#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей Kawa4096 появилась в июне 2025 года, нацелившись на многонациональные организации в различных секторах, таких как финансы и образование, в таких странах, как Япония и США. Он использует тактику двойного вымогательства, шифрования и кражи данных, используя сайт на базе Tor для раскрытия информации о жертвах и личные URL-адреса для переговоров о выкупе. Технически программа-вымогатель может повторно запустить себя с определенным аргументом, чтобы обеспечить всестороннее шифрование файлов, демонстрируя структурированный подход к своим операциям.
-----

Группа вымогателей Kawa4096 появилась в июне 2025 года, сосредоточившись на атаках на многонациональные организации в таких странах, как Япония и Соединенные Штаты. Его целевой подход эклектичен и затрагивает различные секторы, включая финансы, образование и сферу услуг. Хотя компания не подтвердила какую-либо деятельность по распространению программ-вымогателей как услуги (RaaS) или партнерские отношения с другими киберпреступными группами, ее быстрая серия атак во многих странах свидетельствует о растущей угрозе.

Kawa4096 использует оперативные методы, которые раскрывают структурированную и организованную структуру для выполнения атак. Одной из его ключевых функций является сайт эксфильтрации данных на основе Tor, где группа раскрывает информацию о скомпрометированных жертвах. Эта группа использует тактику двойного вымогательства, что означает, что они не только шифруют данные жертв, но и steal it, тем самым увеличивая свои рычаги влияния при переговорах о выкупе. Каждой жертве предоставляется специальный URL-адрес для получения своих данных, что свидетельствует о тщательном контроле за процессом вымогательства. Однако подробности, касающиеся требований о выкупе или методов ведения переговоров, пока не обнародованы.

С точки зрения технического исполнения программа-вымогатель Kawa4096 демонстрирует четкие поведенческие паттерны. Если программа-вымогатель запускается без каких-либо аргументов командной строки, у нее есть встроенная функция, которая предлагает ей повторно выполнить саму себя с аргументом “-all”. Эта функциональность обеспечивает всестороннее шифрование всех целевых файлов, тем самым максимизируя воздействие атаки до того, как потенциальная жертва отреагирует.

Анализ раздела ресурсов программы-вымогателя выявил 17 полей, из которых подмножество из пяти содержит ключевые эксплуатационные характеристики. Однако конкретные технические подробности об этих областях не были полностью раскрыты в доступных данных, и для более глубокого понимания внутренней работы вредоносного ПО необходимо дальнейшее изучение. В целом, Kawa4096 представляет собой формирующийся ландшафт угроз, характеризующийся систематической тактикой вымогательства и изощренными методами исполнения.

#ParsedReport #CompletenessLow
23-09-2025

From MUSE to Manual: Cyberattack Analysis on European Airport Operations

https://www.cyfirma.com/research/from-muse-to-manual-cyberattack-analysis-on-european-airport-operations/

Report completeness: Low

Actors/Campaigns:
Rhysida (motivation: financially_motivated)
0ktapus
Alixsec (motivation: hacktivism, politically_motivated)
Fancy_bear
Apt33
Lazarus (motivation: financially_motivated, cyber_espionage)

Threats:
Supply_chain_technique
Babuk
Rhysida
Spear-phishing_technique

Victims:
Airports, Aviation sector, Critical infrastructure

Industry:
Financial, Transport, Critical_infrastructure, Energy, Aerospace, Government

Geo:
Iranian, Russia, Iran, London, Russian, North korea, North korean, Berlin

TTPs:
Tactics: 7
Technics: 13

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кибератака на систему регистрации MUSE компании Collins Aerospace нарушила работу крупных европейских аэропортов, вынудив перейти на ручные процедуры и вызвав многочисленные отмены и задержки рейсов. Хотя ни одна группировка не взяла на себя ответственность, Alixsec и группа вымогателей Rhysida являются ключевыми подозреваемыми, причем последняя ранее проводила значительные атаки на авиационные системы. Этот инцидент высвечивает уязвимости сторонних поставщиков услуг в критически важной инфраструктуре, подчеркивая необходимость проявлять бдительность в отношении таких угроз.
-----

19-20 сентября 2025 года кибератака на систему регистрации и посадки MUSE компании Collins Aerospace привела к значительным сбоям в работе крупнейших европейских аэропортов, включая лондонский Хитроу, Брюссель и Берлин-Бранденбург. Атака скомпрометировала автоматизированные системы регистрации и посадки на борт с самообслуживанием, вынудив аэропорты, подвергшиеся воздействию, вернуться к ручным процедурам. Этот маневр привел к резкому увеличению числа отмен и задержек рейсов, причем только аэропорт Брюсселя сообщал о многочисленных сбоях в работе.

Несмотря на отсутствие официальных заявлений об ответственности, несколько злоумышленников подозреваются на основании их предыдущей деятельности и возможностей. Примечательно, что Alixsec, пропалестинская хактивистская группа, уже неоднократно заявляла о намерениях нанести удар по критически важной инфраструктуре, включая транспортные системы. Несмотря на то, что в декабре 2024 года они публично угрожали авиационному сектору, их фактическая способность выполнять эффективные операции остается неясной. И наоборот, группа программ-вымогателей Rhysida продемонстрировала способность к значительным кибератакам на авиационную среду, о чем свидетельствует инцидент с высоким уровнем воздействия в международном аэропорту Сиэтл-Такома в 2024 году, в результате которого персонал на длительный период был вынужден прибегать к ручным процедурам.

Атака служит напоминанием об уязвимостях, присущих сторонним поставщикам услуг, особенно тем, которые поддерживают критически важные операционные системы аэропортов. Это подчеркивает необходимость усовершенствованных стратегий киберзащиты, постоянного мониторинга потенциальных угроз и трансграничных совместных усилий по устранению рисков, создаваемых выявленными злоумышленниками. Эти события подчеркивают тревожную тенденцию к тому, что противники нацеливаются на операционные узлы в критически важной инфраструктуре, что гарантирует повышенную бдительность и готовность к будущим инцидентам.

#ParsedReport #CompletenessMedium
23-09-2025

Bearlyfy: Evolution of a new group of extortionists and its connection with Phantomcore

https://www.f6.ru/blog/bearlyfy/

Report completeness: Medium

Actors/Campaigns:
Bearlyfy
Phantomcore

Threats:
Phantomcore
Lockbit
Babuk
Sipper
Psexec_tool
Zerologon_vuln
Winrm_tool
Psmapexec_tol
Cloudflared_tool
Winsw_tool
Impacket_tool
Shinysocks_tool
Meshagent_tool
Meshcentral_tool

Victims:
Oil sector, Consulting sector

Industry:
Petroleum

Geo:
Ukraine, Belarusian, Moscow, Russian

ChatGPT TTPs:
do not use without manual check
T1021.001, T1021.002, T1021.006, T1068, T1210, T1486

IOCs:
Hash: 23
File: 22
IP: 8
Domain: 6

Soft:
Telegram, ESXI, ESXcli, Psexec, Bitrix, Active Directory, Windows Defender, systemd

Algorithms:
sha1

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С начала 2025 года группа Bearlyfy стала значительным злоумышленником в области кибервымогательства, используя семейства программ-вымогателей, такие как Lockbit 3 (Black) и Babuk, изменяя методы своих атак. Первоначальные атаки включали уникальные расширения файлов и были нацелены на конкретные инфраструктуры, такие как развертывание Lockbit в Windows и Babuk в гипервизорах. Они использовали уязвимости, особенно Bitrix и Zerologon, для первоначального доступа и повышения привилегий, что указывает на предпочтение оппортунистических атак с минимальной разведкой перед атакой.
-----

Группа Bearlyfy стала заметным злоумышленником в сфере кибермогательства с момента ее первых зарегистрированных атак в начале 2025 года. Эта группа использует хорошо известные семейства программ-вымогателей, в частности Lockbit 3 (Black) и Babuk, но отличается уникальными методологиями и тактикой атак, о чем свидетельствуют ее операционные схемы.

Первоначальная деятельность группы включала использование Lockbit 3 (черного цвета) с измененным расширением файла (".Fhxvysiem"), обнаруженного во время сеансов мониторинга. Этот образец был обнаружен в январе 2025 года, что указывает на то, что группа начала использовать существующее вредоносное ПО, изменяя определенное поведение. К апрелю 2025 года Bearlyfy расширила свою деятельность, охватив крупные предприятия, включая российскую нефтяную компанию. Во время этого инцидента они использовали Lockbit 3 (черный) для шифрования данных в ОС Windows и развернули Babuk для шифрования данных на гипервизорах, продемонстрировав свою способность адаптировать тактику на основе инфраструктуры цели.

Отдельная атака на консалтинговую фирму в июне 2025 года была связана с использованием уязвимой версии Bitrix в качестве вектора первоначального доступа. Атака также использовала уязвимость Zerologon для получения повышенных привилегий и проникновения во внутреннюю сеть. В дополнение к традиционным методам, таким как RDP, злоумышленники интегрировали WinRM и PsExec, инструменты, способствующие перемещению внутри компании в средах Windows. В наблюдаемых атаках также использовались утилиты с открытым исходным кодом, предполагающие сочетание модифицированных и ранее существовавших инструментов для выполнения своих операций.

Расследования IP-адресов и других признаков компрометации выявили дублирование инфраструктуры с другим злоумышленником, Phantomcore. Тем не менее, анализ тактики, методов и процедур (TTP) отчетливо идентифицирует операционный стиль Bearlyfy, который контрастирует с более сложными, многоэтапными кампаниями по сложной целенаправленной атаке, проводимыми Phantomcore. В то время как Phantomcore широко использует методы фишинга и социальной инженерии в начале атаки, Bearlyfy, похоже, предпочитает быстрые, оппортунистические атаки с минимальной разведкой перед атакой, уделяя особое внимание быстрому шифрованию и прямой передаче информации о выкупе.

Таким образом, Bearlyfy определяет себя как динамичную угрозу на арене кибервымогательства, в значительной степени опираясь на известные семейства программ-вымогателей и инновационно изменяя тактику для оптимизации эффективности своих атак. Их быстрый, адаптивный стиль и связи с инфраструктурой указывают на растущую сложность операций по борьбе с киберпреступностью.

#ParsedReport #CompletenessLow
22-09-2025

Technical Analysis of Zloader Updates

https://www.zscaler.com/blogs/security-research/technical-analysis-zloader-updates

Report completeness: Low

Threats:
Z_loader
Zeus
Dns_tunneling_technique

Victims:
Corporate environments, Ransomware victims

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059, T1071.001, T1071.004, T1087.002, T1105, T1132, T1480.001, T1482, have more...

IOCs:
File: 6
Hash: 2

Algorithms:
deflate, xor, rc4, gzip, base32, sha256

Win API:
ldap_bind_s, ldap_err2string, ldap_first_attribute, ldap_first_entry, ldap_get_values, ldap_init, ldap_memfree, ldap_next_attribute, ldap_next_entry, ldap_search_s, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Zloader, модульный троянец, эволюционировавший от Zeus, превратился из банковского вредоносного ПО в инструмент первоначального доступа для программ-вымогателей, который появится в сентябре 2023 года с расширенными возможностями. Ключевые обновления в версиях 2.11.6.0 и 2.13.7.0 включают улучшенную защиту от запутывания, гибкий подход к именам файлов, пересмотренные конфигурации управления и расширенные возможности обнаружения сети. Примечательно, что Zloader отказался от использования Алгоритмов генерирования доменных имен для DNS tunneling, теперь используя кодировку Base32 в сочетании с пользовательским шифрованием и WebSockets для улучшения связи со своей инфраструктурой C2.
-----

Zloader, модульный троян, созданный на основе исходного кода Zeus, первоначально появился как банковское вредоносное ПО в 2015 году, но с тех пор превратился в инструмент первоначального доступа для развертывания программ-вымогателей. После почти двухлетнего перерыва вредоносное ПО вновь появилось в сентябре 2023 года со значительными улучшениями в его операционных возможностях. Последние версии, в частности версии 2.11.6.0 и 2.13.7.0, демонстрируют улучшенные методы запутывания, усовершенствованный алгоритм генерации домена (DGA) и продвинутые стратегии защиты от анализа.

Ключевым изменением в функциональности Zloader's является гибкость, внесенная в требования к именам файлов. Раньше в Zloader были жестко закодированы имена файлов, необходимые для выполнения, что ограничивало его развертывание в различных средах и упрощало автоматическое обнаружение. В последней версии Zloader позволяет использовать два новых общих имени файлов, Updater.exe и Updater.dll , повышая его потенциал для уклонения от автоматизированного анализа вредоносного ПО, обычно проводимого в изолированных средах.

Статическая конфигурация троянца также была скорректирована, в частности, в отношении коммуникаций управления (C2). Сервер указания имен TLS (SNI) и сервер имен DNS были перемещены для оптимизации доменного раздела C2 с целью улучшения управления трафиком и операционной безопасности. Наряду с этими изменениями была обновлена интерактивная оболочка Zloader's, предлагающая новые функции LDAP для лучшего обнаружения сети и перемещения внутри компании, что позволяет более точно нацеливаться при атаках. Эта функциональность включает в себя возможности для выполнения команд, развертывания дополнительных полезных нагрузок вредоносного ПО и извлечения конфиденциальных данных.

Примечательно, что Zloader претерпел значительные изменения в своих сетевых коммуникационных протоколах. Прежняя зависимость от DGA была полностью устранена в пользу улучшенных механизмов DNS tunneling. Протокол теперь использует кодировку Base32, наложенную поверх пользовательского алгоритма шифрования, заменяя предыдущее шифрование TLS, используемое в DNS-запросах и ответах. Кроме того, в последних версиях Zloader появилась поддержка WebSockets, позволяющая использовать обновленные HTTP-соединения, которые могут улучшить связь между вредоносным ПО и его инфраструктурой C2.

#ParsedReport #CompletenessHigh
22-09-2025

Nimbus Manticore Deploys New Malware Targeting Europe

https://research.checkpoint.com/2025/nimbus-manticore-deploys-new-malware-targeting-europe/

Report completeness: High

Actors/Campaigns:
Tortoiseshell (motivation: cyber_espionage)
Iranian_dream_job
Dream_job
Irgc

Threats:
Minijunk
Minibrowse
Spear-phishing_technique
Dll_sideloading_technique
Dllsearchorder_hijacking_technique
Minibike
Junk_code_technique
Dll_hijacking_technique

Victims:
Defense manufacturing, Telecommunications, Aviation, Aerospace, Defense contractors, Airlines, Satellite providers

Industry:
Aerospace, Telco

Geo:
Denmark, Middle east, Portugal, Iran, Sweden, Iranian, Israel

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1071.001, T1105, T1106, T1553.002, T1555.003, T1566.001, T1566.002, T1574.001, have more...

IOCs:
File: 7
Hash: 33
Domain: 132
Path: 2

Soft:
Windows Defender, Chrome, OLLVM, Azure App Service, Outlook

Wallets:
harmony_wallet

Algorithms:
xor, zip, exhibit

Functions:
NT, GetModuleHandle

Win API:
RtlCreateProcessParameters, RtlCreateUserProcess, ExitProcess

Links:
https://github.com/prodaft/malware-ioc/tree/master/SubtleSnail

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 1, code: 7, chats: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Nimbus Manticore, иранский злоумышленник, связанный с UNC1549, активизировал операции кибершпионажа, нацеленные на оборонный, телекоммуникационный и авиационный секторы в Западной Европе, в частности в Дании, Швеции и Португалии. Их тактика включает в себя атаки с Целевым фишингом, которые приводят к созданию специализированных поддельных порталов вакансий, развертыванию многоэтапного вредоносного ПО, использующего DLL Sideloading и методы обфускации, чтобы избежать обнаружения. Набор инструментов для защиты от вредоносного ПО включает в себя бэкдор MiniJunk и средство для перехвата мини-браузеров со сложными операциями командования и контроля, использующими закодированные HTTPS-сообщения и законные службы подписи кода для скрытности.
-----

Нимбус Мантикора - иранский злоумышленник, связанный с группой UNC1549 или Smoke Sandstorm, специализирующейся на кибершпионаже против критически важных секторов в Западной Европе. Недавние атаки с использованием Целевого фишинга, которые выдают себя за аэрокосмические и оборонные организации, произошли в Дании, Швеции и Португалии. Фишинг напрямую связывает жертв с поддельными порталами вакансий, каждый из которых имеет уникальные URL-адреса. Вредоносное ПО использует многоступенчатую технологию DLL sideloading, инициируемую с помощью загруженных вредоносных архивов, замаскированных под законное программное обеспечение. Ключевые компоненты включают в себя бэкдор MiniJunk и Stealer. MiniJunk использует передовые методы запутывания, включая пользовательские проходы LLVM, чтобы избежать обнаружения. Операции командования и контроля включают в себя несколько жестко закодированных адресов серверов с бэкдорной связью по протоколу HTTPS с использованием закодированных строк. Компонент MiniBrowse извлекает учетные данные из таких браузеров, как Chrome и Edge. В настоящее время группа использует законные службы подписи кода для уменьшения обнаружения и использует сильную запутанность и завышенные размеры файлов, чтобы избежать обнаружения конечных точек. Оперативная тактика и инфраструктура эволюционировали, что свидетельствует об адаптивности и сосредоточении внимания на телекоммуникациях и оборонных заказах.

#ParsedReport #CompletenessHigh
23-09-2025

GUNRA RANSOMWARE: What You DontKnow!

https://theravenfile.com/2025/09/23/gunra-ransomware-what-you-dont-know/

Report completeness: High

Actors/Campaigns:
Donot
Lazarus

Threats:
Gunra
Screenconnect_tool
Lumma_stealer
Conti
Akira_ransomware
Shadow_copies_delete_technique
Lockbit
Vanhelsing
Monti
Siggen
Remoteadmin_tool
Eldorado_ransomware
Trojan.win32.multiinjector.dd
Phobos
Credential_dumping_technique
Process_injection_technique
Dll_sideloading_technique

Victims:
Manufacturing, Industrial equipment

Industry:
Financial, Healthcare

Geo:
Colombian, Japan, Asia, Korea, Columbia, Canada, Spanish, Brazil, Croatia, Panama, Egypt, Italy, Nicaragua

TTPs:
Tactics: 16
Technics: 29

IOCs:
IP: 1
File: 9
Path: 1
Hash: 9

Soft:
Linux, WhatsApp, Slack, Office 365, Ubuntu, nginx, Debian, Visual Studio, Tor Browser, Twitter, have more...

Algorithms:
exhibit, base64, murmur2, xor, chacha20, salsa20, md5

Win API:
decompress

Languages:
php

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gunra - это группа программ двойного вымогательства, действующая с апреля 2025 года и нацеленная исключительно на жертв в Азии и Европе, избегая Соединенных Штатов. Он использует сложную операционную структуру, включая переговорный портал, имитирующий WhatsApp, и использует высокоскоростные методы шифрования, такие как Salsa20 и ChaCha20, со скоростью до 52 МБ/с. Атаки Gunra's включают многоэтапные методы с использованием загрузчика DoNoT и демонстрируют поведение, подобное троянскому, с требованиями выкупа, которые могут достигать 20 миллионов долларов, хотя они часто соглашаются на меньшие суммы.
-----

Программа-вымогатель Gunra - это программа двойного вымогательства, которая заметно отличается от других злоумышленников тем, что избегает целей исключительно в Соединенных Штатах. С момента своего появления 23 апреля 2025 года Gunra в первую очередь ориентировалась на жертв из Азии и Европы, причем Канада была ее единственной англоязычной целью. Группа разработала как Windows, так и вариант Linux, отражающий их постоянную эволюцию и возможности.

Инфраструктура, окружающая Gunra, включает в себя переговорный портал, разработанный по подобию WhatsApp, а их сайт утечки данных (DLS) работает в домене TOR версии 3, используя Apache и PHP для хостинга. На данный момент группа успешно продемонстрировала возможности высокоскоростного шифрования, применив потоковые шифры Salsa20 или ChaCha20 для шифрования данных со скоростью 52 МБ/с, что, как сообщается, позволяет зашифровать до 9 ТБ данных в течение двух дней.

Что касается методов работы, Gunra использовала загрузчик DoNoT в сочетании со своей программой-вымогателем, что свидетельствует о сложных многоэтапных атаках. Их требования о выкупе значительно различаются, причем первоначальные запросы некоторых жертв достигают 20 миллионов долларов, хотя они часто соглашаются на меньшие суммы, например, на 70 000 долларов от одного колумбийского объекта.

Уведомления о выкупе доставляются с именем файла "R3ADM3.txt ", соглашение об именовании, ранее связанное с группой Conti Ransomware, предполагающее возможное влияние или общую тактику в экосистеме программ-вымогателей. Кроме того, обнаружение вредоносного ПО Gunra's различными поставщиками выявило поведение, подобное троянскому, которое включает в себя специфические методы ввода полезной нагрузки, связанные с общими сигнатурами вредоносного ПО, что подчеркивает вредоносные характеристики угрозы.

Текущий анализ показывает, что Gunra распространила шесть различных образцов вредоносного ПО с момента своего создания. Примечательно, что самый ранний из них датирован 10 апреля 2025 года, что указывает на относительно короткий промежуток времени для их разработки. Отказ группы нацеливаться на американские организации поднимает вопросы о том, базируются ли они на территории США или стратегически избегают таких целей.

Наконец, обращает на себя внимание отсутствие жертв из США в их журналах, поскольку США, как правило, находятся на переднем крае атак программ-вымогателей, что указывает либо на просчитанное стратегическое направление, либо на уникальное оперативное ограничение для группы Gunra.

#ParsedReport #CompletenessHigh
23-09-2025

ShadowV2: An emerging DDoS for hire botnet

https://www.darktrace.com/blog/shadowv2-an-emerging-ddos-for-hire-botnet

Report completeness: High

Threats:
Shadowv2
Httpflood_technique
Fasthttp_tool
Chromedp_tool

Victims:
Cloud workloads, Container orchestration, Api services

Geo:
Canada, Singapore

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.006, T1071.001, T1105, T1204, T1498.001, T1583.006, T1608.006

IOCs:
IP: 2
Url: 1
Domain: 2
Hash: 3
File: 3

Soft:
Docker, GitHub CodeSpaces, Pydantic, Ubuntu, unix, WordPress, Chrome

Algorithms:
sha256

Languages:
javascript, python

YARA: Found

Links:
https://github.com/chromedp/chromedp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShadowV2 - это сложный ботнет для DDoS-for-hire, который сочетает в себе традиционное вредоносное ПО с практиками DevOps, используя Python и вредоносное ПО на основе Go в контейнерах Docker. Злоумышленники используют передовые методы, такие как атаки с быстрым сбросом HTTP/2 и крупномасштабные HTTP floods, с первоначальным доступом, полученным с помощью скрипта на Python в кодовых пространствах GitHub. Двоичный файл ELF, написанный вредоносным ПО на Go, работает в контейнере Docker и взаимодействует с сервером управления, скрытым Cloudflare, демонстрируя значительную эволюцию инструментов и методологий борьбы с киберпреступностью.
-----

Darktrace сообщила о появлении ShadowV2, сложного DDoS-ботнет (распределенный отказ в обслуживании) по найму, который объединяет традиционные методы защиты от вредоносного ПО с современными практиками DevOps. В этой кампании используется вредоносное ПО на основе Python и Go, а также Docker для контейнеризации, наряду с удобным интерфейсом работы. Его возможности включают функции DDoS-атак как услуги, модульные API-интерфейсы и передовые методы уклонения, подчеркивающие необходимость в средствах защиты, специально предназначенных для мониторинга облачных рабочих нагрузок, оркестровки контейнеров и действий API.

Злоумышленники, стоящие за ShadowV2, используют передовые методы DDoS-атак, такие как методы быстрого сброса HTTP /2, обход режима атаки Cloudflare (UAM) и выполнение крупномасштабных HTTP floods. Такое сочетание демонстрирует их способность не только проводить масштабные атаки типа "отказ в обслуживании", но и эффективно воздействовать на конкретные уязвимости.

Первоначальный доступ к системе инициируется с помощью скрипта на Python, доступного на GitHub CodeSpaces, что указывает на нетрадиционную точку входа для злоумышленников. Конкретные индикаторы включают определенные HTTP-заголовки, наблюдаемые во время атаки, указывающие на этот метод компрометации.

Вредоносное ПО работает в контейнере Docker, который инкапсулирует двоичный файл ELF, написанный на Go. Примечательно, что этот двоичный файл не разделен, что облегчает анализ благодаря сохраненной отладочной информации. Связь с сервером command and control (C2) осуществляется через HTTP, и хотя сервер скрыт за Cloudflare, чтобы скрыть его фактическое местоположение и затруднить прямой анализ, предполагается, что C2 также размещен в кодовых пространствах GitHub.

Общая картина, нарисованная кампанией ShadowV2, подчеркивает значительную эволюцию в предложениях "киберпреступность как услуга", где злоумышленники могут использовать модульные функции и доступный API для эффективной организации DDoS-атак. Сочетание контейнеризации и структурированных API позволяет этим злоумышленникам работать с высокой степенью изощренности, что вызывает настоятельную необходимость в надежном мониторинге и защитных мерах, адаптированных к этим развивающимся угрозам.