#ParsedReport #CompletenessMedium
28-01-2026
Cant stop, wont stop: TA584 innovates initial access
https://www.proofpoint.com/us/blog/threat-insight/cant-stop-wont-stop-ta584-innovates-initial-access
Report completeness: Medium
Actors/Campaigns:
Storm-0900 (motivation: cyber_criminal)
Ta2725
Threats:
Clickfix_technique
Tsundere
Ettersilent_tool
Gozi
Keitaro_tds_tool
Xworm_rat
Cobalt_strike_tool
Xenorat
Warmcookie
Dcrat
Etherhiding_technique
Process_hollowing_technique
Sharphide_tool
Victims:
Organizations, European users
Industry:
Financial, Healthcare, Government
Geo:
American, Ukrainian, Ireland, German, America, Australia, Germany, Russian, Belarusian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1036, T1059.001, T1105, T1204.001, T1204.002, T1566.001, T1566.002, T1583.006, T1584.004
IOCs:
IP: 6
File: 4
Hash: 2
Soft:
SendGrid, Node.js, Windows Registry, Windows Powershell
Crypto:
ethereum
Algorithms:
zip, sha256, xor, aes, base64
Languages:
powershell, javascript
Links:
28-01-2026
Cant stop, wont stop: TA584 innovates initial access
https://www.proofpoint.com/us/blog/threat-insight/cant-stop-wont-stop-ta584-innovates-initial-access
Report completeness: Medium
Actors/Campaigns:
Storm-0900 (motivation: cyber_criminal)
Ta2725
Threats:
Clickfix_technique
Tsundere
Ettersilent_tool
Gozi
Keitaro_tds_tool
Xworm_rat
Cobalt_strike_tool
Xenorat
Warmcookie
Dcrat
Etherhiding_technique
Process_hollowing_technique
Sharphide_tool
Victims:
Organizations, European users
Industry:
Financial, Healthcare, Government
Geo:
American, Ukrainian, Ireland, German, America, Australia, Germany, Russian, Belarusian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036, T1059.001, T1105, T1204.001, T1204.002, T1566.001, T1566.002, T1583.006, T1584.004
IOCs:
IP: 6
File: 4
Hash: 2
Soft:
SendGrid, Node.js, Windows Registry, Windows Powershell
Crypto:
ethereum
Algorithms:
zip, sha256, xor, aes, base64
Languages:
powershell, javascript
Links:
https://github.com/outflanknl/SharpHideProofpoint
Can’t stop, won’t stop: TA584 innovates initial access | Proofpoint US
Key findings TA584 is one of the most prominent cybercriminal threat actors tracked by Proofpoint threat researchers. In 2025, the actor demonstrated multiple
CTT Report Hub
#ParsedReport #CompletenessMedium 28-01-2026 Cant stop, wont stop: TA584 innovates initial access https://www.proofpoint.com/us/blog/threat-insight/cant-stop-wont-stop-ta584-innovates-initial-access Report completeness: Medium Actors/Campaigns: Storm-0900…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
TA584, идентифицированный как злоумышленник-киберпреступник с ноября 2020 года, изменил свою тактику, став брокером первоначального доступа и представив новое вредоносное ПО под названием Tsundere Bot в 2025 году. Их деятельность в основном связана с фишингом электронных писем с целью получения первоначального доступа, в настоящее время распространяющегося за пределы Северной Америки в Европу, используя для доставки документы Excel с поддержкой макросов и целевые страницы с нацеленной географией. Они также внедряют вредоносное ПО XWorm, в частности вариант "P0WER", уделяя особое внимание непрерывности работы в российской киберпреступной экосистеме, что указывает на потенциал будущих атак программ-вымогателей.
-----
TA584 превратился в крупного злоумышленника, активно применяющего инновационные тактики с тех пор, как в ноябре 2020 года началось его отслеживание. В 2025 году группа, признанная брокером первоначального доступа, продемонстрировала заметные изменения в своих методологиях атак, включая расширение таргетинга и внедрение нового вредоносного ПО под названием Tsundere Bot. Этот сдвиг подчеркивает тенденцию к адаптации среди киберпреступников, предполагая, что статические методы обнаружения могут оказаться неэффективными против таких изощренных противников, как TA584.
Операции актора в основном сосредоточены на первоначальном доступе через электронные письма с фишингом, выдавая себя за ряд законных организаций, чтобы заманить цели. Исторически их усилия были сосредоточены на Северной Америке, но в течение 2025 года они расширили свой охват до Германии и некоторых частей Европы. Электронные письма часто отправляются со взломанных учетных записей с последовательным использованием нескольких отображаемых имен для повышения доверия.
Что касается методов доставки, TA584 часто использует документы Excel с поддержкой макросов, агрессивную фильтрацию URL-адресов и целевые страницы с нацеленной географией. К ноябрю 2025 года они начали распространять бота Tsundere наряду со своей традиционной полезной нагрузкой XWorm, которая стала основным продуктом в их арсенале с середины 2024 года. Бот Tsundere работает как вредоносное ПО как услуга (MaaS), о чем свидетельствуют его возможности как бэкдора, так и загрузчика. Он был связан с различными кампаниями атак и используется многочисленными злоумышленниками, использующими методы распространения, включая поддельные установщики видеоигр.
Вредоносное ПО XWorm, в частности его конфигурация "P0WER", является известным объектом в среде киберугроз. TA584's использует этот вариант, что подчеркивает непрерывность его работы и связи с российской экосистемой киберпреступников. Обозначение "P0WER" является производным от конфигурации ключа AES, используемой в этом вредоносном ПО.
Анализ Proofpoint показывает, что TA584 является очень сложным злоумышленником, который, вероятно, способен способствовать атакам программ-вымогателей. Их настойчивое поведение и эволюционирующие стратегии нацеливания указывают на стремление расширить их операционный ландшафт, особенно в Европе. Поскольку актор продолжает экспериментировать с различными полезными нагрузками, включая недавно обнаруженного бота Tsundere, они могут еще больше нарушить устоявшиеся модели в среде киберугроз. В целом, меняющийся ландшафт свидетельствует о необходимости усиления бдительности и адаптивных мер безопасности для эффективной борьбы с угрозами, подобными TA584.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
TA584, идентифицированный как злоумышленник-киберпреступник с ноября 2020 года, изменил свою тактику, став брокером первоначального доступа и представив новое вредоносное ПО под названием Tsundere Bot в 2025 году. Их деятельность в основном связана с фишингом электронных писем с целью получения первоначального доступа, в настоящее время распространяющегося за пределы Северной Америки в Европу, используя для доставки документы Excel с поддержкой макросов и целевые страницы с нацеленной географией. Они также внедряют вредоносное ПО XWorm, в частности вариант "P0WER", уделяя особое внимание непрерывности работы в российской киберпреступной экосистеме, что указывает на потенциал будущих атак программ-вымогателей.
-----
TA584 превратился в крупного злоумышленника, активно применяющего инновационные тактики с тех пор, как в ноябре 2020 года началось его отслеживание. В 2025 году группа, признанная брокером первоначального доступа, продемонстрировала заметные изменения в своих методологиях атак, включая расширение таргетинга и внедрение нового вредоносного ПО под названием Tsundere Bot. Этот сдвиг подчеркивает тенденцию к адаптации среди киберпреступников, предполагая, что статические методы обнаружения могут оказаться неэффективными против таких изощренных противников, как TA584.
Операции актора в основном сосредоточены на первоначальном доступе через электронные письма с фишингом, выдавая себя за ряд законных организаций, чтобы заманить цели. Исторически их усилия были сосредоточены на Северной Америке, но в течение 2025 года они расширили свой охват до Германии и некоторых частей Европы. Электронные письма часто отправляются со взломанных учетных записей с последовательным использованием нескольких отображаемых имен для повышения доверия.
Что касается методов доставки, TA584 часто использует документы Excel с поддержкой макросов, агрессивную фильтрацию URL-адресов и целевые страницы с нацеленной географией. К ноябрю 2025 года они начали распространять бота Tsundere наряду со своей традиционной полезной нагрузкой XWorm, которая стала основным продуктом в их арсенале с середины 2024 года. Бот Tsundere работает как вредоносное ПО как услуга (MaaS), о чем свидетельствуют его возможности как бэкдора, так и загрузчика. Он был связан с различными кампаниями атак и используется многочисленными злоумышленниками, использующими методы распространения, включая поддельные установщики видеоигр.
Вредоносное ПО XWorm, в частности его конфигурация "P0WER", является известным объектом в среде киберугроз. TA584's использует этот вариант, что подчеркивает непрерывность его работы и связи с российской экосистемой киберпреступников. Обозначение "P0WER" является производным от конфигурации ключа AES, используемой в этом вредоносном ПО.
Анализ Proofpoint показывает, что TA584 является очень сложным злоумышленником, который, вероятно, способен способствовать атакам программ-вымогателей. Их настойчивое поведение и эволюционирующие стратегии нацеливания указывают на стремление расширить их операционный ландшафт, особенно в Европе. Поскольку актор продолжает экспериментировать с различными полезными нагрузками, включая недавно обнаруженного бота Tsundere, они могут еще больше нарушить устоявшиеся модели в среде киберугроз. В целом, меняющийся ландшафт свидетельствует о необходимости усиления бдительности и адаптивных мер безопасности для эффективной борьбы с угрозами, подобными TA584.
#ParsedReport #CompletenessHigh
28-01-2026
Unveiling the Weaponized Web Shell EncystPHP
https://www.fortinet.com/blog/threat-research/unveiling-the-weaponized-web-shell-encystphp
Report completeness: High
Actors/Campaigns:
Inj3ctor3
Threats:
Encystphp
Credential_dumping_technique
Victims:
Telecommunications
Geo:
Indian, Brazil
CVEs:
CVE-2025-64328 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-45461 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sangoma restapps (15.0.19.87, 15.0.19.88, 16.0.18.40, 16.0.18.41)
CVE-2019-19006 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sangoma freepbx (le13.0.197.13, le14.0.13.11, le15.0.16.26)
TTPs:
Tactics: 10
Technics: 15
IOCs:
IP: 2
Domain: 1
File: 5
Url: 2
Hash: 5
Soft:
FreePBX, Elastix, crontab, Unix, Linux
Algorithms:
md5, base64
Languages:
php
28-01-2026
Unveiling the Weaponized Web Shell EncystPHP
https://www.fortinet.com/blog/threat-research/unveiling-the-weaponized-web-shell-encystphp
Report completeness: High
Actors/Campaigns:
Inj3ctor3
Threats:
Encystphp
Credential_dumping_technique
Victims:
Telecommunications
Geo:
Indian, Brazil
CVEs:
CVE-2025-64328 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-45461 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sangoma restapps (15.0.19.87, 15.0.19.88, 16.0.18.40, 16.0.18.41)
CVE-2019-19006 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sangoma freepbx (le13.0.197.13, le14.0.13.11, le15.0.16.26)
TTPs:
Tactics: 10
Technics: 15
IOCs:
IP: 2
Domain: 1
File: 5
Url: 2
Hash: 5
Soft:
FreePBX, Elastix, crontab, Unix, Linux
Algorithms:
md5, base64
Languages:
php
Fortinet Blog
Unveiling the Weaponized Web Shell EncystPHP
FortiGuard Labs analyzes EncystPHP, a stealthy web shell exploiting CVE-2025-64328 in FreePBX environments to enable remote command execution, persistence, and long-term system compromise…
CTT Report Hub
#ParsedReport #CompletenessHigh 28-01-2026 Unveiling the Weaponized Web Shell EncystPHP https://www.fortinet.com/blog/threat-research/unveiling-the-weaponized-web-shell-encystphp Report completeness: High Actors/Campaigns: Inj3ctor3 Threats: Encystphp…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
EncystPHP является веб-шелл целеуказания FreePBX, эксплуатируя уязвимость CVE-2025-64328 после проверки подлинности команда уязвимости инъекций в административный интерфейс управляющего компьютера. Нападение включает в себя первоначальный доступ через общедоступный применение, исполнение команды с грузоподъемностью Баш, и повышение привилегий путем создания локальной учетной записи root; он использует с помощью crontab и маскировка методов для поддержания закрепление и уклониться от обнаружения. Перемещение внутри компании ведется через SSH, в то время как злоумышленники эксплуатируют ресурсы АТС для несанкционированных операций Телефония, подчеркивая опасности устаревших системах.
-----
EncystPHP - это сложный Веб-шелл, который обеспечивает долгосрочную административную компрометацию систем FreePBX, используя уязвимую точку, идентифицированную как CVE-2025-64328. Эта уязвимость связана с ошибкой ввода команд после аутентификации, присутствующей в административном интерфейсе FreePBX Endpoint Manager, которая позволяет злоумышленникам выполнять команды в системе после получения доступа.
Вредоносное ПО внедряется через файл с именем "c", который служит точкой входа для дальнейшего анализа. Эксплуатация CVE-2025-64328 иллюстрирует опасности, связанные с непатченными системами FreePBX, подчеркивая их статус ценных целей для постоянных злоумышленников. Хотя методы, используемые в этой атаке, не новы, их выполнение отражает текущую и адаптируемую картину угроз, соответствующую историческим кампаниям INJ3CTOR3.
Атака согласуется с концепцией MITRE ATT&CK, демонстрируя различные тактики и приемы, используемые на протяжении всей кампании EncystPHP. Первоначальный доступ достигается за счет использования общедоступного приложения, что приводит к выполнению команд с помощью введенных полезных нагрузок Bash. Для закрепления злоумышленники устанавливают несколько записей crontab, которые облегчают повторное выполнение дропперов, включая развертывание EncystPHP, замаскированного под стандартные PHP-файлы FreePBX, такие как ajax.php и config.php .
Злоумышленники еще больше повышают привилегии, злоупотребляя административным контекстом FreePBX, что позволяет им выполнять команды с повышенными правами. Они создают Локальную учетную запись с доступом на уровне root, что означает всестороннее проникновение в систему. Получение учетных данных осуществляется путем извлечения учетных данных базы данных из определенных файлов, таких как /etc/freepbx.conf, дополненных различными методами обхода защиты.
Механизмы защиты блокируются путем удаления журналов и артефактов, связанных с установками crontab, изменения разрешений на доступ к файлам для ограничения доступа и использования методов Маскировки, которые скрывают вредоносный Веб-шелл в пределах допустимых путей к файлам. Злоумышленники также стремятся отключить конкурирующие Веб-шеллы и подавить сообщения об ошибках, чтобы обеспечить закрепление и свести к минимуму обнаружение.
Перемещение внутри компании происходит через SSH, где злоумышленники вводят свои собственные открытые ключи для поддержания доступа и предоставления доступа к службам SSH на порту 22. Операции командования и контроля включают загрузку дополнительных вредоносных полезных данных из инфраструктуры, контролируемой злоумышленником, с использованием протокола HTTP, что эффективно создает канал для текущего выполнения команд. Кроме того, инцидент демонстрирует Несанкционированное использование ресурсов посредством несанкционированного использования ресурсов УАТС для незаконных телефонных операций, усиливая воздействие этой сложной угрозы. Тактика, применяемая акторами, стоящими за EncystPHP, подчеркивает острую необходимость своевременных исправлений безопасности и усиленного мониторинга сред FreePBX.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
EncystPHP является веб-шелл целеуказания FreePBX, эксплуатируя уязвимость CVE-2025-64328 после проверки подлинности команда уязвимости инъекций в административный интерфейс управляющего компьютера. Нападение включает в себя первоначальный доступ через общедоступный применение, исполнение команды с грузоподъемностью Баш, и повышение привилегий путем создания локальной учетной записи root; он использует с помощью crontab и маскировка методов для поддержания закрепление и уклониться от обнаружения. Перемещение внутри компании ведется через SSH, в то время как злоумышленники эксплуатируют ресурсы АТС для несанкционированных операций Телефония, подчеркивая опасности устаревших системах.
-----
EncystPHP - это сложный Веб-шелл, который обеспечивает долгосрочную административную компрометацию систем FreePBX, используя уязвимую точку, идентифицированную как CVE-2025-64328. Эта уязвимость связана с ошибкой ввода команд после аутентификации, присутствующей в административном интерфейсе FreePBX Endpoint Manager, которая позволяет злоумышленникам выполнять команды в системе после получения доступа.
Вредоносное ПО внедряется через файл с именем "c", который служит точкой входа для дальнейшего анализа. Эксплуатация CVE-2025-64328 иллюстрирует опасности, связанные с непатченными системами FreePBX, подчеркивая их статус ценных целей для постоянных злоумышленников. Хотя методы, используемые в этой атаке, не новы, их выполнение отражает текущую и адаптируемую картину угроз, соответствующую историческим кампаниям INJ3CTOR3.
Атака согласуется с концепцией MITRE ATT&CK, демонстрируя различные тактики и приемы, используемые на протяжении всей кампании EncystPHP. Первоначальный доступ достигается за счет использования общедоступного приложения, что приводит к выполнению команд с помощью введенных полезных нагрузок Bash. Для закрепления злоумышленники устанавливают несколько записей crontab, которые облегчают повторное выполнение дропперов, включая развертывание EncystPHP, замаскированного под стандартные PHP-файлы FreePBX, такие как ajax.php и config.php .
Злоумышленники еще больше повышают привилегии, злоупотребляя административным контекстом FreePBX, что позволяет им выполнять команды с повышенными правами. Они создают Локальную учетную запись с доступом на уровне root, что означает всестороннее проникновение в систему. Получение учетных данных осуществляется путем извлечения учетных данных базы данных из определенных файлов, таких как /etc/freepbx.conf, дополненных различными методами обхода защиты.
Механизмы защиты блокируются путем удаления журналов и артефактов, связанных с установками crontab, изменения разрешений на доступ к файлам для ограничения доступа и использования методов Маскировки, которые скрывают вредоносный Веб-шелл в пределах допустимых путей к файлам. Злоумышленники также стремятся отключить конкурирующие Веб-шеллы и подавить сообщения об ошибках, чтобы обеспечить закрепление и свести к минимуму обнаружение.
Перемещение внутри компании происходит через SSH, где злоумышленники вводят свои собственные открытые ключи для поддержания доступа и предоставления доступа к службам SSH на порту 22. Операции командования и контроля включают загрузку дополнительных вредоносных полезных данных из инфраструктуры, контролируемой злоумышленником, с использованием протокола HTTP, что эффективно создает канал для текущего выполнения команд. Кроме того, инцидент демонстрирует Несанкционированное использование ресурсов посредством несанкционированного использования ресурсов УАТС для незаконных телефонных операций, усиливая воздействие этой сложной угрозы. Тактика, применяемая акторами, стоящими за EncystPHP, подчеркивает острую необходимость своевременных исправлений безопасности и усиленного мониторинга сред FreePBX.
#ParsedReport #CompletenessLow
28-01-2026
The PyRAT Code: Python Based RAT and its Internals
https://labs.k7computing.com/index.php/the-pyrat-code-python-based-rat-and-its-internals/
Report completeness: Low
Threats:
Pyrat
Victims:
General users
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 2
Hash: 1
Soft:
Linux, Debian, Windows Registry, Twitter
Algorithms:
deflate, zip
Functions:
Upload, download, exec
Languages:
python
Platforms:
cross-platform
Links:
have more...
28-01-2026
The PyRAT Code: Python Based RAT and its Internals
https://labs.k7computing.com/index.php/the-pyrat-code-python-based-rat-and-its-internals/
Report completeness: Low
Threats:
Pyrat
Victims:
General users
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 2
Hash: 1
Soft:
Linux, Debian, Windows Registry, Twitter
Algorithms:
deflate, zip
Functions:
Upload, download, exec
Languages:
python
Platforms:
cross-platform
Links:
https://github.com/extremecoders-re/pyinstxtractorhave more...
K7 Labs
The PyRAT Code: Python Based RAT and its Internals
In today’s digital world, cyberattacks are becoming increasingly common and more advanced. This blog offers an in-depth analysis of a […]
CTT Report Hub
#ParsedReport #CompletenessLow 28-01-2026 The PyRAT Code: Python Based RAT and its Internals https://labs.k7computing.com/index.php/the-pyrat-code-python-based-rat-and-its-internals/ Report completeness: Low Threats: Pyrat Victims: General users TTPs:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
PyRAT - это троян удаленного доступа на базе Python (RAT), который обладает передовыми методами обхода и кроссплатформенной функциональностью. Он устанавливает связь со своим сервером командования и контроля, используя незашифрованные HTTP POST-запросы, отслеживая жертв с помощью уникального идентификатора, полученного из имени пользователя и MAC-адреса, при выполнении команд и захвате скриншотов. Вредоносное ПО использует различные методы закрепления в Linux и Windows и включает адаптивный маяк, регулирующий частоту связи в зависимости от активности пользователя, а также механизм самоуничтожения для устранения своих следов.
-----
Проанализированное вредоносное ПО, известное как PyRAT, представляет собой троян удаленного доступа на основе Python (RAT), отличающийся расширенными возможностями уклонения от обнаружения и кроссплатформенной функциональностью. Он функционирует как двоичный файл ELF и использует множество библиотек Python для расширения своих операционных возможностей, включая сетевую связь, выполнение команд и обработку данных. Структура вредоносного ПО основана на классе "Агент", который выполняет системную дактилоскопию при запуске, фиксируя важные системные данные. Примечательно, что он генерирует постоянный идентификатор для жертв, объединяя имя пользователя и MAC-адрес, позволяя отслеживать в течение нескольких сеансов, хотя он сбрасывается при изменении Аппаратного обеспечения.
Связь с сервером командования и контроля (C2) устанавливается посредством незашифрованных HTTP POST-запросов, отправляющих системные данные в формате открытого текста JSON. Такая конструкция значительно повышает уязвимость к перехвату. Кроме того, вредоносное ПО поддерживает стабильность работы за счет многопоточности, позволяя выполнять команды одновременно и усложняя динамический анализ.
Для закрепления PyRAT использует различные стратегии в системах Linux и Windows. В Linux он создает вводящий в заблуждение загрузочный файл, напоминающий законные пакеты Debian, чтобы гарантировать, что он запускается при входе пользователя в систему, не привлекая внимания. В отличие от этого, для Windows он добавляет запись реестра к ключу запуска текущего пользователя, облегчая выполнение при запуске, не требуя административных разрешений.
Функциональность вредоносного ПО распространяется на выполнение системных команд и файловых операций. Он захватывает и загружает скриншоты удаленно, используя модуль ImageGrab из библиотеки PIL. Кроме того, вредоносное ПО может создавать ZIP-архивы для массовой эксфильтрации файлов, сохраняя структуру каталогов во время работы в фоновом режиме, чтобы избежать обнаружения.
Адаптивный маячок - еще одна примечательная функция, при которой частота связи вредоносного ПО регулируется в зависимости от активности пользователя. Это увеличивает время между сигналами в режиме ожидания, чтобы минимизировать нагрузку на сеть, и быстро опрашивает C2 во время активных сеансов, обеспечивая быстрое выполнение команд. Наконец, вредоносное ПО включает в себя механизм самоуничтожения, который полностью деинсталлирует его компоненты и удаляет любые следы из зараженной системы, подчеркивая сложность и скрытность его операционной системы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
PyRAT - это троян удаленного доступа на базе Python (RAT), который обладает передовыми методами обхода и кроссплатформенной функциональностью. Он устанавливает связь со своим сервером командования и контроля, используя незашифрованные HTTP POST-запросы, отслеживая жертв с помощью уникального идентификатора, полученного из имени пользователя и MAC-адреса, при выполнении команд и захвате скриншотов. Вредоносное ПО использует различные методы закрепления в Linux и Windows и включает адаптивный маяк, регулирующий частоту связи в зависимости от активности пользователя, а также механизм самоуничтожения для устранения своих следов.
-----
Проанализированное вредоносное ПО, известное как PyRAT, представляет собой троян удаленного доступа на основе Python (RAT), отличающийся расширенными возможностями уклонения от обнаружения и кроссплатформенной функциональностью. Он функционирует как двоичный файл ELF и использует множество библиотек Python для расширения своих операционных возможностей, включая сетевую связь, выполнение команд и обработку данных. Структура вредоносного ПО основана на классе "Агент", который выполняет системную дактилоскопию при запуске, фиксируя важные системные данные. Примечательно, что он генерирует постоянный идентификатор для жертв, объединяя имя пользователя и MAC-адрес, позволяя отслеживать в течение нескольких сеансов, хотя он сбрасывается при изменении Аппаратного обеспечения.
Связь с сервером командования и контроля (C2) устанавливается посредством незашифрованных HTTP POST-запросов, отправляющих системные данные в формате открытого текста JSON. Такая конструкция значительно повышает уязвимость к перехвату. Кроме того, вредоносное ПО поддерживает стабильность работы за счет многопоточности, позволяя выполнять команды одновременно и усложняя динамический анализ.
Для закрепления PyRAT использует различные стратегии в системах Linux и Windows. В Linux он создает вводящий в заблуждение загрузочный файл, напоминающий законные пакеты Debian, чтобы гарантировать, что он запускается при входе пользователя в систему, не привлекая внимания. В отличие от этого, для Windows он добавляет запись реестра к ключу запуска текущего пользователя, облегчая выполнение при запуске, не требуя административных разрешений.
Функциональность вредоносного ПО распространяется на выполнение системных команд и файловых операций. Он захватывает и загружает скриншоты удаленно, используя модуль ImageGrab из библиотеки PIL. Кроме того, вредоносное ПО может создавать ZIP-архивы для массовой эксфильтрации файлов, сохраняя структуру каталогов во время работы в фоновом режиме, чтобы избежать обнаружения.
Адаптивный маячок - еще одна примечательная функция, при которой частота связи вредоносного ПО регулируется в зависимости от активности пользователя. Это увеличивает время между сигналами в режиме ожидания, чтобы минимизировать нагрузку на сеть, и быстро опрашивает C2 во время активных сеансов, обеспечивая быстрое выполнение команд. Наконец, вредоносное ПО включает в себя механизм самоуничтожения, который полностью деинсталлирует его компоненты и удаляет любые следы из зараженной системы, подчеркивая сложность и скрытность его операционной системы.
#ParsedReport #CompletenessMedium
28-01-2026
Prince of Persia - APT-C-07 Analysis
https://www.ctfiot.com/293188.html
Report completeness: Medium
Actors/Campaigns:
Ferocious_kitten (motivation: cyber_espionage, sabotage, financially_motivated)
Operation_mermaid
Threats:
Foudre
Tonnerre
Maxpinner
Spear-phishing_technique
Victims:
Media outlets, News websites, Bbc persian, Hezbollah affiliated news websites, Persian language media
Geo:
Iranian, French, Israeli
TTPs:
Tactics: 7
Technics: 23
IOCs:
File: 9
Registry: 2
Command: 1
Coin: 1
Path: 1
Soft:
Telegram, Gmail, Microsoft PowerPoint, Windows Shell, Windows Service, Microsoft Edge, Internet Explorer, Google Chrome, Opera, Firefox, WeChat, have more...
Algorithms:
zip, crc-32
Win API:
GetFileAttributesA, GetMessageA, TranslateMessage, DispatchMessageA, CreateIoCompletionPort
Languages:
visual_basic
28-01-2026
Prince of Persia - APT-C-07 Analysis
https://www.ctfiot.com/293188.html
Report completeness: Medium
Actors/Campaigns:
Ferocious_kitten (motivation: cyber_espionage, sabotage, financially_motivated)
Operation_mermaid
Threats:
Foudre
Tonnerre
Maxpinner
Spear-phishing_technique
Victims:
Media outlets, News websites, Bbc persian, Hezbollah affiliated news websites, Persian language media
Geo:
Iranian, French, Israeli
TTPs:
Tactics: 7
Technics: 23
IOCs:
File: 9
Registry: 2
Command: 1
Coin: 1
Path: 1
Soft:
Telegram, Gmail, Microsoft PowerPoint, Windows Shell, Windows Service, Microsoft Edge, Internet Explorer, Google Chrome, Opera, Firefox, WeChat, have more...
Algorithms:
zip, crc-32
Win API:
GetFileAttributesA, GetMessageA, TranslateMessage, DispatchMessageA, CreateIoCompletionPort
Languages:
visual_basic
CTF导航
波斯王子 – APT-C-07 分析 | CTF导航
自 2007 年以来,“波斯王子”组织一直持续进行网络间谍活动,其主要目标是监视与真主党有关联的新闻网站以及波斯语媒体,包括 BBC 波斯语频道,尤其是在 2013 年伊朗总统选举期间。尽管 2016 年 Palo Alto Network...
CTT Report Hub
#ParsedReport #CompletenessMedium 28-01-2026 Prince of Persia - APT-C-07 Analysis https://www.ctfiot.com/293188.html Report completeness: Medium Actors/Campaigns: Ferocious_kitten (motivation: cyber_espionage, sabotage, financially_motivated) Operation_mermaid…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-C-07, также известная как Prince of Persia, является группой кибершпионажа, действующей с 2007 года, сосредоточив внимание на сайтах, связанных с "Хезболлой", и персидских СМИ, особенно вокруг ключевых политических событий. После значительного сбоя в 2016 году они вновь появились с новым пакетом вредоносного ПО, включающим Foudre и продвинутые имплантаты, такие как Tonnerre и MaxPinner, специально разработанные для управления на основе Telegram. Адаптивные возможности группы по борьбе с вредоносным ПО и оперативная тактика демонстрируют глубокое понимание их целей и технологий, сохраняя их присутствие в киберпространстве.
-----
Prince of Persia, идентифицированный как APT-C-07, представляет собой группу кибершпионажа, которая действует с 2007 года, в основном занимаясь мониторингом веб-сайтов, связанных с "Хезболлой", и СМИ на персидском языке, особенно во время важных политических событий, таких как президентские выборы в Иране в 2013 году. В 2016 году их деятельность была значительно нарушена, когда подразделение 42 Palo Alto Networks раскрыло их операции и демонтировало инфраструктуру вредоносного ПО Infy. Несмотря на эту неудачу, APT-C-07 продемонстрировал устойчивость и вновь появился с новым набором инструментов, в первую очередь с семейством вредоносных ПО Foudre.
С тех пор группа расширила возможности своего вредоносного ПО, внедрив дорогостоящие имплантаты, такие как Tonnerre и MaxPinner, специально разработанные для Telegram. Это указывает на стратегический поворот в их оперативной тактике, использование широко используемой коммуникационной платформы для их механизмов командования и контроля. Последняя итерация их арсенала вредоносного ПО включает обновление Tonnerre версии 2025, которое дополнительно интегрирует Telegram для целей C2, подчеркивая способность группы адаптироваться к вызовам безопасности и продолжать выполнять свои задачи. Такая эволюция их инструментария и тактики работы с вредоносным ПО указывает на глубокое понимание как их целей, так и технологий, которые они используют, что позволяет им поддерживать активное присутствие в киберпространстве.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-C-07, также известная как Prince of Persia, является группой кибершпионажа, действующей с 2007 года, сосредоточив внимание на сайтах, связанных с "Хезболлой", и персидских СМИ, особенно вокруг ключевых политических событий. После значительного сбоя в 2016 году они вновь появились с новым пакетом вредоносного ПО, включающим Foudre и продвинутые имплантаты, такие как Tonnerre и MaxPinner, специально разработанные для управления на основе Telegram. Адаптивные возможности группы по борьбе с вредоносным ПО и оперативная тактика демонстрируют глубокое понимание их целей и технологий, сохраняя их присутствие в киберпространстве.
-----
Prince of Persia, идентифицированный как APT-C-07, представляет собой группу кибершпионажа, которая действует с 2007 года, в основном занимаясь мониторингом веб-сайтов, связанных с "Хезболлой", и СМИ на персидском языке, особенно во время важных политических событий, таких как президентские выборы в Иране в 2013 году. В 2016 году их деятельность была значительно нарушена, когда подразделение 42 Palo Alto Networks раскрыло их операции и демонтировало инфраструктуру вредоносного ПО Infy. Несмотря на эту неудачу, APT-C-07 продемонстрировал устойчивость и вновь появился с новым набором инструментов, в первую очередь с семейством вредоносных ПО Foudre.
С тех пор группа расширила возможности своего вредоносного ПО, внедрив дорогостоящие имплантаты, такие как Tonnerre и MaxPinner, специально разработанные для Telegram. Это указывает на стратегический поворот в их оперативной тактике, использование широко используемой коммуникационной платформы для их механизмов командования и контроля. Последняя итерация их арсенала вредоносного ПО включает обновление Tonnerre версии 2025, которое дополнительно интегрирует Telegram для целей C2, подчеркивая способность группы адаптироваться к вызовам безопасности и продолжать выполнять свои задачи. Такая эволюция их инструментария и тактики работы с вредоносным ПО указывает на глубокое понимание как их целей, так и технологий, которые они используют, что позволяет им поддерживать активное присутствие в киберпространстве.
Konni’s New Arsenal: Unmasking GSRAT
in North Korea-linked APT Operation
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_9_takuma_matsumoto-yoshihiro_ishikawa_en.pdf
in North Korea-linked APT Operation
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_9_takuma_matsumoto-yoshihiro_ishikawa_en.pdf
#ParsedReport #CompletenessMedium
29-01-2026
A LinkedIn Job Offer Tried to Install Malware on My Machine
https://codecrank.ai/blog/linkedin-malware-warning/
Report completeness: Medium
Threats:
Supply_chain_technique
Victims:
Software developers, Technology sector, Job seekers
Geo:
London
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1005, T1041, T1059, T1059.007, T1071.001, T1105, T1195, T1204.002, T1546.008, T1566.002, have more...
IOCs:
File: 5
IP: 1
Hash: 1
Soft:
Node.js, SendGrid, OpenAI, Gmail
Algorithms:
base64, md5
Functions:
Get-Clipboard, eval, Function
Languages:
powershell
29-01-2026
A LinkedIn Job Offer Tried to Install Malware on My Machine
https://codecrank.ai/blog/linkedin-malware-warning/
Report completeness: Medium
Threats:
Supply_chain_technique
Victims:
Software developers, Technology sector, Job seekers
Geo:
London
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1041, T1059, T1059.007, T1071.001, T1105, T1195, T1204.002, T1546.008, T1566.002, have more...
IOCs:
File: 5
IP: 1
Hash: 1
Soft:
Node.js, SendGrid, OpenAI, Gmail
Algorithms:
base64, md5
Functions:
Get-Clipboard, eval, Function
Languages:
powershell
CodeCrank.ai
A LinkedIn Job Offer Tried to Install Malware on My Machine
A trojanized Node.js repository disguised as a $600K freelance opportunity. Full breakdown of the attack and how to protect yourself.
CTT Report Hub
#ParsedReport #CompletenessMedium 29-01-2026 A LinkedIn Job Offer Tried to Install Malware on My Machine https://codecrank.ai/blog/linkedin-malware-warning/ Report completeness: Medium Threats: Supply_chain_technique Victims: Software developers, Technology…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавняя атака на supply-chain была связана с мошенническим предложением работы в LinkedIn с использованием троянской программы Node.js приложение для доставки вредоносного ПО с помощью постинсталляционного скрипта. Когда жертвы запускали команду установки npm, скрипт запускал вредоносное ПО, позволяя красть учетные данные и устанавливать связи управления, используя перехваты жизненного цикла npm. Это вредоносное ПО нацелено на конфиденциальные файлы, такие как .env и .json, в конечном счете выводя данные на указанный IP-адрес, тем самым демонстрируя риски выполнения ненадежного кода.
-----
Недавний инцидент, связанный с мошенническим предложением работы в LinkedIn, продемонстрировал нацеленную атаку на supply-chain с использованием троянской программы Node.js применение. Злоумышленник создал убедительный профиль в LinkedIn, представившись менеджером филиала с многочисленными связями, но без активности, что вызвало первоначальные подозрения. Этот подход был частью более масштабной схемы заражения компьютеров потенциальных жертв вредоносным ПО.
Ключевым компонентом этой атаки был постинсталляционный скрипт, встроенный в Node.js применение. Когда жертвы выполняли команду установки npm, скрипт запускал автоматическое выполнение вредоносного ПО наряду с законными зависимостями приложения. Это вредоносное ПО использовало перехватчики жизненного цикла npm, чтобы инициировать многоэтапную операцию по краже учетных данных и установить связь по каналу управления (C2). Законный сервис был неправильно использован для размещения вредоносной полезной нагрузки, что позволило злоумышленнику обойти основные меры безопасности, сделав вредоносный трафик обычным.
Вредоносное ПО было запрограммировано на сканирование системы на наличие конфиденциальных файлов, включая такие форматы, как .env, .json и различные типы документов, и впоследствии могло загружать эти файлы на указанный IP-адрес. Инфраструктура угроз включала в себя теперь удаленный репозиторий GitLab и сервер C2, размещенный в Cloudzy, что облегчало процесс эксфильтрации данных.
Чтобы противодействовать таким угрозам, разработчикам и потенциальным жертвам важно провести тщательную проверку перед выполнением ненадежного кода. Меры предосторожности включают тщательную проверку package.json на наличие сценариев автоматического выполнения, поиск подозрительных конструкций JavaScript, таких как eval() или Function.constructor, расшифровку любых строк Base64 и оценку возраста хранилища и уровня активности. Также рекомендуется использовать инструменты искусственного интеллекта, которые могут специфически обнаруживать вредоносный код.
Кроме того, существуют более широкие "красные флажки", связанные с предложениями о работе, которые должны насторожить потенциальных кандидатов, такие как профили с многочисленными связями, но без активности, контракты, требующие предварительного выполнения кода, и срочность в сочетании с завышенными бюджетами на технические проекты. Экономика, стоящая за этими мошенничествами, часто связана с выводом несанкционированных платежей, добычей криптовалют и использованием учетных данных для дальнейших атак.
Инцидент подчеркивает важность бдительности и упреждающих мер в защите от развивающихся киберугроз. После распознавания вредоносного поведения были предприняты соответствующие действия, чтобы сообщить о проблеме, что привело к удалению опасного хранилища, подчеркивая постоянную потребность в осведомленности и технических мерах предосторожности в сфере кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавняя атака на supply-chain была связана с мошенническим предложением работы в LinkedIn с использованием троянской программы Node.js приложение для доставки вредоносного ПО с помощью постинсталляционного скрипта. Когда жертвы запускали команду установки npm, скрипт запускал вредоносное ПО, позволяя красть учетные данные и устанавливать связи управления, используя перехваты жизненного цикла npm. Это вредоносное ПО нацелено на конфиденциальные файлы, такие как .env и .json, в конечном счете выводя данные на указанный IP-адрес, тем самым демонстрируя риски выполнения ненадежного кода.
-----
Недавний инцидент, связанный с мошенническим предложением работы в LinkedIn, продемонстрировал нацеленную атаку на supply-chain с использованием троянской программы Node.js применение. Злоумышленник создал убедительный профиль в LinkedIn, представившись менеджером филиала с многочисленными связями, но без активности, что вызвало первоначальные подозрения. Этот подход был частью более масштабной схемы заражения компьютеров потенциальных жертв вредоносным ПО.
Ключевым компонентом этой атаки был постинсталляционный скрипт, встроенный в Node.js применение. Когда жертвы выполняли команду установки npm, скрипт запускал автоматическое выполнение вредоносного ПО наряду с законными зависимостями приложения. Это вредоносное ПО использовало перехватчики жизненного цикла npm, чтобы инициировать многоэтапную операцию по краже учетных данных и установить связь по каналу управления (C2). Законный сервис был неправильно использован для размещения вредоносной полезной нагрузки, что позволило злоумышленнику обойти основные меры безопасности, сделав вредоносный трафик обычным.
Вредоносное ПО было запрограммировано на сканирование системы на наличие конфиденциальных файлов, включая такие форматы, как .env, .json и различные типы документов, и впоследствии могло загружать эти файлы на указанный IP-адрес. Инфраструктура угроз включала в себя теперь удаленный репозиторий GitLab и сервер C2, размещенный в Cloudzy, что облегчало процесс эксфильтрации данных.
Чтобы противодействовать таким угрозам, разработчикам и потенциальным жертвам важно провести тщательную проверку перед выполнением ненадежного кода. Меры предосторожности включают тщательную проверку package.json на наличие сценариев автоматического выполнения, поиск подозрительных конструкций JavaScript, таких как eval() или Function.constructor, расшифровку любых строк Base64 и оценку возраста хранилища и уровня активности. Также рекомендуется использовать инструменты искусственного интеллекта, которые могут специфически обнаруживать вредоносный код.
Кроме того, существуют более широкие "красные флажки", связанные с предложениями о работе, которые должны насторожить потенциальных кандидатов, такие как профили с многочисленными связями, но без активности, контракты, требующие предварительного выполнения кода, и срочность в сочетании с завышенными бюджетами на технические проекты. Экономика, стоящая за этими мошенничествами, часто связана с выводом несанкционированных платежей, добычей криптовалют и использованием учетных данных для дальнейших атак.
Инцидент подчеркивает важность бдительности и упреждающих мер в защите от развивающихся киберугроз. После распознавания вредоносного поведения были предприняты соответствующие действия, чтобы сообщить о проблеме, что привело к удалению опасного хранилища, подчеркивая постоянную потребность в осведомленности и технических мерах предосторожности в сфере кибербезопасности.
#ParsedReport #CompletenessMedium
29-01-2026
Android Trojan Campaign Uses Hugging Face Hosting for RAT Payload Delivery
https://www.bitdefender.com/en-us/blog/labs/android-trojan-campaign-hugging-face-hosting-rat-payload
Report completeness: Medium
Threats:
Polymorphism_technique
Trustbastion
IOCs:
Domain: 3
File: 4
Url: 3
IP: 4
Hash: 6
Soft:
Android, Hugging Face, Google Play, Linux, WeChat
Algorithms:
gzip
29-01-2026
Android Trojan Campaign Uses Hugging Face Hosting for RAT Payload Delivery
https://www.bitdefender.com/en-us/blog/labs/android-trojan-campaign-hugging-face-hosting-rat-payload
Report completeness: Medium
Threats:
Polymorphism_technique
Trustbastion
IOCs:
Domain: 3
File: 4
Url: 3
IP: 4
Hash: 6
Soft:
Android, Hugging Face, Google Play, Linux, WeChat
Algorithms:
gzip
Bitdefender Labs
Android Trojan Campaign Uses Hugging Face Hosting for RAT Payload Delivery
Bitdefender researchers discovered an Android RAT campaign that combines social engineering, the resources of Hugging Face and permission abuse
CTT Report Hub
#ParsedReport #CompletenessMedium 29-01-2026 Android Trojan Campaign Uses Hugging Face Hosting for RAT Payload Delivery https://www.bitdefender.com/en-us/blog/labs/android-trojan-campaign-hugging-face-hosting-rat-payload Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Исследователи Bitdefender раскрыли вредоносную кампанию Android, использующую троянца удаленного доступа TrustBastion (RAT), который использует социальную инженерию, чтобы ввести пользователей в заблуждение и заставить их установить поддельное приложение безопасности. Этой ратификации способствует маршрутизация полезных данных через законную платформу Hugging Face, снижающую риски обнаружения. TrustBastion запрашивает обширные разрешения для устройств под видом "безопасности телефона", что позволяет ему выступать в качестве инструмента наблюдения, который отслеживает действия и передает данные на свой сервер управления по IP-адресу 154.198.48.57.
-----
Исследователи Bitdefender выявили вредоносную кампанию для Android, которая использует троян удаленного доступа (RAT), известный как TrustBastion, используя социальную инженерию и инфраструктуру Hugging Face для доставки полезной нагрузки. Первоначальное заражение происходит, когда пользователей вводят в заблуждение, заставляя загружать приложение TrustBastion, часто с помощью обманчивой рекламы, утверждающей, что их устройства заражены, и предлагающей установить поддельную платформу безопасности с привлекательными функциями.
Использование Hugging Face, легальной онлайн-платформы, позволяет злоумышленникам уклоняться от обнаружения, направляя поиск полезной нагрузки через доверенный домен. Это снижает вероятность того, что их активность будет помечена как вредоносная, поскольку трафик с доменов с низкой репутацией обычно вызывает тревогу. Исследование показало, что злоумышленники поддерживали высокие темпы генерации полезной нагрузки, при этом новые варианты создавались примерно каждые 15 минут в репозитории, в котором за период около 29 дней накопилось более 6000 коммитов.
После установки TrustBastion RAT запрашивает разрешения у критически важных устройств, Маскировка под функцию "Безопасности телефона" и указание пользователям включить службы специальных возможностей - распространенная тактика в мобильном вредоносном ПО для получения непроверенного доступа. С такими повышенными разрешениями RAT становится мощным инструментом наблюдения, способным отслеживать действия пользователей, захватывать содержимое экрана и передавать эти данные обратно на свой сервер управления (C2).
Связь с инфраструктурой C2, выявленная в ходе исследования, включала постоянное поддерживаемое соединение с IP-адресом (154.198.48.57) и доменом, связанным с trustbastion.com , работающий через порт 5000. Кроме того, вскоре после развертывания TrustBastion появилось другое приложение под названием Premium Club, использующее тот же базовый код, что и первоначальный Trojan. Эта стратегия подчеркивает стремление продлить оперативную скрытность и оставаться незамеченными в течение длительного периода времени путем создания, казалось бы, различных приложений, которые имеют схожие вредоносные функции.
Результаты этой кампании высвечивают эволюционирующую тактику, применяемую злоумышленниками, особенно при использовании надежных платформ в неблаговидных целях, что еще больше подчеркивает необходимость бдительности и надежных мер безопасности в мобильных средах.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Исследователи Bitdefender раскрыли вредоносную кампанию Android, использующую троянца удаленного доступа TrustBastion (RAT), который использует социальную инженерию, чтобы ввести пользователей в заблуждение и заставить их установить поддельное приложение безопасности. Этой ратификации способствует маршрутизация полезных данных через законную платформу Hugging Face, снижающую риски обнаружения. TrustBastion запрашивает обширные разрешения для устройств под видом "безопасности телефона", что позволяет ему выступать в качестве инструмента наблюдения, который отслеживает действия и передает данные на свой сервер управления по IP-адресу 154.198.48.57.
-----
Исследователи Bitdefender выявили вредоносную кампанию для Android, которая использует троян удаленного доступа (RAT), известный как TrustBastion, используя социальную инженерию и инфраструктуру Hugging Face для доставки полезной нагрузки. Первоначальное заражение происходит, когда пользователей вводят в заблуждение, заставляя загружать приложение TrustBastion, часто с помощью обманчивой рекламы, утверждающей, что их устройства заражены, и предлагающей установить поддельную платформу безопасности с привлекательными функциями.
Использование Hugging Face, легальной онлайн-платформы, позволяет злоумышленникам уклоняться от обнаружения, направляя поиск полезной нагрузки через доверенный домен. Это снижает вероятность того, что их активность будет помечена как вредоносная, поскольку трафик с доменов с низкой репутацией обычно вызывает тревогу. Исследование показало, что злоумышленники поддерживали высокие темпы генерации полезной нагрузки, при этом новые варианты создавались примерно каждые 15 минут в репозитории, в котором за период около 29 дней накопилось более 6000 коммитов.
После установки TrustBastion RAT запрашивает разрешения у критически важных устройств, Маскировка под функцию "Безопасности телефона" и указание пользователям включить службы специальных возможностей - распространенная тактика в мобильном вредоносном ПО для получения непроверенного доступа. С такими повышенными разрешениями RAT становится мощным инструментом наблюдения, способным отслеживать действия пользователей, захватывать содержимое экрана и передавать эти данные обратно на свой сервер управления (C2).
Связь с инфраструктурой C2, выявленная в ходе исследования, включала постоянное поддерживаемое соединение с IP-адресом (154.198.48.57) и доменом, связанным с trustbastion.com , работающий через порт 5000. Кроме того, вскоре после развертывания TrustBastion появилось другое приложение под названием Premium Club, использующее тот же базовый код, что и первоначальный Trojan. Эта стратегия подчеркивает стремление продлить оперативную скрытность и оставаться незамеченными в течение длительного периода времени путем создания, казалось бы, различных приложений, которые имеют схожие вредоносные функции.
Результаты этой кампании высвечивают эволюционирующую тактику, применяемую злоумышленниками, особенно при использовании надежных платформ в неблаговидных целях, что еще больше подчеркивает необходимость бдительности и надежных мер безопасности в мобильных средах.