#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года была проанализирована активность APT28 в области вредоносного ПО, в результате чего были выявлены два инструмента, BeardShell и Covenant, связанные с группой, демонстрирующие их эволюцию в разработке вредоносного ПО. Цепочка заражения использует spearphishing с вредоносными документами Office, содержащими макросы, которые загружают HTTP-Grunt Stager платформы Covenant, который выполняется через CLR. APT28 использует облачную инфраструктуру Koofr для обмена данными управления и использует сложные методы запутывания для своих бэкдоров, включая однобайтовые шифры XOR и механизмы загрузки, подобные прокси, в своих компонентах.
-----

В начале 2025 года деятельность APT28's была тщательно изучена Sekoia.io Команда по обнаружению угроз и реагированию на них (TDR) после получения двух ранее невидимых образцов вредоносного ПО, связанных с группой. Вслед за этим CERT-UA опубликовала отчет о двух вредоносных инструментах, BeardShell и Covenant, приписав их APT28. Детальный анализ показал, что образцы, полученные с помощью Sekoia.io и те, которые обсуждались CERT-UA, были идентичны, демонстрируя непрерывную эволюцию группы в разработке вредоносного ПО.

Цепочка заражения в основном действует с помощью тактики spearphishing, при которой злоумышленник выдает себя за коллегу или начальника, чтобы заставить получателя открыть вредоносный документ Office. В этом документе используются макросы Visual Basic, которые инициируют заражение. Один идентифицированный образец содержит макрос, который вызывает шелл-код, предназначенный для загрузки нового переносимого исполняемого файла (PE), в частности модуля HTTP Grunt Stager платформы Covenant. Этот модуль инициализирует среду выполнения Common Language Runtime (CLR) для выполнения ее функциональных возможностей.

Примечательный прием в этой кампании связан с использованием законной облачной инфраструктуры Koofr, которую APT28 использовал для обмена данными управления. После установления соединения с жестко запрограммированной учетной записью Koofr вредоносное ПО проверяет наличие определенных каталогов, создавая их, если они отсутствуют. Коммуникационная модель включает гибридное шифрование для безопасного обмена ключами, позволяющее загружать зашифрованные данные в хранилище Koofr. Более того, вредоносное ПО регулярно опрашивает сервер на наличие новых команд, что указывает на систематический и методичный подход к поддержанию закрепления и расширению операционных возможностей.

Бэкдор BeardShell, созданный на C++, в основном выполняет команды PowerShell и работает через аналогичный зашифрованный способ связи с использованием учетной записи icdrive. Его архитектура в значительной степени опирается на информацию о типе во время выполнения (RTTI) и реализует ряд команд, закодированных в формате JSON. Интересно, что в нем используется механизм загрузки, который добавляет сложности и запутывания, демонстрируя использование однобайтовых шифров XOR для шифрования строк.

Операция также вводит библиотеку DLL с именем SlimAgent, удаленную вместе с BeardShell, которая демонстрирует структурное сходство с вышеупомянутыми вредоносными библиотеками. Примечательно, что как SlimAgent, так и библиотека DLL второго этапа используют механизм загрузки, подобный прокси-серверу, основанный на процессе размещения, что предполагает согласованную методологию работы этих вариантов вредоносного ПО.

#ParsedReport #CompletenessHigh
16-09-2025

FileFix in the wild! New FileFix campaign goes beyond POC and leverages steganography

https://www.acronis.com/en-us/tru/posts/filefix-in-the-wild-new-filefix-campaign-goes-beyond-poc-and-leverages-steganography/

Report completeness: High

Threats:
Filefix_technique
Steganography_technique
Clickfix_technique
Stealc
Promptfix_technique
Fakecaptcha_technique

Victims:
Facebook users, General internet users

Industry:
Entertainment

Geo:
Japanese, German, Bangladesh, Dominican republic, Russian, Tunisia, Peru, Polish, Nepal, Spanish, China, Germany, Philippines, Chinese, French, Serbia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.010, T1036, T1059.001, T1105, T1140, T1204.001, T1497.001, T1566.002, T1566.003, have more...

IOCs:
File: 2
Domain: 7
IP: 1
Hash: 9
Url: 4

Soft:
Chrome, FireFox, Maxthon, Electrum-LTC, Ledger Live, Telegram, Discord, Pidgin, OLLVM

Wallets:
daedalus, mainnet, wassabi, electrum, electron_cash, multidoge, jaxx, atomicwallet, coinomi, guarda_wallet, have more...

Crypto:
bitcoin, dogecoin, ethereum, binance

Algorithms:
base64, gzip, xor, rc4

Functions:
getNtAllocateVirtualMemory, getEnumDisplayDevicesA

Win API:
decompress, EnumDisplayDevicesA, NtAllocateVirtualMemory

Languages:
javascript, powershell

Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-05-16-IOCs-on-recent-ClickFix-activity.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания FileFix, являющаяся частью более широкой структуры атак "AllFix", использует продвинутую тактику фишинга с тщательно разработанным сайтом, который обманом заставляет жертв инициировать атаку. Все начинается с вводящего в заблуждение электронного письма с поддельным уведомлением о безопасности Facebook, что приводит к сильно запутанной платформе JavaScript. Атака использует сложный механизм, включающий команду PowerShell для доставки полезной нагрузки, скрытой в изображении, которая расшифровывается и выполняется загрузчиком, написанным на Go, что приводит к работе вредоносного ПО-похитителя информации под названием "StealC"..
-----

Исследователи из подразделения Acronis по исследованию угроз обнаружили сложную кампанию active FileFix, которая знаменует собой значительную эволюцию по сравнению с первоначальной проверкой концепции (POC). Эта кампания классифицируется под общим термином "атаки AllFix", которые охватывают различные методы, включая ClickFix и FileFix. Вариант FileFix заметно отличается по своему исполнению, демонстрируя тщательно созданный сайт фишинга, который побуждает жертв инициировать атаку.

Атака начинается с электронного письма с фишингом, которое выдает себя за систему безопасности Facebook, побуждая жертву посетить сайт фишинга. Платформа для фишинга использует продвинутый JavaScript, характеризующийся обширной системой запутывания для маскировки вредоносных действий, что увеличивает потенциальный успех атаки.

Фактическая доставка полезной нагрузки осуществляется с помощью сложного механизма. Все начинается с одной команды PowerShell, частично запутанной в Base64, что указывает на сложное отклонение от типичных структур атак, которые обычно используют более четкие полезные нагрузки. Эта начальная полезная нагрузка включает в себя стеганографический метод, при котором сценарий второго этапа расшифровывает исполняемую полезную нагрузку, скрытую в безобидном на вид изображении.

Второй этап атаки включает в себя извлечение и выполнение определенной полезной нагрузки, используя расшифровку RC4 для доступа к зашифрованным файлам внутри изображения. На этом этапе выполняется запутанный загрузчик, написанный на Go, который отвечает за загрузку шеллкода в память. Конечная полезная нагрузка, идентифицированная как "StealC", выполняет функцию похитителя и загрузчика информации.

Важно отметить, что кампания FileFix за короткий период продемонстрировала признаки быстрого развития. Первоначально в нем использовался одноступенчатый сценарий, но с тех пор он расширился, включив более сложную структуру с несколькими этапами и потенциальной дополнительной полезной нагрузкой. Расследования показали, что кампания не ограничивалась конкретным регионом, с признаками активности в разных странах, что подтверждается языковыми вариациями на сайте фишинга.

Сложные методы обфускации и стратегическое использование Стеганографии указывают на заметный сдвиг в методологиях атак, подчеркивая необходимость повышенной бдительности в отношении таких продвинутых угроз, которые стирают границы между вредоносным программным обеспечением и законным поведением.

#ParsedReport #CompletenessLow
16-09-2025

Self-replicating Shai-hulud worm spreads token-stealing malware on npm

https://www.reversinglabs.com/blog/shai-hulud-worm-npm

Report completeness: Low

Actors/Campaigns:
S1ngularity

Threats:
Shai-hulud
Sobig
Wannacry
Eternal_petya

Victims:
Open source maintainers, Npm developers, Software development ecosystem

Industry:
Software_development

ChatGPT TTPs:
do not use without manual check
T1059.007, T1105, T1195, T1204, T1213, T1528, T1552, T1552.001, T1552.004, T1566, have more...

IOCs:
File: 3
Url: 1
Hash: 362

Soft:
Twitter

Algorithms:
base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ReversingLabs выявила нового самовоспроизводящегося червя под названием "Shai-hulud", который нацелен на пакеты npm, используя скомпрометированные учетные записи для внедрения вредоносных полезных нагрузок JavaScript. Этот червь, обнаруженный 15 сентября 2023 года, включает в себя функцию обновления пакетов с помощью своего вредоносного кода, что позволяет ему распространяться автономно. В первую очередь он извлекает конфиденциальную информацию, включая токены облачных сервисов, и имеет возможность преобразовывать частные репозитории GitHub в общедоступные, потенциально выявляя уязвимости в исходном коде.
-----

Исследователи из ReversingLabs обнаружили червя "Shai-hulud", первое самовоспроизводящееся вредоносное ПО, нацеленное на пакеты npm. Обнаруженный 15 сентября 2023 года червь использует скомпрометированные учетные записи npm, внедряя вредоносный код как в общедоступные, так и в частные пакеты. Несмотря на то, что истоки кампании "Шаи-хулуд" или ее акторов до конца не установлены, были проведены параллели с предыдущим компромиссом, известным как атака Nx. Обе кампании сосредоточены на популярных пакетах с открытым исходным кодом и направлены на сбор конфиденциальной информации из зараженных сред, используя учетные записи пользователей на GitHub для эксфильтрации данных.

Shai-hulud - это большая полезная нагрузка JavaScript, превышающая 3 МБ, состоящая в основном из вредоносного "bundle.js - файл. Он реализует поведение, подобное червю, автономно обновляя скомпрометированный пакет npm этим Вредоносным файлом с помощью функции, называемой updatePackage. Эта функция изменяет файл package.json, добавляя сценарий постустановки, который включает в себя bundle.js в упаковке, повышающей способность червя к размножению.

Помимо простого распространения, Shai-hulud обладает значительными возможностями для извлечения конфиденциальной информации разработчиков. В первую очередь он ориентирован на токены облачных сервисов, ориентируясь на токены npm, GitHub, AWS и Google Cloud Platform. Кроме того, он устанавливает Trufflehog, инструмент с открытым исходным кодом, предназначенный для обнаружения более 800 типов секретов, что значительно увеличивает его потенциал для кражи данных.

Еще одной тревожной особенностью этого червя является его способность "переносить" частные репозитории GitHub в общедоступные. Эта функция направлена на извлечение жестко закодированных секретов и исходного кода из частных хранилищ, что потенциально позволяет злоумышленникам анализировать код на наличие уязвимостей, которые могут быть использованы в будущих атаках. Первоначальный взлом был связан с пакетом npm "rxnt-аутентификация", а именно с версией 0.0.3, опубликованной незадолго до обнаружения Worm.

Существуют сходства с другими недавними кампаниями npm, в которых использовались методы фишинга и социальной инженерии для получения контроля над учетными записями разработчиков с открытым исходным кодом. Примечательно, что пострадали высокопоставленные разработчики npm, что подчеркивает тревожную тенденцию автоматического распространения вредоносного ПО в экосистемах с открытым исходным кодом.

В конечном счете, червь Shai-hulud поднимает важные вопросы о безопасности реестров с открытым исходным кодом. В отличие от традиционного вредоносного ПО, которое распространяется через взаимодействие с человеком или системные уязвимости, этот самовоспроизводящийся червь использует непрерывные процессы интеграции и доставки, что приводит к быстрому распространению. Необходимость в превентивных мерах, таких как механизм временной остановки публикации пакетов, может оказаться существенной для смягчения будущих угроз в таких средах. Для разработчиков и пользователей бдительность является ключевым фактором; они должны искать признаки заражения, такие как репозитории с описанием "Миграции Шаи-Хулуд" или ветви с именем "шаи-хулуд", чтобы выявить потенциальные компромиссы.

#ParsedReport #CompletenessHigh
17-09-2025

NGC6061: a series of phishing attacks on authorities

https://rt-solar.ru/solar-4rays/blog/6064/

Report completeness: High

Actors/Campaigns:
Ngc6061
Obstinate_mogwai
Red_delta

Threats:
Metasploit_tool
Dll_sideloading_technique
Darkgate

Victims:
Public sector

Geo:
Asian, Spanish, Russia, Russian, Russian federation

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1566

IOCs:
Command: 3
File: 23
Path: 17
Url: 6
IP: 7
Domain: 4
Coin: 1
Email: 7
Hash: 31

Soft:
Microsoft Word, OLLVM

Algorithms:
aes-128-ecb, xor, base64, sha1, sha256, md5

Functions:
Get-ChildItem

Languages:
powershell

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 1, schema: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С сентября 2024 года целенаправленные атаки фишинга, приписываемые злоумышленнику NGC6061, связанному с кластером Cybercrown, были сосредоточены на российских организациях государственного сектора. Эти попытки фишинга обычно связаны с вводящими в заблуждение электронными письмами, которые выдают себя за законных лиц, с целью обманом заставить получателей перейти по Вредоносным ссылкам или загрузить вредоносные вложения для компрометации конфиденциальных систем. Проводимые мероприятия подчеркивают, что фишинг является постоянной тактикой получения конфиденциальной информации и несанкционированного доступа к сети.
-----

С сентября 2024 года на российские организации государственного сектора была направлена серия целенаправленных атак с использованием фишинга, приписываемых злоумышленнику, который, как полагают, является частью кластера Cybercrown, обозначенного как NGC6061. Эта кампания демонстрирует устойчивый характер фишинга как тактики, используемой киберпреступниками для компрометации чувствительных правительственных систем.

Электронные письма с фишингом, используемые в этих атаках, обычно выдают себя за законных лиц, пытаясь обманом заставить получателей либо перейти по Вредоносным ссылкам, либо загрузить вредоносные вложения. Точная тактика и методы, используемые NGC6061, хотя и не детализированы полностью, предполагают стратегическое нацеливание на государственные органы с намерением получить конфиденциальную информацию или получить несанкционированный доступ к сетям.

Поскольку деятельность кластера NGC6061 продолжает разворачиваться, понимание методологий, лежащих в основе таких кампаний по фишингу, имеет решающее значение для усиления защитных механизмов в затронутых секторах. Организациям настоятельно рекомендуется сохранять бдительность и применять надежные стратегии обнаружения фишинга в рамках своей политики кибербезопасности, чтобы снизить риски, связанные с этими типами атак.

#ParsedReport #CompletenessHigh
17-09-2025

From the Depths: Analyzing the Cthulhu Stealer Malware for macOS

https://www.darktrace.com/blog/from-the-depths-analyzing-the-cthulhu-stealer-malware-for-macos

Report completeness: High

Actors/Campaigns:
Rhysida
Vice_society

Threats:
Cthulhu_stealer
Amos_stealer
Silversparrow
Keranger
Chainbreak_tool
Seo_poisoning_technique
Putty_tool
Oyster
Typosquatting_technique
Rhysida
Dll_sideloading_technique
Spear-phishing_technique

Victims:
Macos users, It administrators

Industry:
E-commerce, Government

TTPs:
Tactics: 2
Technics: 18

IOCs:
File: 12
Hash: 6
IP: 4
Url: 4
Domain: 4

Soft:
macOS, Chrome, Telegram, Firefox, Gatekeeper, acOS St, Windows Scheduled Task, WordPress, curl

Wallets:
metamask, coinbase, wassabi, daedalus, electrum, atomicwallet, harmony_wallet, coinomi

Crypto:
enjin

Algorithms:
zip, md5

Languages:
golang, applescript, javascript

Platforms:
apple, arm

YARA: Found

Links:
https://github.com/n0fate/chainbreaker

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cthulhu Stealer - это вредоносное ПО для macOS, написанное на Go, предназначенное для кражи учетных данных и информации о криптовалюте путем Маскировки под законное программное обеспечение и использования инструмента "osascript" для запроса пароля пользователя. Он поддерживает как архитектуру x86_64, так и ARM и распространяется через подпольные рынки с партнерскими соглашениями. Бэкдор Oyster, обнаруженный в 2023 году, обеспечивает удаленный доступ и использует управление из командной строки; его доставка включает в себя Отравление поисковой оптимизации (SEO), маскировку полезной нагрузки под законное программное обеспечение и демонстрацию изощренной тактики уклонения.
-----

Cthulhu Stealer - это вредоносное ПО для macOS "как услуга", которое крадет учетные данные и информацию о криптовалюте.

Он написан на Go и маскируется под легальное программное обеспечение для сбора конфиденциальных пользовательских данных.

Вредоносное ПО распространяется путем аренды доступа через подпольные торговые площадки за 500 долларов в месяц.

Cthulhu Stealer поддерживает как архитектуру x86_64, так и ARM и поставляется в виде Apple DMG, содержащего два двоичных файла.

Вредоносное ПО использует "osascript" для запроса паролей пользователей, что указывает на потенциальную связь с Atomic Stealer.

В Cthulhu Stealer реализована партнерская модель распределения прибыли, основанная на успешных внедрениях.

Бэкдор Oyster, обнаруженный в середине 2023 года, представляет собой вредоносное ПО на C++, обеспечивающее удаленный доступ и управление из командной строки.

Oyster использует поисковую систему SEO poisoning (izesoizes) для доставки полезных данных, замаскированных под легальное программное обеспечение, такое как PuTTY.

Активность RDP была замечена после обмена данными с серверами Oyster C2, что указывает на перемещение внутри компании в сетях.

Зашифрованные строки пользовательского агента в сетевом трафике предполагают методы обфускации для лучшего сокрытия атрибуции.

Очевидна тенденция использования вредоносного ПО как услуги (MaaS), когда вредоносное ПО адаптируется для достижения целей операторов.

#ParsedReport #CompletenessMedium
17-09-2025

Going Underground: China-aligned TA415 Conducts U.S.-China Economic Relations Targeting Using VS Code Remote Tunnels

https://www.proofpoint.com/us/blog/threat-insight/going-underground-china-aligned-ta415-conducts-us-china-economic-relations

Report completeness: Medium

Actors/Campaigns:
Ta415 (motivation: cyber_espionage)
Winnti
Chengdu_404_leak (motivation: cyber_espionage)
I-soon_leak (motivation: cyber_espionage)

Threats:
Spear-phishing_technique
Voldemort
Whirlcoil

Victims:
United states government, Think tanks, Academic organizations, Aerospace sector, Chemicals sector, Insurance sector, Manufacturing sector

Industry:
Chemical, Government, Aerospace

Geo:
China, Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1204, T1219, T1566, T1566.002

IOCs:
File: 4
Path: 1
Coin: 1
Domain: 1
Email: 3
Url: 8
Hash: 11

Soft:
Visual Studio, Dropbox, OpenDrive, VSCode

Algorithms:
sha256, base64, zip

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В середине 2025 года китайская хакерская группировка TA415 провела кампании spearphishing, нацеленные на правительственные учреждения США и академические институты, используя тактику Имперсонации, сосредоточенную вокруг американо-китайских экономических тем. Они перешли от использования бэкдора Voldemort к использованию запутанного загрузчика Python WhirlCoil, облегчающего заражение через удаленные туннели VS Code. TA415 связан с сетевой технологией Chengdu 404 и имеет связи с Министерством государственной безопасности Китая, что указывает на его причастность к спонсируемым государством усилиям по кибершпионажу в условиях меняющейся геополитической динамики.
-----

В июле и августе 2025 года хакерская группировка TA415, связанная с Китаем, проводила кампании spearphishing, направленные против правительственных структур США, аналитических центров и академических институтов. Тактика группы заключалась в том, чтобы выдавать себя за узнаваемых деятелей и организации, связанные с американо-китайскими отношениями, в частности, используя темы, связанные с экономической политикой и торговлей, для получения конфиденциальной информации от своих целей.

Следуя более ранним кампаниям, в которых использовался бэкдор Voldemort, который они поставили в августе 2024 года, TA415 адаптировала свои методы, интегрировав использование удаленных туннелей VS Code. К сентябрю 2024 года они изменили свою методологию заражения, внедрив запутанный загрузчик Python, известный как WhirlCoil, для облегчения удаленного туннелирования VS Code.

инфекции. В число объектов, подвергшихся атаке на этом этапе, входили организации из аэрокосмического, химического, страхового и производственного секторов, параллельно с деятельностью, о которой сообщила другая компания, Cyble, в октябре 2024 года.

Атрибуция этих кампаний связывает TA415 с частным подрядчиком под названием Chengdu 404 Network Technology, базирующимся в Чэнду, Китай. Исторические ассоциации предполагают, что эта группа сотрудничает с другими частными подрядчиками в рамках китайской системы кибершпионажа. Примечательно, что некоторые обвиняемые члены этой группы заявили о своей принадлежности к гражданской службе внешней разведки Китая, Министерству государственной безопасности (МГБ). Proofpoint с высокой степенью достоверности относит описанные действия к TA415, основываясь на установленных корреляциях с известной инфраструктурой, последовательных схемах таргетинга и используемых TTP, соответствующих интересам Китая.

Последствия этих целенаправленных атак подчеркивают динамичный ландшафт угроз, на который влияют геополитические сдвиги. Изменение целей указывает на возможную корректировку приоритетов разведки, отражающую развитие американо-китайских экономических и внешнеполитических отношений. Поскольку эти действия соответствуют государственным интересам Китая, характер целевых организаций и сроки проведения операций предполагают обдуманный ответ на текущие геополитические условия. Это служит напоминанием о постоянной и эволюционирующей киберугрозе, исходящей от акторов, связанных с государством, в сфере международных отношений.

#ParsedReport #CompletenessHigh
17-09-2025

Mapping the Infrastructure and Malware Ecosystem of MuddyWater

https://www.group-ib.com/blog/muddywater-infrastructure-malware/

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)

Threats:
Muddyrot
Stealthcache
Phoenix_keylogger
Fooder
Spear-phishing_technique
Liteinject
Atera_tool
Simplehelp_tool
Ehorus_tool
N-able_tool
Screenconnect_tool
Syncro_tool
Dchspy
Dll_sideloading_technique
Cannonrat
Udpgangster
Hackbrowser
Go-socks5_tool

Victims:
Telecommunications, Government, Energy, Defense, Critical infrastructure

Industry:
Government, Critical_infrastructure, Energy, Telco

Geo:
Iran, Israel, Middle east, Israeli, Hungary, Turkey, Iranian, Azerbaijan, Tehran, Asian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1057, T1059.001, T1071.001, T1105, T1119, T1204.002, T1566.001, T1566.002, have more...

IOCs:
File: 17
Hash: 4
Domain: 2
Path: 5
Command: 1
Url: 9
IP: 12

Soft:
Dropbox, Android, macOS, Linux, Microsoft Office

Algorithms:
md5, exhibit, xor, aes, sha256

Functions:
DllEntryPoint

Win API:
setsockopt, CryptHashData, CryptDeriveKey, CryptDecrypt, GetLastError

Languages:
golang, powershell, python

Links:
https://github.com/moonD4rk/HackBrowserData
have more...
https://github.com/hashicorp/yamux
https://github.com/armon/go-socks5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MuddyWater, иранская группа по сложным целенаправленным атакам, с начала 2025 года активизировала свою деятельность, сосредоточившись на spear phishing и развертывании пользовательского вредоносного ПО против целей на Ближнем Востоке, в Европе и Соединенных Штатах. Ключевые варианты включают BugSleep, бэкдор C/C++ для выполнения команд и передачи файлов; StealthCache, который улучшает связь C2 через HTTP(ы); и Fooder, загрузчик, который выполняет полезные нагрузки в памяти. Группа использует разнообразную инфраструктуру, включая AWS и Cloudflare, для облегчения своей деятельности и поддержания операционной безопасности.
-----

MuddyWater, спонсируемая иранским государством группа по сложным целенаправленным атакам (Сложные целенаправленные атаки), с начала 2025 года проявляет все большую активность, в первую очередь нацеливаясь на организации по всему Ближнему Востоку, Европе и Соединенным Штатам. Операционная стратегия этой группы перешла от оппортунистических кампаний удаленного мониторинга и управления (RMM) к более целенаправленному spear phishing и внедрению пользовательского вредоносного ПО, что свидетельствует о более изощренном подходе.

Ключевые варианты вредоносного ПО, идентифицированные как часть арсенала MuddyWater's, включают BugSleep, StealthCache, Phoenix, Fooder и LiteInject. BugSleep, написанный на C/C++, служит пользовательским бэкдором, который облегчает выполнение команд и передачу файлов между скомпрометированными системами и серверами управления (C2). С середины 2024 года он был широко развернут, особенно на Ближнем Востоке и в Европе. StealthCache известен своими расширенными функциями и расширенными коммуникационными возможностями C2, использующими HTTP-запросы к конечной точке, где команды диктуют действия вредоносного ПО. Команды могут инициировать кражу файлов, проверку процессов на соответствие известным решениям безопасности и отправку сообщений обратно на сервер C2, что позволяет операторам сохранять осведомленность о мерах безопасности, применяемых в зараженных средах.

Phoenix - это еще один вариант вредоносного ПО, приписываемый MuddyWater, отличающийся минималистичной функциональностью бэкдора, в котором он расшифровывает встроенный PE-файл и запускает его. Fooder, функционирующий как загрузчик, предназначен для загрузки, расшифровки и выполнения полезных нагрузок вредоносного ПО, хранящихся в памяти, иногда используя методы DLL side-loading. Группа имеет большой опыт в использовании проектов Golang с открытым исходным кодом для улучшения своих операционных результатов.

Инфраструктура MuddyWater's разнообразна и использует такие сервисы, как AWS, Cloudflare и пуленепробиваемые хостинговые решения. Этот анализ инфраструктуры имеет решающее значение для понимания их методов работы и облегчает принятие упреждающих мер против их деятельности. Отслеживание регистраций доменов и действий хостинг-провайдера позволяет специалистам по кибербезопасности более эффективно выявлять атаки и отслеживать онлайн-присутствие MuddyWater's.