#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2025 году вредоносное ПО для майнинга криптовалют распространялось через USB-устройства, причем заметными вариантами были DIRTYBULK и CUTFAIL. Запуск вредоносного ПО начинается, когда пользователь запускает файл быстрого доступа, который запускает вредоносное ПО VBS, создающее дополнительные исполняемые файлы, включая PrintMiner, который изменяет системные настройки для поддержания рабочего состояния и собирает системные спецификации для сервера управления. PrintMiner, наряду с дополнительными полезными приложениями, такими как XMRig, использует методы обфускации, чтобы скрыть свое присутствие, что усложняет усилия по обнаружению.
-----

В феврале 2025 года аналитический центр AhnLab Security Intelligence Center (ASEC) в Корее подтвердил тенденцию распространения вредоносного ПО для майнинга криптовалют через USB-устройства, а позже, в июле 2025 года, Mandiant сообщил об аналогичных выводах. Выявленные варианты вредоносного ПО включают DIRTYBULK и CUTFAIL.

Механизм передачи обычно включает в себя установку пользователем USB-накопителя и запуск файла быстрого доступа с именем "USB Drive.lnk". Этот ярлык приводит к запуску вредоносного ПО VBS, характеризующегося префиксом "u", за которым следует случайный шестизначный номер, хранящийся в скрытой папке "sysvolume".

Процесс развертывания вредоносного ПО начинается с компонента, известного как "printui.dll ," который действует как дроппер, ответственный за создание и выполнение дальнейшего вредоносного ПО в рамках "%SystemDirectory%\svcinsty64.exe " справочник. Этот дроппер впоследствии создает другой исполняемый файл ".%SystemDirectory%\svctrl64.exe ," который также функционирует как дроппер и создает конфигурационный файл с именем "wlogz.dat" в папке "%SystemDirectory%\wsvcz". Эта последовательность устанавливает цепочку выполнения вредоносного ПО, где "svctrl64.exe " запускается как дочерний процесс исходного Dropper.

Один конкретный вариант вредоносного ПО, связанный со службой DcomLaunch, классифицируется под названием PrintMiner. PrintMiner изменяет системные настройки, например, настраивает управление питанием, чтобы предотвратить переход компьютера в режим ожидания. Он также извлекает адрес сервера командования и контроля (C&C), передавая важную системную информацию, такую как характеристики центрального процессора и графического процессора GPU. После сбора этой информации PrintMiner устанавливает дополнительные полезные файлы, такие как XMRig, которые сохраняются в каталоге "%SystemDirectory%\wsvcz", и эти файлы шифруются, причем расшифровка происходит одновременно в процессе загрузки.

Использование USB-устройств для распространения вредоносного ПО демонстрирует отход от старых методов, которые основывались на функциях автозапуска. Текущие стратегии адаптированы к методам, требующим взаимодействия с пользователем для быстрого запуска вредоносного ПО. В описанном сценарии Вредоносные файлы эффективно скрыты в скрытом каталоге, тем самым представляя пользователю только безопасный ярлык. Такое запутывание усложняет обнаружение, затрудняя пользователям распознавание того, когда их системы скомпрометированы.

#ParsedReport #CompletenessMedium
01-12-2025

GitLab discovers widespread npm supply chain attack

https://about.gitlab.com/blog/gitlab-discovers-widespread-npm-supply-chain-attack/

Report completeness: Medium

Threats:
Supply_chain_technique
Credential_harvesting_technique
Shai-hulud
Trufflehog_tool

Victims:
Open source ecosystem, Software development

Industry:
Transport

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1059.007, T1078, T1195, T1204.003

IOCs:
File: 29
Command: 1

Soft:
curl, Unix

Algorithms:
base64

Functions:
downloadAndSetupBun, scanFilesystem, fetchToken, aL0

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена атака по Цепочке поставок в экосистеме npm, при которой несколько пакетов заражаются сложным вредоносным ПО, использующим многоэтапный процесс загрузки. Вредоносное ПО, замаскированное под законный установщик Bun JavaScript, проводит сбор учетных записей и создает общедоступные хранилища, содержащие маркер для эксфильтрации данных. Он распространяется дальше, внедряя вредоносные скрипты в процессы предварительной установки других пакетов, и включает в себя "dead man's switch" с деструктивной полезной нагрузкой для защиты своей инфраструктуры от попыток демонтажа.
-----

GitLab выявила серьезную атаку по Цепочке поставок, связанную с экосистемой npm, где множество зараженных пакетов содержат сложное вредоносное ПО. Атака использует многоэтапный процесс загрузки для проникновения в системы. В частности, зараженные пакеты npm включают измененный файл package.json, который перенаправляет на предустановочный скрипт с именем setup_bun.js . Этот скрипт маскируется под установщик для законной среды выполнения Bun JavaScript, в то время как его фактическая функция заключается в создании среды для выполнения вредоносного ПО.

После активации вредоносное ПО проводит сбор учетных записей из различных источников. Он использует украденные токены GitHub для создания общедоступных репозиториев, в описании которых есть отличительный знак: "Sha1-Hulud: Второе пришествие". Эти хранилища действуют как dropbox для кражи учетных данных и системной информации, что еще больше облегчает эксфильтрацию данных.

Вредоносное ПО также распространяется по Цепочке поставок, загружая все пакеты, управляемые зараженным объектом, внедряя setup_bun.js загружается в их предустановленные скрипты, объединяя вредоносную полезную нагрузку (bun_environment.js ), увеличивая номера версий пакетов, а затем повторно отправляя испорченные пакеты обратно в npm.

Критическим аспектом этого вредоносного ПО является его "dead man's switch", который включает в себя деструктивную полезную нагрузку, предназначенную для защиты инфраструктуры вредоносного ПО от потенциальных попыток удаления. Этот механизм указывает на более продвинутый подход к атакам по Цепочке поставок, когда риск сопутствующего ущерба используется в качестве сдерживающего фактора против вмешательства.

#ParsedReport #CompletenessLow
02-12-2025

Salty2FA & Tycoon2FAHybrid: A New Phishing ThreattoEnterprises

https://any.run/cybersecurity-blog/salty2fa-tycoon2fa-hybrid-phishing-2025/

Report completeness: Low

Actors/Campaigns:
Storm-1747

Threats:
Salty_2fa_tool
Tycoon_2fa
Fastflux_technique

Victims:
Enterprises, Soc teams

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.002, T1621

IOCs:
Url: 2
Domain: 7

Soft:
ASP.NET

Algorithms:
base64

Functions:
eval

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Появление гибридных наборов для фишинга, в частности Salty2FA и Tycoon2FA, усложняет обнаружение угроз для предприятий из-за их общих характеристик, затрудняющих атрибуцию. Активность в Salty2FA снизилась с октября 2025 года из-за сокращения количества заявок в "песочнице", однако попытки фишинга по-прежнему демонстрируют признаки обоих наборов. Эта ситуация подчеркивает необходимость того, чтобы команды SOC адаптировали свои протоколы обнаружения и расследования к этим развивающимся системам фишинга, связанным с злоумышленником Storm-1747.
-----

Появление гибридных наборов для фишинга, в частности фреймворков Salty2FA и Tycoon2FA, ставит перед предприятиями новые задачи по выявлению и смягчению угроз фишинга. С конца октября 2025 года активность набора для фишинга Salty2FA заметно снизилась, о чем свидетельствует резкое сокращение количества отправок в песочницу ANY.RUN, сократившись с сотен до всего нескольких десятков еженедельных загрузок. Это снижение поднимает вопросы об операционном статусе Salty2FA и его потенциальном взаимодействии с Tycoon2FA.

Анализ показывает, что в некоторых попытках фишинга в настоящее время проявляются признаки как из наборов Salty2FA, так и из Tycoon2FA, что приводит к сложностям в атрибуции. Хотя каждый набор для фишинга, как правило, имеет свои уникальные сигнатуры, связанные со способами доставки и инфраструктурой, сочетание характеристик этих двух фреймворков усложняет судебно-медицинский анализ. Такое размывание границ требует усовершенствованного подхода для команд Центра управления безопасностью (SOC), поскольку они должны знать, что одна и та же кампания по фишингу может переключаться между различными платформами во время выполнения.

Чтобы эффективно противодействовать этим гибридным угрозам, команды SOC должны обновить свои протоколы обнаружения, корреляции и расследования, чтобы учесть эту адаптивность в кампаниях по фишингу. Способность эффективно связывать эти инциденты требует глубокого понимания различных сигнатур, связанных с каждой платформой, признавая при этом, что они могут действовать под управлением единственного злоумышленника, обозначенного здесь как Storm-1747. Такое признание потенциальных общих оперативных тем между наборами имеет решающее значение для разработки целенаправленных стратегий смягчения последствий.

Анализ настоятельно рекомендует использовать такие инструменты, как ANY.RUN, которые обеспечивают командам SOC видимость и возможность быстрого реагирования, необходимые для преодоления сложностей, связанных с гибридными угрозами фишинга. Совершенствуя свои операционные системы, команды могут лучше проверять атрибуцию угроз, совершенствовать процессы обнаружения и реагировать на эти эволюционирующие стратегии фишинга с большей уверенностью. В целом, поскольку методы фишинга продолжают развиваться, постоянная адаптация протоколов обнаружения угроз будет иметь важное значение для защиты от этих растущих угроз.

#ParsedReport #CompletenessLow
02-12-2025

Infection Trends

https://www.wiz.io/blog/shai-hulud-2-0-aftermath-ongoing-supply-chain-attack

Report completeness: Low

Actors/Campaigns:
S1ngularity

Threats:
Shai-hulud
Trufflehog_tool
Supply_chain_technique
Credential_harvesting_technique

Victims:
Software development platforms, Technology companies, Developers

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1195, T1204.002, T1552, T1567.002, T1587.003

IOCs:
File: 10

Soft:
Linux, Jenkins

Languages:
java

Platforms:
intel

Links:
https://securitylab.github.com/resources/github-actions-preventing-pwn-requests/
have more...
https://github.com/asyncapi/vs-asyncapi-preview/issues/302

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Shai-Hulud 2.0 - это долгосрочный червь, работающий по Цепочке поставок, который продемонстрировал возобновившуюся активность, в частности, в декабре 2025 года за один день было создано более 200 новых репозиториев. Скомпрометированные репозитории часто содержат файлы environment.json с учетными данными GitHub для эксфильтрации данных, затрагивающей в первую очередь системы Linux. Метод эксфильтрации данных между жертвами червя усложняет восстановление для затронутых организаций, выявляя уязвимости, особенно в экосистеме npm, и указывая на тенденцию к более сложным методам сбора учетных записей.
-----

Shai-Hulud 2.0, червь для Цепочки поставок, продемонстрировал значительную долговечность и постоянную активность по сравнению со своими предшественниками, такими как s1ngularity и Shai-Hulud 1.0. Новые хранилища продолжали появляться, хотя и с меньшей скоростью, с заметным всплеском заражений, зафиксированным 1 декабря 2025 года, когда более За один день было создано 200 новых хранилищ. Этот всплеск вызывает вопросы о будущем распространении червя и его общем закреплении.

Анализ скомпрометированных репозиториев показывает, что многие из них содержат файл environment.json с подробным описанием операционного контекста зараженных систем и учетных данных GitHub, используемых для эксфильтрации данных. Примерно 24 000 из этих файлов были извлечены из скомпрометированного корпуса, причем около 50% из них уникальны. Используя базовый алгоритм снятия отпечатков пальцев, было определено, что только 23% заражений произошло на компьютерах разработчиков, причем большинство из них затронуло системы Linux. Это подчеркивает специфику нацеливания на платформы, подверженные распространению червя.

Методология эксфильтрации данных вызывает особое беспокойство, поскольку она включает в себя действия между жертвами, когда данные от нескольких зараженных сторон публиковались в несвязанных аккаунтах GitHub. Это усложняет процесс восстановления для пострадавших компаний, поскольку они должны ориентироваться в обширных утечках данных, не имея прямой информации о том, были ли скомпрометированы их секреты.

В ответ на эти инциденты меняется более широкий ландшафт кибербезопасности. Спустя год после атаки Ultralytics путаница с безопасностью действий на GitHub сохраняется, подчеркивая сохраняющиеся уязвимости в экосистеме npm. Обращает на себя внимание тенденция, в соответствии с которой злоумышленники совершенствуют свои операции, особенно при сборе учетных записей, что указывает на вероятность применения аналогичной тактики в будущих атаках. Текущая ситуация предполагает, что организациям следует усилить свои меры безопасности, чтобы снизить риск кражи учетных данных и противостоять растущей сложности этих киберугроз.

#ParsedReport #CompletenessMedium
02-12-2025

Snake Rustamania

https://rt-solar.ru/solar-4rays/blog/6253/

Report completeness: Medium

Actors/Campaigns:
Shedding_zmiy
Overload

Threats:
Kitsune
Octopus
Leech
Pwnkit_tool
Bulldog_backdoor

CVEs:
CVE-2023-4911 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gnu glibc (<2.39)

CVE-2021-3156 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sudo_project sudo (<1.8.32, <1.9.5)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)

CVE-2022-2588 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<4.9.326, <4.14.291, <4.19.256, <5.4.211, <5.10.137)


TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 4
Hash: 11

Soft:
Telegram, Linux, Mycelium, selinux, Debian, Ubuntu, nginx, sudo, mariadb, unix, have more...

Algorithms:
crc-32, sha1, base64, md5, sha256, xor

Functions:
sentmsg, getMyceliumProxyConn

Languages:
php, perl, ruby, python, rust

Links:
have more...
https://github.com/nushell/nushell

#ParsedReport #ExtractedSchema

Classified images:
code: 4, dump: 2, schema: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2023 года появились новые инструменты под названием Shedding Zmiy, включающие руткиты Puma и Kitsune, а также дополнительные утилиты, разработанные Rust, направленные на облегчение первоначального доступа и поддержание закрепления в скомпрометированных системах. Их дизайн повышает скрытность и эффективность, демонстрируя переход к Rust для создания низкоуровневых системных утилит при разработке вредоносного ПО. Такая эволюция увеличивает риски, позволяя злоумышленникам обходить традиционные меры безопасности для более глубокого доступа к системе.
-----

В марте 2023 года в статье рассказывалось о появлении новых инструментов под названием Shedding Zmiy, которые представили руткиты Puma и Kitsune наряду с различными другими утилитами, разработанными в Rust. Эти инструменты предназначены для оказания помощи злоумышленникам в установлении первоначального доступа к системам и поддержании закрепления после эксплойта.

В статье рассматриваются методы, используемые этими компонентами вредоносного ПО на основе Rust, подчеркивается их оперативное взаимодействие. Сложный характер их конструкции обеспечивает повышенную скрытность и эффективность во время кибератак. Техническое взаимодействие между Puma и Kitsune, а также дополнительные утилиты демонстрируют потенциал использования этих инструментов злоумышленниками для успешной навигации по целевым средам и управления ими. Растущее использование Rust указывает на переход к языкам, позволяющим создавать эффективные и низкоуровневые системные утилиты, что указывает на тенденцию в эволюции методов разработки вредоносного ПО.

Такие усовершенствования сопряжены со значительными рисками, поскольку сочетание этих руткитов и связанных с ними инструментов может позволить злоумышленникам обойти традиционные меры безопасности, получая более глубокий и длительный доступ к скомпрометированным системам. Техническая оценка этих типов вредоносного ПО подчеркивает необходимость постоянной бдительности и адаптации стратегий кибербезопасности для противодействия растущей сложности киберугроз.

#ParsedReport #CompletenessLow
02-12-2025

Cato CTRL Threat Research: From Productivity Boost to Ransomware Nightmare Weaponizing Claude Skills with MedusaLocker

https://www.catonetworks.com/blog/cato-ctrl-weaponizing-claude-skills-with-medusalocker/

Report completeness: Low

Threats:
Medusalocker

Victims:
Enterprise

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1105, T1195, T1204, T1486

Links:
https://github.com/anthropics/skills/tree/main/skills/slack-gif-creator
have more...
https://github.com/anthropics/skills

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование Cato CTRL выявило уязвимость в Claude Skills framework, которая позволяет злоумышленникам использовать, казалось бы, безобидные функции для развертывания программ-вымогателей с минимальной осведомленностью пользователя. Модификации законных навыков могут выполнять вредоносные действия, сохраняя видимость законности, что создает серьезную проблему для безопасности. Исследование включало доказательство концепции, демонстрирующее программу-вымогатель MedusaLocker, подчеркивающее эффективность этих вредоносных навыков в уклонении от обнаружения и внедрении пользователями.
-----

Исследование угроз Cato CTRL выявило значительную уязвимость в Claude Skills framework, где, казалось бы, безобидные функции могут быть использованы для развертывания программ-вымогателей с минимальной осведомленностью пользователя. Расследование показало, что лишь незначительные изменения в законном навыке могут облегчить скрытое выполнение вредоносных действий при сохранении видимости законности. Эта демонстрация того, как навыки Клода могут быть использованы в качестве оружия, подчеркивает важнейшую проблему безопасности.

30 октября 2025 года исследовательская группа раскрыла уязвимость модели доверия с одним согласием для Anthropic, предоставив воспроизводимое доказательство концепции, включающее выполнение Ransomware. Основная проблема заключается в скрытом функциональном уровне Skills, который, хотя и кажется выполняющим безобидные задачи, такие как обработка GIF, способен извлекать и запускать вредоносное программное обеспечение в фоновом режиме. Это создает впечатление законного рабочего процесса как для пользователя, так и для системы Claude, маскируя потенциальную возможность эксплуатации.

Быстрое распространение измененных навыков через репозитории Git, форумы и Социальные сети повышает риск, поскольку вредоносные варианты могут легко маскироваться под полезные инструменты для повышения производительности. Используя убедительную документацию или примеры результатов, злоумышленники могут поощрять использование этих вредоносных навыков, не вызывая подозрений, тем самым облегчая их внедрение.

Чтобы проиллюстрировать серьезные последствия этой уязвимости, исследователи успешно провели живую демонстрацию программы-вымогателя MedusaLocker в контролируемой ими среде, подтвердив жизнеспособность своих выводов. Эксперимент показал, что эта проблема не просто гипотетична, но представляет собой воспроизводимую цепочку угроз. По мере расширения экосистемы Claude Skills важно повысить прозрачность, связанную с поведением навыков, внедрить более строгие требования к согласию на конфиденциальные действия и наладить мониторинг в режиме реального времени, чтобы снизить риск широко распространенного компрометирования, связанного с согласием одного пользователя.

#ParsedReport #CompletenessLow
02-12-2025

New Android malware lets criminals control your phone and drain your bank account

https://www.malwarebytes.com/blog/news/2025/12/new-android-malware-lets-criminals-control-your-phone-and-drain-your-bank-account

Report completeness: Low

Threats:
Albiriox
Smishing_technique

Victims:
Android users

Industry:
Retail, Financial

Geo:
Austria

ChatGPT TTPs:
do not use without manual check
T1036, T1056, T1219

IOCs:
Hash: 4

Soft:
Android, Google Play

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Albiriox - это недавно идентифицированное банковское вредоносное ПО для Android, которое предоставляет злоумышленникам удаленный контроль над скомпрометированными устройствами, позволяя им отслеживать текущие банковские сеансы и манипулировать ими. Это сложное вредоносное ПО может выводить средства и компрометировать банковские и криптовалютные счета, действуя так, как если бы оно было законным пользователем. Кроме того, Google исправила 107 уязвимостей в экосистеме Android, подчеркнув сохраняющиеся риски безопасности в мобильных системах.
-----

Albiriox - это недавно идентифицированное семейство банковских вредоносных ПО для Android, которое предоставляет злоумышленникам полный удаленный контроль над скомпрометированными мобильными устройствами. Это вредоносное ПО обеспечивает несанкционированный доступ к устройству, облегчая мониторинг и манипулирование в режиме реального времени во время банковских сеансов. Жертвы могут обнаружить, что их банковская информация и криптовалютные аккаунты находятся под угрозой, поскольку злоумышленники могут тайно выводить средства, в то время как пользователи активно взаимодействуют со своими финансовыми приложениями.

Одним из наиболее важных аспектов Albiriox являются его расширенные возможности, которые обеспечивают уровень контроля, аналогичный уровню физического пользователя. Такой высокий уровень доступа вызывает опасения по поводу возможности совершения сложных мошеннических действий, поскольку злоумышленники могут взаимодействовать с устройством так, как если бы они были законным пользователем. Такой контроль не только ставит под угрозу финансовые активы пользователя, но и имеет более широкие последствия для безопасности персональных данных.

Чтобы снизить риски, связанные с Albiriox и подобными угрозами, пользователям рекомендуется сохранять бдительность в отношении любого необычного поведения на своих устройствах. Наличие подозрительных приложений, особенно с общими названиями, связанными с "утилитами", "безопасностью", "розничным продавцом" или "инвестициями", которые не распознаются как установленные из официального магазина Google Play, может указывать на компромисс. Пользователям, которые подозревают, что они могли пострадать от этого или других видов вредоносного ПО, рекомендуется выполнить комплексное сканирование системы с помощью надежного решения для защиты Android от вредоносного ПО.

Кроме того, важно отметить, что Google недавно устранила несколько уязвимостей в экосистеме Android, исправив 107 недостатков, включая два, которые, как сообщалось, активно эксплуатировались. Это служит напоминанием о сохраняющихся уязвимостях, присутствующих в мобильных операционных системах, и о важности оперативного применения обновлений для системы безопасности.