#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследования показывают, что северокорейские актор систематически нацеливаются на криптовалютные организации, используя уязвимость React2Shell (CVE-2025-55182) и действительные учетные данные AWS для доступа к различным платформам. Используя методологию Amazon Kill Chain, злоумышленники провели обширную разведка с помощью инструментов AWS CLI, что привело к перемещение внутри компании и эксфильтрация данных с конфиденциальных ресурсов, включая исходный код и учетные данные. Злоумышленник продемонстрировал повышенную операционную безопасность, используя VShell и туннелирование FRP для постоянного доступа, что является примером значительных рисков для облачной безопасности в криптосекторе.
-----

Недавние расследования выявили систематические вторжения, нацеленные на криптовалютные организации, которые, как полагают, связаны с северокорейскими актор. Эти злоумышленники воспользовались уязвимостями веб-приложений, в частности, используя уязвимость React2Shell (CVE-2025-55182), чтобы получить первоначальный доступ к различным платформам в рамках крипто-supply chain, включая сервисы размещения ставок и поставщиков программного обеспечения exchange. Они использовали действительные учетные данные AWS для управления средами AWS, создавая значительные риски для облачной безопасности.

Методология атаки соответствовала "цепочке убийств Amazon", в которой злоумышленники-актор использовали инструменты интерфейса командной строки AWS (CLI) для обширной разведка сервисов AWS. Они эффективно перечисляли ресурсы, такие как сегменты S3, кластеры Kubernetes и реляционные базы данных, облегчая перемещение внутри компании в среде компрометация. Примечательно, что доступ к Kubernetes позволял им извлекать конфиденциальные образы Docker и выполнять команды для извлечения секретов проприетарного приложения.

Используемая инфраструктура Command and Control (C2) включает в себя VShell, настроенный на порту 8082, и туннельный прокси-сервер FRP на порту 53 для постоянного доступа. Наблюдаемое использование сервера VShell версии 4.9.3 с конкретными учетные данные иллюстрирует редкое понимание менталитета злоумышленник в области операционной безопасности.

Злоумышленники в первую очередь сосредоточились на извлечении исходного кода, жестко закодированного с конфиденциальными учетные данные из различных репозиториев и конфигураций. Данные, собранные с помощью AWS Secrets Manager, Terraform state files и других решений для хранения, выявили секреты в виде обычного текста и Закрытые ключи, которые могут привести к дальнейшим компрометация. Среды, на которые были нацелен злоумышленник, демонстрировали тревожные признаки воздействия на учетные данные и манипулирования ими, что усугублялось способностью злоумышленников сделать сервисы общедоступными.

Инфраструктура, связанная с этими операциями, базировалась преимущественно в Южной Корее, используя как локальные серверы, так и VPN-сервисы, чтобы скрыть происхождение атак. Использование специфических сервисов AWS, от Elastic Container Registry (ECR) до службы реляционных баз данных (RDS), указывает на пристальное внимание к ценным ресурсам для эксфильтрация данных.

Несмотря на отсутствие в наблюдениях вредоносное ПО, созданного на заказ в КНДР, анализ подтверждает, что методы злоумышленников соответствуют историческому нацелен КНДР на криптовалютные организации. Адаптивность их стратегий в сочетании с их нацелен-ным подходом к тонкостям Облачные сервисы демонстрируют значительный ландшафт угроз в криптодомене, представляющий потенциальную операционную опасность для заинтересованных сторон в секторе. Конвергенция инфраструктуры, методов торговли и нацелен-ных стилей воплощает в себе настоятельный призыв к усилению мер Кибербезопасность на криптовалютных платформах для снижения аналогичных рисков в будущем.

#ParsedReport #CompletenessMedium
02-03-2026

OAuth redirection abuse enables phishing and malware delivery

https://www.microsoft.com/en-us/security/blog/2026/03/02/oauth-redirection-abuse-enables-phishing-malware-delivery/

Report completeness: Medium

Threats:
Evilproxy_tool
Smuggling_technique
Dll_sideloading_technique
Malgent
Plugx_rat
Trojan:win32/znyonm
Trojan:win32/greedyrobin.b
Trojan:win32/winlnk
Sonbokli

Victims:
Government sector, Public sector

Industry:
Government

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1027.006, T1056.003, T1057, T1059.001, T1082, T1204.001, T1204.002, T1207, T1550.004, have more...

IOCs:
File: 3
Url: 13

Soft:
Microsoft Defender, Microsoft Entra, Node.js, Microsoft Defender for Endpoint, Office 365

Algorithms:
zip, base64

Languages:
powershell, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Корпорация Майкрософт выявила рост числа фишинг-атак с использованием протокола аутентификации OAuth, ориентированных на государственные структуры и государственный сектор. Злоумышленники манипулируют механизмами перенаправления OAuth, чтобы направлять пользователей на вредоносные сайты без получения пользовательских токенов, в основном с помощью созданных электронных писем с законно выглядящими URL-адресами. Как только жертвы взаимодействуют, они проходят через потоки OAuth для загрузки вредоносных ZIP-файлов, содержащих загрузчики LNK и HTML, которые выполняют команды PowerShell для разведка и дальнейшего развертывания вредоносное ПО.
-----

Корпорация Майкрософт сообщила о значительном увеличении числа случаев использования протокола аутентификации OAuth с помощью фишинг, особенно в отношении правительственных организаций и государственного сектора. Эксплуатация включает в себя манипулирование законными механизмами перенаправления OAuth для перенаправления жертв в инфраструктуру, контролируемую злоумышленником, без получения пользовательских токенов. Обнаружению этих угроз способствовал защитник Microsoft, который выявлял вредоносные действия по различным сигналам безопасности.

В атаке используются специально созданные URL-адреса перенаправления OAuth, встроенные в фишинг-письма, которые кажутся пользователям заслуживающими доверия, обманом заставляя их взаимодействовать. Фишинг-приманки используют различные темы, такие как запросы на электронную подпись, финансовую документацию и политический контент, чтобы стимулировать взаимодействие. Злоумышленник использовал как бесплатные средства массовой рассылки электронной почты, так и индивидуальные решения, разработанные на таких языках, как Python и Node.js , выполняя эти операции через облачные почтовые сервисы и виртуальные машины.

Начальный этап атаки включает в себя отправку фишинг-писем, содержащих ссылки для перенаправления OAuth напрямую или встроенные во вложения, такие как PDF-файлы. После нажатия жертвы перенаправляются через ряд потоков аутентификации на основе OAuth, которые приводят их на вредоносные целевые страницы, часто создаваемые с помощью таких платформ, как EvilProxy, которые предназначены для перехвата учетные данные пользователя и сеансовые файлы cookie.

Ключом к эффективности этих атак является манипулирование параметрами OAuth. Например, злоумышленники используют параметр "prompt=none" для инициирования автоматической аутентификации, которая не предполагает какого-либо взаимодействия с пользовательским интерфейсом. Когда аутентификация завершается неудачно, вызывая ошибку OAuth, например, код 65001, жертвы по—прежнему перенаправляются на сайт злоумышленника. Такой подход позволяет злоумышленникам доставлять Вредоносный файл, несмотря на то, что они не получают никаких токенов доступа OAuth.

После перенаправления пользователи получают быструю загрузку вредоносного ZIP-файла с контролируемой конечной точки, содержащего LNK-файлы и HTML-загрузчики. Тот самый .Файл LNK создается для выполнения команды PowerShell, которая проводит разведка системы и впоследствии запускает загрузку других вредоносных компонентов. Этот процесс включает в себя методы DLL side-loading, приводящие к выполнению дополнительных полезных нагрузок из памяти и установлению подключений к серверам управление.

Организации, использующие Microsoft Defender, могут получать предупреждения, связанные с этой угрозой, включая указания на потенциальный первоначальный доступ и подозрительные попытки подключения, которые указывают на эволюционирующий ландшафт киберугроза, использующих злоупотребление перенаправлением OAuth в качестве основного метода фишинг-рассылки и вредоносное ПО.

#ParsedReport #CompletenessHigh
03-03-2026

Analysis of AuraStealer, an emerging infostealer

https://www.intrinsec.com/wp-content/uploads/2026/02/TLP-CLEAR-AuraStealer-EN.pdf

Report completeness: High

Threats:
Aurastealer
Clickfix_technique
Lumma_stealer
Rhadamanthys
Vidar_stealer
Stealc
Antidebugging_technique
Anydesk_tool
Donut
Salatstealer
Njrat
Rusty_stealer
Maskgram
Dcrat
Quasar_rat
Dll_sideloading_technique
Spear-phishing_technique
Process_injection_technique
Sandbox_evasion_technique

Victims:
Consumers, General users

Industry:
E-commerce

Geo:
Malaysian, Russian

TTPs:
Tactics: 7
Technics: 39

IOCs:
Url: 7
IP: 4
Domain: 35
Hash: 282
File: 9

Soft:
TikTok, Chromium, Telegram, Photoshop, Ubuntu, Microsoft Defender, KeePass, Bitwarden, 1Password, LastPass, have more...

Algorithms:
aes-cbc, fnv-1a, aes, base64, sha256, murmur3, xor

Win API:
NtQueryObject, NtCreateDebugObject, Getlastinputinfo, GetForegroundWindow, NtGlobalFlag, ShellExecuteExW, VirtualAlloc, NtMapViewOfSection, NtCreateSection, NtCreateThreadEx, have more...

Languages:
python, visual_basic, php, powershell, javascript

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AuraStealer, стиллер информации, связанный с русскоязычными разработчиками, появился в июле 2025 года и активно конкурирует с вредоносное ПО, таким как Rhadamantys и Vidar. Эта техническая угроза демонстрирует сложные возможности сбора данных из более чем 110 браузеров и 70 приложений, скрытно извлекая конфиденциальную информацию при использовании передовых методов уклонения, включая зашифрованные AES командные сообщения. Его методы развертывания используют социальную инженерию и process Injection, чтобы избежать обнаружения, ориентируясь на хранилища учетных данных и обходя многофакторную аутентификацию.
-----

AuraStealer - это недавно появившийся стиллер информации, атрибутирован с группой русскоязычных разработчиков, набирающий популярность в сфере киберпреступность с момента своего появления на хакерских форумах в июле 2025 года. Это вредоносное ПО было связано с многочисленными кампаниями и, как сообщается, напрямую конкурирует с существующими угрозами, такими как Rhadamantys и Vidar. Вредоносное ПО использует обширную инфраструктуру командования и контроля (C2), состоящую из 48 доменов, недавно перенесенную с .ДЕЛАЙТЕ покупки в доменах верхнего уровня .CFD (TLD), которые более удобны для отслеживания исследователями безопасности.

Вредоносное ПО обладает сложными возможностями, позволяющими ему собирать конфиденциальные данные из более чем 110 браузеров и 70 приложений, включая криптовалютные кошельки и токены многофакторной аутентификации (2FA). Сбор данных осуществляется скрытно; например, он извлекает файлы cookie из браузеров Chromium без завершения процессов, таким образом гарантируя, что файлы cookie остаются нетронутыми. Вредоносное ПО предназначено для уклонения от обнаружения с использованием нескольких сложных методов обфускации, включая обфускацию потока управления и Использование ключей на основе окружения для предотвращения выполнения в распознанных изолированных средах.

Технические аналитики подробно описали его функциональность, которая включает в себя использование шеллкода для расшифровки и извлечения данных из приложений, особенно ориентированных на Менеджеры паролей и другие хранилища учетных данных. Он использует интерфейсы командной строки, в частности, через PowerShell, чтобы разрешить действия пользователя, которые облегчают вектор атаки вредоносное ПО. Методы развертывания варьируются от вредоносных видеороликов TikTok, вводящих пользователей в заблуждение и заставляющих их выполнять вредоносные команды, до использования существующих законных процессов для незаметного внедрения.

Связь C2 шифруется с использованием AES-CBC, что добавляет уровень скрытности, и вся эксфильтрация данных направляется по протоколам HTTP (S), чтобы избежать обнаружения. Параметры конфигурации, включая хосты C2, также зашифрованы с помощью AES, что затрудняет защитникам перехват и анализ сообщений. AuraStealer известен своей способностью собирать данные из приложений путем внедрения кода в существующие процессы, используя широкий спектр методов обход защиты, чтобы избежать обнаружения как с помощью статических, так и динамических методов анализа.

В дополнение к краже стандартных учетные данные и токены сеанса из приложений, AuraStealer демонстрирует растущую способность обходить многофакторную аутентификацию, получая доступ к конфиденциальным данным из приложений 2FA. Кроме того, вредоносное ПО демонстрирует расширенные проверки, подтверждающие, что оно запущено в реальных пользовательских средах, а не в виртуализированных или изолированных условиях, что свидетельствует о его намерениях эффективно действовать против реальных целей.

Ландшафт угроз, окружающий AuraStealer, развивается, и его разработчики постоянно совершенствуют его. Этот стиллер информации представляет собой значительную и растущую угрозу, особенно по мере того, как его пользовательская база расширяется, а его разработка продолжает продвигаться вперед, что указывает на постоянное присутствие в экосистеме киберпреступников.

#ParsedReport #CompletenessHigh
03-03-2026

Forbidden Hyena attacks with new remote access trojan BlackReaperRAT

https://bi.zone/expertise/blog/forbidden-hyena-atakuet-s-novym-troyanom-udalennogo-dostupa-blackreaperrat/

Report completeness: High

Actors/Campaigns:
Forbidden_hyena (motivation: hacktivism, financially_motivated)

Threats:
Blackreaperrat
Blackout_locker
Garble_tool
Sliver_c2_tool
Viper
Powerview_tool
Powersploit_tool
Anydesk_tool
Shadow_copies_delete_technique
Putty_tool
Proxychains_tool
Netcat_tool
Junk_code_technique
Procmon_tool
Credential_dumping_technique
Vssadmin_tool

TTPs:
Tactics: 10
Technics: 0

IOCs:
File: 29
Command: 7
IP: 4
Path: 10
Url: 14
Registry: 4
Hash: 25
Domain: 2

Soft:
Windows registry, Unix, winlogon, Windows Defender, Linux, msexchange, outlook, telegram, firefox, onenote, have more...

Algorithms:
zip, aes-128, aes-256

Win API:
PsMapExec, CreateProcessA, DuplicateTokenEx, SetThreadToken, GetTickCount, IsDebuggerPresent

Win Services:
WebClient, SecurityHealthService, WinDefend, WdNisSvc, WdFilter, WdBoot, MsSecFlt, wscsvc, MsMpEng, ocssd, have more...

Languages:
powershell, golang, visual_basic

Platforms:
x86

Links:
have more...
https://github.com/The-Viper-One/PsMapExec
https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1
https://github.com/haad/proxychains

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Преступная хакерская группировка Forbidden Hyena проявила активность, внедрив новую Троянская программа для удаленного доступа BlackReaperRAT, наряду с обновленным вариантом программы-вымогателя Milkyway. BlackReaperRAT, поставляемый через файлы RAR, обменивается командами с каналом Телеграм и выполняет постоянные механизмы посредством изменений реестра и запланированных задач. Milkyway шифрует файлы с помощью AES-128, изменяет их расширения и использует передовые методы обхода, в то время как группа использует различные скрипты PowerShell и Bash, причем некоторые из них разработаны с использованием машинного обучения для улучшения запутывания.
-----

BI.ZONE Threat Intelligence обнаружила значительную активность со стороны Forbidden Hyena преступная хакерская группировка в конце 2025 - начале 2026 года, в результате чего была представлена новая Троянская программа для удаленного доступа (RAT) под названием BlackReaperRAT и модифицированная версия программы-вымогателя Blackout Locker, которая теперь переименована в Milkyway. BlackReaperRAT распространяется с помощью RAR-файлов, содержащих пакетный скрипт (1.bat), предназначенный для выполнения вредоносного скрипта VBS (1.vbs), который впоследствии загружает RAT и вводящий в заблуждение документ, чтобы отвлечь пользователей.

BlackReaperRAT реализован как запутанный скрипт VBS, который генерирует уникальный идентификатор BotID при выполнении, сохраняя его в каталоге данных пользовательского приложения. Надежно встроены механизмы закрепление; он использует изменения реестра для создания записей автозапуска, чтобы гарантировать, что он выполняется при запуске системы, и использует планировщик задач Windows для дополнительного закрепление, поскольку он регистрирует эти задачи с наивысшими привилегиями. RAT оснащен многогранной системой командования и контроля, которая взаимодействует по протоколу HTTPS с каналом Телеграм для получения команд и обратной отправки системной информации, включая имена пользователей и временные метки.

Как BlackReaperRAT, так и программа-вымогатель Milkyway используют сложные методы уклонения. Milkyway известен своими возможностями шифрования, применяя AES-128 к файлам и переименовывая их с отличительным знаком .расширение млечного пути. Этот вариант программы-вымогателя оптимизирует эффективность своей работы за счет рекурсивного сканирования томов хранилища в поисках файлов для шифрования и, как было замечено, отключает ключевые Служба Windows, чтобы предотвратить восстановление и противостоять обнаружению решениями безопасности.

Группа Forbidden Hyena использует набор передовых инструментов, включая различные скрипты PowerShell и Bash для проникновения и тактики постэксплуатации. Некоторые скрипты, по-видимому, разработаны или модифицированы с использованием методов машинного обучения, что усиливает маскировку от обнаружения. Известные скрипты включают в себя сценарии для извлечения конфиденциальных данных из файлов базы данных безопасности, установки дополнительных ПО для удаленного доступа, таких как AnyDesk для долгосрочного доступа, и создания новых учетных записей пользователей с правами администратора.

#technique

Hooked on Linux: Rootkit Taxonomy, Hooking Techniques and Tradecraft

https://www.elastic.co/security-labs/linux-rootkits-1-hooked-on-linux

#ParsedReport #CompletenessHigh
04-03-2026

RedAlert Trojan Campaign: Fake Emergency Alert App Spread via SMS Spoofing Israeli Home Front Command

https://www.cloudsek.com/blog/redalert-trojan-campaign-fake-emergency-alert-app-spread-via-sms-spoofing-israeli-home-front-command

Report completeness: High

Threats:
Redalert
Smishing_technique
Cloaking_technique

Victims:
Civilians, Government, Military

Industry:
Financial, Government, Military, Critical_infrastructure

Geo:
Israeli, Israel, Iranian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1406, T1407, T1409, T1412, T1430, T1444, T1446, T1475

IOCs:
File: 4
IP: 5
Domain: 1
Url: 5
Hash: 1

Soft:
Google Play, Android

Algorithms:
sha256, md5, base64

Functions:
getInstallerPackageName

Win API:
getPackageInfo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянская кампания RedAlert использует израильско-иранский конфликт, распространяя троянское приложение Home Front Command с помощью SMS-фишинг. Вредоносное ПО использует передовые технологии, такие как динамические перехваты прокси-серверов и многоэтапную цепочку заражения, чтобы обойти меры безопасности Android и сохранить функциональность без обнаружения. После установки он агрессивно собирает конфиденциальные пользовательские данные и может обходить двухфакторную аутентификацию, что вызывает серьезные стратегические опасения в условиях сохраняющейся напряженности.
-----

Троянская кампания RedAlert подчеркивает значительную киберугроза на фоне возросшей напряженности в израильско-иранском конфликте. Эта кампания использует актуальность оповещений о ракетных атаках в режиме реального времени, распространяя троянскую версию законного приложения Home Front Command с помощью SMS-фишинг (smishing). Жертв обманом заставляют загружать этот вредоносный APK-файл, который маскирует свою истинную функциональность за кажущимся аутентичным интерфейсом оповещения. Этот метод обходит Google Play Store, таким образом избегая типичных проверок безопасности.

Вредоносное ПО использует сложные методы для обеспечения того, чтобы его работа оставалась незамеченной. Используя динамические перехватчики прокси-серверов, он подделал сертификат подписи оригинального приложения от 2014 года, чтобы обойти проверки целостности Android и меры безопасности. Вредоносное ПО состоит из многоэтапной цепочки заражения: начальный загрузчик (основной APK-файл) скрывает вредоносную полезную нагрузку, используя отражение для обхода проверок на подделку; промежуточная полезная нагрузка извлекает более вредоносные компоненты; а основная полезная нагрузка, после выполнения, устанавливает соединение с подконтрольной злоумышленнику системой управления (C2) инфраструктура.

С точки зрения функциональности троянец идеально имитирует законное приложение, сохраняя внешний вид, в то время как он агрессивно запрашивает у жертв разрешения с высоким уровнем риска. Получив разрешение, он запускает процедуры сбора данных, активно собирая данные GPS, входящие SMS-сообщения и списки контактов. Эта информация передается обратно на серверы C2 с постоянными HTTP-запросами POST, обеспечивая постоянный поток разведывательных данных с зараженных устройств. Примечательно, что вредоносное ПО продемонстрировало способность обходить двухфакторную аутентификацию путем перехвата SMS-сообщений, тем самым создавая как стратегические, так и физические угрозы безопасности.

Во время продолжающегося конфликта эта кампания обладает уникальными уязвимостями, поскольку отслеживание местоположения в режиме реального времени может позволить противникам точно определять укрытия гражданских лиц, отслеживать перемещения и выявлять потенциальные важные цели. Этот сбор данных служит не только военным целям, но и ведет психологическую войну, потенциально манипулируя SMS-сообщениями с целью создания беспорядков среди гражданского населения.

Смягчение угрозы, исходящей от этого вредоносное ПО, требует комплексных действий. Немедленные меры включают в себя изоляцию устройств, подвергшихся компрометация, от сетей, отмену административных привилегий и выполнение заводских настроек для устранения вредоносное ПО. В целях долгосрочной профилактики организациям настоятельно рекомендуется внедрять решения для управления мобильными устройствами (MDM), которые ограничивают установку приложений в Google Play Store, наряду со строгими проверками приложений, запрашивающих чрезмерные разрешения. Информирование персонала о рисках, связанных с кампаниями smishing в военное время, имеет жизненно важное значение, особенно подчеркивая, что законные правительственные приложения никогда не будут запрашивать доступ к конфиденциальным персональным данным, таким как SMS или контакты.

#ParsedReport #CompletenessLow
03-03-2026

Malicious Packagist Packages Disguised as Laravel Utilities Deploy Encrypted RAT

https://socket.dev/blog/malicious-packagist-packages-disguised-as-laravel-utilities

Report completeness: Low

Actors/Campaigns:
Nhattuanbl

Victims:
Laravel applications, Open source software ecosystem

TTPs:
Tactics: 4
Technics: 7

IOCs:
Domain: 2
File: 3
Hash: 1

Soft:
Laravel, Outlook, Unix, Linux, Windows registry, macOS

Algorithms:
aes-128-ctr, base64, sha256

Functions:
BsYhQ, TB0sT, register, class_exists, stream_socket_client, imagegrabscreen

Languages:
php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В репозитории Packagist были обнаружены вредоносные пакеты, имитирующие утилиты Laravel, распространяющие зашифрованную Троянская программа для удаленного доступа (RAT) злоумышленник nhattuanbl. RAT подключается к серверу управление, облегчая разведка системы и удаленный доступ, оставаясь при этом незаметным. Он использует функциональность Composer для выполнения своей полезной нагрузки без взаимодействия с пользователем, используя зависимости для маскировки своей установки, и представляет постоянную угрозу для различных операционных систем, обладая возможностями для эксфильтрации конфиденциальных данных.
-----

Вредоносные пакеты, имитирующие утилиты Laravel, были идентифицированы как распространяющие зашифрованную Троянская программа удаленного доступа (RAT) через репозиторий Packagist. Злоумышленник nhattuanbl, связанный с электронным письмом nhattuanbl@gmail.com , создал по меньшей мере три пакета: nhattuanbl/lara-helper и nhattuanbl/simple-queue, оба из которых включают идентичную полезную нагрузку RAT в src/helper.php файл. Пакет nhattuanbl/lara-swagger, хотя и лишен вредоносного кода, содержит зависимость, которая вызывает установку RAT всякий раз, когда он добавляется в проект, что делает его переносчиком вредоносное ПО.

RAT включает в себя функции, которые позволяют ему подключаться к серверу управление (C2), расположенному по адресу helper.leuleu.net: 2096. После выполнения RAT инициирует разведка системы и отправляет эти данные обратно в C2. Он работает в фоновом режиме, сохраняя скрытность, ожидая команд от оператора, который получает полный удаленный доступ к узлу компрометация.

В процессе установки используются функциональные возможности Composer. В "lara-helper" зарегистрирован поставщик услуг Laravel, который выполняет полезную нагрузку во время загрузки приложения. В "простой очереди" полезная нагрузка запускается сразу после загрузки пакета, запускается обычными функциями автозагрузки. Это позволяет RAT работать без какого-либо прямого взаимодействия с пользователем.

Связь C2 использует необработанный TCP, используя PHP stream_socket_client() с механизмами повторных попыток каждые 15 секунд в случае сбоя. RAT извлекает уникальный идентификатор компьютера и может выполнять различные команды, отправленные в формате JSON из C2. Поддерживаемые команды включают выполнение команд shell или PowerShell, захват скриншотов и чтение/запись файлов в системе компрометация. RAT устойчив к общим ограничениям безопасности PHP, проверяя доступные методы выполнения команд на основе настроек disable_functions в PHP.

Одним из примечательных аспектов является зависимость, созданная "lara-swagger", которая эффективно маскирует установку RAT, подключая "lara-helper` без предупреждения. Эта стратегия позволяет избежать проверки, сосредоточенной исключительно на непосредственно устанавливаемом пакете.

Угроза, исходящая от этих пакетов, распространяется на различные операционные системы, включая Windows, macOS и Linux. После установки любое приложение Laravel, использующее пакеты компрометация, невольно предоставляет злоумышленник постоянный доступ с возможностью беспрепятственной эксфильтрации конфиденциальных данных, таких как учетные данные базы данных и ключи API. Хотя сервер C2 не отвечал на запросы на момент составления отчета, постоянный характер RAT означает, что он остается угрозой, постоянно пытаясь восстановить контакт с потенциальными альтернативными адресами C2. Атака согласуется с несколькими методами, каталогизированными в фреймворк MITRE ATT&CK, подчеркивая риски, связанные с уязвимостями supply chain программного обеспечения.

#ParsedReport #CompletenessLow
04-03-2026

Hacktivist campaigns increase as United States, Iran, and Israel conflict intensifies

https://www.sophos.com/en-us/blog/hacktivist-campaigns-increase-as-united-states-iran-and-israel-conflict-intensifies

Report completeness: Low

Actors/Campaigns:
Handala-hacking-team (motivation: hacktivism)
Handala (motivation: hacktivism)
Cyber_toufan (motivation: hacktivism)
Cyb3r_drag0nz (motivation: hacktivism)

Threats:
Cobalt_mystique
Bqtlock
Password_spray_technique

Victims:
Israeli government, Israeli military, Israeli critical infrastructure, Israeli organizations, United states organizations, Gulf cooperation council states organizations, Media outlets, Critical infrastructure organizations, Iranian organizations, Iranian citizens, have more...

Industry:
Petroleum, Critical_infrastructure, Military, Government

Geo:
Middle east, Iran, Israeli, Israel, Iranian

ChatGPT TTPs:
do not use without manual check
T1068, T1078, T1110.003, T1190, T1486, T1491, T1491.001, T1498, T1499, T1565.003, have more...

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
После военных операций США и Израиля против иранских объектов 28 февраля 2026 года произошел всплеск киберактивности со стороны иранских групп хактивистов, особенно через Телеграм и X. Среди них выделяется команда Handala Hack, связанная с COBALT MYSTIQUE, которая расширила свои коммуникации и угрожает израильской инфраструктуре. Другие группировки, включая APTIran и BaqiyatLock, поощряют нападения на израильские объекты, подчеркивая рост совместных усилий по применению тактики низкой сложности на фоне сохраняющейся региональной напряженности.
-----

После военных операций против иранских объектов 28 февраля 2026 года наблюдается рост активности иранских хактивистов. Проиранские хактивисты в основном осуществляют дефейс веб-сайтов, DDoS-атаки и doxxing, а не сложные атаки. Команда Handala Hack, связанная с группой COBALT MYSTIQUE, активизировала свою деятельность, распространяя угрозы и заявляя об атаках на израильскую инфраструктуру. Они создали портал "RedWanted", на котором перечислялись цели, поддерживающие Израиль. Аптиран поощряет проиранских хакеров к проведению кибератак, продвигая предполагаемые утечки информации об израильской инфраструктуре в Телеграм. Другие группы, такие как Cyber Toufan и Cyber Support Front, используют дезинформацию и тактику низкого уровня. Группа вымогателей BaqiyatLock поощряет хакерские атаки на израильские объекты, что указывает на сотрудничество между иранскими группировками. Произраильские группировки, такие как Troll Hacker Team, противодействуют этой деятельности. Обостряющаяся ситуация увеличивает риски для организаций США по мере роста региональной напряженности. Организациям в США и на Ближнем Востоке рекомендуется усилить меры безопасности против фишинг, кражи учетных данных и уделять приоритетное внимание исправлению известных уязвимостей. Рекомендуются базовые методы обеспечения Кибербезопасность и обзоры планов обеспечения непрерывности бизнеса на предмет угроз со стороны программ-вымогателей.