#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ угроз выявил метод, который использует Visual Studio Code (VS Code) с использованием вредоносного файла "tasks.json", что облегчает многоэтапное развертывание стиллера. Злоумышленники полагаются на то, что пользователи доверяют папкам вредоносных проектов, где "tasks.json" может выполнять команды для связи с вредоносным сервером. Полезная нагрузка включает в себя запутанные методы JavaScript для захвата конфиденциальных файлов и реализации автоматизированного процесса поиска и загрузки, что указывает на изощренное злоупотребление законными функциями инструмента разработки.
-----

Недавний анализ угроз выявил новый метод использования кода Visual Studio (VS Code) с помощью вредоносного файла "tasks.json", который может обеспечить многоэтапное развертывание стиллера. Злоумышленники используют функциональность VS Code, которая позволяет выполнять команды, не вызывая подозрений, особенно когда папка проекта открыта и помечена как доверенная.

Атака начинается, когда пользователь неосознанно доверяет папке вредоносного проекта; это приводит к тому, что файл "tasks.json" отправляет запросы на вредоносный сервер для получения дальнейших инструкций. Эта эксплуатация использует автоматические возможности для выполнения команд, которые, хотя и предназначены для законного использования разработчиками, могут использоваться злоумышленниками для выполнения произвольных команд на основе обнаруженной операционной системы.

Основная полезная нагрузка использует несколько запутанных методов JavaScript, чтобы скрыть свои злонамеренные намерения. Ключевые функциональные возможности включают в себя установление конечной точки, на которую отправляются захваченные данные. Примечательный встроенный скрипт инициализирует базу данных LDB, предназначенную для захвата конфиденциальных файлов, указывая на нацеленное поведение в отношении документов, которые могут быть недоступны для всех. Кроме того, функция "scanAndUploadDirectory" во встроенном скрипте рекурсивно выполняет поиск конфиденциальных файлов, сравнивая их с заранее определенными списками, и использует функцию "uploadFile" для передачи данных с помощью механизмов для повторной загрузки в случае неудачи первоначальных попыток.

Совокупный эффект этой сложной цепочки атак основан на эффективном неправильном использовании законной функции инструмента разработчика, пользующегося широким доверием. Хотя для достижения целей злоумышленника требуется несколько этапов, многое зависит от поведения в рамках задач.json может казаться безобидным без надлежащего контекста. Поэтому организациям следует внедрять проактивный подход к обеспечению безопасности, проверяя задачи вручную.файлы json перед выполнением, ища признаки подозрительной активности, такой как использование Curl, PowerShell или cmd.exe команды, а также запутанные командные строки и любое прямое удаленное выполнение данных по конвейеру. Такие меры имеют решающее значение для снижения риска, связанного с этим методом атаки, используя как доверие пользователей, так и возможности, присущие инструментам разработки, таким как VS Code.

#ParsedReport #CompletenessHigh
03-02-2026

[Op Report\] Hands-on-Keyboard Intrusion Abusing Multiple RMMs

https://blog.deception.pro/blog/hok-intrusion-abusing-multiple-rmms-jan2026

Report completeness: High

Threats:
Bluetrait_tool
Fleetdeck_tool
Msp360_tool
Superops_tool
Syncro_tool

Victims:
Luxury travel sector, French speaking recipients

Industry:
Telco

Geo:
France, Spanish, Tunisia, French, German, Turkish, Africa

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.001, T1071.001, T1105, T1204.001, T1219, T1566.001

IOCs:
Url: 2
Path: 3
File: 3
Hash: 1
Domain: 10

Soft:
Active Directory, Firefox, Mozilla Thunderbird

Algorithms:
sha256

Languages:
powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи наблюдали сложную целенаправленную угрозу, связанную с известным злоумышленником, используя инструмент удаленного мониторинга и управления Bluetrait (RMM) в смоделированной среде организации путешествий класса люкс во Франции в период с 14 по 27 января 2026 года. Злоумышленники использовали тактику социальной инженерии, включающую электронное письмо с вложением в формате PDF, для установки инструмента RMM, что позволило им получить контроль. Инцидент высветил тенденцию использования законного программного обеспечения для несанкционированного доступа, подчеркнув важность мониторинга необычных действий и установок RMM.
-----

В период с 14 по 27 января 2026 года исследователи Proofpoint задокументировали инцидент, связанный с тактикой вторжения с клавиатуры в среде, имитирующей французскую туристическую организацию класса люкс. Эта сложная целенаправленная угроза была связана со знакомым злоумышленником, который распространял инструмент удаленного мониторинга и управления Bluetrait (RMM), указанный в кампании по электронной почте, начинающейся 13 января 2026 года. В кампании использовалась тактика социальной инженерии, при которой получатели получали электронное письмо с вложением в формате PDF, в котором якобы указывался "отсутствующий плагин Adobe". Переход по ссылке вызвал установку инструмента Bluetrait RMM, что позволило злоумышленникам получить контроль.

На протяжении всей наблюдаемой 15-дневной активности исследователи отметили серию технических маневров, связанных с развертыванием RMM Bluetrait. Телеметрия обнаружения выявила область программного обеспечения RMM, включая связанные домены поиска для различных эксплуатационных аспектов Bluetrait и Level.io агент, позволяющий получить потенциальную информацию об инфраструктуре злоумышленника. Среди извлеченных доменов были те, которые связаны с агентами загрузки, одноранговыми подключениями и службами резервного копирования, что указывает на надежную операционную структуру, предназначенную для облегчения постоянного доступа и управления данными.

Операция подчеркнула тревожную тенденцию в области киберугроз: злоумышленники все чаще используют законное корпоративное программное обеспечение в качестве каналов несанкционированного доступа и контроля. Развертывание нескольких платформ RMM добавляет уровни избыточности и гибкости, привлекая внимание к необходимости для защитников отслеживать не только использование RMM, но и признаки аномальной активности, связанной с этими инструментами. В частности, защитникам следует проявлять бдительность в отношении неожиданных установок программного обеспечения RMM, особенно нескольких агентов на одной конечной точке, признаков скрытого выполнения PowerShell и любых избыточных агентов управления, не имеющих законного бизнес-обоснования. Кроме того, любая деятельность RMM, которая отличается от операций общего поставщика управляемых услуг (MSP), например, нерегулярные временные рамки или география, требует более глубокого расследования, поскольку может свидетельствовать о злонамеренном подтексте.

#ParsedReport #CompletenessHigh
02-02-2026

Infostealers without borders: macOS, Python stealers, and platform abuse

https://www.microsoft.com/en-us/security/blog/2026/02/02/infostealers-without-borders-macos-python-stealers-and-platform-abuse/

Report completeness: High

Threats:
Credential_stealing_technique
Amos_stealer
Clickfix_technique
Digitstealer
Macc_stealer
Eternidade
Pxa_stealer
Supply_chain_technique
Bec_technique
Seo_poisoning_technique
Dll_sideloading_technique
Process_injection_technique
Purerat

Industry:
Education, Government, Financial

TTPs:
Tactics: 8
Technics: 0

IOCs:
File: 8
Hash: 21
Url: 8
IP: 3
Domain: 20

Soft:
macOS, Microsoft Defender, WhatsApp, Telegram, CrystalPDF, Firefox, Chrome, Microsoft Defender for Endpoint, Unix, curl, have more...

Wallets:
coinbase, metamask

Crypto:
binance

Algorithms:
sha256, zip

Languages:
delphi, visual_basic, powershell, python, applescript, autoit

Platforms:
cross-platform

Continuous Intrusion/Continuous Distribution:
Tracking Fox’s Iterative Malspam Campaign

https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_7_satoshi_kamekawa_en.pdf

Infrastructure-less Adversary: C2 Laundering via Dead-Drop Resolvers and the Microsoft Graph API

https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_8_wei-chieh_chao_shih-min_chan_en.pdf

Ghost in Your Network: How Earth Kurma Stays Hidden and Exfiltrates Your Data

https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_5_nick_dai_sunny-w-lu_en.pdf

Continuous Evolution of Tianwu’s Pangolin8RAT and Custom Cobalt Strike Beacon

https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_6_naoki_takayama_en.pdf

Unraveling the WSUS Exploit Chain Incident Analysis and Actor Insights

https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_6_shohei_iwata-teruki_yoshikawa_en.pdf

#technique

GhostKatz

Extract LSASS credentials directly from physical memory by abusing signed vulnerable drivers with physical memory read primitives via MmMapIoSpace, bypassing traditional user-mode detection capabilities.

https://github.com/RainbowDynamix/GhostKatz

#technique

Cobaltstrike_BOFLoader

This is an open source port/reimplementation of the Cobalt Strike BOF Loader as is. For the most part, everything is done as in the original Beacon + Teamserver in Cobalt Strike.

https://github.com/CodeXTF2/Cobaltstrike_BOFLoader

#ParsedReport #CompletenessMedium
04-02-2026

Web Traffic Hijacking: When Your Nginx Configuration Turns Malicious

https://securitylabs.datadoghq.com/articles/web-traffic-hijacking-nginx-configuration-malicious/

Report completeness: Medium

Threats:
React2shell_vuln
Aitm_technique

Victims:
Nginx administrators, Web hosting management panels, Baota panel users

Industry:
Entertainment

Geo:
Chinese, Emea, Asian

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 3
IP: 1
Domain: 3

Soft:
Nginx, curl, Linux, Unix, twitter

Algorithms:
md5

Languages:
python, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по Перехвату веб-трафика нацелена на установки NGINX, особенно на использование конфигураций панели управления, таких как Baota (BT), с помощью уязвимости React2Shell. Злоумышленники используют многоэтапный инструментарий, начиная с `zx.sh `скрипт для перенаправления трафика и последующие действия с помощью нацеленных скриптов для уязвимостей конфигурации NGINX, уделяя особое внимание таким каталогам, как "/etc/nginx/sites-enabled". Используемые методы соответствуют тактике MITRE ATT&CK, включая выполнение скриптов, манипулирование конфигурацией для закрепления, а также эксфильтрацию команд и контроля.
-----

Компания Datadog Security Research сообщила о Перехвате веб-трафика, преимущественно нацеленной на установки NGINX, в частности, с помощью вредоносных конфигураций, относящихся к панелям управления, таким как Baota (BT). Злоумышленники используют эксплуатацию React2Shell, чтобы получить доступ и перенаправить законный веб-трафик через скомпрометированные конфигурации NGINX, направляя его через свои собственные внутренние серверы. Основное внимание в кампании уделяется азиатским доменам верхнего уровня (TLD) и китайской хостинговой инфраструктуре.

Работа сервера NGINX зависит от его конфигурационных файлов, которые определяют, как обрабатывается трафик с помощью таких директив, как `proxy_pass` и `location`. Вредоносные конфигурации, используемые злоумышленниками, используют эти директивы, позволяя им перехватывать и изменять веб-трафик.

Атака разворачивается с помощью многоэтапного автоматизированного инструментария. Первоначально, в `zx.sh скрипт выполняет функцию оркестратора, выполняя последующие скрипты для облегчения перенаправления трафика. Если обычные утилиты, такие как curl, недоступны, скрипт оснащен методом открытия необработанных TCP-соединений для HTTP-запросов. Вслед за этим, `bt.sh скрипт специально нацелен на панель управления Baota, перечисляя пути к подходящим файлам конфигурации.

Дальнейшие этапы включают в себя более обширный таргетинг на несколько каталогов конфигурации NGINX. Тот самый `zdh.sh скрипт сужает свой фокус, концентрируясь на Linux или контейнерных установках NGINX и в первую очередь проверяя каталог "/etc/nginx/sites-enabled` на наличие уязвимостей. Чтобы поддерживать наблюдение за скомпрометированными средами, нажмите кнопку "ок.Сценарий sh генерирует отчеты с подробным описанием всех активных правил перехвата, которые впоследствии отправляются на сервер управления атакующего.

Методы, принятые в этой кампании, согласуются с различными тактиками в рамках MITRE ATT&CK, демонстрируя сложность операций. Примечательно, что к ним относятся использование командной оболочки для выполнения скрипта (T1059.004), манипулирование файлами конфигурации NGINX для закрепления (T1505.004), обход средств защиты с помощью методов обфускации (T1027) и выполнение эксфильтрации по каналам командования и управления (T1041).

#ParsedReport #CompletenessMedium
03-02-2026

OpenClaw AI Hit by Massive Malware Campaign

https://www.secureblink.com/cyber-security-news/open-claw-ai-hit-by-massive-malware-campaign

Report completeness: Medium

Actors/Campaigns:
Clawhavoc

Threats:
Supply_chain_technique
Clickfix_technique
Amos_stealer
Typosquatting_technique
Clawbot_tool

Victims:
Openclaw ai users, Openclaw ecosystem, Ai assistant platforms

Industry:
E-commerce, Education, Financial

ChatGPT TTPs:
do not use without manual check
T1005, T1036, T1195, T1204, T1566

IOCs:
Domain: 1
File: 1
IP: 1

Soft:
OpenClaw, ClawHub, macOS, Telegram, Chrome, Firefox, ClawdBot Moltbot OpenClaw

Crypto:
solana

Algorithms:
base64, zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Акции ClawHavoc возбуждено программного обеспечения цепочка поставок нападение на OpenClaw экосистему ИИ ущерба ClawHub мастерство реестра с 341 вредоносное ПО кишащие плагинам. С использованием социальной инженерии, злоумышленники обманом пользователей в установке "AuthTool," что позволило Amos Stealer извлекать конфиденциальные данные. Этот инцидент обнажает значительную уязвимость безопасности в рамках проекта OpenClaw, подчеркивая риски, связанные с нерегулируемым стороннего кода в средах агентов ИИ.
-----

Кампания ClawHavoc нацелена на экосистему OpenClaw AI assistant посредством масштабной атаки на Цепочку поставок программного обеспечения, в результате которой реестр навыков ClawHub был скомпрометирован 341 вредоносным плагином. В этих скоординированных усилиях, обнаруженных Koi Security, эффективно использовались сложные методы социальной инженерии для распространения вредоносного ПО, похищающего информацию, среди тысяч пользователей. Атака воспользовалась открытой и плохо модерируемой средой ClawHub и быстро развернулась в течение недели.

Злоумышленники разработали свои вредоносные навыки таким образом, чтобы они точно имитировали законные утилиты, в комплекте с профессиональной документацией, которая включала вводящий в заблуждение раздел "Предварительные требования", инструктирующий пользователей устанавливать якобы необходимый инструмент под названием "AuthTool". Как только этот инструмент был установлен, он позволил AMOS stealer отфильтровать обширный массив конфиденциальной информации, значительно угрожая целостности как личных, так и профессиональных данных.

Кампания ClawHavoc продемонстрировала высокий уровень организации и использовала ряд тактик уклонения, чтобы сохранить скрытность при проведении атаки. Инцидент является не просто изолированным событием, он выявляет более широкие уязвимости в проекте OpenClaw, которые эксперты критически охарактеризовали как "пожар в мусорном контейнере безопасности". Это указывает на системные недостатки в архитектуре безопасности развивающегося инструмента искусственного интеллекта с открытым исходным кодом.

Чтобы снизить риски, связанные с этой атакой, пользователям и организациям рекомендуется использовать предустановочное сканирование с использованием таких инструментов, как сканер Koi Security Clawdex, для проверки навыков перед установкой. Рекомендуется запускать OpenClaw в изолированной среде, такой как виртуальная машина или песочница, чтобы ограничить потенциальное распространение вредоносного ПО. Пользователи должны использовать AI assistant в соответствии с принципами наименьших привилегий, избегая административных прав и ограничивая ненужный доступ к файловым системам и сетям. Кроме того, организациям настоятельно рекомендуется проводить аудит и разрешать использовать только необходимые и проверенные навыки, избегая публичных рынков для критически важных функций, одновременно внедряя мониторинг сети для обнаружения любых несанкционированных подключений к известным вредоносным инфраструктурам.

Инцидент с ClawHavoc подчеркивает, что экосистемы агентов искусственного интеллекта стали главными мишенями для продвинутых атак по Цепочке поставок, где сочетание широкого доступа к системе, постоянного сохранения памяти и опоры на ненадежный сторонний код представляет существенные риски. Сообщество должно отреагировать, внедрив строгие протоколы безопасности, такие как Подписей исполняемого кода, автоматическое сканирование реестра и расширенное обучение пользователей, для устранения этих уязвимостей и обеспечения расширяемости ИИ.

#ParsedReport #CompletenessMedium
04-02-2026

Breaking AppSec Myths - Obfuscated Packages

https://jfrog.com/blog/breaking-appsec-myths-obfuscated-packages/

Report completeness: Medium

Threats:
Pyarmor_tool
Pyobfuscate_tool
Hyperion_tool
Confuserex_tool
Shai-hulud
Credential_harvesting_technique

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.007, T1140

IOCs:
Domain: 1
File: 5

Algorithms:
exhibit, base64

Languages:
python, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследовательская группа JFrog по безопасности выделяет риски, связанные с запутанными пакетами в программных экосистемах, отмечая, что вредоносные акторы используют такие инструменты, как "javascript-obfuscator", "js-confuser", "pyarmor" и "hyperion", для усложнения анализа кода, что затрудняет обнаружение вредоносного поведения. Вредоносные методы запутывания часто приводят к агрессивному переименованию переменных и непрозрачным потокам управления, которые препятствуют деобфускации и анализу. Хотя по своей сути обфускация и не является вредоносной, она служит потенциальным индикатором более глубоких угроз, требующих тщательного расследования, а не прямой классификации как вредоносных.
-----

Исследовательская группа JFrog по безопасности постоянно отслеживает различные экосистемы пакетов на предмет вредоносных действий, уделяя особое внимание запутанным пакетам, которые могут скрывать вредоносную логику. Методы обфускации обычно используются в веб-разработке для сжатия и упаковки целых скриптов с использованием таких инструментов, как uglify-js, но в вредоносных контекстах они могут значительно усложнить анализ.

Выделено несколько специфических инструментов обфускации, в том числе "javascript-obfuscator", который использует различные преобразования, чтобы сделать код JavaScript менее читаемым, и "js-confuser", который аналогичным образом скрывает код, применяя блокировки выполнения на основе домена или времени. Для скриптов на Python такие инструменты, как "pyarmor" и "pyobfuscate", используются для шифрования кода и изменения форматирования, в то время как "hyperion" сжимает код с помощью zlib, чтобы уменьшить размер файла. Каждый из этих инструментов эффективен для того, чтобы усложнить анализ кода и увеличить сложность различения законных и злонамеренных намерений.

В то время как обфускация не является изначально злым, это создает серьезные проблемы для обнаружения угроз. Автоматическая маркировка затемненный пакетами как вредоносные может привести к росту уровня ложных срабатываний, игнорируя запутывания вполне может привести видом подлинных угроз. Показатели вредоносного действия могут включать в себя неожиданные выполнение кода, данных эксфильтрация, закрепление сохранение, управление коммуникаций и разрушительные операции.

Примерами вредоносной обфускации являются пакеты-стиллеры информации, использующие агрессивное переименование переменных и непрозрачные потоки управления, которые делают код практически нечитаемым, делая попытки деобфускации неэффективными. Пакеты управления "Коалемос" (C2) также являются примером сильной запутанности, которая серьезно ограничивает ручной анализ. И наоборот, законное использование запутывания можно увидеть в univer.ai Профессиональный пакет npm, в котором защита кода соответствует стандартным отраслевым практикам, а не злонамеренному намерению.

Чтобы эффективно справляться с рисками, связанными с запутыванием, решения для обнаружения вредоносного ПО должны рассматривать это как сигнал для более тщательного расследования, а не как окончательный показатель вредоносного поведения. Понимание законности обфускации предполагает анализ связанных с этим факторов, таких как лицензирование, количество скачиваний и происхождение пакета. В целом, хотя многие обфускированные пакеты являются безвредными, обфускация остается инструментом, который может быть использован для атак с высокой степенью воздействия на Цепочку поставок, что подчеркивает необходимость тщательной оценки кибербезопасности.

#ParsedReport #CompletenessHigh
04-02-2026

Hunting Lazarus Part III: The Infrastructure That Was Too Perfect

https://redasgard.com/blog/hunting-lazarus-part3-infrastructure-too-perfect

Report completeness: High

Actors/Campaigns:
Lazarus
Contagious_interview
Gamaredon

Threats:
Ottercookie
Beavertail
Invisibleferret
Smuggling_technique
Winrm_tool
Polyglot_technique
Dead_drop_technique
Xmrig_miner
Tsunami_framework
Supply_chain_technique

Victims:
Cryptocurrency sector, Software developers, Blockchain sector

Industry:
Education, Financial, Government

Geo:
Russian, North korean, American, Dprk

CVEs:
CVE-2022-24999 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qs_project qs (<6.2.4, <6.3.3, <6.5.3, <6.7.3, <6.8.3)

CVE-2020-7699 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- express-fileupload_project express-fileupload (<1.1.8)

CVE-2017-16026 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- request_project request (<2.47.0, le2.67.0)


TTPs:
Tactics: 4
Technics: 19

IOCs:
File: 10
IP: 12
Hash: 1
Registry: 2

Soft:
VSCode, macOS, Linux, virtualbox, qemu, xen, Hyper-V, IndexedDB, Node.js, Chrome, have more...

Wallets:
metamask, keplr, tonkeeper, coinbase, rabby, safepal, tronlink, trezor

Crypto:
binance

Algorithms:
xor

Functions:
Get-ItemProperty, Get-ScheduledTask, Get-Process, captureAllMonitors

Languages:
javascript, powershell