#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Экосистема поддельных Captcha сместилась в сторону использования надежной веб-инфраструктуры для доставки вредоносного ПО, используя визуальные элементы, имитирующие законные задачи проверки, в частности те, которые напоминают подсказки Cloudflare. Злоумышленники используют различные методы, включая методы, управляемые буфером обмена с использованием PowerShell, доставку на основе установщика через MSI и сложные серверные платформы, такие как модель Matrix Push C2, что усложняет усилия по обнаружению. Такой подход повышает вовлеченность пользователей, используя знакомство с процессами проверки и скрывая при этом вредоносные действия.
-----

Анализ экосистемы поддельных Captcha показывает заметный сдвиг в методах доставки вредоносного ПО, использующих надежную веб-инфраструктуру. Данные, собранные из набора данных Censys, выделяют значительный визуальный кластер, который имитирует законные задачи проверки, очень напоминающие подсказки в стиле Cloudflare. Несмотря на визуальное сходство, поведенческое исполнение значительно различается на наблюдаемых страницах, что указывает на фрагментированную методологию, а не на единую скоординированную атаку. Эта среда облегчает выполнение с помощью различных моделей, включая методы, управляемые буфером обмена (например, PowerShell, VBScript), доставку на основе установщика через MSI и серверные платформы, которые скрывают артефакты на стороне клиента.

Фейк капча тактика эволюционировали, выходя за рамки традиционных методов социальной инженерии для включения стандартизированных интерфейсов, что приоритетность взаимодействия пользователя с помощью привычных рабочих процессов браузера. Злоумышленники используют эту тенденцию, интегрируя вредоносные элементы в доверенные процессы проверки, сводя на нет необходимость прямого компрометирования установленных сервисов. Именно это подход веб' повышает риск вовлечения пользователя, как люди знакомы с проблемой проверки и больше доверяют им.

Методологическая строгость анализа включала использование перцептивного хэширования (pHash) для идентификации визуальных кластеров, что позволило исследователям сгруппировать похожие ресурсы и определить модели выполнения на основе команд буфера обмена и поведения при последующем развертывании. Однако этой методологии не хватает возможностей атрибуции, поскольку визуальное сходство не указывает на общую инфраструктуру или операционные связи.

Среди выявленных методов доставки преобладающим остается выполнение в буфере обмена с использованием PowerShell для загрузки последующих сценариев. Дополнительные методы включали в себя малообъемные подходы, такие как загрузчики BAT и выполнение MSHTA с кодировкой URL, наряду с примечательной распространенностью доставки на основе установщика через Пакеты установщика Windows. Модель Matrix Push C2 возникла как сложный серверный подход, отделяющий взаимодействия от видимых полезных нагрузок, что усложняет усилия по обнаружению.

Полученные результаты подчеркивают неадекватность традиционных методов обнаружения ориентируясь исключительно на буфер обмена, в командной строке, выступающая за нюансов стратегии обнаружения, что включает в себя обучение пользователей и осведомленность в важных компонентов. Меняющийся характер визуальных и эксплуатационных динамика вредоносное ПО обеспечением звонки адаптивных мер, которые учитывают сложность злоупотребления доверием, в системах онлайн-проверки.

#ParsedReport #CompletenessLow
25-01-2026

Cyber Counterintelligence (CCI): When 'Shiny Objects' trick 'Shiny Hunters'

https://www.resecurity.com/es/blog/article/cyber-counterintelligence-cci-when-shiny-objects-trick-shiny-hunters

Report completeness: Low

Actors/Campaigns:
Shinyhunters (motivation: cyber_criminal, financially_motivated)
Scattered_lapsus_hunters (motivation: cyber_criminal)
Waifu
Irdev
Kiberphant0m

Industry:
Government, Telco, Financial, Military, Healthcare

Geo:
Russia, American, Korea, Turkey, Canadian

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1656, T1658

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В докладе основное внимание уделяется киберпреступной группе "Shiny Hunters" и ее новым вариантам, в которых участвуют ключевые фигуры, связанные с различными киберпреступлениями, включая членов, недавно обвиненных Министерством юстиции. Выделенные методы включают использование "медовых ловушек" для сбора разведывательной информации о деятельности киберпреступников, особенно тех, кто использует данные стиллеров. Отмечаются проблемы для правоохранительных органов, особенно из-за юрисдикционных вопросов, которые препятствуют эффективному вмешательству в отношении неустановленных участников англоязычной экосистемы киберпреступников.
-----

В докладе обсуждается с хакерской группы, известной как "Shiny Hunters," с акцентом на новых итераций, таких как "scattered lapsus$ hunters" и "scattered lapsus$ Shiny Hunters." Эта группа действует в рамках "сообщества" по-английски злоумышленников экосистемы. Расследования самых интересных моментов из ключевых фигур, в частности Коннор Райли Джон Биннс Moucka и Эрин, оба из которых были связаны с различными киберпреступлений и недавно были предъявлены обвинения в МЮ. Кроме того, они были связаны с Кэмерон Джон Wagenius, военнослужащего армии США, выделяя проникновение молодежи в деятельность киберпреступности.

В докладе подчеркивается важность использования методов контрразведки, таких как "медовые ловушки", для отслеживания и понимания этих акторов. Создавая обманчивые учетные записи для привлечения потенциальных злоумышленников, защитники кибербезопасности могут собирать ценную информацию о мотивах и методах, используемых киберпреступниками, особенно теми, кто использует данные стиллеров во время атак. Выводы отражают текущие проблемы, с которыми сталкиваются правоохранительные органы из-за вопросов юрисдикции, поскольку многие члены "Ком" остаются неустановленными или свободно действуют на иностранных территориях, что затрудняет эффективное вмешательство официальных лиц США.

Отмечается, что публикация этой разведывательной информации вызвала заметную реакцию, включая удаление Telegram-канала, связанного с группой "Shiny Hunters", и попытки оказать давление на СМИ, чтобы они отказались от использования этого термина. Этот ответ подчеркивает осведомленность и озабоченность внутри этих преступных сетей в отношении ущерба репутации и операционной безопасности по мере усиления контроля со стороны организаций и органов власти, занимающихся вопросами кибербезопасности.

#ParsedReport #CompletenessLow
23-01-2026

ESET Research: Sandworm behind cyberattack on Polands power grid in late 2025

https://www.welivesecurity.com/en/eset-research/eset-research-sandworm-cyberattack-poland-power-grid-late-2025/

Report completeness: Low

Actors/Campaigns:
Sandworm

Threats:
Dynowiper
Killfiles

Victims:
Power grid, Energy sector

Industry:
Energy, Critical_infrastructure

Geo:
Ukraine, Polands, Russia, Ukrainian, Poland

ChatGPT TTPs:
do not use without manual check
T1485

IOCs:
Hash: 1

Algorithms:
sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце 2025 года энергосистема Польши подверглась крупной кибератаке, приписываемой связанной с Россией APT-группировке Sandworm, использующей вредоносное ПО DynoWiper, предназначенное для удаления критически важных данных и нарушения работы систем. Атака демонстрирует угрозы, исходящие от спонсируемых государством кибер-акторов, нацеленных на важнейшую инфраструктуру с намерением дестабилизировать операции и нанести ущерб репутации. Этот инцидент подчеркивает эволюционирующую природу кибервойны и необходимость проявлять бдительность в отношении продвинутых киберугроз.
-----

В конце 2025 года энергосистема Польши подверглась серьезной кибератаке, которую ESET Research назвала крупнейшей в своем роде в стране за последние несколько лет. Атака была приписана APT-группировке, связанной с Россией, известной как Sandworm. Эта группа, известная своей историей агрессивных киберопераций, во время инцидента использовала сложное вредоносное ПО, известное как DynoWiper.

DynoWiper функционирует как вредоносное ПО для удаления данных, направленное на удаление критически важной информации и нарушение работы затронутых систем. Эта тактика направлена не только на выведение из строя инфраструктуры, но и на нанесение репутационного ущерба и посеяние хаоса. Атака подчеркивает сохраняющиеся угрозы, исходящие от спонсируемых государством кибер-акторов, особенно тех, которые связаны с геополитическими интересами и нацелены на основные услуги и инфраструктуру.

Этот инцидент отражает растущую тенденцию в кибервойнах, когда противники используют усовершенствованное вредоносное ПО для нанесения максимального ущерба, подчеркивая необходимость усиления мер кибербезопасности в критически важных национальных инфраструктурах. Поскольку ландшафт киберугроз продолжает развиваться, важность мониторинга и реагирования на тактику, применяемую такими группами, как Sandworm, остается первостепенной для национальной безопасности.

#ParsedReport #CompletenessMedium
25-01-2026

UAC-0184 \| "Fallen Files Blackout" Phishing Operation

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247507757&idx=1&sn=cf6b118e88395af45a000aae80811264&poc_token=HAgPdmmjK5dFMw7BETEoQQ4_nW02p-Tw9WIodC0G

Report completeness: Medium

Actors/Campaigns:
Fallen_soldiers_files (motivation: information_theft, cyber_espionage)
Uac-0184 (motivation: information_theft, cyber_espionage)

Threats:
Dll_sideloading_technique
Remcos_rat
Hijackloader
Rshell
Process_injection_technique

Victims:
Ukrainian government, Ukrainian military, Verkhovna rada of ukraine

Industry:
Government, Military

Geo:
Ukrainian, Ukraine

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 18
Hash: 4
IP: 1
Url: 3

Soft:
Viber, Windows Defender, Telegram

Algorithms:
md5, xor, zip, crc-32

Functions:
createChildProcess, createScheduledTask

Win API:
NetBIOS

Win Services:
avastsvc

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В UAC-0184 Group запустила фишинг-кампании, "Fallen Files Blackout," направлен в Верховную Раду Украины, ориентируясь на важные файлы, касающиеся военнослужащих и выплаты компенсации. Их деятельность включает активизацию кражи разведывательных данных в военном и правительственном секторах, причем операции, как сообщается, продолжатся до 2025 года, что свидетельствует о значительной киберугрозе инфраструктурам национальной безопасности.
-----

В UAC-0184 группа приступила к фишинг-кампании, получившей название "Fallen Files Blackout," таргетинга Верховной Рады Украины. Эта операция характеризуется акцент на манипулировании важные файлы, касающиеся украинских военнослужащих и вопросы, связанные с компенсацией за гибель солдат. Группа активизировала свою хищения разведывательной деятельности против военных и правительственных секторов, доказательства о том, что их деятельность продолжается и в 2025.

Эта постоянная угроза подчеркивает важность усиления мер безопасности в затронутых организациях. Рекомендуемые методы включают повышение осведомленности о протоколах безопасности, внедрение более надежного шифрования секретной информации и ужесточение механизмов защиты пользовательских данных и контроля доступа. Эти стратегии направлены на снижение рисков, связанных с вредоносными атаками, которые могут привести к утечке информации. Деятельность группы UAC-0184 является ярким напоминанием о меняющемся ландшафте киберугроз, особенно тех, которые нацелены на инфраструктуру национальной безопасности.

#ParsedReport #CompletenessHigh
23-01-2026

Weaponized in China, Deployed in India: The SyncFuture Espionage Targeted Campaign

https://www.esentire.com/blog/weaponized-in-china-deployed-in-india-the-syncfuture-espionage-targeted-campaign

Report completeness: High

Threats:
Krbanker
Dll_sideloading_technique
Uac_bypass_technique
Seo_poisoning_technique

Victims:
Residents of india, Government sector

Industry:
Healthcare, Government, Financial

Geo:
Chinese, Asian, Korea, China, India, Indian

TTPs:
Tactics: 2
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1105, T1218, T1566.001, T1622

IOCs:
File: 210
Url: 8
Domain: 111
IP: 8
Hash: 193
Path: 15
Registry: 4
Email: 4

Soft:
Windows explorer, Windows service, Sendgrid, Microsoft Defender, Windows Defender, Process Explorer, Windows installer, AutoHotKey, bcdedit

Algorithms:
zip, xor, md5, sha256, exhibit, lznt1

Functions:
LZNT1_Decompress, TaskList, SetPermissions

Win API:
IsDebuggerPresent, CheckRemoteDebuggerPresent, NtQueryInformationProcess, GetThreadContext, GetTickCount, InternetReadFile, VirtualAlloc, CreateThread, WaitForSingleObject, RtlDecompressBuffer, have more...

Platforms:
x64

Links:
have more...
https://github.com/eSentire/iocs/blob/main/SyncFuture%20Espionage%20Campaign/SyncFuture\_Espionage\_Campaign\_IOCS\_Jan2026.txt
https://github.com/OALabs/hashdb/blob/main/algorithms/mul83\_add.py

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, table: 2, windows: 8, dump: 2, code: 19, filemanager: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В декабре 2025 года, нацелен шпионской кампании, используя сложный бэкдор, MpGear.dll было определено, прежде всего в интересах лица, в Индию через спам-писем, представляясь налоговых уведомлений. Самое вредоносное ПО использует методы уклонения например, проверки, отладки и стратегий сроки, чтобы избежать обнаружения, в то время как дальнейшие этапы предполагают загрузки дополнительных вредоносных исполняемых файлов, как 180.exe, под видом легального программного обеспечения. Дополнительные элементы включают в себя вредоносный DLL-файл, игру-с плавающей точкой-ядром.dll и неправильное использование системы управления безопасностью терминала Syncfuture, что подчеркивает сложные операции по запутыванию и телеметрии в рамках кампании.
-----

В декабре 2025 года была выявлена нацеленная шпионская кампания, в ходе которой был задействован сложный многоэтапный бэкдор, нацеленный на долгосрочный сбор разведывательных данных, в первую очередь против жителей Индии. Метод первоначального доступа включал использование спам-писем, отправляемых через Sendgrid, с различными доменами отправителей, выдающими себя за государственные учреждения, в частности, под видом уведомлений о подоходном налоге в Индии. Темы электронных писем были разработаны таким образом, чтобы привлечь внимание к вопросам соблюдения налогового законодательства.

Вредоносное ПО использует бэкдор, идентифицированный как MpGear.dll , который использует множество методов, чтобы избежать обнаружения. К ним относятся отладочные проверки, такие как IsDebuggerPresent и CheckRemoteDebuggerPresent, запрос порта отладки процесса и обнаружение точки останова Аппаратного обеспечения с помощью GetThreadContext. Он также реализует стратегии синхронизации, позволяющие отличать нормальное выполнение от задержек, вызванных отладчиком. Если эти проверки завершатся неудачей, вредоносное ПО может продолжить выполнение, чтобы избежать остановки средствами отладки.

При переходе ко второму этапу полезная нагрузка обрабатывает строку для вычисления хэшей имен API с использованием определенного алгоритма, выполняя поиск по загруженным библиотекам DLL для разрешения Нативных API. На этом этапе загружается 64-разрядный исполняемый файл с хэшем SHA256, указывающим конкретную дату компиляции и путь отладки, предлагающий модификации для разработки.

Третий этап состоит из полезной нагрузки с именем 180.exe , замаскированный под законный установщик, поставляемый с Inno Setup, распространенным методом, используемым акторами вредоносного ПО для маскировки вредоносного контента.

Еще один элемент кампании включает в себя наличие игрового флоат-ядра.библиотека dll, установленная как вредоносная библиотека DLL с хэшем SHA256 и упаковкой UPX. Инфраструктура вредоносного ПО указывает на высокий уровень ведения журнала, при этом в системе создается множество файлов. C:\log \ directory, предлагающий широкие возможности телеметрии.

Кроме того, во время анализа исполняемого файла с именем mysetup.exe , были обнаружены признаки злоупотребления системой управления безопасностью терминала Syncfuture. Это программное обеспечение, разработанное китайской технологической компанией, вероятно, способствовало проведению Вредоносной Кампании, демонстрируя значительный вектор угрозы, который сочетает в себе различные методы запутывания, закрепления и эксфильтрации данных.

#ParsedReport #CompletenessHigh
22-01-2026

Organized Traffer Gang on the Rise Targeting Web3 Employees and Crypto Holders

https://hybrid-analysis.blogspot.com/2026/01/organized-traffer-gang-on-rise.html

Report completeness: High

Actors/Campaigns:
Markopolo (motivation: financially_motivated)
Crazy_evil
Wagmi
Nexvoo
Mp-2

Threats:
Traffer_technique
Opulous
Amos_stealer
Rhadamanthys
Lumma_stealer
Meeten
Hijackloader

Victims:
Cryptocurrency users, Web3 employees, Web3 developers, Project teams

Industry:
Entertainment

Geo:
Russia, Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059, T1059.007, T1105, T1119, T1189, T1204, T1205, T1497, have more...

IOCs:
File: 3
Domain: 101
Url: 1
IP: 1
Hash: 68

Soft:
Electron, Linux, tradingview, MacOS, NSIS installer, Telegram, QEMU, Twitter

Algorithms:
sha256, aes-256

Functions:
sendClientName

Languages:
javascript, python

Platforms:
cross-platform

Links:
https://github.com/6nz/virustotal-vm-blacklist

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Организованная банда Traffer действует как изощренная киберпреступная организация, нацеленная на пользователей криптовалют, используя передовые методы социальной инженерии и доставки вредоносного ПО с помощью поддельных приложений, таких как "Opulous". Их инфраструктура охватывает более 80 доменов, используя подписанные исполняемые файлы, чтобы избежать обнаружения при проведении обширного профилирования данных о жертвах. Тактика банды эволюционировала от обычных атак до нацеленных мошенничеств на разных платформах, включая macOS и браузерную эксплуатацию крипто-кошельков, что подчеркивает их оперативную эффективность и уровень угрозы в пространстве Web3.
-----

Организованная банда Traffer возникла как сложная киберпреступная операция, нацеленная на пользователей криптовалют и сотрудников в пространстве Web3. В этой операции используются передовые методы социальной инженерии, с использованием поддельных Electron-приложений, которые имитируют законные инструменты для доставки вредоносного ПО. Группа работает через значительную инфраструктуру, которая охватывает более 80 доменов в рамках различных кампаний, и, как утверждается, они получили доход, превышающий 2,4 миллиона долларов от кражи криптовалюты.

Одним из важнейших компонентов их подход предполагает создание, казалось бы, законных приложений, таких как вредоносных электронно-программное обеспечение под названием "Opulous", которая предлагает пользователям зарегистрируйтесь или авторизуйтесь. Исследователи подтверждают развитие их тактики от простой загрузки вредоносного программного обеспечения с использованием современных подписанные исполняемые файлы от различных справок до обнаружения уклонения. Вредоносные исполняемые файлы могут выполнять предварительное снятие отпечатков пальцев и система профилирования, собрав обширные данные, включая логины, модели процессора, оперативной памяти детали, и многое другое. Они также используют анти-анализ приемов, чтобы помешать виртуальной машины или обнаружения песочницы, повышению скрытности их действий.

С середины 2024 по середину 2025 года кампании банды, включая такие известные операции, как "Marko Polo", "Meeten" и "NexVoo", использовали множество мошеннических действий в Социальных сетях и поддельные экосистемы для заманивания жертв. Они использовали смесь АИ-контент и расширенные методы профилирования, чтобы настроить свои атаки, переходя из универсальных инструментов для повышения производительности для сильно нацелен манипулятивных стратегий, направленных на крипто энтузиастов. Их атаки эволюционировали, включив в себя поддельные презентации на конференциях и автоматизированные инструменты идентификации жертв, такие как "Wagmiscapper", которые собирают адреса криптовалютных кошельков из Twitter, чтобы сосредоточиться на нацеленных на высокие цели.

Инфраструктура The gang поддерживает множество traffers и демонстрирует общую методологию для различных операций, включая повторное использование шаблонов и API. Такая взаимосвязанность свидетельствует о сложном уровне планирования и операционной эффективности этих киберпреступных элементов. Кроме того, тактика расширилась от атак только для Windows до кроссплатформенных угроз, теперь включающих специфичное для macOS вредоносное ПО и браузерные атаки, нацеленные на крипто-кошельки. Благодаря этим многогранным стратегиям и постоянной адаптации организованная банда Traffer представляет значительную угрозу в доменах Web3 и криптовалюты.

#ParsedReport #CompletenessHigh
26-01-2026

APT Attacks Target Indian Government Using GOGITTER, GITSHELLPAD, and GOSHELL \| Part 1

https://www.zscaler.com/blogs/security-research/apt-attacks-target-indian-government-using-gogitter-gitshellpad-and-goshell

Report completeness: High

Actors/Campaigns:
Gopher_strike
Sheet_attack
Transparenttribe

Threats:
Gogitter
Gitshellpad
Goshell
Cobalt_strike_tool
Process_injection_technique
Motw_bypass_technique
Spear-phishing_technique

Victims:
Indian government

Industry:
Government

Geo:
India, Indian, Pakistan

TTPs:
Tactics: 8
Technics: 39

IOCs:
File: 43
Path: 4
Url: 27
Command: 3
Domain: 8
Registry: 1
Hash: 11

Soft:
curl, Microsoft Edge update

Algorithms:
gzip, xor, zip, base64, deflate

Functions:
GetResponse

Win API:
QueueUserAPC, CreateThread, NtQueueApcThread-s, CreateRemoteThread, RtlCreateUserThread, NtMapViewOfSection

Languages:
golang, visual_basic

Platforms:
x64

Links:
https://github.com/threatexpress/malleable-c2/blob/master/jquery-c2.4.2.profile
https://github.com/ThreatLabz/iocs/blob/main/gopherstrike/commands.txt
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2025 года Zscaler ThreatLabZ обнаружил две кампании, Gopher Strike и Sheet Attack, приписываемые базирующейся в Пакистане APT, нацеленной на правительство Индии, возможно, из новой подгруппы. Gopher Strike использует сложную тактику фишинга, используя PDF-файлы с Вредоносными ссылками для доставки ISO-файла, замаскированного под обновление Adobe, в основном ориентируясь на пользователей Windows с помощью электронных писем с Целевым фишингом. Ключевые инструменты включают загрузчик GOGITTER, бэкдор GITSHELLPAD и загрузчик шелл-кода GOSHELL, использующий GitHub для управления и использующий различные методы уклонения для длительного доступа и сокрытия.
-----

В сентябре 2025 года Zscaler ThreatLabZ идентифицировал две киберкампании под названием Gopher Strike и Sheet Attack, связанные с базирующейся в Пакистане сложной целенаправленной угрозой (APT), нацеленной на правительство Индии. В этих кампаниях используются новые инструменты и методы, которые предполагают, что они могут исходить от новой подгруппы, связанной с пакистанскими акторами, потенциально работающими бок о бок или независимо от известных групп, таких как APT36.

В Gopher Strike Суслик использует сложную фишинг стратегии, использование PDF-файлов, встроенных с вредоносных ссылок и обманчивых подсказки, чтобы обмануть жертв в загрузке вредоносного файла ISO. Этот ISO-файл доставляется с помощью диалоговое окно, предназначенное для посторонних законным обновление Adobe акробат, тем самым обеспечивая доставка ограничивается конкретными жертвами операционных систем Windows в Индии. Начальный вектор заражения, в основном, через целевой фишинг-писем, содержащих эти PDF-файлы.

Центральное место в Gopher Strike Суслик три специально разработанные инструменты: GOGITTER загрузчик, GITSHELLPAD бэкдор, и GOSHELL шеллкода погрузчик. В GOGITTER загрузчик, написанный на Golang, извлекает содержимое из репозитория GitHub подконтрольные субъекты угрозы. GITSHELLPAD также написан на Golang, действует как легкий бэкдор, который использует в GitHub API-интерфейс REST для Управление (С2) коммуникации, позволяющие зарегистрировать вашу систему и опрос для команд. Он создает каталоги на GitHub, что затрудняет обнаружение канала связи. GOSHELL служит шеллкода загрузчик, который развертывает Cobalt Strike о нацелен устройств, выполнения команд и кражи данных.

Выполнение включает в себя загрузку архивов RAR, содержащих дополнительные инструменты после компрометации. Загрузчик GOSHELL специально выполняет полезную нагрузку второго этапа в рамках своего собственного процесса с помощью вызова Нативного API, гарантируя, что атака является скрытой и постоянной. Злоумышленники используют различные методы уклонения, такие как создание вводящих в заблуждение имен файлов и запланированных задач для имитации законных процессов, обеспечивая постоянный доступ к системе жертвы.

Кампании были связаны с несколькими методами, описанными в платформе MITRE ATT&CK, включая первоначальный доступ посредством фишинга, развитие ресурсов путем получения инфраструктуры и возможностей, командование и контроль с использованием репозиториев GitHub и эксфильтрацию данных в контролируемые репозитории. Комбинация этих методов демонстрирует сложную и адаптируемую угрозу, использующую законные Веб-сервисы для злонамеренных намерений при одновременном использовании передовых методов коммуникации и уклонения от обнаружения.