT) через фишинговые веб-сайты. Эти новые образцы RAT являются частью ранее нераскрытого семейства вредоносных программ, сигнализируя об уникальном векторе атаки, связанном с Bahamut.

Принцип работы Bahamut предполагает использование фишинговых веб-сайтов для доставки вредоносных полезных данных, при этом текущая кампания маскируется под страницу ознакомления с программным обеспечением для безопасного чата, предлагающую ссылку для скачивания программного обеспечения для Android. Анализ образца RAT, использованного в этой атаке, выявляет сложную конструкцию с отдельными функциями для чата и процессов удаленного управления, использующих один и тот же сервер командования и контроля (C&C). Эта отличительная особенность в сочетании с отсутствием аналогичного кода в общедоступных источниках указывает на то, что этот образец является специальным инструментом, разработанным субъектом угрозы.

Дальнейшее изучение связанных образцов из того же семейства указывает на сильную связь с организацией Bahamut. Общие характеристики, такие как формат C&C, структура страницы входа в систему и адреса загрузки, позволяют однозначно отнести образцы атак к Bahamut. Отслеживание временной шкалы этих образцов вредоносного ПО выявляет прерывистые периоды активности с октября 2020 года с недавним всплеском в январе текущего года. Географически атака сосредоточена на Саудовской Аравии и Пакистане, что совпадает с известными целями Bahamut.

Разработчики, стоящие за Bahamut, демонстрируют передовые возможности в разработке сложного программного обеспечения для чата и троянских программ дистанционного управления, подчеркивая свой опыт в маскировке и методах атак. Выбор использования рандомизированных строк для C&C и частых фишинговых кампаний подчеркивает сильные наступательные навыки группы. Постоянный мониторинг деятельности Bahamut выявляет последовательную схему концентрированных атак, что указывает на дальнейшие вредоносные кампании в будущем.

Кроме того, лаборатория 360 FiberHome занимается исследованиями в области мобильной безопасности, уделяя особое внимание таким областям, как анализ мобильных вредоносных программ, обнаружение APT и предупреждения о мобильных угрозах. Лаборатория играет жизненно важную роль в получении критически важных данных о безопасности для различных продуктов 360 security, а также предлагает услуги по тестированию безопасности организациям по всему миру, защищая мобильные экосистемы от потенциальных угроз и атак.

#ParsedReport #CompletenessHigh
22-02-2024

Blind Eagle's North American Journey

https://www.esentire.com/blog/blind-eagles-north-american-journey

Report completeness: High

Actors/Campaigns:
Blindeagle

Threats:
Ande_loader
Byroda
Remcos_rat
Njrat
Imminentmonitor_rat
Warzone_rat
Asyncrat
Limerat
Sbit_rat
De4dot_tool
Process_injection_technique
Quasar_rat
Arrow_rat
Gozi
Process_hollowing_technique
Antivm
Junk_code_technique
Bestcrypt
Upcry
Runpe_tool
Opendir

Geo:
Apac, America, Colombia, Portuguese, American, Emea

TTPs:
Tactics: 3
Technics: 5

IOCs:
File: 14
Command: 2
IP: 2
Hash: 29
Path: 1
Domain: 4
Registry: 1
Url: 3

Soft:
Windows Registry, Discord, VirtualBox

Algorithms:
xor, md5, base64

Win API:
CreateProcessA, GetThreadContext, ReadProcessMemory, ZwUnmapViewOfSection, VirtualAllocEx, WriteProcessMemory, SetThreadContext, ResumeThread, NtUnmapViewOfSection

Win Services:
bits

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что eSentire Threat Response Unit (TRU) - это специализированная исследовательская группа по изучению угроз, нацеленная на повышение устойчивости организации к киберугрозам путем сотрудничества с командами безопасности, использования передовых технологий обнаружения, проведения глобальных проверок угроз и участия в упреждающем поиске угроз для защиты организаций от известных и неизвестных угроз, такие как группа исполнителей угроз Blind Eagle, нацеленная на производственный сектор.
-----

Подразделение реагирования на угрозы eSentire (TRU) - это известная исследовательская группа по изучению угроз, целью которой является повышение устойчивости организации к киберугрозам. Команда TRU, состоящая из квалифицированных охотников за угрозами и исследователей, сотрудничает с круглосуточными центрами обеспечения безопасности (SoCs) и использует облачную платформу eSentire XDR для разработки моделей обнаружения угроз. TRU тесно сотрудничает с командами безопасности клиентов, постоянно совершенствуя управляемую службу обнаружения и реагирования. С помощью глобальной проверки угроз, упреждающего поиска угроз и оригинальных исследований TRU фокусируется на защите организаций как от известных, так и от неизвестных угроз.

В ходе недавней кампании погрузчик Ande был задействован для доставки конечных полезных грузов, таких как Remcos RAT и njRAT. Кампания была связана с группой исполнителей угроз, известной как Blind Eagle, которая использовала шифровальщики, разработанные лицами по имени Roda и Pjoao1578. Следует отметить, что на одном из шифровальщиков Roda размещался сервер, содержащий компоненты injector и дополнительные вредоносные программы, используемые в кампании Blind Eagle. Этот исполнитель угроз был нацелен на испаноязычных пользователей в обрабатывающей промышленности Северной Америки.

Blind Eagle, также известный как APT-C-36, появился в 2018 году в Южной Америке с акцентом на такие страны, как Колумбия. Субъекты угроз обычно инициируют атаки с помощью фишинговых электронных писем. Недавние наблюдения указывают на то, что Blind Eagle нацелен на производственный сектор: пользователи получают вредоносные файлы по фишинговым электронным письмам, содержащим архивы RAR и BZ2 с файлами VBS. Файлы VBS были разработаны для обеспечения сохраняемости путем копирования самих себя в папку автозагрузки с использованием запутанных команд PowerShell и методов кодирования base64.

Загрузчик Ande был отмечен за его роль в удалении полезных нагрузок, таких как njRAT, путем опустошения процесса. Этот загрузчик был связан с шифровальщиками, разработанными Roda и Pjoao1578, известными тем, что делились вредоносными инструментами на хакерских форумах. Примечательно, что Roda's crypter извлекает инжекторы из онлайн-источников и использует шифрование, в то время как Pjoao1578 специализируется на перепрофилировании таких инструментов, как njRAT, и разработке .СЕТЕВЫЕ шифровальщики.

Для борьбы с такими угрозами, как Blind Eagle, TRU от eSentire проводит глобальный поиск угроз, внедряет передовые меры обнаружения, такие как BlueSteel, классификатор PowerShell на базе машинного обучения, и постоянно отслеживает ландшафт угроз на предмет возникающих рисков. Внедряя механизмы обнаружения и сборники результатов расследований, поддерживаемые квалифицированными аналитиками в режиме 24/7, eSentire обеспечивает упреждающее реагирование на попытки вторжения и обеспечивает надежную видимость своих служб MDR.

#ParsedReport #CompletenessMedium
25-02-2024

PIKABOT, I choose you!

https://www.elastic.co/security-labs/pikabot-i-choose-you

Report completeness: Medium

Threats:
Pikabot
Cobalt_strike
Imminentmonitor_rat
Junk_code_technique
Process_injection_technique
Beacon

Geo:
Ukranian, Russian

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 3
IP: 9
Domain: 2
Hash: 2

Soft:
Microsoft Outlook

Algorithms:
sha256, base64, zip, rc4, aes

Functions:
SetContextThread

Win API:
ZwQueryInformationProcess, ZwQuerySystemInformation, GetThreadContext, CheckRemoteDebuggerPresent, RtlDecompressBuffer, decompress, ZwCreateUserProcess, ZwAllocateVirtualMemory, ZwWriteVirtualMemory, ZwResumeThread, have more...

Languages:
javascript, powershell

Links:
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_PikaBot.yar
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_suspicious\_memory\_write\_to\_a\_remote\_process.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_process\_creation\_with\_unusual\_mitigation.toml
https://github.com/elastic/labs-releases/tree/main/indicators/pikabot
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_shellcode\_execution\_from\_low\_reputation\_module.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_network\_module\_loaded\_from\_suspicious\_unbacked\_memory.toml
https://github.com/rizonesoft/Notepad3
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense\_evasion\_suspicious\_remote\_memory\_allocation.toml

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 15, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Elastic Security Labs наблюдала за новыми кампаниями PIKABOT, в которых используется обновленная версия загрузчика, используемого злоумышленниками для распространения полезной нагрузки. Последняя версия PIKABOT включает в себя новые методы, такие как методы распаковки, сильное запутывание и меры защиты от обнаружения, позволяющие избежать анализа и детектирования. Представлена подробная информация о тактике, используемой PIKABOT, его поведении и усилиях, предпринимаемых исследователями для отслеживания его вредоносных действий. Кроме того, также упоминаются методы обнаружения и смягчения действий PIKABOT с использованием платформы MITRE ATT&CK и правил YARA.
-----

Elastic Security Labs недавно наблюдала за новыми кампаниями PIKABOT, в которых была представлена обновленная версия широко распространенного загрузчика, используемого злоумышленниками для распространения полезных программ, таких как Cobalt Strike или программы-вымогатели. Последняя версия PIKABOT включает в себя новый метод распаковки и сложные методы запутывания, позволяющие избежать обнаружения и анализа. Эта версия включает изменения в основной модуль, такие как реализация нового механизма дешифрования строк, изменение функциональности запутывания и внесение различных других корректировок, указывающих на продолжающуюся работу по разработке.

Кампания 8 февраля включала электронные письма с гиперссылками, ведущими к ZIP-архивам, содержащим вредоносные запутанные скрипты JavaScript. Анализ показал, что для запуска загрузчика PIKABOT использовался поддельный инструмент поиска и замены "grepWinNP3.exe". Используя функции внутренней изолированной среды и стека вызовов, исследователи смогли отследить выполнение вредоносного кода, выделив конкретные методы выделения памяти и выполнения шеллкода, используемые PIKABOT для обхода механизмов безопасности.

Загрузчик PIKABOT использует средства защиты от отладки и специальные API-интерфейсы Windows, чтобы избежать обнаружения, включая обнаружение отладчиком, создание процессов и методы внедрения, разработанные для предотвращения перехватов и отладчиков на стороне пользователя. Вредоносная программа также использует методы сканирования на наличие активных средств отладки или криминалистической экспертизы, что усложняет анализ и препятствует усилиям по обнаружению.

Обновленное ядро PIKABOT работает по тем же схемам выполнения, что и предыдущие версии, собирая исходные машинные данные и предоставляя субъектам угроз контроль над действиями после компрометации, такими как выполнение из командной строки и запуск дополнительных полезных нагрузок. Заметные изменения в последней версии включают уменьшенную запутанность, ограниченные встроенные функции RC4 и особый подход к запутыванию строк с использованием стековых строк и рандомизированных массивов символов.

Конфигурация вредоносного ПО в новой версии сохраняется в виде открытого текста во время выполнения, но со временем стирается из памяти. PIKABOT обменивается данными по протоколу HTTPS через нетрадиционные порты и включает специальные строки пользовательского агента для маскировки своей активности. Основная функциональность бота остается аналогичной предыдущим версиям, при этом сетевые коммуникации шифруются с помощью RC4 и создаются на основе данных конфигурации.

Elastic Security использует платформу MITRE ATT&CK для документирования тактики и методов, используемых продвинутыми постоянными угрозами, такими как PIKABOT. Правила YARA были разработаны Elastic Security, чтобы помочь идентифицировать и обнаруживать действия PIKABOT, позволяя организациям улучшать свои аналитические данные об угрозах и меры безопасности.