#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование Cato CTRL выявило уязвимость в Claude Skills framework, которая позволяет злоумышленникам использовать, казалось бы, безобидные функции для развертывания программ-вымогателей с минимальной осведомленностью пользователя. Модификации законных навыков могут выполнять вредоносные действия, сохраняя видимость законности, что создает серьезную проблему для безопасности. Исследование включало доказательство концепции, демонстрирующее программу-вымогатель MedusaLocker, подчеркивающее эффективность этих вредоносных навыков в уклонении от обнаружения и внедрении пользователями.
-----

Исследование угроз Cato CTRL выявило значительную уязвимость в Claude Skills framework, где, казалось бы, безобидные функции могут быть использованы для развертывания программ-вымогателей с минимальной осведомленностью пользователя. Расследование показало, что лишь незначительные изменения в законном навыке могут облегчить скрытое выполнение вредоносных действий при сохранении видимости законности. Эта демонстрация того, как навыки Клода могут быть использованы в качестве оружия, подчеркивает важнейшую проблему безопасности.

30 октября 2025 года исследовательская группа раскрыла уязвимость модели доверия с одним согласием для Anthropic, предоставив воспроизводимое доказательство концепции, включающее выполнение Ransomware. Основная проблема заключается в скрытом функциональном уровне Skills, который, хотя и кажется выполняющим безобидные задачи, такие как обработка GIF, способен извлекать и запускать вредоносное программное обеспечение в фоновом режиме. Это создает впечатление законного рабочего процесса как для пользователя, так и для системы Claude, маскируя потенциальную возможность эксплуатации.

Быстрое распространение измененных навыков через репозитории Git, форумы и Социальные сети повышает риск, поскольку вредоносные варианты могут легко маскироваться под полезные инструменты для повышения производительности. Используя убедительную документацию или примеры результатов, злоумышленники могут поощрять использование этих вредоносных навыков, не вызывая подозрений, тем самым облегчая их внедрение.

Чтобы проиллюстрировать серьезные последствия этой уязвимости, исследователи успешно провели живую демонстрацию программы-вымогателя MedusaLocker в контролируемой ими среде, подтвердив жизнеспособность своих выводов. Эксперимент показал, что эта проблема не просто гипотетична, но представляет собой воспроизводимую цепочку угроз. По мере расширения экосистемы Claude Skills важно повысить прозрачность, связанную с поведением навыков, внедрить более строгие требования к согласию на конфиденциальные действия и наладить мониторинг в режиме реального времени, чтобы снизить риск широко распространенного компрометирования, связанного с согласием одного пользователя.

#ParsedReport #CompletenessLow
02-12-2025

New Android malware lets criminals control your phone and drain your bank account

https://www.malwarebytes.com/blog/news/2025/12/new-android-malware-lets-criminals-control-your-phone-and-drain-your-bank-account

Report completeness: Low

Threats:
Albiriox
Smishing_technique

Victims:
Android users

Industry:
Retail, Financial

Geo:
Austria

ChatGPT TTPs:
do not use without manual check
T1036, T1056, T1219

IOCs:
Hash: 4

Soft:
Android, Google Play

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Albiriox - это недавно идентифицированное банковское вредоносное ПО для Android, которое предоставляет злоумышленникам удаленный контроль над скомпрометированными устройствами, позволяя им отслеживать текущие банковские сеансы и манипулировать ими. Это сложное вредоносное ПО может выводить средства и компрометировать банковские и криптовалютные счета, действуя так, как если бы оно было законным пользователем. Кроме того, Google исправила 107 уязвимостей в экосистеме Android, подчеркнув сохраняющиеся риски безопасности в мобильных системах.
-----

Albiriox - это недавно идентифицированное семейство банковских вредоносных ПО для Android, которое предоставляет злоумышленникам полный удаленный контроль над скомпрометированными мобильными устройствами. Это вредоносное ПО обеспечивает несанкционированный доступ к устройству, облегчая мониторинг и манипулирование в режиме реального времени во время банковских сеансов. Жертвы могут обнаружить, что их банковская информация и криптовалютные аккаунты находятся под угрозой, поскольку злоумышленники могут тайно выводить средства, в то время как пользователи активно взаимодействуют со своими финансовыми приложениями.

Одним из наиболее важных аспектов Albiriox являются его расширенные возможности, которые обеспечивают уровень контроля, аналогичный уровню физического пользователя. Такой высокий уровень доступа вызывает опасения по поводу возможности совершения сложных мошеннических действий, поскольку злоумышленники могут взаимодействовать с устройством так, как если бы они были законным пользователем. Такой контроль не только ставит под угрозу финансовые активы пользователя, но и имеет более широкие последствия для безопасности персональных данных.

Чтобы снизить риски, связанные с Albiriox и подобными угрозами, пользователям рекомендуется сохранять бдительность в отношении любого необычного поведения на своих устройствах. Наличие подозрительных приложений, особенно с общими названиями, связанными с "утилитами", "безопасностью", "розничным продавцом" или "инвестициями", которые не распознаются как установленные из официального магазина Google Play, может указывать на компромисс. Пользователям, которые подозревают, что они могли пострадать от этого или других видов вредоносного ПО, рекомендуется выполнить комплексное сканирование системы с помощью надежного решения для защиты Android от вредоносного ПО.

Кроме того, важно отметить, что Google недавно устранила несколько уязвимостей в экосистеме Android, исправив 107 недостатков, включая два, которые, как сообщалось, активно эксплуатировались. Это служит напоминанием о сохраняющихся уязвимостях, присутствующих в мобильных операционных системах, и о важности оперативного применения обновлений для системы безопасности.

#ParsedReport #CompletenessHigh
02-12-2025

Dragons in Thunder

https://ptsecurity.com/research/pt-esc-threat-intelligence/dragons-in-thunder/

Report completeness: High

Actors/Campaigns:
Quietcrabs (motivation: cyber_criminal, cyber_espionage)
Emissary_panda
Thor

Threats:
Krustyloader
Tactical_rmm_tool
Sliver_c2_tool
Meshagent_tool
Lockbit
Babuk
Adrecon_tool
Godpotato_tool
Secretsdump_tool
Mimikatz_tool
Meshcentral_tool

Victims:
Military industrial companies, Healthcare companies, Research centers, Small and medium sized businesses

Industry:
Healthcare

Geo:
Usa, Korea, Russian, Philippines, Russia, Taiwan, Czech, Iran, Germany, Asian

CVEs:
CVE-2025-4427 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (<11.12.0.5, <12.3.0.2, <12.4.0.2, 12.5.0.0)

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-4428 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (<11.12.0.5, <12.3.0.2, <12.4.0.2, 12.5.0.0)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190

IOCs:
File: 16
Command: 4
Path: 4
IP: 2
Url: 2

Soft:
Microsoft SharePoint, Ivanti, Linux, WireGuard, Active Directory, Microsoft Outlook

Algorithms:
zip, aes, xor, base64

Win API:
RtlCreateUserThread, GetLogicalDrives

Languages:
rust, powershell

Platforms:
x64

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние расследования киберинцидентов, нацеленных на российские компании, выявили использование уязвимостей удаленного выполнения кода, в частности CVE-2025-53770 в Microsoft SharePoint и CVE-2025-4427 и CVE-2025-4428 в Ivanti Endpoint Manager Mobile. Основную ответственность несли группы QuietCrabs и Thor, причем QuietCrabs были связаны с кибершпионажем и использованием вредоносного ПО, такого как KrustyLoader и Sliver. Атаки затронули около 110 компаний, подчеркнув угрозу, исходящую от легкодоступных инструментов эксплуатации.
-----

Недавние расследования киберинцидентов, затрагивающих российские компании, выявили использование нескольких уязвимостей удаленного выполнения кода (RCE), в частности, CVE-2025-53770 в Microsoft SharePoint и CVE-2025-4427 и CVE-2025-4428 в Ivanti Endpoint Manager Mobile. Вредоносная деятельность была, в частности, приписана двум идентифицированным группам: QuietCrabs и Thor. QuietCrabs, также известные как UTA0178 и UNC5221, продемонстрировали быструю адаптацию, используя эти уязвимости вскоре после того, как код проверки концепции (PoC) стал общедоступным. Они подозреваются в связях с более широкой группой APT27 и занимаются главным образом кибершпионажем, используя известные уязвимости.

Группа QuietCrabs, предположительно имеющая азиатское происхождение, была впервые обнаружена в начале 2024 года и продолжает активно действовать. Его деятельность охватывает различные регионы, с выявленными жертвами в таких странах, как США, Великобритания, Германия, Южная Корея, Россия, Тайвань, Филиппины, Иран и Чешская Республика. Их мотивация сосредоточена вокруг кибершпионажа, который согласуется с более широкой тенденцией нацеливания на критически важные секторы, включая военные технологии, здравоохранение и исследовательские учреждения, среди малых и средних предприятий.

Помимо использования уязвимостей, были обнаружены образцы вредоносного ПО KrustyLoader и Sliver, а также артефакты, указывающие на использование инструментов Tactical RMM и MeshAgent. В частности, мишенями стали около 110 российских компаний из различных секторов, что подчеркивает широкий охват этих атак. Несмотря на масштаб, методология, используемая Thor group, была охарактеризована как недостаточно изощренная, что позволяет предположить, что организации с надежными системами безопасности могли бы смягчить или оперативно сдержать эти вторжения.

Результаты этих инцидентов подчеркивают настоятельную необходимость совершенствования процессов обеспечения информационной безопасности для защиты от атак и реагирования на них с использованием хорошо известных уязвимостей и легкодоступных средств их использования.

#ParsedReport #CompletenessHigh
02-12-2025

One for all and all for one: joint attacks of 4BID, BO Team and Red Likho

https://securelist.ru/sovmestnye-ataki-4bid-bo-team-red-likho/114124/

Report completeness: High

Actors/Campaigns:
Bo_team (motivation: cyber_espionage, hacktivism)
Shedding_zmiy (motivation: cyber_espionage, hacktivism)
4bid (motivation: cyber_espionage, hacktivism)

Threats:
Bulldog_backdoor
Zeronetkit
Blackout_locker
Lockbit
Babuk
Anydesk_tool
Tuoni_tool
Cobalt_strike_tool
Credential_dumping_technique
Ntdsutil_tool
Wevtutil_tool
Adrecon_tool
Viper

Industry:
Healthcare

Geo:
Russian federation, Russian, Usa

TTPs:
Tactics: 1
Technics: 8

IOCs:
File: 30
Registry: 9
Domain: 3
IP: 2
Hash: 13
Path: 3

Soft:
Telegram, bcdedit, firefox, onenote, outlook, steam, thebat, wordpad, Windows service, msexchange, have more...

Algorithms:
aes, zip, xor

Functions:
Get-PnpDevice, DeleteEventsLogs, generate_fernet_key, EncryptData, srand, rand, Get-Date, TaskCache

Win API:
CreateToolhelp32Snapshot, Process32First, Process32Next, TerminateProcess, OpenSCManagerA, OpenServiceA, ControlService, DeleteService, CloseServiceHandle, OpenEventLogA, have more...

Win Services:
ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, xfssvccon, mydesktopservice, ocautoupds, encsvc, tbirdconfig, have more...

Languages:
powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кибератаки привели к сотрудничеству хактивистских групп 4BID, BO Team и Red Likho, что усложнило определение их тактики. В атаках использовались уникальные инструменты, такие как скрипт PowerShell Edgeupdate.ps1 для скрытых операций, программа-вымогатель Blackout Locker на C/C++ и кража учетных данных с помощью сброса Памяти процесса LSASS. Среди выявленных дополнительных вредоносных ПО - бэкдор ZeronetKit от BO Team и GoRed от Red Likho, приложивший значительные усилия для отключения защитника Windows и очистки системных журналов.
-----

Недавние атаки выявили тенденцию к сотрудничеству между группами хактивистов, в частности 4BID, BO Team и Red Likho, что усложняет атрибуцию их соответствующих тактик и приемов. Примечательно, что в атаках использовались уникальные инструменты, включая специализированный скрипт PowerShell с именем Edgeupdate.ps1, который предназначен для скрытных разрушительных операций, позволяющих избежать обнаружения и обеспечить закрепление в системах-жертвах.

Группа 4BID внедрила новую программу-вымогатель, известную как Blackout Locker, написанную на C/C++, что отличает ее от более ранних программ-вымогателей с похожими названиями. Среди жертв также был идентифицирован экземпляр программы-вымогателя Babuk с типичным именем файла e_win.exe ; однако его широкое использование среди различных групп затрудняет атрибуцию. Кроме того, атаки включали проверку на наличие установок AnyDesk в разных сетях для облегчения дальнейшего компрометирования.

Что касается инструментов, то в ходе исследований было обнаружено множество образцов исправленного Process Explorer с вариантами загрузки Tuoni или Cobalt Strike, которые также использовались в атаках Red Likho и BO Team. Бэкдор ZeronetKit, созданный на языке Go и встречающийся в ранних версиях под брендом ZeroNet string, считается собственностью BO Team. Другой бэкдор, связанный с Red Likho, под названием GoRed, также был обнаружен среди жертв.

Были выявлены методы кражи учетных данных, включая попытки сбросить память процесса LSASS — часто критически важную для извлечения учетных данных — с помощью компонента Windows через rundll32.exe . Злоумышленники использовали метод T1562 для Ослабления защиты, в частности, отключили защиту Windows Defender в режиме реального времени, чтобы облегчить выполнение вредоносного ПО без обнаружения. Распространению программы-вымогателя Babuk способствовало использование объектов групповой политики и запланированных заданий, которые беспрепятственно запускали вредоносное ПО из общего сетевого ресурса по всему домену.

Более того, были замечены сознательные усилия по очистке системных журналов, чтобы удалить признаки компрометации. Целями кампании в основном были организации в Российской Федерации, охватывающие различные секторы, такие как производство, здравоохранение и государственные услуги. Недавняя динамика сотрудничества между группами предполагает объединение ресурсов, о чем свидетельствует предложение члена 4BID о сотрудничестве на публичном форуме, что указывает на менее автономный режим работы и готовность использовать инструменты, разработанные другими группами.

#ParsedReport #CompletenessHigh
02-12-2025

Analysis of StreamSpy, a new Trojan horse utilizing WebSocket in Mahabusa (APT-Q-36)

https://www.ctfiot.com/284804.html

Report completeness: High

Actors/Campaigns:
Donot (motivation: cyber_espionage)
Mahabharata

Threats:
Streamspy
Spyder

Industry:
Government, Military, Education

Geo:
Asian

TTPs:
Tactics: 2
Technics: 0

IOCs:
Hash: 9
Url: 16
File: 1
Domain: 2

Soft:
Android, WeChat

Algorithms:
aes, md5, zip

Functions:
getCommand

Win API:
ShellExecuteExW, ShellExecuteA, deleteFile, CreateProcessW

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянец StreamSpy, приписываемый группе Mahabusa (APT-Q-36), использует WebSocket для постоянной связи со своими серверами командования и контроля, расширяя возможности извлечения данных и уклоняясь от обнаружения. Эта группа, специализирующаяся на кибершпионаже в различных секторах Азии, демонстрирует передовые оперативные навыки и готовность использовать уязвимости, обусловленные геополитическими мотивами. Использование WebSocket знаменует собой значительную эволюцию в их методологии атак, бросая вызов средствам защиты от кибербезопасности.
-----

Анализ троянца StreamSpy, приписываемого группе Mahabusa (также известной как APT-Q-36), показывает инновационное использование WebSocket для связи, что знаменует собой значительную эволюцию в методологии атаки. Эта группа действует уже более десяти лет, уделяя особое внимание кибершпионажу, направленному на различные секторы Азиатского региона, включая правительственные, военные, энергетические, промышленные, исследовательские, образовательные, дипломатические и экономические организации.

StreamSpy использует протокол WebSocket для поддержания постоянной связи в режиме реального времени со своими серверами управления (C2), что позволяет осуществлять динамическое и скрытое извлечение данных. Этот метод обладает преимуществами по сравнению с традиционными коммуникациями на основе HTTP, поскольку обеспечивает двусторонний интерактивный канал, способный обходить определенные сетевые средства защиты. Использование WebSocket также может затруднить обнаружение шаблонов трафика, увеличивая скрытность вредоносного ПО и продолжительность его работы.

Историческое прошлое группировки Mahabusa указывает на сложные оперативные возможности и региональную направленность, что может свидетельствовать о том, что их угрозы продиктованы геополитическими интересами. Их многолетняя деятельность указывает на устойчивую приверженность кибероперациям, предполагая, что они могут использовать передовые технологии, чтобы избежать обнаружения и воспользоваться уязвимостями в системах безопасности своих целей.

Нацеливание на различные секторы предполагает высокий уровень оперативной адаптивности и стратегический подход к сбору разведывательных данных, которые могут послужить основой для будущих атак или более широких киберкампаний. Поскольку эта группа продолжает развиваться, мониторинг их методов и методологий, особенно с внедрением таких технологий, как WebSocket, будет иметь решающее значение для стратегий обнаружения угроз и защиты.

Таким образом, появление StreamSpy в качестве троянца, использующего WebSocket, представляет собой заметную проблему для защиты кибербезопасности, особенно из-за его возможностей для постоянной связи. Угроза, исходящая от группировки Mahabusa, значительна, учитывая их исторический контекст и разнообразный круг целей.

#ParsedReport #CompletenessHigh
02-12-2025

Arkanix Stealer Jumps from Discord to Browser Sessions and Corporate Logins

https://cybersecsentinel.com/arkanix-stealer-jumps-from-discord-to-browser-sessions-and-corporate-logins/

Report completeness: High

Threats:
Arkanix
Process_injection_technique
Clickfix_technique
Vmprotect_tool
Credential_dumping_technique

Victims:
Corporate environments, Consumers, Cloud service users, Gaming communities

Industry:
Entertainment

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1055, T1056.004, T1059.006, T1071.001, T1082, T1105, T1119, have more...

IOCs:
Domain: 3
Command: 1
Url: 3
Hash: 7
File: 1

Soft:
Discord, Chromium, Chrome, Google Chrome, PyInstaller, DirectX, Opera, Vivaldi, Steam, Roblox, have more...

Wallets:
metamask, tronlink, electrum

Crypto:
binance

Algorithms:
sha256, md5

Languages:
python, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Arkanix Stealer - это кроссплатформенный стиллер информации, который эволюционировал от простого скрипта на Python до продвинутого варианта на C++, используя доверие пользователей с помощью таких платформ, как Discord. Для извлечения конфиденциальной информации, включая учетные данные и сеансовые файлы cookie, он использует такие методы, как Внедрение кода в процесс в браузеры на базе Chromium, в то время как его распространение основано на тактике социальной инженерии, нацеленной на VPN-клиентов. Централизованная инфраструктура командования и контроля вредоносного ПО использует Зашифрованные каналы для эксфильтрации данных, что позволяет злоумышленникам обходить Многофакторную аутентификацию и потенциально подвергать риску корпоративную среду.
-----

Arkanix Stealer - это развивающийся кроссплатформенный стиллер информации, известный своим быстрым развитием и изощренными методами уклонения. Первоначально идентифицированный как простой скрипт на Python, он превратился в более продвинутый вариант на C++, который работает через Discord и другие социальные платформы, используя доверие пользователей. Злоумышленники, стоящие за Arkanix, являются финансово мотивированными киберпреступниками, которые существуют в экосистеме вредоносного ПО как сервиса.

Вредоносное ПО использует различные методы эксплуатации, в первую очередь Внедрение кода в процесс в браузеры на базе Chromium, что позволяет ему обходить шифрование, связанное с приложением. Эта возможность позволяет Arkanix красть целый ряд конфиденциальной информации, включая учетные данные, сессионные куки, cookies и данные кошелька. В Arkanix используется модуль, известный как Chrome Elevator, который работает после эксплуатации, напрямую запрашивая конфиденциальные данные внутри браузера, а не расшифровывая файлы извне.

Основными направлениями распространения являются тактики социальной инженерии, такие как обман на тему ClickFix и Имперсонация игровых инструментов. Область применения широка, основное внимание уделяется клиентам виртуальной частной сети (VPN) и извлечению сохраненных учетных данных и профилей с помощью команд, которые взаимодействуют с сетевыми настройками системы. Arkanix также извлекает данные из популярных браузеров и приложений-кошельков, одновременно собирая широкий спектр системных параметров для создания полного отпечатка пальца жертвы.

Инфраструктура командования и контроля для Arkanix централизована, с Зашифрованными каналами, облегчающими эксфильтрацию данных. Украденные данные позволяют злоумышленникам обходить механизмы Многофакторной аутентификации, что приводит к дальнейшим нарушениям в корпоративной среде. Например, доступ к таким сервисам, как Microsoft 365, Slack и Salesforce, может осуществляться с помощью перехваченных сеансовых файлов cookie. Украденная информация, включая профили VPN и беспроводные ключи, создает риски для сетевых взломов, предоставляя злоумышленникам доступ к корпоративным сетям.

Arkanix не имеет известных механизмов закрепления и требует Выполнения с участием пользователя, что отчасти объясняет, почему его оценка угрозы в настоящее время повышена до 6,4. Быстрая адаптация вредоносного ПО и модульная конструкция повышают его способность собирать конфиденциальную информацию, значительно повышая риск. Несмотря на то, что он процветает за счет немедленной прибыли от украденных данных, журналы часто продаются брокерам первоначального доступа для дальнейшей киберпреступной деятельности, что указывает на многоуровневую модель атаки.

Чтобы смягчить угрозу, рекомендуемые стратегии включают блокировку известных доменов, связанных с Arkanix, принудительное включение в список разрешенных приложений и внедрение комплексной программы обучения пользователей рискам социальной инженерии. Адаптивность Arkanix Stealer подчеркивает постоянную необходимость разработки средств защиты от все более изощренных киберугроз.

#ParsedReport #CompletenessMedium
03-12-2025

Shai-Hulud V2 Poses Risk To NPM Supply Chain

https://www.zscaler.com/blogs/security-research/shai-hulud-v2-poses-risk-npm-supply-chain

Report completeness: Medium

Threats:
Shai-hulud
Supply_chain_technique
Credential_harvesting_technique
Trufflehog_tool

Victims:
Software supply chain, Developers, Npm ecosystem, Github repositories, Ci cd pipelines, Cloud services users

Industry:
Software_development

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 21
Hash: 3

Soft:
Node.js, macOS, Linux, Docker, ubuntu

Algorithms:
deflate, base64, gzip, sha256

Languages:
javascript

Platforms:
cross-platform

Links:
https://github.com/trufflesecurity/trufflehog

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Shai-Hulud версии 2 вредоносного ПО, выявленная 24 ноября 2025 года, представляет серьезную угрозу Цепочке поставок программного обеспечения npm, компрометируя более 700 пакетов npm и создавая более 27 000 вредоносных репозиториев GitHub. Он использует предустановленные сценарии жизненного цикла, повышающие его возможности для атак, и применяет методы сбора учетных записей, ориентированные на основные облачные платформы, при этом фильтруя данные через репозитории GitHub, чтобы избежать обнаружения. Кроме того, он обеспечивает червеобразное распространение в экосистеме npm и использует агенты сборки Azure DevOps, что свидетельствует о значительном расширении его тактики и воздействия.
-----

Кампания по распространению вредоносного ПО Shai-Hulud версии 2, выявленная 24 ноября 2025 года, представляет значительную угрозу Цепочке поставок программного обеспечения npm. Эта кампания, которую операторы называют "Вторым пришествием", основана на предыдущей версии Shai-Hulud V1, демонстрируя эволюцию тактики и более агрессивный таргетинг на экосистему npm. В течение нескольких часов после обнаружения было скомпрометировано более 700 пакетов npm, а также создано более 27 000 вредоносных репозиториев на GitHub, которые раскрыли около 14 000 секретов в 487 организациях.

Кампания Shai-Hulud версии 2 использует сценарий жизненного цикла предустановки для запуска атак, в отличие от Shai-Hulud версии 1, использующей перехватчики после установки. Это стратегическое изменение позволяет вредоносному коду выполняться даже в случае сбоя установки пакета, что значительно усиливает потенциальное воздействие атаки. Заметным улучшением в этой версии является использование Bun, высокопроизводительной среды выполнения JavaScript, которую вредоносный установочный скрипт использует для различных операций.

Shai-Hulud V2 демонстрирует улучшенное выполнение с учетом окружающей среды, автоматически адаптируя свое поведение в зависимости от среды выполнения. Вредоносное ПО реализует механизм сбора учетных записей, который использует учетные данные различных платформ, включая те, которые связаны с крупными облачными провайдерами, такими как AWS, GCP и Azure, входящие в состав вредоносного ПО. Кроме того, он неправильно использует TruffleHog, секретный инструмент сканирования с открытым исходным кодом, для просмотра домашних каталогов пользователей в поисках конфиденциальной информации.

Для эксфильтрации данных Shai-Hulud V2 использует скомпрометированные токены для отправки украденных данных во вновь созданные репозитории GitHub, а не на внешние серверы управления (C2), что затрудняет обнаружение за счет Маскировки вредоносного трафика под законную активность на GitHub. Вредоносное ПО также может перерабатывать учетные данные, полученные от предыдущих жертв, расширяя свой охват.

Эта кампания также включает в себя возможность червеобразного распространения по всей экосистеме npm, автоматизируя процесс распространения на новые цели с использованием действительных токенов npm. Его функции включают установку автономных средств запуска GitHub Actions, позволяющих постоянно выполнять удаленный код, и создание вредоносных файлов рабочего процесса, которые используют уязвимости внедрения команд в обсуждениях на GitHub.

Кроме того, Shai-Hulud V2 развертывает рабочие процессы для сбора секретов действий GitHub и упаковки их в артефакт JSON, облегчающий поиск конфиденциальной информации. Переключатель dead man's повышает устойчивость вредоносного ПО, вызывая Уничтожение данных, если оно теряет доступ как к GitHub, так и к npm во время усилий по локализации, что усложняет судебно-медицинское восстановление.

Наконец, вредоносное ПО включает специализированную логику, адаптированную для использования агентов сборки Azure DevOps в системах Linux, что еще больше расширяет диапазон его векторов атак. Таким образом, кампания Shai-Hulud V2 представляет собой серьезный риск для Цепочки поставок, характеризующийся агрессивными методами и адаптивностью.

#ParsedReport #CompletenessHigh
02-12-2025

Malicious Rust Crate evm-units Serves Cross-Platform Payloads for Silent Execution

https://socket.dev/blog/malicious-rust-crate-evm-units-serves-cross-platform-payloads

Report completeness: High

Threats:
Evm-units
Supply_chain_technique
Process_injection_technique

Industry:
Retail

Geo:
China, Asian, Asia, Chinese

TTPs:
Tactics: 1
Technics: 10

IOCs:
Url: 1
Hash: 1
File: 8

Soft:
Linux, MacOS, Outlook

Crypto:
ethereum, uniswap

Algorithms:
base64

Functions:
get_evm_version, check, temp_dir, main

Languages:
applescript, powershell, rust

Platforms:
cross-platform