#ParsedReport #CompletenessMedium
15-09-2025

The strongest in history? Revealing the inside story of AISURU, a super-large botnet in 11.5T

https://blog.xlab.qianxin.com/super-large-scale-botnet-aisuru/

Report completeness: Medium

Threats:
Aisuru
Airashi
Fodcha
Catddos
Rapperbot

Victims:
China, United states, Germany, United kingdom, Hong kong, Journalist blog

Industry:
Telco

Geo:
China, Germany, Hong kong, United kingdom

CVEs:
CVE-2013-5948 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-28771 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-50381 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2013-3307 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-35733 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-5259 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2013-1599 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-3721 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-44149 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1008, T1027, T1071.001, T1090, T1090.003, T1105, T1190, T1498, T1573.001, T1583.006, have more...

IOCs:
File: 5
Domain: 7
IP: 8
Hash: 7

Soft:
Zyxel,Zyxel,Zyxel,Zyxel, Zyxel, VirtualBox, QEMU, Linux

Algorithms:
rc4, chacha20, xor, base64, md5

Languages:
golang, php, javascript

Links:
https://github.com/wy876/POC/blob/main/%E4%B8%89%E6%B1%87%E7%BD%91%E5%85%B3%E7%AE%A1%E7%90%86%E8%BD%AF%E4%BB%B6/%E4%B8%89%E6%B1%87%E7%BD%91%E5%85%B3%E7%AE%A1%E7%90%86%E8%BD%AF%E4%BB%B6debug.php%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E.md?ref=blog.xlab.qianxin.com
https://github.com/netsecfish/tbk\_dvr\_command\_injection?ref=blog.xlab.qianxin.com
https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/admin/http/cnpilot\_r\_cmd\_exec.rb?ref=blog.xlab.qianxin.com
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет AISURU, связанный с бандой AISURU, достиг рекордной пропускной способности для DDoS-атак в 11,5 Тбит/с в 2025 году, используя различные векторы атак и вредоносные скрипты, включая сервер C2 через туннель GRE. Распространение вредоносного ПО использует известные уязвимости и уязвимости zero-day, особенно в таких устройствах, как маршрутизаторы Cambium Networks, при этом используются усовершенствованные методы шифрования, такие как модифицированный RC4 и HMAC-SHA256. Ботнет также переходит на предоставление анонимизированных услуг через сеть residential proxies, расширяя сферу своей деятельности.
-----

Ботнет AISURU стал значительным игроком на рынке DDoS-атак, продемонстрировав пиковую пропускную способность в 11,5 Тбит/с в 2025 году, установив новый рекорд для подобных инцидентов. Считается, что ботнет организован группой, известной как банда AISURU, состоящей из членов под кодовыми именами Сноу, Том и Форки, которые с 2022 года сотрудничали в различных проектах преступного мира. Анонимные источники предоставили ценную информацию о работе этого ботнет, которая, несмотря на трудности с проверкой этих утверждений, была подтверждена передовыми методами мониторинга, используемыми аналитиками безопасности.

Банда AISURU использовала различные векторы атак и вредоносные скрипты, такие как домен загрузчика с именем updatetoto.tw , который значительно повысил свой глобальный рейтинг благодаря успешным заражениям. Группа также использовала туннель GRE, сконфигурированный для функционирования в качестве сервера командования и контроля (C2), с подключениями, установленными в апреле 2025 года. Одна заметная отслеживаемая атака включала в себя трафик со скоростью 11,5 Тбит/с, нацеленный на IP-адрес 185.211.78.117, демонстрирующий значительные возможности ботнет.

Было замечено, что вредоносное ПО, связанное с AISURU, распространяется через сетевые уязвимости, включая как известные недостатки, так и эксплойты zero-day, в частности, нацеленные на такие устройства, как маршрутизатор Cambium Networks cnPilot. Статистика атак показывает, что охват AISURU обширен и охватывает несколько отраслей промышленности во многих странах, включая Соединенные Штаты и Германию, что указывает на отсутствие конкретных целей в ее деятельности.

Технический анализ вредоносного ПО выявил значительные обновления, особенно в методах шифрования, используемых для связи C2. Например, предыдущие стандартные алгоритмы шифрования были заменены модифицированными версиями алгоритма шифрования RC4 и методами проверки HMAC-SHA256, что улучшило маскировку вредоносных намерений. Кроме того, в образцах ботнет теперь используются механизмы для отключения функции Linux OOM Killer, что позволяет им поддерживать более длительное время выполнения даже при ограничениях памяти.

Недавние данные свидетельствуют о том, что AISURU не только занимается DDoS-атаками, но и занимается предоставлением анонимных услуг, поскольку спрос на эти предложения со стороны организаций, занимающихся киберпреступностью, растет. Инфраструктура, построенная ботнет, адаптируется для использования в качестве сети residential proxies, таким образом расширяя сферу ее применения за пределы традиционных методологий атак. Этот сдвиг представляет собой заметную тенденцию в области DDoS-атак, где ботнет эволюционирует для удовлетворения более широких потребностей киберпреступных операций.

#ParsedReport #CompletenessLow
15-09-2025

All that glitters is not gold: how malicious MCP servers emerged on the wave of AI popularity

https://securelist.ru/model-context-protocol-for-ai-integration-abused-in-supply-chain-attacks/113452/

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Ai assistants users, Developers

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056, T1190, T1195, T1204, T1546, T1557

Soft:
Docker

Algorithms:
base64

Functions:
send_metrics_via_api

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Протокол Model Context Protocol (MCP) содержит уязвимости, которые могут быть использованы для атак на supply chain, в первую очередь путем регистрации вредоносных серверов MCP, имитирующих законные. Злоумышленники могут вводить в заблуждение помощников с искусственным интеллектом, предоставляя несанкционированный доступ к данным и используя такие методы, как отравление MCP, которые могут выполнять скрытые команды во время обычных операций. Проверка концепции продемонстрировала, что вредоносные серверы MCP могут быть скрытно внедрены в легальные инструменты, собирая конфиденциальные данные и притворяясь, что выполняют безобидные задачи.
-----

Протокол Model Context Protocol (MCP) служит связующим интерфейсом для помощников искусственного интеллекта, но он также содержит уязвимости, которые могут быть использованы для атак на supply chain. Один из основных векторов атаки заключается в том, что злоумышленники регистрируют вредоносные серверы MCP с именами, похожими на законные. Это может ввести в заблуждение помощников искусственного интеллекта при взаимодействии с этими мошенническими серверами, что приведет к несанкционированному доступу к данным, включая токены и конфиденциальные запросы. Злоумышленники также могут использовать методы отравления MCP, когда скрытые команды маскируются в описаниях инструментов. Например, безобидная команда может не только выполнять свою предназначенную функцию, но и выполнять команду, которая раскрывает закрытый SSH-ключ пользователя.

Более того, вредоносный MCP-сервер может изменить определение существующих надежных инструментов. Он может копировать законный инструмент, внедряя вредоносные инструкции по перенаправлению. Этот тип манипуляций позволяет злоумышленникам использовать ранее существовавшее доверие и выполнять вредоносные действия без ведома пользователя. Сценарий, называемый "Оплошность с деньгами", показывает, как злоумышленник может завоевать доверие пользователей, прежде чем внедрять вредоносные обновления, такие как бэкдор, который автоматически интегрируется во время рутинных операций.

Уязвимости в реализациях платформы, подобные обнаруженным на GitHub, создают дополнительные риски. Например, создание проблем, вводящих в заблуждение, может заставить законные серверы MCP раскрывать информацию из закрытых хранилищ, тем самым способствуя утечке данных.

В статье описывается проверка концепции, проведенная Глобальным отделом экстренного реагирования на киберинциденты (GERT) "Лаборатории Касперского", подчеркивающая, насколько легко вредоносные серверы MCP могут быть установлены и развернуты в скомпрометированных системах. В ходе контролируемого тестирования эти инструменты оказались легитимными, хотя и содержали вредоносные модули, предназначенные для сбора конфиденциальных данных из среды разработчика и более широкой пользовательской системы под видом показателей производительности и ведения журнала.

Основная вредоносная функциональность находится в файле с именем project_metrics.py , в задачу которого входит сбор конфиденциальных данных, при этом Маскировка под безобидный инструмент мониторинга производительности. Это подчеркивает острую необходимость аудита безопасности и тщательной оценки инструментов, интегрированных в рабочие процессы разработки программного обеспечения, для предотвращения подобных злонамеренных действий.

#ParsedReport #CompletenessMedium
16-09-2025

RevengeHotels: a new wave of attacks leveraging LLMs and VenomRAT

https://securelist.com/revengehotels-attacks-with-ai-and-venomrat-across-latin-america/117493/

Report completeness: Medium

Actors/Campaigns:
Ta558 (motivation: cyber_criminal, information_theft)

Threats:
Venomrat
Revenge_rat
Nanocore_rat
Njrat
Xworm_rat
Desckvbrat
Quasar_rat
Hvnc_tool
Ngrok_tool
Trojan.win32.generic

Industry:
Entertainment

Geo:
Portuguese, Spain, Mexico, Argentina, Costa rica, Latin america, Belarus, Turkey, Brazil, Brazilian, Spanish, Russia, Bolivia, Chile

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


IOCs:
File: 9
Hash: 8
Registry: 1

Soft:
Windows Registry, Windows Defender, task scheduler

Algorithms:
aes, lzma, base64, md5, exhibit, aes-128

Functions:
RAT

Win API:
SeDebugPrivilege, RtlSetProcessIsCritical, SetThreadExecutionState

Languages:
powershell, javascript, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RevengeHotels, также известная как TA558, является хакерской группировкой, нацеленной на гостиничный сектор с 2015 года, главным образом для кражи информации о кредитных картах с помощью изощренных кампаний фишинга. Они используют вариант QuasarRAT под названием VenomRAT, который оснащен механизмами защиты от уничтожения и может распространяться через USB-накопители, обеспечивая закрепление и уклонение во время своих операций. Тактика группы расширилась и включает испаноязычные страны, совершенствуя свои стратегии фишинга за счет использования передовых инструментов, таких как большие языковые модели, для повышения эффективности своих атак.
-----

RevengeHotels, также известная как TA558, представляет собой хакерскую группировку, которая действует с 2015 года и в первую очередь нацелена на гостиничный сектор с целью кражи информации о кредитных картах у гостей отелей. Их стратегия атаки основана на рассылке фишингов электронных писем, которые побуждают получателей переходить по ссылкам, ведущим на сайты хранения поддельных документов. Эти сайты впоследствии загружают вредоносные скрипты, которые устанавливают троянские программы удаленного доступа (RAT) на компьютеры жертв. RAT позволяют злоумышленнику отдавать команды, красть конфиденциальные данные и поддерживать постоянный контроль над зараженными системами.

Группа обычно использует электронные письма с фишингом с тематикой выставления счетов, ориентированные на Адреса эл. почты для бронирования отелей, часто написанные на португальском языке, хотя также были отмечены попытки фишинга на испанском языке. Это указывает на расширение их охвата за пределы Бразилии и включение испаноязычных стран.

При открытии Вредоносной ссылки процесс заражения начинается с загрузки файла WScript JS, причем имена файлов меняются при каждой атаке, чтобы избежать обнаружения. Например, файл с именем Fat146571.js декодирует закодированный буфер, который сохраняется как скрипт PowerShell, выполняющийся несколько раз перед завершением.

Одним из основных типов вредоносного ПО, используемого RevengeHotels, является VenomRAT, усовершенствованная версия QuasarRAT с открытым исходным кодом, доступная для покупки в даркнете. VenomRAT включает функцию защиты от уничтожения, которая изменяет разрешения своего процесса для защиты от завершения, гарантируя, что RAT остается работоспособным в системе. Его сетевые возможности включают в себя создание пакетов на заказ и сериализацию в соответствии с конкретными командами, передаваемыми с сервера управления (C2).

Более того, VenomRAT может распространяться через USB-накопители, сканируя и копируя себя на съемные диски под именем My Pictures.exe . В нем реализованы различные методы скрытности, чтобы избежать обнаружения и отличаться от предыдущих вариантов RAT, повышая его закрепление и сложность удаления.

Недавний анализ показывает, что RevengeHotels не только усовершенствовала свои методы, но и расширила географию своей деятельности, теперь ориентируясь на отели и туристические компании во многих испаноязычных странах, таких как Аргентина, Боливия и Мексика. Злоумышленники используют передовые инструменты, в том числе агенты large language model (LLM), для создания и модификации контента для фишинга, что делает их кампании более сложными и адаптируемыми, поскольку они намерены продолжать развертывать атаки удаленного доступа с помощью VenomRAT.

#ParsedReport #CompletenessLow
16-09-2025

AWSDoor: Persistence on AWS

https://www.riskinsight-wavestone.com/en/2025/09/awsdoor-persistence-on-aws/

Report completeness: Low

Threats:
Awsdoor

Industry:
Critical_infrastructure, Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1069, T1078, T1090, T1090, T1098, T1098, T1098, T1098, T1136, have more...

IOCs:
File: 4
IP: 1

Soft:
DynamoDB, boto3, curl, systemd, GuardDuty

Algorithms:
zip, hmac

Functions:
CreatePolicy, CreatePolicyVersion, SetDefaultPolicyVersion, get, CreateSnapshot, GetCommandInvocation, LeaveOrganization

Win API:
DeleteObject

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AWSDoor освещает использование Amazon Веб-сервисов (AWS) злоумышленниками для поддержания постоянного доступа без использования традиционного вредоносного ПО. Злоумышленники манипулируют функциями AWS Identity and Access Management (IAM) и настройками безопасности, такими как создание ролей с повышенными привилегиями и развертывание обратных SSH-SOCKS-прокси для компрометации экземпляров EC2. Вмешиваясь в системы ведения журнала и оповещения, они могут уклоняться от обнаружения, отключать учетные записи от организаций и извлекать конфиденциальные данные, оставаясь незамеченными.
-----

AWSDoor освещает злоупотребление Amazon Веб-сервисами (AWS) для поддержания постоянного доступа со стороны злонамеренных акторов. В статье отмечается, что злоумышленники могут использовать функции AWS по управлению идентификацией и доступом (IAM) без необходимости развертывания традиционного вредоносного ПО. Вместо этого они изменяют политики IAM, создают новых пользователей и используют бэкдорные доверенные удостоверения, что позволяет им поддерживать доступ к облачным средам более скрытно, чем в локальных сценариях.

Один из рассмотренных методов заключается в манипулировании политиками доверия для предоставления повышенных привилегий. Злоумышленник может создать роль, которая выглядит безобидной, но на самом деле предоставляет права администратора. Например, лямбда-функция может быть запрограммирована на автоматическое повышение привилегий пользователя на основе обновлений в базе данных DynamoDB, что позволяет злоумышленникам динамически изменять уровни доступа по мере необходимости, оставаясь незамеченными.

Кроме того, злоумышленники могут использовать возможности AWS Systems Manager (SSM) для взлома инстансов EC2. Используя обратный SSH SOCKS-прокси, злоумышленник может закрепиться и выполнять команды удаленно. Эта тактика позволяет ему перемещаться по сети и поддерживать длительный доступ к конфиденциальным ресурсам.

Другим важным аспектом, о котором идет речь, является намеренное ослабление мер безопасности, называемое нарушением защиты. Злоумышленники могут отключить ведение журнала, изменять настройки безопасности или манипулировать системами оповещения, что значительно снижает шансы на обнаружение. Вероятность создания организационного следа, который будет распространяться по целевым учетным записям, снижается благодаря возможности злоумышленников изменять параметры выбора событий, чтобы предотвратить регистрацию важных данных.

Кроме того, отключив учетные записи AWS от организации, злоумышленники могут действовать без надзора. Они могут получать доступ к конфиденциальной информации из разделов и баз данных S3 и извлекать ее, в то время как организация продолжает функционировать в обычном режиме, что позволяет избежать возникновения аварийных ситуаций.

Реализация технологии AWSDoor включает в себя различные векторы атак, предназначенные для использования конфигураций IAM для обеспечения устойчивого доступа, таких как внедрение ключей доступа и политики инъекционного доверия. Системы мониторинга конечных пользователей часто упускают из виду определенные действия API, например, связанные с обновлением правил жизненного цикла, что позволяет злоумышленникам манипулировать доступностью данных, не привлекая внимания.

#ParsedReport #CompletenessMedium
16-09-2025

Deniability by Design: DNS-Driven Insights into a Malicious Ad Network

https://blogs.infoblox.com/threat-intelligence/deniability-by-design-dns-driven-insights-into-a-malicious-ad-network/

Report completeness: Medium

Actors/Campaigns:
Vane_viper (motivation: disinformation)
Doppelgnger (motivation: propaganda, disinformation)
Apt31
Master134

Threats:
4shared
Cloaking_technique
Lumma_stealer
Spear-phishing_technique
Gozi
Triada_trojan
Dollyway

Victims:
Adtech sector, Gambling sector, Piracy ecosystem, Pornography sector, Disinformation ecosystem, General internet users, Mobile users

Industry:
Entertainment, Financial, Healthcare, Retail

Geo:
Malta, Moscow, Anguilla, German, Singapore, London, Russia, Panama, Seychelles, Cyprus, Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1190, T1204, T1583.001, T1583.003, T1584.001, T1608, T1659

IOCs:
Url: 1
Domain: 13
Email: 1
IP: 3

Soft:
Webzilla, Monetag, BeMob, RollerAds, Opera

Algorithms:
exhibit

Functions:
Every

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 7, chats: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В отчете обсуждается киберугроза, исходящая от Vane Viper, связанной с сетью компаний adtech, особое внимание уделяется Вредоносной рекламе и незаконной деятельности, осуществляемой с помощью этих платформ. Злоумышленники используют среду adtech для постоянного доступа, используя такие методы, как push-уведомления в браузере, рассылка вредоносного ПО через вредоносные APK-файлы и сложные тактики уклонения, включая системы доставки, основанные на времени, и динамическое cloaking. Массовая регистрация почти 60 000 доменов в сочетании с подключениями к рискованным регистраторам подчеркивает масштаб и сложность угроз, исходящих от этой экосистемы.
-----

Ландшафт киберугроз все чаще маскируется в рамках основной цифровой рекламы, где злоумышленники используют платформы adtech для распространения вредоносного контента. Этот отчет посвящен важной организации в этой области, называемой Vane Viper, которая связана с кипрской холдинговой компанией AdTech Holding, объединяющей различные фирмы adtech и martech, включая PropellerAds. Запутанная сеть этих компаний распространяется, в частности, на Notix, Adex и ProPush, раскрывая сложную экосистему, где каждый игрок вносит свой вклад в целый ряд незаконных действий, таких как Вредоносная реклама, азартные игры, пиратство и дезинформация.

Связи AdTech Holding вызывают серьезные опасения по поводу подотчетности и позволяют акторам использовать двусмысленность в своей деятельности. URL Solutions, регистратор, связанный с этими фирмами, приобрел дурную славу, заняв место одного из самых рискованных регистраторов в соответствии с алгоритмами оценки репутации. Связь с Webzilla, компанией, принадлежащей Константину Безрученко и связанной с различными спонсируемыми государством и преступными действиями, еще раз иллюстрирует риски в рамках этой сети adtech. В частности, Webzilla была причастна к размещению инфраструктуры для известных угроз, таких как ботнет для мошенничества с рекламой Methbot и значительные кампании по дезинформации.

В рамках этой экосистемы вредоносные акторы используют push-уведомления в браузере для поддержания постоянного доступа к конечным точкам, что облегчает доставку киберугроз. Например, было показано, что пользователи сталкиваются с вредоносным ПО, таким как троян, доставляемый через вредоносный APK-файл на такие устройства, как Google Pixel, с доменов Vane Viper. В операции используются различные тактики, включая использование систем доставки, основанных на времени (TDS), скомпрометированных сайтов-двойников и методов динамического cloaking, чтобы скрыть свои истинные намерения.

Благодаря массовой регистрации почти 60 000 уникальных доменов, часто недолговечных, Vane Viper поддерживает масштабируемую инфраструктуру, которая позволяет ему эффективно устранять киберугрозы на обширной территории. Это включает в себя использование подключений к URL-решениям и Webzilla для облегчения вредоносных кампаний. Совокупность этих связей дает убедительное представление о сети, глубоко укоренившейся в Вредоносной рекламе и других незаконных предприятиях, где правдоподобное отрицание служит щитом для исполнителей этих киберугроз. Угроза, исходящая от таких организаций, подчеркивает настоятельную необходимость тщательного изучения и принятия более эффективных мер по борьбе с использованием законных платформ цифровой рекламы в злонамеренных целях.

#ParsedReport #CompletenessHigh
16-09-2025

UNMASKING A PYTHON STEALER XillenStealer

https://www.cyfirma.com/research/unmasking-a-python-stealer-xillenstealer/

Report completeness: High

Threats:
Xillenstealer
Process_injection_technique

Victims:
Cryptocurrency sector, Messaging platforms, Web browsers, General users

Industry:
Entertainment

Geo:
Russian

TTPs:
Tactics: 8
Technics: 13

IOCs:
File: 6
Url: 1

Soft:
Telegram, Chrome, Discord, Steam, PyInstaller, qemu, virtualbox, Linux, Task Scheduler, Vivaldi, have more...

Wallets:
exodus_wallet, atomicwallet, coinomi, electrum

Algorithms:
sha256, exhibit

Functions:
check_vm_sandbox, install_persistence, get_system_info, get_browser_data, get_encryption_key, decrypt_password, get_wallets, get_discord_tokens, get_steam_data, get_telegram_sessions, have more...

Win API:
IsDebuggerPresent

Languages:
rust, python, javascript, java

Platforms:
cross-platform

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
XillenStealer - это программа для кражи информации на основе Python с открытым исходным кодом, которая нацелена на конфиденциальные пользовательские данные, включая сведения об Аппаратном обеспечении, сетевые конфигурации и учетные данные криптовалюты, а также извлекает сохраненные учетные данные браузера и делает снимки экрана. Вредоносное ПО использует интегрированный конструктор для настройки и развертывания, внедряя методы антианализа и устанавливая закрепление с помощью планировщика задач при входе в систему. Злоумышленник, по-видимому, является молодым русскоязычным разработчиком, связанным с сетью киберпреступников, способствующих распространению и монетизации вредоносного ПО.
-----

XillenStealer - это программа для кражи информации на основе Python с открытым исходным кодом, обнаруженная на GitHub, предназначенная для сбора конфиденциальных пользовательских данных с помощью модульных скриптов и собственных библиотек. Его функциональные возможности включают извлечение сведений об Аппаратном обеспечении, идентификаторах хостов, сетевых конфигурациях и учетных данных криптовалюты. Кроме того, он может извлекать сохраненные учетные данные браузера и делать снимки экрана, расширяя диапазон информации, которую он может скомпрометировать.

Основным инструментом для развертывания XillenStealer является его интегрированный конструктор, известный как XillenStealer Builder V3.0, который представляет собой графический интерфейс Python Tkinter. Этот конструктор позволяет операторам настраивать и компилировать сборки вредоносного ПО с определенными конфигурациями. Доступ к конструктору защищен с помощью аутентификации по паролю, в которой используется хэширование SHA-256. Операторы могут устанавливать различные параметры эксфильтрации, включая определение имени похитителя, токена Telegram-бота и идентификатора целевого чата для передачи данных, которые направляются через Telegram. Графический интерфейс обеспечивает поддержку выборочной активации модуля, охватывающего такие приложения, как Discord, Steam, различные крипто-кошельки и игровые лаунчеры. Процесс сборки автоматизирован, создаются исполняемые файлы с помощью таких инструментов, как PyInstaller и UPX, при этом отслеживается прогресс и запрашивается ввод данных пользователем.

Ключевое поведение вредоносного ПО включает методы антианализа, которые проверяют наличие сред виртуализации или изолированной среды, используя функции для обнаружения распространенных сигнатур виртуальных машин и отладчиков. После выполнения XillenStealer устанавливает закрепление, создавая запись в планировщике задач, которая запускается при входе пользователя в систему. Он проводит систематические файловые операции в профилях браузеров, ставя под угрозу сохраненные учетные данные и данные сеанса из распространенных браузеров, таких как Chrome, Firefox и других. Вредоносное ПО также нацелено на каталоги криптовалютных кошельков, включая Exodus и Coinomi, для извлечения конфиденциальной финансовой информации, наряду с получением данных сеанса из Telegram.

Злоумышленник, связанный с XillenStealer, скорее всего, русскоговорящий, а пользовательский дескриптор "BengaminButton" указывает на молодого разработчика с опытом программирования и тестирования на проникновение. Их деятельность поддерживается сетью киберпреступников, известных как Xillen Killers, которые занимаются разработкой, распространением и монетизацией этого вредоносного ПО через сервисы подписки.

XillenStealer представляет собой сложную и универсальную угрозу, способную воздействовать на множество платформ, включая Windows, Linux и macOS. Это дает низкоквалифицированным операторам инструменты для настройки и развертывания эффективного вредоносного ПО, подчеркивая меняющийся ландшафт угроз и доступность таких киберпреступных ресурсов.

#ParsedReport #CompletenessLow
16-09-2025

Malware campaign abuses legitimate RMM tools via fake document sharing

https://cert-agid.gov.it/news/campagna-malware-abusa-di-strumenti-di-rmm-legittimi-tramite-falsa-condivisione-di-documenti/

Report completeness: Low

Threats:
Pdq_connect_tool
Action1_tool

Geo:
Italy

Soft:
Microsoft Outlook