#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по фишингу, расследуемая CyberSOC, включает в себя сложные методы, нацеленные на учетные записи пользователей во многих странах. Все начинается с того, что пользователи открывают HTML-вложения, которые выполняют файл JavaScript, перенаправляя их на поддельную страницу входа в OneDrive для получения учетных данных по электронной почте и Telegram. Несмотря на то, что многие связанные HTML-файлы не помечаются средствами обнаружения как вредоносные, злоумышленники проявляют закрепление, меняя свой JavaScript и используя различные сервисы хостинга.
-----

Недавнее расследование CyberSOC было посвящено годичной кампании фишинга, характеризующейся изощренными методами, направленными на компрометацию учетных записей пользователей. Считается, что эта кампания была нацелена на тысячи пользователей во многих странах. Начальная фаза атаки включает в себя открытие пользователями HTML-вложения, которое запускает выполнение файла JavaScript, содержащего домен с кодировкой base64. Этот код перенаправляет жертв на поддельную страницу OneDrive, предназначенную для сбора учетных данных.

В операции фишинга используется механизм перенаправления, связанный с платформой Evilginx, что очевидно из изменений в репозитории, связанных с кампанией атаки. Страница перенаправления структурирована таким образом, чтобы легко перенаправлять пользователей на поддельную форму входа в систему, чему способствует файл JavaScript с именем "home.js . " Когда пользователи пытаются войти в систему, их украденные учетные данные передаются злоумышленникам по электронной почте и Telegram, указывая четкий метод эксфильтрации данных.

Анализ кампании показал, что значительное количество HTML-файлов, связанных с активностью фишинга, не были обнаружены как вредоносные платформами безопасности, такими как VirusTotal, что указывает на значительный пробел в существующих возможностях обнаружения. Для борьбы с такими сложными угрозами фишинга решающее значение имеет внедрение решений по борьбе с фишингом, которые тщательно проверяют электронные письма на наличие подозрительного контента. Кроме того, организациям рекомендуется внедрять устойчивую к фишингу Многофакторную аутентификацию (MFA) для противодействия продвинутым платформам, таким как Evilginx, которые могут проникать сквозь традиционную защиту MFA.

Для дальнейшего снижения рисков следует разработать Политики условного доступа для ограничения доступа в случае успешной попытки фишинга. Постоянный мониторинг необходим для оперативного выявления любых нарушений и реагирования на них. Продолжающаяся адаптация злоумышленников очевидна, поскольку они часто меняют свои файлы JavaScript и используют различные сервисы хостинга, что подчеркивает постоянный характер этой кампании фишинга и необходимость принятия надежных мер безопасности для противодействия таким угрозам. Это расследование служит напоминанием о меняющемся ландшафте тактики фишинга и важности упреждающей защиты.

#ParsedReport #CompletenessMedium
30-09-2025

Breakingdown of Patchwork APT

https://labs.k7computing.com/index.php/breakingdown-of-patchwork-apt/

Report completeness: Medium

Actors/Campaigns:
Donot

Victims:
Government, Military

Industry:
Military

Geo:
Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1566, T1588

IOCs:
Path: 1
File: 10
Hash: 3
Url: 2

Soft:
Windows Scheduled Task, Twitter

Algorithms:
xor, base64

Functions:
xop, Protean, bkj, ghjk, dsffds, Charm

Win Services:
WebClient

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Patchwork APT, также известный как Dropping Elephant, действует по меньшей мере с 2015 года, в основном нацеливаясь на политические и военные организации в Южной и Юго-Восточной Азии. Группа характеризуется повторным использованием и модификацией существующего вредоносного ПО, а также изощренной тактикой социальной инженерии для обеспечения успешного проникновения. Их многоуровневые методы запутывания еще больше усложняют обнаружение, укрепляя их присутствие в качестве заметной угрозы в сфере кибербезопасности.
-----

Patchwork APT, также известная как Dropping Elephant, Monsoon и Hangover Group, действует по меньшей мере с 2015 года, уделяя основное внимание сбору политической и военной разведданных. Этот злоумышленник направляет свои усилия на организации в Южной и Юго-Восточной Азии, подчеркивая свою стратегическую нацеленность на критически важные секторы. Ключевой характеристикой Patchwork APT является его закрепление и адаптивность; вместо создания новых эксплойтов он часто повторно использует и модифицирует существующее вредоносное ПО и инструменты. Такой подход позволяет группе более эффективно реализовывать угрозы.

Группа известна тем, что использует сложные тактики социальной инженерии, которые играют ключевую роль в ее деятельности. Создавая индивидуальные приманки, которые, вероятно, будут резонировать с их целями, Patchwork APT повышает вероятность успешного проникновения. Кроме того, использование ими многоуровневых методов запутывания усложняет обнаружение и анализ их инструментов и методов. Следовательно, такое сочетание изобретательности, адаптивности и стратегического обмана позволило Patchwork APT поддерживать эффективное присутствие на рынке киберугроз, что делает их заметным актором для мониторинга в области кибербезопасности.

Запись вебинара: Скачать.
Архив с презентациями: Скачать .

#ParsedReport #CompletenessMedium
01-10-2025

WARMCOOKIE One Year Later: New Features and FreshInsights

https://www.elastic.co/security-labs/revisiting-warmcookie

Report completeness: Medium

Threats:
Warmcookie
Castlebot

Victims:
Unspecified organizations

Industry:
Financial

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 3
Path: 1
IP: 30
Domain: 1
Hash: 7

Algorithms:
sha256, rc4, sha1

Win API:
GetTickCount

Languages:
powershell

YARA: Found

Links:
https://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/behavior/rules/execution\_suspicious\_powershell\_downloads.toml
https://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/behavior/rules/execution\_suspicious\_powershell\_execution.toml
have more...
https://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/behavior/rules/persistence\_scheduled\_task\_creation\_by\_an\_unusual\_process.toml

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Бэкдор WARMCOOKIE претерпел значительные обновления, теперь для распространения используется загрузчик CASTLEBOT, что отражает переход к более сложным методам "вредоносное ПОкак услуга". Улучшения включают в себя улучшенные методы уклонения, введение идентификатора кампании для отслеживания и использование "банка строк" для скрытности, маскирующего свое присутствие с помощью законно звучащих путей. Вредоносное ПО продолжает развиваться, появляются новые обработчики команд и надежная инфраструктура с многочисленными серверами управления, что облегчает необнаруживаемую связь между вредоносным ПО и его операторами.
-----

За прошедший год бэкдор WARMCOOKIE продолжал развиваться, и Elastic Security Labs наблюдала за значительными обновлениями его кодовой базы и новой инфраструктуры, связанной с его распространением. Бэкдор теперь поставляется с использованием нового загрузчика вредоносного ПО по принципу "как услуга" (MaaS) под названием CASTLEBOT, что указывает на тенденцию к более сложным методам распространения. Выявленные возможности WARMCOOKIE включают в себя его способность запускать исполняемые файлы, библиотеки DLL и скрипты с помощью недавно введенных обработчиков команд, которые повышают его оперативную гибкость.

Со времени первоначальной публикации исследования в июле 2024 года были внесены заметные обновления, включая усовершенствования методов обхода вредоносного ПО и добавление поля идентификатора кампании. Это поле служит механизмом маркировки для операторов, помогая классифицировать инфекции и понимать конкретные используемые каналы распространения. Elastic Labs обнаружила, что WARMCOOKIE использует "банк строк", который состоит из путей, полученных из законных названий компаний, для имен запланированных задач и папок. Эта практика направлена на повышение скрытности за счет маскировки присутствия вредоносного ПО в системе, в отличие от предыдущих статичных и легко идентифицируемых путей.

Более того, параметры командной строки, ранее использовавшиеся WARMCOOKIE, были скорректированы, в частности, изменен параметр с "/p" на "/u" для планирования задач, что подчеркивает постоянные усилия разработчиков по внедрению прошлой тактики отчетности. Анализ бэкдора выявил постоянное появление новых вариантов, которые обладают различными обработчиками команд, демонстрируя активные усилия по разработке со стороны злоумышленников.

Инфраструктура, поддерживающая WARMCOOKIE, обширна, с многочисленными задокументированными IP-адресами серверов управления (C2), а также одним выдающимся SSL-сертификатом, который, вероятно, играет центральную роль в управлении внутренними операциями вредоносного ПО. Эти серверы C2 облегчают связь между зараженными системами и операторами вредоносного ПО, что еще больше делает его вредоносную деятельность незамеченной.

#ParsedReport #CompletenessHigh
01-10-2025

FunkSecs FunkLocker: How AI Is Powering the Next Wave of Ransomware

https://any.run/cybersecurity-blog/funklocker-malware-analysis/

Report completeness: High

Actors/Campaigns:
Funksec

Threats:
Funklocker
Funksec_ransomware
Promptlock
Lockbit
Wevtutil_tool
Vssadmin_tool
Mamona
Shadow_copies_delete_technique

Victims:
Government institutions, Defense sector, Technology companies, Financial services, Higher education

Industry:
Government, Software_development, Education

Geo:
Mongolia, Spain, India

TTPs:
Tactics: 4
Technics: 8

IOCs:
File: 4
Command: 1
Path: 1
Hash: 1

Soft:
Windows Defender, Chrome, Firefox, Steam, Windows Service, hrome, Firefox, E

Algorithms:
sha256

Languages:
java, python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
FunkSecs FunkLocker - это программа-вымогатель, управляемая искусственным интеллектом, которая использует шаблоны кодирования "фрагментов искусственного интеллекта" для развертывания, что приводит к нестабильному качеству программного обеспечения. Действующий с начала 2025 года, он нацелен на более чем 120 организаций в различных секторах, применяя агрессивную тактику прерывания работы, завершая работу приложений из предопределенного списка и широко используя PowerShell для операций шифрования. Примечательно, что он удаляет Shadow Copies томов Windows с помощью vssadmin, чтобы предотвратить восстановление системы, согласовывая свои методы со специфическими методами MITRE ATT&CK.
-----

FunkSecs FunkLocker представляет собой значительную эволюцию в области программ-вымогателей, использующих Искусственный интеллект для своей разработки и выполнения процессов. Этот штамм программ-вымогателей демонстрирует шаблоны кодирования "фрагментов искусственного интеллекта", позволяющие использовать оптимизированное, но непоследовательное кодирование, что может облегчить развертывание, но может повлиять на общее качество программного обеспечения. FunkLocker является частью более широкой тенденции вредоносного ПО, управляемого искусственным интеллектом, вслед за другими штаммами, такими как PromptLocker, и был активен в течение некоторого времени, публикуя заметное количество жертв на сайтах утечек Dark Web.

По состоянию на начало 2025 года FunkSec скомпрометировала более 120 организаций по всему миру, нацелившись на различные секторы, включая государственные структуры, оборону, технологии, финансовые услуги и высшие учебные заведения. Фаза выполнения FunkLocker является агрессивной; после активации она быстро прерывает процессы, останавливая приложения на основе заранее определенного списка. Этот метод грубой силы может привести к ошибкам, когда вредоносное ПО пытается завершить работу несуществующих приложений, демонстрируя недостаток изящества в его выполнении.

Вредоносное ПО широко использует PowerShell для осуществления своей вредоносной деятельности. Его команды структурированы таким образом, чтобы облегчить злоупотребление системой с акцентом на операции шифрования. Одним из важнейших аспектов программы-вымогателя FunkLocker является ее обработка Shadow Copies томов Windows, которые она удаляет с помощью администратора службы теневых томов (vssadmin). Поступая таким образом, FunkLocker эффективно устраняет у жертв возможность восстановить свои системы до предыдущих состояний, тем самым увеличивая влияние программы-вымогателя на пострадавшие организации.

С точки зрения безопасности FunkLocker соответствует специфическим методам MITRE ATT&CK, служащим основой для понимания его операционной механики. Появление искусственного интеллекта при разработке программ-вымогателей, примером чего является FunkSec, подчеркивает заметный сдвиг в том, как разрабатываются и выполняются такие угрозы. Командам безопасности настоятельно рекомендуется распознавать эти меняющиеся тенденции и соответствующим образом адаптировать свои стратегии, уделяя особое внимание постоянному мониторингу и превентивным мерам против таких изощренных атак программ-вымогателей.

#ParsedReport #CompletenessLow
01-10-2025

FlipSwitch: a Novel Syscall HookingTechnique

https://www.elastic.co/security-labs/flipswitch-linux-rootkit

Report completeness: Low

Threats:
Diamorphine_rootkit
Pumakit

Victims:
Linux users

ChatGPT TTPs:
do not use without manual check
T1014

Soft:
Linux

Functions:
somehow, we

Platforms:
x86

YARA: Found

Links:
have more...
https://github.com/1337-42/FlipSwitch-dev/
https://github.com/torvalds/linux/blob/v6.9/arch/x86/entry/syscall\_64.c

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Технология FlipSwitch - это продвинутый метод обхода защиты ядра Linux путем манипулирования логикой отправки системных вызовов в функции x64_sys_call, позволяющий руткитам перехватывать системные вызовы, такие как "kill" или "getdents64", без прямого манипулирования таблицей системных вызовов. Такой подход, разработанный для обхода традиционных механизмов безопасности, усложняет усилия по обнаружению встроенных руткитов, что побудило исследователей создать специализированную сигнатуру YARA для идентификации угроз FlipSwitch в скомпрометированных средах.
-----

Технология FlipSwitch представляет собой усовершенствованный метод обхода защиты ядра Linux, появившийся в ответ на меняющийся ландшафт развертывания руткитов. Традиционно руткиты использовали прямое манипулирование таблицей системных вызовов, перезаписывая адреса системных вызовов указателями на свои собственные функции, что позволяло им перехватывать и фильтровать системные вызовы, такие как 'kill' или 'getdents64'. Этот метод прямого доступа становился все более уязвимым с внедрением механизма диспетчеризации на основе инструкции switch в ядре Linux версии 6.9, который повысил безопасность, сделав поиск по системному вызову менее предсказуемым и устойчивым к прямым манипуляциям.

FlipSwitch инновационно ориентирован на логику диспетчеризации системных вызовов, которая содержится в функции x64_sys_call. Изучая машинный код этой функции и находя команду вызова, характеризующуюся конкретным однобайтовым кодом операции (0xe8), за которым следует относительное смещение, этот метод позволяет злоумышленникам манипулировать выполнением системного вызова. Этот продуманный подход облегчает более скрытную эксплуатацию, в отличие от более простых методов, с которыми ранее сталкивалось ядро.

Примечательно, что обнаружение этого типа руткитов, однажды внедренных в ядро, создает значительные проблемы из-за их конструкции для скрытой работы и обхода традиционных механизмов безопасности. В ответ исследователи разработали сигнатуру YARA, специально разработанную для идентификации руткита FlipSwitch, доступную для обнаружения как в памяти, так и на диске. Эта сигнатура играет решающую роль в продолжающихся усилиях по распознаванию и снижению рисков, связанных с такими сложными угрозами руткитов в скомпрометированных средах Linux.

#ParsedReport #CompletenessLow
01-10-2025

Qilin

https://asec.ahnlab.com/ko/90360/

Report completeness: Low

Threats:
Qilin_ransomware
Psexec_tool
Ransomware/win.qilincrypt.c5545083
Trojan/win.generic.c5503103
Trojan/win.evo-gen.c5771612
Trojan/win.generic.c5545081
Ransom/mdp.delete.m2117
Ransom/mdp.command.m2255
Ransom/mdp.event.m1946
Ransom/mdp.edit.m1870
Shadow_copies_delete_technique

Industry:
Ics

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 17
Command: 1

Soft:
PsExec, MSSQL, Hyper-V, QuickBooks, msexchange, firefox, onenote, outlook, steam, thebat, have more...

Algorithms:
rsa-4096, chacha20, aes-256, sha256, sha2, aes

Functions:
AES-256, Get-WinEvent, Get-Unique

Win API:
CreateMutexW

Win Services:
veeamtransportsvc, backupexecjobengine, wsbexchange, pdvfsservice, backupexecvssprovider, backupexecagentaccelerator, backupexecagentbrowser, backupexecdivecimediaservice, backupexecmanagementservice, backupexecrpcservice, have more...

Languages:
powershell, rust, golang

Platforms:
x86, intel

#ParsedReport #CompletenessMedium
01-10-2025

Phantom Taurus: A New Chinese Nexus APT and the Discovery of the NET-STAR Malware Suite

https://unit42.paloaltonetworks.com/phantom-taurus/

Report completeness: Medium

Actors/Campaigns:
Phantom_taurus (motivation: cyber_espionage)
Diplomatic_specter
Emissary_panda
Winnti
Red_delta

Threats:
Potato_tool
Chinachopper
Impacket_tool
Ntospy_tool
Timestomp_technique
Amsi_bypass_technique
Htran_tool
Yasso_tool
Juicypotato_tool
Nbtscan_tool
Ladon_tool
Sharpefspotato_tool
Mimikatz_tool
Gh0st_rat
Tunnelspecter
Sweetspecter
Raccoon_stealer
Plugx_rat

Victims:
Government, Telecommunications

Industry:
Telco, Military, Government

Geo:
Afghanistan, China, Pakistan, Africa, Asia, Middle east, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.001, T1027, T1041, T1055, T1059.005, T1071.001, T1090, T1114.002, T1140, T1505.003, have more...

IOCs:
File: 4
Path: 2
Hash: 4

Soft:
Event Tracing for Windows, Windows security

Algorithms:
md5, gzip, sha256, base64, aes

Functions:
GetContext, SetContext, createDir, createFile, removeShell

Win API:
Decompress, deleteFile

Languages:
visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Phantom Taurus, APT Группировка, связанная с государственными интересами Китая, разработала свои методы для нацеливания на правительственный и телекоммуникационный секторы в Африке, на Ближнем Востоке и в Азии. Они представили пакет вредоносного ПО NET-STAR, который включает в себя бэкдор IIServerCore, работающий через веб-серверы IIS и использующий Веб-шелл для развертывания. Кроме того, пакет включает компонент AssemblyExecuter, способный динамически запускать вредоносное ПО, используя методы уклонения для обхода мер безопасности Windows.
-----

Phantom Taurus - это формирующаяся APT группировка, связанная с государственными интересами Китайской Народной Республики. За последние два с половиной года этот ранее недокументированный злоумышленник участвовал в сложных шпионских операциях, нацеленных в первую очередь на правительственный и телекоммуникационный секторы в регионах, включая Африку, Ближний Восток и Азию. Группа эволюционировала в своих методах атак, переключившись с первоначального акцента на кражу конкретных электронных писем на прямой поиск конфиденциальной информации в базах данных.

Последней разработкой Phantom Taurus является внедрение пакета вредоносных ПО NET-STAR, который представляет собой пакет вредоносных ПО на базе .NET, предназначенный для компрометации веб-серверов Internet Information Services (IIS). Ключевым компонентом этого пакета является IIServerCore, модульный бесфайловый бэкдор, который работает полностью в памяти через w3wp.exe Процесс IIS. Вредоносное ПО первоначально развертывается с помощью Веб-шелла с именем OutlookEN.aspx, который содержит встроенный двоичный файл, сжатый с помощью Base64. После выполнения этот Веб-шелл загружает бэкдор IIServerCore в память и выполняет свой основной метод, позволяющий выполнять различные командные функции.

Структура IIServerCore основана на классе ServerRun, который включает одиннадцать методов, расширяющих его функциональные возможности. Известные функциональные возможности включают процедуры шифрования и дешифрования, методы сжатия данных и функции управления контекстом для обработки результатов выполнения команд. Такая конструкция обеспечивает скрытую связь со злоумышленниками и эффективную обработку данных.

В дополнение к бэкдору IIServerCore пакет NET-STAR включает в себя компонент AssemblyExecuter для защиты от вредоносного ПО, который поставляется в двух версиях. AssemblyExecuter V1 позволяет злоумышленникам динамически загружать и запускать дополнительные функции вредоносного ПО, используя .СЕТЧАТАЯ сборка.Метод Load() для обработки байт-кода сборки. AssemblyExecuter V2 представляет усовершенствованные методы обхода встроенных механизмов безопасности Windows, такие как интерфейс проверки на наличие вредоносных программ (AMSI) и трассировка событий для Windows (ETW), позволяющие индивидуально обходить систему безопасности в зависимости от среды объекта.

Появление Phantom Taurus и пакета вредоносного ПО NET-STAR знаменует эволюцию оперативных возможностей этой группы, занимающейся сложными целенаправленными угрозами, знаменуя переход к более изощренным методам сбора разведывательной информации и ее использования. Это событие подчеркивает продолжающуюся тенденцию спонсируемых государством киберопераций, которые используют усовершенствованное вредоносное ПО для эксфильтрации данных от важных объектов.

#ParsedReport #CompletenessHigh
01-10-2025

Lunar Spider Expands their Web via FakeCaptcha

https://blog.nviso.eu/2025/10/01/lunar-spider-expands-their-web-via-fakecaptcha/

Report completeness: High

Actors/Campaigns:
Lunar_spider (motivation: cyber_criminal, information_theft, financially_motivated)
Fin12

Threats:
Fakecaptcha_tool
Latrodectus
Dllsearchorder_hijacking_technique
Icedid
Blackcat
Telecaptcha_tool
Nltest_tool
Clickfix_technique
Lumma_stealer
Msi_loader

Victims:
Financial sector, Website operators, European users

Industry:
Financial

Geo:
India, Moldova, Germany, Ukraine

TTPs:
Tactics: 5
Technics: 20

IOCs:
Url: 1
Command: 1
Path: 3
File: 9
Domain: 81
Hash: 54

Soft:
Telegram, WordPress, curl, Firefox, Chrome, Internet Explorer, Microsoft Edge, macOS, Linux, Android, have more...

Algorithms:
rc4, sha1, sha256

Functions:
createElement, setTimeout, createIframe, setAttribute, getElementById, writeText, removeChild, setClipboardCopyData, getItem, setItem, have more...

Languages:
javascript, powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Русскоязычная киберпреступная группировка Lunar Spider использует уязвимости CORS на европейских веб-сайтах для развертывания фреймворка FakeCaptcha с помощью JavaScript. Их атака использует вредоносный загрузчик MSI, который встраивает законный исполняемый файл Intel и библиотеку DLL, известную как Latrodectus, используя DLL hijacking для закрепления. Полезная нагрузка Latrodectus подключается к серверу управления, что позволяет осуществлять вредоносные действия, включая мониторинг взаимодействия с жертвами и содействие атакам программ-вымогателей, демонстрируя расширенные операционные возможности.
-----

Русскоязычная киберпреступная группировка Lunar Spider расширила свои стратегии атак, нацелившись на уязвимые веб-сайты, главным образом в Европе, используя уязвимости совместного использования ресурсов (CORS). Их подход предполагает внедрение фреймворка FakeCaptcha на эти сайты с помощью фрагмента JavaScript, который создает iframe, эффективно накладывая вредоносный контент на законные сайты. Этот метод позволяет им отслеживать взаимодействия с жертвами и сообщать о кликах обратно в Telegram-канал. Процесс заражения начинается с загрузчика MSI, который встраивает законный исполняемый файл Intel вместе с вредоносной библиотекой DLL, получившей название Latrodectus. Этот загрузчик регистрирует исполняемый файл Intel в разделе реестра Windows Run для закрепления, а затем загружает библиотеку DLL Latrodectus, используя механизм перехвата DLL search order.

Полезная нагрузка Latrodectus V2 устанавливает связь с сервером управления (C2), позволяя выполнять команды перечисления на основе его конфигурации. Это вредоносное ПО было разработано как преемник вредоносного ПО IcedID, переходя от деятельности, ориентированной на банковское дело, к более широкому спектру методов первоначального доступа, направленных на облегчение атак программ-вымогателей. Lunar Spider связан с несколькими операциями по борьбе с программами-вымогателями, включая ALPHV/BlackCat, что позволяет им предоставлять доступ к другим хакерским группировкам для кражи данных и развертывания программ-вымогателей.

Общая цепочка атак начинается с того, что Lunar Spider компрометирует веб-сайты, уязвимые для неправильной настройки CORS, что может привести к раскрытию конфиденциальных ресурсов, таких как веб-токены JSON и учетные данные API. Внедренный скрипт, известный как iFrameOverload, динамически создает iframe для загрузки фреймворка FakeCaptcha. Этот фреймворк не только выполняет вводящий в заблуждение скрипт для получения удаленной полезной нагрузки через PowerShell, но и использует мониторинг кликов жертвы для повышения своей эффективности. Вредоносный MSI, структурированный как дроппер, извлекает файлы, необходимые для полезной нагрузки Latrodectus, демонстрируя сложные операционные возможности.

Что касается технических особенностей, Lunar Spider использует различные методы MITRE ATT&CK: они используют уязвимости CORS для первоначального доступа, используют JavaScript для выполнения и манипулируют сценариями PowerShell. Внедрение вредоносного кода маскируется под проверку reCAPTCHA, обманом заставляя пользователей выполнять вредоносные команды. DLL Hijacking происходит через законный исполняемый файл Intel, который при манипулировании становится вектором для загрузки вредоносной библиотеки DLL из нетрадиционных каталогов, подчеркивая важность мониторинга не только стандартного поведения системы, но и необычных шаблонов, которые могут указывать на компромисс.

Таким образом, тактика, методы и процедуры, используемые Lunar Spider, иллюстрируют высокий уровень изощренности их киберопераций, требующих упреждающих мер мониторинга и обнаружения для противодействия их эволюционирующим методам атак.