#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Скрипт PowerShell с именем "Windows Telemetry Update" действует как средство перехвата сеансов Телеграм, нацеливаясь на данные сеанса из настольного приложения Телеграм. Он собирает метаданные, завершает процесс Телеграм для доступа к файлам сеанса и загружает данные в чат, контролируемый злоумышленником, через API бота Телеграм. Существуют два варианта сценария с улучшенными возможностями передачи файлов, что указывает на продолжающуюся разработку и акцент на использовании учетных данных пользователей с помощью уязвимостей в хранилище сеансовых ключей.
-----

Скрипт PowerShell с именем "Windows Telemetry Update" функционирует как перехватчик сеансов Телеграм.

Скрипт размещен на Pastebin и нацелен на данные сеанса для настольного приложения Телеграм.

Он собирает метаданные хоста (имя пользователя, имя хоста, общедоступный IP), прежде чем искать каталоги рабочего стола Телеграм.

Скрипт завершает работу приложения Телеграм для доступа к заблокированным файлам и компилирует данные сеанса в ZIP-архив.

Данные загружаются в контролируемой злоумышленником общаться с помощью телеграм бот АПИ.

Существует две версии скрипта; в первой была ошибка загрузки нескольких частей, устраненная во второй версии.

Обе версии содержат жестко запрограммированные токены бота для сбора данных о сеансе с помощью истории сообщений бота.

Сценарий разработан для обхода механизмов обнаружения и не показывает никаких признаков запутывания или закрепления.

Его выполнение является условным, проверяющим наличие данных сеанса Телеграм перед эксфильтрацией.

Неудачные попытки выполнения дают злоумышленникам обратную связь для мониторинга эффективности скрипта.

Все операции передаются на локальный адрес, указывающий на контролируемую среду тестирования.

Сценарий использует уязвимости в хранилище сеансовых ключей Телеграм, обеспечивая несанкционированный доступ без учетных данных пользователя.

Наличие как PowerShell, так и браузерных средств захвата сеансов означает эволюционирующую стратегию атаки.

Стратегии смягчения последствий включают блокировку связанных доменов и мониторинг небраузерных подключений к API Телеграм.

Пользователи, подозревающие заражение, должны отозвать активные сеансы Телеграм, сменить пароли и включить двухфакторную аутентификацию.

Ландшафт угроз показывает, что акторы совершенствуют методы таргетинга и эксфильтрации, используя такие платформы, как Телеграм.

#ParsedReport #CompletenessLow
24-04-2026

Ransomware attack on a small company via a large contractor

https://rt-solar.ru/solar-4rays/blog/6557/

Report completeness: Low

Actors/Campaigns:
Ngc8211

Threats:
Hardbit

Victims:
Sports organization, Software integrator contractor

TTPs:

ChatGPT TTPs:
do not use without manual check
T1021.001, T1027, T1036, T1071.001, T1078.002, T1105, T1140, T1486, T1543.003, T1562.001, have more...

IOCs:
File: 7
Url: 1
Coin: 1
Hash: 6
IP: 1
Domain: 1

Soft:
Telegram, VKontakte, NET Framework

Algorithms:
aes, md5, sha1, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака программы-вымогателя была нацелена на небольшую спортивную организацию, использующую уязвимости в системах подрядчика с помощью просочившегося эксплойта .NET Фреймворк. Злоумышленники использовали несанкционированные логины для получения доступа по Протоколу удаленного рабочего стола (RDP), отключили антивирусные средства и развернули бэкдор Hardbit v4.2, который взаимодействовал с сервером управления с помощью dynamic.Методы сетевой загрузки DLL-файлов. Эта атака была связана с группой Solar 4RAYS NGC8211, и она выявляет существенные недостатки в методах обеспечения безопасности организации, особенно в отношении систем подрядчиков.
-----

Недавняя атака программ-вымогателей привела к компрометации всей инфраструктуры небольшой спортивной организации, используя уязвимости в системах крупного подрядчика-интегратора программного обеспечения. Злоумышленники использовали просочившийся эксплойт, связанный с .NET фреймворком, который маскировался под легальное программное обеспечение, установленное в системах 1С. Примечательно, что за двенадцать часов до того, как произошло шифрование с помощью программы-вымогателя, были предприняты несанкционированные попытки входа с нетипичного адреса с помощью учетной записи службы с правами домена, чему, вероятно, способствовал слабый пароль. После этого проникновения злоумышленники использовали Протокол удаленного рабочего стола (RDP) для получения доступа к системам, отключили антивирусные средства и запустили вредоносную полезную нагрузку, известную как Hardbit v4.2, которая классифицируется как бэкдор-ВПО.

Как только первоначальные системы были подвергнуты компрометации, злоумышленники изменили стратегию, отказавшись от ранее использовавшейся учетной записи службы и получив доступ к инфраструктуре напрямую через размещенные образцы бэкдора. Ключевой компонент ВПО, помеченный как MyService, распространяется из системы.Процесс обслуживания.Класс базы обслуживания. После выполнения он динамически загружает библиотеки .NET DLL и взаимодействует с сервером управления (C2) для получения дополнительной полезной нагрузки, используя методы Отражающей загрузки кода. Этот метод позволяет вредоносному коду выполняться в памяти, не оставляя следов на диске. Следуя этому методу, вторичный загрузчик попытался получить доступ к зашифрованным загрузкам из удаленной инфраструктуры.

Атака была атрибутирована с неустановленной вредоносной группой, классифицированной в таксономии Solar 4RAYS как NGC8211, которая, по-видимому, сосредоточена на шифровании организационных данных для финансового вымогательства. Ситуация высветила значительные упущения в области безопасности со стороны целевой организации, подчеркнув необходимость применения надежных методов обеспечения безопасности при работе с подрядчиками. Рекомендации включают ограничение доступа к конфиденциальной инфраструктуре через VPN с двухфакторной аутентификацией, сведение к минимуму систем, доступных через Интернет, и отказ от некачественных политик паролей, таких как включение флага "DONT_EXPIRE_PASSWORD" для учетных записей пользователей. Кроме того, следует уделять приоритетное внимание эффективной сегментации сети, гарантируя, что даже небольшие инфраструктуры будут поддерживать изолированные сегменты для общедоступных услуг.

Восстановление систем из резервных копий требует тщательной оценки, чтобы убедиться в отсутствии в них ВПО, вызванных инцидентом, поскольку полагаться на заверения злоумышленников в расшифровке может привести к повторению сценариев вымогательства. Атака является примером критической важности соблюдения современных стандартов информационной безопасности, особенно когда речь идет о разветвленных сетях или клиентских базах.

#ParsedReport #CompletenessMedium
23-04-2026

fast16 \| Mystery ShadowBrokers Reference Reveals High-Precision Software Sabotage 5 Years Before Stuxnet

https://www.sentinelone.com/labs/fast16-mystery-shadowbrokers-reference-reveals-high-precision-software-sabotage-5-years-before-stuxnet/

Report completeness: Medium

Actors/Campaigns:
Animal_farm
Plexingeale

Threats:
Fast16
Shadow_brokers_tool
Stuxnet
Flame
Sauron

Victims:
Advanced physics, Cryptographic research, Nuclear research, Civil engineering, Physics simulations, Environmental modeling, Automotive, Aerospace, Defense, Manufacturing, have more...

Industry:
Petroleum, Military, Government, Transport, Aerospace

Geo:
China, Iran, Chinese, Portuguese, Portugal

ChatGPT TTPs:
do not use without manual check
T1014, T1018, T1021.002, T1027, T1059, T1078, T1112, T1140, T1543.003, T1547.006, have more...

IOCs:
File: 7
Hash: 3

Soft:
Windows service, Unix, Windows kernel, x envi

Algorithms:
sha1, xor, md5, sha256

Functions:
ok_to_install, ok_to_propagate

Win API:
AddConnectNotify, IoRegisterFsRegistrationChange

Languages:
lua

Platforms:
x86, intel

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SentinelLabs обнаружила сложный фреймворк для кибер-саботажа под названием fast16, действующий с 2005 года, который нацелен на программное обеспечение для высокоточных вычислений путем исправления кода в памяти для создания неточностей в критических вычислениях. Фреймворк использует драйвер ядра, fast16.sys , для изменения исполняемых файлов и содержит самораспространяющийся червячок, использующий уязвимости Служб Windows, особенно в устаревших системах, таких как Windows 2000 и XP. Целенаправленное манипулирование вычислениями с плавающей запятой Fast16's создает значительные риски для основного инженерного программного обеспечения, отражая эволюцию методов киберсаботажа, спонсируемых государством.
-----

Был обнаружен сложный фреймворк для киберсаботажа, известный как fast16, компоненты которого датируются 2005 годом.

Fast16-точечных целей Fast16 программного обеспечения расчета путем изменения кода в памяти, чтобы манипулировать результатами.

Фреймворк использует методы самораспространения для создания широко распространенных неточностей в расчетах на разных объектах.

Fast16 предшествует Stuxnet на пять лет и связан с двоичным файлом на базе Lua с именем svcmgmt.exe .

Тот fast16.sys драйвер ядра перехватывает и изменяет исполняемый код на диске, внося целенаправленные неточности в вычисления.

В первую очередь это касается специализированного программного обеспечения в таких важных областях, как продвинутая физика и криптографические исследования.

Особенности fast16 предполагают, что их происхождение связано с усилиями, спонсируемыми государством, особенно в средах Unix с высоким уровнем безопасности.

Фреймворк использует кастомную виртуальную машину Lua для обеспечения модульности и расширяемости, что соответствует тенденциям в области сложных целенаправленных угроз.

Распространение происходит через червячок, использующий Службы Windows, нацеленный на системы со слабой защитой, в частности Windows 2000 и XP.

В драйвер fast16.sys работают, ориентированных на правила исправления исполняемых файлов, ориентируясь на эти скомпилированные с Intel C/с++.

Фреймворк манипулирует вычислениями с плавающей запятой, допуская преднамеренные неточности, ставящие под угрозу научную и инженерную практику.

Потенциальные цели включают в себя такие программные комплексы, как LS-DYNA, PKPM и MOHID, которые имеют решающее значение для национальной безопасности и промышленных операций.

Fast16 указывает на поворотный момент в понимании эволюции инструментов киберсаботажа, спонсируемых государством, раскрывая ранние методы работы.

Возможности скрытности fast16 и его связи с утечкой ShadowBrokers подчеркивают продвинутый характер киберугроз в середине 2000-х годов.

#ParsedReport #CompletenessMedium
24-04-2026

Operation TrustTrap: Anatomy of a Large-Scale Deceptive Domain Spoofing Campaign

https://cyble.com/blog/operation-trusttrap-domain-spoofing-campaign/

Report completeness: Medium

Actors/Campaigns:
Trusttrap
Transparenttribe

Threats:
Typosquatting_technique
Spear-phishing_technique
Smishing_technique
Credential_harvesting_technique

Victims:
Government, Transportation, Motor vehicle services, Toll payment services, Vehicle registration services, Healthcare

Industry:
Transport, Government, Financial

Geo:
California, Emea, America, Vietnam, Pakistan, Singapore, Chinese, Georgia, Apac, Hong kong, India, Indian, China

TTPs:
Tactics: 5
Technics: 6

IOCs:
Domain: 2
Url: 1
File: 1

Soft:
Alibaba Cloud

Links:
https://github.com/CRIL-ThreatIntelligence/IOCs/tree/main/Deceptive%20Domain%20Spoofing%20Campaign

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция TrustTrap - это крупномасштабная кампания по подмене доменов, в которой задействовано более 16 800 вредоносных доменов, созданных в основном с начала 2026 года, с использованием правительственных ярлыков в качестве поддоменов для создания ложного ощущения легитимности. Кампания нацелена на правительственные службы США, уделяя особое внимание сбору учетных данных и платежных карт с помощью методов фишинга, и показывает признаки APT36, злоумышленника, связанного с подобной тактикой. Вводящие в заблуждение URL-адреса используют доверие людей к знакомым форматам, находясь в инфраструктуре, размещенной в основном в Tencent Cloud и Alibaba Cloud.
-----

Операция TrustTrap представляет собой масштабную кампанию по обману доменов, в которой, как было установлено, задействовано более 16 800 вредоносных доменов, в основном созданных с начала 2026 года. Эта операция характеризуется использованием уникальной техники, при которой злоумышленники используют государственные метки, встроенные в качестве поддоменов, чтобы создать иллюзию надежности, не обладая фактическими полномочиями DNS. Вредоносные домены обычно подключаются к инфраструктуре, размещенной в Tencent Cloud и Alibaba Cloud, нацеливаясь на государственные службы во многих штатах США, а также распространяясь на регионы в Индии, Вьетнаме и прилегающие к Великобритании. Примечательно, что анализ инфраструктуры показал показатели, соответствующие APT36, злоумышленнику, известному тем, что он нацелен на государственные структуры.

Основная цель этой кампании - сбор учетных данных и платежных карточек, что облегчается выдачей себя за государственные ресурсы, с которыми сталкиваются граждане, такие как службы регистрации транспортных средств и системы взимания платы за проезд. Основной механизм обмана заключается в том, что люди склонны доверять знакомым URL-адресам, особенно тем, которые содержат доменное расширение .gov. Используемые методы включают внедрение доверительных отношений с поддоменами и семантическое нарушение с использованием дефисов, создание визуально обманчивых URL-адресов, которые обходят обычные методы обнаружения в блокировочных списках, но кажутся законными потенциальным жертвам.

Домены в этой вредоносной экосистеме часто отображают перекрывающиеся IP-адреса, при этом значительная активность регистраторов наблюдается с Gname.com Пте. Ltd. и Dominet (HK) Limited. Анализ TLD указывает на предпочтение .bond, .cc и .cfd, которые обычно используются в этих мошеннических сценариях. Несмотря на кажущуюся безобидность при регистрации, многие домены предварительно подготавливаются и остаются неактивными до тех пор, пока не будут активированы для проведения кампаний по фишингу.

Тенденции таргетинга указывают на стратегическую направленность на штаты США с обширными государственными онлайн-сервисами, особенно на те, которые связаны с срочными транзакциями, которые более выгодны для атак социальной инженерии. Зарегистрированные домены отображают шаблоны Имперсонации, адаптированные к конкретным государственным службам, что увеличивает вероятность вовлечения пользователей и последующей компрометации данных.

Более того, в рамках кампании появляется идентифицируемый кластер, соответствующий APT36, демонстрирующий схемы повторного использования инфраструктуры, услуги общего хостинга и четкое соответствие целевой географии. Эта атрибуция подкрепляется их устоявшейся методологией подмены индийских правительственных служб с использованием замысловато сконструированных URL-адресов, которые имитируют структурные соглашения законных правительственных доменов, что еще больше усложняет усилия по обнаружению.

#ParsedReport #CompletenessHigh
24-04-2026

Xinference PyPI Supply Chain Poisoning Warning

https://nsfocusglobal.com/xinference-pypi-supply-chain-poisoning-warning/

Report completeness: High

Actors/Campaigns:
Xinference_compromise
Teampcp

Threats:
Supply_chain_technique

Victims:
Xinference, Software users

Industry:
Telco, Financial

Geo:
Usa, China

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1059.006, T1071.001, T1140, T1195.001, T1552.004

IOCs:
File: 8
Url: 1
Hash: 8

Soft:
curl, Kubernetes, Docker, Slack, Discord, Helm, WireGuard

Algorithms:
base64, sha256, md5

Languages:
python

Links:
https://github.com/xorbitsai/inference/releases

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
22 апреля 2026 года в результате атаки на supply chain была задействована библиотека Xinference в PyPI, где злоумышленники компрометации учетных данных сопровождающих выпустили три вредоносные версии. Эти версии содержали троянские программы, которые отправляли конфиденциальные данные, такие как облачные учетные данные и токены API, на сервер управления, используя закодированные полезные данные в библиотеке `__init__.py - файл. Вредоносная библиотека была загружена более чем 680 000 раз, что указывает на уязвимости в supply chain программного обеспечения с открытым исходным кодом.
-----

22 апреля 2026 года NSFOCUS CERT сообщила об инциденте с отравлением supply Chain, связанном с библиотекой Xinference в индексе пакетов Python (PyPI). Злоумышленники подвергли компрометации учетные данные разработчиков Xinference для получения разрешения на выпуск, что привело к выпуску трех версий вредоносной библиотеки. Эти версии содержали троянские программы, которые при Выполнении с участием пользователя передавали конфиденциальные данные, такие как облачные учетные данные, SSH-ключи, токены API, пароли к базе данных и конфигурации переменных среды, на сервер командования и контроля (C2) злоумышленников.

Вредоносная полезная нагрузка была закодирована на нескольких уровнях Base64 в библиотеке `__init__.py - файл. Эксплуатация началась, когда пользователь импортировал библиотеку Xinference, запустив загрузку и последующее выполнение вредоносного кода, находящегося в `__init__.py `. Полезная нагрузка была разработана для создания переменной, которая декодировала бы и выполняла полезную нагрузку второго этапа с использованием подпроцесса Python. В частности, он использовал команду `curl` с пользовательским HTTP-заголовком для передачи собранных данных на сервер, расположенный по адресу https://whereisitat .люциатемысупербокс.пространство.

Масштаб атаки был значительным: Xinference подвергся более чем 680 000 загрузкам из репозитория, что подвергло риску любого пользователя вредоносных версий. После сообщений пользователей о необычном поведении разработчики Xinference быстро удалили вредоносные версии, но инцидент выявил уязвимости в supply chain программного обеспечения с открытым исходным кодом.

Чтобы снизить риски для затронутых пользователей, было намечено несколько шагов по устранению неполадок. Пользователям было рекомендовано вернуться к безопасной версии библиотеки (версия 2.5.0) и, в случае обнаружения вредоносных пакетов, немедленно изолировать ресурсы компрометации. Также были рекомендованы проверки истории оболочки на наличие аномалий (таких как несанкционированные команды, включающие `curl`, `wget` и `base64`), наряду с тщательной проверкой SSH-ключей и конфиденциальных файлов для обнаружения любого несанкционированного доступа.

Более того, пользователям было дано указание отслеживать файлы журналов на предмет подключений к домену злоумышленника и рекомендовано изменить свои файлы хостинга, чтобы заблокировать эти домены. Этот инцидент подчеркивает необходимость проявлять бдительность при поддержании целостности библиотеки и защите учетных данных для выпуска в экосистемах с открытым исходным кодом.

#ParsedReport #CompletenessHigh
24-04-2026

Inside agenteV2: How Brazilian Attackers Use Fake Court Summons to Steal Banking Credentials in Real Time

https://any.run/cybersecurity-blog/brazilian-banking-phishing-campaign/

Report completeness: High

Threats:
Agentev2
Credential_harvesting_technique
Dead_drop_technique
Spear-phishing_technique
Uac_bypass_technique

Victims:
Brazilian users, Organizations in brazil, Banking customers, Cryptocurrency wallet users, Finance teams, Executives

Industry:
Healthcare, Financial

Geo:
Brazil, Portuguese, Germany, Brazilian, Latam, Brasil, Ita

TTPs:
Tactics: 9
Technics: 21

IOCs:
File: 34
IP: 3
Url: 12
Registry: 4
Domain: 2
Command: 2
Path: 3
Hash: 2

Soft:
Pastebin, Linux, Android, Nuitka, PyInstaller, OpenSSL, Chrome, Opera, astebin, nginx, have more...

Algorithms:
sha1, md5, base64, sha256, xor, vigenere

Functions:
VBScript, Execute

Win API:
copyfile

Languages:
powershell, python, php, cpython

Platforms:
x86

YARA: Found

Links:
https://pastebin.com/raw/0RmxqY57

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по фишингу в Бразилии использует agenteV2, сложный банковский троян, который выдает себя за судебный вызов, чтобы обманом заставить пользователей установить ВПО. Он устанавливает бэкдор WebSocket для доступа в режиме реального времени, позволяя в режиме реального времени отслеживать банковскую деятельность и мгновенное финансовое мошенничество. ВПО использует двухуровневую тактику социальной инженерии, чтобы избежать обнаружения, и использует динамичную стратегию управления, усложняя традиционные защитные меры и подчеркивая значительные риски для организаций, связанных с бразильскими финансовыми системами.
-----

В статье обсуждается весьма изощренная кампания фишинга в Бразилии, использующая ВПО, известное как agenteV2. Этот интерактивный банковский троянец маскируется под официальную судебную повестку, чтобы обманом заставить жертв загрузить вредоносную полезную нагрузку. После запуска ВПО устанавливает постоянный бэкдор WebSocket, который позволяет злоумышленникам получать доступ к системе жертвы в режиме реального времени, что позволяет осуществлять финансовое мошенничество в реальном времени и кражу учетных данных. Угроза в первую очередь нацелена на пользователей в Бразилии, уделяя особое внимание крупным банкам и расширениям криптовалютных кошельков, тем самым вызывая серьезные опасения у организаций, сотрудники которых могут быть подвержены кампании.

agenteV2 демонстрирует расширенные возможности по сравнению с традиционным ВПО, использующим credential-stealing для кражи учетных данных. Он транслирует экран жертвы, позволяя злоумышленникам отслеживать банковские операции и действовать мгновенно при обнаружении банковского сеанса. Злоумышленники могут выполнять команды удаленно, что приводит к потенциальному финансовому мошенничеству, происходящему всего через несколько минут после заражения, в рамках любых типичных мер реактивной безопасности. Вредоносная программа ВПО использует многоуровневые методы закрепления, включая запланированные задачи и изменения реестра, гарантируя, что она остается работоспособной после перезагрузки системы и технического обслуживания.

В ходе фишинг-атаки используется реалистичное электронное письмо, выдающее себя за федеральный суд Бразилии, в котором получателю предлагается открыть защищенный паролем PDF-файл. В результате взаимодействия с пользователем запрашивается загрузка файла VBS, который затем извлекает вредоносные исполняемые компоненты. Этот двухуровневый метод социальной инженерии эффективно действует, обходя механизмы безопасности, которые могли бы тщательно проверять вложения и ссылки.

Важно отметить, что ВПО извлекает адрес сервера управления (C2) с общедоступной страницы Pastebin. Этот метод позволяет быстро менять IP-адреса без необходимости повторного размещения ВПО в системах компрометации, что делает IP-блокировки неэффективными через короткие промежутки времени. Для эффективных контрмер рекомендуется стратегия обнаружения, основанная на поведении, а не традиционная блокировка на основе IP-адреса.

Базовый код agenteV2 компилируется с помощью Nuitka в машинный код, что затрудняет статический анализ, но плохие методы обеспечения операционной безопасности разработчиков, такие как сохранение отладочных строк и доступных имен переменных, оставляют исследователям возможности для использования. Кроме того, ВПО включает проверку на наличие местного программного обеспечения для борьбы с мошенничеством, что указывает на хорошо проработанную стратегию таргетинга, характерную для бразильских финансовых учреждений.

Подводя итог, ВПО agenteV2 является примером современных угроз, которые являются интерактивными и управляются оператором, что значительно повышает ставки организаций в их защитных позициях от финансового мошенничества в режиме реального времени. Эффективное смягчение последствий должно быть сосредоточено на понимании его динамического поведения и расширении возможностей обнаружения, а не исключительно на блокировании известных IOC.

#ParsedReport #CompletenessMedium
25-04-2026

73 Open VSX Sleeper Extensions Linked to GlassWorm Show New Malware Activations

https://socket.dev/blog/73-open-vsx-sleeper-extensions-glassworm

Report completeness: Medium

Threats:
Glassworm
Supply_chain_technique
Dead_drop_technique

Victims:
Open vsx, Developers

Industry:
E-commerce

Geo:
Turkish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.007, T1102.001, T1105, T1140, T1195.001, T1204

IOCs:
File: 1
Hash: 3
Url: 3

Soft:
Open VSX, Visual Studio Code

Crypto:
solana

Algorithms:
sha256

Functions:
install

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания GlassWorm эволюционировала, чтобы использовать 73 клонированных расширения Open VSX, изначально безвредных, но позже использовавшихся для доставки ВПО, имитируя законное программное обеспечение, чтобы обмануть разработчиков. Новые учетные записи GitHub размещают эти расширения, некоторые из которых, как было подтверждено, доставляют ВПО с помощью транзитивных методов вместо прямого внедрения полезных нагрузок. Кампания использует встроенные двоичные файлы и запутанный JavaScript для скрытия вредоносных URL-адресов, что позволяет избежать обнаружения за счет выполнения вредоносных команд в надежных средах IDE, таких как Visual Studio Code.
-----

Кампания GlassWorm расширила свою тактику, используя клонированные открытые расширения VSX, которые теперь включают в себя 73 идентифицированных спящих расширения, которые перешли от доброкачественного внешнего вида к средствам доставки ВПО. Расширения Sleeper изначально публикуются без злого умысла и предназначены для укрепления доверия, прежде чем использоваться в качестве оружия для атак. Эти клонированные расширения часто точно отражают законные, используя знакомые названия, значки и контент, чтобы ввести разработчиков в заблуждение. В качестве примера приведена Имперсонация законного турецкого языкового пакета для Visual Studio Code, который создан так, чтобы выглядеть аутентичным, несмотря на то, что был опубликован новыми учетными записями на GitHub.

С апреля 2026 года было замечено, что злоумышленник использует недавно созданные учетные записи GitHub, в которых размещено минимальное количество репозиториев, в основном пустых или содержащих вводящую в заблуждение информацию. Активация по меньшей мере шести из этих расширений подтвердила их роль в распространении ВПО, в то время как другие остаются в состоянии готовности к активации, что соответствует предыдущим моделям кампании GlassWorm. Механизмы доставки эволюционировали, перейдя от встраивания вредоносной полезной нагрузки непосредственно в расширения к использованию переходных методов доставки, таких как указание внешних зависимостей или инструкций по установке, указывающих на вредоносные артефакты.

Расширения могут реализовывать вредоносную логику с помощью встроенных двоичных файлов или запутанного JavaScript. В частности, использование встроенных двоичных файлов .node позволяет расширениям скрывать вредоносные URL-адреса, ведущие к файлам .vsix, при установке выполняются команды, предназначенные для популярных IDE, таких как VS Code. В отличие от этого, некоторые варианты полагаются исключительно на запутанный JavaScript для извлечения полезной информации, динамически декодируя информацию во время выполнения для выполнения после активации расширения. Этот многогранный подход позволяет избежать традиционных механизмов обнаружения, поскольку сам код расширения не раскрывает вредоносное поведение, которое в конечном итоге запускается.

Эволюционирующие методы, используемые GlassWorm, указывают на тревожную тенденцию в атаках на supply chain, когда вредоносный контент доставляется по надежным программным каналам, эффективно используя тактику социальной инженерии для проникновения в среды разработки.