#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) выявило и нейтрализовало вредоносный бэкдор под названием XRed, который был активен как минимум с 2019 года и был замаскирован под легальное программное обеспечение. Анализ выявил возможности бэкдора, методы доставки и характеристики разработчика.
-----

В начале февраля TRU обнаружила вредоносный бэкдор под названием XRed, замаскированный под Synaptics.exe, программное обеспечение, связанное с функциональностью сенсорной панели. Этот бэкдор был активен как минимум с 2019 года и был обнаружен и помещен на карантин службой MDR eSentire.

Дальнейшее расследование показало, что бэкдор XRed был установлен с использованием троянского программного обеспечения и обладал заметными возможностями сохранения и распространения. Функциональность бэкдора включала сбор системной информации, такой как MAC-адрес, имя пользователя и название компьютера, передачу данных злоумышленникам по протоколу SMTP и возможность ведения кейлоггинга с помощью подключения клавиатуры. Кроме того, бэкдор XRed мог распространяться через USB-накопители, создавая файлы autorun.inf. Он также включал встроенный защищенный паролем скрипт VBA, который манипулировал существующими файлами XLSM, вводил вредоносный код и отключал предупреждения безопасности для макросов VBA. Анализ показал, что разработчик этого бэкдора, скорее всего, был носителем турецкого языка, учитывая присутствие турецкого языка в коде.

Использование бэкдором файлов autorun.inf для использования функции автозапуска в старых версиях Windows подчеркнуло необходимость защиты устаревших систем и отключения устаревших функций, которые могут быть использованы вредоносными программами. Манипуляции встроенного скрипта VBA с XLSM-файлами и тактика социальной инженерии подчеркнули важность программ обучения пользователей для снижения риска заражения вредоносными программами с помощью методов обмана.

#ParsedReport #CompletenessLow
26-02-2024

Android/SpyNote Moves to Crypto Currencies

https://www.fortinet.com/blog/threat-research/android-spynote-moves-to-crypto-currencies

Report completeness: Low

Threats:
Spynote_rat

Victims:
Android users with mobile crypto wallet or banking applications

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1547.011, T1566, T1059.005, T1574.001, T1112, T1056.003, T1140, T1027, T1583.001, T1496, have more...

IOCs:
File: 3
Hash: 1

Soft:
Android

Wallets:
imtoken

Algorithms:
sha1, base64, zip, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается троян удаленного доступа SpyNote (RAT), нацеленный на устройства Android, в частности на пользователей с мобильными крипто-кошельками или банковскими приложениями. SpyNote стал распространенным вредоносным ПО на Android с 2020 года, более 10 000 образцов указывают на его широкое присутствие. Ключевым событием стало обнаружение вредоносного образца, замаскированного под законный криптокошелек, использующего API специальных возможностей для вредоносных действий, таких как запись жестов и мошеннических транзакций. Вредоносное ПО накладывает поддельные страницы для криптопереводов, подчеркивая переход к финансовой выгоде за счет кражи криптовалюты. Пользователи предупреждены о предоставлении разрешений Accessibility API подозрительным приложениям, поскольку вредоносное ПО представляет значительную угрозу конфиденциальности пользователей и финансовой безопасности.
-----

В тексте обсуждается появление и эволюция троянца удаленного доступа SpyNote (RAT) на устройствах Android, специально предназначенного для пользователей мобильных крипто-кошельков или банковских приложений. SpyNote стал одним из самых распространенных семейств вредоносных программ на Android с 2020 года, с различными образцами и интеграциями других RATs, таких как CypherRat. Существует более 10 000 образцов SpyNote, что указывает на его широкое присутствие в среде угроз.

Важным событием, отмеченным в тексте, является обнаружение 1 февраля вредоносного образца, замаскированного под законный криптокошелек, но на самом деле содержащего SpyNote RAT вместе с функциями, связанными с антианализом и манипуляциями с криптовалютой. Вредоносная программа использует API специальных возможностей для выполнения вредоносных действий, таких как запись жестов разблокировки устройства и нацеливание на популярные крипто-кошельки для мошеннических транзакций.

Одна из примечательных тактик, используемых вредоносным ПО, заключается в наложении поддельной HTML-страницы для перевода криптовалюты поверх интерфейса приложения с законным кошельком жертвы. На странице отображаются адреса мошеннических кошельков, что затрудняет жертвам распознать мошенничество. Используя API специальных возможностей, вредоносная программа автоматизирует процесс заполнения формы перевода и отправки криптовалюты на адрес кошелька злоумышленников. Это свидетельствует о смещении акцента злоумышленников в сторону получения финансовой выгоды за счет кражи криптовалюты.

В тексте подчеркивается аспект социальной инженерии того, как вредоносное ПО получает доступ к API специальных возможностей, обманывая пользователей и заставляя их предоставлять разрешения под видом законных приложений, таких как криптокошельки. Пользователям рекомендуется быть осторожными при предоставлении таких разрешений и тщательно проверять запросы из подозрительных источников. Способность вредоносного ПО манипулировать пользовательскими интерфейсами и взаимодействовать с различными приложениями представляет значительную угрозу конфиденциальности пользователей и финансовой безопасности.

Что касается мер по борьбе с анализом, вредоносное ПО реализует методы, позволяющие избежать автоматического обнаружения, хотя эти методы относительно просты для противодействия аналитикам-людям. Однако эти методы могут задержать обнаружение вредоносного ПО, предоставляя субъектам угрозы окно возможностей для осуществления их вредоносных действий.

#ParsedReport #CompletenessMedium
01-03-2024

Into the Depths of Abyss Locker

https://cyberint.com/blog/research/into-the-depths-of-abyss-locker

Report completeness: Medium

Threats:
Abyss_locker
Hellokitty
Spear-phishing_technique
Supply_chain_technique

Industry:
Ics

Geo:
Usa

TTPs:
Tactics: 9
Technics: 20

Soft:
ESXi

Algorithms:
chacha20, aes

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена Abyss Locker, программе-вымогателю, которая эволюционировала, нацелившись на виртуализированные среды ESXi от VMware, подчеркивая ее ориентацию на Соединенные Штаты, тактику двойного вымогательства, методы шифрования, историческую справку и использование платформ на базе Tor для связи.
-----

Abyss Locker - это относительно новая программа-вымогатель, появившаяся в марте 2023 года и нацеленная на широкий круг организаций, таких как промышленные системы управления, предприятия и организации государственного сектора. Группа сосредоточилась на атаках на виртуализированные среды ESXi от VMware, воспользовавшись широким распространением платформы и отсутствием возможностей стороннего обнаружения вредоносных программ в гипервизоре. Хотя Abyss Locker изначально полагался на инфраструктуру программ-вымогателей HelloKitty, позже он переключил свой алгоритм шифрования с AES на ChaCha.

Программа-вымогатель в первую очередь нацелена на жертв в Соединенных Штатах, что указывает на значительное внимание к организациям внутри страны. Злоумышленники действуют по распространенному сценарию программ-вымогателей, проникая в сети, извлекая данные в целях двойного вымогательства и шифруя устройства. Шифратор, используемый Abyss Locker, отключает виртуальные машины для шифрования связанных виртуальных дисков, метаданных и моментальных снимков, затрагивая файлы с расширениями, такими как .vmdk, .vmsd и .vmsn. Кроме того, все остальные файлы на устройстве зашифрованы с расширением .crypt. Жертвы получают уведомление о выкупе с подробной информацией о ситуации, включая ссылку на переговорную платформу злоумышленника на базе Tor для связи.

В январе 2023 года злоумышленник, известный как infoleak222, поделился данными о жертвах на взломанных форумах, которые соответствовали информации, найденной на веб-сайте Abyss Locker, намекая на связь между ними. Предыдущие версии Abyss Locker, включая версию для Windows, были замечены еще в 2019 году, что свидетельствует о более длительной истории активности. Abyss Locker функционирует как многопрофильная группа по вымогательству, управляющая сайтом на базе Tor, где информация о жертвах и отфильтрованные данные отображаются в случаях, когда жертвы не выполняют требования.

Переход Abyss Locker на виртуализированные среды ESXi подчеркивает способность групп вымогателей использовать популярные технологии в неблаговидных целях. Повышенное внимание к тактике двойного вымогательства подчеркивает изощренность и решительность участников угроз. Связь программы-вымогателя с предыдущими вариантами и наличие связанной с ней активности до ее официального запуска демонстрируют тенденцию непрерывного развития и настойчивости в операциях киберпреступников. Использование группой платформы на базе TOR для ведения переговоров отражает переход к более безопасным и анонимным каналам связи в практике вымогательства с помощью программ-вымогателей.

#ParsedReport #CompletenessMedium
29-02-2024

DarkGate Malware: Exploring Threats and Countermeasures

https://socradar.io/darkgate-malware-exploring-threats-and-countermeasures

Report completeness: Medium

Threats:
Darkgate
Qakbot
Rastafareye_actor
Hvnc_tool
Dll_sideloading_technique

Industry:
Financial

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1218, T1027, T1071, T1036, T1056, T1110, T1105, have more...

IOCs:
File: 1
Domain: 1

Soft:
Microsoft Teams, Discord, Office 365

Algorithms:
base64

Languages:
powershell, swift, autoit

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: DarkGate - это сложный и постоянно развивающийся инструментарий вредоносного ПО, который представляет значительную угрозу в сфере киберпреступности, с различными возможностями, такими как удаленное выполнение кода, кража данных и методы уклонения. Разработанный подпольным пользователем по имени RastaFarEye, DarkGate распространяется по модели, основанной на подписке, а в новых версиях представлены расширенные функции, такие как hVNC, кейлоггер и руткит-модули. Вредоносная программа взаимодействует со своим командно-контрольным сервером посредством пользовательского кодирования, что позволяет осуществлять вредоносные действия, такие как кейлоггинг, кража учетных данных и майнинг криптовалют. DarkGate распространялся посредством фишинговых кампаний с использованием таких платформ, как Microsoft Teams, и был связан с использованием уязвимостей в Microsoft Teams, Office 365 и Skype. Финансовые последствия заражения DarkGate могут быть серьезными, что требует принятия надежных мер кибербезопасности, включая защиту конечных точек, сетевую безопасность, безопасность электронной почты, обучение пользователей, управление исправлениями, анализ информации об угрозах и планирование реагирования на инциденты для эффективного обнаружения, предотвращения и реагирования на эту постоянную угрозу вредоносного ПО.
-----

DarkGate - это сложный и развивающийся инструментарий для разработки вредоносных программ, который стал заметной угрозой в сфере киберпреступности.

DarkGate, разработанный RastaFarEye, продается по модели подписки, цены на которую достигают 15 000 долларов в месяц.

DarkGate обладает различными возможностями, включая удаленное выполнение кода, кражу данных и обход механизмов обнаружения.

DarkGate взаимодействует со своим командно-контрольным сервером, используя пользовательскую кодировку Base64, что позволяет вести кейлоггинг, кражу учетных данных, удаленное выполнение кода и майнинг криптовалют.

Фишинговые кампании с использованием инструментов совместной работы, таких как Microsoft Teams, использовались для распространения вредоносного ПО DarkGate.

DarkGate участвовала в кампаниях, использующих уязвимости в Microsoft Teams и использующих скомпрометированные учетные записи Office 365 и Skype.

В DarkGate v4 появились новые функции, такие как hVNC, кейлоггер и руткит-модуль.

Заражение DarkGate может привести к нарушениям конфиденциальности, финансовым потерям, сбоям в работе и ущербу репутации.

Снижение рисков DarkGate требует надежных мер кибербезопасности, включая защиту конечных точек, средства контроля сетевой безопасности, шлюзы безопасности электронной почты и обучение пользователей.

Проактивные стратегии, такие как управление исправлениями, анализ информации об угрозах, планирование реагирования на инциденты и непрерывный мониторинг, необходимы для борьбы с DarkGate и аналогичными продвинутыми вредоносными угрозами.

#ParsedReport #CompletenessHigh
29-02-2024

Threat Actors Exploit Multiple Vulnerabilities in Ivanti Connect Secure and Policy Secure Gateways

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060b

Report completeness: High

Actors/Campaigns:
Unc5221

Threats:
Phobos
Glasstoken
Giftedvisitor
Bushwalk
Lightwire
Chainline_shell
Nmap_tool
Timestomp_technique
Netcat_tool
Sliver_c2_tool
Mimikatz_tool
Wirefire
Warpwire

Victims:
Ivanti

Industry:
Government, Ics

Geo:
Australian, Canadian, Australia

CVEs:
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti neurons for zero-trust access (-)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)

CVE-2024-22024 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.3
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.1, 22.4, 22.5)

CVE-2024-21888 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1, 22.2, 22.3, 22.4, 22.6)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3, 22.4, 22.5, 22.6)


TTPs:
Tactics: 5
Technics: 5

IOCs:
File: 14
IP: 22
Domain: 13
Hash: 9
Email: 1

Soft:
Ivanti, Active Directory, remote desktop services, Windows Registry, PsExec, cpanel

Algorithms:
base64

Languages:
perl, powershell, javascript, python

Links:
https://github.com/volexity/threat-intel/blob/main/2024/2024-01-10%20Ivanti%20Connect%20Secure/indicators/iocs.csv
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - критическое консультативное предупреждение по кибербезопасности об активном использовании уязвимостей в шлюзах Ivanti Connect Secure и Ivanti Policy Secure злоумышленниками. Это консультативное заключение содержит подробную информацию об уязвимостях, воздействии, рекомендациях по реагированию на инциденты, мерах по смягчению последствий и важности упреждающих действий в области кибербезопасности, поддерживаемых различными агентствами по кибербезопасности, и подчеркивает глобальное воздействие проблемы.
-----

В тексте описываются важные рекомендации по кибербезопасности, касающиеся активного использования уязвимостей, затрагивающих шлюзы Ivanti Connect Secure и Ivanti Policy Secure, злоумышленниками, создающими киберугрозы. Эти уязвимости, включая CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 и CVE-2024-21893, влияют на все поддерживаемые версии шлюзов (9.x и 22.x). Эксплойты позволяют злоумышленникам обходить аутентификацию, выполнять произвольные команды с повышенными привилегиями и получать сохраняемость на уровне root даже после сброса настроек к заводским настройкам.

Мероприятия по реагированию на инциденты показали, что внутренние и внешние средства ИКТ Ivanti не смогли обнаружить компрометации, что подчеркивает серьезность ситуации. В рекомендации сетевым защитникам рекомендуется использовать скомпрометированные учетные данные, отслеживать вредоносные действия, запускать новейшие средства ИКТ Ivanti и применять рекомендации по исправлению по мере поступления обновлений. Рекомендуется отслеживать наличие индикаторов компрометации (IOCs), поддерживать обновленные системы, ограничивать SSL-VPN-подключения непривилегированными учетными записями и ограничивать исходящие интернет-подключения к основным службам.

Рекомендации поддерживаются различными агентствами по кибербезопасности, включая ФБР, MS-ISAC, ACSC ASD, NCSC-UK и другими, призывающими организации принимать меры предосторожности против изощренных злоумышленников, использующих уязвимости Ivanti. Примечательно, что было замечено, как субъекты угроз внедряют веб-оболочки, такие как GLASSTOKEN и GIFTEDVISITOR, для выполнения команд и сбора учетных данных, что приводит к боковому перемещению и потенциальной компрометации всего домена.

Дополнительные уязвимости (CVE-2024-21893, CVE-2024-22024, CVE-2024-21888) были раскрыты Ivanti после того, как участники угроз обошли первоначальные меры по смягчению и разработали новые варианты веб-оболочки. В тексте упоминаются многочисленные инциденты, когда CVE использовались для первоначального доступа и сбора учетных данных, при этом субъекты угроз использовали встроенные инструменты на устройствах Ivanti.

В рекомендации приводятся меры по смягчению последствий, рекомендации по реагированию на инциденты и подчеркивается важность упреждающих мер кибербезопасности. В нем также содержится информация о том, как сообщать об инцидентах соответствующим органам в США и Австралии, подчеркивая глобальное воздействие уязвимостей Ivanti и необходимость международного сотрудничества в борьбе с киберугрозами.

Кроме того, в тексте освещаются исследовательские усилия CISA с использованием виртуального устройства для оценки путей атак и механизмов сохранения, раскрывающие проблемы при выявлении компрометаций из-за доступа на корневом уровне и обманчивых результатов проверки целостности. В рекомендациях также подчеркивается использование правил YARA и методов обнаружения от Volexity, а также рекомендаций по составлению аналитических карт киберугроз с использованием таких фреймворков, как MITRE ATT&CK.

#ParsedReport #CompletenessLow
01-03-2024

The Art of Domain Deception: Bifrost's New Tactic to Deceive Users

https://unit42.paloaltonetworks.com/new-linux-variant-bifrost-malware

Report completeness: Low

Threats:
Adwind_rat
Bifrose
Typosquatting_technique

Geo:
America, Apac, Emea, Taiwan, Japan, Japanese

ChatGPT TTPs:
do not use without manual check
T1566.001, T1190, T1071, T1110, T1583.001, T1568.002, T1027, T1584.002, T1588.002, T1041, have more...

IOCs:
Domain: 1
Hash: 2
IP: 2

Algorithms:
rc4, sha256

Platforms:
x86, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и угрозе, исходящей от нового Linux-варианта троянца удаленного доступа Bifrost (RAT), который использует инновационные методы уклонения, включая вводящий в заблуждение домен для обхода мер безопасности. Этот вариант Bifrost нацелен на компрометацию целевых систем путем сбора конфиденциальной информации и использования шифрования для уклонения от обнаружения. Наличие как x86-, так и ARM-версий вредоносного ПО указывает на попытки злоумышленника расширить зону своей атаки. Всплеск активности Bifrost, обнаруженный Palo Alto Networks, подчеркивает растущую угрозу и важность противодействия таким вредоносным программам для защиты конфиденциальных данных и компьютерных систем.
-----

Был обнаружен новый Linux-вариант Bifrost, троянца удаленного доступа (RAT), использующий инновационные методы уклонения.

Этот вариант использует домен, вводящий в заблуждение, download.vmfare.com, похожий на VMware, для обхода мер безопасности и компрометации систем.

Злоумышленники распространяют Bifrost через вложения электронной почты или вредоносные веб-сайты, собирая информацию о жертвах после установки.

Был найден последний образец варианта Bifrost (SHA256: 8e85cb6f2215999dc6823ea3982ff4376c2cbea53286e95ed00250a4a2fe4729), размещенный по IP 45.91.82.127.

Он устанавливает связь, собирает пользовательские данные, шифрует с помощью RC4 и пытается связаться с тайваньским DNS-распознавателем.

ARM-версия Bifrost была обнаружена рядом с версией x86, что указывает на расширение возможностей атаки.

Сети Пало-Альто за последние месяцы обнаружили более 100 случаев Bifrost, что свидетельствует о росте активности.

Palo Alto Networks предлагает защиту от Bifrost благодаря брандмауэру нового поколения и сотрудничеству с Альянсом по борьбе с киберугрозами.

#ParsedReport #CompletenessLow
29-02-2024

GUloader Unmasked: Decrypting the Threat of Malicious SVG Files

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/guloader-unmasked-decrypting-the-threat-of-malicious-svg-files

Report completeness: Low

Threats:
Cloudeye
Polymorphism_technique
Process_hollowing_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1497, T1059, T1218, T1574, T1547, T1105

IOCs:
File: 1
Url: 1
Registry: 1
Hash: 3

Soft:
Google Chrome, Mozilla Firefox, Microsoft Edge, Chrome

Algorithms:
base64, zip

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что GUloader - это сложный загрузчик вредоносных программ, известный своими скрытными методами и тактикой уклонения, которые позволяют ему избежать обнаружения традиционными мерами безопасности. Он обладает высокой степенью адаптации, используя полиморфный код и шифрование для проникновения в сети, создания точек входа для вредоносных действий, а также загрузки и развертывания различных других вариантов вредоносного ПО. В тексте также освещается конкретная кампания GUloader, которая использовала вредоносный SVG-файл, распространяемый по электронной почте, для инициирования серии вредоносных действий в системе жертвы. В общем сообщении подчеркивается важность сохранения бдительности и внедрения надежных мер кибербезопасности для защиты от угроз, подобных GUloader.
-----

GUloader - это сложный загрузчик вредоносных программ, известный своими скрытными методами и тактикой уклонения, которые позволяют ему избегать обнаружения традиционными мерами безопасности. Он обладает способностью динамически изменять свою структуру с помощью полиморфного кода и шифрования, что затрудняет идентификацию и смягчение последствий для антивирусного программного обеспечения и систем обнаружения вторжений. Такая адаптивность позволяет GUloader постоянно проникать в сети и создавать точки входа для дальнейших вредоносных действий.

В недавнем отчете McAfee Labs освещалась кампания GUloader, которая распространялась с помощью вредоносного файла SVG, отправленного по электронной почте. Файлы SVG обычно используются для векторной графики и поддерживают интерактивность и анимацию с помощью языков сценариев, таких как JavaScript и CSS. В этом сценарии атаки вредоносный SVG-файл содержал JavaScript-код, который был встроен в изображение, что создало вредоносный ZIP-архив при открытии вложения. Этот ZIP-файл содержал файл сценария Windows (WSF), который подключался к вредоносному домену с помощью PowerShell для выполнения шеллкода, введенного в законное приложение MSBuild.

Атака начинается с того, что жертва получает спам-сообщение по электронной почте с вложением, содержащим вредоносный SVG-файл. Когда жертва открывает вложение, код JavaScript внутри SVG-изображения запускает создание вредоносного ZIP-архива. Затем пользователю предлагается расшифровать и сохранить файл, что инициирует выполнение PowerShell для подключения к вредоносному домену. Содержимое, полученное из домена, включает данные в кодировке base64, содержащие шелл-код и сценарий PowerShell. Сценарий PowerShell загружает шелл-код в процесс MSBuild, используя удаление процесса, изменяет ключ запуска реестра для сохранения, а также загружает и выполняет окончательную вредоносную полезную нагрузку.

GUloader также способен загружать и развертывать различные другие варианты вредоносных программ, что делает его универсальным инструментом для киберпреступников, стремящихся осуществлять целый ряд вредоносных действий. Его способность избегать обнаружения и закрепляться в сетях подчеркивает важность того, чтобы организации и отдельные лица сохраняли бдительность и применяли надежные меры кибербезопасности для защиты от развивающихся угроз, таких как GUloader.