#technique

GhostKatz

Extract LSASS credentials directly from physical memory by abusing signed vulnerable drivers with physical memory read primitives via MmMapIoSpace, bypassing traditional user-mode detection capabilities.

https://github.com/RainbowDynamix/GhostKatz

#technique

Cobaltstrike_BOFLoader

This is an open source port/reimplementation of the Cobalt Strike BOF Loader as is. For the most part, everything is done as in the original Beacon + Teamserver in Cobalt Strike.

https://github.com/CodeXTF2/Cobaltstrike_BOFLoader

#ParsedReport #CompletenessMedium
04-02-2026

Web Traffic Hijacking: When Your Nginx Configuration Turns Malicious

https://securitylabs.datadoghq.com/articles/web-traffic-hijacking-nginx-configuration-malicious/

Report completeness: Medium

Threats:
React2shell_vuln
Aitm_technique

Victims:
Nginx administrators, Web hosting management panels, Baota panel users

Industry:
Entertainment

Geo:
Chinese, Emea, Asian

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 3
IP: 1
Domain: 3

Soft:
Nginx, curl, Linux, Unix, twitter

Algorithms:
md5

Languages:
python, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по Перехвату веб-трафика нацелена на установки NGINX, особенно на использование конфигураций панели управления, таких как Baota (BT), с помощью уязвимости React2Shell. Злоумышленники используют многоэтапный инструментарий, начиная с `zx.sh `скрипт для перенаправления трафика и последующие действия с помощью нацеленных скриптов для уязвимостей конфигурации NGINX, уделяя особое внимание таким каталогам, как "/etc/nginx/sites-enabled". Используемые методы соответствуют тактике MITRE ATT&CK, включая выполнение скриптов, манипулирование конфигурацией для закрепления, а также эксфильтрацию команд и контроля.
-----

Компания Datadog Security Research сообщила о Перехвате веб-трафика, преимущественно нацеленной на установки NGINX, в частности, с помощью вредоносных конфигураций, относящихся к панелям управления, таким как Baota (BT). Злоумышленники используют эксплуатацию React2Shell, чтобы получить доступ и перенаправить законный веб-трафик через скомпрометированные конфигурации NGINX, направляя его через свои собственные внутренние серверы. Основное внимание в кампании уделяется азиатским доменам верхнего уровня (TLD) и китайской хостинговой инфраструктуре.

Работа сервера NGINX зависит от его конфигурационных файлов, которые определяют, как обрабатывается трафик с помощью таких директив, как `proxy_pass` и `location`. Вредоносные конфигурации, используемые злоумышленниками, используют эти директивы, позволяя им перехватывать и изменять веб-трафик.

Атака разворачивается с помощью многоэтапного автоматизированного инструментария. Первоначально, в `zx.sh скрипт выполняет функцию оркестратора, выполняя последующие скрипты для облегчения перенаправления трафика. Если обычные утилиты, такие как curl, недоступны, скрипт оснащен методом открытия необработанных TCP-соединений для HTTP-запросов. Вслед за этим, `bt.sh скрипт специально нацелен на панель управления Baota, перечисляя пути к подходящим файлам конфигурации.

Дальнейшие этапы включают в себя более обширный таргетинг на несколько каталогов конфигурации NGINX. Тот самый `zdh.sh скрипт сужает свой фокус, концентрируясь на Linux или контейнерных установках NGINX и в первую очередь проверяя каталог "/etc/nginx/sites-enabled` на наличие уязвимостей. Чтобы поддерживать наблюдение за скомпрометированными средами, нажмите кнопку "ок.Сценарий sh генерирует отчеты с подробным описанием всех активных правил перехвата, которые впоследствии отправляются на сервер управления атакующего.

Методы, принятые в этой кампании, согласуются с различными тактиками в рамках MITRE ATT&CK, демонстрируя сложность операций. Примечательно, что к ним относятся использование командной оболочки для выполнения скрипта (T1059.004), манипулирование файлами конфигурации NGINX для закрепления (T1505.004), обход средств защиты с помощью методов обфускации (T1027) и выполнение эксфильтрации по каналам командования и управления (T1041).

#ParsedReport #CompletenessMedium
03-02-2026

OpenClaw AI Hit by Massive Malware Campaign

https://www.secureblink.com/cyber-security-news/open-claw-ai-hit-by-massive-malware-campaign

Report completeness: Medium

Actors/Campaigns:
Clawhavoc

Threats:
Supply_chain_technique
Clickfix_technique
Amos_stealer
Typosquatting_technique
Clawbot_tool

Victims:
Openclaw ai users, Openclaw ecosystem, Ai assistant platforms

Industry:
E-commerce, Education, Financial

ChatGPT TTPs:
do not use without manual check
T1005, T1036, T1195, T1204, T1566

IOCs:
Domain: 1
File: 1
IP: 1

Soft:
OpenClaw, ClawHub, macOS, Telegram, Chrome, Firefox, ClawdBot Moltbot OpenClaw

Crypto:
solana

Algorithms:
base64, zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Акции ClawHavoc возбуждено программного обеспечения цепочка поставок нападение на OpenClaw экосистему ИИ ущерба ClawHub мастерство реестра с 341 вредоносное ПО кишащие плагинам. С использованием социальной инженерии, злоумышленники обманом пользователей в установке "AuthTool," что позволило Amos Stealer извлекать конфиденциальные данные. Этот инцидент обнажает значительную уязвимость безопасности в рамках проекта OpenClaw, подчеркивая риски, связанные с нерегулируемым стороннего кода в средах агентов ИИ.
-----

Кампания ClawHavoc нацелена на экосистему OpenClaw AI assistant посредством масштабной атаки на Цепочку поставок программного обеспечения, в результате которой реестр навыков ClawHub был скомпрометирован 341 вредоносным плагином. В этих скоординированных усилиях, обнаруженных Koi Security, эффективно использовались сложные методы социальной инженерии для распространения вредоносного ПО, похищающего информацию, среди тысяч пользователей. Атака воспользовалась открытой и плохо модерируемой средой ClawHub и быстро развернулась в течение недели.

Злоумышленники разработали свои вредоносные навыки таким образом, чтобы они точно имитировали законные утилиты, в комплекте с профессиональной документацией, которая включала вводящий в заблуждение раздел "Предварительные требования", инструктирующий пользователей устанавливать якобы необходимый инструмент под названием "AuthTool". Как только этот инструмент был установлен, он позволил AMOS stealer отфильтровать обширный массив конфиденциальной информации, значительно угрожая целостности как личных, так и профессиональных данных.

Кампания ClawHavoc продемонстрировала высокий уровень организации и использовала ряд тактик уклонения, чтобы сохранить скрытность при проведении атаки. Инцидент является не просто изолированным событием, он выявляет более широкие уязвимости в проекте OpenClaw, которые эксперты критически охарактеризовали как "пожар в мусорном контейнере безопасности". Это указывает на системные недостатки в архитектуре безопасности развивающегося инструмента искусственного интеллекта с открытым исходным кодом.

Чтобы снизить риски, связанные с этой атакой, пользователям и организациям рекомендуется использовать предустановочное сканирование с использованием таких инструментов, как сканер Koi Security Clawdex, для проверки навыков перед установкой. Рекомендуется запускать OpenClaw в изолированной среде, такой как виртуальная машина или песочница, чтобы ограничить потенциальное распространение вредоносного ПО. Пользователи должны использовать AI assistant в соответствии с принципами наименьших привилегий, избегая административных прав и ограничивая ненужный доступ к файловым системам и сетям. Кроме того, организациям настоятельно рекомендуется проводить аудит и разрешать использовать только необходимые и проверенные навыки, избегая публичных рынков для критически важных функций, одновременно внедряя мониторинг сети для обнаружения любых несанкционированных подключений к известным вредоносным инфраструктурам.

Инцидент с ClawHavoc подчеркивает, что экосистемы агентов искусственного интеллекта стали главными мишенями для продвинутых атак по Цепочке поставок, где сочетание широкого доступа к системе, постоянного сохранения памяти и опоры на ненадежный сторонний код представляет существенные риски. Сообщество должно отреагировать, внедрив строгие протоколы безопасности, такие как Подписей исполняемого кода, автоматическое сканирование реестра и расширенное обучение пользователей, для устранения этих уязвимостей и обеспечения расширяемости ИИ.

#ParsedReport #CompletenessMedium
04-02-2026

Breaking AppSec Myths - Obfuscated Packages

https://jfrog.com/blog/breaking-appsec-myths-obfuscated-packages/

Report completeness: Medium

Threats:
Pyarmor_tool
Pyobfuscate_tool
Hyperion_tool
Confuserex_tool
Shai-hulud
Credential_harvesting_technique

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.007, T1140

IOCs:
Domain: 1
File: 5

Algorithms:
exhibit, base64

Languages:
python, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследовательская группа JFrog по безопасности выделяет риски, связанные с запутанными пакетами в программных экосистемах, отмечая, что вредоносные акторы используют такие инструменты, как "javascript-obfuscator", "js-confuser", "pyarmor" и "hyperion", для усложнения анализа кода, что затрудняет обнаружение вредоносного поведения. Вредоносные методы запутывания часто приводят к агрессивному переименованию переменных и непрозрачным потокам управления, которые препятствуют деобфускации и анализу. Хотя по своей сути обфускация и не является вредоносной, она служит потенциальным индикатором более глубоких угроз, требующих тщательного расследования, а не прямой классификации как вредоносных.
-----

Исследовательская группа JFrog по безопасности постоянно отслеживает различные экосистемы пакетов на предмет вредоносных действий, уделяя особое внимание запутанным пакетам, которые могут скрывать вредоносную логику. Методы обфускации обычно используются в веб-разработке для сжатия и упаковки целых скриптов с использованием таких инструментов, как uglify-js, но в вредоносных контекстах они могут значительно усложнить анализ.

Выделено несколько специфических инструментов обфускации, в том числе "javascript-obfuscator", который использует различные преобразования, чтобы сделать код JavaScript менее читаемым, и "js-confuser", который аналогичным образом скрывает код, применяя блокировки выполнения на основе домена или времени. Для скриптов на Python такие инструменты, как "pyarmor" и "pyobfuscate", используются для шифрования кода и изменения форматирования, в то время как "hyperion" сжимает код с помощью zlib, чтобы уменьшить размер файла. Каждый из этих инструментов эффективен для того, чтобы усложнить анализ кода и увеличить сложность различения законных и злонамеренных намерений.

В то время как обфускация не является изначально злым, это создает серьезные проблемы для обнаружения угроз. Автоматическая маркировка затемненный пакетами как вредоносные может привести к росту уровня ложных срабатываний, игнорируя запутывания вполне может привести видом подлинных угроз. Показатели вредоносного действия могут включать в себя неожиданные выполнение кода, данных эксфильтрация, закрепление сохранение, управление коммуникаций и разрушительные операции.

Примерами вредоносной обфускации являются пакеты-стиллеры информации, использующие агрессивное переименование переменных и непрозрачные потоки управления, которые делают код практически нечитаемым, делая попытки деобфускации неэффективными. Пакеты управления "Коалемос" (C2) также являются примером сильной запутанности, которая серьезно ограничивает ручной анализ. И наоборот, законное использование запутывания можно увидеть в univer.ai Профессиональный пакет npm, в котором защита кода соответствует стандартным отраслевым практикам, а не злонамеренному намерению.

Чтобы эффективно справляться с рисками, связанными с запутыванием, решения для обнаружения вредоносного ПО должны рассматривать это как сигнал для более тщательного расследования, а не как окончательный показатель вредоносного поведения. Понимание законности обфускации предполагает анализ связанных с этим факторов, таких как лицензирование, количество скачиваний и происхождение пакета. В целом, хотя многие обфускированные пакеты являются безвредными, обфускация остается инструментом, который может быть использован для атак с высокой степенью воздействия на Цепочку поставок, что подчеркивает необходимость тщательной оценки кибербезопасности.

#ParsedReport #CompletenessHigh
04-02-2026

Hunting Lazarus Part III: The Infrastructure That Was Too Perfect

https://redasgard.com/blog/hunting-lazarus-part3-infrastructure-too-perfect

Report completeness: High

Actors/Campaigns:
Lazarus
Contagious_interview
Gamaredon

Threats:
Ottercookie
Beavertail
Invisibleferret
Smuggling_technique
Winrm_tool
Polyglot_technique
Dead_drop_technique
Xmrig_miner
Tsunami_framework
Supply_chain_technique

Victims:
Cryptocurrency sector, Software developers, Blockchain sector

Industry:
Education, Financial, Government

Geo:
Russian, North korean, American, Dprk

CVEs:
CVE-2022-24999 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qs_project qs (<6.2.4, <6.3.3, <6.5.3, <6.7.3, <6.8.3)

CVE-2020-7699 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- express-fileupload_project express-fileupload (<1.1.8)

CVE-2017-16026 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- request_project request (<2.47.0, le2.67.0)


TTPs:
Tactics: 4
Technics: 19

IOCs:
File: 10
IP: 12
Hash: 1
Registry: 2

Soft:
VSCode, macOS, Linux, virtualbox, qemu, xen, Hyper-V, IndexedDB, Node.js, Chrome, have more...

Wallets:
metamask, keplr, tonkeeper, coinbase, rabby, safepal, tronlink, trezor

Crypto:
binance

Algorithms:
xor

Functions:
Get-ItemProperty, Get-ScheduledTask, Get-Process, captureAllMonitors

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи выявили новое семейство вредоносных ПО под названием OtterCookie, связанное с группой Lazarus, нацеленное на 27 браузерных расширений для криптовалютных кошельков, что значительно больше, чем у его предшественника, BeaverTail. Сложная инфраструктура C2 OtterCookie's использует HTTP и пользовательские сокеты, обеспечивая надежную защиту от попыток атак, включая серверы-призраки, предназначенные для уклонения. Ключевые функции OtterCookie включают в себя кейлоггер, Захват экрана, механизмы закрепления и продвинутые методы уклонения, представляющие значительную угрозу для пользователей криптовалюты.
-----

В ходе анализа инфраструктуры группы Lazarus исследователи выявили новое семейство вредоносных ПО под названием OtterCookie, которое обладает отличными характеристиками и возможностями по сравнению с ранее известным вариантом BeaverTail. OtterCookie нацелен на 27 различных браузерных расширений для криптовалютных кошельков, что значительно расширяет возможности BeaverTail's по сравнению всего с 2-3 целями. Инфраструктура командования и контроля (C2), используемая OtterCookie, работает на более обширной поверхности конечных точек. Он использует такие протоколы, как HTTP и пользовательские сокеты, подчеркивая сложный уровень функциональности, включая механизмы обнаружения виртуальных машин и закрепления, которые позволяют повторно запускать вредоносное ПО.

Исследование выявило около 20 серверов-призраков, которые не были занесены ни в одну из общедоступных баз данных по разведке угроз. Эти серверы обладают похожими конфигурациями по несколько портов, содействие в обе OtterCookie и beavertail расфокусированный из той же инфраструктуры. Распространенные порты включают тех, для FTP, HTTP и таможни связь С2, что свидетельствует о правильно организованной архитектуры разработан, чтобы избежать обнаружения.

Несмотря на попытки использовать уязвимости в инфраструктуре C2, исследователи обнаружили, что она исключительно безопасна. Они не обнаружили уязвимостей, которые можно было бы использовать при различных классах атак. Примечательно, что все их контрабанды smuggling и десериализации попытки не увенчались успехом, отражающие закаленной безопасность редко рассматривается в уголовном инфраструктуры, в том числе известных хакерских групп. Использование ограничения скорости, в то время как легко обойти, добавили еще один уровень сложности для потенциальных эксплуатации. Исследовательская группа предположила, что эта инфраструктура может быть даже контрразведывательной операции, призванной следить зондирование попытки исследователей.

При оценке вредоносного ПО было подтверждено, что OtterCookie обладает такими функциями, как кейлоггер, возможность Захвата экрана, механизмы закрепления и продвинутые методы обхода, нацеленные на виртуальные машины. OtterCookie обеспечивает непрерывную эксфильтрацию данных в указанную конечную точку, что делает его серьезной угрозой для пользователей с криптоактивами. Организациям рекомендуется блокировать индикаторы компрометации (IOCs), связанные с обоими семействами вредоносного ПО, и сохранять бдительность в отношении потенциальных рисков, создаваемых скомпрометированными платформами.

#ParsedReport #CompletenessMedium
04-02-2026

New year, new sector: Transparent Tribe targets Indias startup ecosystem

https://www.acronis.com/en/tru/posts/new-year-new-sector-transparent-tribe-targets-indias-startup-ecosystem/

Report completeness: Medium

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Crimson_rat
Ares_rat
Allakore_rat
Getarat
Deskrat
Credential_harvesting_technique
Spear-phishing_technique
Motw_bypass_technique
Gymrat

Victims:
Startups, Cybersecurity sector, Government, Defense, Diplomatic, Research

Industry:
Military, Education, Government

Geo:
Pakistan, Indian, Asia, India, Afghanistan

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.007, T1059, T1059.003, T1202, T1204.001, T1204.002, T1547, T1566.001, T1588.001, have more...

IOCs:
File: 10
Hash: 5
IP: 1
Domain: 1

Soft:
twitter

Algorithms:
md5, zip, exhibit

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 12, dump: 2, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Transparent Tribe (APT36) переключила свое внимание на экосистему индийских стартапов, особенно в области кибербезопасности, используя обманчивую тактику Целевого фишинга с помощью ISO-файла с именем MeetBisht.iso . Этот файл содержит вредоносный ярлык, Meet Bisht.xlsx.lnk, который запускает пакетный скрипт, запускающий Crimson RAT, Trojan. для удаленного доступа на базе .NET. Кампания использует заслуживающие доверия документы-приманки и использует такие методы, как намеренные орфографические ошибки в именах файлов, что повышает ее скрытность и усложняет обнаружение при маршрутизации сообщений через сервер управления в Канзас-Сити.
-----

Transparent Tribe, также известная как APT36, представляет собой шпионскую группу, связанную главным образом с государственными интересами, нацеленную на страны Южной Азии, в частности Индию и Афганистан. Последние разведданные свидетельствуют о стратегическом повороте в сторону индийской экосистемы стартапов, особенно в секторе кибербезопасности. Этот сдвиг очевиден в недавно выявленной кампании, которая использует обманчивые материалы на тему стартапов для заманивания жертв, распространяемые в формате ISO-файла.

Атака инициируется с помощью электронных писем с Целевым фишингом, содержащих ISO-образ с именем MeetBisht.iso . Этот ISO-файл специально разработан таким образом, чтобы казаться релевантным получателю, часто ссылаясь на владельца нацеленного стартапа. В ISO злоумышленники встраивают вредоносный файл быстрого доступа с именем Meet Bisht.xlsx.lnk, который после выполнения активирует пакетный скрипт, который служит как средством запуска, так и механизмом закрепления. Этот скрипт впоследствии запускает Crimson RAT, троянца удаленного доступа на базе .NET, замаскированного под законный исполняемый файл, что еще больше повышает шансы на успешную эксплуатацию.

Технический анализ кампании выявил использование документа-приманки наряду с вредоносными компонентами, направленное на повышение доверия к приманке. Конкретный материал-приманка был привязан к стартапу, специализирующемуся на OSINT, предполагая, что Transparent Tribe манипулирует общедоступной информацией для создания правдоподобных сценариев, несмотря на то, что не подразумевает прямого нацеливания на конкретных людей или организации.

Полезная нагрузка Crimson RAT особенно примечательна из-за ее завышенного размера файла, достигаемого за счет вставки значительных объемов мусорных данных в ее ресурсы, что усложняет усилия по обнаружению. Было обнаружено, что связь со скомпрометированными системами направлялась через сервер управления, расположенный в Канзас-Сити, что выявило базовую инфраструктуру предыдущих кампаний, связанных с этой группой.

Более того, использование имен файлов с намеренными орфографическими ошибками, таких как "Evidence.pdf.lnk", не только демонстрирует закономерность в деятельности группы, но и предоставляет аналитикам возможность сопоставлять активность в различных кампаниях для более точной атрибуции. Благодаря этой кампании Transparent Tribe демонстрирует эволюцию своей стратегии таргетинга, расширяя свое внимание и охватывая новые технологические секторы, которые становятся важнейшими объектами разведки наряду с традиционными государственными секторами. Этот сдвиг указывает на глубокое понимание меняющегося ландшафта угроз и адаптивность тактики для использования уязвимостей в новых областях.

#ParsedReport #CompletenessMedium
04-02-2026

Hunting Lazarus Part II: When the Dead Drop Moved to the Blockchain

https://redasgard.com/blog/hunting-lazarus-part2-blockchain-dead-drop

Report completeness: Medium

Actors/Campaigns:
Lazarus
Contagious_interview
Kimsuky
Winnti

Threats:
Dead_drop_technique

Victims:
Blockchain sector, Web3 developers, Software developers

Industry:
Financial

TTPs:
Tactics: 4
Technics: 6

IOCs:
Coin: 2
File: 10
IP: 7
Hash: 3

Soft:
Node.js, VSCode, VirtualBox, 1Password, LastPass, Bitwarden, KeePass, DashLane, Chrome, Firefox, Tor Browser, have more...

Wallets:
metamask, coinbase, keplr

Crypto:
binance

Algorithms:
sha256

Functions:
The, getMemo, configureCollection, Function

Win API:
Polygon

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4