#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET выявили растущее использование EDR killers группами программ-вымогателей, выявив почти 90 различных инструментов, которые используют уязвимости для обхода систем обнаружения конечных точек и реагирования на них. Преобладающий метод предполагает использование методов "Принеси свой собственный уязвимый драйвер" (BYOVD), позволяющих злоумышленникам устанавливать законные уязвимые драйверы для эффективного отключения мер безопасности. Дополнительные методы включают пользовательские скрипты и повторное использование законного программного обеспечения для защиты от руткитов во вредоносных целях, что усложняет атрибуцию и обнаружение при атаках программ-вымогателей.
-----

Исследователи ESET выявили почти 90 различных EDR killers, используемых группами программ-вымогателей для обхода систем обнаружения конечных точек и реагирования (EDR). Эти инструменты включают в себя методы, основанные на использовании вашего собственного уязвимого драйвера (BYOVD), вмешательство на основе сценариев и перепрофилированное законное программное обеспечение для защиты от руткитов. 54 из этих EDR killers используют 35 выявленных уязвимых драйверов, что делает их распространенным вектором атаки. Метод BYOVD является предпочтительным, поскольку он позволяет злоумышленникам отключать процессы безопасности путем установки законных уязвимых драйверов, сводя к минимуму сложность вредоносного ПО. Некоторые EDR killers получены из коммерческих предложений в Dark Web, что усложняет атрибуцию и идентификацию злоумышленников. Такие инструменты, как AbyssKiller и CardSpaceKiller, используются несколькими преступными хакерскими группировками. Искусственный интеллект может влиять на разработку некоторых EDR killers, о чем свидетельствует механика проб и ошибок. Повторное использование кода и использование общедоступных инструментов проверки концепции - это тенденции, ведущие к унификации тактики в кампаниях вымогателей. В исследовании предлагается многоуровневая стратегия предотвращения для эффективного противодействия угрозам программ-вымогателей.

#ParsedReport #CompletenessHigh
20-03-2026

That “job brief” on Google Forms could infect your device

https://www.malwarebytes.com/blog/threat-intel/2026/03/that-job-brief-on-google-forms-could-infect-your-device

Report completeness: High

Threats:
Purehvnc_tool
Dll_hijacking_technique
Donut

Victims:
Financial, Logistics, Technology, Sustainability, Energy

Industry:
Energy, Logistic

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1036.008, T1047, T1053.005, T1055, T1059.001, T1059.006, T1082, have more...

IOCs:
File: 9
Command: 3
IP: 1
Url: 4
Hash: 20

Soft:
Telegram, Foxmail, Dropbox

Algorithms:
xor, base64, zip, gzip

Functions:
time64

Win API:
IsDebuggerPresent

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена кампания по распространению вредоносного ПО, использующая Google Forms для доставки PureHVNC, Троянской программы для удаленного доступа (RAT). Жертвы непреднамеренно загружают ZIP-файлы, содержащие законные документы, вместе с вредоносным ПО, инициируя многоэтапное заражение, которое позволяет злоумышленникам получить полный удаленный контроль, осуществлять кражу данных и поддерживать закрепление. Вредоносное ПО использует такие методы, как DLL hijacking и запутанные скрипты на Python, и собирает системную информацию с помощью запросов WMI, используя надежные платформы для доставки.
-----

Недавние расследования выявили кампанию по распространению вредоносного ПО с использованием Google Forms, которая отличается своим инновационным подходом к инициированию атак. В отличие от традиционных методов фишинга, которые обычно включают электронные письма или поддельные страницы загрузки, эта кампания использует Google Forms, связанные с бизнес-приманками, такими как собеседования при приеме на работу или финансовые документы, для осуществления своих вредоносных действий. Жертвы невольно загружают ZIP-файлы из этих форм, которые содержат вредоносное ПО, инициирующее многоэтапный процесс заражения.

Основным вредоносным ПО, выявленным в ходе этой кампании, является PureHVNC, модульная Троянская программа для удаленного доступа (RAT) из семейства Pure вредоносных ПО. PureHVNC предоставляет злоумышленникам полный удаленный контроль над зараженными системами, что позволяет осуществлять масштабную кражу данных. Злоумышленники могут удаленно выполнять команды, собирать подробную информацию об операционной системе и Аппаратном обеспечении, извлекать конфиденциальную информацию из браузеров и приложений (включая данные из криптокошельков) и устанавливать закрепление с помощью различных методов, таких как создание запланированных задач.

Кампании часто выдают себя за авторитетные компании в таких секторах, как финансы, технологии и энергетика, что повышает доверие к ним. Ссылки на вредоносные Google Forms распространяются через такие платформы, как LinkedIn, что приводит пользователей к загрузке ZIP-файлов с компрометацией, которые содержат как законно выглядящие документы, так и вредоносные исполняемые файлы. Один из распространенных методов заключается в использовании DLL-файла с именем msimg32.dll . В этом файле обычно используется DLL hijacking, когда законную программу обманом заставляют выполнить вредоносный код.

Анализ этой вредоносной кампании выявляет множество вариантов, использующих различные методы извлечения файлов и различные конфигурации. ZIP-файлы часто содержат не только вредоносную библиотеку DLL, но и файлы Python, сжатые в случайной папке в каталоге ProgramData. Критическим компонентом заражения является запутанный скрипт на Python с именем config.log, который декодирует и выполняет шелл-код Donut. Заключительный этап включает в себя введение PureHVNC в такие процессы, как SearchUI.exe , причем конкретный процесс может варьироваться в зависимости от различных образцов.

Чтобы собрать информацию о системе жертвы, PureHVNC использует запросы WMI и выполняет перечисление для извлечения сведений из браузеров и расширений. Его конфигурационные данные закодированы в base64 и сжаты с помощью GZIP.

Кампания эффективно использует надежные платформы, такие как Google Forms и Dropbox, наряду с Имперсонацией известных компаний, чтобы обойти защиту пользователей. Осознание этой тактики и бдительность при работе с нежелательными документами или ссылками имеют решающее значение для предотвращения заражения.

#ParsedReport #CompletenessMedium
20-03-2026

Trivy Compromised a Second Time - Malicious v0.69.4 Release, aquasecurity/setup-trivy, aquasecurity/trivy-action GitHub Actions Compromised

https://www.stepsecurity.io/blog/trivy-compromised-a-second-time---malicious-v0-69-4-release

Report completeness: Medium

Actors/Campaigns:
Teampcp
Trivy_compromise

Threats:
Hackerbot-claw_tool
Typosquatting_technique

Victims:
Open source projects, Ci cd pipelines, Software development

Industry:
E-commerce

Geo:
Pacific

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1027, T1036, T1041, T1059.006, T1071.001, T1078, T1140, T1195.001, T1485, have more...

IOCs:
File: 2
Domain: 1
IP: 1

Soft:
VSCode, Open VSX, Linux, Docker, curl

Crypto:
solana, bitcoin, ethereum, cardano

Algorithms:
base64, aes-256-cbc, rsa-4096, sha256

Functions:
DeleteEvent, CreateEvent

Languages:
python

Links:
https://github.com/aquasecurity/setup-trivy/commit/8afa9b9f9183b4e00c46e2b82d34047e3c177bd0
have more...
https://github.com/Homebrew/homebrew-core/pull/273304

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
19 марта 2026 года сканер уязвимостей Trivy с открытым исходным кодом был подвергнут компрометации после более раннего взлома, в результате которого был использован рабочий процесс GitHub для кражи личного токена доступа. Вредоносная версия v0.69.4 включала код, который подключался к домену управления с опечатками (C2), облегчая эксфильтрацию многочисленных учетных данных. Расследование выявило изменения в действиях GitHub, с обширными механизмами кражи данных, включенными в конфигурационный файл, и были обнаружены исходящие подключения к домену C2 из затронутых проектов.
-----

19 марта 2026 года сканер уязвимостей Trivy с открытым исходным кодом, поддерживаемый Aqua Security, подвергся второму нарушению безопасности, ознаменовавшемуся выпуском версии с компрометацией (v0.69.4). Этот инцидент последовал за предыдущим захватом 28 февраля, когда автономный бот использовал рабочий процесс GitHub для кражи личного токена доступа, что привело к таким действиям, как приватизация хранилища и отправка вредоносного артефакта на рынок. Компрометация версии 0.69.4 содержала вредоносный код, который подключался к домену управления с опечатками (C2), предназначенному для эксфильтрации данных.

Расследование выявило значительные изменения в действии aquasecurity/setup-trivy на GitHub. Была обнаружена вредоносная фиксация, содержащая обширный механизм credential stealing в файле конфигурации. Это включало функциональность, которая собирала переменные среды, память из GitHub Actions Runner и различные учетные данные из системы, включая SSH, AWS, Azure, GCP, конфигурации Docker и многое другое. Украденные данные были зашифрованы с использованием RSA-4096 и отправлены в указанный злоумышленником домен C2. В запасном сценарии, если первичное соединение C2 не удалось, похититель загрузил бы информацию в общедоступный репозиторий GitHub, созданный в учетной записи жертвы.

Чтобы усложнить ситуацию, были удалены все теги версии, кроме одного, для действия по настройке компрометации-trivy, что указывает на потенциальную попытку злоумышленника помешать обнаружению и реагированию. Кроме того, учетные записи спам-ботов проникли в обсуждения, касающиеся инцидента, что наводит на мысль о скоординированных усилиях по пресечению обсуждений по борьбе с ущербом.

Инструмент StepSecurity Harden-Runner обнаружил исходящие сообщения из нескольких проектов, использующих действия compromised Trivy, подключающиеся к домену C2. Этому обнаружению способствовал мониторинг сетевых событий, связанных с вредоносными запусками, и документирование подозрительного поведения, связанного с украденным кодом, такого как необычные запросы, отправленные в домен C2, и несанкционированное чтение памяти из Runner.Рабочий процесс.

Чтобы устранить последствия, организациям рекомендуется просканировать свои рабочие процессы на предмет действий по компрометации, изменить все доступные учетные данные и пересмотреть свои интеграции, чтобы убедиться, что никакие дополнительные уязвимости не остались без внимания. Пользователи, использующие двоичные файлы Trivy напрямую, должны проверить журналы на наличие подключений к домену C2, чтобы убедиться, что дальнейшего воздействия не произойдет. Инцидент служит предостерегающим напоминанием о необходимости применения методов безопасного кодирования и регулярного пересмотра разрешений и интеграций в средах CI/CD.

#ParsedReport #CompletenessMedium
20-03-2026

RegPhantom Backdoor Threat Analysis

https://www.nextron-systems.com/2026/03/20/regphantom-backdoor-threat-analysis/

Report completeness: Medium

Threats:
Regphantom
Procmon_tool

Industry:
Software_development

Geo:
Singapore, China, Chinese, Usa, Japan, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1027.007, T1027.016, T1112, T1140, T1553.002, T1564, T1620

IOCs:
Hash: 32
File: 3

Soft:
Windows kernel, Windows registry

Algorithms:
exhibit, sha256, xor

Win API:
CmRegisterCallback, PsLoadedModuleList, PsSetCreateThreadNotifyRoutine, CmUnRegisterCallback, RtlFindExportedRoutineByName

YARA: Found

Links:
have more...
https://gist.github.com/pierrehpezier/a37984b91c2054032e856faf2700d278
https://gist.github.com/pierrehpezier/35c90c38b2c579d612d5970b04702df8

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, dump: 1, schema: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RegPhantom - это сложный руткит ядра Windows, который использует реестр Windows для создания конвейеров выполнения от пользовательского режима к ядру, позволяя выполнять произвольный код в режиме ядра с помощью команд, зашифрованных XOR. Вредоносное ПО использует обфускацию Control Flow Guard для расширенного обхода, усложняя анализ bloated графиками потока управления и методами косвенного обхода. Активный в период с июня по август 2025 года, он, по-видимому, поддерживается злоумышленником, вероятно, из Китая, использующим действительные кодовые подписи и демонстрирующим хорошо организованную операционную структуру.
-----

RegPhantom идентифицируется как сложный руткит ядра Windows, который устанавливает скрытые конвейеры выполнения от пользовательского режима к ядру, используя реестр Windows. Это вредоносное ПО позволяет злоумышленникам выполнять произвольный код в режиме ядра, отправляя зашифрованные XOR команды через запись в реестре, которую вредоносный драйвер перехватывает и обрабатывает. В его конструкции приоритет отдается скрытности и минимальной видимости, что позволяет ему выполнять код с более высокими уровнями привилегий, маскируя свою активность в рамках обычных системных операций.

Технический анализ показывает, что RegPhantom был активен с несколькими образцами, выявленными в период с июня по август 2025 года, что указывает на продолжающуюся разработку и обслуживание злоумышленником, вероятно, базирующимся в Китае. Анализ показывает, что несколько образцов подписаны действительными кодами уважаемых китайских компаний, что повышает вероятность принадлежности к China-nexus. Их характеристики совместного использования кода и согласованный график разработки указывают на хорошо организованную и постоянную угрозу.

В RegPhantom уникальным образом используется обфускация Control Flow Guard (CFG), усложняющая как статические, так и динамические методы анализа. График потока управления вредоносного ПО bloated с непрозрачными предикатами и дублирующимися блоками, препятствующий разрешению путей к коду во время обратного проектирования. Вызовы функций дополнительно запутываются с помощью вычисляемого метода косвенного обращения, что затрудняет способность дизассемблеров отслеживать API и внутренние вызовы.

Во время технической оценки анализ успешно восстановил драйвер ядра, но не обнаружил исходный пользовательский исполняемый файл или последующий модуль ядра, предназначенный для загрузки. Однако исследователи создали триггер для проверки концепции, который демонстрирует, как непривилегированный пользовательский процесс может использовать взаимодействие с реестром для загрузки произвольных модулей в пространство ядра. Вредоносное ПО использует связь с реестром таким образом, что средства мониторинга воспринимают это как недопустимый доступ, таким образом избегая обнаружения.

Обнаружение RegPhantom требует сосредоточения внимания на самом двоичном коде драйвера, а не на типичных артефактах криминалистического анализа, поскольку он намеренно избегает оставлять какие-либо следы в обычных местах расположения артефактов, таких как реестр. Отсутствие постоянных артефактов и удаление загруженного кода из памяти после выполнения еще больше усложняют усилия по обнаружению. Следовательно, идентификация уникальных шаблонов байтов драйвера с помощью таких правил, как анализ YARA, имеет решающее значение для выявления присутствия RegPhantom.

#ParsedReport #CompletenessLow
20-03-2026

Libyan Oil Refinery Among Targets in Long-running Likely Espionage Campaign

https://www.security.com/threat-intelligence/asyncrat-libya-oil-cyberattack

Report completeness: Low

Actors/Campaigns:
Muddywater

Threats:
Asyncrat
Spear-phishing_technique

Victims:
Oil refinery, Telecommunications organization, State institution, Libyan organizations

Industry:
Financial, Telco, Aerospace, Energy, Petroleum

Geo:
Israeli, Libyan, Iran, Middle east, Libya, Iranian

ChatGPT TTPs:
do not use without manual check
T1036.008, T1053.005, T1056.001, T1059.005, T1105, T1113

IOCs:
File: 16
Url: 1
Command: 3
Hash: 27

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кибератаки, направленные против ливийских организаций, включая нефтеперерабатывающий завод и телекоммуникационного провайдера, связаны с спонсируемой государством шпионской кампанией с использованием бэкдора AsyncRAT. Атака началась с Целевого фишинга электронных писем, которые содержали приманки, связанные с местными политическими деятелями, что привело к развертыванию дроппера PowerShell и бэкдора, облегчающего длительный доступ к затронутым сетям. Эта кампания отражает более широкую тенденцию использования геополитической нестабильности для киберопераций, подчеркивая необходимость бдительности в энергетическом секторе.
-----

Недавние кибератаки, направленные против ливийских организаций, включая нефтеперерабатывающий завод, телекоммуникационного провайдера и государственное учреждение, свидетельствуют о продолжительной и, вероятно, спонсируемой государством шпионской кампании. В ходе этих атак, произошедших в период с ноября 2025 по февраль 2026 года, был задействован бэкдор AsyncRAT, общедоступная Троянская программа для удаленного доступа, известная своим использованием в шпионских сценариях благодаря возможности регистрации нажатий клавиш, захвата экрана и удаленного выполнения команд.

Начальная фаза этой цепочки атак, вероятно, включала в себя Целевой фишинг электронных писем, предназначенных для того, чтобы заманить получателей поддельными документами, связанными с местными делами, в частности, ссылками на Саифа аль-Каддафи, сына бывшего ливийского лидера Муаммара Каддафи. Одна заметная приманка была озаглавлена "Утечка видеозаписи с камер видеонаблюдения - Саиф аль-Каддафи assassination.gz ." Злоумышленники использовали загрузчик VBS с именем файла, соответствующим цели, для получения дроппера PowerShell из облачной службы обмена файлами, что в конечном итоге облегчило развертывание бэкдора AsyncRAT.

Доказательства указывают на то, что злоумышленники сохраняли длительный доступ к целевым сетям, впервые проникнув в них в ноябре 2025 года и продолжая свои операции в течение нескольких месяцев, что подтверждает наличие постоянной угрозы. Закрепление угрозы, переплетающейся с геополитическим климатом, особенно с потрясениями, возникающими в результате конфликтов в регионе Персидского залива, подчеркивает более широкую тенденцию использования нестабильности в странах для проведения киберопераций.

Эта кампания освещает не только техническое исполнение и используемые векторы, включая Целевой фишинг и использование поддельных документов, но и последствия для организаций в энергетическом секторе и за его пределами. Организации, работающие в сфере нефтедобычи или связанные с ней, должны сохранять бдительность в отношении потенциальных нападений в этот неспокойный период. Кроме того, адаптивность хакерских группировок, которые могут быстро реагировать на текущие события для проведения убедительных кампаний по фишингу, требует повышения осведомленности различных секторов о меняющемся ландшафте угроз. Глобальные экономические последствия и стратегические интересы, связанные с нефтяными и энергетическими сетями, делают это насущной проблемой для специалистов по Кибербезопасности.

#ParsedReport #CompletenessMedium
20-03-2026

Tycoon2FA Phishing-as-a-Service Platform Persists Following Takedown

https://www.crowdstrike.com/en-us/blog/tycoon2fa-phishing-as-a-service-platform-persists-following-takedown/

Report completeness: Medium

Threats:
Tycoon_2fa
Aitm_technique
Raccoono365_tool
Bec_technique
Salty_2fa_tool
Credential_harvesting_technique

Victims:
Personal users, Enterprise users, Email accounts, Cloud environments

Industry:
Telco

Geo:
Romania, United kingdom, Latvia, Lithuania, Spain, Portugal, Poland

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1056.003, T1078.004, T1539, T1557, T1564.008, T1566.002, T1583.001, T1583.006, T1584.001, have more...

IOCs:
Domain: 10

Soft:
Microsoft Exchange, Outlook

Languages:
javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Платформа Tycoon2FA для фишинга как услуги, работа которой была приостановлена в 2023 году по инициативе правоохранительных органов, была важной силой в обходе многофакторной аутентификации, ответственной за более чем 30 миллионов фишингов электронных писем ежемесячно. Несмотря на удаление, активность быстро восстановилась, благодаря постоянной тактике, такой как фишинг с использованием CAPTCHA и методы adversary-in-the-middle для кражи учетных данных. Злоумышленники адаптировали свои методы, применив компрометацию деловой электронной почты и используя законные домены для фишинга, что демонстрирует их устойчивость и способность поддерживать операционную эффективность.
-----

Платформа Tycoon2FA для фишинга как услуги (PhaaS), появившаяся в 2023 году, недавно была нарушена скоординированными усилиями правоохранительных органов во главе с Европолом, в результате чего было конфисковано 330 доменов, которые в основном использовались для ее операций. Эта платформа позволяла киберпреступникам обходить многофакторную аутентификацию, что делало ее важным игроком в фишинге. До сбоя Tycoon2FA был ответственен за большой процент попыток фишинга, по сообщениям, отправляя более 30 миллионов вредоносных электронных писем за один месяц.

После отключения 4 марта 2026 года первоначальные отчеты указывали на кратковременное снижение активности Tycoon2FA примерно до 25% от уровня, существовавшего до сбоя. Однако этот спад был временным; активность быстро восстановилась до прежних объемов, что указывает на то, что основные злоумышленники продолжают действовать и способны адаптировать свою тактику. Примечательно, что их тактика, методы и процедуры (TTP) сохранились без существенных изменений, что свидетельствует об устойчивости к попыткам срыва.

Методология атаки Tycoon2FA включала использование фишингов электронных писем для перенаправления жертв на страницы с капчей, захват сессионных файлов cookie после проверки капчи, а затем извлечение учетных данных электронной почты с помощью специально созданных поддельных страниц входа в такие сервисы, как Microsoft 365 или Google. Платформа использовала методы adversary-in-the-middle (AITM) для прямого перехвата сеансов аутентификации. Жизненный цикл работы Tycoon2FA демонстрирует сложный механизм кражи учетных данных, о чем свидетельствуют их возможности автоматического входа в систему для компрометации учетных записей, часто исходящих с известных IPv6-адресов, привязанных к румынскому провайдеру.

Недавние наблюдения после сбоя выявили множество методов фишинга, которые использовали злоумышленники, включая компрометацию деловой электронной почты (BEC), перехват потоков электронной почты и захват Облачных учетных записей. Усилия по фишингу использовали законные домены и инфраструктуру компрометации для распространения вредоносных перенаправляющих ссылок, ведущих к сервисам Tycoon2FA. Например, акторы использовали Облачные сервисы, чтобы скрыть свои операции с помощью вредоносных перенаправлений, замаскированных под законное программное обеспечение.

Несмотря на достижения правоохранительных органов, активность, связанная с Tycoon2FA, иллюстрирует настойчивую и адаптивную природу киберпреступников в среде PhaaS. Операторы устойчивы, быстро восстанавливают свою инфраструктуру и поддерживают свои методы атаки. Эволюционирующий характер их TTP указывает на то, что они, вероятно, будут продолжать представлять угрозу, требуя от специалистов по безопасности постоянных усилий по обнаружению и смягчению последствий для борьбы с механизмами, используемыми такими гибкими противниками. Подчеркивается важность применения углубленных стратегий защиты, поскольку организации стремятся защититься от изощренной тактики, применяемой акторами PhaaS, такими как Tycoon2FA.

#ParsedReport #CompletenessHigh
19-03-2026

Copyright Lures Mask a Multi‑Stage PureLog Stealer Attack on Key Industries

https://www.trendmicro.com/en_us/research/26/c/copyright-lures-mask-a-multistage-purelog-stealer-attack.html

Report completeness: High

Threats:
Purelogs
Process_injection_technique
Amsi_bypass_technique
Confuserex_tool
Shellcodeloader

Victims:
Healthcare, Government, Hospitality, Education

Industry:
Education, Entertainment, Government, Healthcare

Geo:
Australia, Germany, Canada, German

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.013, T1036.005, T1036.008, T1041, T1047, T1059.003, T1059.006, T1070.004, have more...

IOCs:
File: 36
Command: 3
Url: 4
Path: 3
Domain: 5
IP: 3
Hash: 8

Soft:
ome brow, curl, Chrome, Microsoft Edge, Google Chrome, Windows Defender, Windows GDI

Algorithms:
zip, sha256, xor, sha1, base64, gzip, des

Functions:
Get-WmiObject

Win API:
Decompress, AmsiScanBuffer, GetObject

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 3, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания PureLog Stealer нацелена на такие секторы, как здравоохранение и правительство в Германии и Канаде, используя тактику социальной инженерии, в частности, юридические уведомления для проведения фишинг-атак. Вредоносное ПО использует передовые технологии, включая цепочки заражения без файлов, динамический поиск ключей из инфраструктуры C&C и выполнение загрузчиков .NET в памяти, обходя традиционные методы обнаружения. Функции включают в себя AMSI bypass, закрепление реестра и обширный сбор данных о жертвах, что подчеркивает растущую сложность таких киберугроз.
-----

Проанализированная кампания с участием PureLog Stealer демонстрирует сложную многоэтапную атаку, нацеленную на ключевые отрасли, включая здравоохранение, правительство, гостиничный бизнес и образование, особенно в Германии и Канаде. Злоумышленники используют тактику социальной инженерии, используя юридические уведомления о нарушениях авторских прав в качестве приманки, чтобы повысить успешность исполнения среди намеченных жертв. Этот целенаправленный подход подчеркивает персонализированные стратегии фишинга, при которых вредоносное ПО доставляется с помощью сообщений, подобранных по языку, предназначенных для конкретных лиц или организаций.

После выполнения атака инициирует скрытую цепочку заражения, характеризующуюся методами без файлов. Полезная нагрузка доставляется через зашифрованный замаскированный PDF-файл. Вместо того чтобы содержать статические ключи дешифрования внутри вредоносного ПО, кампания динамически извлекает эти ключи из инфраструктуры управления (C&C), улучшая тактику уклонения. Процесс извлечения включает в себя переименованную утилиту WinRAR, Маскировку под файл изображения, которая после запуска служит для сокрытия вредоносных действий от статического анализа.

Вредоносное ПО использует загрузчик на основе Python, который облегчает выполнение dual .СЕТЕВЫЕ загрузчики, что в конечном итоге приводит к тому, что конечная полезная нагрузка — PureLog Stealer — выполняется полностью в памяти. Этот метод выполнения не позволяет традиционным антивирусам и методам обнаружения конечных точек идентифицировать вредоносное ПО, поскольку файлы не записываются на диск. Ключевые функциональные возможности, встроенные в загрузчик, включают методы AMSI bypass, закрепление реестра, захват скриншотов и снятие отпечатков пальцев жертвы. Приложение собирает обширную системную информацию, включая учетные данные браузера, криптовалютные кошельки и другие конфиденциальные данные.

Основная тактика работы вредоносного ПО включает в себя создание документа-приманки, который отображает безвредный интерфейс, чтобы уменьшить подозрения пользователей, пока заражение продолжается в фоновом режиме. Во время своей работы вредоносное ПО также выполняет антивирусную проверку для идентификации установленных продуктов безопасности, что позволяет ему адаптировать будущие действия на основе потенциальных средств защиты.

Кампания развивалась с течением времени, и наблюдаемые варианты меняли свой подход к доставке полезной нагрузки и механизмам дешифрования. Недавняя активность свидетельствует о переходе к использованию оперативной инфраструктуры C&C для выполнения команд в режиме реального времени, что усложняет работу защитников, пытающихся обнаружить эти атаки и отреагировать на них.

Таким образом, кампания PureLog Stealer является примером перехода к более структурированным и уклончивым формам атак вредоносного ПО, нацеленных на конкретные сектора, использующих передовые методы обмана и полагающихся на выполнение в памяти, чтобы избежать обнаружения. Полученные результаты подчеркивают необходимость надежной стратегии обнаружения поведения в сочетании с бдительным мониторингом сети для противодействия таким продвинутым угрозам.