#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что был обнаружен злоумышленник, использующий поддельные домены для распространения недавно обнаруженного бэкдора под названием "MadMxShell", нацеленного на ИТ-специалистов с помощью таких тактик, как опечатывание, вредоносная реклама с помощью рекламы Google и использование DNS для связи C2. Бэкдор использует различные методы обхода, чтобы избежать обнаружения, и осуществляет вредоносные действия в зараженных системах, что указывает на сложную и стратегическую кампанию по борьбе с киберугрозами.
-----

Zscaler ThreatLabZ обнаружил злоумышленника, использующего поддельные домены для распространения бэкдора под названием "MadMxShell", замаскированного под законные сайты программного обеспечения для сканирования IP-адресов.

Злоумышленник использовал тайпсквоттинг, рекламу Google и зарегистрированные поддельные домены для атаки на ИТ-специалистов, особенно на тех, кто занимается сетевым администрированием и безопасностью.

Бэкдор использует такие методы, как дополнительная загрузка библиотеки DLL, неправильное использование протокола DNS для передачи данных C2 и тактика обхода, позволяющая избежать использования решений для обеспечения безопасности, связанных с анализом памяти.

Вредоносная программа взаимодействует с удаленным сервером C2 посредством запросов DNS MX и закодированных ответов, выполняя такие действия, как сбор системной информации, выполнение команд и операции с файлами.

Бэкдор шифрует и зашифровывает свои функции, использует XOR-шифрование для конфиденциальных данных, создает уникальные идентификаторы и реализует короткие интервалы между сообщениями C2, чтобы избежать обнаружения.

Злоумышленник стратегически использует Google Ads для проведения вредоносной кампании и использует DNS для связи C2, демонстрируя изощренность в обходе мер безопасности.

Постоянные усилия по мониторингу и смягчению последствий необходимы для защиты от развивающихся киберугроз, а упреждающие меры кибербезопасности и анализ угроз имеют решающее значение для защиты.

Подробный технический анализ, IOCs и скрипт на Python для расшифровки трафика C2, связанного с этой кампанией, доступны в репозитории Zscaler на GitHub.

#ParsedReport #CompletenessLow
17-04-2024

GOLD IONIC Deploys INC Ransomware

https://www.secureworks.com/blog/gold-ionic-deploys-inc-ransomware

Report completeness: Low

Actors/Campaigns:
Inc_ransomware (motivation: financially_motivated, information_theft)
Gold_mystic (motivation: information_theft)
Lockbit (motivation: information_theft)
Gold_blazer (motivation: information_theft)
Donut

Threats:
Inc_ransomware
Citrix_bleed_vuln
Meterpreter_tool
Adfind_tool
Megasync_tool
Lockbit
Blackcat

Industry:
Healthcare, Education

Geo:
Russia

CVEs:
CVE-2023-4966 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.300, 12.1-55.297, 12.1, <13.0-92.19, 13.0, 13.0-91.13, <13.1-37.164, 13.1-37.159, 13.1, <13.1-49.15, 13.1-49.13, <14.1-8.50, 14.1)
- citrix netscaler gateway (<13.0-92.19, 13.0-91.13, 13.0, <13.1-49.15, 13.1-49.13, 13.1, <14.1-8.50, 14.1)


ChatGPT TTPs:
do not use without manual check
T1486, T1567, T1021, T1485, T1490, T1489, T1041, T1020

IOCs:
File: 3

Soft:
Active Directory, PsExec

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что подразделение Secureworks по борьбе с угрозами (CTU) отслеживает деятельность группы по выкупу INC, известной как GOLD IONIC, с момента ее появления в августе 2023 года. GOLD IONIC использует метод двойного вымогательства, ориентируясь на различные сектора по всему миру, но с акцентом на организации, базирующиеся в США. Группа последовательно внедряет программы-вымогатели с помощью различных инструментов и тактик, подчеркивая необходимость соблюдения организациями руководящих принципов кибербезопасности и повышения их устойчивости к атакам программ-вымогателей.
-----

Исследователи подразделения Secureworks Counter Threat Unit (CTU) активно отслеживают деятельность группы по выкупу INC, известной как GOLD IONIC, с момента ее появления в августе 2023 года. Эта группа злоумышленников использует распространенный метод двойного вымогательства, когда они извлекают данные перед шифрованием систем, а затем угрожают жертвам публичным разоблачением в качестве рычага давления при переговорах о выкупе. В период с августа 2023 по март 2024 года GOLD IONIC опубликовала список из 72 жертв на своем сайте по утечке данных Tor, а еще семь жертв были опубликованы в апреле. В то время как большинство жертв находятся в США, группа расширилась по всему миру, охватывая различные секторы, такие как промышленность, здравоохранение и образовательные организации.

В отличие от некоторых групп вымогателей, которые действуют через филиалы по модели "программа-вымогатель как услуга", GOLD IONIC, по-видимому, функционирует как закрытая группа. Виктимологический анализ группы указывает на то, что основное внимание уделяется организациям, базирующимся в США, при этом Великобритания является второй наиболее пострадавшей страной, что позволяет предположить, что их операции базируются в России или странах Содружества Независимых Государств (СНГ). Целевые сектора соответствуют типичным целям программ-вымогателей, среди которых выделяются промышленность, здравоохранение и образование.

Мероприятия по реагированию на инциденты, связанные с GOLD IONIC, выявили последовательное внедрение программ-вымогателей INC, которые часто получают первоначальный доступ через уязвимости, такие как эксплойт Citrix Bleed (CVE-2023-4966). Проникнув в сеть, злоумышленники используют различные инструменты, такие как Meterpreter, AdFind, WinRAR и Megasync, для фильтрации данных. Процесс шифрования с помощью программ-вымогателей включает в себя присвоение уникального двоичного имени файла каждой жертве, изменение расширения файла и вставку записки с требованием выкупа, в которой жертвам предлагается связаться с лицом, ответственным за угрозу.

Структура сайта утечки информации о выкупе INC напоминает структуру группы программ-вымогателей LockBit, но существует ограниченное количество доказательств, связывающих их. На сайте утечки также представлены жертвы других атак программ-вымогателей, что демонстрирует некоторую взаимосвязь в среде программ-вымогателей. Некоторые жертвы, указанные на сайте утечки в отношении GOLD IONIC, возможно, пострадали от программ-вымогателей, которыми управляли другие группы, в период бездействия GOLD IONIC, что указывает на сложное взаимодействие между операторами программ-вымогателей и аффилированными лицами.

Появление GOLD IONIC подчеркивает постоянную угрозу, исходящую от групп программ-вымогателей, использующих схожие тактики, методы и процедуры (TTP). Исследователи КТО рекомендуют организациям придерживаться рекомендаций по кибербезопасности, разработанных такими организациями, как CISA и NCSC, для повышения устойчивости к атакам программ-вымогателей. Внедрение и тестирование надежных планов реагирования на инциденты может помочь организациям эффективно реагировать на подобные угрозы, позволяя на ранней стадии обнаруживать вредоносные действия и предотвращать их, чтобы свести к минимуму последствия атак программ-вымогателей.

#ParsedReport #CompletenessLow
17-04-2024

Ransomware Deployment Attempts Via TeamViewer

https://www.huntress.com/blog/ransomware-deployment-attempts-via-teamviewer

Report completeness: Low

Threats:
Teamviewer_tool
Lockbit
Havoc

TTPs:
Tactics: 1
Technics: 3

IOCs:
File: 3
Path: 4
Hash: 1

Soft:
curl

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте рассказывается о том, как аналитики Huntress SOC расследовали два инцидента с программами-вымогателями, в ходе которых конечные точки были затронуты минимально, а участники угроз получили первоначальный доступ через TeamViewer. Эти инциденты подчеркнули важность соблюдения базовых правил безопасности для предотвращения несанкционированного доступа и потенциального вреда со стороны участников угроз.
-----

Аналитики Huntress SOC недавно уведомили клиентов о двух конечных точках, которые были минимально затронуты программой-вымогателем, зашифровав лишь несколько файлов canary. Не было обнаружено свидетельств того, что злоумышленник проводил разведку за пределами затронутых конечных точек или пытался переместиться в другие части инфраструктуры. Один из инцидентов был предотвращен из-за уже установленного программного обеспечения безопасности. Обнаруженные инциденты имели сходство с теми, которые обсуждались в блоге VMware под названием "Разблокирована программа-вымогатель LockBit 3.0" от 15 октября 2022 года.

В ходе расследования было установлено, что первоначальный доступ к обеим конечным точкам был получен через TeamViewer. Журналы TeamViewer connections_incoming.txt показали, что субъект угрозы имел доступ к каждой конечной точке. Для конечной точки A несколько пользователей, идентифицированных Huntress как законные администраторы, неоднократно обращались к системе с разных конечных точек, некоторые из которых имели "-HOME" в своих именах. Для конечной точки B записи в журнале были датированы 2018 годом и показали, что последний сеанс входа в систему через TeamViewer произошел более чем за три месяца до получения доступа злоумышленником. В предыдущих случаях, которые наблюдала Huntress, злоумышленники использовали TeamViewer для развертывания майнеров криптовалюты и для фильтрации данных с помощью curl.exe.

Развертывание программы-вымогателя на обеих конечных точках началось с пакетного файла DOS, запущенного с рабочего стола пользователя. Программа-вымогатель, содержащаяся в одной конечной точке, затронула исключительно конечную точку A.

Подчеркивается, что основные методы обеспечения безопасности основаны на ведении учета активов, включая физические и виртуальные конечные точки, а также установленные приложения. Инциденты, проанализированные аналитиками Huntress SOC, показывают, как участники угроз используют любые доступные средства доступа к отдельным конечным точкам для нанесения ущерба и потенциального расширения своего влияния в инфраструктуре.

#ParsedReport #CompletenessLow
17-04-2024

Kapeka: A novel backdoor spotted in Eastern Europe

https://labs.withsecure.com/publications/kapeka.html

Report completeness: Low

Actors/Campaigns:
Sandworm

Threats:
Kapeka
Prestige_ransomware
Greyenergy

Industry:
Government

Geo:
Russian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1547, T1082, T1105, T1588

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ключевые моменты:.
Компания WithSecure обнаружила новый бэкдор под названием "Kapeka", используемый для кибератак в Восточной Европе.
Kapeka - это универсальный бэкдор с возможностями для атак на ранней стадии и долгосрочного доступа к системе.
Обнаружено сходство между вредоносными программами Kapeka, GreyEnergy и Prestige ransomware, связанными с группировкой Sandworm, которая, как полагают, является российской организацией, управляемой ГРУ.
Kapeka развертывает дроппер, собирает данные и позволяет выполнять команды в скомпрометированных системах.
Связь с продолжающимся конфликтом между Россией и Украиной, с целенаправленными атаками, которые наблюдались после украинского вторжения.
Отчет WithSecure направлен на то, чтобы предупредить предприятия и правительства о Kapeka и ее связи с Sandworm, распространяя расширенные копии среди избранных организаций и публикуя результаты исследований.
-----

Компания WithSecure недавно обнаружила новый бэкдор под названием "Kapeka", который с середины 2022 года используется в кибератаках на жертв в Восточной Европе. Вредоносная программа описывается как универсальный бэкдор, оснащенный возможностями для использования злоумышленниками на ранней стадии в качестве инструментария и обеспечения долгосрочного доступа к скомпрометированным системам. Сложность и уровень скрытности, продемонстрированные Kapeka, свидетельствуют о том, что в ней задействован продвинутый агент по борьбе с постоянными угрозами (APT).

Особый интерес представляет обнаружение общих черт между Kapeka, вредоносной программой GreyEnergy и программой-вымогателем Prestige, которые были отнесены к группе угроз, известной как Sandworm. "Песчаный червь" - это известная российская национальная государственная организация, которая, как полагают, управляется Главным управлением Генерального штаба Вооруженных сил Российской Федерации (ГРУ). Группа получила известность за проведение деструктивных киберопераций в Украине для продвижения российских интересов в регионе.

Kapeka предназначена для развертывания дроппера, который устанавливает и запускает бэкдор в системе жертвы перед самоуничтожением. Функциональность бэкдора включает в себя сбор системных и пользовательских данных, отправку этой информации субъектам угрозы для анализа и обеспечение выполнения команд на скомпрометированном компьютере. Хотя конкретные методы распространения бэкдора Kapeka компанией Sandworm остаются неясными, его разработка и внедрение, по-видимому, согласуются с продолжающимся конфликтом между Россией и Украиной, когда целенаправленные атаки наблюдались по всей Центральной и Восточной Европе после вторжения на Украину в 2022 году.

В отчете WithSecure представлен подробный технический анализ Kapeka, проливающий свет на его функции и возможности, а также прослеживается связь между бэкдором и группой угроз Sandworm. Основная цель отчета - предупредить предприятия, правительственные учреждения и более широкое сообщество специалистов по безопасности о появлении Kapeka и ее связи с таким изощренным агентом угроз, как Sandworm. WithSecure поделилась расширенными копиями отчета с некоторыми правительствами и заказчиками, а также выпускает различные исследовательские артефакты, включая такие инструменты, как средство извлечения конфигурации на основе реестра и жесткого кода, скрипт для расшифровки и моделирования сетевого взаимодействия бэкдора, а также индикаторы компрометации, правила YARA и MITRE ATT.&Отображения CK, полученные в результате их исследования.

#ParsedReport #CompletenessLow
17-04-2024

Attackers exploiting new critical OpenMetadata vulnerabilities on Kubernetes clusters

https://www.microsoft.com/en-us/security/blog/2024/04/17/attackers-exploiting-new-critical-openmetadata-vulnerabilities-on-kubernetes-clusters

Report completeness: Low

Threats:
Interactsh_tool
Netcat_tool

Victims:
Users of openmetadata

Geo:
China

CVEs:
CVE-2024-28254 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-28848 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-28253 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-28255 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-28847 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1071, T1105, T1059, T1064, T1053, T1133, T1102

IOCs:
Domain: 2
Hash: 3
IP: 3

Soft:
OpenMetadata, Microsoft Defender

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что злоумышленники нацеливаются на среду Kubernetes, используя критические уязвимости в OpenMetadata для криптомайнинга. Злоумышленники используют обнаруженные уязвимости, затрагивающие версии ниже 1.3.1, для обхода аутентификации, выполнения удаленного кода, проведения разведки через домены OAST, загрузки вредоносного ПО, связанного с криптомайнингом, установления соединений удаленного доступа и обеспечения постоянного выполнения вредоносного кода. В нем подчеркивается важность поддержания исправленных рабочих нагрузок, применения надежных решений для обеспечения безопасности и таких инструментов, как Microsoft Defender для контейнеров и Azure Kubernetes Service с Microsoft Sentinel, для комплексного мониторинга с целью эффективного обнаружения угроз и реагирования на них.
-----

Злоумышленники нацелены на среду Kubernetes, используя критические уязвимости в OpenMetadata для проведения криптомайнинга. Эти уязвимости (CVE-2024-28255, CVE-2024-28847, CVE-2024-28253, CVE-2024-28848, CVE-2024-28254) были обнаружены 15 марта 2024 года и затрагивают версии ниже 1.3.1. Используя эти уязвимости, злоумышленники могут обойти аутентификацию и выполнить удаленный код на своем компьютере. Рабочие нагрузки Kubernetes. Корпорация Майкрософт рекомендует клиентам обеспечить обновление рабочих нагрузок OpenMetadata до версии 1.3.1 или более поздней, чтобы снизить риск.

После первоначального взлома злоумышленники проводят разведку, отправляя запросы ping на домены OAST, связанные с Interactsh, чтобы проверить подключение, не вызывая предупреждений системы безопасности. Получив подтверждение, они загружают вредоносное ПО, связанное с криптомайнингом, с сервера в Китае. Затем злоумышленники запускают вредоносное ПО, устанавливают обратное командное соединение с помощью Netcat для удаленного доступа и используют cronjobs для сохранения, позволяя периодически выполнять вредоносный код.

Эта атака подчеркивает важность поддержания исправленных рабочих нагрузок в контейнерных средах и использования надежных решений для обеспечения безопасности. Microsoft Defender для контейнеров обнаружил вредоносную активность, в частности, предупреждение о запуске обратной оболочки из контейнера в кластере Kubernetes. Организации могут повысить уровень своей безопасности, используя Microsoft Sentinel со службой Azure Kubernetes, которая обеспечивает всесторонний мониторинг вредоносных действий в кластерах Kubernetes.

Таким образом, эта атака использует уязвимости в OpenMetadata для компрометации сред Kubernetes для криптомайнинга, подчеркивая необходимость поддержания обновленных рабочих нагрузок и использования эффективных решений безопасности для эффективного обнаружения угроз и реагирования на них.

#ParsedReport #CompletenessMedium
18-04-2024

Palo Alto Networks PAN-OS Command Injection Vulnerability (CVE-2024-3400)

https://nsfocusglobal.com/palo-alto-networks-pan-os-command-injection-vulnerability-cve-2024-3400

Report completeness: Medium

Threats:
Upstyle_backdoor

Victims:
Palo alto networks

Industry:
Telco, Financial

Geo:
China, Usa

CVEs:
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 11.0.0, 11.1.0)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1068, T1059

IOCs:
Hash: 2
IP: 3
Url: 2
Domain: 1

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessLow
18-04-2024

Infostealer produced and distributed with Electron

https://asec.ahnlab.com/ko/64285

Report completeness: Low

Threats:
Teamviewer_tool

ChatGPT TTPs:
do not use without manual check
T1566, T1553, T1027

IOCs:
File: 4
Hash: 3

Soft:
Discord, VSCode, node.js, NSIS installer

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кибератакующие используют платформу Electron для распространения вредоносного ПО внутри приложений, подчеркивая необходимость принятия надежных мер безопасности для защиты от развивающихся киберугроз.
-----

Electron - это универсальный фреймворк, который позволяет разработчикам создавать приложения с использованием JavaScript, HTML и CSS. Заслуживающие внимания приложения, такие как Discord и Microsoft VSCode, были разработаны с использованием Electron. Как правило, приложения на базе Electron упаковываются и распространяются с использованием установщиков NSIS (Nullsoft Scriptable Install System). Однако киберпреступники используют этот метод распространения для внедрения вредоносных программ в электронные приложения.

Когда запускается вредоносный код, он устанавливает и запускает приложение Electron с определенной структурой папок. Благодаря интеграции Electron с операционной системой посредством node.js, фактические вредоносные действия определяются в скрипте node.js, обычно упакованном в asar-файл, который находится в пути app\resources. В этом процессе часто используется npm asar, и полный код можно просмотреть, распаковав его. Вредоносное поведение обычно записывается в виде сценария в файле с именем a.js.

В ходе отдельного инцидента был обнаружен вариант вредоносного ПО, маскирующийся под файл, связанный с TeamViewer, который загружал пользовательские данные в файлообменный сервис gofile. Хотя вредоносный код обычно выполняется непосредственно сценарием NSI в программе установки NSIS, упомянутые случаи представляют дополнительную сложность из-за платформы Electron, что затрудняет как пользователям, так и решениям по обеспечению безопасности выявление вредоносного характера кода.

Эта хитрая тактика подчеркивает важность тщательных мер безопасности при работе с электронными приложениями. Это также подчеркивает эволюцию методов, используемых киберпреступниками для сокрытия своих вредоносных действий и уклонения от обнаружения. Таким образом, организациям и специалистам по безопасности необходимо сохранять бдительность и постоянно обновлять свои аналитические данные об угрозах для защиты от таких сложных киберугроз, нацеленных на популярные платформы, такие как Electron.

#ParsedReport #CompletenessHigh
17-04-2024

Redline Stealer: A Novel Approach

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/redline-stealer-a-novel-approach

Report completeness: High

Threats:
Redline_stealer
Lolbin_technique
Procmon_tool

Geo:
Australia, America, Asia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1027, T1059.001, T1574.002, T1547.001, T1546.012, T1105, T1070.004, T1112, T1041, have more...

IOCs:
Url: 2
Path: 4
File: 6
IP: 1
Hash: 4

Soft:
Windows Setup, Windows registry

Algorithms:
xor, zip, base64

Functions:
RegQueryValueEx

Win API:
CreateMutexExW, LdrLoaddll, RegOpenKeyExA, GetComputerNameA

Languages:
lua, jscript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе нового варианта троянца Redline Stealer, использующего байт-код Lua для вредоносных действий, распространяемого через GitHub, со сложными методами обфускации и связью с командно-контрольным сервером, представляющего значительную угрозу для нескольких регионов.
-----

Был обнаружен новый упакованный вариант троянца Redline Stealer, использующий байт-код Lua для вредоносных действий. Данные McAfee указывают на то, что этот вид вредоносного ПО широко распространен в различных регионах, включая Северную Америку, Южную Америку, Европу, Азию и Австралию. Вредоносная программа распространяется через GitHub, в частности, через официальную учетную запись Microsoft в репозитории vcpkg. Вредоносный файл с именем Cheat.Lab.2.7.2.zip с хэшем 5e37b3289054d5e774c02a6ec4915a60156d715f3a02aaceb7256cc3ebdc6610, размещенным на GitHub. Однако McAfee Web Advisor обнаруживает и блокирует доступ к этой загрузке.

После анализа было обнаружено, что Cheat.Lab.2.7.2.zip это zip-файл, содержащий установщик MSI, который, в свою очередь, включает в себя два PE-файла и предполагаемый текстовый файл. Двоичные файлы, присутствующие в установщике MSI, Compiler.exe и lua51.dll изначально взяты из проекта Lua, но были слегка изменены злоумышленниками в злонамеренных целях. Эти файлы используются вместе с текстовым файлом, содержащим байт-код Lua, для компиляции и выполнения во время выполнения с использованием Lua JIT, компилятора Just-In-Time для языка программирования Lua.

Вредоносная программа использует различные методы обфускации, такие как использование байт-кода Lua в файле readme.txt, чтобы избежать обнаружения и повысить скрытность. Во время установки программа установки MSI отображает пользовательский интерфейс, предлагающий пользователю распространить вредоносное ПО среди друзей, установив его на их компьютеры. Вредоносная программа устанавливает постоянство, создавая запланированную задачу для выполнения compiler.exe с аргументом файла байт-кода Lua. Кроме того, он использует второй метод сохранения, копируя файлы в произвольную папку в ProgramData с измененными именами файлов и удаляя файл ErrorHandler.cmd по адресу C:\Windows\Setup\Scripts.

Связь с сервером управления (C2) осуществляется по протоколу HTTP, при этом на IP-адрес сервера, относящегося к семейству Redline, отправляется запрос HTTP PUT. Вредоносная программа собирает системную информацию и отправляет ее на сервер C2 для получения дальнейших инструкций и извлечения данных.

Попытки декомпилировать файл байт-кода Lua оказались сложными, поскольку различные декомпиляторы с открытым исходным кодом предоставляют несколько разные сценарии и сталкиваются с ошибками во время компиляции. Перед выполнением байт-кода Lua JIT создается новое состояние Lua для поддержания изоляции между различными экземплярами кода Lua, обеспечивая разделение глобальных сред и стеков. Байт-код jit загружается с помощью функции экспорта luaL_loadfile из lua51 с дальнейшим доступом к функциям Windows API через интеграцию с ffi.

Подводя итог, можно сказать, что новый вариант троянца Redline Stealer отличается изощренным использованием байт-кода Lua и методов обфускации, позволяющих избежать обнаружения и сохранять устойчивость в зараженных системах. Его широкое распространение во многих регионах представляет серьезную угрозу для пользователей и организаций, что подчеркивает важность надежных мер кибербезопасности для противодействия таким передовым видам вредоносного ПО.