#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SantaStealer, готовящееся к выпуску вредоносное ПО для кражи информации, предлагаемое в качестве сервиса на подпольных платформах, в частности Telegram, является развитием BluelineStealer. Обнаруженный Rapid7 Labs, он демонстрирует модульную многопоточную конструкцию и примечателен переходом к модели работы без файлов, которая позволяет выполнять работу полностью в памяти. Несмотря на свой скрытный подход, вредоносное ПО обладает недостаточно развитыми возможностями антианализа, и только определенные компоненты, такие как дешифратор Chromium, обеспечивают ограниченную маскировку.
-----

SantaStealer новая информация-кража вредоносное ПО в настоящее время продаются в качестве службы на подземных каналов, в частности, через телеграммы и хакерских форумах. Он установлен быть выпущен к концу декабря 2025 и недавно изменил название с "BluelineStealer". Самое вредоносное ПО впервые обнаружен Rapid7 лаборатории, когда исполняемый файл Windows оповещений, как правило, связаны с инфекциями из Raccoon Stealer похититель. Конкретный образец Образец SHA-256 хэш, начинающийся с 1a27 и определяется как 64-разрядные библиотеки DLL с более чем 500 экспортированных символов, многие из которых носят описательный его функциональности, в том числе Credential stealing.

Технический анализ SantaStealer показывает, что он имеет модульную и многопоточную конструкцию, соответствующую описаниям разработчика. Изучение различных образцов выявило функциональные возможности, указывающие на переход к модели работы без файлов, при которой коллекции выполняются полностью в памяти, а не полагаются на традиционное файловое хранилище. Это включает в себя использование специальных модулей для облегчения операций и библиотеки DLL Chrome decryptor. Хотя такой подход без использования файлов повышает скрытность, методы антианализа вредоносного ПО кажутся незрелыми, и только некоторые полезные приложения, такие как сторонний Chrome decryptor, обеспечивают скромную скрытность.

#ParsedReport #CompletenessMedium
16-12-2025

Type 1 Backdoor: DRBControl malware executed by Mofu Loader

https://sect.iij.ad.jp/blog/2025/12/mofu-loader-executing-drbcontrol-malware/

Report completeness: Medium

Actors/Campaigns:
Winnti (motivation: cyber_espionage)
Emissary_panda
Axiom

Threats:
Mofu_loader
Drbcontrol
Dll_sideloading_technique
Micdown
Ratels
Shadowpad

Victims:
Government sector

Industry:
Government

Geo:
Columbia, Pakistani, Chinese, Taiwan, Japan

ChatGPT TTPs:
do not use without manual check
T1027.007, T1036.005, T1056.001, T1071.001, T1102.003, T1115, T1547.001, T1547.009, T1574.002

IOCs:
Path: 9
File: 1
Registry: 1
Hash: 2

Soft:
winlogon, chrome, Telnet client, Dropbox, Twitter

Algorithms:
sha256, lznt1, xor

Win API:
CreateRemoteThread, GetProcAddress, LoadLibraryA, VirtualAlloc, RtlDecompressBuffer

Links:
https://github.com/mopisec/research/blob/main/mofuloader\_ror11\_apihash\_resolver.py
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В декабре 2025 года вредоносное ПО- бэкдор 1-го типа, связанное с хакерской группировкой DRBControl и имеющее подключения к APT41 и APT27, было проанализировано на предмет его расширенных возможностей. Вредоносное ПО использует DLL-файл для выполнения через DLL side-loading и использует Mofu Loader для хэширования API и динамического разрешения адресов. Он обладает уникальными функциональными возможностями, такими как размещение ярлыков в папке автозагрузки для автозапуска и захват сетевых пакетов в неразборчивом режиме для получения информации C2, что указывает на эволюцию в обработке данных и методах атак.
-----

В декабре 2025 года было обнаружено и тщательно изучено новое вредоносное ПО, известное как бэкдор типа 1, которое, как сообщается, используется хакерской группировкой DRBControl. Предполагается, что эта группа связана с другими APT-группировками, такими как APT41 и APT27, на основе параллелей в вредоносном ПО и характеристиках кода. Анализ начался с DLL-файла, идентифицированного как wlbsctrl.dll , который был загружен с Тайваня и выполнен через DLL side-loading, Маскировку под законный файл.

Вредоносное ПО использует загрузчик шелл-кода с именем Mofu Loader, который применяет хэширование API с помощью алгоритма на основе ROR11 для динамического разрешения адресов функций Windows API. Этот продвинутый троян удаленного доступа (RAT) был специально разработан на C++ и предоставляет несколько новых функциональных возможностей по сравнению с ранее наблюдавшимися вредоносными ПО. Примечательно, что он регистрирует параметры автозапуска другим способом, помещая ярлык в папку автозагрузки, а не используя традиционный раздел реестра Run.

Кроме того, бэкдор Type 1 расширяет свои возможности по получению информации о конфигурации извне, используя работу в неразборчивом режиме, что позволяет ему перехватывать сетевые пакеты и извлекать важные сведения, такие как адреса серверов управления (C2). Это контрастирует с предыдущими версиями вредоносного ПО, которые обычно встраивали такую информацию непосредственно в полезную нагрузку в виде открытого текста.

Интересно, что это вредоносное ПО также включает в себя неиспользуемую функциональность, которая пытается получить доступ к данным конфигурации со страницы профиля пользователя на social.msdn.microsoft.com , услуга, которая с тех пор была прекращена. Однако эта функция соответствует возможностям, наблюдавшимся в предыдущих вредоносных ПО APT41 и других вариантах, таких как ShadowPad, что указывает на продолжающуюся эволюцию их тактики.

Экспертизой установлено, что вредоносное ПО функциональные возможности программы реализованы с использованием C++ объектно ориентированное программирование, что позволяет провести анализ классов и наследования информацию о типе на этапе выполнения (RTTI). Изменения в предыдущих итерациях включают варианты, в путь к выходному файлу и схем кодирования для Keylogger и следить за буфером обмена, следствием сдвига в данных способам обработки.

Полученные данные свидетельствуют о том, что DRBControl сохраняет активное присутствие в вредоносной кибердеятельности по крайней мере с 2020 года. Обнаруженный в ходе этого анализа бэкдор типа 1 потенциально может быть использован в предстоящих атаках, что подчеркивает необходимость постоянной бдительности в усилиях по обнаружению и предотвращению. В рамках этой работы были перечислены конкретные хэш-значения, связанные с вредоносным ПО, чтобы помочь в выявлении и смягчении угроз, исходящих от этого инструментария.

#ParsedReport #CompletenessLow
15-12-2025

Amazon Threat Intelligence identifies Russian cyber threat group targeting Western critical infrastructure

https://aws.amazon.com/blogs/security/amazon-threat-intelligence-identifies-russian-cyber-threat-group-targeting-western-critical-infrastructure/

Report completeness: Low

Actors/Campaigns:
Sandworm
Curly_comrades

Threats:
Credential_harvesting_technique
Curlyshell
Curlcat

Victims:
Energy sector, Critical infrastructure operators

Industry:
Energy, Critical_infrastructure, Telco

Geo:
Middle east, Russia, Russian, America

CVEs:
CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence_data_center (<6.13.23, <7.4.11, <7.11.6, <7.12.5)
- atlassian confluence_server (<6.13.23, <7.4.11, <7.11.6, <7.12.5)

CVE-2023-22518 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence_data_center (<7.19.16, <8.3.4, <8.4.4, <8.5.3, 8.6.0)

CVE-2022-26318 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- watchguard fireware (<12.1.3, <12.5.9, <12.7.2)

CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam_backup_\&_replication (<11.0.1.1261, 12.0.0.1420)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021, T1041, T1071, T1078, T1090, T1190, T1557, T1557.002, T1583

IOCs:
File: 5
IP: 1

Soft:
Confluence, Hyper-V, GuardDuty

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка, спонсируемая российским государством, с 2021 года нацелена на критическую инфраструктуру Запада, особенно в энергетическом секторе. В первую очередь они используют неправильно сконфигурированные периферийные устройства клиентской сети для первоначального доступа, облегчая сбор учетных записей и перемещение внутри компании, сводя к минимуму риск. Атаки включают перехват трафика аутентификации пользователей, а не активную кражу учетных данных, с постоянным извлечением данных из скомпрометированных экземпляров AWS EC2, что указывает на сложный уровень доступа и постоянные соединения.
-----

Amazon Threat Intelligence выявила спонсируемую российским государством хакерскую группировку, которая с 2021 года активно атакует критическую инфраструктуру Запада, уделяя особое внимание энергетическому сектору. Эта кампания демонстрирует значительный сдвиг в тактике, когда использование неправильно сконфигурированных периферийных устройств клиентской сети стало основным направлением для первоначального доступа, отодвигая на второй план традиционные методы использования уязвимостей. Это изменение не только позволяет осуществлять сбор учетных записей, но и облегчает перемещение внутри компании в онлайн-сервисах и инфраструктурах организаций-жертв, сводя к минимуму воздействие злоумышленника и использование ресурсов.

Операции по сбору учетных записей, связанные с этой кампанией, характеризуются пассивными методами сбора. Анализ указывает на промежуток времени между первоначальной компрометацией устройств и последующими попытками аутентификации в службах-жертвах, что позволяет предположить, что акторы перехватывают трафик аутентификации пользователей, а не активно крадут учетные данные. Злоумышленник обычно использует учетные данные организации-жертвы для получения доступа к онлайн-сервисам, а не использует учетные данные конкретного устройства, что усиливает представление о перехвате сетевого трафика как ключевом аспекте их работы.

Более того, анализ Amazon показал, что злоумышленник нацелен на периферийные устройства клиентской сети, размещенные на AWS, что было вызвано неправильной настройкой клиентов, а не уязвимостями в самой AWS. Расследование показало, что IP-адреса, контролируемые актором, устанавливали постоянные соединения со скомпрометированными экземплярами EC2, что указывает на уровень интерактивного доступа и постоянный поиск данных по нескольким затронутым экземплярам.

Также отмечается совпадение инфраструктуры этой российской группировки с инфраструктурой другой выявленной хакерской группировки, известной как "Curly COMrades". Это совпадение может свидетельствовать о взаимодополняющих операциях в рамках более широкой кампании, организованной Главным разведывательным управлением Генерального штаба России (ГРУ). В ответ на эти действия Amazon инициировала меры по значительному нарушению этих операций и стремится к постоянному сотрудничеству в рамках сообщества безопасности для снижения рисков, связанных с спонсируемыми государством угрозами критически важной инфраструктуре.

В качестве превентивной меры на 2026 год организациям энергетического сектора и лицам, ответственным за критически важную инфраструктуру, рекомендуется просмотреть свои журналы доступа на предмет попыток аутентификации, связанных с выявленными индикаторами компрометации (IOCS), связанными с этой кампанией.

#ParsedReport #CompletenessMedium
16-12-2025

The Detection & Response Chronicles: Exploring Telegram Abuse

https://blog.nviso.eu/2025/12/16/the-detection-response-chronicles-exploring-telegram-abuse/

Report completeness: Medium

Actors/Campaigns:
Lunar_spider

Threats:
Deerstealer
Xworm_rat
Raven_stealer
Fakecaptcha_tool
Latrodectus
Telecaptcha_tool
Socgholish_loader
Hijackloader
Lumma_stealer

Victims:
Fakecaptcha victims, Web users, Information technology users, Malware victims

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.001, T1059.007, T1071.001, T1102.001, T1102.002, T1140, T1204.002, T1560.001, have more...

IOCs:
Domain: 2
Hash: 59
File: 1

Soft:
Telegram, Microsoft Defender for Endpoint, Google Chrome, WordPress, curl, Discord

Algorithms:
zip

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники все чаще используют Telegram для вредоносных действий, используя его анонимность и надежный бот-API для операций управления. Недавние оценки выявили кампании таких групп, как Lunar Spider и Lumma Stealer, которые используют Telegram для мониторинга жертв, эксфильтрации данных и выполнения команд, используя такие методы, как фрагменты JavaScript и криптографическое запутывание. Другие вредоносные ПО, такие как DeerStealer и Raven Stealer, также используют Telegram для связи с злоумышленниками и скрытой передачи скомпрометированных данных.
-----

Злоумышленники все чаще используют приложения для обмена сообщениями, такие как Telegram, для вредоносных действий из-за его функций, которые поддерживают анонимность, устойчивость и простоту общения. В недавних оценках безопасности, проведенных Центром операций по обеспечению безопасности NVISO (SOC), с октября 2025 года были выявлены четыре отдельные попытки вторжения, в частности с использованием Telegram, что подчеркивает его роль в различных стратегиях кибератак.

Telegram действует как облачная платформа обмена сообщениями, которая облегчает шифрованную связь и поддерживает надежный Bot API. Этот API часто используется злоумышленниками, которые либо жестко кодируют токены ботов, либо используют определенные каналы для функций управления (C2). Характеристики платформы делают ее привлекательной для злоумышленников, ищущих надежные и анонимные способы выполнения операций или взаимодействия со скомпрометированными системами.

Одним из важных примеров является кампания группы Lunar Spider, которая использовала API Telegram для мониторинга жертв при выполнении своей платформы FakeCaptcha. Внедрив фрагменты JavaScript, которые отслеживали взаимодействие посетителей с их панелью, злоумышленники передали эту информацию обратно в Telegram-канал, продемонстрировав использование клиентского кода для облегчения передачи данных.

Аналогичным образом, вредоносное ПО DeerStealer - стиллер информации - использовало Telegram для уведомления злоумышленников о выполненных полезных загрузках, распространяясь через поддельные оповещения об обновлениях браузера. Другой ключевой игрок, Lumma Stealer, инновационно восстановил свои коммуникации C2 через Telegram-каналы. Это вредоносное ПО использовало криптографические методы для сокрытия идентификаторов каналов и поддержания постоянной работоспособности, позволяя быстро вносить изменения, чтобы избежать обнаружения.

Raven Stealer - это еще один современный стиллер информации, который использует Telegram для извлечения скомпрометированных данных. После сохранения украденной информации в архиве он использует API Telegram для загрузки данных с помощью определенных команд, что позволяет злоумышленникам незаметно извлекать конфиденциальную информацию. Кроме того, троянская версия XWorm builder использует Telegram не только для эксфильтрации данных, но и для удаленного выполнения команд, позволяя злоумышленнику отправлять и получать команды через бот-инфраструктуру платформы.

#ParsedReport #CompletenessLow
15-12-2025

Advent of Configuration Extraction - Part 3: Mapping GOT/PLT and Disassembling the SNOWLIGHT Loader

https://blog.sekoia.io/advent-of-configuration-extraction-part-3-mapping-got-plt-and-disassembling-the-snowlight-loader/

Report completeness: Low

Actors/Campaigns:
Unc5174

Threats:
Snowlight
Vshell
Polaredge

Victims:
Linux systems

ChatGPT TTPs:
do not use without manual check
T1036.004, T1095, T1105, T1571

IOCs:
Hash: 1
File: 16

Soft:
Linux

Algorithms:
xor, sha256

Functions:
PLT, section_from_virtual_address, disasm

Win API:
gethostbyname, htons

Win Services:
bits

Languages:
python

Platforms:
cross-platform, x86, mips, arm, intel

Links:
have more...
https://github.com/SEKOIA-IO/Community/tree/main/Configuration\_extractors
https://github.com/SEKOIA-IO/Community/blob/main/Configuration\_extractors/SNOWLIGHT.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Загрузчик SNOWLIGHT - это компактный исполняемый файл ELF для Linux, который извлекает и выполняет удаленные полезные нагрузки, взаимодействуя со своим сервером C2 через необработанные TCP-сокеты. Извлечение конфигурации использует библиотеку LIEF и Capstone для дизассемблирования, позволяя идентифицировать жестко закодированные порты C2 и адреса динамических функций. Ключевые данные анализируются из раздела ".rodata" вредоносного ПО, раскрывая методы связи с помощью идентифицированных маркеров и облегчая детальный анализ его операционного поведения.
-----

Загрузчик SNOWLIGHT, идентифицированный Mandiant, представляет собой компактный исполняемый файл ELF, разработанный на C, предназначенный для извлечения и выполнения удаленных полезных нагрузок в системах Linux. Имея размер менее 10 КБ, он взаимодействует со своим сервером управления (C2) через необработанный TCP-сокет, используя различный порт для разных образцов. Операционное поведение вредоносного ПО включает в себя извлечение его конфигурации, что имеет решающее значение для понимания его подключения C2.

Для автоматизации извлечения сведений о конфигурации из SNOWLIGHT используется инструмент LIEF. Эта кроссплатформенная библиотека специализируется на разборе исполняемых форматов, таких как ELF, PE и MachO, обеспечивая необходимый доступ к низкоуровневым двоичным структурам, таким как заголовки и таблицы перемещения. Он играет решающую роль в обратном проектировании и анализе вредоносного ПО, облегчая контролируемую модификацию двоичных файлов без ущерба для их целостности.

Заключительный этап процесса экстракции конфигурация Предполагает соотнесение разобранном виде инструкции с динамически разрешать адреса функций, тем самым восстанавливается жестко порт С2 используется SNOWLIGHT. Это достигается путем объединения получили разрешение/ДПП по лифу с инструкцией анализ с замковым камнем, который помогает в определении вызов `вызовом`. Хорошо структурированного подхода при проектировании экстрактор, в том числе отдельной парсинг `.rodata`, осмотр эльф, и plt/у картография, повышает эффективность процесса разработки, в частности, с динамически связанные исполняемые файлы ELF.

Начальный шаг в создании средства извлечения конфигурации требует ручного анализа нескольких образцов SNOWLIGHT, чтобы расшифровать, как вредоносное ПО получает доступ к своим конфигурационным данным и анализирует их. Это включает в себя проверку данных, хранящихся в разделе `.rodata`, который анализируется с использованием разделителя нулевого байта (`\x00`) для генерации списка псевдостро-подобных шаблонов. Общий маркер "kworker/0:2" идентифицируется во всех образцах, что приводит к расположению значения C2 непосредственно за этим маркером.

Чтобы получить порт C2, важно проанализировать основную функцию вредоносного ПО, начиная с идентификации его адреса. LIEF облегчает это, предоставляя доступ к экспортируемым символам, тем самым обеспечивая прямой доступ к точке входа основной функции. Точно определяя виртуальный адрес main, можно получить соответствующие байты для дизассемблирования, что помогает разрешить динамические вызовы, имеющие ключевое значение для настройки сети SNOWLIGHT's. Таким образом, процесс дизассемблирования в сочетании с восстановлением динамической компоновки с помощью разрешения GOT и PLT является неотъемлемой частью понимания поведения SNOWLIGHT's и его метода взаимодействия с инфраструктурой C2.

#ParsedReport #CompletenessMedium
15-12-2025

Malicious NuGet Package Typosquats Popular .NET Tracing Library to Steal Wallet Passwords

https://socket.dev/blog/malicious-nuget-package-typosquats-popular-net-tracing-library

Report completeness: Medium

Threats:
Homoglyph_technique
Typosquatting_technique
Supply_chain_technique

Victims:
Software developers, .net developers

Industry:
Financial

Geo:
Moscow, Russian, Russia

TTPs:
Tactics: 2
Technics: 9

IOCs:
File: 19
IP: 2
Url: 2
Path: 1

Soft:
NuGet, Outlook

Functions:
WebClient, Any

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет NuGet, Tracer.Fody.NLog, был идентифицирован как типографская Имперсонация законного средства трассировки.Библиотека Fody, облегчающая кражу JSON-данных и паролей Stratis wallet. Эта атака по Цепочке поставок иллюстрирует более широкую тенденцию в экосистеме NuGet, использующую такие методы, как Маскировка и Имперсонация. Внедренное вредоносное ПО включает в себя функции эксфильтрации данных, в частности, нацеленные на финансовые учетные данные, и соответствует нескольким тактикам, описанным в платформе MITRE ATT&CK.
-----

Вредоносный пакет NuGet с именем Tracer.Fody.Было обнаружено, что NLog опечатывает законное .Библиотека сетевой трассировки Tracer.Fody. Используя методы homoglyph, пакет-самозванец обманывает разработчиков, заставляя их загружать его, что потенциально может привести к краже JSON-данных и паролей Stratis wallet. Процесс эксфильтрации нацелен на российский IP-адрес, что указывает на оперативный интерес конкретного злоумышленника к финансовым учетным данным.

Законный индикатор.Библиотека Fody лежит в основе различных расширений IL weaving, которые широко используются в .Сетевое сообщество с сотнями тысяч загрузок через популярные расширения. Учитывая его распространенность, разработчики могут не слишком внимательно изучать деревья зависимостей, что еще больше повышает эффективность этой атаки по Цепочке поставок. Вредоносный код, внедренный в Tracer.Fody.NLog был задокументирован как включающий функции, специально разработанные для извлечения и эксфильтрации конфиденциальных данных кошелька.

Этот инцидент не единичен; он отражает более широкую картину аналогичных атак, нацеленных на экосистему NuGet. Более ранний пример включал пакет, Маскировку под законную библиотеку Стивена Клири, что подчеркивало постоянные угрозы внутри платформы.

Тактика, методы и процедуры (TTP), используемые в этой атаке, соответствуют нескольким методам в рамках MITRE ATT&CK. Такие принципы, как создание учетной записи (T1585), развитие возможностей (T1587.001), Компрометация цепочки поставок (T1195.002) и выполнение вредоносных библиотек (T1204.005), иллюстрируют комплексную стратегию, используемую злоумышленниками. Кроме того, они используют Маскировку (T1036) и Имперсонацию (T1656) для достижения своих целей, в то же время нацеливаясь на незащищенные учетные данные (T1552) для Кражи денежных средств (T1657).

#ParsedReport #CompletenessLow
15-12-2025

What AWS Security learned from responding to recent npm supply chain threat campaigns

https://aws.amazon.com/blogs/security/what-aws-security-learned-from-responding-to-recent-npm-supply-chain-threat-campaigns/

Report completeness: Low

Threats:
Shai-hulud
Supply_chain_technique
Credential_harvesting_technique

Victims:
Software supply chain, Open source package ecosystem, Developers

Industry:
Ngo, Healthcare

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.007, T1195, T1195.001, T1199, T1204.002

IOCs:
File: 1
Domain: 1

Soft:
GuardDuty

Languages:
javascript

Links:
https://github.com/nrwl/nx/security/advisories/GHSA-cxm3-wv7p-598c

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние хакерские кАмпании по Цепочке поставок npm выявили значительные уязвимости в сторонних репозиториях программного обеспечения, в частности, в результате таких инцидентов, как компрометация пакета Nx, которая включала использование файла JavaScript для извлечения конфиденциальных файлов конфигурации GitHub. Несмотря на проблемы с генерацией токенов, злоумышленники инициировали серию скоординированных атак, включая кампании Shai-Hulud, нацеленные на многочисленные надежные пакеты. Отдельная операция по сбору токенов скомпрометировала более 150 000 пакетов npm, продемонстрировав острую необходимость в бдительности при обеспечении безопасности Цепочек поставок программного обеспечения.
-----

Недавние хакерские кАмпании по борьбе с Цепочками поставок npm выявили уязвимости, связанные со сторонними репозиториями программного обеспечения, что побудило AWS Security усилить меры реагирования. Примечательно, что такие инциденты, как компрометация пакета Nx, червь Shai-Hulud и масштабная операция по сбору токенов, выявили важные методы, используемые злоумышленниками.

Компромисс Nx выявил использование файла JavaScript с именем "telemetry.js ," который был адаптирован для взаимодействия с инструментами командной строки generative AI с помощью скомпрометированного пакета npm. Злоумышленники стремились извлечь конфиденциальные конфигурационные файлы с GitHub. Однако они столкнулись с препятствиями, когда не смогли сгенерировать действительные токены доступа, что привело к их неудаче в компрометации каких-либо данных. Этот инцидент не только выявил ключевые уязвимости, но и позволил AWS предпринять упреждающие действия для защиты своих сервисов и клиентов.

Кампании Shai-Hulud, появившиеся вскоре после инцидента с Nx, были нацелены на значительное количество популярных пакетов. Первоначальная волна воздействия затронула 18 доверенных пакетов, в то время как более масштабная атака на первом этапе нацелена на 180 пакетов, а последующая волна, получившая название "Shai-Hulud 2", состоялась в конце ноября. Эти скоординированные усилия подчеркивают стратегию злоумышленников по компрометации надежных сред разработки, подчеркивая необходимость бдительности и защитных мер в Цепочках поставок программного обеспечения.

Кроме того, отдельная кампания по сбору токенов привела к выявлению более 150 000 скомпрометированных пакетов npm. Автоматическое реагирование AWS Security включало регистрацию этих вредоносных пакетов в реестре вредоносных пакетов OpenSSF всего за 30 минут после обнаружения, тем самым расширяя спектр защиты не только для клиентов AWS, но и для более широкого сообщества разработчиков программного обеспечения.

Уроки, извлеченные из этих инцидентов, побудили AWS усовершенствовать свои протоколы реагирования на инциденты и усовершенствовать свои внутренние системы безопасности. Описанные атаки служат напоминанием о крайней необходимости для организаций внедрять надежные меры защиты от угроз, связанных с Цепочкой поставок программного обеспечения. AWS рекомендует использовать хорошо продуманную платформу AWS и подчеркивает важность развития стратегической устойчивости для снижения подверженности таким уязвимостям. Уделяя приоритетное внимание безопасности в своей деятельности, организации могут лучше защитить себя от подобных атак на Цепочки поставок в будущем.

#ParsedReport #CompletenessLow
15-12-2025

Arctic Wolf Observes Malicious SSO Logins on FortiGate Devices Following Disclosure of CVE-2025-59718 and CVE-2025-59719

https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-sso-logins-following-disclosure-cve-2025-59718-cve-2025-59719/

Report completeness: Low

Victims:
Fortinet fortigate users, Firewall and vpn appliance administrators

CVEs:
CVE-2025-59718 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le7.0.21, le7.2.14, le7.4.10, le7.6.3)
- fortinet fortiswitchmanager (le7.0.5, le7.2.6)
- fortinet fortios (le7.0.17, le7.2.11, le7.4.8, le7.6.3)

CVE-2025-59719 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (le7.4.9, le7.6.4, 8.0.0)


ChatGPT TTPs:
do not use without manual check
T1078, T1190, T1552.001

IOCs:
IP: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4