Исследователи CYFIRMA в ходе регулярного мониторинга подпольных форумов выявили новый вариант программ-вымогателей, получивший название GodDamn. Данная вредоносная программа нацелена на операционные системы Windows и представляет угрозу для предприятий различных отраслей. Параллельно специалисты зафиксировали активность информационного стилера VexxStealer, маскирующегося под легитимные игровые приложения, а также отметили расширение операций APT-группировки OceanLotus (APT32). Полученные данные легли в основу еженедельного аналитического отчёта.
Описание
Вымогатель GodDamn шифрует файлы на взломанных системах и изменяет их имена, добавляя уникальный идентификатор жертвы в квадратных скобках и расширение ".God8Damn". После завершения шифрования программа создаёт файл "README.TXT" с требованиями выкупа. В записке злоумышленники указывают несколько каналов связи - адреса электронной почты и идентификатор мессенджера, а также обещают снижение стоимости расшифровки при обращении в ограниченный промежуток времени. Такая тактика направлена на создание психологического давления и ускорение переговоров. Основная цель GodDamn - блокировка доступа к корпоративным данным и принуждение жертвы к выкупу.
Стандартный набор процедур противодействия согласно фреймворку MITRE ATT&CK включает десятки тактик, в том числе выполнение через Windows Management Instrumentation, модификацию реестра, закрепление в системе через автозагрузку и внедрение процессов. Вредонос использует инструменты повышения привилегий, кражу учётных данных, сбор системной информации и шифрование данных. Особое внимание уделяется обходу средств защиты: применяются руткиты, маскировка, манипуляции с токенами доступа и индикаторами обнаружения. Как показал анализ исследователей, GodDamn может распространяться внутри сети через общие папки и сетевые ресурсы, что увеличивает зону поражения.
Помимо вымогателя, в отчёте освещён стилер VexxStealer. Этот вредонос распространяется через троянизированные установщики, внешне напоминающие игровые приложения. После запуска он разворачивает модульную архитектуру на основе Electron и Node.js, копирует файлы в каталог пользователя и создаёт ярлыки для обеспечения постоянного доступа. VexxStealer проводит разведку системы, собирает сведения о запущенных процессах, установленных приложениях и средствах безопасности. Для сбора данных используются штатные утилиты Windows: WMIC, PowerShell, командная строка и инструменты реестра. Особенность стилера - способность извлекать учётные данные через Windows Data Protection API, а также мониторинг буфера обмена. Механизмы обхода обнаружения включают проверку на работу в виртуальной среде, модификацию реестра и инжекцию процессов.
Третьей важной темой отчёта стала активность группировки OceanLotus (APT32). Эта связанная с Вьетнамом APT-группа продолжает целевые кибершпионские операции в Азиатско-Тихоокеанском регионе и за его пределами. По данным CYFIRMA, злоумышленники применяют методы фишинга, эксплуатацию уязвимостей (включая CVE-2017-11882, CVE-2020-0688 и другие) и атаки на цепочки поставок. В последнее время OceanLotus нацеливается на вьетнамские организации в сферах инфраструктуры, транспорта, строительства и фондового рынка, используя вредоносы SPECTRALVIPER и FireAnt Metakit. Группа стремится закрепиться в критически важных отраслях и обеспечить долгосрочный сбор разведывательной информации.
Помимо названных угроз, эксперты зафиксировали инциденты с участием вымогательских группировок Dire Wolf и The Gentlemen. Первая атаковала тайское производственное предприятие, похитив около 260 ГБ данных, вторая - японского производителя текстиля. Также была отмечена уязвимость в Veeam Backup & Replication (CVE-2026-44963 с оценкой CVSS 9.4), позволяющая удалённо выполнить код на сервере резервного копирования. На подпольных форумах обнаружены объявления о продаже баз данных логистической компании (261 ГБ, 124 млн записей) и телекоммуникационного оператора Иордании (10 млн записей).
В заключение аналитики подчёркивают, что вымогатели и стилеры продолжают использовать психологическое давление, маскировку под легитимное ПО и сложные цепочки заражения. Организациям рекомендуется внедрять многофакторную аутентификацию, регулярно обновлять программное обеспечение, использовать сигнатуры Sigma и YARA для обнаружения аномалий, а также применять принципы нулевого доверия и непрерывного мониторинга. Особое внимание следует уделить защите учётных данных и контролю над установкой неавторизованных приложений. Только комплексный подход к кибербезопасности позволяет снизить риски от подобных угроз.
Индикаторы компрометации
Domain
- appointmentmedia.com
- hosting-wordpress-services.com
- ps.andreagahuvrauvin.com
- stablewindowsapp.com
- toppaperservices.com
- webmanufacturers.com
SHA256
- b21b0201a6004570e79e41f9c9deface5cdab75bad8194a416eac6dc22db98b7
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 | rule VexxStealer_Malware_Detection { meta: description = "Detects VexxStealer malware and related variants using behavioral and host-based indicators" author = "CYFIRMA" date = "2026-06-16" malware_family = "VexxStealer" strings: /* Electron / NodeJS Components */ $e1 = "electron.exe" nocase $e2 = "app.asar" nocase $e3 = "node_modules" nocase $e4 = "package.json" nocase /* Discovery Activities */ $disc1 = "Process Discovery" $disc2 = "System Information Discovery" $disc3 = "Software Discovery" /* Windows Utilities */ $cmd1 = "powershell.exe" nocase $cmd2 = "cmd.exe" nocase $cmd3 = "wmic.exe" nocase $cmd4 = "reg.exe" nocase /* Credential Access */ $cred1 = "CryptUnprotectData" $cred2 = "Login Data" $cred3 = "Web Data" $cred4 = "Cookies" /* Defense Evasion */ $ev1 = "Virtualization/Sandbox Evasion" $ev2 = "Obfuscated Files or Information" $ev3 = "Process Injection" $ev4 = "Hijack Execution Flow" /* Registry Artifacts */ $reg1 = "CurrentVersion\\Run" $reg2 = "Software\\Microsoft\\Windows\\CurrentVersion" $reg3 = "Image File Execution Options" /* Common Libraries */ $mod1 = "bcryptprimitives.dll" $mod2 = "ws2_32.dll" $mod3 = "crypt32.dll" $mod4 = "advapi32.dll" $mod5 = "wininet.dll" /* Sample SHA256 */ $hash1 = "b21b0201a6004570e79e41f9c9deface5cdab75bad8194a416eac6dc22db98b7" condition: uint16(0) == 0x5A4D and ( $hash1 or (2 of ($e*) and 2 of ($cmd*) and 2 of ($cred*)) or (2 of ($ev*) and 1 of ($disc*) and 2 of ($mod*)) or (2 of ($reg*) and 2 of ($cred*) and 2 of ($mod*)) ) } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 | rule Exploit_Multi_CVE_Office_Exchange_WebLogic_F5 { meta: description = "Detection of exploitation attempts linked to multiple CVEs across Microsoft Office, Exchange, WebLogic, and F5 BIG-IP" author = "CYFIRMA" category = "Exploit Detection" threat_type = "Initial Access / RCE" strings: // CVEs $cve1 = "CVE-2017-11882" $cve2 = "CVE-2020-0688" $cve3 = "CVE-2016-7255" $cve4 = "CVE-2020-14882" $cve5 = "CVE-2021-40444" $cve6 = "CVE-2020-0968" $cve7 = "CVE-2021-44832" $cve8 = "CVE-2021-45105" $cve9 = "CVE-2021-22986" // Common exploited process context $p1 = "winword.exe" $p2 = "WinWord.exe" $p3 = "excel.exe" $p4 = "Excel.exe" $p5 = "acrord32.exe" $p6 = "AcroRd32.exe" // Exploitation-related context strings $s1 = "Equation Editor" $s2 = "mshtml" $s3 = "WebLogic" $s4 = "Exchange" $s5 = "BIG-IP" $s6 = "iControl" // Observed infrastructure indicators (optional enrichment) $ioc1 = "ps.andreagahuvrauvin.com" $ioc2 = "appointmentmedia.com" $ioc3 = "hosting-wordpress-services.com" $ioc4 = "toppaperservices.com" $ioc5 = "webmanufacturers.com" $ioc6 = "stablewindowsapp.com" condition: // Primary: any CVE indicator present any of ($cve*) or // Secondary: exploit context via process + tech keywords (2 of ($p*) and 1 of ($s*)) or // Tertiary: strong correlation with known malicious infrastructure + Office/PDF execution context (1 of ($ioc*) and 1 of ($p*)) } |
