#ParsedReport #CompletenessLow
02-03-2026

Unauthorized AI Agent Execution Code Published to OpenVSX in Aqua Trivy VS Code Extension

https://socket.dev/blog/unauthorized-ai-agent-execution-code-published-to-openvsx-in-aqua-trivy-vs-code-extension

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Open source software ecosystem, Developers

Industry:
Government, Financial, Transport

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 7

Soft:
Claude, Slack

Functions:
pl

Languages:
javascript

Links:
https://github.com/aquasecurity/trivy-vscode-extension/security/advisories/GHSA-8mr6-gf9x-j8qg

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инцидент с расширением Aqua Trivy VS Code продемонстрировал нацелен-ную атаку на GitHub Actions, в которой вредоносные версии 1.8.12 и 1.8.13 допускали несанкционированное выполнение агентами искусственного интеллекта. В этих версиях использовалась внедренная вредоносная логика, которая облегчала проверку системы и эксфильтрация данных, при этом версия 1.8.12 распространяла конфиденциальную информацию по нескольким каналам, а версия 1.8.13 передавала учетные данные через сеанс GitHub CLI жертвы для создания хранилища. Атака подчеркивает растущую тенденцию использования искусственного интеллекта в supply chains программного обеспечения, поскольку внедренные вредоносные команды ускользали от обнаружения во время стандартных операций.
-----

Инцидент с использованием расширения Aqua Trivy VS Code на OpenVSX свидетельствует о сложной атаке, нацеленной на рабочие процессы GitHub Actions в различных проектах с открытым исходным кодом. Вредоносные версии расширения 1.8.12 и 1.8.13 способствовали несанкционированному запуску агента искусственного интеллекта, используя локальных помощников по программированию искусственного интеллекта, таких как Claude, Codex и GitHub Copilot. Вредоносная логика была внедрена в функцию активации рабочей области, которая выполняла запросы в наиболее разрешенных режимах, чтобы обойти человеческий надзор, что позволяло проводить тщательную проверку системы и сбор информации.

В версии 1.8.12 агенту искусственного интеллекта было поручено обнаружить все каналы связи в системе жертвы и отфильтровать собранные данные по широкому спектру исходящих путей, таких как почтовые клиенты и службы обмена сообщениями, что в конечном итоге создало хаос и рассеяло конфиденциальную информацию, вместо того чтобы извлекать ее контролируемым образом. Версия 1.8.13 усовершенствовала этот подход, указав четкий маршрут эксфильтрация: сбор токенов и учетные данные, запись их в файл и использование аутентифицированного сеанса GitHub CLI жертвы для создания нового репозитория для хранения отчетов. Риск здесь заключается в настройках доступа к хранилищу по умолчанию, которые могут непреднамеренно сделать конфиденциальные данные общедоступными, хотя в данном случае, похоже, такое хранилище в конечном счете создано не было.

Обе версии расширения демонстрировали механизм выполнения, при котором вредоносные команды были встроены в рутинные операции редактора, что затрудняло обнаружение. Команды использовали флаги инструментов искусственного интеллекта для неограниченного выполнения, что приводило к бесшумной работе, которая позволяла избежать обнаружения пользователем, позволяя встроенному коду выполняться независимо от стандартных операционных проверок. Это подчеркивает заметный сдвиг в сторону злоупотреблений supply chain с помощью искусственного интеллекта, поскольку злоумышленники теперь используют существующие инструменты разработки с расширенными возможностями для проведения разведка и потенциальной эксфильтрация конфиденциальных данных.

В связи с инцидентом разработчикам рекомендуется срочно удалить уязвимые версии и проверить историю использования их расширений. Кроме того, проверка активности GitHub на предмет несанкционированного создания репозитория и ротация доступных учетные данные, включая токены GitHub и ключи API, являются важными шагами по смягчению последствий. Этот инцидент подчеркивает необходимость бдительного мониторинга поведения расширений и упреждающего подхода к защите сред разработки от возникающих угроз, создаваемых с помощью искусственного интеллекта.

#ParsedReport #CompletenessHigh
28-02-2026

Archive.org Stego Delivers Remcos and AsyncRAT

https://www.derp.ca/research/archive-org-stego-campaign/

Report completeness: High

Threats:
Steganography_technique
Remcos_rat
Asyncrat
Mirai
Quasar_rat
Confuserex_tool
Uac_bypass_technique
Lolbin_technique
Process_hollowing_technique
Dcrat
Mandark_tool
Runpe_tool
Polymorphism_technique
Process_injection_technique
Snake_keylogger
Njrat

Geo:
Ecuador, Brazilian, Spanish, Colombian, Tibetan, Portuguese, Swedish, Colombia, Sweden

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1053.005, T1055.012, T1056.001, T1071.001, T1102, T1105, T1140, have more...

IOCs:
Hash: 10
File: 27
Email: 4
Domain: 4
Url: 6
Path: 3
IP: 2
Command: 2
Registry: 1

Soft:
NET Framework, Gmail, VirtualBox, qemu, Hyper-V, VirtualBox VirtualBox, QEMU QEMU

Algorithms:
aes-cbc, sha256, aes, des, base64, deflate, gzip, 3des, aes-256-cbc, rsa-1024, xor

Win API:
CreateProcess, ZwUnmapViewOfSection, VirtualAllocEx, WriteProcessMemory, GetThreadContext, SetThreadContext, ResumeThread, LoadLibraryA, GetProcAddress

Win Services:
WebClient, ebClient.Do

Languages:
php, powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2026 года кибер-актор использовал archive.org для доставки вредоносной полезной нагрузки, в частности Троянская программа удаленного доступа (RATs) Remcos и AsyncRAT, для скрытия используется steganography .Библиотеки DLL NET injector в формате JPEG. Полезные файлы, встроенный маркер EOF post-JPEG, эмулируют законные библиотеки DLL, минуя обнаружение. Были выявлены две цепочки атак: одна использует PowerShell для получения изображений для Remcos, в то время как AsyncRAT использует отражающую загрузку сборки для безфайлового развертывания, демонстрируя постоянную инфраструктуру, отслеживаемую до колумбийского IP.
-----

В начале 2026 года киберугроза, связанная с использованием archive.org в качестве платформы доставки вредоносной полезной нагрузки была определена, в частности, развертывание Троянская программа удаленного доступа (RATs) Remcos и AsyncRAT. В этой кампании используются методы steganography для запутывания .Библиотеки DLL NET injector в виде обоев в формате 4K JPEG. Вредоносный код внедряется вслед за маркером JPEG EOF, что делает его незаметным для обычных средств просмотра изображений. Операторы, участвовавшие в этой деятельности, использовали ежедневный цикл перекомпиляции и загрузки этих изображений в несколько учетных записей, связанных с Gmail.

Перекрестная ссылка на данные о распространении URLhaus вредоносное ПО с помощью Tria.ge результаты песочницы дали 54 идентифицированных совпадения, выявив archive.org как значительное совпадение, хотя другие домены каталогизировали несвязанные угрозы, такие как ботнеты Mirai. Каждая извлеченная библиотека DLL маскируется под законную библиотеку Microsoft Windows, что побуждает программное обеспечение безопасности не замечать их вредоносную природу. Анализ размеров полезной нагрузки варьировался от 745 КБ до 1,6 МБ, при этом различные конфигурации обфускатора ConfuserEx использовались для улучшения тактики уклонения.

Были выявлены две различные цепочки атак. Первая цепочка уничтожения сосредоточена на Remcos версии 7.1.0 Pro, где скрипт PowerShell извлекает образ stego, который после обработки загружает и выполняет полезную нагрузку RAT в скрытой среде. Извлеченная конфигурация для Remcos указывает на то, что она взаимодействует с сервером C2 (systemcopilotdrivers.ydns.eu ) регистрировать нажатия клавиш даже в автономном режиме, сохраняя их в скрытой папке, предназначенной для операции RAT.

Напротив, AsyncRAT был реализован с помощью аналогичного механизма, но с такими вариациями, как загрузка отражающей сборки вместо process hollowing, что позволяет осуществлять развертывание без файлов. Обе крысы демонстрируют адаптивное поведение с их интервалами повторного выполнения и конфигурациями, которые включают отключение закрепление установки при поддержании высокого уровня активности с помощью циклических механизмов.

Инфраструктура, поддерживающая эти операции, была прослежена до постоянного IP-адреса в Колумбии, связанного с более чем десятимесячной непрерывной деятельностью, что демонстрирует постоянный и эволюционирующий подход к киберэксплуатации. Крысы использовали различные домены C2 наряду с фреймворк, нацеленный на process hollowing, повышающий их возможности скрытности. Их повсеместное присутствие через Облачные сервисы, такие как archive.org усиливает проблемы, с которыми сталкиваются при обнаружении вредоносное ПО и устранении неполадок, учитывая доверенный статус этого домена и отсутствие сканирования содержимого.

Эта атака подчеркивает сложное использование steganography, изощренные методы внедрения и полезность облачных платформ в операциях киберпреступников, что требует передовых стратегий обнаружения для эффективного противодействия возникающим угрозам.

#ParsedReport #CompletenessLow
02-03-2026

Purchase order attachment isnt a PDF. Its phishing for your password

https://www.malwarebytes.com/blog/threat-intel/2026/03/purchase-order-attachment-isnt-a-pdf-its-phishing-for-your-password

Report completeness: Low

Threats:
Credential_harvesting_technique

ChatGPT TTPs:
do not use without manual check
T1056.003, T1059.007, T1071.001, T1102.002, T1566.002, T1608.005

IOCs:
File: 1

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя фишинг-кампания включает в себя вводящее в заблуждение вложение с надписью "Новый PO 500PCS.pdf.hTM ," который маскируется под PDF, но на самом деле содержит HTML-код. Жертвы, открывающие файл, сталкиваются с запросом пароля, который фиксирует конфиденциальную информацию, такую как IP-адрес и геолокация, с помощью скрипта, передающего данные боту Телеграм, управляемому злоумышленником. Этот метод позволяет злоумышленникам собирать учетные данные для входа в систему для дальнейшего использования, что потенциально может привести к захвату учетных записей и продаже компрометация информации.
-----

Недавно была запущена кампания по фишинг-атаке с использованием искусно замаскированного приложения под названием "New PO 500PCS.pdf.hTM ". Файл, который должен был выглядеть как стандартный заказ на покупку в формате PDF, на самом деле содержит HTML-код. Двойное расширение у файла (.pdf.htm ) - хорошо известная тактика в схемах фишинг, когда Вредоносный файл маскируется под законные документы, но может выполнять вредоносные скрипты при открытии в веб-браузере.

При взаимодействии с вложением жертвам отображается запрос пароля, наложенный на размытый фон. Эта фишинг-страница автоматически вводит адрес электронной почты пользователя и в фоновом режиме запускает скрипт, который собирает конфиденциальную информацию, такую как IP-адрес жертвы, геолокация и пользовательский агент браузера. Затем эти данные отправляются непосредственно боту в Телеграм, управляемому злоумышленником. Выбор Телеграм в качестве канала командования и контроля (C2) является стратегическим, поскольку он обеспечивает шифрование, широкое использование и часто остается без контроля со стороны корпоративных мер безопасности.

Хотя замысел мошенничества может показаться бесхитростным, он эффективно собирает учетные данные для входа в систему у жертв. Как только эти учетные данные будут предоставлены, злоумышленник может использовать их для дальнейших вредоносных действий, включая захват учетных записей и продажу информации на незаконных рынках. Потенциальные последствия для жертв включают необходимость сброса паролей и снижения рисков, связанных с компрометация личной информации.

Учитывая характер этой угрозы, пользователям рекомендуется сохранять бдительность при получении подозрительных электронных писем и использовать такие инструменты, как Malwarebytes Scam Guard, для проверки законности потенциально вредоносного контента. Такие упреждающие меры могут помочь предотвратить попадание в число жертв этих фишинг-атак.

#ParsedReport #CompletenessHigh
24-02-2026

HYDRA SAIGA: COVERT ESPIONAGE AND INFILTRATION OF CRITICAL UTILITIES

https://www.vmray.com/hydra-saiga-covert-espionage-and-infiltration-of-critical-utilities/

Report completeness: High

Actors/Campaigns:
Hydra_saiga (motivation: cyber_criminal, cyber_espionage)
Cavalry_werewolf (motivation: cyber_espionage)
Shadowsilk (motivation: cyber_espionage)
Tomiris (motivation: cyber_espionage)

Threats:
Havoc
Resocks_tool
Meterpreter_tool
Credential_harvesting_technique
Lolbin_technique
Fakelogonscreen_tool
Nltest_tool
Bitsadmin_tool
Chisel_tool
Acunetix_tool
Jlorat
Telemiris
Rsocx_tool
Credential_dumping_technique

Victims:
Government, Critical infrastructure, Energy sector, Healthcare, Legal sector, Water utilities, Hydroelectric power operators, Research institutions, Scada operators, Manufacturing equipment manufacturers, have more...

Industry:
Critical_infrastructure, Petroleum, Education, Energy, Ics, Healthcare, Government, Aerospace

Geo:
Colombia, Greece, Russian, Turkey, India, Singapore, Morocco, Netherlands, Slovakia, Georgia, Kyrgyzstan, Thailand, America, Peru, Bangladesh, Oman, Czechia, Armenia, Azerbaijan, Kazakhstan, Africa, Pakistan, Afghanistan, Asia, Chinese, Indonesia, Brazil, Iran, Uzbekistan, Middle east, Egypt, China, Bulgaria, South africa, Pol, Russia, Turkmenistan, Argentina, Mongolia, Afghan, Tajikistan, Belarus, Asian

TTPs:
Tactics: 11
Technics: 26

IOCs:
File: 8
IP: 28
Email: 1
Path: 17
Hash: 6
Url: 22
Domain: 14
Command: 1

Soft:
Telegram, Chrome, curl, PsExec, Microsoft Defender, PyInstaller, Firefox, Opera, Linux, s://www.vmray, have more...

Algorithms:
base64

Languages:
php, powershell, rust, golang, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Hydra Saiga, базирующаяся в Казахстане преступная хакерская группировка, спонсируемая государством, действующая с 2021 года, в первую очередь нацелена на государственные структуры и сектора критической инфраструктуры в Центральной Азии, Европе и на Ближнем Востоке. Они используют различные методы атак, включая фишинг для первоначальный доступ, и используют операции управление с помощью API-интерфейса Телеграм-бота. Их деятельность после эксплуатации использует методы Living Off the Land, фокусируясь на сбор учетных записей и эксфильтрация данных с использованием как стандартных утилит Windows, так и пользовательских вредоносное ПО.
-----

Hydra Saiga - спонсируемая государством преступная хакерская группировка из Казахстана, действующая с 2021 года. Группа нацелен на государственные органы и важнейшие секторы инфраструктуры в первую очередь в Центральной Азии, Европе и на Ближнем Востоке. Они используют API-интерфейс Телеграм-ботов для операций управление и используют как стандартное, так и пользовательское вредоносное ПО, включая полезные приложения на Python, PowerShell, Golang и Rust. Их методы постэксплуатации включают в себя операции с клавиатурой и использование методов Living Off theLand со стандартными утилитами Windows. Механизмы закрепление включают запланированные задачи и изменения в реестре Windows. Методы получение учетных данных включают в себя дампы Память процесса LSASS и инструмент FakeLogonScreen с открытым исходным кодом. Обратная связь с сервером C2 осуществляется через Телеграм для эксфильтрация команд и данных. Первоначальный доступ достигается с помощью нацелен-ных фишинг-кампаний с вредоносными вложениями, часто замаскированными под документы или архивы RAR. Они проводят разведка с помощью таких инструментов, как Censys и Shodan. Hydra Saiga нацелен на критически важную инфраструктуру, связанную с водным и энергетическим секторами, и попытался внедриться в системы SCADA во многих странах. Криминалистический анализ связывает группу с Казахстаном на основе операционных схем и нацелен на секторы. Они подвергли компрометация по меньшей мере 34 организации в восьми странах, что свидетельствует об их широких оперативных возможностях.

#ParsedReport #CompletenessMedium
26-02-2026

Free Games, Costly Consequences

https://blog.gdatasoftware.com/2026/02/38373-pivigames-spreads-hijackloader

Report completeness: Medium

Threats:
Hijackloader
Process_injection_technique
Acr_stealer
Dll_sideloading_technique
Riseprostealer
Uac_bypass_technique
Rshell
Process_doppelganging_technique
Antivm_technique
Process_hollowing_technique
Heavens_gate_technique

Victims:
Pirated gaming users, Gaming community

Industry:
Entertainment

Geo:
Spanish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055, T1055.008, T1055.012, T1189, T1218, T1574.002, T1608.004

IOCs:
File: 25
Url: 1
Path: 2
Hash: 5

Algorithms:
zip, lznt1, xor, crc-32

Functions:
srand, rand

Win API:
decompress, GetComputerNameW

Languages:
javascript, php, python

Links:
https://github.com/struppigel/hedgehog-tools/blob/main/HijackLoader/python3\_hijackloader\_stage2\_decrypter.py
https://github.com/struppigel/hedgehog-tools/tree/main/HijackLoader
have more...

#ParsedReport #ExtractedSchema

Classified images:
code: 4, dump: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PiviGames перешла от платформы для пиратских игр к каналу распространения вредоносное ПО, в основном используя HijackLoader. Это вредоносное ПО использует сложный метод заражения, включающий Вредоносный файл, замаскированный под игровые настройки, выполняющийся с помощью DLL sideloading и использующий такие методы, как хэширование API и блокирование модулей. Вредоносное ПО демонстрирует расширенные возможности, включая проверку на защиту от виртуальных машин, закрепление и process INJECTION, что усложняет обнаружение и анализ.
-----

PiviGames, печально известная испанская платформа для скачивания пиратских компьютерных игр, превратилась в канал распространения вредоносное ПО, компрометирующий пользователей, которые ищут "бесплатных" развлечений. Первоначальный механизм заражения заключается в том, что невольные пользователи загружают Вредоносный файл, замаскированный под установку игры, что приводит к развертыванию HijackLoader — сложного вредоносное ПО, предназначенного для скрытности и закрепление.

В результате расследования было выявлено, что PiviGames маскирует свои вредоносные действия, используя сервисы Cloudflare, но его основной JavaScript, pgedshop.js , отвечает за перенаправление посетителей на неблаговидные сайты. Одним из примечательных примеров является файл с именем Setup.exe , который действует как чистый игровой лаунчер, но использует DLL sideloading для выполнения вредоносного кода через библиотеку под названием Conduit.Брокер.библиотека dll, принадлежащая к семейству HijackLoader.

Трубопровод.Брокер.сама библиотека dll содержит смесь доброкачественного и вредоносного кода и использует встроенное разрешение API для вызовов функций, что усложняет ее анализ. Вредоносное ПО использует уникальный механизм хэширования API, чтобы скрыть свою истинную природу. Кроме того, он расшифровывает файл (Groumcumgag.ic), который содержит шелл-код для облегчения дальнейшего развертывания полезной нагрузки. Эта полезная нагрузка загружается в законную системную библиотеку, evr.dll , используя технику, известную как топтание модуля.

Второй этап вредоносное ПО фокусируется на расшифровке и обработке конфигурационного файла (Zootkumbak.uhp), который определяет последующие действия. Содержащийся в нем шелл-код содержит фрагментированную конфигурацию, распределенную по 90 фрагментам, и использует шаблон поиска для определения местоположения этих фрагментов. В частности, он поддерживает различные функциональные возможности, включая параметры команд для process injection и настройки конфигурации.

На третьем этапе модуль ti64, который составляет ядро HijackLoader, реализует множество расширенных возможностей, включая проверки на защиту от виртуальной машины (Anti-VM), механизмы закрепление и методы множественного process Injection. Он предоставляет набор инструментов для загрузки полезных данных с помощью методов Внедрение в пустой процесс и Process Doppelgnging — используя безвредный внешний вид законных файлов, таких как MicrosoftEdgeUpdate.exe в качестве прикрытия для злонамеренных действий.

Межпроцессное взаимодействие облегчается с помощью переменных среды в скрытой форме, что позволяет HijackLoader обмениваться важной информацией, не вызывая тревоги. Весь фреймворк обладает высокой сложностью, что затрудняет распаковку из-за разбросанных путей выполнения кода и широкого использования структурированных данных.

Поскольку этот анализ HijackLoader продолжает раскрываться, в нем освещаются сложные методы, которые используют киберпреступники для использования, казалось бы, безобидных сервисов во вредоносных целях, и ожидается, что в следующей статье будет рассмотрена полезная нагрузка ACRStealer.

#ParsedReport #CompletenessLow
26-02-2026

Moonrise remote access trojan analysis: live surveillance and crypto theft capabilities

https://evalian.co.uk/inside-a-new-malware-trojan-moonrise/

Report completeness: Low

Threats:
Moonrise_rat
Cobalt_strike_tool

Victims:
Windows users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1056.001, T1059.003, T1071.001, T1082, T1115

IOCs:
Hash: 1
File: 5
IP: 1

Soft:
Linux

Algorithms:
base64, sha256

Functions:
Dial, SetReadDeadline, WriteJSON

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Moonrise - это недавно идентифицированный RAT, ориентированный на Windows, использующий архитектуру WebSocket для постоянной связи со своим сервером C2 по жестко закодированному IP-адресу. Он оснащен командным протоколом на основе JSON для структурированной обработки команд, позволяющим вести наблюдение в реальном времени с помощью Регистрация нажатий клавиш и мониторинга буфера обмена, а также демонстрирует возможности Манипуляции с данными, связанными с криптовалютой. Кроме того, он распознает зараженный хост для определения приоритетности таргетинга и может загружать файлы для дальнейшего развертывания полезной нагрузки, демонстрируя универсальность и постоянное оперативное взаимодействие своих операторов.
-----

Анализ Moonrise, недавно обнаруженной Троянская программа для удаленного доступа (RAT), нацеленной на системы Windows, раскрывает ее техническую архитектуру и возможности, уделяя особое внимание механизмам постоянного управление (C2), функциям наблюдения в режиме реального времени и потенциальной возможности кражи криптовалюты.

Moonrise структурирован с использованием архитектуры WebSocket для поддержания непрерывного канала связи со своим сервером C2, используя библиотеку WebSocket Gorilla. Он подключается к жестко запрограммированной конечной точке (ws://193.23.199.88:8765) и сохраняет состояние сеанса, предпочитая долговременные соединения временным запросам. Такое поведение обеспечивает эффективную обработку команд, позволяя операторам поддерживать контроль и осуществлять всестороннее наблюдение за системой, а не выполнять простое одноразовое выполнение.

Заслуживает внимания командный протокол трояна, основанный на JSON, с функциональностью для обработки структурированных команд и агрегирования ответов. Этот структурированный подход распространяется на его возможности наблюдения, которые включают в себя Регистрация нажатий клавиш и мониторинг буфера обмена, и направлен на сбор данных в режиме реального времени на зараженных компьютерах. Похоже, что вредоносное ПО обрабатывает команды, связанные с криптовалютой, как следует из определенных полей JSON, которые предполагают возможность захвата адресов кошельков и манипулирования ими — потенциально тревожная функциональность для пользователей криптовалюты.

В рамках своей операционной настройки Moonrise выполняет процесс снятия отпечатков пальцев с зараженного хоста, собирая системные метаданные, такие как версия операционной системы, имя хоста и идентификаторы пользователей, которые могут помочь злоумышленникам определить приоритеты целей на основе системной информации. Это указывает на более широкий дизайн вредоносное ПО, который делает упор на постоянное взаимодействие оператора и непрерывное извлечение данных, а не на статические атаки.

Динамический анализ, выполненный с помощью ANYRUN, выявил возможность загрузки файлов в зараженную систему, что повысило универсальность Moonrise's, поскольку он может развертывать дополнительные скрипты или полезные нагрузки после заражения. Одна из таких полезных нагрузок включала методы обхода сети, предполагающие потенциал для дальнейшего развития или развертывания модульных возможностей.

#ParsedReport #CompletenessHigh
27-02-2026

Github VSCode Contagious Interview

https://www.enki.co.kr/media-center/blog/contagious-interview-campaign-abusing-vscode-distributed-on-github

Report completeness: High

Actors/Campaigns:
Contagious_interview

Threats:
Beavertail
Invisibleferret
Ottercookie
Anydesk_tool
Supply_chain_technique
Dead_drop_technique
Tsunami_framework
Etherrat

Victims:
Developers, Open source ecosystem

Industry:
Telco, Financial

Geo:
North korean, Bulgaria, India, America

TTPs:
Tactics: 9
Technics: 31

IOCs:
Email: 1
Url: 111
File: 13
IP: 14
Coin: 5
Path: 2
Hash: 12
Domain: 1

Soft:
VSCode, Visual Studio Code, linux, macOS, onenote, Chrome, Opera, Opera GX, Chromium, Vivaldi, have more...

Wallets:
metamask, rabby, coinbase, exodus_wallet, trezor, electrum, brave_wallet, coin98, math_wallet, solflare, have more...

Crypto:
solana, bitcoin, ethereum, binance

Algorithms:
xor, zip, base64, sha256, hmac

Languages:
javascript, python

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4