#ParsedReport #CompletenessMedium
28-11-2025

Rare Earth Material Lure Delivering Shellcode Loader

https://dmpdump.github.io/posts/Reia/

Report completeness: Medium

Victims:
Rare earth materials sector, Think tanks

Industry:
Military, Education

Geo:
China, Singapore

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.001, T1620

IOCs:
File: 5
Url: 1
Domain: 1
Hash: 4
IP: 1

Algorithms:
zip

Win API:
LoadLibrary, SwitchToFiber

Links:
https://github.com/dmpdump/ShellcodeFiber/blob/main/main.cpp
https://github.com/dmpdump
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберугроза, выявленная 21 ноября 2025 года, включала тактику социальной инженерии с использованием ZIP-файла под названием “Китайское управление редкоземельными элементами и его глобальная Implications.zip , ” содержащий защищенный паролем PDF-файл и исполняемый файл "SecurityKey.exe ." Исполняемый файл действует как загрузчик шелл-кода, раскрывая пароль PDF при выполнении, что приводит к доступу к законному документу, относящемуся к управлению редкоземельными элементами. Несмотря на связь с геополитической напряженностью, связанной с Китаем, инфраструктура вредоносного ПО не была окончательно связана с каким-либо известным злоумышленником.
-----

21 ноября 2025 года на VirusTotal из Сингапура был загружен образец, идентифицированный командой охотников за вредоносным ПО, в котором подчеркивается киберугроза, использующая приманку, сосредоточенную вокруг редкоземельных материалов. Вредоносный ZIP-файл под названием "Китайское управление редкоземельными элементами и его глобальное Implications.zip " содержал два компонента: защищенный паролем PDF-документ и исполняемый файл с именем "SecurityKey.exe ." Вектор атаки основан на социальной инженерии, побуждающей жертв открыть PDF-файл и впоследствии запустить исполняемый файл, чтобы получить пароль, необходимый для доступа к документу.

Исполняемый файл "SecurityKey.exe " функционирует как загрузчик шелл-кода. После выполнения он запрашивает у пользователя окно сообщения, в котором отображается пароль для PDF-файла "202511". Как только этот пароль будет использован, он откроет доступ к PDF-файлу, который является законной статьей, опубликованной сингапурским аналитическим центром о последствиях управления редкоземельными элементами. Эта тактика демонстрирует использование заслуживающих доверия документов для завоевания доверия потенциальных жертв, что согласуется со стратегической важностью редкоземельных материалов в технологическом и военном применении.

Инцидент отражает более широкий контекст геополитической напряженности, связанной с редкоземельными материалами, в частности, с участием Китая, который является ведущим производителем и обладает значительными запасами. Хотя против Сингапура выдвигались обвинения в китайской киберактивности, конкретное вредоносное ПО и его инфраструктура не были окончательно связаны с какими-либо известными операциями, приписываемыми Китаю. Следовательно, имеющиеся доказательства не дают достаточных оснований для однозначного отнесения к конкретному злоумышленнику или кампании. Продолжающаяся динамика, связанная с редкоземельными материалами, подчеркивает критический характер Цепочки поставок в современных геополитических и экономических условиях.

#ParsedReport #CompletenessLow
28-11-2025

MooBot or Flodrix with intermittent activity

https://blog.nicter.jp/2025/11/moobot_2025_3g/

Report completeness: Low

Threats:
Moobot
Flodrix_botnet
Mirai
Rapperbot
Mountbot

Victims:
Teamspeak3 services, Dvr devices, Routers, Langflow servers

Geo:
Russian, Russia

CVEs:
CVE-2025-3248 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.3.0)


ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1105, T1190, T1489, T1498, T1562.001, T1584.004

IOCs:
Hash: 8
Domain: 1
IP: 3

Soft:
TeamSpeak3, Langflow

Algorithms:
sha256, md5

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, dump: 2, chart: 3, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MooBot, вредоносное ПО на базе Mirai, в основном нацелено на атаки типа "Отказ в обслуживании" (DoS) через сеть скомпрометированных устройств, используя такие уязвимости, как CVD-2025-3248. Он оснащен сложным механизмом командования и контроля, который запутывает передачу данных за счет использования неинициализированной памяти, повышая его скрытность. MooBot агрессивно устраняет конкурирующее вредоносное ПО и продемонстрировал сосредоточенные усилия по таргетингу на российских устройствах, особенно на тех, которые используют протокол TeamSpeak3, прежде чем его деятельность прекратилась 7 октября 2025 года.
-----

MooBot, также известный как Flodrix, представляет собой вредоносное ПО на базе Mirai, которое проявляет периодическую активность, особенно заметную в обновленных версиях, наблюдаемых после 10 сентября 2025 года. Это вредоносное ПО использует сеть зараженных устройств для запуска атак типа "Отказ в обслуживании" (DoS). Исторически при заражении использовались эксплойты, воздействующие на различные компоненты, включая различные маршруты к целевым устройствам, например, через CVD-2025-3248, что особенно повлияло на сервер Langflow. Эти изменения подчеркивают его эволюционирующий характер и способность использовать уязвимости в системах.

MooBot использует сложный механизм соединения команд и контроля (C2), отличающийся, в частности, сложной стратегией передачи данных, которая использует неинициализированные данные памяти для запутывания связи. Этот метод включает в себя первую передачу, при которой часть данных извлекается из области памяти, которую злоумышленник может контролировать, - метод, который использует потенциальную утечку инициализации для поддержания скрытности на этапах эксплуатации.

Что касается агрессии, MooBot активно нацеливается на конкурирующее вредоносное ПО, в первую очередь с помощью "функции-убийцы", способной удалять конкурирующих ботов с зараженных устройств. Данные свидетельствуют о том, что ботнет сообщал идентификационные номера, соответствующие зараженным устройствам, взятым у RapperBot, конкурирующей ботнет, что приводит к предположениям о том, являются ли эти операции частью враждебной деятельности или они демонстрируют внутреннюю реструктуризацию ресурсов ботнет без злого умысла.

Кроме того, с сентября по начало октября 2025 года основной целью ботнет была Россия, при этом основное внимание уделялось использованию уязвимостей в протоколе голосового чата TeamSpeak3. Масштабы заражения вредоносным ПО были значительными: по состоянию на сентябрь сообщалось о взломе более 3160 устройств. Эта шкала указывает на целенаправленный подход к конкретным типам устройств, включая видеорегистраторы и маршрутизаторы, намекая на концентрированные усилия по управлению сетевыми ресурсами.

Было замечено, что в операциях загрузки MooBot используются различные аргументы и порты загрузки, что свидетельствует о структурированном подходе к взаимодействию с различными зараженными устройствами, причем следы указывают на происхождение из русскоязычных стран. После периода повышенной активности MooBot перешел к другому неопознанному варианту вредоносного ПО, который разделял инфраструктуру C2, но не реализовывал отдельные команды DoS. Этот переход ознаменовал потенциальный сдвиг в стратегии, подчеркнув динамичность операций ботнет и его эксплуатационный жизненный цикл. В конечном счете, деятельность MooBot прекратилась 7 октября 2025 года, оставив открытыми вопросы относительно его будущих операций и мотивов. Постоянные обновления и изменения в стратегии отражают оперативность злоумышленника, управляющего этим вредоносным ПО.

#ParsedReport #CompletenessLow
26-11-2025

RMM Tools Under Attack: Exploring More Effective Detections

https://www.immersivelabs.com/resources/blog/rmm-tools-under-attack-exploring-more-effective-detections

Report completeness: Low

Actors/Campaigns:
Uac-0918

Threats:
Meshcentral_tool
Anydesk_tool
Screenconnect_tool
Meshagent_tool
Anonvnc_tool

Victims:
Organizations using rmm tools, Managed service providers

Geo:
Ukrainian

CVEs:
CVE-2025-31161 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- crushftp (<10.8.4, <11.3.1)

CVE-2025-30406 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gladinet centrestack (<16.4.10315.56368)


TTPs:

ChatGPT TTPs:
do not use without manual check
T1036.003, T1219, T1543.003

IOCs:
Path: 2
File: 17

Soft:
Linux, Windows service

Functions:
main

Languages:
javascript, powershell

Links:
https://github.com/Ylianst/MeshAgent/blob/add1d7fef3b341a3474fbce86cdab54ddcde2af9/modules/interactive.js#L223
https://github.com/Ylianst/MeshCentral
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники все чаще нацеливаются на инструменты удаленного мониторинга и управления (RMM), в частности на MeshCentral из-за его открытого исходного кода, облегчающего несанкционированный доступ. Установка MeshAgent допускает постоянные подключения, но также предоставляет идентифицируемую информацию о конфигурации, которую можно использовать или проанализировать. Злоумышленники избегают обнаружения, изменяя параметры установки, используя код с открытым исходным кодом для вредоносного использования, подчеркивая необходимость проявлять бдительность в отношении нестандартного поведения при установке и мониторинга связанных с этим параметров.
-----

Инструменты удаленного мониторинга и управления (RMM) все чаще становятся мишенью злоумышленников из-за их способности облегчать несанкционированный доступ к системам и контроль над ними. В частности, MeshCentral, бесплатное решение RMM с открытым исходным кодом, стало центром различных атак. Хотя он используется менее широко по сравнению с коммерческими инструментами RMM, такими как AnyDesk и ScreenConnect, его природа с открытым исходным кодом делает его привлекательным для злоумышленников, стремящихся использовать законное программное обеспечение во вредоносных целях.

Процесс установки MeshAgent, компонента MeshCentral, разработан для простоты использования и включает автономный исполняемый файл, который устанавливает постоянные соединения с сервером MeshCentral. Этот процесс предоставляет аналитикам критическую информацию при реагировании на инциденты, поскольку двоичный файл содержит идентифицируемую информацию о конфигурации. Используя простые команды или шестнадцатеричные редакторы, аналитики могут извлекать ценные данные, включая идентификатор сети, идентификатор сервера и IP-адреса, связанные с сервером MeshCentral, что помогает отличать законные экземпляры агента от вредоносных.

Существующие меры обнаружения ограничены, особенно для MeshCentral, поскольку доступно несколько установленных правил обнаружения угроз. Один из известных подходов к обнаружению включает использование правила Sigma, которое отслеживает создание процесса MeshAgent и выполнение команд на целевых хостах. Однако злоумышленники могут обойти эти средства обнаружения. Используемые методы включают изменение имени службы или пути к изображению во время установки, тем самым обходя указанные правила обнаружения. Отсутствие документированных опций в MeshCentral для изменения этих параметров установки привело к тому, что злоумышленники напрямую использовали открытый исходный код для своих вредоносных развертываний.

Чтобы противостоять этой угрозе, организациям, использующим MeshAgent, следует внедрить надежную стратегию обнаружения, которая фокусируется на нестандартном поведении установки. Установление четкого соглашения об именовании для MeshAgents может служить основой для сравнения с аномальными именами, которые могут возникнуть. Кроме того, мониторинг определенных параметров, таких как --meshServiceName и --target, может помочь выявить несанкционированные изменения в именах служб и исполняемых файлов, связанных с установкой MeshAgent. Активно реагируя на эти потенциальные пробелы в безопасности, организации могут усилить свою защиту от использования инструментов RMM, таких как MeshCentral.

#ParsedReport #CompletenessMedium
26-11-2025

CastleLoader & CastleRAT: Behind TAG150s Modular Malware Delivery System

https://www.darktrace.com/blog/castleloader-castlerat-behind-tag150s-modular-malware-delivery-system

Report completeness: Medium

Actors/Campaigns:
Tag-150

Threats:
Castleloader
Nightshade
Sectop_rat
Warmcookie
Clickfix_technique

Victims:
Us organizations

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1105, T1204.002, T1584.001, T1587.001

IOCs:
IP: 1
Url: 2
File: 1

Algorithms:
gzip, zip

Functions:
unsecuredCopyToClipboard

Languages:
php, python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TAG-150 - это оператор вредоносного ПО "как услуга", нацеленный на системы США, использующий вредоносные ПО семейств CastleLoader и CastleRAT. CastleLoader действует как загрузчик вредоносного ПО, используя обманчивые домены и поддельные репозитории GitHub для распространения, в то же время используя расширенную маскировку кода, чтобы избежать обнаружения. Группа использует метод под названием ClickFix, который обманом заставляет пользователей выполнять вредоносные скрипты, создавая проблемы для обнаружения угроз и реагирования на них.
-----

TAG-150 - это появляющийся оператор "вредоносного ПО как услуга" (MaaS), который работает с марта 2025 года, в первую очередь нацеленный на системы в Соединенных Штатах. Его деятельность сосредоточена вокруг двух основных семейств вредоносных ПО — CastleLoader и CastleRAT. Инфраструктура, используемая TAG-150, включает в себя различные серверы управления (C2) и компоненты, ориентированные на жертвы, использующие несколько доменов и IP-адресов для облегчения своей вредоносной деятельности.

CastleLoader функционирует как загрузчик вредоносного ПО, способный загружать и устанавливать дополнительные вредоносные программы для создания цепочки заражений в скомпрометированных системах. Один из ключевых методов, используемых TAG-150, известен как ClickFix. Этот метод использует домены-обманщики, имитирующие законные процессы, такие как системы проверки документов или уведомления об обновлениях браузера, чтобы обманом заставить жертв запускать вредоносные скрипты. Чтобы расширить свои возможности распространения, CastleLoader также использует поддельные репозитории GitHub, которые маскируются под законные инструменты, что еще больше побуждает ничего не подозревающих пользователей к непреднамеренной установке вредоносного ПО.

Процесс развертывания CastleLoader включает в себя передовые стратегии обфускации кода, такие как вставка и упаковка мертвого кода, что затрудняет как статический, так и динамический анализ для систем безопасности. Как только полезная нагрузка вредоносного ПО распаковывается, оно устанавливает соединение со своим сервером C2 для загрузки и выполнения других целевых вредоносных компонентов.

В середине 2025 года Darktrace обнаружила необычную активность в своей клиентской сети, которая была связана с заражением CastleLoader. Функция автономного реагирования Darktrace сыграла решающую роль в устранении этой угрозы; она оперативно блокировала исходящие соединения со скомпрометированного устройства на вредоносный IP-адрес 173.44.141.89, эффективно сдерживая инцидент. Этот ответ включал в себя наложение поведенческих ограничений на зараженное устройство, чтобы оно соответствовало шаблонам, типичным для других устройств в его группе сверстников, тем самым предотвращая дальнейшие отклонения и нежелательные действия.

Продолжающаяся эволюция экосистемы MaaS и модульный характер инструментов, используемых злоумышленниками, создают значительные проблемы для усилий по предотвращению вторжений. Злоумышленники получают все больше возможностей настраивать инструменты и методы для использования конкретных уязвимостей, снижая эффективность традиционных средств защиты. Случай с TAG-150 иллюстрирует необходимость надежных механизмов обнаружения, о чем свидетельствует способность Darktrace выявлять признаки компрометации на ранних стадиях, такие как сканирование сети и первоначальные попытки заражения. Используя свои возможности автономного реагирования, Darktrace успешно прервала цепочку атак CastleLoader, предотвратив потенциально серьезную многоэтапную компрометацию.

#ParsedReport #CompletenessMedium
26-11-2025

ShadowV2 Casts a Shadow Over IoT Devices \| FortiGuard Lab

https://www.fortinet.com/blog/threat-research/shadowv2-casts-a-shadow-over-iot-devices

Report completeness: Medium

Threats:
Shadowv2
Mirai
Udpflood_technique
Tcpflood_technique

Victims:
Iot devices, Aws ec2 instances

Industry:
Retail, Government, Entertainment, Telco, Education, Iot

Geo:
Saudi arabia, Oceania, Kazakhstan, Czechia, Croatia, Egypt, Thailand, Japan, South africa, United kingdom, Africa, Morocco, America, Canada, Greece, Belgium, Russia, Australia, Taiwan, Bolivia, Asia, Netherlands, Italy, China, Mexico, Chile, Turkey, France, Brazil, Austria, Philippines

CVEs:
CVE-2024-53375 [Vulners]
CVSS V3.1: 8.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-37055 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink go-rt-ac750_firmware (reva_1.01b03, revb_2.00b02)

CVE-2024-10914 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dns-320_firmware (*)

CVE-2024-3721 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2020-25506 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dns-320_firmware (2.06b01)

CVE-2023-52163 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-10915 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dns-320_firmware (*)

CVE-2009-2765 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dd-wrt (le24)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1190, T1204.002, T1584.004, T1587.001

IOCs:
IP: 2
Domain: 1
Hash: 13

Soft:
DigiEver, Mac OS

Algorithms:
xor

Win Services:
InfoPath

Platforms:
x64, intel, amd64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShadowV2 - это вариант ботнет Mirai, который специально нацелен на устройства Интернета вещей, используя их уязвимости для распространения, причем недавняя активность указывает на его потенциальное воздействие на экземпляры AWS EC2. Вредоносное ПО использует скрипт загрузчика под названием binary.sh , доставляется через скомпрометированные устройства Интернета вещей и распространяется с IP-адреса 81.88.18.108. Эта эволюция тактики злоумышленников подчеркивает растущий риск, создаваемый недостаточно защищенными устройствами Интернета вещей в сфере кибербезопасности.
-----

ShadowV2 - это вариант ботнет Mirai, специально предназначенный для устройств Интернета вещей (IoT), обнаруженный датчиками Fortinet во время активных попыток эксплуатации. Этот ботнет использует различные уязвимости в устройствах Интернета вещей, что приводит к его распространению. Примечательно, что предыдущие кампании, связанные с ShadowV2, продемонстрировали его способность ориентироваться на экземпляры AWS EC2, что указывает на его широкомасштабный характер и потенциал воздействия на облачные среды.

При анализе вредоносного ПО ботнет ShadowV2 использует сценарий загрузки, идентифицированный как binary.sh , который достигается за счет использования уязвимостей в устройствах Интернета вещей. Распространению вредоносного ПО ShadowV2 способствует IP-адрес 81.88.18.108. Этот метод атаки отражает стратегическую эволюцию в поведении злоумышленников, смещающих свое внимание в сторону часто недостаточно защищенного ландшафта Интернета вещей.

Анализ показывает, что устройства Интернета вещей по-прежнему представляют значительную уязвимость в рамках системы кибербезопасности, что усиливает острую необходимость в строгих мерах безопасности. Регулярные обновления прошивки, комплексные методы обеспечения безопасности и стремление к непрерывному мониторингу информации об угрозах имеют решающее значение для повышения уровня безопасности в отношении таких развивающихся угроз, как ShadowV2.

#ParsedReport #CompletenessHigh
25-11-2025

Medved attacks: what we learned about a phishing campaign by a group targeting Russian organizations / Habr

https://habr.com/ru/amp/publications/968572/

Report completeness: High

Actors/Campaigns:
Netmedved

Threats:
Netsupportmanager_rat
Process_hacker_tool
Procmon_tool
Spear-phishing_technique
Lumma_stealer

Victims:
Russian organizations

Geo:
Antarctica, Russian

TTPs:
Tactics: 6
Technics: 19

IOCs:
File: 5
Domain: 14
Hash: 44
IP: 12

Soft:
Task Scheduler, Unix, curl

Algorithms:
sha1, md5, zip, base64, sha256

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В октябре 2025 года хакерская группировка NetMedved нацелилась на российские организации с помощью фишинг-кампаний, которые предоставляли скомпрометированную версию законного инструмента удаленного администрирования NetSupport Manager, получившую название NetSupportRAT. Тактика группы включала сложную социальную инженерию, чтобы убедить жертв запустить вредоносное программное обеспечение, позволяя злоумышленникам получить удаленный доступ для извлечения конфиденциальной информации и проведения дальнейших атак. Это подчеркивает продолжающееся использование фишинга в качестве выдающегося метода ведения кибервойн.
-----

В октябре 2025 года хакерская группировка, идентифицированная как NetMedved, активно проводила кампании фишинга, специально нацеленные на российские организации. Основной целью этих атак является доставка вредоносной полезной нагрузки, представляющей собой скомпрометированную версию законного инструмента удаленного администрирования NetSupport Manager, который называется NetSupportRAT.

Методы, используемые группой NetMedved, включают в себя сложные стратегии фишинга, чтобы заманить жертв к запуску вредоносного программного обеспечения. Кампании тщательно организованы, чтобы замаскировать вредоносное программное обеспечение под законное приложение, используя доверие и знакомство, связанные с NetSupport Manager. Эта тактика свидетельствует о том, что группа сосредоточена на социальной инженерии, чтобы повысить вероятность успешного проникновения в целевые организации.

Аналитики отметили, что такой подход позволяет злоумышленникам получать удаленный доступ к системам жертв, позволяя им извлекать конфиденциальную информацию, осуществлять слежку или выполнять дополнительные вредоносные действия после установления доступа. Функциональность NetSupportRAT's характерна для инструментов, которые облегчают широкий контроль над скомпрометированными системами, что еще больше подчеркивает потенциальный риск, связанный с этими атаками.

В рамках продолжающихся расследований кампаний исследователи анализируют инфраструктуру и методы, используемые группой NetMedved для адаптации стратегий защиты от этих угроз. Собранные к настоящему времени доказательства подчеркивают закрепление фишинга в качестве излюбленной тактики киберпреступников, особенно для нацеливания на организации в России, и подчеркивают эволюционирующий характер таких киберугроз в условиях современной кибервойны.

#ParsedReport #CompletenessMedium
27-11-2025

Shai-hulud 2.0 Campaign Targets Cloud and Developer Ecosystems

https://www.trendmicro.com/en_us/research/25/k/shai-hulud-2-0-targets-cloud-and-developer-systems.html

Report completeness: Medium

Threats:
Shai-hulud
Supply_chain_technique
Credential_harvesting_technique
Trufflehog_tool
Hook_injection_technique

Victims:
Cloud platforms, Developer services, Npm ecosystem

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 16
Hash: 6

Soft:
Linux, macOS, curl, Node.js, Windows Registry, sudo, Docker, Unix, brotli

Algorithms:
base64, sha256, gzip, zip, deflate

Functions:
jy1, aL0, JavaScript, cQ0, pQ0, gQ0, createRepo, checkWorkflowScope, toJSON, listAndRetrieveAllSecrets, have more...

Win API:
GetEnvironmentVariable

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 5, code: 35