#ParsedReport #CompletenessHigh
24-09-2025
COLDRIVER Updates Arsenal with BAITSWITCH and SIMPLEFIX
https://www.zscaler.com/blogs/security-research/coldriver-updates-arsenal-baitswitch-and-simplefix
Report completeness: High
Actors/Campaigns:
Seaborgium
Threats:
Baitswitch
Simplefix
Clickfix_technique
Netstat_tool
Lostkeys
Clickflix_technique
Victims:
Civil society, Ngos, Think tanks, Journalists, Human rights defenders, Dissidents and their supporters
Industry:
Ngo
Geo:
Russian, Russia
TTPs:
Tactics: 8
Technics: 27
IOCs:
File: 4
Email: 1
Registry: 5
Domain: 4
Url: 13
Hash: 3
Command: 2
Soft:
Cloudflare Turnstile, Windows registry
Algorithms:
base64, aes
Win Services:
WebClient
Languages:
powershell, javascript
24-09-2025
COLDRIVER Updates Arsenal with BAITSWITCH and SIMPLEFIX
https://www.zscaler.com/blogs/security-research/coldriver-updates-arsenal-baitswitch-and-simplefix
Report completeness: High
Actors/Campaigns:
Seaborgium
Threats:
Baitswitch
Simplefix
Clickfix_technique
Netstat_tool
Lostkeys
Clickflix_technique
Victims:
Civil society, Ngos, Think tanks, Journalists, Human rights defenders, Dissidents and their supporters
Industry:
Ngo
Geo:
Russian, Russia
TTPs:
Tactics: 8
Technics: 27
IOCs:
File: 4
Email: 1
Registry: 5
Domain: 4
Url: 13
Hash: 3
Command: 2
Soft:
Cloudflare Turnstile, Windows registry
Algorithms:
base64, aes
Win Services:
WebClient
Languages:
powershell, javascript
Zscaler
COLDRIVER Adds BAITSWITCH and SIMPLEFIX | ThreatLabz
The Russia-linked group COLDRIVER targeted dissidents and their supporters using a ClickFix technique, resulting in the deployment of BAITSWITCH and SIMPLEFIX.
CTT Report Hub
#ParsedReport #CompletenessHigh 24-09-2025 COLDRIVER Updates Arsenal with BAITSWITCH and SIMPLEFIX https://www.zscaler.com/blogs/security-research/coldriver-updates-arsenal-baitswitch-and-simplefix Report completeness: High Actors/Campaigns: Seaborgium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В сентябре 2025 года Zscaler ThreatLabZ сообщил о целенаправленной кампании ClickFix, проводимой российской группой по сложным целенаправленным атакам COLDRIVER, в первую очередь нацеленной на НПО и защитников прав человека посредством фишинг-атак. В кампании используются два новых семейства вредоносных ПО, BAITSWITCH (загрузчик) и SIMPLEFIX (бэкдор PowerShell), которые используют методы запутывания, чтобы избежать обнаружения. Атака начинается со взломанного веб-сайта, предназначенного для заманивания жертв, инициируя развертывание вредоносного ПО с помощью PowerShell stager во время входа в Windows, что подчеркивает постоянную способность COLDRIVER's использовать установленные векторы заражения.
-----
В сентябре 2025 года Zscaler ThreatLabZ выявил целевую многоэтапную кампанию по ClickFix, связанную с группой, известной как COLDRIVER, занимающейся сложными целенаправленными атаками с использованием сложных целенаправленных атак с использованием веб-сайтов, связанных с Россией. Эта группа в первую очередь ориентирована на членов гражданского общества, таких как НПО и правозащитники, использующие атаки фишинга в качестве своей основной тактики. Недавние разработки демонстрируют появление двух новых семейств облегченных вредоносных ПО, используемых в этой кампании: BAITSWITCH, загрузчик, и SIMPLEFIX, PowerShell Backdoor. Неизменная эффективность метода ClickFix указывает на его неизменную полезность в стратегиях компромисса, несмотря на отсутствие новизны в техническом исполнении.
Атака начинается со взломанной веб-страницы, предназначенной для представления в качестве информационного ресурса о проблемах гражданского общества, связанных с Россией. На этой странице описана тактика социальной инженерии, включающая поддельный флажок Cloudflare Turnstile, побуждающий жертв выполнять вредоносные команды через диалоговое окно запуска Windows. Как только жертва подключается к странице, запускается процесс развертывания вредоносного ПО. Первым вредоносным компонентом является программа PowerShell stager, которая запускается при следующем входе в Windows. Он использует определенный параметр командной строки, который задается в разделе реестра сценария входа в систему, позволяя выполнять дальнейшие вредоносные действия.
Бэкдор SIMPLEFIX характеризуется методами обфускации, которые отражают те, которые использовались в исходном сценарии этапа PowerShell. Такое многоуровневое запутывание усложняет анализ и обнаружение. Общая операционная структура вредоносного ПО подтверждает предположение о том, что COLDRIVER остается активным и технически способным использовать установленные векторы заражения для борьбы с диссидентами.
Приписывание этой кампании COLDRIVER основано на различных факторах, включая шаблоны кодирования вредоносного ПО, конкретный профиль целевой жертвы и совпадение TTP с предыдущими действиями, приписываемыми группе. Обнаружение указывает на постоянное использование упрощенного, но эффективного вредоносного ПО и стратегий атак, подчеркивая сохраняющуюся уязвимость сектора гражданского общества к этим типам угроз. Такие меры кибербезопасности, как обеспечение доступа с наименьшими привилегиями и использование технологий управления приложениями, могут эффективно снизить уязвимость, в то время как такие инструменты, как платформы изоляции браузеров, могут дополнительно снизить риски, связанные с взаимодействием пользователей на потенциально опасных веб-сайтах.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В сентябре 2025 года Zscaler ThreatLabZ сообщил о целенаправленной кампании ClickFix, проводимой российской группой по сложным целенаправленным атакам COLDRIVER, в первую очередь нацеленной на НПО и защитников прав человека посредством фишинг-атак. В кампании используются два новых семейства вредоносных ПО, BAITSWITCH (загрузчик) и SIMPLEFIX (бэкдор PowerShell), которые используют методы запутывания, чтобы избежать обнаружения. Атака начинается со взломанного веб-сайта, предназначенного для заманивания жертв, инициируя развертывание вредоносного ПО с помощью PowerShell stager во время входа в Windows, что подчеркивает постоянную способность COLDRIVER's использовать установленные векторы заражения.
-----
В сентябре 2025 года Zscaler ThreatLabZ выявил целевую многоэтапную кампанию по ClickFix, связанную с группой, известной как COLDRIVER, занимающейся сложными целенаправленными атаками с использованием сложных целенаправленных атак с использованием веб-сайтов, связанных с Россией. Эта группа в первую очередь ориентирована на членов гражданского общества, таких как НПО и правозащитники, использующие атаки фишинга в качестве своей основной тактики. Недавние разработки демонстрируют появление двух новых семейств облегченных вредоносных ПО, используемых в этой кампании: BAITSWITCH, загрузчик, и SIMPLEFIX, PowerShell Backdoor. Неизменная эффективность метода ClickFix указывает на его неизменную полезность в стратегиях компромисса, несмотря на отсутствие новизны в техническом исполнении.
Атака начинается со взломанной веб-страницы, предназначенной для представления в качестве информационного ресурса о проблемах гражданского общества, связанных с Россией. На этой странице описана тактика социальной инженерии, включающая поддельный флажок Cloudflare Turnstile, побуждающий жертв выполнять вредоносные команды через диалоговое окно запуска Windows. Как только жертва подключается к странице, запускается процесс развертывания вредоносного ПО. Первым вредоносным компонентом является программа PowerShell stager, которая запускается при следующем входе в Windows. Он использует определенный параметр командной строки, который задается в разделе реестра сценария входа в систему, позволяя выполнять дальнейшие вредоносные действия.
Бэкдор SIMPLEFIX характеризуется методами обфускации, которые отражают те, которые использовались в исходном сценарии этапа PowerShell. Такое многоуровневое запутывание усложняет анализ и обнаружение. Общая операционная структура вредоносного ПО подтверждает предположение о том, что COLDRIVER остается активным и технически способным использовать установленные векторы заражения для борьбы с диссидентами.
Приписывание этой кампании COLDRIVER основано на различных факторах, включая шаблоны кодирования вредоносного ПО, конкретный профиль целевой жертвы и совпадение TTP с предыдущими действиями, приписываемыми группе. Обнаружение указывает на постоянное использование упрощенного, но эффективного вредоносного ПО и стратегий атак, подчеркивая сохраняющуюся уязвимость сектора гражданского общества к этим типам угроз. Такие меры кибербезопасности, как обеспечение доступа с наименьшими привилегиями и использование технологий управления приложениями, могут эффективно снизить уязвимость, в то время как такие инструменты, как платформы изоляции браузеров, могут дополнительно снизить риски, связанные с взаимодействием пользователей на потенциально опасных веб-сайтах.
#ParsedReport #CompletenessHigh
24-09-2025
YiBackdoor: A New Malware Family With Links to IcedID and Latrodectus
https://www.zscaler.com/blogs/security-research/yibackdoor-new-malware-family-links-icedid-and-latrodectus
Report completeness: High
Threats:
Yibackdoor
Icedid
Latrodectus
Z_loader
Qakbot
Sandbox_evasion_technique
Antidebugging_technique
Nltest_tool
Icedid_loader
Victims:
Ransomware initial access victims
Industry:
Financial
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1027, T1055, T1059, T1070.004, T1082, T1105, T1113, T1497.001, T1547.001, T1620, have more...
IOCs:
File: 6
Hash: 1
Url: 1
Soft:
Hyper-V
Algorithms:
gzip, rc4, base64, sha256, xor
Functions:
YiBackdoor, __rdtsc
Win API:
SwitchToThread, RtlExitUserProcess
Languages:
python, powershell
Links:
have more...
24-09-2025
YiBackdoor: A New Malware Family With Links to IcedID and Latrodectus
https://www.zscaler.com/blogs/security-research/yibackdoor-new-malware-family-links-icedid-and-latrodectus
Report completeness: High
Threats:
Yibackdoor
Icedid
Latrodectus
Z_loader
Qakbot
Sandbox_evasion_technique
Antidebugging_technique
Nltest_tool
Icedid_loader
Victims:
Ransomware initial access victims
Industry:
Financial
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1055, T1059, T1070.004, T1082, T1105, T1113, T1497.001, T1547.001, T1620, have more...
IOCs:
File: 6
Hash: 1
Url: 1
Soft:
Hyper-V
Algorithms:
gzip, rc4, base64, sha256, xor
Functions:
YiBackdoor, __rdtsc
Win API:
SwitchToThread, RtlExitUserProcess
Languages:
python, powershell
Links:
https://github.com/ThreatLabz/tools/blob/main/yibackdoor/yibackdoor\_rand.pyhttps://github.com/ThreatLabz/tools/blob/main/yibackdoor/yibackdoor\_rand.py#L175have more...
https://github.com/ThreatLabz/tools/blob/main/yibackdoor/yibackdoor\_rand.py#L58Zscaler
YiBackdoor: Linked to IcedID and Latrodectus | ThreatLabz
YiBackdoor is a new modular malware family closely linked to IcedID and Latrodectus with significant code overlaps.
CTT Report Hub
#ParsedReport #CompletenessHigh 24-09-2025 YiBackdoor: A New Malware Family With Links to IcedID and Latrodectus https://www.zscaler.com/blogs/security-research/yibackdoor-new-malware-family-links-icedid-and-latrodectus Report completeness: High Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
YiBackdoor - это недавно идентифицированное семейство вредоносных ПО, связанное с IcedID и Latrodectus, демонстрирующее сходство кода и предполагающее скоординированные кибероперации. Он предлагает такие возможности, как сбор системной информации, выполнение команд и развертывание плагинов, в то же время используя методы антианализа, чтобы избежать обнаружения. Его инициализация включает в себя внедрение кода, закрепление с помощью реестра Windows и зашифрованную связь с сервером C2, что указывает на текущую разработку и потенциал для расширения рисков в будущем.
-----
YiBackdoor - это недавно идентифицированное семейство вредоносных ПО, связанное с IcedID и Latrodectus, впервые обнаруженное в июне 2025 года. Это вредоносное ПО обладает сходством кода с IcedID, который изначально был создан для банковского мошенничества и банковских переводов, а впоследствии был адаптирован для обеспечения первоначального доступа для атак программ-вымогателей. Хотя точная взаимосвязь между YiBackdoor и этими семействами вредоносных ПО остается неясной, это предполагает скоординированное использование в кибероперациях. YiBackdoor предоставляет злоумышленникам различные возможности, включая сбор системной информации, выполнение команд, захват скриншотов и развертывание плагинов, которые расширяют его функциональность.
На этапе инициализации YiBackdoor выполняет критически важные действия, включая внедрение кода в удаленный процесс и закрепление на скомпрометированных системах с помощью раздела реестра Windows Run. Вредоносное ПО использует методы антианализа, в первую очередь направленные на то, чтобы избежать обнаружения в виртуализированных средах, обычно используемых в изолированной среде. Это включает в себя проверку адреса его памяти на соответствие загруженным библиотекам DLL перед внедрением кода в новый процесс. После этого он устанавливает закрепление, копируя себя в каталог со случайным именем и изменяя значения реестра, чтобы скрыть свое присутствие.
Конфигурация вредоносного ПО шифруется и расшифровывается во время выполнения с помощью уникального алгоритма, использующего 64-байтовый ключ. Он взаимодействует со своим сервером управления (C2), используя URL-адреса, производные от динамически заданных параметров в его конфигурации. YiBackdoor может выполнять множество команд, передавая результат обратно в C2 в формате JSON через HTTP POST-запросы. Кроме того, он сохраняет все полученные плагины во временной папке Windows со случайными именами файлов, что увеличивает его способность развиваться за счет дополнительных функциональных возможностей.
Обращает на себя внимание обширное дублирование кода между YiBackdoor и его аналогами IcedID и Latrodectus, особенно в критических и некритичных сегментах кода. Эти наблюдения свидетельствуют о сближении усилий по разработке этих семейств вредоносных ПО. В настоящее время YiBackdoor, по-видимому, находится на ограниченной стадии развертывания, что указывает на продолжающуюся разработку или тестирование злоумышленниками. Его эволюция может представлять повышенные риски по мере расширения его развертывания и возможностей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
YiBackdoor - это недавно идентифицированное семейство вредоносных ПО, связанное с IcedID и Latrodectus, демонстрирующее сходство кода и предполагающее скоординированные кибероперации. Он предлагает такие возможности, как сбор системной информации, выполнение команд и развертывание плагинов, в то же время используя методы антианализа, чтобы избежать обнаружения. Его инициализация включает в себя внедрение кода, закрепление с помощью реестра Windows и зашифрованную связь с сервером C2, что указывает на текущую разработку и потенциал для расширения рисков в будущем.
-----
YiBackdoor - это недавно идентифицированное семейство вредоносных ПО, связанное с IcedID и Latrodectus, впервые обнаруженное в июне 2025 года. Это вредоносное ПО обладает сходством кода с IcedID, который изначально был создан для банковского мошенничества и банковских переводов, а впоследствии был адаптирован для обеспечения первоначального доступа для атак программ-вымогателей. Хотя точная взаимосвязь между YiBackdoor и этими семействами вредоносных ПО остается неясной, это предполагает скоординированное использование в кибероперациях. YiBackdoor предоставляет злоумышленникам различные возможности, включая сбор системной информации, выполнение команд, захват скриншотов и развертывание плагинов, которые расширяют его функциональность.
На этапе инициализации YiBackdoor выполняет критически важные действия, включая внедрение кода в удаленный процесс и закрепление на скомпрометированных системах с помощью раздела реестра Windows Run. Вредоносное ПО использует методы антианализа, в первую очередь направленные на то, чтобы избежать обнаружения в виртуализированных средах, обычно используемых в изолированной среде. Это включает в себя проверку адреса его памяти на соответствие загруженным библиотекам DLL перед внедрением кода в новый процесс. После этого он устанавливает закрепление, копируя себя в каталог со случайным именем и изменяя значения реестра, чтобы скрыть свое присутствие.
Конфигурация вредоносного ПО шифруется и расшифровывается во время выполнения с помощью уникального алгоритма, использующего 64-байтовый ключ. Он взаимодействует со своим сервером управления (C2), используя URL-адреса, производные от динамически заданных параметров в его конфигурации. YiBackdoor может выполнять множество команд, передавая результат обратно в C2 в формате JSON через HTTP POST-запросы. Кроме того, он сохраняет все полученные плагины во временной папке Windows со случайными именами файлов, что увеличивает его способность развиваться за счет дополнительных функциональных возможностей.
Обращает на себя внимание обширное дублирование кода между YiBackdoor и его аналогами IcedID и Latrodectus, особенно в критических и некритичных сегментах кода. Эти наблюдения свидетельствуют о сближении усилий по разработке этих семейств вредоносных ПО. В настоящее время YiBackdoor, по-видимому, находится на ограниченной стадии развертывания, что указывает на продолжающуюся разработку или тестирование злоумышленниками. Его эволюция может представлять повышенные риски по мере расширения его развертывания и возможностей.
#ParsedReport #CompletenessLow
24-09-2025
Investigation Report on Jaguar Land Rover Cyberattack
https://www.cyfirma.com/research/investigation-report-on-jaguar-land-rover-cyberattack/
Report completeness: Low
Actors/Campaigns:
Shinyhunters (motivation: cyber_criminal)
0ktapus
Lapsus
Threats:
Hellcat
Spear-phishing_technique
Sliver_c2_tool
Victims:
Jaguar land rover, Automotive sector, Manufacturing operations, Retail operations
Industry:
Transport, Telco, Retail, Critical_infrastructure
TTPs:
Tactics: 11
Technics: 15
Soft:
Telegram
Languages:
powershell
24-09-2025
Investigation Report on Jaguar Land Rover Cyberattack
https://www.cyfirma.com/research/investigation-report-on-jaguar-land-rover-cyberattack/
Report completeness: Low
Actors/Campaigns:
Shinyhunters (motivation: cyber_criminal)
0ktapus
Lapsus
Threats:
Hellcat
Spear-phishing_technique
Sliver_c2_tool
Victims:
Jaguar land rover, Automotive sector, Manufacturing operations, Retail operations
Industry:
Transport, Telco, Retail, Critical_infrastructure
TTPs:
Tactics: 11
Technics: 15
Soft:
Telegram
Languages:
powershell
CYFIRMA
Investigation Report on Jaguar Land Rover Cyberattack - CYFIRMA
Executive Summary CYFIRMA analyzed the September 2, 2025, Jaguar Land Rover (JLR) cyber incident, which caused widespread disruption by shutting...
CTT Report Hub
#ParsedReport #CompletenessLow 24-09-2025 Investigation Report on Jaguar Land Rover Cyberattack https://www.cyfirma.com/research/investigation-report-on-jaguar-land-rover-cyberattack/ Report completeness: Low Actors/Campaigns: Shinyhunters (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кибератака на Jaguar Land Rover (JLR), произошедшая 2 сентября 2025 года, вызвала значительные сбои в работе глобальных ИТ-систем, что привело к остановке операций в критический период продаж. Связано с разбросанным Lapsus$ Hunters group, которая имеет связи с другими хакерскими коллективами, в результате взлома выявила уязвимости с задокументированной тактикой эксплуатации, согласованной с платформой MITRE ATT&CK. Хотя специфика атаки все еще расследуется, потенциальная возможность кражи учетных данных и раскрытия интеллектуальной собственности вызывает у JLR постоянные опасения по поводу безопасности.
-----
Кибератака 2 сентября 2025 года на Jaguar Land Rover (JLR) привела к масштабным сбоям в работе, затронувшим глобальные ИТ-системы и остановившим производство и розничную торговлю. Этот инцидент произошел в "День новых номерных знаков" в Великобритании, увеличив финансовые потери, поскольку дилеры не смогли зарегистрировать или доставить транспортные средства. Хотя JLR не раскрыла конкретные масштабы нарушения, оно является частью более широкой схемы продвинутых киберугроз, нацеленных на автомобильную промышленность. Более ранние инциденты в этом году включали атаки группы программ-вымогателей HELLCAT, которая ранее получала доступ к конфиденциальным данным сотрудников и внутренним документам с помощью украденных учетных данных.
Атака была связана с хакерским коллективом, известным как Scattered Lapsus$ Hunters, которые поделились скриншотами внутренних систем JLR, подчеркнув их технические возможности. Эта группа, состоящая из представителей нескольких известных хакерских коллективов, включая ShinyHunters и Lapsus$, имеет историю нападений на розничных продавцов в Великобритании. JLR еще предстоит подтвердить или детализировать характер атаки, но общие сведения предполагают, что в ее ИТ-технологиях и операционных системах существуют значительные уязвимости.
Аналитики по киберугрозам сопоставили потенциальные тактики, методы и процедуры (TTP), использованные в этом инциденте, с платформой MITRE ATT&CK, что указывает на то, что злоумышленники использовали передовые методы для использования уязвимостей в системах JLR. Мотивы атаки, по-видимому, включают не только финансовые стимулы, но и стремление к признанию и стратегическому влиянию в сообществе киберпреступников. Демонстрируя технические возможности с помощью утечки данных, группа стремится запугать JLR и потенциально использовать информацию для использования в будущем.
Воздействие нарушения оценивается как многомерное, приводящее к сбоям в работе и вызывающее опасения по поводу кражи учетных данных и уязвимости интеллектуальной собственности. Хотя ничто не подтверждает прямой компрометации клиентских данных, утечка внутренней информации создает постоянные риски. Дальнейшие судебно-медицинские исследования необходимы для полного понимания тактики, используемой злоумышленниками, и для достижения окончательной идентификации, хотя первоначальные оценки указывают на то, что за инцидентом может стоять коллектив ShinyHunters. По мере продвижения расследования специфика атаки и ее последствия для системы безопасности JLR остаются в центре внимания аналитиков по кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кибератака на Jaguar Land Rover (JLR), произошедшая 2 сентября 2025 года, вызвала значительные сбои в работе глобальных ИТ-систем, что привело к остановке операций в критический период продаж. Связано с разбросанным Lapsus$ Hunters group, которая имеет связи с другими хакерскими коллективами, в результате взлома выявила уязвимости с задокументированной тактикой эксплуатации, согласованной с платформой MITRE ATT&CK. Хотя специфика атаки все еще расследуется, потенциальная возможность кражи учетных данных и раскрытия интеллектуальной собственности вызывает у JLR постоянные опасения по поводу безопасности.
-----
Кибератака 2 сентября 2025 года на Jaguar Land Rover (JLR) привела к масштабным сбоям в работе, затронувшим глобальные ИТ-системы и остановившим производство и розничную торговлю. Этот инцидент произошел в "День новых номерных знаков" в Великобритании, увеличив финансовые потери, поскольку дилеры не смогли зарегистрировать или доставить транспортные средства. Хотя JLR не раскрыла конкретные масштабы нарушения, оно является частью более широкой схемы продвинутых киберугроз, нацеленных на автомобильную промышленность. Более ранние инциденты в этом году включали атаки группы программ-вымогателей HELLCAT, которая ранее получала доступ к конфиденциальным данным сотрудников и внутренним документам с помощью украденных учетных данных.
Атака была связана с хакерским коллективом, известным как Scattered Lapsus$ Hunters, которые поделились скриншотами внутренних систем JLR, подчеркнув их технические возможности. Эта группа, состоящая из представителей нескольких известных хакерских коллективов, включая ShinyHunters и Lapsus$, имеет историю нападений на розничных продавцов в Великобритании. JLR еще предстоит подтвердить или детализировать характер атаки, но общие сведения предполагают, что в ее ИТ-технологиях и операционных системах существуют значительные уязвимости.
Аналитики по киберугрозам сопоставили потенциальные тактики, методы и процедуры (TTP), использованные в этом инциденте, с платформой MITRE ATT&CK, что указывает на то, что злоумышленники использовали передовые методы для использования уязвимостей в системах JLR. Мотивы атаки, по-видимому, включают не только финансовые стимулы, но и стремление к признанию и стратегическому влиянию в сообществе киберпреступников. Демонстрируя технические возможности с помощью утечки данных, группа стремится запугать JLR и потенциально использовать информацию для использования в будущем.
Воздействие нарушения оценивается как многомерное, приводящее к сбоям в работе и вызывающее опасения по поводу кражи учетных данных и уязвимости интеллектуальной собственности. Хотя ничто не подтверждает прямой компрометации клиентских данных, утечка внутренней информации создает постоянные риски. Дальнейшие судебно-медицинские исследования необходимы для полного понимания тактики, используемой злоумышленниками, и для достижения окончательной идентификации, хотя первоначальные оценки указывают на то, что за инцидентом может стоять коллектив ShinyHunters. По мере продвижения расследования специфика атаки и ее последствия для системы безопасности JLR остаются в центре внимания аналитиков по кибербезопасности.
#ParsedReport #CompletenessMedium
24-09-2025
From LNK to RAT: Deep Dive into the LNK Malware Infection Chain
https://labs.k7computing.com/index.php/from-lnk-to-rat-deep-dive-into-the-lnk-malware-infection-chain/
Report completeness: Medium
Threats:
Lolbin_technique
Amsi_bypass_technique
Geo:
Israel
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1005, T1027, T1036, T1041, T1055, T1059.001, T1070.004, T1071.001, T1082, T1102, have more...
IOCs:
File: 14
Registry: 1
Hash: 4
Soft:
Discord, Windows Event Tracing, Nuget, Dropbox
Algorithms:
base64, aes, zip
Functions:
function, Get-MultiPic
Win API:
EtwEventWrite, DllRegisterServer, AmsiScanBuffer, LoadLibraryA, GetProcAddress, WriteProcessMemory, WideCharToMultiByte
Languages:
powershell
24-09-2025
From LNK to RAT: Deep Dive into the LNK Malware Infection Chain
https://labs.k7computing.com/index.php/from-lnk-to-rat-deep-dive-into-the-lnk-malware-infection-chain/
Report completeness: Medium
Threats:
Lolbin_technique
Amsi_bypass_technique
Geo:
Israel
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1036, T1041, T1055, T1059.001, T1070.004, T1071.001, T1082, T1102, have more...
IOCs:
File: 14
Registry: 1
Hash: 4
Soft:
Discord, Windows Event Tracing, Nuget, Dropbox
Algorithms:
base64, aes, zip
Functions:
function, Get-MultiPic
Win API:
EtwEventWrite, DllRegisterServer, AmsiScanBuffer, LoadLibraryA, GetProcAddress, WriteProcessMemory, WideCharToMultiByte
Languages:
powershell
K7 Labs
From LNK to RAT: Deep Dive into the LNK Malware Infection Chain
Attackers keep availing the use of Windows shortcut (.LNK) files to deliver malware. These LNK files normally used as shortcuts […]
CTT Report Hub
#ParsedReport #CompletenessMedium 24-09-2025 From LNK to RAT: Deep Dive into the LNK Malware Infection Chain https://labs.k7computing.com/index.php/from-lnk-to-rat-deep-dive-into-the-lnk-malware-infection-chain/ Report completeness: Medium Threats: Lolbin_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавний анализ выявил угрозу, исходящую от вредоносного ПО, доставляемого через файлы ярлыков Windows (.LNK), где взаимодействие с пользователем запускает команды PowerShell, выполняющие вредоносную полезную нагрузку. Атака использует скрытый экземпляр conhost.exe чтобы извлечь и открыть поддельный PDF-файл при удалении вредоносных библиотек DLL в папку "NuGet", включая Moq.dll , который использует методы, позволяющие избежать обнаружения путем исправления законных функций Windows. Вредоносное ПО работает как троян удаленного доступа, способный извлекать данные в облачное хранилище и поддерживать закрепление за счет регулярной связи с серверами управления.
-----
Текущие угрозы, создаваемые вредоносным ПО, доставляемым через файлы ярлыков Windows (.LNK), иллюстрируются недавним анализом цепочки заражения вредоносным ПО LNK, который иллюстрирует методы его выполнения и доставку вредоносной полезной нагрузки. Когда пользователи взаимодействуют с вредоносным файлом LNK, он якобы открывает поддельный PDF-файл при выполнении команд PowerShell, которые незаметно работают в фоновом режиме.
При выполнении LNK запускает скрипт PowerShell, который инициирует безголовый экземпляр conhost.exe чтобы избежать обнаружения пользователем. Он считывает его содержимое, чтобы найти и извлечь встроенный PDF-файл, который затем сохраняется на диске и открывается, чтобы ввести пользователя в заблуждение относительно безопасности файла LNK. Далее вредоносное ПО создает папку с именем "NuGet", из которой извлекает вредоносные библиотеки динамических ссылок (DLL-библиотеки) из ZIP-файла, впоследствии удаляя ZIP-файл, чтобы оставаться незаметным.
Суть этой атаки заключается в использовании odbcconf.exe — законного процесса Windows — в качестве метода запуска вредоносного Moq.dll . Эта библиотека DLL использует сложные методы для обхода функций безопасности. Он исправляет функцию AmsiScanBuffer для amsi.dll чтобы предотвратить обнаружение с помощью интерфейса проверки на наличие вредоносных программ Windows (AMSI) и дополнительно отключить отслеживание событий для ведения журнала Windows (ETW) с помощью аналогичного байтового исправления функции EtwEventWrite в ntdll.dll .
Библиотека DLL указывает на то, что она обладает мощными возможностями, действуя в основном как троян удаленного доступа (RAT). Он включает в себя методы для создания закрепления с помощью команд PowerShell, привязанных к explorer.exe , обеспечивая его выполнение при входе пользователя в систему, одновременно управляя его функциональностью управления (C2). Вредоносное ПО предназначено для хранения и кодирования команд таким образом, чтобы скрыть их истинные намерения, облегчая связь с инфраструктурой злоумышленника.
При первом запуске полезная нагрузка собирает критически важные системные данные, включая информацию об установленном антивирусном программном обеспечении и операционной системе, шифрует эти данные и передает их злоумышленнику. Для последующего выполнения вредоносное ПО переходит в командный цикл, регулярно связываясь с серверами C2 для получения дальнейших инструкций. Среди его вредоносных функций - функция загрузки в Dropbox, позволяющая осуществлять эксфильтрацию файлов со взломанного компьютера в учетную запись облачного хранилища, тем самым способствуя краже информации.
Этот случай демонстрирует, как киберпреступники используют, казалось бы, безобидные файлы для распространения сложного, многогранного вредоносного ПО, подчеркивая важность бдительности в отношении таких угроз и необходимость принятия надежных мер безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавний анализ выявил угрозу, исходящую от вредоносного ПО, доставляемого через файлы ярлыков Windows (.LNK), где взаимодействие с пользователем запускает команды PowerShell, выполняющие вредоносную полезную нагрузку. Атака использует скрытый экземпляр conhost.exe чтобы извлечь и открыть поддельный PDF-файл при удалении вредоносных библиотек DLL в папку "NuGet", включая Moq.dll , который использует методы, позволяющие избежать обнаружения путем исправления законных функций Windows. Вредоносное ПО работает как троян удаленного доступа, способный извлекать данные в облачное хранилище и поддерживать закрепление за счет регулярной связи с серверами управления.
-----
Текущие угрозы, создаваемые вредоносным ПО, доставляемым через файлы ярлыков Windows (.LNK), иллюстрируются недавним анализом цепочки заражения вредоносным ПО LNK, который иллюстрирует методы его выполнения и доставку вредоносной полезной нагрузки. Когда пользователи взаимодействуют с вредоносным файлом LNK, он якобы открывает поддельный PDF-файл при выполнении команд PowerShell, которые незаметно работают в фоновом режиме.
При выполнении LNK запускает скрипт PowerShell, который инициирует безголовый экземпляр conhost.exe чтобы избежать обнаружения пользователем. Он считывает его содержимое, чтобы найти и извлечь встроенный PDF-файл, который затем сохраняется на диске и открывается, чтобы ввести пользователя в заблуждение относительно безопасности файла LNK. Далее вредоносное ПО создает папку с именем "NuGet", из которой извлекает вредоносные библиотеки динамических ссылок (DLL-библиотеки) из ZIP-файла, впоследствии удаляя ZIP-файл, чтобы оставаться незаметным.
Суть этой атаки заключается в использовании odbcconf.exe — законного процесса Windows — в качестве метода запуска вредоносного Moq.dll . Эта библиотека DLL использует сложные методы для обхода функций безопасности. Он исправляет функцию AmsiScanBuffer для amsi.dll чтобы предотвратить обнаружение с помощью интерфейса проверки на наличие вредоносных программ Windows (AMSI) и дополнительно отключить отслеживание событий для ведения журнала Windows (ETW) с помощью аналогичного байтового исправления функции EtwEventWrite в ntdll.dll .
Библиотека DLL указывает на то, что она обладает мощными возможностями, действуя в основном как троян удаленного доступа (RAT). Он включает в себя методы для создания закрепления с помощью команд PowerShell, привязанных к explorer.exe , обеспечивая его выполнение при входе пользователя в систему, одновременно управляя его функциональностью управления (C2). Вредоносное ПО предназначено для хранения и кодирования команд таким образом, чтобы скрыть их истинные намерения, облегчая связь с инфраструктурой злоумышленника.
При первом запуске полезная нагрузка собирает критически важные системные данные, включая информацию об установленном антивирусном программном обеспечении и операционной системе, шифрует эти данные и передает их злоумышленнику. Для последующего выполнения вредоносное ПО переходит в командный цикл, регулярно связываясь с серверами C2 для получения дальнейших инструкций. Среди его вредоносных функций - функция загрузки в Dropbox, позволяющая осуществлять эксфильтрацию файлов со взломанного компьютера в учетную запись облачного хранилища, тем самым способствуя краже информации.
Этот случай демонстрирует, как киберпреступники используют, казалось бы, безобидные файлы для распространения сложного, многогранного вредоносного ПО, подчеркивая важность бдительности в отношении таких угроз и необходимость принятия надежных мер безопасности.
#ParsedReport #CompletenessLow
24-09-2025
AI vs. AI: Detecting an AI-obfuscated phishing campaign
https://www.microsoft.com/en-us/security/blog/2025/09/24/ai-vs-ai-detecting-an-ai-obfuscated-phishing-campaign/
Report completeness: Low
Victims:
Email users
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 1
Domain: 1
Soft:
Microsoft Defender, Office 365, Microsoft Exchange, Microsoft Edge, Twitter
Languages:
javascript
24-09-2025
AI vs. AI: Detecting an AI-obfuscated phishing campaign
https://www.microsoft.com/en-us/security/blog/2025/09/24/ai-vs-ai-detecting-an-ai-obfuscated-phishing-campaign/
Report completeness: Low
Victims:
Email users
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 1
Domain: 1
Soft:
Microsoft Defender, Office 365, Microsoft Exchange, Microsoft Edge, Twitter
Languages:
javascript
Microsoft News
AI vs. AI: Detecting an AI-obfuscated phishing campaign
Microsoft Threat Intelligence recently detected and blocked a credential phishing campaign that likely used AI-generated code to obfuscate its payload and evade traditional defenses, demonstrating a broader trend of attackers leveraging AI to increase the…
CTT Report Hub
#ParsedReport #CompletenessLow 24-09-2025 AI vs. AI: Detecting an AI-obfuscated phishing campaign https://www.microsoft.com/en-us/security/blog/2025/09/24/ai-vs-ai-detecting-an-ai-obfuscated-phishing-campaign/ Report completeness: Low Victims: Email users…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Система анализа угроз Microsoft выявила кампанию фишинга с использованием учетных данных, сгенерированную искусственным интеллектом, внедренную в SVG-файл для сокрытия злонамеренных намерений. В атаке была задействована скомпрометированная Учетная запись эл. почты малого бизнеса, использующая электронные письма с самостоятельным адресом, чтобы избежать обнаружения и имитировать законные уведомления об обмене файлами, чтобы обманом заставить получателей поделиться учетными данными. Хотя была отмечена сложность полезных данных, генерируемых искусственным интеллектом, это существенно не меняет характеристик, на которые полагаются системы безопасности при обнаружении угроз фишинга.
-----
Microsoft Threat Intelligence недавно выявила и предотвратила кампанию фишинга учетных данных, в ходе которой использовались передовые методы, включающие код, сгенерированный искусственным интеллектом, для сокрытия вредоносной полезной нагрузки. Кампания использовала сложный подход, внедрив свое вредоносное поведение в SVG-файл, который был пропитан деловым жаргоном и синтетической структурой, предназначенной для маскировки ее истинных намерений. Анализ Microsoft Security Copilot определил, что сложность и многословие кода намекают на его происхождение от искусственного интеллекта, предполагая, что это не был типичный код, созданный человеком, из-за его сложного дизайна и ограниченной практической полезности.
Кампания по фишингу, обнаруженная 18 августа, включала использование скомпрометированной Учетной записи эл. почты малого бизнеса для рассылки фишингов электронных писем с credential-stealing. Примечательная тактика включала использование метода самоадресации электронной почты, при котором адреса отправителя и получателя были идентичны, в то время как фактические адреса адресатов были скрыты в поле BCC. Этот метод потенциально позволял злоумышленникам обходить основные меры обнаружения. Содержание этих электронных писем было сфабриковано таким образом, чтобы походить на законные уведомления об обмене файлами, тем самым повышая вероятность успешного обмана получателей с целью разглашения их учетных данных.
Хотя использование искусственного интеллекта для обфускации полезной нагрузки отражает заметный прогресс в изощренности злоумышленников, крайне важно признать, что искусственный интеллект принципиально не изменяет характеристики или поведение, от которых зависят системы безопасности при обнаружении угроз фишинга. Хотя код, сгенерированный искусственным интеллектом, может обладать повышенной сложностью и усовершенствованным синтаксисом, он по-прежнему функционирует в рамках тех же поведенческих рамок, что и традиционные атаки фишинга, созданные человеком. В результате меры безопасности остаются применимыми, несмотря на эти новые методы.
Microsoft Defender XDR предлагает широкий спектр возможностей обнаружения для мониторинга таких возникающих угроз и реагирования на них на различных платформах, включая конечные точки и приложения электронной почты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Система анализа угроз Microsoft выявила кампанию фишинга с использованием учетных данных, сгенерированную искусственным интеллектом, внедренную в SVG-файл для сокрытия злонамеренных намерений. В атаке была задействована скомпрометированная Учетная запись эл. почты малого бизнеса, использующая электронные письма с самостоятельным адресом, чтобы избежать обнаружения и имитировать законные уведомления об обмене файлами, чтобы обманом заставить получателей поделиться учетными данными. Хотя была отмечена сложность полезных данных, генерируемых искусственным интеллектом, это существенно не меняет характеристик, на которые полагаются системы безопасности при обнаружении угроз фишинга.
-----
Microsoft Threat Intelligence недавно выявила и предотвратила кампанию фишинга учетных данных, в ходе которой использовались передовые методы, включающие код, сгенерированный искусственным интеллектом, для сокрытия вредоносной полезной нагрузки. Кампания использовала сложный подход, внедрив свое вредоносное поведение в SVG-файл, который был пропитан деловым жаргоном и синтетической структурой, предназначенной для маскировки ее истинных намерений. Анализ Microsoft Security Copilot определил, что сложность и многословие кода намекают на его происхождение от искусственного интеллекта, предполагая, что это не был типичный код, созданный человеком, из-за его сложного дизайна и ограниченной практической полезности.
Кампания по фишингу, обнаруженная 18 августа, включала использование скомпрометированной Учетной записи эл. почты малого бизнеса для рассылки фишингов электронных писем с credential-stealing. Примечательная тактика включала использование метода самоадресации электронной почты, при котором адреса отправителя и получателя были идентичны, в то время как фактические адреса адресатов были скрыты в поле BCC. Этот метод потенциально позволял злоумышленникам обходить основные меры обнаружения. Содержание этих электронных писем было сфабриковано таким образом, чтобы походить на законные уведомления об обмене файлами, тем самым повышая вероятность успешного обмана получателей с целью разглашения их учетных данных.
Хотя использование искусственного интеллекта для обфускации полезной нагрузки отражает заметный прогресс в изощренности злоумышленников, крайне важно признать, что искусственный интеллект принципиально не изменяет характеристики или поведение, от которых зависят системы безопасности при обнаружении угроз фишинга. Хотя код, сгенерированный искусственным интеллектом, может обладать повышенной сложностью и усовершенствованным синтаксисом, он по-прежнему функционирует в рамках тех же поведенческих рамок, что и традиционные атаки фишинга, созданные человеком. В результате меры безопасности остаются применимыми, несмотря на эти новые методы.
Microsoft Defender XDR предлагает широкий спектр возможностей обнаружения для мониторинга таких возникающих угроз и реагирования на них на различных платформах, включая конечные точки и приложения электронной почты.
#ParsedReport #CompletenessMedium
24-09-2025
Inside Vietnamese Threat Actor Lone Nones Copyright Takedown-Spoofing Campaign
https://cofense.com/blog/inside-vietnamese-threat-actor-lone-none-s-copyright-takedown-spoofing-campaign
Report completeness: Medium
Actors/Campaigns:
Lone_none
Ducktail
Threats:
Pxa_stealer
Purelogs
Xworm_rat
Xenorat
Purehvnc_tool
Geo:
Korean, Chinese, French, German, Vietnamese
TTPs:
Tactics: 1
Technics: 0
IOCs:
Domain: 4
File: 5
Command: 1
Path: 2
Url: 2
Coin: 8
Registry: 1
Soft:
Telegram, Microsoft Office, Dropbox, Windows registry
Wallets:
tron
Crypto:
bitcoin, dogecoin, ethereum, litecoin, primecoin, ripple, tezos, solana
Algorithms:
aes, base64
Languages:
python
24-09-2025
Inside Vietnamese Threat Actor Lone Nones Copyright Takedown-Spoofing Campaign
https://cofense.com/blog/inside-vietnamese-threat-actor-lone-none-s-copyright-takedown-spoofing-campaign
Report completeness: Medium
Actors/Campaigns:
Lone_none
Ducktail
Threats:
Pxa_stealer
Purelogs
Xworm_rat
Xenorat
Purehvnc_tool
Geo:
Korean, Chinese, French, German, Vietnamese
TTPs:
Tactics: 1
Technics: 0
IOCs:
Domain: 4
File: 5
Command: 1
Path: 2
Url: 2
Coin: 8
Registry: 1
Soft:
Telegram, Microsoft Office, Dropbox, Windows registry
Wallets:
tron
Crypto:
bitcoin, dogecoin, ethereum, litecoin, primecoin, ripple, tezos, solana
Algorithms:
aes, base64
Languages:
python
Cofense
Inside Lone None’s Evolving Copyright Takedown Phishing
Explore how the Vietnamese threat group Lone None uses spoofed copyright notices and Telegram-based stealers to launch complex phishing attacks.
CTT Report Hub
#ParsedReport #CompletenessMedium 24-09-2025 Inside Vietnamese Threat Actor Lone Nones Copyright Takedown-Spoofing Campaign https://cofense.com/blog/inside-vietnamese-threat-actor-lone-none-s-copyright-takedown-spoofing-campaign Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Хакерская группировка Lone None проводит сложные кампании на тему авторских прав, которые используют социальную инженерию для распространения вредоносного ПО, в частности, Lone None Stealer (PXA Stealer), который нацелен на кражу криптовалюты с помощью манипуляций с буфером обмена. Их техническая доставка включает в себя вредоносные ссылки по электронной почте, ведущие к архивным файлам в файлообменных сервисах, содержащим как законные документы, так и замаскированные Вредоносные файлы, включая библиотеку DLL, которая расшифровывает дополнительные полезные нагрузки. Вредоносное ПО заменяет скопированные криптовалютные адреса кошельком злоумышленника и использует Telegram-бота для уведомления, что указывает на стратегическую эволюцию тактики, направленную на максимизацию потенциала кражи.
-----
Хакерская группировка Lone None проводит сложные кампании на тему авторских прав, используя тактику социальной инженерии для обмана юридических фирм и распространения вредоносного ПО, специально нацеленного на пользователей с заявлениями о нарушении авторских прав. Одним из заметных вредоносных ПО, появляющихся в результате этих кампаний, является Lone None Stealer, также известный как PXA Stealer, который предназначен для кражи криптовалюты с помощью манипуляций с буфером обмена. Электронные письма актора часто содержат уведомления об удалении, которые, по-видимому, исходят от законных юридических лиц, но эти заявления сфабрикованы, ссылаются на реальные аккаунты Facebook, принадлежащие целевым получателям, и распространяются по меньшей мере на десяти разных языках.
Технический механизм доставки кампаний Lone None включает встроенные ссылки в электронные письма, ведущие к архивным файлам, размещенным на популярных файлообменных сервисах, таких как Dropbox и MediaFire. Эти архивные файлы содержат смесь законных документов (PDF-файлы и форматы Office) и замаскированных Вредоносных файлов, включая библиотеку DLL, которая функционирует как установщик Python. Эта вредоносная библиотека DLL использует утилиту Windows certutil.exe для расшифровки дальнейшей вредоносной полезной нагрузки, замаскированной несоответствиями расширений файлов, что облегчает конечную доставку и выполнение полезной нагрузки.
В Lone None Stealer есть функциональность, направленная на замену адресов криптовалюты, скопированных в буфер обмена, адресом кошелька злоумышленника, тем самым облегчая кражу средств. Он использует регулярные выражения для идентификации криптовалютных адресов и информирует злоумышленника через Telegram-бота, как только происходит замена. Эта тактика отражает эволюционирующую изощренность поведения вредоносного ПО по мере того, как кампании продолжают развиваться.
Несмотря на технологический прогресс в области доставки и функциональности вредоносного ПО, тактика социальной инженерии, используемая с помощью электронных писем, остается в основном неизменной. Продолжающееся использование подмены юридических фирм и соответствующих личных ссылок, по-видимому, повышает эффективность атак. Зависимость кампании от Telegram для связи командования и контроля (C2) и растущая сложность методов использования вредоносного ПО предполагают постоянную угрозу со стороны этого актора, нацеленного на уклонение от обнаружения и максимизацию потенциала кражи с помощью целенаправленных методов социальной инженерии. Это свидетельствует о резкой эволюции их тактики, потенциально указывающей на стратегический сдвиг в сторону более продвинутых и адаптированных методов распространения вредоносного ПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Хакерская группировка Lone None проводит сложные кампании на тему авторских прав, которые используют социальную инженерию для распространения вредоносного ПО, в частности, Lone None Stealer (PXA Stealer), который нацелен на кражу криптовалюты с помощью манипуляций с буфером обмена. Их техническая доставка включает в себя вредоносные ссылки по электронной почте, ведущие к архивным файлам в файлообменных сервисах, содержащим как законные документы, так и замаскированные Вредоносные файлы, включая библиотеку DLL, которая расшифровывает дополнительные полезные нагрузки. Вредоносное ПО заменяет скопированные криптовалютные адреса кошельком злоумышленника и использует Telegram-бота для уведомления, что указывает на стратегическую эволюцию тактики, направленную на максимизацию потенциала кражи.
-----
Хакерская группировка Lone None проводит сложные кампании на тему авторских прав, используя тактику социальной инженерии для обмана юридических фирм и распространения вредоносного ПО, специально нацеленного на пользователей с заявлениями о нарушении авторских прав. Одним из заметных вредоносных ПО, появляющихся в результате этих кампаний, является Lone None Stealer, также известный как PXA Stealer, который предназначен для кражи криптовалюты с помощью манипуляций с буфером обмена. Электронные письма актора часто содержат уведомления об удалении, которые, по-видимому, исходят от законных юридических лиц, но эти заявления сфабрикованы, ссылаются на реальные аккаунты Facebook, принадлежащие целевым получателям, и распространяются по меньшей мере на десяти разных языках.
Технический механизм доставки кампаний Lone None включает встроенные ссылки в электронные письма, ведущие к архивным файлам, размещенным на популярных файлообменных сервисах, таких как Dropbox и MediaFire. Эти архивные файлы содержат смесь законных документов (PDF-файлы и форматы Office) и замаскированных Вредоносных файлов, включая библиотеку DLL, которая функционирует как установщик Python. Эта вредоносная библиотека DLL использует утилиту Windows certutil.exe для расшифровки дальнейшей вредоносной полезной нагрузки, замаскированной несоответствиями расширений файлов, что облегчает конечную доставку и выполнение полезной нагрузки.
В Lone None Stealer есть функциональность, направленная на замену адресов криптовалюты, скопированных в буфер обмена, адресом кошелька злоумышленника, тем самым облегчая кражу средств. Он использует регулярные выражения для идентификации криптовалютных адресов и информирует злоумышленника через Telegram-бота, как только происходит замена. Эта тактика отражает эволюционирующую изощренность поведения вредоносного ПО по мере того, как кампании продолжают развиваться.
Несмотря на технологический прогресс в области доставки и функциональности вредоносного ПО, тактика социальной инженерии, используемая с помощью электронных писем, остается в основном неизменной. Продолжающееся использование подмены юридических фирм и соответствующих личных ссылок, по-видимому, повышает эффективность атак. Зависимость кампании от Telegram для связи командования и контроля (C2) и растущая сложность методов использования вредоносного ПО предполагают постоянную угрозу со стороны этого актора, нацеленного на уклонение от обнаружения и максимизацию потенциала кражи с помощью целенаправленных методов социальной инженерии. Это свидетельствует о резкой эволюции их тактики, потенциально указывающей на стратегический сдвиг в сторону более продвинутых и адаптированных методов распространения вредоносного ПО.