#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет lotusbail npm, замаскированный под веб-API WhatsApp, представляет значительную угрозу, поскольку крадет учетные данные пользователей, перехватывает сообщения и устанавливает постоянный доступ к учетным записям WhatsApp посредством сопряжения устройств. Используя методы платформы MITRE ATT&CK, он захватывает токены аутентификации и использует пользовательский стек шифрования для эксфильтрации данных, избегая обнаружения с помощью Обфускации команд и ловушек для защиты от отладки. Его сложный дизайн усложняет идентификацию угроз, демонстрируя необходимость расширенного поведенческого анализа и мониторинга для обнаружения аналогичных угроз.
-----

Пакет npm от lotusbail, Маскировка под законный веб-API WhatsApp, представляет значительную киберугрозу, поскольку он был загружен более 56 000 раз. Это вредоносное ПО способно красть учетные данные пользователей, перехватывать сообщения и создавать постоянный доступ к учетным записям WhatsApp с помощью сложного механизма, который позволяет злоумышленникам связывать свои устройства с учетными записями жертв. Примечательно, что этот механизм закрепления сохраняет доступ даже после удаления вредоносного пакета, что требует действий по восстановлению учетной записи вручную.

Функционально lotusbail имитирует законную библиотеку @whiskeysockets/baileys, чтобы избежать раннего обнаружения. Его полезная нагрузка двойного действия захватывает токены аутентификации, сообщения и контакты, обеспечивая при этом связь с устройством для постоянного доступа. Атака использует методы из платформы MITRE ATT&CK, включая кражу учетных данных с помощью перехвата WebSocket (T1552.001), сбор сообщений и контактов с помощью API-оболочки (T1056.001) и эксфильтрацию с использованием пользовательского стека шифрования (RSA + AES) при сохранении скрытности с помощью передовых методов Обфускации команд (T1027.010) и ловушки для защиты от отладки (T1497.003).

Обнаружение lotusbail произошло во время рутинного поведенческого анализа, выявившего аномальную исходящую сетевую активность, указывающую на его злонамеренный умысел. Традиционные сканеры уязвимостей не смогли эффективно идентифицировать угрозу, поскольку lotusbail был разработан для правильного функционирования, а не для прямой уязвимости. Это подчеркивает необходимость поведенческого анализа и мониторинга во время выполнения для обнаружения и смягчения последствий таких сложных атак.

Рекомендуемые немедленные меры включают проведение инвентаризации и процедуры локализации, удаление пакета и связанных с ним файлов, а также снижение рисков путем исправления учетной записи, в частности, путем удаления нераспознанных устройств, подключенных к WhatsApp в период заражения. Кроме того, организациям рекомендуется внедрять средства защиты во время выполнения, улучшать политику контроля за проверкой пакетов и в дальнейшем уделять повышенное внимание коммуникационным библиотекам.

Заглядывая в будущее, стратегические улучшения через 30 дней должны быть сосредоточены на архитектурных корректировках, таких как изоляция интеграции обмена сообщениями через микросервисы и использование учетных записей служб с ограниченными разрешениями для дальнейшего устранения потенциальных уязвимостей. Надежная стратегия мониторинга, которая соотносит установку пакетов с необычным сетевым трафиком, укрепит защиту от будущих атак. Последствия такого нарушения серьезны, поскольку оно не только приводит к потере данных и постоянному доступу к скомпрометированным учетным записям, но и чревато ущербом репутации и последствиями со стороны регулирующих органов, особенно в случаях, связанных с конфиденциальной или защищенной информацией.

#ParsedReport #CompletenessMedium
23-12-2025

RTO Scam Wave Continues: A Surge in Browser-Based e-Challan Phishing and Shared Fraud Infrastructure

https://cyble.com/blog/rto-scam-wave-continues/

Report completeness: Medium

Threats:
Spear-phishing_technique

Victims:
Indian users, Government services users, Logistics customers, Banking financial services and insurance customers

Industry:
Telco, Financial, Logistic, Government

Geo:
India, Indian, Spanish

TTPs:
Tactics: 5
Technics: 5

IOCs:
IP: 2
Domain: 21

Soft:
Android, Microsoft Defender

Links:
https://github.com/CRIL-ThreatIntelligence/IOCs/tree/main/The\_RTO\_Scam\_Wave\_Continues\_A\_Surge\_in\_Browser-Based\_e-Challan\_Phishing

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кампании по фишингу, нацеленные на Региональное транспортное управление Индии (RTO), используют системы e-Challan для финансового мошенничества, используя методы на основе браузера вместо вредоносного ПО для Android. Жертвы получают SMS-сообщения со ссылками на домены для фишинга, где злоумышленники подделывают данные challan, обманом заставляя пользователей совершать платежи с помощью кредитных или дебетовых карт, чтобы свести к минимуму возможность отслеживания. Выявленные методы из платформы MITRE ATT&CK включают в себя фишинг с помощью SMS (T1566.001), Перехват вводимых данных (T1056), автоматизированный сбор данных (T1119) и эксфильтрацию для Кражи денежных средств (T1657).
-----

В последнее время активизировалась деятельность по фишингу, связанная с тематикой Регионального транспортного управления (RTO), с акцентом на использование систем e-Challan для совершения финансовых махинаций в Индии. В отличие от предыдущих кампаний, в которых использовалось вредоносное ПО для Android, нынешняя волна опирается исключительно на методы фишинга на основе браузера, что позволяет злоумышленникам легче связаться с жертвами без необходимости в конкретной информации о жертвах. Этот метод позволяет динамично подделывать данные challan, тем самым обманывая пользователей, заставляя их осуществлять оплату с помощью кредитных или дебетовых карт, что облегчает отслеживание транзакций в меньшей степени по сравнению с UPI или net banking.

Технический анализ показывает, что пользователи перенаправляются на домен для фишинга, расположенный по IP-адресу 101.33.78.145, при нажатии на встроенный URL-адрес в SMS-сообщении. Сигналы срочности, встроенные в сообщения о фишинге, как правило, снижают эффективность предупреждений о безопасности на основе браузера от таких инструментов, как Microsoft Defender, поскольку жертвы часто игнорируют эти предупреждения из-за необходимости немедленно устранить предполагаемые проблемы.

Дальнейшее расследование выявило, что SMS-сообщения, ведущие на сайты фишинга, поступают с телефонного номера, зарегистрированного в Индии, с использованием местной мобильной сети Reliance Jio Infocomm Limited. Это указывает на то, что злоумышленники, вероятно, использовали подключение, выпущенное внутри страны, что повышает доверие к их усилиям по фишингу.

Эта продолжающаяся кампания означает, что фишинг на тему RTO остается мощным вектором угрозы, усиливая изощренный характер этих мошенничеств, которые включают реалистичные пользовательские интерфейсы и используют психологические триггеры, чтобы вызвать у жертв безотлагательность. Оперативная динамика этого мошенничества охватывает общую инфраструктуру, обслуживающую различные секторы, включая правительство, логистику и банковские и финансовые услуги (BFSI), что свидетельствует о профессионализации тактики фишинга, а не о случайных изолированных мошенничествах.

В контексте платформы MITRE ATT&CK используемые методы включают T1566.001 для фишинга с помощью SMS для первоначального доступа, T1056 для Перехвата вводимых данных во время получения учетных данных, T1119 для Автоматизированного сбора данных пользователя и T1041 для эксфильтрации по каналу командования и контроля (C2), что в конечном итоге приводит к финансовым потерям. кража (T1657). Этот структурированный подход демонстрирует просчитанный ландшафт киберугроз, обусловленный постоянными стратегиями фишинга.

#ParsedReport #CompletenessMedium
24-12-2025

Malicious Chrome Extensions Turn Browsers Into Credential Stealing Proxies

https://www.secureblink.com/cyber-security-news/malicious-chrome-extensions-turn-browsers-into-credential-stealing-proxies

Report completeness: Medium

Actors/Campaigns:
Phantom_shuttle

Threats:
Credential_stealing_technique
Aitm_technique
Credential_harvesting_technique

Victims:
Developers, Cloud engineers, Ecommerce sector, Finance sector, Foreign trade tooling users, Enterprise chrome users

Industry:
E-commerce, Financial

TTPs:

IOCs:
Domain: 1
File: 1
Email: 1
IP: 1

Soft:
Chrome, twitter, Windows PowerShell, Squid

Functions:
Get-ChildItem

Languages:
javascript

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное расширение Chrome "Phantom Shuttle" работает с 2017 года и способно манипулировать веб-трафиком и собирать учетные данные с более чем 170 веб-сайтов. Он внедряет вредоносный JavaScript на веб-страницы для декодирования учетных данных прокси-сервера и использует метод состязательного прокси-сервера для перехвата данных веб-сеанса, используя методы, подобные тем, которые перечислены в MITRE ATT&CK framework (T1176 и T1557). Расширение взаимодействует с сервером управления для извлечения конфиденциальной информации, используя запутывание, чтобы избежать обнаружения.
-----

Вредоносные расширения Chrome, конкретно обозначенные как "Phantom Shuttle", активны по меньшей мере с 2017 года и имеют возможность манипулировать веб-трафиком для сбора учетных записей с более чем 170 веб-сайтов. В этой атаке используется метод, при котором расширение внедряет вредоносный JavaScript на веб-страницы, позволяя ему декодировать жестко закодированные учетные данные прокси-сервера и обрабатывать проблемы аутентификации с помощью прокси-серверов, контролируемых злоумышленником. Настраивая сценарий автоматической настройки прокси-сервера (PAC), расширение направляет трафик через эти прокси-серверы, специально ориентируясь на сайты с высокой стоимостью для извлечения учетных данных.

Работа расширения характеризуется тем, что в него встроен прослушиватель браузера, который автоматически отвечает на запросы аутентификации, что облегчает беспрепятственный сбор учетных записей. Вредоносное расширение взаимодействует со своим сервером командования и контроля (C2), поддерживая частоту сердечных сокращений, чтобы отфильтровать конфиденциальную информацию, такую как файлы cookie, поля форм и токены аутентификации, обратно злоумышленникам. Ключевые технические артефакты включают запутанные функции JavaScript, определенные строки, используемые для расшифровки учетных данных, и скрипт PAC, который направляет трафик на серверы злоумышленников.

Поток атак может быть сопоставлен с несколькими методами в платформе MITRE ATT&CK, включая T1176 (расширения браузера) и T1557 (Злоумышленник посередине), поскольку он эффективно реализует враждебный прокси-сервер для перехвата и захвата данных веб-сеанса. Кроме того, злоумышленники используют методы обфускации (T1027), чтобы скрыть свой вредоносный код, что усложняет усилия по обнаружению.

В ответ на эту угрозу рекомендуются немедленные действия, включая удаление вредоносных расширений с управляемых устройств и блокировку сетевого трафика на идентифицированный домен C2 и IP-адреса. Организациям рекомендуется принудительно сбросить пароль для учетных записей, подвергшихся воздействию, и применить анализ телеметрии сети и браузера для обнаружения любых аномалий, связанных с вредоносным поведением.

Для смягчения последствий в среднесрочной перспективе организациям следует рассмотреть возможность внедрения строгих политик внесения расширений в белый список, совершенствования систем обнаружения сетевых аномалий и внедрения передовых решений EDR для сканирования двоичных шаблонов, указывающих на такие расширения. Риск, связанный с этой атакой, оценивается как высокий, особенно учитывая ее потенциальное воздействие на конфиденциальные данные, связанные с управлением идентификационными данными, облачными ресурсами и финансовой информацией. Пострадавших секторах числе разработчиков технологий, облачных инженеров и финансовых услуг, с заметным акцентом на группы, работающей в торговле с Китаем, который может быть специально нацелен на такого рода угроз.

#ParsedReport #CompletenessLow
23-12-2025

Fake "Stable Genesis Airdrop" Campaign Delivering a Crypto Wallet Drainer via Phishing

https://malwr-analysis.com/2025/12/23/fake-stable-genesis-airdrop-campaign-delivering-a-crypto-wallet-drainer-via-phishing/

Report completeness: Low

Actors/Campaigns:
Stable_genesis_airdrop

Threats:
Credential_harvesting_technique

Industry:
Petroleum, Financial

IOCs:
Url: 1
Domain: 2

Wallets:
metamask, coinbase, trezor, rabby

Crypto:
ethereum, uniswap, binance

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания "Stable Genesis Airdrop" - это сложная операция криптовалютного фишинга, направленная на кражу фраз для восстановления кошельков пользователей, позволяющая злоумышленникам получить доступ к криптоактивам и контролировать их. Технический анализ показал, что пользовательский интерфейс кампании полностью имитирует легальные платформы, что повышает ее эффективность. Кроме того, механизм фишинга не только обеспечивает доступ к кошельку, но и позволяет осуществлять несанкционированные транзакции в блокчейне, что представляет значительную угрозу для пользователей, потенциально приводя к значительным финансовым потерям.
-----

Кампания "Stable Genesis Airdrop" стала заметной операцией криптовалютного фишинга, использующей тактику социальной инженерии, направленную на то, чтобы обманом заставить пользователей скомпрометировать свои крипто-кошельки. Операция продемонстрировала изощренный подход к краже конфиденциальной пользовательской информации путем нацеливания на фразы для восстановления кошелька, которые являются неотъемлемой частью доступа к криптовалютным активам и контроля над ними.

Технический анализ кампании участвует исполнения песочнице, которая подтвердила злого умысла за фишинг операции. Через проверки трафика, аналитики получили возможность наблюдать за каналы связи, используемые злоумышленниками для облегчения их вредоносной деятельности. Пользовательский интерфейс кампании в (UI) также была проверена, показывая, что он был разработан, чтобы имитировать законных платформах криптовалют, тем самым повышая его эффективность обмана пользователей.

Важно отметить, что механизм фишинга, используемый в этой кампании, направлен не только на получение доступа к кошелькам, но и на авторизацию несанкционированных транзакций в блокчейне. Такой двойной подход представляет серьезную угрозу, поскольку позволяет акторам, стоящим за кампанией, совершать транзакции без ведома или согласия владельца кошелька, что приводит к прямым денежным потерям. Кампания подчеркивает растущую тенденцию в области киберугроз, когда злоумышленники сочетают тактику фишинга с передовыми методами компрометации цифровых кошельков в криптовалютном пространстве.

#ParsedReport #CompletenessHigh
22-12-2025

React2Shell to real-world breach: How an unpatched dev server led to a Windows compromise

https://www.threatlocker.com/blog/react2shell-unpatched-dev-server-windows-compromise

Report completeness: High

Threats:
React2shell_vuln
Anydesk_tool
Xmrig_miner
Runnv
Rclone_tool

Victims:
Web applications using react server components, Windows servers

Industry:
Healthcare

Geo:
Chinese

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1105, T1190, T1569.002

IOCs:
File: 1
Hash: 10
IP: 22
Url: 4
Domain: 7

Soft:
Linux, busybox, UNIX, curl, PSExec

Crypto:
monero

Algorithms:
sha256

Languages:
powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-55182, известная как React2Shell, представляет собой критическую уязвимость в серверных компонентах React, которая позволяет Удаленное Выполнение Кода из-за недостаточной проверки данных с помощью созданных HTTP POST-запросов. Попытки эксплуатации, наблюдавшиеся на скомпрометированных серверах Windows под управлением IIS, включали выполнение двоичных файлов Linux и сценариев оболочки, которые завершились неудачей из-за неродной среды. Атака напоминает поведение криптоджекеров, что указывает на менее изощренную тактику, обычно применяемую неопытными злоумышленниками, а не на сложные целенаправленные угрозы.
-----

3 декабря 2025 года была раскрыта критическая уязвимость в серверных компонентах React под номером CVE-2025-55182, известная как React2Shell. Эта уязвимость позволяет злоумышленникам использовать недостаточную проверку данных на стороне сервера, в частности, с помощью специально созданных HTTP POST-запросов, отправляемых хостам, обслуживающим веб-приложения, использующие React. Недостаток возникает в результате оптимизаций, направленных на сокращение использования ресурсов, которые непреднамеренно приводят к выполнению кода без надлежащей проверки, делая системы уязвимыми для несанкционированного выполнения команд.

В ходе выявленных случаев эксплуатации скомпрометированных серверов Windows под управлением IIS злоумышленники пытались запустить несколько двоичных файлов Linux, включая такие команды, как "grep", "sh", "busybox", "chmod" и "bash". Однако эти двоичные файлы не удалось запустить, поскольку они не являются встроенными в среду Windows. Злоумышленники также попытались выполнить сценарии оболочки (sh-файлы), которые также не увенчались успехом из-за отсутствия необходимых двоичных файлов Linux.

Использование React2Shell соответствует типичному поведению, наблюдаемому в кампаниях по криптоджекингу, которые обычно фокусируются на краже ресурсов у широкого круга целей, а не полагаются на сложные и адаптированные стратегии атак. Характер атаки выглядит менее изощренным, напоминая тактику менее опытных злоумышленников, а не хорошо зарекомендовавших себя APT-группировок или синдикатов организованной финансовой преступности.

Чтобы снизить риски, связанные с такими уязвимостями, использование контроля приложений, такого как список разрешений ThreatLocker, может предотвратить выполнение несанкционированных приложений. Это позволяет использовать только явно разрешенные приложения, одновременно позволяя создавать специальные политики запрета для блокирования доступа к программному обеспечению высокого риска. Для критически важных приложений, которые необходимы для бизнес-операций, но также считаются рискованными, могут применяться такие стратегии, как кольцевая защита. Это ограничивает сферу взаимодействия этих приложений с системными ресурсами, ограничивая их потенциальную возможность злоупотреблений.

React2Shell представляет значительный риск из-за своей способности к Удаленному Выполнению Кода злоумышленниками, не прошедшими проверку подлинности, что подчеркивает важность оперативного исправления известных уязвимостей для защиты от эксплуатации.

#ParsedReport #CompletenessLow
26-12-2025

How a Compromised Browser Extension Drained $7 Million in Crypto

https://www.secureblink.com/cyber-security-news/how-a-compromised-browser-extension-drained-7-million-in-crypto

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Crypto users, Trust wallet users

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1195, T1553.006, T1566

IOCs:
File: 1
Domain: 2

Soft:
Chrome

Crypto:
binance

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Скомпрометированная версия расширения Trust Wallet для Chrome, выпущенная 24 декабря 2025 года, привела к краже криптовалюты на сумму более 7 миллионов долларов из-за атаки по Цепочке поставок, в результате которой был внедрен вредоносный код. Атака использовала широкие привилегии расширения для манипулирования транзакциями, что привело к значительным потерям пользователей и спровоцировало кампанию фишинга, нацеленную на пострадавших пользователей. Этот инцидент выявил критические уязвимости в расширениях браузера и риски, связанные с обновлениями программного обеспечения.
-----

Значительный киберинцидент, связанный со взломанным браузерным расширением, привел к краже криптовалюты на сумму 7 миллионов долларов у пользователей Trust Wallet. Инцидент начался 24 декабря 2025 года, когда было незаметно выпущено вредоносное обновление версии 2.68.0 расширения Trust Wallet для Chrome. Trust Wallet - это широко используемый кошелек, который позволяет пользователям взаимодействовать с децентрализованными приложениями (dApps) и управлять цифровыми активами. Вскоре после обновления пользователи сообщили о потере средств во время обычных транзакций, и оценки потерь быстро превысили 2 миллиона долларов.

Судебно-медицинские исследования показали, что атака была Компрометацией цепочки поставок, в результате которой злоумышленники проникли в конвейер обновлений Trust Wallet, чтобы внедрить вредоносный код в официальный пакет расширений. Это изощренное проникновение позволило злоумышленникам манипулировать транзакциями и красть пользовательские активы. В качестве стратегического шага, когда среди пользователей Социальных сетей распространилась паника, злоумышленники инициировали кампанию фишинга, чтобы воспользоваться ситуацией. Они создали мошеннические учетные записи, перенаправляющие пользователей на поддельный веб-сайт с целью дальнейшего обмана жертв в условиях неразберихи.

Инцидент выявил критическую уязвимость в модели расширений браузера, подчеркивая обширные привилегии, которыми обладают эти расширения при взаимодействии с веб-страницами и блокчейн-сетями. Это по сути предоставляет злоумышленникам доступ к обширному интерфейсу для эксплуатации. Скомпрометированное расширение служит в качестве троянского коня, способного наблюдать за действиями пользователя и извлекать конфиденциальную информацию. В то время как Trust Wallet пообещал возместить украденные средства и заверил пользователей в сохранности их активов, это событие вызывает опасения по поводу надежности и безопасности браузерных кошельков и более широких последствий уязвимостей в Цепочке поставок обновлений программного обеспечения.

#ParsedReport #CompletenessHigh
26-12-2025

SideWinder APT's Latest "Stealth" Attack Chain Analysis

https://www.ctfiot.com/288986.html

Report completeness: High

Actors/Campaigns:
Sidewinder

Threats:
Dll_sideloading_technique
Lolbin_technique
Procmon_tool

Victims:
Income taxpayers, Government, Military, Taxation, Service industry, Retail industry, Telecom industry, Healthcare industry

Industry:
Retail, Healthcare, Telco, Military, Government

Geo:
Asia-pacific, Indian, Asian, Chinese, India

TTPs:
Tactics: 2
Technics: 9

IOCs:
File: 5
Domain: 23
Url: 6
IP: 3
Hash: 4

Soft:
Microsoft Defender, Windows Defender, WeChat

Algorithms:
aes-128

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В SideWinder apt-группировка, против индейских доход налогоплательщиков, применяет сложные приемы "стелс", в том числе фишинг-писем, представляясь уведомления о возврате налога на имплантат бэкдоры. Их многоступенчатой атаки используются DLL Side-loading использовать законные Майкрософт защитник бинарный за неуплату, перенаправление пользователей на поддельные доход Налоговое управление сайтов при использовании гео-ограждения и облачные сервисы для маскировки деятельности. Индикаторы компромисса определены включают в себя вредоносные домены, редко дву, фишинг одной инициирование взаимодействия с их инфраструктуры и серверов С2 связан с AliCloud.
-----

Недавно было замечено, что APT-группировка SideWinder, также известная как Rattlesnake или T-APT-04, развернула цепочку скрытых атак, специально нацеленных на индийских налогоплательщиков. Эта кампания представляет собой продолжение их нацеленность на высокое значение цели в правительства стран Южной Азии и различных отраслях промышленности, в том числе военной, службе, розничной торговли, телекоммуникаций и здравоохранения. Злоумышленники использовали фишинг электронной почты маскировка как "проверка, возврат налога", чтобы внедрить бэкдор в системах своих жертв. В частности, они успешно обойти механизмы обнаружения, как правило, заняты на конечную точку обнаружения и реагирования на них, используя сложный многоэтапный подход, сочетающий в себе спящий режим и гео-ограждения методы.

Атака использовала тактику DLL side-loading для использования законных двоичных файлов Microsoft Defender, что способствовало обходу системы безопасности конечных точек. Кроме того, злоумышленники использовали метод уклонения от обнаружения, основанный на репутации, направляя свою деятельность через законные общедоступные облачные сервисы хранения данных и платформы для сокращения URL-адресов. Кампании по фишингу включали переадресацию на мошеннические веб-сайты, призванные выдавать себя за Департамент подоходного налога Индии, демонстрируя нацеленный метод манипулирования пользователями.

Методология включала технические моменты, представляющие интерес, такие как конкретные TTP, связанные с идентификаторами MITRE ATT&CK, включая T1566.002 (Фишинг - Вредоносная ссылка) и T1204.001 (Вредоносный файл). Злоумышленники направляли пользователей на скомпрометированный домен gfmqvip.vip, который служил мошенническим порталом по налогу на прибыль.

Индикаторы компрометации (IOCs), выявленные в ходе расследования, показывают ряд вредоносных доменов, URL-адресов и связанных с ними хэшей, указывающих на инструменты и методы, используемые SideWinder. Вредоносные домены содержат необычные домены верхнего уровня (TLD) и включают ksdfuefagfrukayhfka.eu.cc , zibenbang.vip и несколько экземпляров googlevip.icu среди прочих. Ссылки на фишинг, такие как surl.li/wijrvg и surl.li/oskzir , служили точками призыва к действию, инициирующими взаимодействие с вредоносной инфраструктурой. Загрузчик первоначального доступа был упакован как "Inspection.zip ," на котором размещались критические полезные файлы, необходимые для выполнения атаки, наряду с различными другими файлами, включая захваченные библиотеки DLL и загрузчик шелл-кода.

Инфраструктура командования и контроля (C2) указала на использование IP-адресов, привязанных к AliCloud, с конкретными ссылками как на промежуточный, так и на конечный серверы C2. Хэши, связанные с загруженными файлами и полезной нагрузкой, предоставляют важные отпечатки пальцев для идентификации и смягчения угрозы, исходящей от этих вредоносных действий. В целом, анализ подчеркивает изощренную тактику, применяемую SideWinder APT для достижения своих целей, сохраняя при этом малозаметность в постоянно меняющемся ландшафте киберугроз.