#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Shai-Hulud версии 2 вредоносного ПО, выявленная 24 ноября 2025 года, представляет серьезную угрозу Цепочке поставок программного обеспечения npm, компрометируя более 700 пакетов npm и создавая более 27 000 вредоносных репозиториев GitHub. Он использует предустановленные сценарии жизненного цикла, повышающие его возможности для атак, и применяет методы сбора учетных записей, ориентированные на основные облачные платформы, при этом фильтруя данные через репозитории GitHub, чтобы избежать обнаружения. Кроме того, он обеспечивает червеобразное распространение в экосистеме npm и использует агенты сборки Azure DevOps, что свидетельствует о значительном расширении его тактики и воздействия.
-----

Кампания по распространению вредоносного ПО Shai-Hulud версии 2, выявленная 24 ноября 2025 года, представляет значительную угрозу Цепочке поставок программного обеспечения npm. Эта кампания, которую операторы называют "Вторым пришествием", основана на предыдущей версии Shai-Hulud V1, демонстрируя эволюцию тактики и более агрессивный таргетинг на экосистему npm. В течение нескольких часов после обнаружения было скомпрометировано более 700 пакетов npm, а также создано более 27 000 вредоносных репозиториев на GitHub, которые раскрыли около 14 000 секретов в 487 организациях.

Кампания Shai-Hulud версии 2 использует сценарий жизненного цикла предустановки для запуска атак, в отличие от Shai-Hulud версии 1, использующей перехватчики после установки. Это стратегическое изменение позволяет вредоносному коду выполняться даже в случае сбоя установки пакета, что значительно усиливает потенциальное воздействие атаки. Заметным улучшением в этой версии является использование Bun, высокопроизводительной среды выполнения JavaScript, которую вредоносный установочный скрипт использует для различных операций.

Shai-Hulud V2 демонстрирует улучшенное выполнение с учетом окружающей среды, автоматически адаптируя свое поведение в зависимости от среды выполнения. Вредоносное ПО реализует механизм сбора учетных записей, который использует учетные данные различных платформ, включая те, которые связаны с крупными облачными провайдерами, такими как AWS, GCP и Azure, входящие в состав вредоносного ПО. Кроме того, он неправильно использует TruffleHog, секретный инструмент сканирования с открытым исходным кодом, для просмотра домашних каталогов пользователей в поисках конфиденциальной информации.

Для эксфильтрации данных Shai-Hulud V2 использует скомпрометированные токены для отправки украденных данных во вновь созданные репозитории GitHub, а не на внешние серверы управления (C2), что затрудняет обнаружение за счет Маскировки вредоносного трафика под законную активность на GitHub. Вредоносное ПО также может перерабатывать учетные данные, полученные от предыдущих жертв, расширяя свой охват.

Эта кампания также включает в себя возможность червеобразного распространения по всей экосистеме npm, автоматизируя процесс распространения на новые цели с использованием действительных токенов npm. Его функции включают установку автономных средств запуска GitHub Actions, позволяющих постоянно выполнять удаленный код, и создание вредоносных файлов рабочего процесса, которые используют уязвимости внедрения команд в обсуждениях на GitHub.

Кроме того, Shai-Hulud V2 развертывает рабочие процессы для сбора секретов действий GitHub и упаковки их в артефакт JSON, облегчающий поиск конфиденциальной информации. Переключатель dead man's повышает устойчивость вредоносного ПО, вызывая Уничтожение данных, если оно теряет доступ как к GitHub, так и к npm во время усилий по локализации, что усложняет судебно-медицинское восстановление.

Наконец, вредоносное ПО включает специализированную логику, адаптированную для использования агентов сборки Azure DevOps в системах Linux, что еще больше расширяет диапазон его векторов атак. Таким образом, кампания Shai-Hulud V2 представляет собой серьезный риск для Цепочки поставок, характеризующийся агрессивными методами и адаптивностью.

#ParsedReport #CompletenessHigh
02-12-2025

Malicious Rust Crate evm-units Serves Cross-Platform Payloads for Silent Execution

https://socket.dev/blog/malicious-rust-crate-evm-units-serves-cross-platform-payloads

Report completeness: High

Threats:
Evm-units
Supply_chain_technique
Process_injection_technique

Industry:
Retail

Geo:
China, Asian, Asia, Chinese

TTPs:
Tactics: 1
Technics: 10

IOCs:
Url: 1
Hash: 1
File: 8

Soft:
Linux, MacOS, Outlook

Crypto:
ethereum, uniswap

Algorithms:
base64

Functions:
get_evm_version, check, temp_dir, main

Languages:
applescript, powershell, rust

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Rust crate от evm-units представляет значительную угрозу, поскольку скрытно выполняет полезную нагрузку по краже криптовалюты в целевых системах, Маскировка под помощника виртуальной машины Ethereum. Он активируется с помощью функции `get_evm_version()`, что приводит к развертыванию Вредоносных файлов: в macOS скрипт с именем "init" выполняется с помощью `osascript`, а в Windows - скрипт PowerShell, сохраненный во временном каталоге. Вредоносное ПО использует методы обмана, чтобы избежать обнаружения, и использует различные тактики MITRE ATT&CK, подчеркивая риски, связанные с уязвимостями в Цепочке поставок.
-----

Вредоносный Rust crate, известный как evm-units, был идентифицирован как серьезная угроза из-за его способности обслуживать кроссплатформенные полезные нагрузки, которые незаметно выполняются в целевых операционных системах, в первую очередь с целью кражи криптовалюты. Замаскированное под помощника для проверки версий виртуальной машины Ethereum (EVM), это вредоносное ПО использует свой законный внешний вид для быстрого выполнения, не вызывая подозрений у пользователей.

evm-units активируется при вызове функции `get_evm_version()`, которая предназначена для возврата номера версии. Хотя это кажется безобидным, оно инициирует серию операций, ведущих к развертыванию фактической полезной нагрузки. Реализация crate в Linux функционирует аналогично, но конкретные детали, касающиеся ее полезной нагрузки, менее выделены по сравнению с механизмом, используемым в macOS и Windows.

В системах macOS вредоносное ПО загружает и запускает файл с именем "init", хранящийся во временном каталоге системы. При выполнении используется `osascript`, запускаемый в фоновом режиме с помощью `nohup`, гарантирующий, что атака продолжается без каких-либо видимых указаний для пользователя, облегчая процесс бесшумного заражения для последующих этапов атаки.

В среде Windows полезная нагрузка использует другую тактику; она сохраняет загруженный файл как скрипт PowerShell (.ps1) во временном каталоге. Примечательно, что вредоносное ПО проверяет наличие Qihoo 360, потенциально чтобы избежать обнаружения этим конкретным решением безопасности.

Поведение полезной нагрузки сильно напоминает загрузчик второго этапа, использующий обманчивую логику для самостоятельного выполнения при обращении к кажущейся безобидной функции. Возвращаемое значение настраивается таким образом, чтобы оно всегда было равно предопределенной константе, что вводит пользователей или любого стороннего наблюдателя в заблуждение, заставляя думать, что функция выполняет свое предназначение без срабатывания аварийных сигналов.

Различные методы, связанные с этой киберугрозой, согласуются с платформой MITRE ATT&CK, в частности, Компрометация цепочки поставок (T1195), использование Интерпретатора командной строки и сценариев (T1059), Выполнение с участием пользователя Вредоносного файла (T1204.002) и ряд других, связанных с запутыванием, Внедрением кода в процесс и выполнением через Веб-протоколы. Этот многогранный переносчик инфекции в сочетании с механизмами бесшумного выполнения и стратегиями уклонения подчеркивает необходимость повышенной бдительности в отношении таких рисков, связанных с Цепочкой поставок, в средах разработки программного обеспечения.

#ParsedReport #CompletenessHigh
03-12-2025

Operation DupeHike : UNG0902 targets Russian employees with DUPERUNNER and AdaptixC2

https://www.seqrite.com/blog/9512-2/

Report completeness: High

Actors/Campaigns:
Dupehike
Ung0902

Threats:
Duperunner
Adaptixc2_tool
Spear-phishing_technique
Lolbin_technique
Process_injection_technique

Victims:
Hr departments, Payroll departments, Administrative departments, Russian corporate entities, Employees

Geo:
Russian federation, Russian

TTPs:
Tactics: 8
Technics: 21

IOCs:
File: 15
Command: 2
IP: 1
Hash: 11

Algorithms:
zip, 7zip, sha256

Functions:
GetTargetPID, CreateToolHelp

Win API:
InternetOpenA, ShellExecuteA, InternetReadFile, VirtualAllocEx, VirtualAlloc, GetProcAddress

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция DupeHike, приписываемая злоумышленнику UNG0902, нацелена на российские корпоративные сектора, в частности отдел кадров и расчет заработной платы, используя Целевой фишинг с использованием поддельных документов. Атака включает вредоносный ZIP-файл, содержащий PDF и LNK-файл, который загружает имплантат DUPERUNNER и подключается обратно к инфраструктуре AdaptixC2. В кампании используются различные методы из платформы MITRE ATT&CK, включая Целевой фишинг для первоначального доступа, PowerShell для выполнения и продвинутые методы уклонения для поддержания безопасной связи и эксфильтрации данных.
-----

Кампания "Операция DupeHike", приписываемая злоумышленнику UNG0902, конкретно нацелена на российские корпоративные структуры, в частности, на отделы кадров, расчета заработной платы и внутреннего администрирования. Кампания использует методы Целевого фишинга с использованием поддельных документов, имитирующих темы, связанные с премиями сотрудникам и внутренней финансовой политикой, чтобы заманить жертв. Цепочка заражения начинается с вредоносного ZIP-файла, содержащего комбинацию PDF и LNK-файла, предназначенного для загрузки имплантата с именем DUPERUNNER, который впоследствии подключается к инфраструктуре управления AdaptixC2 (C2).

Технический анализ этой кампании состоит из трех этапов. Первый этап включает в себя проверку вредоносного скрипта LNK, который встроен в ZIP-файл. Этот скрипт разработан для выполнения команды PowerShell, управляющей загрузкой имплантата DUPERUNNER с удаленного сервера. Второй этап фокусируется на самом имплантате DUPERUNNER, двоичном коде C++ с расширенными функциональными возможностями, позволяющими ему выполнять различные команды и собирать системную информацию. На третьем этапе детализируется маяк AdaptixC2, который изначально замаскирован под файл шрифта (fontawesome.woff). Этот маяк работает путем загрузки шелл-кода в память, облегчая обратную связь с инфраструктурой злоумышленника.

В инфраструктурном плане кампания использует два ключевых артефакта, связанных с сетью. Первый - это URL-адрес, с которого вредоносный LNK загружает имплантат DUPERUNNER, в то время как второй относится к размещению инфраструктуры AdaptixC2. Полученные данные указывают на то, что злоумышленник остается постоянным, что указывает на спонсируемую национальным государством мотивацию, нацеленную на российский корпоративный сектор.

Применяемая тактика тесно согласуется с различными техниками, указанными в рамках MITRE ATT&CK. Примечательно, что первоначальный доступ осуществляется с помощью Целевого фишинга (T1566.001), в то время как выполнение облегчается взаимодействием пользователя с вредоносным файлом LNK (T1204.002) и PowerShell (T1059.001). В кампании представлены различные методы обхода защиты, включая Маскировку и запутывание (T1036, T1027), а также методы Внедрения кода в процесс (T1055.003). Кроме того, адаптация маяка для зашифрованной связи (T1573) указывает на расширенные возможности злоумышленника по поддержанию защищенных каналов командования и контроля.

С помощью этих методов операция DupeHike демонстрирует, как изощренные кампании Целевого фишинга могут скомпрометировать целевые организации, используя передовые стратегии вредоносного ПО и исполнения, чтобы избежать обнаружения при одновременной фильтрации конфиденциальных данных в корпоративной среде.

#ParsedReport #CompletenessLow
03-12-2025

DIANNA Explains 4: Nimbus ManticoreMonstrous Malware

https://www.deepinstinct.com/blog/dianna-explains-4-nimbus-manticore-monstrous-malware

Report completeness: Low

Actors/Campaigns:
Tortoiseshell

Industry:
Software_development

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 1

Algorithms:
exhibit

Functions:
RPC

Win API:
GetProcAddress, LoadLibraryA, LoadLibraryExW, GetSystemTimeAsFileTime, QueryPerformanceCounter, RpcImpersonateClient

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Nimbus ManticoreMonstrous - это сложная угроза вредоносного ПО, которая использует многоэтапный процесс заражения, в основном с использованием фишингов-атак для доставки вредоносной полезной нагрузки. После активации он подключается к серверу управления для удаленного управления системой, обеспечивая эксфильтрацию данных и развертывание дополнительных инструментов, используя при этом запутывание кода и polymorphism для уклонения от обнаружения. Вредоносное ПО нацелено как на системы Windows, так и на Linux и использует известные уязвимости программного обеспечения для первоначального компрометации и закрепления.
-----

Чудовищное вредоносное ПО Nimbus Mantic - это недавно выявленная киберугроза, демонстрирующая изощренное поведение, направленное на компрометацию систем. Он использует многоэтапный процесс заражения, что позволяет ему оставаться стойким и избегать обнаружения традиционными мерами безопасности. Вредоносное ПО часто запускает свой вектор атаки с помощью кампаний фишинга, которые доставляют вредоносную полезную нагрузку, встроенную в кажущиеся безобидными файлы или ссылки.

После запуска вредоносное ПО устанавливает соединение с сервером управления (C2), позволяя злоумышленнику удаленно управлять зараженной системой. Он может извлекать конфиденциальные данные, развертывать дополнительные вредоносные инструменты и проводить разведку скомпрометированной среды. Примечательно, что Nimbus ManticoreMonstrous использует передовые методы уклонения, такие как запутывание кода и polymorphic поведение, что затрудняет анализ и обнаружение с помощью решений безопасности.

Важным аспектом этого вредоносного ПО является его способность работать как в средах Windows, так и в Linux, что указывает на широкий спектр потенциальных целей. Кроме того, вредоносное ПО использует известные уязвимости в программных приложениях, чтобы облегчить первоначальный взлом и поддерживать закрепление в целевой сети. Это делает необходимым, чтобы организации уделяли приоритетное внимание управлению уязвимостями и внесению исправлений для защиты от таких угроз.

Индикаторы компрометации (IOCs), связанные с Nimbus ManticoreMonstrous, включают конкретные хэши файлов, IP-адреса C2 и необычное поведение процесса, указывающее на его работу. В целом, угроза, исходящая от этого вредоносного ПО, подчеркивает необходимость надежных мер безопасности и постоянного мониторинга для предотвращения, обнаружения и реагирования на многогранные киберугрозы.

#ParsedReport #CompletenessMedium
03-12-2025

Technical Analysis of Matanbuchus 3.0

https://www.zscaler.com/blogs/security-research/technical-analysis-matanbuchus-3-0

Report completeness: Medium

Threats:
Matanbuchus_maas
Junk_code_technique
Rhadamanthys
Netsupportmanager_rat
Microsoft_quick_assist_tool

Victims:
Ransomware operators, Information stealer distribution, Remote access trojan distribution

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1053.005, T1059, T1059.003, T1105, T1140, T1480, T1497.003, T1620, have more...

IOCs:
Domain: 2
Url: 1
File: 3
Registry: 1
Hash: 4

Soft:
Windows Defender

Algorithms:
zip, sha256, chacha20, murmur

Languages:
python, powershell

Links:
https://github.com/ThreatLabz/tools/blob/main/matanbuchus/matanbuchus.proto

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Matanbuchus 3.0, загрузчик вредоносных ПО, идентифицированный как Вредоносное ПО как услуга, получил усовершенствования, включающие функции, связанные с операциями вымогателей. Его архитектура состоит из модуля загрузки, который встраивает зашифрованный шеллкод для запуска основного модуля, с такими усовершенствованиями, как использование буферов протокола для обмена данными, методы запутывания, позволяющие избежать обнаружения, и стратегии антианализа. Вредоносное ПО обеспечивает закрепление с помощью запланированных задач и использует метод грубой силы с шифрованием ChaCha20 для своего шелл-кода, что позволяет применять сложные меры уклонения.
-----

Matanbuchus - это вредоносное ПО-загрузчик, которое значительно эволюционировало с момента своего появления в 2020 году, а последняя версия, Matanbuchus 3.0, была обнаружена в июле 2025 года. Это вредоносное ПО предлагается как Вредоносное ПО как услуга (MaaS) и позволяет злоумышленникам загружать и выполнять дополнительные полезные нагрузки, а также выполнять практические действия с клавиатуры с помощью команд оболочки. Недавно Matanbuchus был связан с операциями программ-вымогателей, что демонстрирует его растущую сложность и актуальность в сфере киберпреступности.

По своей архитектуре Matanbuchus работает с помощью двух основных модулей: модуля загрузки и основного модуля. Загрузчик встраивает зашифрованный шелл-код, который облегчает выполнение основного модуля. Уникальными для версии 3.0 являются использование протокольных буферов (Protobufs) для сериализации сетевых сообщений и различные методы запутывания, направленные на уклонение от обнаружения. К ним относятся вставка junk code, зашифрованных строк и разрешение функций Windows API по их хэш-значениям. Кроме того, вредоносное ПО использует стратегии защиты от анализа, такие как жестко заданная дата истечения срока действия и механизмы закрепления с помощью запланированных задач, созданных с помощью загруженного шеллкода, чтобы препятствовать проверке средствами безопасности.

При развертывании Matanbuchus использует цикл “занято” в своем модуле загрузки, который продлевает функциональность на несколько минут после выполнения, эффективно обходя временные ограничения, типичные для поведенческого анализа. Зашифрованный шелл-код использует атаку с известным открытым текстом с помощью метода дешифрования методом перебора, используя ключ ChaCha20, полученный из жестко закодированного значения и сгенерированного целого числа. Способность вредоносного ПО сравнивать расшифрованные выходные данные с предопределенной последовательностью свидетельствует о его сложной операционной системе.

Для закрепления Matanbuchus выполняет шелл-код, полученный с сервера управления (C2), чтобы установить себя на скомпрометированном хосте. Он генерирует новый путь к файлу для шелл-кода и создает запланированную задачу с обозначением "Задача отслеживания обновлений", чтобы сохранить свое присутствие в среде. Основной модуль хранит свою конфигурацию в зашифрованном формате; при выполнении эта конфигурация расшифровывается с помощью ChaCha20, причем первые байты содержат ключ дешифрования и одноразовый номер.

#ParsedReport #CompletenessMedium
04-12-2025

SEEDSNATCHER : Dissecting an Android Malware Targeting Multiple Crypto Wallet Mnemonic Phrases

https://www.cyfirma.com/research/seedsnatcher-dissecting-an-android-malware-targeting-multiple-crypto-wallet-mnemonic-phrases/

Report completeness: Medium

Threats:
Seedsnatcher

Victims:
Cryptocurrency users

Industry:
Financial

Geo:
Chinese, China

TTPs:
Tactics: 10
Technics: 27

IOCs:
Domain: 2
File: 2
Hash: 1

Soft:
Android, Telegram, Weibo

Wallets:
tokenpocket, imtoken, metamask, coinbase, tronlink, tronglobal

Crypto:
binance

Algorithms:
exhibit, sha256

Functions:
Task-Visibility, Manipulation, Exfiltrates

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО SeedSnatcher, Маскировка под Android-приложение "Coin", нацелено на пользователей криптовалюты путем кражи мнемотехники кошелька и конфиденциальных данных через постоянное подключение WebSocket к серверу C2. Он использует перехват SMS-сообщений, обширные разрешения на кражу данных и манипуляции с наложением для подделки законных транзакций. Злоумышленник действует из Китая и использует структурированную дистрибьюторскую сеть, отслеживая установки и адаптируя пользовательский интерфейс для локализации, чтобы усилить обман в различных регионах.
-----

Вредоносное ПО SeedSnatcher, замаскированное под Android-приложение под названием "Coin" (упаковано как com.pureabuladon.auxes), специально нацелено на пользователей криптовалют, похищая мнемонику кошелька и другие конфиденциальные данные. Вредоносное ПО активно взаимодействует с сервером управления (C2) через постоянный канал WebSocket, который обеспечивает выполнение команд в режиме реального времени и эксфильтрацию данных. Он активно распространяется через социальные платформы, в частности Telegram, что указывает на организованную рекламную команду, стоящую за его внедрением.

Технические возможности SeedSnatcher's включают в себя извлечение начальных фраз криптовалютного кошелька, перехват SMS для обхода OTP и использование разрешений для сбора обширных данных об устройствах и приложениях. Использование таких разрешений, как READ_EXTERNAL_STORAGE и READ_SMS, облегчает комплексную кражу данных, позволяя перехватывать конфиденциальные файлы и личные сообщения без предупреждения пользователя. Вредоносное ПО особенно искусно имитирует законные приложения с помощью манипуляций с наложением, что позволяет ему подделывать интерфейсы криптовалютных кошельков и захватывать мнемонические фразы под видом взаимодействия с пользователем.

Вредоносное ПО использует интеллектуальные механизмы для обеспечения эффективности захвата мнемоники; оно использует полный словарь BIP39 для проверки записей и использует методы динамической загрузки полезной нагрузки, которые скрывают вредоносный код в рамках законной структуры. Это часть более широкой стратегии закрепления, поскольку она изменяет конфигурации системы для поддержания фонового выполнения и наблюдает за поведением пользователя, чтобы точно определить время попыток фишинга, когда используются целевые приложения.

Профилирование устройств выполняется в самом начале с обширным сбором метаданных, включая системные идентификаторы, сведения об Аппаратном обеспечении и статистику использования приложений. Такое профилирование позволяет вредоносному ПО адаптировать свои стратегии фишинга к среде каждой жертвы, повышая вероятность успешного сбора данных. Объединение эксфильтрации SMS и журнала вызовов еще больше расширяет его возможности по перехвату учетных данных.

Структура команд позволяет осуществлять широкий контроль над зараженным устройством, включая функции для инициирования вызовов, удаления приложений и скрытой отправки SMS-сообщений. Вредоносное ПО также использует сложный процесс эксфильтрации данных, который извлекает ценную пользовательскую информацию из множества источников, обеспечивая широкий доступ к конфиденциальным данным.

Более того, злоумышленник, стоящий за SeedSnatcher, судя по всему, работает из Китая и имеет встроенные функции отслеживания для мониторинга партнерских установок, что подчеркивает структурированную сеть распространения с несколькими филиалами. Вредоносное ПО локализует свой пользовательский интерфейс для адаптации к различным языкам, что повышает его способность обманывать и завоевывать доверие жертв в разных регионах.

#ParsedReport #CompletenessHigh
04-12-2025

Silver Foxs Russian Ruse: ValleyRAT Hits China via Fake Microsoft Teams Attack

https://reliaquest.com/blog/threat-spotlight-silver-foxs-russian-ruse-fake-microsoft-teams-attack/

Report completeness: High

Actors/Campaigns:
Silver_fox (motivation: financially_motivated, cyber_espionage, cyber_criminal)

Threats:
Valleyrat
Seo_poisoning_technique

Victims:
Organizations in china

Industry:
Government

Geo:
Russia, American, Chinese, China, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.002, T1583.001, T1606.003, T1608.006

IOCs:
File: 10
Domain: 3
Command: 1
IP: 18
Url: 23
Hash: 1

Soft:
Microsoft Teams, Telegram, Chrome, Windows Defender, Embarcadero

Algorithms:
exhibit, zip

Win API:
DllRegisterServer

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская APT-группировка "Silver Fox" использует тактику обмана, выдавая себя за российских злоумышленников в рамках кампании Microsoft Teams по Отравлению поисковой оптимизации (SEO), нацеленной на организации в Китае. Они используют модифицированную версию вредоносного ПО ValleyRAT, доставляемую через ZIP-файл, содержащий символы кириллицы, что вводит в заблуждение при определении авторства. Вредоносное ПО использует системы, в которых отсутствует надежное ведение журнала, а операции сосредоточены на получении конфиденциальной информации и участии в финансовом мошенничестве.
-----

Китайская APT-группировка, известная как "Silver Fox", использовала тактику обмана, в частности, кириллические символы, чтобы выдавать себя за российских злоумышленников во время проведения кампании Microsoft Teams по Отравлению поисковой оптимизации (SEO). Эта стратегия нацелена на организации в Китае, использующие вредоносное ПО "ValleyRAT" для достижения двух основных целей: спонсируемый государством шпионаж, направленный на получение конфиденциальных разведывательных данных, и участие в финансовом мошенничестве для поддержания своей деятельности.

Кампания Silver Fox освещает модифицированную версию загрузчика ValleyRAT, представленную в виде ZIP-файла с именем "MSTamsSetup.zip ." Этот файл содержит символы кириллицы и исполняемый файл, который полностью представлен на русском языке, что может ввести в заблуждение при установлении авторства и усложнить процедуры реагирования на инциденты. Silver Fox ранее применяла аналогичную тактику Отравления поисковой оптимизации (SEO), выдавая себя за такие приложения, как Telegram и Chrome. В данном случае они переключили свое внимание на поддельное приложение Microsoft Teams, причем вредоносное ПО размещено на типографски похожем домене".teamscn.com ," что предполагает целенаправленную атаку на китайскоязычных пользователей.

Выполнение вредоносного ПО ValleyRAT начинается, когда пользователь запускает троянскую программу "Setup.exe " файл в ZIP-архиве, позволяющий вредоносному ПО использовать системы, в которых отсутствует надежное ведение журнала, особенно в отношении журналов событий Windows и ведения журнала PowerShell. Обманная практика группы направлена не только на то, чтобы скрыть свою личность, но и на то, чтобы сигнализировать о том, что подобные тактические операции, вероятно, будут продолжаться.

Для организаций, особенно тех, которые работают по всему миру или имеют офисы в Китае, сохраняющаяся угроза со стороны Silver Fox требует принятия упреждающих мер. Рекомендуется, чтобы организации включали ведение журнала событий PowerShell и Rundll32 для усиления своей защиты от атак такого типа. Непрерывная видимость сбора журналов также может быть усилена с помощью решений безопасности, направленных на обнаружение уязвимостей в системе.

Операции группы Silver Fox подчеркивают значительный риск, создаваемый менее известными противниками, которые могут эффективно осуществлять целенаправленные атаки в конкретных регионах, которые могут застать службы безопасности врасплох. Их эволюционирующая тактика и использование ложных флагов в стратегиях кибербезопасности требуют от организаций, подверженных риску стать мишенью, повышенной осведомленности и совершенствования защитных позиций.

#ParsedReport #CompletenessHigh
04-12-2025

Analysis of the new Trojan StreamSpy using WebSocket, which is called Mahayana (APT-Q-36).

https://zhuanlan.zhihu.com/p/1979499278541017681

Report completeness: High

Actors/Campaigns:
Donot (motivation: cyber_espionage)

Threats:
Streamspy
Spyder
Dunaochong

Industry:
Government, Military, Education

Geo:
Asian, Asia

TTPs:
Tactics: 2
Technics: 0

IOCs:
Hash: 9
Url: 16
Domain: 9

Soft:
Android

Algorithms:
aes, md5, zip

Functions:
getCommand, CreateProcessW

Win API:
ShellExecuteExW, ShellExecuteA, deleteFile, ateProcessW 执行文件, CreateProcessW

Languages:
powershell