#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Файл .htaccess является распространенной мишенью для кибератак из-за его способности скрывать вредоносное ПО, перенаправлять поисковые системы на вредоносные сайты и внедрять вредоносный контент, поэтому владельцам веб-сайтов крайне важно понимать его потенциальное неправильное использование, чтобы снизить риски и принять необходимые меры безопасности для защиты своих веб-сайтов.
-----

Файл .htaccess является распространенной мишенью для кибератак из-за его способности скрывать вредоносное ПО, перенаправлять поисковые системы на вредоносные сайты и внедрять вредоносный контент. Этот файл позволяет злоумышленникам вносить многочисленные изменения в веб-сервер, что затрудняет обнаружение и удаление вредоносного кода. Многие владельцы веб-сайтов не знают о файле .htaccess, поскольку он скрыт из-за того, что его название начинается с точки. Понимание потенциального неправильного использования файла .htaccess имеет решающее значение для снижения рисков для веб-сайтов.

Одной из распространенных атак с использованием файла .htaccess является перенаправление, при котором пользователи перенаправляются с поисковых систем на страницы, зараженные вредоносным ПО. Этот тип атаки может быть трудно заметить, особенно если владельцы веб-сайтов обычно получают доступ к своему сайту напрямую, а не через поисковые системы. Другая атака включает перенаправление страниц с ошибками на вредоносные программы, что затрудняет их обнаружение, поскольку большинство функций веб-сайта работают нормально. Генерация спам-ссылок также является методом, используемым злоумышленниками, когда файл .htaccess обрабатывается для создания многочисленных спам-ссылок на веб-сайте, что негативно сказывается на его поисковой оптимизации.

Злоумышленники могут приказать серверу переходить по символическим ссылкам для распространения вредоносного ПО по всей среде, что еще больше расширяет охват их вредоносных действий. Простые файлы .htaccess также могут использоваться для предотвращения выполнения PHP, добавляя еще один уровень сложности обнаружению и смягчению последствий таких атак. Для обнаружения этих атак можно использовать такие инструменты, как удаленный сканер веб-сайтов SiteCheck, для выявления вредоносного кода на веб-сайтах. Однако для более тщательного сканирования рекомендуется также проверить сервер веб-сайта и базу данных на наличие подозрительного кода и индикаторов компрометации.

В случае заражения вредоносным ПО предоставляется пошаговое руководство, которое поможет владельцам веб-сайтов проанализировать и очистить зараженные файлы, удалить бэкдоры, проверить доступ к учетной записи пользователя и обновить программное обеспечение веб-сайта. Кроме того, рекомендации включают повторную отправку сайта в поисковые системы, обновление программного обеспечения CMS и плагинов, установку брандмауэров веб-приложений и внедрение упреждающих мер безопасности для предотвращения будущих заражений. Sucuri, служба безопасности веб-сайтов, предлагает инструменты и опыт для мониторинга веб-сайтов и эффективного реагирования на угрозы.

Бен Мартин, аналитик и исследователь в области безопасности, играет ключевую роль в Sucuri, уделяя особое внимание обнаружению скрытых вредоносных программ, мониторингу тенденций в области безопасности веб-сайтов и очистке зараженных веб-сайтов. Имея более чем восьмилетний опыт работы в области безопасности веб-сайтов, Бен специализируется на написании блогов и устранении растущих инцидентов безопасности. Вне работы Бен увлекается редактированием аудио, созданием музыки, играми и проводит время со своим котом. С ним можно связаться в Twitter для дальнейшего взаимодействия.

#cyberthreattech

This is хорошо.
Из сканов в песочницах можно повыцеживать ID TG-ботов стиллеров.
P.S. Да, я кэп, не отрицаю.

#ParsedReport #CompletenessLow
18-03-2024

Ethereum s CREATE2: A Double-Edged Sword in Blockchain Security

https://research.checkpoint.com/2024/ethereums-create2-a-double-edged-sword-in-blockchain-security

Report completeness: Low

Industry:
Financial, Education

ChatGPT TTPs:
do not use without manual check
T1199, T1064, T1566, T1110

IOCs:
Coin: 2
Hash: 1

Crypto:
ethereum

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается новый метод атаки на смарт-контракты Ethereum, использующий функцию CREATE2, подчеркивается уязвимость, которую он создает, различия между CREATE и CREATE2, необходимость усиленных мер безопасности при разработке блокчейна и важность оставаться информированным и бдительным для защиты от развивающихся киберугроз в криптовалюте экосистема.
-----

В тексте обсуждается новый метод атаки, нацеленный на смарт-контракты Ethereum, который использует функцию CREATE2, чтобы обманом заставить пользователей одобрять транзакции по контрактам, которые еще не были развернуты. Эта уязвимость позволяет киберпреступникам внедрять вредоносные контракты в будущем, воруя криптовалюты у ничего не подозревающих жертв. Функция CREATE2 в Ethereum, хотя и инновационная, ввела лазейку в систему безопасности, которая позволяет злоумышленникам обманывать пользователей, получая одобрение на транзакции с несуществующими контрактами.

CREATE2 и CREATE - это коды операций в разработке блокчейна Ethereum, которые облегчают развертывание смарт-контрактов, но они отличаются тем, как определяется адрес нового контракта. CREATE основывает адрес контракта на адресе создателя и одноразовом значении, в то время как CREATE2 допускает более гибкий подход, включая указанную пользователем соль, адрес создателя и код инициализации контракта при вычислении адреса.

Использование функции CREATE2 подчеркивает сохраняющуюся проблему баланса инноваций и безопасности в блокчейн-пространстве. По мере развития Ethereum механизмы безопасности также должны совершенствоваться, чтобы защитить пользователей от изощренных атак. Разработчикам и пользователям блокчейна важно быть в курсе событий, обновлять свои знания и совершенствовать методы обеспечения безопасности, чтобы успешно ориентироваться в меняющемся ландшафте угроз. Блокчейн-система Threat Intel, разработанная Check Point, собирает информацию о возникающих угрозах, чтобы помочь инвесторам обезопасить свои цифровые активы в криптопространстве.

Таким образом, в тексте описывается новый вектор атаки, использующий функцию CREATE2 в Ethereum, подчеркивается важность осведомленности о безопасности, образования и постоянной бдительности для защиты от развивающихся киберугроз в экосистеме блокчейна и криптовалют.

#ParsedReport #CompletenessLow
18-03-2024

RisePro stealer targets Github users in "gitgub" campaign

https://www.gdatasoftware.com/blog/2024/03/37885-risepro-stealer-campaign-github

Report completeness: Low

Threats:
Riseprostealer
Bloat

Geo:
Russia

ChatGPT TTPs:
do not use without manual check
T1027, T1564.001, T1071.001, T1041, T1114.002, T1552.001

IOCs:
Url: 2
File: 5
Coin: 1
Hash: 6
IP: 2

Soft:
Telegram

Crypto:
ripple

Algorithms:
zip, xor, base64, fnv-1a

Win API:
LoadLibraryA

Languages:
python

Links:
https://github.com/struppigel/PortexAnalyzerGUI
https://github.com/JustasMasiulis/xorstr
https://github.com/binref/refinery
https://github.com/anyrun/blog-scripts/blob/main/Scripts/RisePro/risepro\_tcp\_decoder.py
https://github.com/horsicq/Detect-It-Easy

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Группа по борьбе с киберугрозами RisePro вновь появилась с новой кампанией под названием "gitgub", распространяющей украденные данные через Telegram и использующей сложные методы запутывания, чтобы затруднить анализ. Эволюция вредоносного ПО RisePro, включая усовершенствованные методы шифрования и механизмы эксфильтрации данных, ставит перед специалистами по кибербезопасности серьезные задачи по обнаружению и смягчению угрозы. Тщательный мониторинг и реагирование на возникающие угрозы необходимы для защиты организаций и частных лиц от кибератак, организованных продвинутыми участниками угроз, такими как RisePro.
-----

Группа по борьбе с киберугрозами RisePro вновь появилась с новой кампанией под названием "gitgub", которая предполагает распространение украденных данных через Telegram. Было идентифицировано по меньшей мере 13 репозиториев, связанных с этой кампанией, и все они содержат README.md файл, заманивающий пользователей обещанием бесплатного взломанного программного обеспечения. Чтобы избежать обнаружения и затруднить анализ, вредоносные файлы в этих репозиториях были увеличены до огромного размера в 699 МБ. Это преднамеренное раздувание приводит к сбою таких инструментов, как IDA и ResourceHacker, при попытке проанализировать файлы.

В попытке расшифровать запутанные строки внутри вредоносного ПО аналитики обнаружили, что RisePro обновила свои методы шифрования по сравнению с ранее известным методом обфускации XOR. Новая схема шифрования строк включает жестко запрограммированную функцию дешифрования, адаптированную для каждой конкретной длины строки, требуемой вредоносной программой. Эта корректировка алгоритма шифрования создает проблемы для традиционных методов дешифрования и анализа строк.

Образец вредоносного ПО, идентифицированный в ходе кампании, соответствует RisePro Stealer версии 1.6, основываясь на нумерации версий, найденной в журналах вредоносных программ. Это обновление версии означает эволюцию вредоносного ПО RisePro, указывая на продолжающуюся разработку и адаптацию участниками угроз. Вредоносная программа взаимодействует с сервером управления (C2), напоминающим схемы, наблюдавшиеся в предыдущих случаях, о которых сообщала команда Any.Run. Механизм эксфильтрации данных в основном использует TCP-порт 50500 для передачи украденной информации двум каналам Telegram.

Кроме того, Telegram-каналы, используемые для утечки данных, наряду с IP-адресами C2, позволяют предположить, что операция, скорее всего, базируется в России. Украденные данные включают в себя широкий спектр конфиденциальной информации с уникальными паролями, хранящимися в файле с именем "brute.txt". Кроме того, файл с названием "password.txt" содержит заметный баннер RisePro и ссылку на общедоступный Telegram-канал, связанный с участниками угрозы.

Анализируя зашифрованные строки и анализируя методы обхода, используемые RisePro, специалисты по кибербезопасности могут получить представление о тактике, методах и процедурах группы. Непрерывная эволюция вредоносного ПО RisePro свидетельствует о настойчивости и адаптивности группы перед лицом усилий по обнаружению и смягчению последствий. Аналитикам по анализу угроз и специалистам по кибербезопасности крайне важно внимательно отслеживать такие возникающие угрозы и реагировать на них, чтобы защитить организации и отдельных лиц от потенциальных кибератак, организованных такими изощренными участниками угроз, как RisePro.

#ParsedReport #CompletenessLow
18-03-2024

Android malware disguised as wedding invitation sent to senior citizens

https://blog.f-secure.com/theres-no-free-wedding-lunch-when-elderly-scams-are-cooking

Report completeness: Low

Threats:
Spynote_rat

Victims:
Senior citizens

Industry:
Financial, Healthcare

Geo:
Malaysia

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1402, T1571, T1505, T1602, T1406, T1433, T1444

IOCs:
File: 1
Hash: 1

Soft:
Android, WhatsApp, Telegram

Win API:
sendMessage

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
В тексте обсуждается рост числа мошенничеств с пожилыми людьми, нацеленных на пожилых граждан, с акцентом на недавнюю аферу с "бесплатными приглашениями на свадьбу", когда мошенники обманывают жертв поддельными приглашениями на свадьбу, отправляемыми через чаты в социальных сетях, таких как WhatsApp. Мошенничество связано с вредоносным ПО, замаскированным под приглашение на свадьбу, которое крадет данные SMS у жертв и отправляет их Telegram-боту, действующему в качестве командно-контрольного сервера. Уязвимость пожилых людей в сочетании с их финансовой стабильностью и потенциальным недостатком технических знаний делает их легкой мишенью для таких мошенников, целью которых является извлечение конфиденциальных данных для незаконных действий, таких как перехват банковских сессий и кража учетных данных. Мошенники используют Telegram в качестве сервера C2 из-за его преимуществ в том, что он выглядит законным, избегает обнаружения и упрощает настройку по сравнению с независимыми серверами. В целом, мошенники демонстрируют комплексный подход, используя различные тактики, такие как вводящие в заблуждение приглашения, вредоносные APK-файлы и серверы C2, для нацеливания и эксплуатации уязвимых групп населения.
-----

Участились случаи мошенничества с пожилыми людьми, нацеленные на пожилых граждан, включая мошенничество с "бесплатным приглашением на свадьбу" с использованием социальных сетей, таких как WhatsApp.

Мошенники обманывают жертв сфабрикованными свадебными приглашениями, содержащими вредоносные APK-файлы, которые крадут данные SMS.

Украденная информация отправляется Telegram-боту, действующему в качестве сервера управления вредоносной программой.

Пожилые люди становятся мишенью из-за финансовой стабильности, пенсионных фондов и отсутствия технических знаний, что делает их уязвимыми.

Другие аферы, нацеленные на пожилых людей, включают романтические аферы, мошенничество с выдачей себя за врача и аферу с похоронами в прямом эфире.

Вредоносное ПО на устройствах жертв проявляет шпионские свойства, позволяющие избежать обнаружения кражи данных.

Использование Telegram в качестве сервера C2 дает злоумышленникам преимущества, такие как легитимность, обход систем безопасности и шифрование для безопасной связи.

Поставщики услуг безопасности должны быть в курсе событий, чтобы защитить клиентов, поскольку угрозы мошенничества постоянно развиваются.

#ParsedReport #CompletenessHigh
18-03-2024

Earth Krahang Exploits Intergovernmental Trust to Launch Cross-Government Attacks

https://www.trendmicro.com/en_us/research/24/c/earth-krahang.html

Report completeness: High

Actors/Campaigns:
Earthkrahang (motivation: cyber_espionage)
Earth_lusca
I-soon_leak
Gallium
Luoyu

Threats:
Spear-phishing_technique
Sqlmap_tool
Xdealer
Cobalt_strike
Reshell
Confuserex_tool
Dinodasrat
Dll_sideloading_technique
Plugx_rat
Shadowpad
Windealer
Reversewindow
Spydealer
Sprysock
Password_spray_technique
Credential_dumping_technique
Adfind_tool
Uac_bypass_technique
Rubeus_tool
Fscan_tool
Nbtscan_tool

Victims:
Government entities, Telecommunications providers, Post offices, Logistics platforms, Job services

Industry:
Education, Logistic, Military, Government, Healthcare, Financial, Ngo, Retail, Telco

Geo:
Venezuela, Asian, Guyana, Africa, Malaysian, Taiwanese, Asia, Hungary, Taiwan, America, Chinese

CVEs:
CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- polkit project polkit (<121)
- redhat enterprise linux desktop (7.0)
- redhat enterprise linux workstation (7.0)
- redhat enterprise linux for scientific computing (7.0)
- redhat enterprise linux server (7.0, 6.0)
have more...
CVE-2022-21587 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle e-business suite (le12.2.11)

CVE-2023-32315 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 8.6
X-Force: Patch: Official fix
Soft:
- igniterealtime openfire (<4.6.8, <4.7.5)

CVE-2021-22555 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- linux linux kernel (<5.12, <5.10.31, <5.4.113, <4.19.188, <4.4.267, <4.14.231, <4.9.267)
- brocade fabric operating system (-)
- netapp fas 8300 firmware (-)
- netapp fas 8700 firmware (-)
- netapp aff a400 firmware (-)
have more...

TTPs:
Tactics: 13
Technics: 58

IOCs:
File: 21
Hash: 107
IP: 14
Domain: 12

Soft:
OpenFire, Outlook, Zimbra, Windows Service

Algorithms:
sha256, aes

Languages:
python, powershell

Links:
https://github.com/sensepost/ruler
https://github.com/wikiZ/RedGuard

#ParsedReport #ExtractedSchema

Classified images:
windows: 22, schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в кампании Earth Krahang Advanced Persistent Threat (APT), нацеленной на государственные структуры по всему миру с начала 2022 года. В нем обсуждаются тактика и методы, используемые субъектом угрозы, типы целей, используемые инструменты и семейства вредоносных программ, проблемы с атрибуцией, связи с другими субъектами угрозы, такими как Earth Lusca, и даются рекомендации организациям по повышению их уровня безопасности против таких киберугроз.
-----

с начала 2022 года продолжается кампания APT Earth Krahang, ориентированная на государственные структуры по всему миру.

основное внимание уделяется Юго-Восточной Азии, а также Европе, Америке, Африке.

тактика включает в себя использование общедоступных серверов, рассылку фишинговых писем с использованием бэкдоров.

независимая инфраструктура и уникальные бэкдоры отделяют Землю Краханг от Китая-нексусного участника угроз Earth Lusca.

использует VPN-серверы на скомпрометированных серверах, атаки методом перебора учетных данных электронной почты, вредоносный доступ к полезной нагрузке и прокси-атаки.

нацелен на правительственную инфраструктуру для кибершпионажа, использует такие инструменты, как инструменты сканирования с открытым исходным кодом, sqlmap, wordpresscan, отслеживает фишинговые электронные письма.

бэкдорные имена файлов, связанные с геополитическими темами, используемые для заманивания жертв.

жертвами стали примерно 70 человек в 23 странах, главным образом в Азии и Америке.

фокусируется на правительственных организациях, министерствах иностранных дел и департаментах.

переходит от семейства вредоносных программ RESHELL к XDealer, что потенциально связано с такими участниками угроз, как Luoyu.

возможная связь с китайской компанией I-Soon и независимыми группами проникновения.

рекомендации включают в себя рекомендации по обеспечению безопасности, обновлению программного обеспечения и обучению сотрудников атакам социальной инженерии.

#ParsedReport #CompletenessLow
18-03-2024

LESLIELOADER Undocumented Loader Observed

https://www.kroll.com/en/insights/publications/cyber/leslieloader-undocumented-loader-observed

Report completeness: Low

Actors/Campaigns:
Dragonspark

Threats:
Leslieloader
Spark_rat
Xzb-1248_actor
Beacon
Process_injection_technique
Cobalt_strike

Geo:
Asia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1027, T1055, T1105, T1093, T1564, T1046, T1112, T1140, T1588.002, have more...

IOCs:
File: 4
IP: 1
Hash: 26

Algorithms:
md5, aes, sha1, sha256, base64

Win Services:
Ntmssvc

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фирма по кибербезопасности Kroll выявила новый загрузчик, связанный с вредоносным ПО SPARKRAT, которое активно модифицируется и используется участниками угроз. Этот загрузчик под названием LeslieCheungKwok написан на Golang и играет решающую роль в облегчении первоначального заражения и развертывания вредоносного ПО SPARKRAT, позволяя ему избегать обнаружения и запускаться в системах. Несмотря на усилия по противодействию этой тактике уклонения, участники угроз продолжают использовать инъекции процессов, что затрудняет исследователям безопасности выявление и смягчение действий SPARKRAT. Кроме того, участие Cobalt Strike в сочетании с загрузчиком предполагает потенциально злонамеренные намерения, стоящие за развертыванием полезных нагрузок. Kroll активно исследует и отслеживает эти события, чтобы защитить организации от развивающихся киберугроз.
-----

Компания Kroll обнаружила новый загрузчик, связанный с текущими кампаниями, связанными с вредоносным ПО SPARKRAT, при этом злоумышленники модифицируют вредоносное ПО для своих целей.

Новый загрузчик, известный под ключом AES "LeslieCheungKwok" и написанный на Golang, помогает при первоначальном заражении и развертывании полезной нагрузки вредоносного ПО SPARKRAT, внедряя ее в экземпляр notepad.exe, чтобы избежать обнаружения.

Инъекции процессов остаются распространенной тактикой уклонения, несмотря на усилия средств обнаружения по противодействию им.

SPARKRAT, первоначально инструмент удаленного администрирования с открытым исходным кодом, созданный разработчиком XZB-1248, теперь злонамеренно используется в кампаниях, подобных "DRAGONSPARK", нацеленных на организации в Восточной Азии.

Способность SPARKRAT интерпретировать исходный код Golang во время выполнения усложняет усилия по обнаружению и смягчению последствий для исследователей безопасности.

Компания Kroll обнаружила образцы погрузчиков LESLIELOADER, содержащие конфигурации Cobalt Strike и другие полезные нагрузки, что свидетельствует о универсальности погрузчика, выходящей за рамки использования SPARKRAT.

В конкретном инциденте dll-файл ntmssvc.dll попытался установить соединение с определенным IP-адресом во время выполнения, что было предотвращено путем перезаписи указателя инструкции.

Анализируя фрагменты шелл-кода и отслеживая процесс внедрения финальной полезной нагрузки SPARKRAT, Kroll смог понять сложные этапы, связанные с развертыванием вредоносного ПО.

Были обнаружены дополнительные образцы, связанные с загрузчиком, с индикаторами полезной нагрузки Cobalt Strike и внедрения шеллкода, что указывает на потенциально злонамеренные намерения.

Kroll активно участвует в текущих расследованиях и мониторинге для защиты организаций от развивающихся киберугроз.

#ParsedReport #CompletenessLow
18-03-2024

DGAMirai Nomi. Botnet Mirai Nomi using DGA

https://blog.xlab.qianxin.com/mirai-nomi

Report completeness: Low

Threats:
Mirai
Upx_tool
Endurance

ChatGPT TTPs:
do not use without manual check
T1483, T1027, T1573, T1036, T1095, T1041, T1105, T1489, T1070

IOCs:
File: 4
Hash: 2

Soft:
crontab

Algorithms:
aes, xor, md5, sha1, chacha20

Languages:
javascript

Platforms:
mips

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в марте 2024 года был обнаружен новый вариант ботнета Mirai под названием "Волшебным образом модифицирующий оболочку UPX", обладающий расширенными возможностями, такими как использование алгоритма генерации домена (DGA), нескольких алгоритмов шифрования и сложного механизма проверки для доступа к командам и контролю (C2) серверы. Этот вариант представляет значительную угрозу из-за его стойкости, расширенной функциональности для выполнения команд и необходимости для организаций и специалистов по безопасности быть готовыми к защите от такого продвинутого вредоносного ПО.
-----

В тексте описывается новый вариант Mirai, использующий алгоритм генерации домена (DGA), который был зарегистрирован в марте 2024 года. Этот конкретный вариант выделяется, поскольку варианты Mirai на основе DGA обычно не встречаются. Анализ показал, что этот вариант, предварительно названный "Волшебным образом модифицирующий оболочку UPX", обладает расширенными функциями, такими как использование DGA, зависящее от времени, несколько алгоритмов шифрования и механизм проверки.

Образец ELF этого варианта Mirai был получен из варианта Mirai LZRD с изменениями, включающими новые функции сохранения и возможности генерации доменных имен. Код в основном остался неизменным, за исключением модификаций оболочки UPX, включающих изменения в операции magic head и XOR. Доменные имена, сгенерированные DGA, предназначены для использования в качестве серверов командования и контроля (C2). Однако конечный адрес сервера C2 не получается напрямую, а требует сложного процесса, включающего запрос к нескольким общедоступным DNS-серверам и шаги дешифрования с использованием AES-256-CBC.

Чтобы проверить доступность сервера C2, автор реализовал механизм проверки, включающий генерацию контрольного кода на основе доменного имени и подключение к расшифрованному серверу C2. Функции этого варианта скрипта выходят за рамки типичных сценариев загрузки Mirai, включая такие функции, как удаление файлов, завершение процесса, проверка выполнения и механизмы обратной связи.

Таким образом, этот новый вариант Mirai демонстрирует сложность благодаря использованию DGA, нескольких алгоритмов шифрования и сложного процесса проверки для доступа к серверу C2. Постоянный характер вредоносного ПО, наряду с его расширенной функциональностью для выполнения различных команд, представляет значительную угрозу сетям и устройствам, на которые нацелен этот развивающийся вид ботнета Mirai. Организациям и специалистам по безопасности необходимо быть бдительными и готовыми к защите от таких продвинутых вредоносных программ, чтобы обеспечить безопасность и целостность своих систем.