#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость нулевого дня "ToolShell" (CVE-2025-53770) в SharePoint Server делает возможным удаленное выполнение кода без проверки подлинности (RCE) с оценкой CVSS 9,8. Это представляет непосредственную угрозу, поскольку злоумышленники используют ее для получения контроля, утечки данных и перемещения по сетям. Организациям следует изолировать SharePoint, включить AMSI, применить доступные исправления и отслеживать подозрительное поведение.
-----

Критическая уязвимость нулевого дня, известная как "ToolShell" (CVE-2025-53770), представляет серьезную угрозу для локальных развертываний SharePoint Server, позволяя выполнять удаленный код без проверки подлинности (RCE). Эта уязвимость особенно опасна из-за ее статуса "нулевого дня", что означает, что ранее она была неизвестна и не была исправлена, что делало системы уязвимыми для использования. Она имеет высокий балл CVSS - 9,8, что указывает на ее критический характер. Злоумышленники могут использовать ToolShell без действительных учетных данных, что позволяет им выполнять произвольный код на уязвимых серверах SharePoint. Такое использование может привести к полному контролю над системой, утечке данных или их перемещению по сети. Имеющиеся данные свидетельствуют о том, что хакеры уже активно используют эту уязвимость в дикой природе, подчеркивая непосредственную угрозу, которую она представляет для организаций по всему миру.

Чтобы снизить риск, связанный с ToolShell, организациям следует внедрить многоуровневую стратегию защиты. Основные рекомендации включают изоляцию экземпляров SharePoint от общего доступа, включение интерфейса проверки на вредоносные программы (AMSI) в полном режиме для улучшения интеграции endpoint protection и применение любых доступных исправлений, предоставляемых корпорацией Майкрософт для уязвимых версий SharePoint. Организациям также рекомендуется интегрировать индикаторы компрометации (IOCs), связанные с ToolShell, в свои средства обеспечения безопасности, чтобы расширить возможности обнаружения потенциального использования. Они должны отслеживать подозрительное поведение в SharePoint, особенно в каталоге "МАКЕТЫ", и рассмотреть возможность проведения ретроактивного поиска угроз для выявления потенциальных предыдущих случаев использования.

Важность устранения уязвимости, связанной с ToolShell, трудно переоценить, учитывая ее потенциальную опасность для систем безопасности. Организациям необходимо действовать быстро, чтобы внедрить рекомендуемые защитные меры и обеспечить мониторинг своей среды на предмет наличия признаков этой угрозы.

#ParsedReport #CompletenessLow
23-07-2025

Uncovering a Stealthy WordPress Backdoor in mu-plugins

https://blog.sucuri.net/2025/07/uncovering-a-stealthy-wordpress-backdoor-in-mu-plugins.html

Report completeness: Low

Victims:
Wordpress users, Website owners

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1070.004, T1098.002, T1505.003

IOCs:
Url: 2
File: 4

Soft:
WordPress

Algorithms:
base64

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная вредоносная программа нацелена на WordPress, скрываясь в папке mu-plugins и используя загрузчик для получения удаленной полезной нагрузки, что позволяет удаленно выполнять команды и получать административный доступ. Она изменяет пароли администратора для усиления контроля и может устанавливать дополнительные вредоносные программы, создавая значительную угрозу целостности веб-сайта и конфиденциальности данных. Для снижения таких рисков необходимы регулярные обновления и меры безопасности.
-----

Недавние открытия выявили сложную вредоносную программу, скрытую в папке mu-plugins на сайтах WordPress. Эта вредоносная программа использует скрытую тактику, используя функцию "обязательные к использованию плагины", которая автоматически активирует плагины, которые нельзя отключить из панели администратора. Вредоносная программа функционирует как загрузчик, незаметно извлекая удаленную полезную нагрузку из URL-адреса, запутанного с помощью ROT13, и сохраняя ее в базе данных сайта, в частности, в записи _hdra_core в таблице параметров WordPress. Этот метод позволяет обойти обычное обнаружение файловой системы, позволяя вредоносному ПО оставаться незамеченным.

Ядро вредоносной программы представлено файлом с именем wp-index.php в каталоге mu-plugins, который по своей сути загружается WordPress, обеспечивая сохраняемость. Полезная нагрузка выполняется с помощью ряда функций WordPress, облегчающих удаленное выполнение команд. Как только запутанная полезная нагрузка расшифровывается, она раскрывает сложную структуру вредоносного ПО, предназначенную для получения административного доступа. Вызывает тревогу тот факт, что вредоносная программа включает в себя функцию изменения паролей для обычных имен пользователей администратора, таких как "admin" и "root", на установленные злоумышленником по умолчанию, тем самым укрепляя контроль над скомпрометированным сайтом.

Этот бэкдор предоставляет злоумышленникам широкие возможности, позволяя им устанавливать дополнительные вредоносные программы, портить сайт или даже использовать его в качестве стартовой площадки для дальнейших атак. Его скрытые функции позволяют ему скрываться от администраторов, стирать следы и избегать обнаружения плагинами безопасности, что создает значительную угрозу целостности веб-сайта и конфиденциальности пользовательских данных.

Для устранения таких угроз важно поддерживать WordPress, темы и плагины в актуальном состоянии, чтобы устранять любые уязвимости. Владельцы веб-сайтов должны использовать темы и плагины только из авторитетных источников и использовать надежные уникальные пароли для всех учетных записей. Активация двухфакторной аутентификации (2FA) обеспечивает дополнительный уровень безопасности, особенно для учетных записей администраторов. Также рекомендуется провести аудит файлов тем и плагинов, правильно настроить права доступа к файлам и отключить редактирование файлов в wp-config.php для дополнительной защиты от несанкционированного доступа.

Этот инцидент подчеркивает эволюционный характер хакеров, особенно в экосистеме WordPress. Используя каталог mu-plugins и хранилище базы данных для вредоносных программ, злоумышленники могут эффективно обходить обычные методы обнаружения, сохраняя доступ даже после попыток очистки. Регулярный мониторинг несанкционированных действий и всестороннее сканирование всех компонентов сайта необходимы для повышения безопасности от таких скрытых атак.

#ParsedReport #CompletenessMedium
23-07-2025

Fake CAPTCHA led to LUMMA100725

https://www.nccgroup.com/us/research-blog/fake-captcha-led-to-lumma100725/

Report completeness: Medium

Threats:
Fakecaptcha_technique
Lumma_stealer
Clickfix_technique

Geo:
France

TTPs:
Tactics: 5
Technics: 9

IOCs:
Domain: 5
Command: 2
Path: 5
File: 3
Url: 1
Hash: 4

Soft:
Microsoft Edge, Google Chrome, Windows Defender Firewall, AutoHotKey

Wallets:
iconx

Algorithms:
zip, sha1

Languages:
powershell, autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года вредоносная программа LUMMA infostealer, инструмент русскоязычных хакеров, использовала методы T1189 и T1204 с помощью социальной инженерии для доступа к учетным данным пользователей Microsoft Edge и Google Chrome. Заражение включало команду PowerShell для загрузки вредоносных файлов и установления соединения C2 с "blameaowi.run", используя тактику обхода, такую как запутывание команд и mshta.exe.
-----

В мае 2025 года команда NCC Group по цифровой криминалистике и реагированию на инциденты (DFIR) расследовала киберинцидент, связанный с вредоносным ПО LUMMA infostealer. LUMMA, разновидность вредоносного ПО для кражи информации, была впервые обнаружена в декабре 2022 года и распространяется преимущественно русскоязычными хакерами по модели "Вредоносное ПО как услуга". LUMMA нацелена на конфиденциальные данные, включая учетные данные и данные браузера, и в ходе этого взаимодействия особое внимание было уделено хранилищам данных Microsoft Edge и Google Chrome, в частности "Регистрационным данным" и "Веб-данным"..

Атака началась с первоначального доступа, полученного с помощью компрометации, описанной в методике T1189. Пользователь был перенаправлен с законного веб-сайта на вредоносную страницу проверки с помощью капчи, которая использовала тактику социальной инженерии, чтобы обманом заставить пользователя запустить вредоносное ПО. После визита пользователя в течение нескольких минут произошла последовательность событий: PowerShell был задействован для выполнения команд и загрузки дополнительных файлов, что указывает на быстрый способ заражения.

В ходе атаки было использовано несколько методов, начиная с T1204 для выполнения пользователем, когда поддельный сайт с капчей предлагал пользователю запустить команду PowerShell, которая была тайно разработана для загрузки вредоносной полезной нагрузки. Конкретная выполненная команда была сильно запутана и включала вызов диалогового окна запуска Windows для выполнения дальнейшего вредоносного кода. Эта команда PowerShell была создана для загрузки zip-файла с именем “afc.zip” с подозрительного URL-адреса, наглядный пример T1059.001: Интерпретатор команд и сценариев: PowerShell.

Впоследствии были доставлены два файла: afc.zip и сценарий автоматической загрузки с именем "deci.com", созданный одновременно. Исполняемому файлу AutoIt было поручено получить доступ к данным браузера Microsoft Edge и Google Chrome, что позволило использовать методику T1555.003 для извлечения учетных данных из хранилища паролей. Этот процесс включал доступ к определенным файлам, в которых хранятся данные браузера.

Кроме того, вредоносный исполняемый файл инициировал исходящее соединение со своим сервером управления (C2), идентифицированным как "blameaowi.run", используя защищенные HTTPS-соединения, соответствующие стандарту T1071.001: Протокол прикладного уровня: Веб-протоколы. В ходе этого столкновения использовались различные методы уклонения, включая сильно запутанные команды (T1027) и использование mshta.exe для выполнения дальнейших команд без обнаружения (T1218.005).

#ParsedReport #CompletenessHigh
23-07-2025

Operation CargoTalon : UNG0901 Targets Russian Aerospace & Defense Sector using EAGLET implant.

https://www.seqrite.com/blog/operation-cargotalon-ung0901-targets-russian-aerospace-defense-sector-using-eaglet-implant/

Report completeness: High

Actors/Campaigns:
Cargotalon (motivation: information_theft, cyber_espionage)
Head_mare (motivation: information_theft, cyber_espionage)
Ta505

Threats:
Eaglet
Spear-phishing_technique
Lolbin_technique
Phantomdl

Victims:
Voronezh aircraft production association, Obltransterminal llc, Russian military recruitment entities, Russian governmental entities, Russian non-governmental entities

Industry:
Aerospace, Military, Ngo, Logistic

Geo:
Russia, Russian, Romania, Russian-federation

TTPs:
Tactics: 8
Technics: 10

IOCs:
File: 6
IP: 2
Path: 1
Hash: 14

Algorithms:
zip

Win API:
CreateThread, WinHttpOpen

Languages:
golang, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберкампания, нацеленная на российскую аэрокосмическую промышленность, использует фишинг с использованием вредоносных файлов LNK для установки имплантата EAGLET DLL, обеспечивающего доступ к командной оболочке и эксфильтрацию файлов. Эта операция связана с хакером TA505 и предполагает значительное совпадение с такими группами, как Неизвестная группа 901, использующими схожую тактику и документы-приманки.
-----

Недавнее расследование, проведенное APT-командой SEQRITE Labs, выявило киберкампанию, направленную против российской аэрокосмической промышленности, в частности, в отношении операций, связанных с Воронежским авиационным производственным объединением (ВАСО). В этой кампании используется тактика скрытого фишинга, использующая вредоносные файлы электронной почты, содержащие ссылки на опасный модуль EAGLET DLL. Угрозы в основном исходят от вредоносного файла LNK, который маскируется под ZIP-файл, инициируя многогранную цепочку заражения.

Первоначальная точка взлома была обнаружена с помощью вредоносного электронного письма с пометкой backup-message-10.2.2.20_9045-800282.eml, созданного для обмана сотрудника ВАСО под видом накладной из Транспортно-логистического центра. Электронное письмо побудило получателя подготовиться к скорой отправке, в то время как вложение представляло значительный риск, поскольку в конечном итоге оказалось ложным DLL-файлом. Кампания использует вредоносный файл LNK для внедрения этой DLL-библиотеки, которая была внедрена в систему получателя с помощью аналогичных методов фишинга.

Анализ файла LNK указывает на его роль в выполнении имплантата EAGLET. В нем используется PowerShell для поиска имплантата DLL, маскирующегося под ZIP-файл. Если он найден, он запускает этот файл с помощью процесса rundll32.exe и одновременно создает ложный файл Excel, извлекая из него встроенные данные, имитирующие официальную российскую документацию по логистике. Примечательно, что эта приманка связана с компанией Obltransterminal LLC, включенной в санкционный список Министерства финансов США, что указывает на то, что угроза сосредоточена на логистике, связанной с военными операциями.

Глубокое изучение имплантата EAGLET выявляет его вредоносные функции. Он собирает системную информацию, такую как имя компьютера и домен DNS, устанавливает соединение с сервером управления (C2), расположенным по IP-адресу 185.225.17.104 в Румынии, используя стандартные API Windows для облегчения повторных попыток подключения. При успешном подключении к C2 имплантат обеспечивает доступ к командной оболочке, эксфильтрацию файлов и загрузку вредоносной полезной нагрузки под видом обычных приложений.

Дальнейшие следственные действия связали эту кампанию с прошлыми кибероперациями, связанными с хакером TA505, продемонстрировав параллели в использовании инфраструктуры и поведении, характеризующиеся использованием переработанных доменов и аналогичных методов работы. Кроме того, была отмечена дополнительная кампания, нацеленная на российский военный сектор, в которой использовались аналогичные имплантаты EAGLET.

Анализ атрибуции указывает на значительное дублирование операций неизвестной группы 901 (UNG0901) и хакерской группы Mare, идентифицированной исследователями Касперского. Обе они нацелены на ключевые российские правительственные и неправительственные организации, используя схожие соглашения об именовании файлов и методы работы. Их вредоносное ПО обладает сопоставимыми возможностями, включая доступ к командной строке и управление файлами, которые демонстрируются с помощью различных, но визуально похожих документов-приманок, предназначенных для введения в заблуждение целей.

#ParsedReport #CompletenessMedium
23-07-2025

New MacOS.ZuRu Variant Discovered

https://blog.polyswarm.io/new-macos.zuru-variant-discovered

Report completeness: Medium

Threats:
Zuru
Termius_tool
Khepri
Securecrt_tool

Industry:
Software_development

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1105, T1140, T1195.001, T1204.002, T1547.015, T1553.003, T1554

IOCs:
Domain: 1
Hash: 2

Soft:
MacOS, macOS Gatekeeper

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая версия macOS.Вредоносная программа ZuRu использует для развертывания троянское приложение Termius, предназначенное для разработчиков. В ней используется модифицированный маяк Khepri C2 для скрытого удаленного доступа и уклонения. Вредоносная программа изменяет двоичный файл помощника Termius, использует проверки MD5 на целостность полезной нагрузки и взаимодействует через порт 53, маскируя свои операции доменом-приманкой.
-----

Была обнаружена новая версия macOS.Вредоносная программа ZuRu использует троянскую версию приложения Termius для облегчения своего развертывания. Этот вариант, обнаруженный в конце мая 2025 года, продолжает тенденцию, установившуюся с момента его первоначального обнаружения в 2021 году, и ориентирован на разработчиков и ИТ-специалистов. Хакеры усовершенствовали свой подход, внедрив модифицированный радиомаяк Khepri command-and-control (C2), который позволяет осуществлять скрытый удаленный доступ, используя при этом сложную тактику уклонения от механизмов обнаружения.

Способ доставки для macOS.Вариант ZuRu предполагает вмешательство в SSH-клиент Termius. Размер обычного приложения, обычно составляющего 225 МБ, изменен на 248 МБ для размещения дополнительных исполняемых файлов в пакете Termius Helper.app. В частности, исходный двоичный файл Termius Helper переименовывается, а его заменяет новый вредоносный двоичный файл Mach-O с именем Termius Helper. Этот двоичный файл-самозванец запускает как переименованную легитимную версию, так и загрузчик с именем .localized, который извлекает маяк Khepri C2 и сохраняет его в каталоге /tmp/.fseventsd.

Маяк Khepri в этом варианте работает иначе, чем в предыдущих версиях; вместо внедрения вредоносных программ.библиотеки dylib используют троянское вспомогательное приложение, чтобы обойти механизмы обнаружения, которые фокусируются на динамическом поведении библиотеки. Маяк может работать в режиме пропуска или в фоновом режиме и обмениваться данными с сервером C2 каждые пять секунд. Это ускоренное сердцебиение повышает его скрытность. Связь осуществляется через порт 53, и маяк использует домен-приманку, www.baidu.com для маскировки своих истинных операций. Вредоносная программа обходит macOS Gatekeeper, заменяя подпись кода разработчика специальной подписью, используя доверие, присущее подписанным приложениям.

Кроме того, локализованный загрузчик обеспечивает целостность полезной нагрузки с помощью проверки хэша MD5 и обновляет себя по мере необходимости, что повышает его устойчивость и постоянство. Возможности, предоставляемые платформой Khepri, включают передачу файлов, разведку, выполнение процессов и команд с перехватом выходных данных, что создает серьезный риск для скомпрометированных систем. Стратегия ZuRu нацелена на пользователей серверных инструментов, таких как Termius, SecureCRT и Navicat, что указывает на намерение внедриться в ИТ-среду и среды разработки. Зависимость вредоносного ПО от загрузки скомпрометированных приложений подчеркивает важность тщательной проверки программного обеспечения для устранения таких угроз. Эволюционирующий характер macOS.ZuRu отражает текущие проблемы в среде хакеров.

#ParsedReport #CompletenessLow
23-07-2025

Back to Business: Lumma Stealer Returns with Stealthier Methods

https://www.trendmicro.com/en_us/research/25/g/lumma-stealer-returns.html

Report completeness: Low

Actors/Campaigns:
Water_kurita

Threats:
Lumma_stealer
Fakecaptcha_technique
Clickfix_technique

Victims:
Organizations, Individuals, Employees, Users

Industry:
E-commerce

Geo:
Russia

ChatGPT TTPs:
do not use without manual check
T1005, T1071.001, T1078, T1204.002, T1583.006

IOCs:
Hash: 3
File: 2
Url: 55

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lumma Stealer вновь появилась с обновленной тактикой кражи конфиденциальной информации с помощью мошеннических каналов, таких как поддельное программное обеспечение. После удаления, она адаптировалась, используя GitHub для доставки и использования законных сервисов, сигнализируя о сохраняющихся рисках для организаций.
-----

Недавно Lumma Stealer вновь появилась на свет, продемонстрировав изменение тактики после своего уничтожения в мае 2025 года. Вредоносная программа, которая отлично справляется с кражей конфиденциальной информации, такой как учетные данные и файлы, теперь распространяется по более скрытным каналам и использует более хитрые методы уклонения. Пользователей заманивают к загрузке Lumma Stealer с помощью таких средств, как поддельное взломанное программное обеспечение, вводящие в заблуждение веб-сайты и реклама в социальных сетях. Эта угроза позиционируется как вредоносное ПО как услуга (MaaS), что позволяет даже неопытным киберпреступникам легко внедрять ее, что увеличивает риск для организаций, сотрудники которых недостаточно осведомлены о кибербезопасности.

После масштабной операции правоохранительных органов, в результате которой было захвачено более 2300 доменов, являющихся неотъемлемой частью инфраструктуры командования и контроля Lumma Stealer, непосредственные последствия показали снижение ее оперативных возможностей. Эти захваты затронули важные домены, используемые в качестве панелей входа в систему, что фактически нарушило фильтрацию данных и основные механизмы распространения вредоносного ПО. Однако недавний мониторинг выявил тихое возрождение новых кампаний, использующих новую тактику, включая использование GitHub в качестве платформы доставки и использование поддельных сайтов с капчей для распространения вредоносного ПО.

Команда разработчиков Lumma Stealer продемонстрировала значительную адаптивность. После завершения разработки разработчик публично признал сбой и заявил, что восстановил доступ к серверу, адаптировав свою конфигурацию, что говорит о вероятности дальнейших попыток восстановления. Изначально полагаясь на Cloudflare для защиты своей вредоносной инфраструктуры, операторы изменили тактику своей работы, привлекая законных поставщиков облачных услуг и услуг передачи данных, особенно из России.

Эти события подчеркивают сохраняющуюся угрозу Lumma Stealer, подчеркивая необходимость того, чтобы организации проводили тщательное обучение сотрудников кибербезопасности, чтобы помочь им распознавать мошеннические действия. Постоянная бдительность и активный обмен информацией об угрозах между сообществом специалистов по кибербезопасности и правоохранительными органами имеют жизненно важное значение для эффективной борьбы с этим меняющимся ландшафтом угроз. Организации должны усилить свою защиту с помощью передовых средств кибербезопасности, чтобы снизить риски, связанные с постоянными инновациями киберпреступников, поскольку даже значительные меры правоохранительных органов могут лишь временно избавить от таких угроз.

#ParsedReport #CompletenessLow
22-07-2025

npm is Package Hijacked in Expanding Supply Chain Attack

https://socket.dev/blog/npm-is-package-hijacked-in-expanding-supply-chain-attack

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique
Scavenger

Victims:
Developers, Ci systems, Npm package maintainers

Geo:
Jordan

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1055.012, T1071.001, T1112, T1195.002, T1204.002, T1219, T1552, T1555.003, have more...

IOCs:
File: 10

Soft:
Chrome, macOS, Linux, Electron

Languages:
javascript

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания скомпрометировала популярные библиотеки npm, в частности пакет "is", развернув загрузчик вредоносных программ на JavaScript (Scavenger), который извлекает сведения о системе и устанавливает удаленную оболочку через WebSocket. Атака использует кражу учетных данных для публикации вредоносных версий пакетов, затрагивая несколько пакетов и выявляя уязвимости в системах управления зависимостями.
-----

Фишинговая кампания, нацеленная на npm, активизировалась, поскольку злоумышленники проникают в популярные библиотеки для внедрения вредоносных программ. Наиболее уязвимым является пакет "is", который еженедельно загружается примерно на 2,8 миллиона устройств и предоставляет служебные функции для проверки типов и валидации. Злоумышленники внедрили в этот пакет вредоносный загрузчик JavaScript, используя пользовательский декодер, который работает с 94-символьным алфавитом. Загрузчик восстанавливает свою полезную нагрузку непосредственно в памяти и выполняет ее с помощью "новой функции" JavaScript, что означает, что он не оставляет на диске никаких отслеживаемых артефактов. После активации вредоносная программа извлекает сведения о системе с помощью модуля операционной системы Node, собирает все переменные среды из файла process.env и динамически импортирует библиотеку ws для передачи этих данных по WebSocket-соединению. Это позволяет злоумышленнику получать исполняемые сообщения JavaScript в режиме реального времени, фактически предоставляя им удаленную оболочку на компьютере жертвы.

Кроме того, было скомпрометировано несколько версий различных пакетов, включая "eslint-config-prettier", "eslint-plugin-prettier" и "got-fetch`. В некоторые из этих пакетов также была включена библиотека DLL, специфичная для Windows, с именем "node-gyp.dll", что предполагает стратегию двойной загрузки, направленную на максимальное расширение сферы охвата атаки. Внедренная вредоносная программа, известная как Scavenger, использует сложные тактические приемы, такие как методы антианализа и зашифрованные командно-контрольные сообщения. В первую очередь она нацелена на сбор конфиденциальных данных браузера и другой информации о контексте разработки, такой как файлы `.npmrc`. После развертывания он может скрыть свое присутствие, перезаписав свой собственный "index.js", что усложняет удаление и требует сброса файлов блокировки в дополнение к простому удалению `node_modules`.

Атака, по-видимому, была осуществлена после кражи учетных данных с помощью фишинга, что позволило злоумышленникам публиковать вредоносные версии скомпрометированных пакетов. Ситуация усугубилась, когда были похищены токены npm сопровождающих, что позволило автоматически распространять вредоносные обновления по всей экосистеме разработчиков. В отчетах указывается, что пользователи, зараженные вредоносной программой Scavenger, сталкивались с серьезными проблемами в работе, включая отключение функций безопасности в Chrome и потенциальную компрометацию SSH-ключей, что в конечном итоге потребовало принятия комплексных мер по восстановлению, таких как замена SSD-накопителя и полная переустановка системы. Эта кампания иллюстрирует критические уязвимости, присущие системам управления зависимостями, и подчеркивает необходимость проявлять бдительность в отношении угроз цепочке поставок.

#ParsedReport #CompletenessLow
23-07-2025

Coyote in the Wild: First-Ever Malware That Abuses UI Automation

https://www.akamai.com/blog/security-research/active-exploitation-coyote-malware-first-ui-automation-abuse-in-the-wild

Report completeness: Low

Threats:
Coyote

Victims:
Brazilian users, Brazilian companies

Industry:
Financial

Geo:
Brazilian, Latin america, Brasil

ChatGPT TTPs:
do not use without manual check
T1056.001, T1056.004, T1071.001, T1204.002, T1566.002

IOCs:
File: 3

Wallets:
electrum

Crypto:
binance, bitcoin

Win API:
GetForegroundWindow

#ParsedReport #GeneratedSchema
Generated with GPT-4