#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gunra - это группа программ двойного вымогательства, действующая с апреля 2025 года и нацеленная исключительно на жертв в Азии и Европе, избегая Соединенных Штатов. Он использует сложную операционную структуру, включая переговорный портал, имитирующий WhatsApp, и использует высокоскоростные методы шифрования, такие как Salsa20 и ChaCha20, со скоростью до 52 МБ/с. Атаки Gunra's включают многоэтапные методы с использованием загрузчика DoNoT и демонстрируют поведение, подобное троянскому, с требованиями выкупа, которые могут достигать 20 миллионов долларов, хотя они часто соглашаются на меньшие суммы.
-----

Программа-вымогатель Gunra - это программа двойного вымогательства, которая заметно отличается от других злоумышленников тем, что избегает целей исключительно в Соединенных Штатах. С момента своего появления 23 апреля 2025 года Gunra в первую очередь ориентировалась на жертв из Азии и Европы, причем Канада была ее единственной англоязычной целью. Группа разработала как Windows, так и вариант Linux, отражающий их постоянную эволюцию и возможности.

Инфраструктура, окружающая Gunra, включает в себя переговорный портал, разработанный по подобию WhatsApp, а их сайт утечки данных (DLS) работает в домене TOR версии 3, используя Apache и PHP для хостинга. На данный момент группа успешно продемонстрировала возможности высокоскоростного шифрования, применив потоковые шифры Salsa20 или ChaCha20 для шифрования данных со скоростью 52 МБ/с, что, как сообщается, позволяет зашифровать до 9 ТБ данных в течение двух дней.

Что касается методов работы, Gunra использовала загрузчик DoNoT в сочетании со своей программой-вымогателем, что свидетельствует о сложных многоэтапных атаках. Их требования о выкупе значительно различаются, причем первоначальные запросы некоторых жертв достигают 20 миллионов долларов, хотя они часто соглашаются на меньшие суммы, например, на 70 000 долларов от одного колумбийского объекта.

Уведомления о выкупе доставляются с именем файла "R3ADM3.txt ", соглашение об именовании, ранее связанное с группой Conti Ransomware, предполагающее возможное влияние или общую тактику в экосистеме программ-вымогателей. Кроме того, обнаружение вредоносного ПО Gunra's различными поставщиками выявило поведение, подобное троянскому, которое включает в себя специфические методы ввода полезной нагрузки, связанные с общими сигнатурами вредоносного ПО, что подчеркивает вредоносные характеристики угрозы.

Текущий анализ показывает, что Gunra распространила шесть различных образцов вредоносного ПО с момента своего создания. Примечательно, что самый ранний из них датирован 10 апреля 2025 года, что указывает на относительно короткий промежуток времени для их разработки. Отказ группы нацеливаться на американские организации поднимает вопросы о том, базируются ли они на территории США или стратегически избегают таких целей.

Наконец, обращает на себя внимание отсутствие жертв из США в их журналах, поскольку США, как правило, находятся на переднем крае атак программ-вымогателей, что указывает либо на просчитанное стратегическое направление, либо на уникальное оперативное ограничение для группы Gunra.

#ParsedReport #CompletenessHigh
23-09-2025

ShadowV2: An emerging DDoS for hire botnet

https://www.darktrace.com/blog/shadowv2-an-emerging-ddos-for-hire-botnet

Report completeness: High

Threats:
Shadowv2
Httpflood_technique
Fasthttp_tool
Chromedp_tool

Victims:
Cloud workloads, Container orchestration, Api services

Geo:
Canada, Singapore

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.006, T1071.001, T1105, T1204, T1498.001, T1583.006, T1608.006

IOCs:
IP: 2
Url: 1
Domain: 2
Hash: 3
File: 3

Soft:
Docker, GitHub CodeSpaces, Pydantic, Ubuntu, unix, WordPress, Chrome

Algorithms:
sha256

Languages:
javascript, python

YARA: Found

Links:
https://github.com/chromedp/chromedp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShadowV2 - это сложный ботнет для DDoS-for-hire, который сочетает в себе традиционное вредоносное ПО с практиками DevOps, используя Python и вредоносное ПО на основе Go в контейнерах Docker. Злоумышленники используют передовые методы, такие как атаки с быстрым сбросом HTTP/2 и крупномасштабные HTTP floods, с первоначальным доступом, полученным с помощью скрипта на Python в кодовых пространствах GitHub. Двоичный файл ELF, написанный вредоносным ПО на Go, работает в контейнере Docker и взаимодействует с сервером управления, скрытым Cloudflare, демонстрируя значительную эволюцию инструментов и методологий борьбы с киберпреступностью.
-----

Darktrace сообщила о появлении ShadowV2, сложного DDoS-ботнет (распределенный отказ в обслуживании) по найму, который объединяет традиционные методы защиты от вредоносного ПО с современными практиками DevOps. В этой кампании используется вредоносное ПО на основе Python и Go, а также Docker для контейнеризации, наряду с удобным интерфейсом работы. Его возможности включают функции DDoS-атак как услуги, модульные API-интерфейсы и передовые методы уклонения, подчеркивающие необходимость в средствах защиты, специально предназначенных для мониторинга облачных рабочих нагрузок, оркестровки контейнеров и действий API.

Злоумышленники, стоящие за ShadowV2, используют передовые методы DDoS-атак, такие как методы быстрого сброса HTTP /2, обход режима атаки Cloudflare (UAM) и выполнение крупномасштабных HTTP floods. Такое сочетание демонстрирует их способность не только проводить масштабные атаки типа "отказ в обслуживании", но и эффективно воздействовать на конкретные уязвимости.

Первоначальный доступ к системе инициируется с помощью скрипта на Python, доступного на GitHub CodeSpaces, что указывает на нетрадиционную точку входа для злоумышленников. Конкретные индикаторы включают определенные HTTP-заголовки, наблюдаемые во время атаки, указывающие на этот метод компрометации.

Вредоносное ПО работает в контейнере Docker, который инкапсулирует двоичный файл ELF, написанный на Go. Примечательно, что этот двоичный файл не разделен, что облегчает анализ благодаря сохраненной отладочной информации. Связь с сервером command and control (C2) осуществляется через HTTP, и хотя сервер скрыт за Cloudflare, чтобы скрыть его фактическое местоположение и затруднить прямой анализ, предполагается, что C2 также размещен в кодовых пространствах GitHub.

Общая картина, нарисованная кампанией ShadowV2, подчеркивает значительную эволюцию в предложениях "киберпреступность как услуга", где злоумышленники могут использовать модульные функции и доступный API для эффективной организации DDoS-атак. Сочетание контейнеризации и структурированных API позволяет этим злоумышленникам работать с высокой степенью изощренности, что вызывает настоятельную необходимость в надежном мониторинге и защитных мерах, адаптированных к этим развивающимся угрозам.

#ParsedReport #CompletenessMedium
23-09-2025

Operation Rewrite: Chinese-Speaking Threat Actors Deploy BadIIS in a Wide Scale SEO Poisoning Campaign

https://unit42.paloaltonetworks.com/operation-rewrite-seo-poisoning-campaign/

Report completeness: Medium

Actors/Campaigns:
Rewrite (motivation: financially_motivated)
Dragonrank

Threats:
Seo_poisoning_technique
Badiis
Cloaking_technique

Victims:
Websites, Digital ecosystem of vietnam

Industry:
Government, Media

Geo:
Asia, Vietnamese, Vietnam, Chinese

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1190, T1505.004

IOCs:
Url: 30
Domain: 7
Hash: 30

Soft:
ASP.NET, coccoc

Algorithms:
zip, sha256, xor

Functions:
SetRequestNotifications, Page_Load, RegisterModule

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2025 года злоумышленник, говорящий по-китайски, обозначенный как CL-UNK-1037, провел "Операцию переписывания", кампанию по Отравлению поисковой оптимизации (SEO) с использованием вредоносного ПО BadIIS, которое интегрируется в веб-серверы IIS для изменения результатов Поисковой системы. Атака разворачивается в два этапа: сначала она отравляет Поисковые системы контентом, наполненным ключевыми словами, с скомпрометированных авторитетных сайтов, а затем перенаправляет пользователей на мошеннические веб-сайты на основе заголовков их запросов. Варианты BadIIS, в том числе для ASP.NET и PHP, расширяют возможности актора, предполагая связи с ранее выявленными китайскими хакерскими группировками.
-----

В марте 2025 года была выявлена кампания по Отравлению поисковой оптимизации (SEO), получившая название "Операция переписывание", приписываемая китайскоязычному злоумышленнику, известному как CL-UNK-1037. Эта кампания использует вредоносное ПО, известное как BadIIS — вредоносные модули собственных информационных служб Интернета (IIS), которые легко интегрируются в конвейер запросов веб-сервера, предоставляя им широкие привилегии для манипулирования процессами и выполнения различных вредоносных действий.

Вредоносное ПО BadIIS используется для изменения результатов Поисковой системы путем компрометации законных веб-сайтов с хорошей репутацией домена, а не для создания новых сайтов с нуля, что обычно намного сложнее и отнимает много времени. Атака проводится в два этапа: первый включает в себя "отравление" Поисковых систем путем перехвата запросов от сканеров и предоставления специализированного контента, наполненного ключевыми словами, направленного на повышение индексируемой релевантности скомпрометированного сайта. На втором этапе, когда пользователь нажимает на ошибочный результат, вредоносное ПО проверяет заголовки, чтобы определить, исходит ли запрос от жертвы, и перенаправляет пользователя на мошеннический веб-сайт, эффективно перехватывая административный контроль над исходной веб-страницей.

Анализ вредоносного ПО и его инфраструктуры выявил дополнительные возможности, включая развертывание Веб-шеллов на скомпрометированных серверах, создание удаленных запланированных задач для перемещения внутри компании в сетях и сбор данных разведки с целевых компьютеров. Определенный вариант BadIIS назван "chongxiede", производное от пиньинь, что означает "переписывать" или "перезаписывать заново", что означает сосредоточенность актора на манипулировании веб-контентом.

Было отмечено несколько вариантов BadIIS, в том числе ASP.NET обработчик страниц, использующий основанные на скриптах методы Отравления поисковой оптимизации (SEO), управляемый .Модуль NET IIS для обработки запросов и скрипт на основе PHP, который управляет перенаправлением пользователей, используя динамические стратегии SEO. Каждый вариант адаптирует основные функциональные возможности BadIIS к различным архитектурам Веб-служб.

Собранные доказательства убедительно указывают на злоумышленника, говорящего на китайском языке, с лингвистическими подсказками и анализом инфраструктуры, связывающими эти атаки с ранее зарегистрированными группами. Шаблоны в дизайне кода совпадают с теми, которые приписываются группе 9, а дополнительные черты предполагают возможные ассоциации с кампанией DragonRank, также связанной с китайскоязычными акторами.

#cti #webimar

«Код Безопасности» и «Технологии киберугроз» проведут вебинар по TI и моделированию угроз на его основе.
 
30 сентября в 11:00 (МСК) эксперты «Кода Безопасности» и «Технологии киберугроз» проведут вебинар на тему «Моделирование угроз безопасности и Threat Intelligence». Участники узнают, как интегрировать разведывательные данные в практические модели для предотвращения современных кибератак.
Ключевые вопросы вебинара:
 
- текущий ландшафт киберугроз и основные тренды;
- необходимость моделирования угроз и доступные методики;
- практическое использование данных из отчетов TI для построения моделей угроз.
 
Участники: эксперты «Кода Безопасности» и «Технологии киберугроз».
Как подключиться: для участия в вебинаре необходимо зарегистрироваться по ссылке.
Когда: 30 сентября, 11:00 (МСК).

Регистрация здесь

#ParsedReport #CompletenessHigh
24-09-2025

Another BRICKSTORM: Stealthy Backdoor Enabling Espionage into Tech and Legal Sectors

https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign/

Report completeness: High

Actors/Campaigns:
Unc5221
Hafnium
Apt29

Threats:
Brickstorm
Garble_tool
Bricksteal
Slaystyle

Victims:
Legal services, Software as a service providers, Business process outsourcers, Technology sector, United states

Industry:
Bp_outsourcing

Geo:
China

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1021.004, T1056.004, T1059.004, T1078, T1078.004, T1098, T1114.002, T1136.001, T1190, have more...

IOCs:
File: 25
Path: 3
Hash: 2

Soft:
Linux, ESXi, Apache Tomcat, Active Directory, Active Directory Domain Services, systemd, Windows Explorer, sudo, Outlook

Algorithms:
zip, md5

Win API:
decompress, copyFile, DeleteFile

Languages:
java, powershell

Platforms:
cross-platform

YARA: Found

Links:
https://github.com/burrowers/garble
https://github.com/mandiant/brickstorm-scanner
https://github.com/denandz/SecretServerSecretStealer
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BRICKSTORM - это написанное на ходу бэкдорное вредоносное ПО, нацеленное на юридический, технологический и SaaS-секторы в США, облегчающее постоянный доступ для шпионажа и потенциальное создание эксплойтов zero-day. Он работает на устройствах Linux и BSD, в частности на хостах VMware vCenter и ESXi, путем кражи учетных данных и установки вредоносного фильтра Java-сервлетов BRICKSTEAL для сбора учетных данных HTTP-запросов. Злоумышленники адаптируют тактику для использования скомпрометированных систем, извлекая конфиденциальные данные через приложения Microsoft Entra ID, одновременно используя административный доступ для повышения привилегий.
-----

Вредоносное ПО BRICKSTORM, отслеживаемое группой Google по анализу угроз, стало серьезной киберугрозой, деятельность которой с марта 2025 года в основном направлена против юридического, технологического и SaaS-секторов в Соединенных Штатах. Mandiant Consulting обнаружила, что это вредоносное ПО используется злоумышленниками для получения постоянного доступа к целевым организациям, использования их сетей для шпионажа и, возможно, для содействия разработке эксплойтов zero-day.

BRICKSTORM работает как бэкдор с возможностями SOCKS-прокси и написан на Go, обеспечивая кроссплатформенную функциональность, которая позволяет его развертывать в различных системах устройств, особенно в тех, где отсутствуют традиционные средства обнаружения конечных точек и реагирования (EDR). Это вредоносное ПО, в частности, обнаруживается на устройствах на базе Linux и BSD, причем часто целевой инфраструктурой являются хосты VMware vCenter и ESXi. Злоумышленники обычно используют эти системы, захватывая действительные учетные данные либо с помощью предыдущего доступа, либо изменяя критически важные системные файлы, чтобы гарантировать запуск бэкдора при перезагрузке устройства.

Один из выделенных механизмов работы BRICKSTORM включает установку вредоносного фильтра Java-сервлетов, называемого BRICKSTEAL, в веб-интерфейсе Apache Tomcat сервера vCenter. Этот фильтр скрытно перехватывает учетные данные из HTTP-запросов, особенно в средах, где используется проверка подлинности Active Directory, что создает серьезный риск повышения привилегий, поскольку пользователи, входящие в vCenter, часто имеют значительный доступ к сети организации.

Злоумышленник, вероятно, стремится перемещаться по сетям, используя скомпрометированные устройства и ранее захваченные учетные данные, что позволяет ему устанавливать BRICKSTORM на критически важные системы. Кроме того, они часто адаптируют свою тактику для использования ресурсов, получения доступа к Учетным записям эл. почты ключевых сотрудников и извлечения конфиденциальной информации с помощью приложений Microsoft Entra ID с более широкими возможностями доступа к почте.

Учитывая наблюдаемую сложность эксплуатации, Mandiant подчеркивает необходимость принятия подхода к поиску угроз, основанного на TTP, вместо того, чтобы полагаться исключительно на традиционные индикаторы компрометации (IOCs), которые могут оказаться неэффективными против динамической операционной модели BRICKSTORM's. Для усиления защиты организациям рекомендуется вести подробный учет активов, особенно устройств, которые могут быть пропущены стандартными протоколами безопасности, и тщательно отслеживать необычную сетевую активность или схемы несанкционированного доступа.

Наконец, руководящие принципы ужесточения предполагают ограничение доступа к Интернету для устройств и обеспечение того, чтобы системы не имели ненужных возможностей внутренней сетевой связи. Основное внимание по-прежнему уделяется смягчению различных угроз, связанных с операциями BRICKSTORM, которые варьируются от геополитического шпионажа до попыток кражи интеллектуальной собственности, что подчеркивает острую необходимость для организаций в уязвимых секторах активно укреплять свои системы безопасности.

#ParsedReport #CompletenessHigh
24-09-2025

COLDRIVER Updates Arsenal with BAITSWITCH and SIMPLEFIX

https://www.zscaler.com/blogs/security-research/coldriver-updates-arsenal-baitswitch-and-simplefix

Report completeness: High

Actors/Campaigns:
Seaborgium

Threats:
Baitswitch
Simplefix
Clickfix_technique
Netstat_tool
Lostkeys
Clickflix_technique

Victims:
Civil society, Ngos, Think tanks, Journalists, Human rights defenders, Dissidents and their supporters

Industry:
Ngo

Geo:
Russian, Russia

TTPs:
Tactics: 8
Technics: 27

IOCs:
File: 4
Email: 1
Registry: 5
Domain: 4
Url: 13
Hash: 3
Command: 2

Soft:
Cloudflare Turnstile, Windows registry

Algorithms:
base64, aes

Win Services:
WebClient

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2025 года Zscaler ThreatLabZ сообщил о целенаправленной кампании ClickFix, проводимой российской группой по сложным целенаправленным атакам COLDRIVER, в первую очередь нацеленной на НПО и защитников прав человека посредством фишинг-атак. В кампании используются два новых семейства вредоносных ПО, BAITSWITCH (загрузчик) и SIMPLEFIX (бэкдор PowerShell), которые используют методы запутывания, чтобы избежать обнаружения. Атака начинается со взломанного веб-сайта, предназначенного для заманивания жертв, инициируя развертывание вредоносного ПО с помощью PowerShell stager во время входа в Windows, что подчеркивает постоянную способность COLDRIVER's использовать установленные векторы заражения.
-----

В сентябре 2025 года Zscaler ThreatLabZ выявил целевую многоэтапную кампанию по ClickFix, связанную с группой, известной как COLDRIVER, занимающейся сложными целенаправленными атаками с использованием сложных целенаправленных атак с использованием веб-сайтов, связанных с Россией. Эта группа в первую очередь ориентирована на членов гражданского общества, таких как НПО и правозащитники, использующие атаки фишинга в качестве своей основной тактики. Недавние разработки демонстрируют появление двух новых семейств облегченных вредоносных ПО, используемых в этой кампании: BAITSWITCH, загрузчик, и SIMPLEFIX, PowerShell Backdoor. Неизменная эффективность метода ClickFix указывает на его неизменную полезность в стратегиях компромисса, несмотря на отсутствие новизны в техническом исполнении.

Атака начинается со взломанной веб-страницы, предназначенной для представления в качестве информационного ресурса о проблемах гражданского общества, связанных с Россией. На этой странице описана тактика социальной инженерии, включающая поддельный флажок Cloudflare Turnstile, побуждающий жертв выполнять вредоносные команды через диалоговое окно запуска Windows. Как только жертва подключается к странице, запускается процесс развертывания вредоносного ПО. Первым вредоносным компонентом является программа PowerShell stager, которая запускается при следующем входе в Windows. Он использует определенный параметр командной строки, который задается в разделе реестра сценария входа в систему, позволяя выполнять дальнейшие вредоносные действия.

Бэкдор SIMPLEFIX характеризуется методами обфускации, которые отражают те, которые использовались в исходном сценарии этапа PowerShell. Такое многоуровневое запутывание усложняет анализ и обнаружение. Общая операционная структура вредоносного ПО подтверждает предположение о том, что COLDRIVER остается активным и технически способным использовать установленные векторы заражения для борьбы с диссидентами.

Приписывание этой кампании COLDRIVER основано на различных факторах, включая шаблоны кодирования вредоносного ПО, конкретный профиль целевой жертвы и совпадение TTP с предыдущими действиями, приписываемыми группе. Обнаружение указывает на постоянное использование упрощенного, но эффективного вредоносного ПО и стратегий атак, подчеркивая сохраняющуюся уязвимость сектора гражданского общества к этим типам угроз. Такие меры кибербезопасности, как обеспечение доступа с наименьшими привилегиями и использование технологий управления приложениями, могут эффективно снизить уязвимость, в то время как такие инструменты, как платформы изоляции браузеров, могут дополнительно снизить риски, связанные с взаимодействием пользователей на потенциально опасных веб-сайтах.

#ParsedReport #CompletenessHigh
24-09-2025

YiBackdoor: A New Malware Family With Links to IcedID and Latrodectus

https://www.zscaler.com/blogs/security-research/yibackdoor-new-malware-family-links-icedid-and-latrodectus

Report completeness: High

Threats:
Yibackdoor
Icedid
Latrodectus
Z_loader
Qakbot
Sandbox_evasion_technique
Antidebugging_technique
Nltest_tool
Icedid_loader

Victims:
Ransomware initial access victims

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1059, T1070.004, T1082, T1105, T1113, T1497.001, T1547.001, T1620, have more...

IOCs:
File: 6
Hash: 1
Url: 1

Soft:
Hyper-V

Algorithms:
gzip, rc4, base64, sha256, xor

Functions:
YiBackdoor, __rdtsc

Win API:
SwitchToThread, RtlExitUserProcess

Languages:
python, powershell

Links:
https://github.com/ThreatLabz/tools/blob/main/yibackdoor/yibackdoor\_rand.py
https://github.com/ThreatLabz/tools/blob/main/yibackdoor/yibackdoor\_rand.py#L175
have more...
https://github.com/ThreatLabz/tools/blob/main/yibackdoor/yibackdoor\_rand.py#L58

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
YiBackdoor - это недавно идентифицированное семейство вредоносных ПО, связанное с IcedID и Latrodectus, демонстрирующее сходство кода и предполагающее скоординированные кибероперации. Он предлагает такие возможности, как сбор системной информации, выполнение команд и развертывание плагинов, в то же время используя методы антианализа, чтобы избежать обнаружения. Его инициализация включает в себя внедрение кода, закрепление с помощью реестра Windows и зашифрованную связь с сервером C2, что указывает на текущую разработку и потенциал для расширения рисков в будущем.
-----

YiBackdoor - это недавно идентифицированное семейство вредоносных ПО, связанное с IcedID и Latrodectus, впервые обнаруженное в июне 2025 года. Это вредоносное ПО обладает сходством кода с IcedID, который изначально был создан для банковского мошенничества и банковских переводов, а впоследствии был адаптирован для обеспечения первоначального доступа для атак программ-вымогателей. Хотя точная взаимосвязь между YiBackdoor и этими семействами вредоносных ПО остается неясной, это предполагает скоординированное использование в кибероперациях. YiBackdoor предоставляет злоумышленникам различные возможности, включая сбор системной информации, выполнение команд, захват скриншотов и развертывание плагинов, которые расширяют его функциональность.

На этапе инициализации YiBackdoor выполняет критически важные действия, включая внедрение кода в удаленный процесс и закрепление на скомпрометированных системах с помощью раздела реестра Windows Run. Вредоносное ПО использует методы антианализа, в первую очередь направленные на то, чтобы избежать обнаружения в виртуализированных средах, обычно используемых в изолированной среде. Это включает в себя проверку адреса его памяти на соответствие загруженным библиотекам DLL перед внедрением кода в новый процесс. После этого он устанавливает закрепление, копируя себя в каталог со случайным именем и изменяя значения реестра, чтобы скрыть свое присутствие.

Конфигурация вредоносного ПО шифруется и расшифровывается во время выполнения с помощью уникального алгоритма, использующего 64-байтовый ключ. Он взаимодействует со своим сервером управления (C2), используя URL-адреса, производные от динамически заданных параметров в его конфигурации. YiBackdoor может выполнять множество команд, передавая результат обратно в C2 в формате JSON через HTTP POST-запросы. Кроме того, он сохраняет все полученные плагины во временной папке Windows со случайными именами файлов, что увеличивает его способность развиваться за счет дополнительных функциональных возможностей.

Обращает на себя внимание обширное дублирование кода между YiBackdoor и его аналогами IcedID и Latrodectus, особенно в критических и некритичных сегментах кода. Эти наблюдения свидетельствуют о сближении усилий по разработке этих семейств вредоносных ПО. В настоящее время YiBackdoor, по-видимому, находится на ограниченной стадии развертывания, что указывает на продолжающуюся разработку или тестирование злоумышленниками. Его эволюция может представлять повышенные риски по мере расширения его развертывания и возможностей.

#ParsedReport #CompletenessLow
24-09-2025

Investigation Report on Jaguar Land Rover Cyberattack

https://www.cyfirma.com/research/investigation-report-on-jaguar-land-rover-cyberattack/

Report completeness: Low

Actors/Campaigns:
Shinyhunters (motivation: cyber_criminal)
0ktapus
Lapsus

Threats:
Hellcat
Spear-phishing_technique
Sliver_c2_tool

Victims:
Jaguar land rover, Automotive sector, Manufacturing operations, Retail operations

Industry:
Transport, Telco, Retail, Critical_infrastructure

TTPs:
Tactics: 11
Technics: 15

Soft:
Telegram

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4