#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DieNet, формирующаяся преступная хакерская группировка, созданная в марте 2025 года, осуществила более 60 DDoS-атак, в основном нацеленных на критически важную инфраструктуру и правительственные службы в США и Израиле. Используя такие методы, как TCP RST floods, DNS amplification и TCP SYN floods, DieNet работает по децентрализованной франчайзинговой модели, обеспечивая эффективные атаки, несмотря на запреты платформы. Сосредоточив внимание на DDoS-атаках, группа также выразила намерения участвовать в более широких кибероперациях, что указывает на потенциальную эскалацию их деятельности.
-----

DieNet стал значительным игроком в киберпространстве, особенно в контексте обострения напряженности между Ираном и Израилем. Основанная в марте 2025 года, группа быстро приобрела дурную славу, осуществив более 60 DDoS-атак в течение первых месяцев своей деятельности. К началу 2026 года она заявила о ошеломляющих 59 атаках всего за два дня, значительно опередив другие проиранские группировки и продемонстрировав эффективную коммерциализацию DDoS-атак как услуги, что позволяет идеологически ориентированным акторам с относительной легкостью запускать крупномасштабные киберкампании.

Основным методом, используемым DieNet, является Сетевой отказ в обслуживании (T1498), хотя он выдвигал многочисленные непроверенные заявления относительно дефейсов, вторжений и Манипуляций с данными. Организационная структура DieNet напоминает франшизу, состоящую из внутреннего круга, который управляет стратегическим направлением, и более широкой сети операторов, которые осуществляют атаки под флагом DieNet. Эта децентрализованная модель позволяет ему оставаться устойчивым к мерам модерации платформы, о чем свидетельствуют его усилия по ребрендингу после запрета в Телеграм.

Основной таргетинг DieNet's сосредоточен на критически важной инфраструктуре и государственных службах, особенно в США и Израиле. Его заметная ранняя кампания в марте 2025 года включала 61 атаку в различных секторах, включая транспорт, энергетику, финансы и здравоохранение. С тех пор группировка предприняла атаки, специально оформленные как возмездие за предполагаемые военные действия, связанные с военными действиями США, нацеленные на инфраструктуру в Персидском заливе и на более широком Ближнем Востоке во время эскалации конфликтов в начале 2026 года.

Возможности группы по DDoS-атакам характеризуются эффективным использованием арендованных ресурсов, включая TCP RST flood, DNS amplification и TCP SYN floods, что позволяет ей эффективно обходить средства защиты. Несмотря на то, что DieNet в первую очередь занимается DDoS-атаками, она заявила о причастности к программам-вымогателям и имеет амбиции в отношении более широких киберопераций, что свидетельствует о высоком уровне вовлеченности и потенциальной эскалации ее деятельности.

DieNet работает в рамках более крупной сети согласованных групп хактивистов, используя общие ресурсы и координируя атаки через такие каналы, как Телеграм. Формирование единого центра электронных операций, в который входят различные проиранские группировки, повысило оперативную значимость DieNet, позволив ему функционировать в качестве ключевого механизма DDoS-атак в периоды военных конфликтов.

#ParsedReport #CompletenessLow
20-03-2026

ClayRat: What was that?

https://rt-solar.ru/solar-4rays/blog/6472/

Report completeness: Low

Threats:
Clayrat
Gorilla
Dcrat

Victims:
Android users, Financial services, Microfinance, E commerce, Telecommunications

Industry:
E-commerce, Financial

ChatGPT TTPs:
do not use without manual check
T1406, T1412, T1476, T1587.001

IOCs:
File: 9
Url: 4
Domain: 31
Hash: 2

Soft:
Telegram, VKontakte, Android, apktool

Algorithms:
sha1, sha256, md5

Links:
https://github.com/messede-degod/Gembe
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ClayRat - это вредоносное ПО для Android, классифицируемое как Троянская программа удаленного доступа (RAT) и шпионское ПО, способное перехватывать SMS-сообщения, отслеживать журналы вызовов и удаленно управлять зараженными устройствами. Вредоносное ПО распространяется через сайты фишинга или путем Маскировки под законные приложения, в то время как его серверная часть демонстрирует значительные недостатки безопасности, такие как хранение паролей в виде открытого текста. В нем есть функции ведения журнала вызовов для предотвращения потенциального мошенничества с платой за проезд и расширенная фильтрация SMS-сообщений для извлечения конфиденциальной информации, хотя его деятельность сократилась после действий правоохранительных органов против его разработчиков.
-----

ClayRat - это семейство вредоносных ПО для Android, классифицируемых как Троянские программы для удаленного доступа (RAT) и шпионские программы. Это позволяет злоумышленникам скрытно следить за пользователями и осуществлять удаленный контроль над зараженными устройствами. Возможности вредоносного ПО включают перехват SMS-сообщений, мониторинг журналов вызовов, доступ к контактам, захват скриншотов и выполнение команд, полученных с сервера управления (C2). В основном он распространяется через сайты фишинга или Маскировку под легальные приложения.

Анализ серверной части вредоносного ПО выявил модуль в архиве с именем "server.zip ," который содержал не только основной исполняемый файл, но и вспомогательные инструменты для создания и подписи вредоносных APK-файлов, а также шаблон, используемый для создания этих APK-файлов. Внутренний сервер написан на Go и демонстрирует многочисленные недостатки, включая хранение паролей в виде открытого текста, незащищенные строки отладки, базовые методы запутывания и зависимость от JSON для хранения данных вместо системы управления базами данных. Этот недосмотр создает значительные риски в случае компрометации серверной части.

Интересно, что ClayRat обладает функцией ведения журнала вызовов, которая позволяет ему совершать звонки с зараженных устройств без перехвата звука, что открывает двери для потенциальных схем мошенничества с платой за проезд. Кроме того, вредоносное ПО включает в себя сложный механизм фильтрации SMS-сообщений, способный сканировать определенные ключевые слова и регулярные выражения, связанные с банковскими и финансовыми транзакциями, что расширяет его возможности по извлечению конфиденциальной информации от пользователей.

Инфраструктура, используемая ClayRat, использовала kpmail.su домен, связанный с другими функциями вредоносного ПО, в том числе с бэкдором DCRAT. Отчеты указывают на то, что к декабрю 2025 года все серверы C2, связанные с ClayRat, стали неактивными, что совпало с задержанием разработчика в Краснодаре, что свидетельствует об ослаблении перспектив дальнейших операций против создателей вредоносного ПО.

Несмотря на свои первоначальные обещания и широкое внимание после запуска в конце 2025 года, ClayRat быстро потерпел крах, как и его предшественники. Технические ошибки, такие как плохая практика обеспечения безопасности и неадекватная оперативная безопасность, способствовали его быстрому снижению. Поскольку проект потерял свою инфраструктуру, дальнейшее развитие, похоже, прекратилось, а действия правоохранительных органов против его создателей указывают на завершение главы семейства вредоносных программ ClayRat.

#ParsedReport #CompletenessMedium
20-03-2026

Trivy Under Attack Again: Widespread GitHub Actions Tag Compromise Exposes CI/CD Secrets

https://socket.dev/blog/trivy-under-attack-again-github-actions-compromise

Report completeness: Medium

Actors/Campaigns:
Trivy_compromise
Teampcp (motivation: financially_motivated)
Pcpcat

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Ci cd pipelines, Github actions runners, Software development environments, Cloud environments

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1005, T1016, T1033, T1036, T1041, T1057, T1059.004, T1059.006, T1078, have more...

IOCs:
File: 21
Domain: 1
Hash: 1
Email: 5

Soft:
OpenVSX, sudo, Linux, macOS, Docker, MYSQL, REDIS, slack, discord, openssl, have more...

Wallets:
zcash

Crypto:
bitcoin, litecoin, dogecoin, ripple, monero, ethereum, cardano, solana

Algorithms:
pbkdf2, aes-256-cbc, rsa-4096, base64, aes, sha256

Functions:
get_pid

Languages:
python

Platforms:
intel

Links:
https://docs.github.com/en/code-security/concepts/supply-chain-security/immutable-releases

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Репозиторий действий Trivy на GitHub подвергся серьезной компрометации, когда злоумышленники принудительно обновили большинство тегов версий, заменив законный код вредоносным ПО, которое работает как стиллер информации. Вредоносное ПО, разработанное для пользователей GitHub Actions, извлекает конфиденциальные данные из сред CI/CD, включая учетные данные облачных провайдеров и токены Kubernetes, используя повышенные привилегии и сложные методы запутывания. Атака была атрибутирована с помощью TeamPCP, что подчеркивает серьезные последствия уязвимостей supply chain в конвейерах разработки программного обеспечения.
-----

Репозиторий действий Trivy на GitHub был подвергнут компрометации, когда злоумышленники принудительно обновили 75 из 76 тегов версий для развертывания вредоносного ПО. Затронуто более 10 000 файлов рабочего процесса на GitHub, что вызывает опасения по поводу раскрытия секретов CI /CD. Вредоносная версия заменила законный код полезной нагрузкой стиллера, сохранив при этом законную функциональность сканирования, чтобы избежать обнаружения.

Злоумышленники получили доступ к учетным данным Trivy и выполнили принудительные операции для изменения существующих тегов без запуска уведомлений о выпуске. Каждый перезаписанный тег указывал на новую вредоносную фиксацию, в которой скрипт entrypoint был изменен, чтобы включить стиллер информации.

Полезная нагрузка работает в GitHub Actions runners, извлекая конфиденциальные данные, такие как учетные данные AWS, GCP и Azure, а также токены учетной записи службы Kubernetes. Вредоносное ПО может собирать SSH-ключи, переменные среды и другую конфиденциальную информацию из различных форматов и местоположений.

Он использует повышенные привилегии для пользователей, размещенных на GitHub, с помощью Python-скрипта в кодировке base64, выполняемого с разрешениями sudo, что позволяет ему очищать память для конфиденциальных данных. В автономных установщиках вредоносное ПО использует методы обширного сбора учетных записей файловой системы.

Данные шифруются перед эксфильтрацией с использованием гибридной схемы с сеансовыми ключами и шифрованием RSA. Собранные данные отправляются в домен с typosquatted, который имитирует Aqua Security для обфускации. Вредоносное ПО также может использовать личный токен доступа жертвы к GitHub для дальнейшей компрометации данных, если это необходимо.

Эта атака атрибутирована с TeamPCP, известной тем, что она использует облачные уязвимости для получения финансовой выгоды. Немедленное исправление требует ротации всех раскрытых секретов для снижения рисков. Инцидент подчеркивает опасность атак на supply chain в рамках конвейеров разработки программного обеспечения.

#ParsedReport #CompletenessHigh
20-03-2026

EDR killers explained: Beyond the drivers

https://www.welivesecurity.com/en/eset-research/edr-killers-explained-beyond-the-drivers/

Report completeness: High

Actors/Campaigns:
Warlock
Red_delta
Blacksnufkin
Gentlemen_ransomware
Blacksuit
Dragonforce

Threats:
Edr-killer
Byovd_technique
Pchunter_tool
Gmer_tool
Hrsword_tool
Abyssworker
Edrsilencer_tool
Edr-freeze_tool
Edrkillshifter_tool
Ransomhub
Embargo_ransomware
Ms4killer_tool
S4killer_tool
Deadlock
Dlkiller
Susanoo_tool
Lockbit
Babuk
Bdapiutil-killer_tool
Tfsysmon-killer_tool
Monti
Dead-av_tool
Ghostdriver_tool
Dire_wolf
Smilingkiller_tool
Kill-floor_tool
K7terminator_tool
Demokiller_tool
Qilin_ransomware
Akira_ransomware
Ransomhouse
Heartcrypt_tool
Abysskiller_tool
Medusa_ransomware
Cardspacekiller_tool
Shanya_tool
Bumblebee
Crytox
Medusalocker
Hexkiller_tool
Sevexkiller_tool
Vmprotect_tool
Themida_tool
Burntcigar
Rentdrv2_tool
Kryptik

Industry:
E-commerce

Geo:
Ukraine, Chinese

TTPs:
Tactics: 5
Technics: 16

IOCs:
File: 19
Hash: 32

Soft:
Velociraptor, ThrottleStop, Windows Service

Algorithms:
sha1, exhibit

Win API:
DeviceIoControl

Languages:
rust

Links:
https://github.com/szdyg/HRSword
https://github.com/wavestone-cdt/EDRSandblast/
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET выявили растущее использование EDR killers группами программ-вымогателей, выявив почти 90 различных инструментов, которые используют уязвимости для обхода систем обнаружения конечных точек и реагирования на них. Преобладающий метод предполагает использование методов "Принеси свой собственный уязвимый драйвер" (BYOVD), позволяющих злоумышленникам устанавливать законные уязвимые драйверы для эффективного отключения мер безопасности. Дополнительные методы включают пользовательские скрипты и повторное использование законного программного обеспечения для защиты от руткитов во вредоносных целях, что усложняет атрибуцию и обнаружение при атаках программ-вымогателей.
-----

Исследователи ESET выявили почти 90 различных EDR killers, используемых группами программ-вымогателей для обхода систем обнаружения конечных точек и реагирования (EDR). Эти инструменты включают в себя методы, основанные на использовании вашего собственного уязвимого драйвера (BYOVD), вмешательство на основе сценариев и перепрофилированное законное программное обеспечение для защиты от руткитов. 54 из этих EDR killers используют 35 выявленных уязвимых драйверов, что делает их распространенным вектором атаки. Метод BYOVD является предпочтительным, поскольку он позволяет злоумышленникам отключать процессы безопасности путем установки законных уязвимых драйверов, сводя к минимуму сложность вредоносного ПО. Некоторые EDR killers получены из коммерческих предложений в Dark Web, что усложняет атрибуцию и идентификацию злоумышленников. Такие инструменты, как AbyssKiller и CardSpaceKiller, используются несколькими преступными хакерскими группировками. Искусственный интеллект может влиять на разработку некоторых EDR killers, о чем свидетельствует механика проб и ошибок. Повторное использование кода и использование общедоступных инструментов проверки концепции - это тенденции, ведущие к унификации тактики в кампаниях вымогателей. В исследовании предлагается многоуровневая стратегия предотвращения для эффективного противодействия угрозам программ-вымогателей.

#ParsedReport #CompletenessHigh
20-03-2026

That “job brief” on Google Forms could infect your device

https://www.malwarebytes.com/blog/threat-intel/2026/03/that-job-brief-on-google-forms-could-infect-your-device

Report completeness: High

Threats:
Purehvnc_tool
Dll_hijacking_technique
Donut

Victims:
Financial, Logistics, Technology, Sustainability, Energy

Industry:
Energy, Logistic

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1036.008, T1047, T1053.005, T1055, T1059.001, T1059.006, T1082, have more...

IOCs:
File: 9
Command: 3
IP: 1
Url: 4
Hash: 20

Soft:
Telegram, Foxmail, Dropbox

Algorithms:
xor, base64, zip, gzip

Functions:
time64

Win API:
IsDebuggerPresent

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена кампания по распространению вредоносного ПО, использующая Google Forms для доставки PureHVNC, Троянской программы для удаленного доступа (RAT). Жертвы непреднамеренно загружают ZIP-файлы, содержащие законные документы, вместе с вредоносным ПО, инициируя многоэтапное заражение, которое позволяет злоумышленникам получить полный удаленный контроль, осуществлять кражу данных и поддерживать закрепление. Вредоносное ПО использует такие методы, как DLL hijacking и запутанные скрипты на Python, и собирает системную информацию с помощью запросов WMI, используя надежные платформы для доставки.
-----

Недавние расследования выявили кампанию по распространению вредоносного ПО с использованием Google Forms, которая отличается своим инновационным подходом к инициированию атак. В отличие от традиционных методов фишинга, которые обычно включают электронные письма или поддельные страницы загрузки, эта кампания использует Google Forms, связанные с бизнес-приманками, такими как собеседования при приеме на работу или финансовые документы, для осуществления своих вредоносных действий. Жертвы невольно загружают ZIP-файлы из этих форм, которые содержат вредоносное ПО, инициирующее многоэтапный процесс заражения.

Основным вредоносным ПО, выявленным в ходе этой кампании, является PureHVNC, модульная Троянская программа для удаленного доступа (RAT) из семейства Pure вредоносных ПО. PureHVNC предоставляет злоумышленникам полный удаленный контроль над зараженными системами, что позволяет осуществлять масштабную кражу данных. Злоумышленники могут удаленно выполнять команды, собирать подробную информацию об операционной системе и Аппаратном обеспечении, извлекать конфиденциальную информацию из браузеров и приложений (включая данные из криптокошельков) и устанавливать закрепление с помощью различных методов, таких как создание запланированных задач.

Кампании часто выдают себя за авторитетные компании в таких секторах, как финансы, технологии и энергетика, что повышает доверие к ним. Ссылки на вредоносные Google Forms распространяются через такие платформы, как LinkedIn, что приводит пользователей к загрузке ZIP-файлов с компрометацией, которые содержат как законно выглядящие документы, так и вредоносные исполняемые файлы. Один из распространенных методов заключается в использовании DLL-файла с именем msimg32.dll . В этом файле обычно используется DLL hijacking, когда законную программу обманом заставляют выполнить вредоносный код.

Анализ этой вредоносной кампании выявляет множество вариантов, использующих различные методы извлечения файлов и различные конфигурации. ZIP-файлы часто содержат не только вредоносную библиотеку DLL, но и файлы Python, сжатые в случайной папке в каталоге ProgramData. Критическим компонентом заражения является запутанный скрипт на Python с именем config.log, который декодирует и выполняет шелл-код Donut. Заключительный этап включает в себя введение PureHVNC в такие процессы, как SearchUI.exe , причем конкретный процесс может варьироваться в зависимости от различных образцов.

Чтобы собрать информацию о системе жертвы, PureHVNC использует запросы WMI и выполняет перечисление для извлечения сведений из браузеров и расширений. Его конфигурационные данные закодированы в base64 и сжаты с помощью GZIP.

Кампания эффективно использует надежные платформы, такие как Google Forms и Dropbox, наряду с Имперсонацией известных компаний, чтобы обойти защиту пользователей. Осознание этой тактики и бдительность при работе с нежелательными документами или ссылками имеют решающее значение для предотвращения заражения.

#ParsedReport #CompletenessMedium
20-03-2026

Trivy Compromised a Second Time - Malicious v0.69.4 Release, aquasecurity/setup-trivy, aquasecurity/trivy-action GitHub Actions Compromised

https://www.stepsecurity.io/blog/trivy-compromised-a-second-time---malicious-v0-69-4-release

Report completeness: Medium

Actors/Campaigns:
Teampcp
Trivy_compromise

Threats:
Hackerbot-claw_tool
Typosquatting_technique

Victims:
Open source projects, Ci cd pipelines, Software development

Industry:
E-commerce

Geo:
Pacific

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1027, T1036, T1041, T1059.006, T1071.001, T1078, T1140, T1195.001, T1485, have more...

IOCs:
File: 2
Domain: 1
IP: 1

Soft:
VSCode, Open VSX, Linux, Docker, curl

Crypto:
solana, bitcoin, ethereum, cardano

Algorithms:
base64, aes-256-cbc, rsa-4096, sha256

Functions:
DeleteEvent, CreateEvent

Languages:
python

Links:
https://github.com/aquasecurity/setup-trivy/commit/8afa9b9f9183b4e00c46e2b82d34047e3c177bd0
have more...
https://github.com/Homebrew/homebrew-core/pull/273304

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
19 марта 2026 года сканер уязвимостей Trivy с открытым исходным кодом был подвергнут компрометации после более раннего взлома, в результате которого был использован рабочий процесс GitHub для кражи личного токена доступа. Вредоносная версия v0.69.4 включала код, который подключался к домену управления с опечатками (C2), облегчая эксфильтрацию многочисленных учетных данных. Расследование выявило изменения в действиях GitHub, с обширными механизмами кражи данных, включенными в конфигурационный файл, и были обнаружены исходящие подключения к домену C2 из затронутых проектов.
-----

19 марта 2026 года сканер уязвимостей Trivy с открытым исходным кодом, поддерживаемый Aqua Security, подвергся второму нарушению безопасности, ознаменовавшемуся выпуском версии с компрометацией (v0.69.4). Этот инцидент последовал за предыдущим захватом 28 февраля, когда автономный бот использовал рабочий процесс GitHub для кражи личного токена доступа, что привело к таким действиям, как приватизация хранилища и отправка вредоносного артефакта на рынок. Компрометация версии 0.69.4 содержала вредоносный код, который подключался к домену управления с опечатками (C2), предназначенному для эксфильтрации данных.

Расследование выявило значительные изменения в действии aquasecurity/setup-trivy на GitHub. Была обнаружена вредоносная фиксация, содержащая обширный механизм credential stealing в файле конфигурации. Это включало функциональность, которая собирала переменные среды, память из GitHub Actions Runner и различные учетные данные из системы, включая SSH, AWS, Azure, GCP, конфигурации Docker и многое другое. Украденные данные были зашифрованы с использованием RSA-4096 и отправлены в указанный злоумышленником домен C2. В запасном сценарии, если первичное соединение C2 не удалось, похититель загрузил бы информацию в общедоступный репозиторий GitHub, созданный в учетной записи жертвы.

Чтобы усложнить ситуацию, были удалены все теги версии, кроме одного, для действия по настройке компрометации-trivy, что указывает на потенциальную попытку злоумышленника помешать обнаружению и реагированию. Кроме того, учетные записи спам-ботов проникли в обсуждения, касающиеся инцидента, что наводит на мысль о скоординированных усилиях по пресечению обсуждений по борьбе с ущербом.

Инструмент StepSecurity Harden-Runner обнаружил исходящие сообщения из нескольких проектов, использующих действия compromised Trivy, подключающиеся к домену C2. Этому обнаружению способствовал мониторинг сетевых событий, связанных с вредоносными запусками, и документирование подозрительного поведения, связанного с украденным кодом, такого как необычные запросы, отправленные в домен C2, и несанкционированное чтение памяти из Runner.Рабочий процесс.

Чтобы устранить последствия, организациям рекомендуется просканировать свои рабочие процессы на предмет действий по компрометации, изменить все доступные учетные данные и пересмотреть свои интеграции, чтобы убедиться, что никакие дополнительные уязвимости не остались без внимания. Пользователи, использующие двоичные файлы Trivy напрямую, должны проверить журналы на наличие подключений к домену C2, чтобы убедиться, что дальнейшего воздействия не произойдет. Инцидент служит предостерегающим напоминанием о необходимости применения методов безопасного кодирования и регулярного пересмотра разрешений и интеграций в средах CI/CD.

#ParsedReport #CompletenessMedium
20-03-2026

RegPhantom Backdoor Threat Analysis

https://www.nextron-systems.com/2026/03/20/regphantom-backdoor-threat-analysis/

Report completeness: Medium

Threats:
Regphantom
Procmon_tool

Industry:
Software_development

Geo:
Singapore, China, Chinese, Usa, Japan, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1027.007, T1027.016, T1112, T1140, T1553.002, T1564, T1620

IOCs:
Hash: 32
File: 3

Soft:
Windows kernel, Windows registry

Algorithms:
exhibit, sha256, xor

Win API:
CmRegisterCallback, PsLoadedModuleList, PsSetCreateThreadNotifyRoutine, CmUnRegisterCallback, RtlFindExportedRoutineByName

YARA: Found

Links:
have more...
https://gist.github.com/pierrehpezier/a37984b91c2054032e856faf2700d278
https://gist.github.com/pierrehpezier/35c90c38b2c579d612d5970b04702df8

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, dump: 1, schema: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RegPhantom - это сложный руткит ядра Windows, который использует реестр Windows для создания конвейеров выполнения от пользовательского режима к ядру, позволяя выполнять произвольный код в режиме ядра с помощью команд, зашифрованных XOR. Вредоносное ПО использует обфускацию Control Flow Guard для расширенного обхода, усложняя анализ bloated графиками потока управления и методами косвенного обхода. Активный в период с июня по август 2025 года, он, по-видимому, поддерживается злоумышленником, вероятно, из Китая, использующим действительные кодовые подписи и демонстрирующим хорошо организованную операционную структуру.
-----

RegPhantom идентифицируется как сложный руткит ядра Windows, который устанавливает скрытые конвейеры выполнения от пользовательского режима к ядру, используя реестр Windows. Это вредоносное ПО позволяет злоумышленникам выполнять произвольный код в режиме ядра, отправляя зашифрованные XOR команды через запись в реестре, которую вредоносный драйвер перехватывает и обрабатывает. В его конструкции приоритет отдается скрытности и минимальной видимости, что позволяет ему выполнять код с более высокими уровнями привилегий, маскируя свою активность в рамках обычных системных операций.

Технический анализ показывает, что RegPhantom был активен с несколькими образцами, выявленными в период с июня по август 2025 года, что указывает на продолжающуюся разработку и обслуживание злоумышленником, вероятно, базирующимся в Китае. Анализ показывает, что несколько образцов подписаны действительными кодами уважаемых китайских компаний, что повышает вероятность принадлежности к China-nexus. Их характеристики совместного использования кода и согласованный график разработки указывают на хорошо организованную и постоянную угрозу.

В RegPhantom уникальным образом используется обфускация Control Flow Guard (CFG), усложняющая как статические, так и динамические методы анализа. График потока управления вредоносного ПО bloated с непрозрачными предикатами и дублирующимися блоками, препятствующий разрешению путей к коду во время обратного проектирования. Вызовы функций дополнительно запутываются с помощью вычисляемого метода косвенного обращения, что затрудняет способность дизассемблеров отслеживать API и внутренние вызовы.

Во время технической оценки анализ успешно восстановил драйвер ядра, но не обнаружил исходный пользовательский исполняемый файл или последующий модуль ядра, предназначенный для загрузки. Однако исследователи создали триггер для проверки концепции, который демонстрирует, как непривилегированный пользовательский процесс может использовать взаимодействие с реестром для загрузки произвольных модулей в пространство ядра. Вредоносное ПО использует связь с реестром таким образом, что средства мониторинга воспринимают это как недопустимый доступ, таким образом избегая обнаружения.

Обнаружение RegPhantom требует сосредоточения внимания на самом двоичном коде драйвера, а не на типичных артефактах криминалистического анализа, поскольку он намеренно избегает оставлять какие-либо следы в обычных местах расположения артефактов, таких как реестр. Отсутствие постоянных артефактов и удаление загруженного кода из памяти после выполнения еще больше усложняют усилия по обнаружению. Следовательно, идентификация уникальных шаблонов байтов драйвера с помощью таких правил, как анализ YARA, имеет решающее значение для выявления присутствия RegPhantom.