#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО "Shai Hulud 2.0" появилось в сентябре, используя скомпрометированные пакеты npm с новой функцией очистки. Он устанавливает скрипт, setup_bun.js , который подготавливает систему к дальнейшим действиям и собирает конфиденциальную информацию, такую как токены GitHub, для эксфильтрации данных. Если не удается получить действительные токены, он активирует функцию очистки для удаления пользовательских файлов, подчеркивая свою двойную функциональность как похитителя учетных данных, так и деструктивной угрозы внутри системы. Node.js экосистема.
-----

В сентябре появился новый вариант вредоносного ПО, известный как "Shai Hulud 2.0", распространяемый через скомпрометированные пакеты Node Package Manager (npm). В этой версии появилась функция стеклоочистителя, что ознаменовало значительную эволюцию его функциональности. Начальная полезная нагрузка использует скрипт с именем setup_bun.js , который намеренно оставлен нераскрытым и хорошо задокументированным, чтобы скрыть его истинное намерение подготовить систему к последующим этапам внедрения вредоносного ПО. Скрипт проверяет установку законной среды выполнения Bun JavaScript и устанавливает ее, если она отсутствует, одновременно создавая среду выполнения для дальнейших вредоносных действий.

После запуска Shai Hulud 2.0 предназначен для сбора конфиденциальной информации из нескольких источников. Он активно ищет учетные данные и секреты, используя методы, которые включают сканирование переменных среды в поисках токена доступа GitHub и извлечение данных из конфигурации интерфейса командной строки GitHub (CLI). Использование этих токенов позволяет вредоносному ПО создать канал связи с общедоступным репозиторием GitHub для эксфильтрации украденных данных.

В дополнение к этим возможностям Shai Hulud 2.0 демонстрирует функции саморепликации, встраиваясь в пакеты npm. Вредоносный скрипт сканирует файлы конфигурации .npmrc в домашнем каталоге пользователя и текущем рабочем каталоге, чтобы найти токен авторизации в реестре npm, способствующий его распространению.

Если вредоносному ПО не удается получить действительные токены npm или GitHub, что препятствует усилиям по эксфильтрации данных, оно прибегает к выполнению деструктивной полезной нагрузки. Этот деструктивный ответ запускает функцию очистки, которая систематически удаляет пользовательские файлы, особенно те, которые расположены в домашнем каталоге. Двойственная природа Shai Hulud 2.0 — его способность красть учетные данные и стирать данные — иллюстрирует меняющийся ландшафт угроз с последствиями для разработчиков и пользователей в рамках Node.js экосистема.

На нашем совместном с INSECA CTI Meetup (прошедшем в прошлую субботу) коллеги из Касперского и BI Zone говорили о сложности атрибуции.

Смотрю на эту новость...
Ну не знаю, мне кажется все просто и очевидно же. Что тут сложного-то?

З.ы. Шутка, конечно же. Коллеги правы в сложности и размытости атрибуции :)

#technique

Evading Detection to Ring0 Уклоняемся от детекта вплоть до уровня ядра

https://rt-solar.ru/solar-4rays/blog/6254/

#ParsedReport #CompletenessLow
05-12-2025

SessionReaper (CVE-2025-54236) Discussions on the Dark Web and Telegram

https://flare.io/learn/resources/blog/sessionreaper-cve-2025-54236-dark-web-and-telegram/

Report completeness: Low

Threats:
Sessionreaper_vuln
Residential_proxy_technique

Victims:
Ecommerce platforms, Online retail

Industry:
E-commerce

CVEs:
CVE-2025-54236 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe commerce (2.4.4, 2.4.5, 2.4.6, 2.4.7, 2.4.8)


TTPs:
Tactics: 6
Technics: 6

Soft:
Telegram, Redis, nginx, Unix

Languages:
javascript, php

Links:
https://github.com/amalpvatayam67/day01-sessionreaper-lab

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-54236 - критическая уязвимость в Adobe Commerce, которая позволяет злоумышленникам осуществлять удаленное выполнение кода путем внедрения вредоносной сериализованной полезной нагрузки в файловое хранилище сеансов. Эксплуатация может привести к полному захвату системы, позволяя злоумышленникам выполнять код с разрешениями веб-сервера. Участившиеся обсуждения на форумах Dark Web указывают на повышенный интерес злоумышленников к использованию этой уязвимости для злонамеренных действий, включая Кражу денежных средств.
-----

SessionReaper (CVE-2025-54236) - критическая уязвимость, затрагивающая Adobe Commerce (ранее Magento), широко используемую платформу электронной коммерции, которая поддерживает более 130 000 веб-сайтов по всему миру. Эта уязвимость может привести к полному захвату системы при определенных условиях, поскольку она использует файловое хранилище сеансов в среде Magento. Когда сеансы управляются как файлы, злоумышленник может внедрить вредоносную сериализованную полезную нагрузку, что приводит к удаленному выполнению кода (RCE), когда Magento десериализует этот скомпрометированный файл сеанса. Это означает, что злоумышленник фактически может выполнять код с разрешениями веб-сервера, усиливая потенциальное воздействие на скомпрометированные системы.

С тех пор как 9 сентября 2025 года были опубликованы рекомендации Adobe, на форумах Dark Web и в Telegram-каналах наблюдается заметный рост дискуссий вокруг CVE-2025-54236. В этих беседах освещаются не только законные исследования в области безопасности, но и оперативные обсуждения использования уязвимости, что указывает на заинтересованность злоумышленников в использовании этого недостатка в злонамеренных целях.

Организациям настоятельно рекомендуется немедленно принять меры по снижению риска, включая применение официальных исправлений, предоставляемых Adobe или Magento, и отключение файлового хранилища сеансов, если это возможно, для ограничения воздействия. Потенциальные пути использования совпадают с несколькими методами, описанными в MITRE ATT&CK Framework, включая использование общедоступных приложений (T1190), выполнение команд через Командную оболочку Unix (T1059.004) и использование Веб-шеллов (T1505.003). Дополнительные риски включают в себя получение учетных данных через незащищенные файлы и потенциальную возможность Кражи денежных средств (T1657).

#ParsedReport #CompletenessMedium
05-12-2025

V3G4 Botnet Evolves: From DDoS to Covert Cryptomining

https://cyble.com/blog/v3g4-mirai-botnet-evolves/

Report completeness: Medium

Threats:
Mirai
Xmrig_miner

Victims:
Linux servers

Industry:
Iot, Transport

TTPs:
Tactics: 9
Technics: 15

IOCs:
Domain: 3
IP: 3
Url: 2
File: 1
Coin: 1
Hash: 8

Soft:
Linux, curl, Unix

Crypto:
monero

Algorithms:
sha256, exhibit

Platforms:
mips, mpsl, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кампания нацелена на системы Linux, использующие производный от Mirai ботнет, который включает в себя функции криптомайнинга. Атака инициируется с помощью сценария оболочки, который загружает двоичные файлы бота, основанные на системной архитектуре, используя высокоскоростное сканирование SSH и тактику DDoS для использования уязвимостей SSH. Вредоносное ПО маскирует себя путем переименования, чтобы походить на обычные системные процессы, и использует динамические конфигурации для скрытности, в конечном итоге развертывая майнер XMRig, поддерживая связь с сервером управления с помощью запутанных методов.
-----

Недавние результаты Cyble Research & Intelligence Labs (CRIL) раскрывают активную кампанию, нацеленную на системы Linux, использующую производный от Mirai ботнет, который объединяет возможности скрытого криптомайнинга. В этой операции используется сложный многоэтапный процесс заражения, который начинается со скрипта оболочки, известного как "Универсальный загрузчик ботов". Этот скрипт автоматически идентифицирует архитектуру системы с помощью команды `uname -m` и впоследствии загружает соответствующий двоичный файл бота с сервера, контролируемого злоумышленником.

Ботнет, обладающий характеристиками, типичными для V3G4 и других вариантов Mirai, использует высокоскоростное SSH-сканирование и DDoS-атаки. Он использует необработанное сканирование TCP с помощью распределения пакетов SYN, направленных на порт 22 по многочисленным IP-адресам, что указывает на методичный подход грубой силы для использования уязвимостей SSH для дальнейшего доступа к другим хостам Linux.

Для обеспечения скрытности и уклонения от обнаружения, вредоносное ПО маскарады, переименовав себя, чтобы выглядеть как единая система процессов, таких, как "команду systemd-logind," и отсоединяется от терминала. Этот подход включает в себя подавить стандартный вывод и создает локальный TCP-сокет для внутренних коммуникаций, дальнейшего скрывая свою деятельность.

После успешного получения доступа вредоносное ПО переходит к развертыванию этапа криптомайнинга, загружая майнер XMRig, который замаскирован под законный процесс с именем файла ".dbus-daemon", размещенный в каталоге "/tmp". Конфигурация этого майнера — включая адреса кошельков и параметры майнинга — динамически извлекается с сервера управления (C2), гарантируя, что на диске не останется никаких остатков, что усложняет судебно-медицинский анализ.

Связь с сервером C2 включает в себя многопоточные DNS-запросы к известному общедоступному DNS (в частности, 8.8.8.8), разрешающие доступ к IP-адресам, связанным с инфраструктурой злоумышленника. Это включает в себя механизмы предотвращения традиционных методов обнаружения с помощью обфускации файлов и динамических конфигураций, которые предотвращают создание идентифицируемых артефактов.

Эта кампания является примером финансово мотивированной, многогранной киберугрозы, которая использует современные методы как для распространения ботнет, так и для скрытого Несанкционированного использования ресурсов посредством криптомайнинга. Используя тактику обхода, такую как использование упакованных двоичных файлов и динамических DNS-запросов, злоумышленники обеспечивают закрепление на скомпрометированных устройствах, стремясь при этом оставаться незамеченными с помощью мер безопасности. Набор применяемых методов соответствует различным стратегиям MITRE ATT&CK, включая разведку, первоначальный доступ с помощью перебора SSH, выполнение команд и использование ресурсов.

#ParsedReport #CompletenessMedium
05-12-2025

Shai-Hulud 2.0: Inside the NPM Supply Chain Worm

https://the-sequence.com/investigating-shai-hulud

Report completeness: Medium

Threats:
Supply_chain_technique
Shai-hulud
Trufflehog_tool

Victims:
Software development, Open source ecosystem, Developers

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 9

Soft:
curl, Linux, sudo, Docker, Unix, macOS

Crypto:
ripple

Algorithms:
zip, base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака Shai-Hulud 2.0, обнаруженная в августе 2025 года, использовала уязвимость GitHub Actions injection в экосистеме NPM, что позволило злоумышленникам извлекать токены публикации NPM и загружать вредоносные пакеты, которые скомпрометировали локальные инструменты искусственного интеллекта. Первоначальный доступ был получен через электронное письмо с фишингом, что привело к распространению вредоносного ПО, представленного Setup_bun.js , который устанавливает постоянное присутствие и крадет токены GitHub, одновременно нарушая работу DNS для эксфильтрации конфиденциальных данных. Этот инцидент выявил значительные уязвимости в Цепочке поставок программного обеспечения, потенциально затрагивающие многочисленные организации, зависящие от NPM.
-----

Атака Shai-Hulud 2.0 использовала уязвимость Цепочки поставок в экосистеме NPM с помощью ошибки внедрения действий на GitHub. Злоумышленники манипулировали заголовком запроса на извлечение, чтобы выполнить команды оболочки и извлечь токены публикации NPM. Были загружены вредоносные версии доверенных пакетов NPM, которые управляли локальными средствами командной строки искусственного интеллекта для поиска конфиденциальной информации. Первоначальный доступ был получен с помощью электронного письма с фишингом, замаскированного под предупреждение системы безопасности NPM. Фреймворк вредоносного ПО включает в себя скрипт загрузки (Setup_bun.js ), который гарантирует наличие среды выполнения Bun JavaScript для выполнения основного вредоносного ПО (bun_environment.js ). После взлома вредоносное ПО крадет токен GitHub жертвы и регистрирует систему как автономный сервер под идентификатором SHA1HULUD с помощью вредоносного рабочего процесса. Он предпринимает попытку повышения привилегий с помощью проверок доступа sudo и использования Docker путем изменения файла sudoers. Вредоносное ПО нарушает разрешение DNS, останавливая службу, разрешенную systemd, и перенаправляя вызовы на контролируемые злоумышленником DNS-серверы. Эксфильтрация данных осуществляется путем кодирования конфиденциальной информации в double Base64 и загрузки ее в хранилища, контролируемые злоумышленниками. Если не удается пройти аутентификацию или создать хранилище, вредоносное ПО удаляет содержимое домашнего каталога пользователя. Атака создает риски для организаций, полагающихся на экосистему NPM, подчеркивая уязвимости в инструментах разработчика и рабочих процессах.

#ParsedReport #CompletenessLow
05-12-2025

Malicious Go Packages Impersonate Googles UUID Library and Exfiltrate Data

https://socket.dev/blog/malicious-go-packages-impersonate-googles-uuid-library-and-exfiltrate-data

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique

TTPs:
Tactics: 2
Technics: 5

IOCs:
Url: 4
File: 15

Soft:
Outlook

Algorithms:
aes

Links:
have more...
https://socket.dev/go/package/github.com/bpoorman/uuid
https://socket.dev/go/package/github.com/bpoorman/uid?version=v0.0.0-20210528062104-e068190dd06b

#ParsedReport #CompletenessMedium
04-12-2025

Dangerous Invitations: Russian Threat Actor Spoofs European Security Events in Targeted Phishing Attacks

https://www.volexity.com/blog/2025/12/04/dangerous-invitations-russian-threat-actor-spoofs-european-security-events-in-targeted-phishing-attacks/

Report completeness: Medium

Actors/Campaigns:
Uta0355

Threats:
Spear-phishing_technique
Device_code_phishing_technique
Credential_stealing_technique

Victims:
Microsoft users, Google users, Conference attendees, Volexity customers

Industry:
Government

Geo:
Serbia, Russia, Indo pacific, Russian, Indo-pacific, Belgium

ChatGPT TTPs:
do not use without manual check
T1078.004, T1204.001, T1566.002, T1583.001, T1585.003, T1591

IOCs:
Domain: 7
Url: 11

Soft:
WhatsApp, Microsoft Entra, Linux, Android, Gmail, Volexity Volcano

Algorithms:
base64

Platforms:
apple

Links:
have more...
https://github.com/denniskniep/DeviceCodePhishing
https://github.com/volexity/threat-intel/blob/main/2025/2025-12-03%20UTA0355/iocs.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2025 году российский злоумышленник UTA0355 использовал передовые методы фишинга, нацеленные на пользователей Microsoft 365 и Google, в частности, с помощью OAuth и рабочих процессов с кодом устройства. Они начали операции с использованием мошеннического веб-сайта, связанного с Белградской конференцией по безопасности, используя тактику социальной инженерии, общаясь с лицами, которые отказываются от участия, тем самым расширяя свою сеть потенциальных жертв. Эта стратегия включает в себя запрос дополнительных контактов по электронной почте, что увеличивает общий риск компрометации.
-----

В 2025 году российские злоумышленники стали применять все более изощренные методы фишинга, в частности, используя OAuth Microsoft 365 и рабочие процессы аутентификации по коду устройства. Анализ Volexity показывает, что эти акторы постоянно ориентируются на пользователей платформ Microsoft и Google, адаптируя свои методы и темы для социальной инженерии, чтобы повысить их эффективность. Несмотря на предыдущие предупреждения, распространенность этих методов свидетельствует о тенденции, которая продолжает развиваться.

Злоумышленники расширили свои операции по фишингу, используя учетную запись Gmail для отправки электронных писем с Целевым фишингом, связанных с мошенническим веб-сайтом, bsc2025.org , которая ложно представляет себя связанной с Белградской конференцией по безопасности. Эта тактика иллюстрирует преднамеренную попытку использовать законные ассоциации событий для обмана целей, демонстрируя сочетание социальной инженерии и веб-Имперсонации.

Более того, злоумышленник, идентифицированный под кодовым именем UTA0355, демонстрирует стратегию расширения своего охвата путем общения с теми, кто отказывается от участия в поддельном мероприятии. После ответа потенциальной жертвы, указывающего, что они не могут присутствовать, UTA0355 извлекает выгоду из этого взаимодействия, поощряя их регистрироваться для получения обновлений, а также запрашивая дополнительные имена и Адреса эл. почты заинтересованных коллег. Эта тактика не только способствует более эффективному нацеливанию, но и оказалась успешной в расширении сети потенциальных жертв злоумышленника. В некоторых случаях сообщалось даже о случаях социального знакомства жертв, что еще больше усугубляло риск.

#ParsedReport #CompletenessHigh
05-12-2025

Weyhro C2: Because Ransomware Wasnt Paying the Bills Anymore

https://lumma-labs.com/weyhro-c2-because-ransomware-wasnt-paying-the-bills-anymore-b136fd7ef100?gi=0d5f4ec2222c

Report completeness: High

Threats:
Weyhro-c2_tool
Lumma_stealer
Residential_proxy_technique
Proxychains_tool
Hvnc_tool
Polymorphism_technique
Process_injection_technique
Process_hollowing_technique

Victims:
Enterprises, Windows users

Industry:
Healthcare

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1055, T1055.012, T1059.003, T1090.003, T1106, T1140, T1518.001, have more...

IOCs:
File: 4
Path: 3
Hash: 3
IP: 1

Soft:
Event Tracing for Windows, Local Security Authority

Algorithms:
xor, aes-128, chacha20, aes-128-ctr, aes

Functions:
FindFirstFile, FindNextFile, CreateRemoteThread-based, send

Win API:
CreateFileW, GetFileSize, VirtualAlloc, ReadFile, CloseHandle, EtwEventWrite, AmsiScanBuffer, SHGetFolderPathW, GetFileAttributesW, RegOpenKeyExA, have more...

Win Services:
bits

Platforms:
x86, x64

YARA: Found

Links:
https://github.com/RussianPanda95/Yara-Rules/blob/main/WeyhroC2/win\_mal\_weyhroc2.yar?source=post\_page-----b136fd7ef100---------------------------------------

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Полезная нагрузка Weyhro C2 использует передовые методы обхода, включая шифрование ChaCha20 для запутывания и Disabling Event Tracing для телеметрии Windows путем перезаписи функции "EtwEventWrite". Он достигает закрепления, копируя себя в каталог AppData, и использует Внедрение в пустой процесс для ввода кода в `cmd.exe `, и все это при использовании hidden VNC для необнаруженной работы. Вредоносное ПО включает в себя возможности для извлечения заявок Kerberos и устанавливает прокси-сервер SOCKS5 для маршрутизации трафика, хотя его передача данных по управлению, в частности, незашифрована, что создает потенциальный риск перехвата.
-----

Полезная нагрузка Weyhro C2 является примером сложного подхода к киберугрозам, в основном использующего различные методы уклонения и функциональные возможности, которые подчеркивают его злонамеренный умысел. Он использует шифрование ChaCha20 для запутывания путей к файлам, в частности для расшифровки целевых путей к файлам, таких как `C:\Windows\System32\ntdll.dll `. Он отключает отслеживание событий для телеметрии Windows (ETW) путем прямой перезаписи функции 'EtwEventWrite` в ntdll.dll , облегчающий скрытное поведение во время работы.

Для закрепления Weyhro C2 копирует себя в каталог AppData пользователя, заменяя любой существующий файл, чтобы обеспечить чистую установку. Это выполняется с помощью прямых вызовов API, проверки наличия существующих файлов с помощью `GetFileAttributesW` и выполнения удалений при необходимости.

Одним из ключевых методов атаки, используемых этой полезной нагрузкой, является Внедрение в пустой процесс. Он расшифровывает путь для `cmd.exe `, затем запускает его в подвешенном состоянии. Это позволяет полезной нагрузке внедрять свой код в законный процесс, выполняя операции, не вызывая немедленных подозрений. В сочетании с этим полезная нагрузка включает функцию скрытых виртуальных сетевых вычислений (HVNC), создающую невидимый сеанс рабочего стола для evasion, который позволяет приложениям запускаться незамеченными жертвой.

Кроме того, Weyhro C2 интегрирует возможности для извлечения билетов Kerberos, используя локальные службы безопасности (LSA) для сбора конфиденциальной аутентификационной информации. Загрузчик уникальным образом разрешает функции Windows API с помощью поиска по хэшу DJB2 вместо типичных таблиц импорта, добавляя еще один уровень скрытности.

Коммуникация по управлению (C2) примечательна использованием незашифрованного открытого текста, несмотря на использование внутреннего шифрования для запутывания строк. Эта уязвимость может подвергнуть трафик полезной нагрузки перехвату, потенциально раскрывая оперативную информацию защитникам.

Кроме того, команды C2 включают в себя различные функциональные возможности, такие как установка прокси-сервера SOCKS5 для маршрутизации трафика с скомпрометированного компьютера, создание обратной оболочки для выполнения команд и реализация механизма сердцебиения для поддержания соединения с сервером C2. Возможности Внедрения кода в процесс еще больше расширяются благодаря классическим методам, таким как "CreateRemoteThread", подчеркивающим способность полезной нагрузки выполнять свои команды в контексте законных процессов.

Weyhro C2 отражает полный набор функций, предназначенных для скрытности, закрепления и эксплуатационной гибкости, что представляет значительные риски для затронутых сетей.

#ParsedReport #CompletenessLow
04-12-2025

Decoding Brickstorms Garble strings

https://medium.com/walmartglobaltech/decoding-brickstorms-garble-strings-b0a60828b3cc?source=rss-36e34fe15919------2

Report completeness: Low

Threats:
Brickstorm
Garble_tool

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4