#ParsedReport #CompletenessMedium
23-03-2026

CECbot: a TV box botnet that grabs the remote and maps the house

https://github.com/deepfield/public-research/blob/main/cecbot/report.md

Report completeness: Medium

Threats:
Cecbot
Mirai
Kimwolf
Jackskid
Mossadproxy
Fastflux_technique
Aisuru
Tcpsynflood_technique
Synflood_technique
Httpflood_technique
Residential_proxy_technique

Victims:
Android tv boxes, Home networks, Hospital networks, Corporate networks

Industry:
Media, Education

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1008, T1016, T1018, T1036.005, T1036.008, T1046, T1053, T1057, T1059.004, T1082, have more...

IOCs:
Hash: 1
Domain: 4
IP: 20
File: 6

Soft:
Android, WireGuard, iMessage, ndroid.up, Linux, TeamSpeak3, Discord, MySQL, FiveM, Chrome, Firefox, have more...

Algorithms:
curve25519, deflate, ed25519, chacha20-poly1305, xor, sha256

Functions:
FiveM

Win API:
PIE

Languages:
c_language, java

Links:
https://github.com/deepfield/public-research/blob/main/katana/report.md
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CECbot - это недокументированный DDoS-ботнет, нацеленный на Android-телевизоры, признанный преемником Katana, использующий собственный дизайн приложения для Android. Он оснащен усовершенствованной криптографией, поддерживает различные методы DDoS-атак и уникальным образом использует управление бытовой электроникой HDMI для управления подключенными телевизорами. CECbot использует надежную инфраструктуру C2, обеспечивающую динамическую ротацию доменов и широкие возможности сканирования для сбора сетевой информации, превращая зараженные устройства в платформы разведки без самораспространения.
-----

CECbot - это недокументированный DDoS-ботнет, который специально нацелен на Android TV-боксы и считается операционным преемником Katana, хотя он использует общую инфраструктуру без кода. Отличающийся своим дизайном как нативного приложения для Android, а не использованием двоичного файла Mirai ELF, CECbot включает в себя передовую криптографию и использует различные методы атаки. Он включает в себя 9 уровней закрепления и 11 методов для выполнения DDoS-атак, включая поддержку HTTP/2 и динамического TLS. Примечательно, что CECbot является первым задокументированным вредоносным ПО, использующим технологию HDMI Consumer Electronics Control (CEC), позволяющую операторам напрямую управлять подключенными телевизорами, например переводить их в спящий режим. Он также обладает возможностью автоматического сканирования подсети и корреляции ARP, что позволяет устройству компрометации отображать локальную сеть, эффективно превращая его в платформу разведки.

Методология распространения CECbot's отражает его сложную стратегию доступа. Поставляемый через цепочку доступа ADB, он использует настройку residential proxy, задокументированную в предыдущих отчетах о вредоносном ПО. После установки на устройство он лишен возможностей самораспространения, но может сканировать локальную сеть, собирая ценные данные без автономного распространения. Архитектура бота позволяет осуществлять сложные взаимодействия с операционной системой Android, используя такие утилиты, как WakeLocks и JobScheduler, чтобы поддерживать свое присутствие на устройствах, обходя протоколы оптимизации заряда батареи, специфичные для различных производителей.

Инфраструктура CECbot's command and control (C2) надежна и использует криптографические протоколы, включающие Curve25519 для обмена ключами, Ed25519 для аутентификации сервера и ChaCha20-Poly1305 для зашифрованного трафика. Эта настройка облегчает динамическую ротацию доменов и поддерживает высокий уровень безопасности, который значительно улучшен по сравнению с его предшественником, Katana. Сам механизм атаки был разработан с использованием NDK для Android, что обеспечивает плавную интеграцию с возможностями устройства при развертывании различных методологий DDoS, включая атаки на прикладном уровне, которые могут динамически представлять трафик, кажущийся законным.

Кроме того, CECbot может выполнять обширные операции сканирования, предоставляя операторам подробную информацию о сетевой среде, включая активные устройства и их сервисы. Эта возможность сбора разведывательной информации сопряжена с рисками, выходящими далеко за рамки типичных DDoS-атак; она представляет собой потенциальные точки входа в более защищенные сети, например, в корпоративных или медицинских учреждениях. Механизмы закрепления в ботнете гарантируют, что он остается на устройствах, подвергшихся компрометации, и может противостоять попыткам удаления.

#ParsedReport #CompletenessMedium
23-03-2026

“Say My Name”: How MioLab is building MacOS Stealer Empire

https://www.levelblue.com/blogs/spiderlabs-blog/say-my-name-how-miolab-is-building-macos-stealer-empire

Report completeness: Medium

Threats:
Miolab
Empire_loader
Traffer_technique
Credential_harvesting_technique
Clickfix_technique
Nova_stealer

Victims:
Macos users, Software engineers, Executives, Cryptocurrency investors, Enterprise organizations

TTPs:
Tactics: 8
Technics: 15

IOCs:
File: 18
Hash: 7
Url: 4
IP: 2
Domain: 59

Soft:
OS Stea, MacOS, Unix, Chromium, LastPass, Telegram, Yandex browser, Google Chrome, Microsoft Edge, Opera, have more...

Wallets:
trezor, metamask, electrum, exodus_wallet, electron_cash, wassabi, dashcore, atomicwallet, guarda_wallet, tonkeeper, have more...

Crypto:
monero, bitcoin, litecoin, dogecoin, binance, ethereum

Algorithms:
sha256, zip, md5, xor

Functions:
_system

Languages:
applescript

Platforms:
apple, intel, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MioLab, известное вредоносное ПО для macOS, фокусируется на получении конфиденциальных данных от ценных объектов, таких как инвесторы в криптовалюты. Эта платформа "Вредоносное ПО как услуга" использует облегченную полезную нагрузку на языке Си, чтобы избежать обнаружения антивирусом, поддерживает как Intel, так и Apple Silicon и может перехватывать браузеры для извлечения учетных данных из более чем 200 расширений криптовалютных кошельков. Заражение в основном происходит с помощью тактик социальной инженерии, таких как фишинг, в то время как инфраструктура управления расширяет ее возможности, ориентируясь на меры безопасности macOS и дополнительные приложения, такие как Apple Notes.
-----

MioLab, также известная как Nova, представляет собой вредоносное ПО для macOS, предназначенное для сбора конфиденциальных данных у ценных объектов, в частности инвесторов в криптовалюту и руководителей. Он работает как платформа премиум-класса "Вредоносное ПО как услуга" (MaaS), продаваемая на русскоязычных подпольных форумах. Вредоносное ПО имеет небольшой объем полезной нагрузки, приблизительно 100 КБ, разработано на языке Си, чтобы избежать обнаружения антивирусом на основе сигнатур. Он поддерживает Intel (x86-64) и Apple Silicon (ARM64) в версиях macOS от Sierra до Tahoe. Операторы могут настроить его внешний вид с помощью вводящих в заблуждение инструкций по установке для сбора учетных записей.

MioLab может перехватывать браузеры для извлечения файлов cookie, паролей и данных автозаполнения из браузеров на базе Chromium и Gecko. Он нацелен на более чем 200 расширений криптовалютных кошельков и более 50 приложений для настольных кошельков, включая кошельки с Аппаратным обеспечением, такие как Ledger и Trezor, способные фиксировать фразы восстановления BIP39. Вредоносное ПО собирает учетные данные из различных Менеджеров паролей и Связки ключей Apple. Он использует сложную структуру управления, включая веб-панель для уведомлений в режиме реального времени и генерации полезной нагрузки, с поддержкой прокси-сервера для перехвата сеансов Google для обхода аутентификации.

Недавние обновления включают расширенные возможности извлечения данных, превосходящие меры безопасности macOS, и нацелены на Safari, который ранее использовался в меньшей степени. MioLab может расшифровать Apple Notes на компьютере жертвы и усовершенствовать модули извлечения в соответствии с обновлениями производителя кошелька. Переносчики инфекции полагаются на социальную инженерию, особенно на кампании ClickFix с использованием поддельных приложений и специально подобранных URL-адресов для фишинга для эффективного распространения. Он использует надежные методы обхода защиты путем создания индивидуальных прокси-серверов для каждой полезной нагрузки, чтобы избежать обнаружения в сети, и поддерживает статус "Полностью необнаруживаемый" (FUD) благодаря частым обновлениям вредоносных полезных нагрузок.

#ParsedReport #CompletenessLow
24-03-2026

Russian Spies Hijack Signal Accounts Bypassing Encryption

https://www.secureblink.com/cyber-security-news/russian-spies-hijack-signal-accounts-bypassing-encryption

Report completeness: Low

Victims:
Government, Military, Journalists, Political figures, Activists, Sensitive information holders, Encrypted messaging platform users

Industry:
Government, Education, Military

Geo:
French, Dutch, France, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1098, T1111, T1566, T1656

Soft:
WhatsApp, hatsApp (S

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ФБР сообщило о масштабной кампании фишинга, проводимой российской разведкой, в частности, нацеленной на сигнальные аккаунты лиц, обладающих конфиденциальной информацией, таких как правительственные чиновники и журналисты. Злоумышленники используют социальную инженерию для обхода защиты от шифрования, собирая проверочные коды и используя вредоносные QR-коды для привязки своих устройств к учетным записям жертв. Это позволяет им отслеживать разговоры и проводить дальнейшие атаки фишинга, подчеркивая необходимость повышения осведомленности о таких тактиках, которые используют поведение пользователей, а не сигнатуры вредоносного ПО.
-----

Масштабная кампания фишинга, атрибутируемая с российскими спецслужбами, нацелена на учетные записи на платформе зашифрованных сообщений Signal. Эта операция привела к компрометации тысяч учетных записей, сосредоточив внимание на высокопоставленных лицах, таких как правительственные чиновники и журналисты. Злоумышленники используют методы социальной инженерии, чтобы обойти защиту от шифрования путем компрометации учетных записей пользователей. Ключевые векторы атак включают сбор проверочного кода и привязку QR-кода. Сбор проверочных кодов включает в себя обман жертв, заставляющий их предоставлять SMS-коды подтверждения во время поддельной регистрации, предоставляя злоумышленникам полный доступ к их учетным записям. Метод QR-кода обманывает жертв, заставляя их привязать устройство злоумышленника к своей учетной записи с помощью вредоносного сканирования. Действия после компрометации включают мониторинг разговоров, сбор контактов и выполнение дополнительных фишинг-атак. Обнаружение является сложной задачей, поскольку эти атаки основаны не на традиционных сигнатурах вредоносного ПО, а скорее на ненормальном поведении пользователей и аномалиях учетной записи. Пользователи Signal и WhatsApp могут просматривать подключенные устройства, чтобы обнаружить неожиданные записи как признаки компрометации. Чтобы снизить риски, пользователям не следует делиться проверочными кодами, быть осторожными с неожиданными QR-кодами и проводить регулярные проверки подключенных устройств. Внедрение Многофакторной аутентификации, устойчивой к фишингу, и проведение тренингов по безопасности, ориентированных на уязвимости приложений для обмена сообщениями, могут еще больше усилить защиту.

#ParsedReport #CompletenessLow
24-03-2026

APT-C-13 (Sandworm) RDP Backdoor Attack Activity

https://mp.weixin.qq.com/s/QWe2m4qdp45u1cuA5rgLwQ

Report completeness: Low

Actors/Campaigns:
Sandworm (motivation: sabotage, cyber_espionage)

Threats:
Dll_injection_technique
Kalambur
Sumbur
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln

Victims:
Critical infrastructure, Energy, Heavy industry, Government

Industry:
Critical_infrastructure, Government, Energy

ChatGPT TTPs:
do not use without manual check
T1021.001, T1021.004, T1053.005, T1070.004, T1098, T1105, T1136.001, T1543.003, T1562.001, T1562.004, have more...

IOCs:
Email: 1
Domain: 2
File: 6
Command: 1
Coin: 1

Soft:
OpenSSH, TOR browser

Algorithms:
md5

Functions:
Get-Led

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-13, известный как Sandworm, нацелен на критически важную инфраструктуру, используя сервисы RDP и SSH посредством переадресации портов и SSH-туннелирования для удаленного управления сетями. Они используют сеть Tor для анонимности, создавая бэкдорные учетные записи на компьютерах с компрометацией и используя методы DLL Injection для установки вредоносных инструментов, таких как Tor browser. Группа расширяет свои операции за счет оптимизированного планирования задач и тактики уклонения, такой как внесение системных дисков в белый список для обхода механизмов безопасности.
-----

APT-C-13, также известная как Sandworm, - это сложная целенаправленная угроза, известная своей постоянной кибер-активностью, нацеленной на критически важные объекты инфраструктуры и государственные секторы по всему миру. Группа продемонстрировала замечательную способность адаптировать и совершенствовать свои методы, в частности, за счет использования модульных фреймворков для проникновения, которые обеспечивают долгосрочное присутствие в сетях, используя методы скрытой коммуникации с помощью инструментов анонимности.

Важным аспектом деятельности Sandworm's является использование служб Протокола удаленного рабочего стола (RDP) и Secure Shell (SSH). Злоумышленник использует переадресацию портов, что позволяет ему сопоставлять службы RDP (порт 3389) на хостах-жертвах и управлять ими с сервера удаленного командования и контроля (C2). Это достигается с помощью SSH-туннелирования, устанавливающего защищенный канал для выполнения команд и передачи файлов.

Более того, Sandworm интегрировал использование сети Tor для дальнейшего сокрытия своей деятельности. Их скрипты включают функциональные возможности для проверки существующих процессов Tor, а также для загрузки и установки пользовательских служб Tor, эффективно превращая затронутые хосты в анонимизированные шлюзы для их коммуникаций.

Группа также внедряет новые учетные записи бэкдоров на компьютерах-жертвах, нацеливаясь либо на отключенную системную учетную запись, либо создавая учетные записи с учетными данными по умолчанию. Эти бэкдоры часто стандартизированы для использования надежных паролей, обеспечивающих постоянный доступ. Кроме того, тактика группы включает в себя внедрение DLL Injection, где скрываются Вредоносные файлы, такие как 'hid.библиотеки dll размещаются в системных каталогах, облегчая установку таких инструментов, как Tor browser, для дальнейшей эксплуатации.

Недавние усовершенствования в их работе включают оптимизированное планирование задач, что позволяет их скриптам выполнять команды с меньшей частотой. Кроме того, группа применяет меры по ослаблению системной защиты, такие как внесение всего системного диска в белый список, что помогает обойти предупреждения системы безопасности при запуске вредоносных двоичных файлов.

Чтобы смягчить эти угрозы, организациям рекомендуется внедрить строгий контроль за программными средствами сторонних производителей и несанкционированными образами системы, улучшить мониторинг и анализ системных журналов и усилить безопасность конечных точек путем последовательного обновления средств защиты от вирусов и вредоносного ПО. Эти упреждающие меры могут помочь в обнаружении и предотвращении тактики проникновения, используемой APT-C-13.

#ParsedReport #CompletenessLow
24-03-2026

litellm: Credential Stealer Hidden in PyPI Wheel

https://www.stepsecurity.io/blog/litellm-credential-stealer-hidden-in-pypi-wheel

Report completeness: Low

Threats:
Supply_chain_technique
Credential_harvesting_technique
Credential_stealing_technique

Victims:
Artificial intelligence application stacks, Ci cd pipelines, Production inference services, Kubernetes clusters, Software developers, Engineering environments

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 15

Soft:
litellm, Kubernetes, OpenAI, Trivy, curl, Docker, travis, openssl, systemd, alpine, have more...

Crypto:
bitcoin, litecoin, dogecoin, ethereum, solana, cardano

Algorithms:
rsa-4096, sha256, aes-256-cbc, aes-256, aes, base64

Functions:
run, GetSecretValue

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
24 марта 2026 года в версиях 1.82.7 и 1.82.8 библиотеки LiteLLM для PyPI был обнаружен Компрометации цепочки поставок, который содержал вредоносное ПО для credential-stealing, использующее трехэтапную атаку. Версия 1.82.8 выполнила свою полезную нагрузку через вредоносный pth-файл, в то время как версия 1.82.7 запустила ее в модуле Python. Вредоносное ПО собирало различные секреты, включая облачные учетные данные, и отправляло данные, зашифрованные с помощью AES-256 и RSA-4096, в домен C2, поддерживая закрепление с помощью бэкдора для перемещения внутри компании в Kubernetes.
-----

24 марта 2026 года в двух выпусках библиотеки LiteLLM (версии 1.82.7 и 1.82.8), распространяемых через PyPI, была обнаружена значительная Компрометация цепочки поставок. Обе версии содержали вредоносную программу credential-stealing, для которой характерна сложная трехэтапная атака: сбор учетных данных, зашифрованная эксфильтрация в домен управления (C2) и развертывание постоянного бэкдора, способного к перемещению внутри компании в кластерах Kubernetes.

Анализ показал, что в обеих версиях использовались различные методы для ввода сложной полезной нагрузки, направленной на сбор учетных записей. В версии 1.82.8 использовался вредоносный файл litellm_init.pth, который автоматически обрабатывается Python во время запуска, позволяя выполнять его полезную нагрузку без взаимодействия с пользователем. Этот метод использует малоизвестную функцию Python, которая выполняет код в pth-файлах при запуске интерпретатора незаметно для большинства сканеров безопасности. И наоборот, версия 1.82.7 включала вредоносную полезную нагрузку непосредственно в litellm/proxy/proxy_server.py файл, запускающий выполнение при импорте прокси-модуля, что делает его немного более целенаправленным.

Сборщик учетных данных систематически собирает различные типы секретов, включая SSH-ключи, учетные данные AWS и GCP, токены Kubernetes, файлы конфигурации Docker и файлы переменных среды. Уникальной особенностью этого вредоносного ПО является его способность выполнять прямые вызовы API к таким сервисам, как AWS Secrets Manager, для прямого извлечения сохраненных секретов в дополнение к чтению их с диска. Собранные данные шифруются с использованием AES-256 и RSA-4096, при этом эксфильтрация происходит посредством POST-запросов к домену, имитирующему законный liteLLM.ai .

Атака также реализовала закрепление за счет установки скрипта бэкдора, sysmon.py , который поддерживает связь с внешним сервером C2. Этот бэкдор предназначен для выполнения произвольных двоичных файлов, предоставляя злоумышленникам постоянный доступ к среде компрометации. Примечательно, что он был способен к перемещению внутри компании Kubernetes за счет использования найденных токенов учетной записи службы, что позволяло ему устанавливать бэкдоры в операционные системы хоста за пределами своего первоначального контейнера.

Инцидент был усугублен спам-комментариями в теме раскрытия информации, которые скрывали серьезность проблемы, - тактика, наблюдавшаяся при предыдущих компрометациях. Пользователям было настоятельно рекомендовано принять немедленные меры, если они установили уязвимые версии LiteLLM, включая замену всех секретных данных и проверку на наличие признаков закрепления или перемещения внутри компании в средах Kubernetes.

Подводя итог, инцидент с LiteLLM подчеркивает критический риск, присущий supply Chains программного обеспечения, особенно в рамках популярных фреймворков разработки, подчеркивая необходимость бдительного мониторинга и быстрого реагирования на угрозы эксфильтрации учетных данных.

#ParsedReport #CompletenessMedium
24-03-2026

OpenClaw Trap: AI-Assisted Lure Factory Targets Developers & Gamers

https://www.netskope.com/blog/openclaw-trap-ai-assisted-lure-factory-targets-developers-gamers

Report completeness: Medium

Actors/Campaigns:
Troyden

Threats:
Prometheus_obfuscator_tool
Credential_stealing_technique
Redline_stealer
Lumma_stealer
Credential_harvesting_technique

Victims:
Software development, Gaming, Roblox, Cryptocurrency, Virtual private network users, General public

Industry:
Healthcare, Telco, Entertainment

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1059.003, T1071.001, T1105, T1112, T1113, T1140, T1204.002, have more...

IOCs:
File: 6
IP: 9
Hash: 20
Registry: 1

Soft:
OpenClaw, Roblox, Docker, OpenClaw Docker, Linux, Valorant, Telegram

Algorithms:
zip, sha256, xor

Functions:
Windows

Win API:
SeDebugPrivilege

Languages:
lua

Links:
have more...
https://github.com/AAAbiola/openclaw-docker
https://github.com/coteyn/phone-number-location-tracking-tool
https://github.com/B3RZ3RK/fishing-planet-enhanced-menu

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Troyden's Lure Factory использует более 300 троянских репозиториев GitHub для доставки пользовательского вредоносного ПО LuaJIT, ориентированного на разработчиков, геймеров и криптоэнтузиастов. Вредоносное ПО, использующее двухкомпонентную архитектуру, уклоняется от обнаружения, выполняя антианалитические проверки, и может делать снимки экрана и извлекать учетные данные. Он использует надежные методы обфускации, в частности Prometheus obfuscator, и включает в себя поведение стиллера информации, указывающее на одного актора, стоящего за несколькими кампаниями, использующими аналогичные инструменты.
-----

Вредоносная кампания, известная как Troyden's Lure Factory, нацелена на разработчиков, геймеров и крипто-энтузиастов, используя троянские репозитории GitHub. В кампании используется более 300 пакетов доставки с вредоносной полезной нагрузкой, которые включают такие инструменты, как OpenClaw, инструменты разработчика искусственного интеллекта и VPN-взломщики, распространяющие полезную нагрузку LuaJIT. Вредоносное ПО содержит пользовательский троян LuaJIT, разработанный для обхода автоматизированных систем обнаружения с помощью двухкомпонентной архитектуры, которая включает в себя упрощенный интерпретатор LuaJIT и зашифрованный Lua-скрипт. Эта архитектура усложняет стандартный анализ в изолированной среде и реализует проверки антианализа, чтобы подтвердить, что он не выполняется в контролируемой среде. После успешной проверки троянец может отключить настройки прокси-сервера, делать снимки экрана рабочего стола и извлекать учетные данные. Кампания использует Prometheus obfuscator для сокрытия своей функциональности и характеризуется поведением стиллера, нацеленного на учетные данные браузера с помощью Windows API. Пользовательская серверная инфраструктура Command and Control (C2) поддерживает эффективный сбор данных и выполнение задач. Образцы вредоносного ПО указывают на то, что один актор или группа может быть ответственна за несколько кампаний из-за использования похожих загрузчиков и идентичных полезных нагрузок в разных репозиториях. Репозитории lure выглядят законными, используя подробные READMEs и манипулируемые истории участников с учетными записями "sock puppet". Количество соглашений об именовании приманок с помощью искусственного интеллекта предполагает оптимизацию для уклонения от обнаружения. Размещенные на GitHub пакеты, представляющие переименованные интерпретаторы и непрозрачные файлы данных, требуют повышенного внимания. Контрмеры включают внедрение индикаторов компрометации (IOCs) в системах обнаружения конечных точек и реагирования на них.

#ParsedReport #CompletenessHigh
24-03-2026

Silver Fox: The Only Tax Audit Where the Fine Print Installs Malware

https://blog.sekoia.io/silver-fox-the-only-tax-audit-where-the-fine-print-installs-malware/

Report completeness: High

Actors/Campaigns:
Silver_fox (motivation: financially_motivated, cyber_espionage)
Ghostemperor
Stone_panda

Threats:
Valleyrat
Winos
Gh0st_rat
Holdinghands
Krbanker
Seo_poisoning_technique
Cleversoar
Nidhogg
Dll_sideloading_technique
Crazyhunter_ransomware
Bec_technique

Victims:
Government, Finance, Private sector, Individuals, South asia

Industry:
Education, Entertainment, Critical_infrastructure, Financial, Military, Government

Geo:
Mongolia, Taiwanese, Indonesia, Chinese, China, India, Singapore, Asia, Malaysia, Taiwan, Thailand, Japanese, Philippines, Asian, Japan

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1014, T1036, T1041, T1056.001, T1105, T1204.001, T1204.002, T1211, T1219, have more...

IOCs:
File: 8
Path: 1
Hash: 24
Url: 5
Domain: 46
IP: 37

Soft:
WhatsApp, Telegram

Algorithms:
zip

Languages:
python

Links:
https://github.com/GkaMei/winos4.0

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Silver Fox, базирующаяся в Китае компания по вторжениям, действующая с 2022 года, перешла от атак с финансовой мотивацией к двойной стратегии, охватывающей операции APT и киберпреступность. Группа использует модульный бэкдор ValleyRAT и использует такие методы, как DLL side-loading и использование инструментов RMM для первоначального доступа. Их атаки были нацелены на различные организации по всей Южной Азии с помощью адаптированных к культурным особенностям кампаний фишинга, иллюстрирующих оппортунистический подход к достижению разнообразных целей атак при сохранении адаптивной инфраструктуры.
-----

Silver Fox, базирующаяся в Китае компания по вторжениям, действующая с начала 2022 года, заметно перешла от атак, мотивированных в первую очередь финансами, к двойной стратегии, включающей как операции с сложными целенаправленными угрозами (APT), так и традиционную киберпреступность. Эта эволюция отражает более широкую тенденцию, наблюдаемую в 2025 году, когда различия между финансируемой киберпреступностью и спонсируемым государством шпионажем становятся все более неоднозначными.

Группа в основном использует модульный бэкдор ValleyRAT, а также HoldingHands, вариант Gh0st RAT, облегчающий как обширную эксфильтрацию данных, так и управление системой. Несмотря на утечку конструктора ValleyRAT в марте 2025 года, Silver Fox продолжила использовать его возможности, включая использование плагина драйвера zero-day и опасного руткита в режиме ядра для сбора разведывательной информации. Такая модульность обеспечивает быструю адаптацию в ответ на обнаружение и интеграцию новых функциональных возможностей, поддерживая постоянный доступ при выполнении различных целей атаки.

В период с 2025 по 2026 год в методологии атак Silver Fox's произошли кардинальные изменения. Первоначально группа нацеливалась на жертв с помощью фишинг-атак на налоговую тематику, которые обманом заставляли их открывать вредоносные PDF-файлы, которые затем развертывали ValleyRAT, используя методы DLL side-loading. Метод заражения эволюционировал, чтобы использовать законные, но неправильно настроенные инструменты удаленного мониторинга и управления (RMM) для первоначального доступа, прежде чем завершиться выпуском программы-похитителя на основе Python, замаскированной под приложение WhatsApp, используемой для сбора конфиденциальных данных и потенциально способствующей компрометации деловой электронной почты.

Silver Fox нацелилась на широкий спектр организаций по всей Южной Азии, используя культурно значимые приманки, которые выдают себя за национальные налоговые органы, чтобы получить первоначальный доступ. Первая волна кампаний была сосредоточена на тайваньских компаниях во время проведения национальной налоговой проверки, в то время как последующие кампании расширились и охватили другие страны, такие как Япония, Малайзия и различные государства Юго-Восточной Азии, демонстрируя оппортунистические тенденции, а не чисто стратегическую направленность.

Базовая инфраструктура, используемая в этих кампаниях, оставалась относительно неизменной, хотя конкретные изменения включали использование именованных инструментов RMM и изменение типа предоставляемой полезной нагрузки. Например, вторая волна включала электронные письма с фишингом, содержащие ссылки на поддельный веб-сайт по сбору налогов, который впоследствии побуждал пользователей загружать законный, но компрометации инструмент RMM. Третья волна представила программу для кражи данных на Python, что указывает на переход к более знакомым инструментам в экосистеме киберпреступности.