#ParsedReport #CompletenessMedium
10-03-2026

FortiGate Edge Intrusions \| Stolen Service Accounts Lead to Rogue Workstations and Deep AD Compromise

https://www.sentinelone.com/blog/fortigate-edge-intrusions/

Report completeness: Medium

Threats:
Password_spray_technique
Meshagent_tool
Dll_sideloading_technique
Shadow_copies_delete_technique
Credential_harvesting_technique
Impacket_tool

Victims:
Enterprises using fortinet products, Organizations with active directory

Geo:
Ukraine, Kazakhstan

CVEs:
CVE-2026-24858 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortianalyzer (le7.0.15, le7.2.11, <7.4.10, <7.6.6)
- fortinet fortimanager (le7.0.15, le7.2.11, <7.4.10, <7.6.6)
- fortinet fortiproxy (le7.0.22, le7.2.15, le7.4.12, le7.6.4)
- fortinet fortiweb (le7.4.11, le7.6.6, le8.0.3)
- fortinet fortios (le7.0.18, le7.2.12, <7.4.11, <7.6.6)
have more...
CVE-2025-59719 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (le7.4.9, le7.6.4, 8.0.0)

CVE-2025-59718 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.22, <7.2.15, <7.4.11, <7.6.4)
- fortinet fortiswitchmanager (<7.0.6, <7.2.7)
- fortinet fortios (<7.0.18, <7.2.12, <7.4.9, <7.6.4)


ChatGPT TTPs:
do not use without manual check
T1003.002, T1003.003, T1021.002, T1041, T1046, T1053.005, T1059.001, T1070.004, T1071.001, T1078, have more...

IOCs:
Url: 2
Command: 1
IP: 4
Path: 1
Domain: 3
File: 3

Soft:
Active Directory, SoftPerfect Network Scanner, SQL Server Management Studio, Pulseway, Windows Registry, PsExec

Algorithms:
zip

Functions:
Remove-Item

Languages:
java, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Fortinet сообщила о высокосерьезных уязвимостях (CVE-2025-59718, CVE-2025-59719 и CVE-2026-24858) в устройствах FortiGate, которые позволяют злоумышленникам несанкционированный доступ к конфигурациям сети через эксплуатируемые механизмы единого входа (Single Sign-On, SSO). Злоумышленники использовали эти уязвимости для подключения подделанных рабочих станций к Active Directory, занимаясь получением учетных данных и развёртыванием инструментов удалённого мониторинга и управления (Remote Monitoring and Management, RMM) для поддержания доступа. Они также запускали вредоносное ПО для связи с серверами командования и управления, что привело к эксфильтрации данных конфиденциальных файлов, таких как NTDS.dit.
-----

Fortinet сообщила о высокосерьезных уязвимостях в устройствах FortiGate, CVE-2025-59718 и CVE-2025-59719, позволяющих несанкционированный доступ к конфиденциальным сетевым конфигурациям через дефектные механизмы Единого Входа (Single Sign-On, SSO). Для эксплуатации требуется отправка сгенерированных токенов SSO для административного доступа. CVE-2026-24858 предоставляет несанкционированный доступ с включенным FortiCloud SSO. Злоумышленники использовали эти уязвимости для аутентификации в сети и использования учетных записей служб для интеграции недобросовестных рабочих станций в Active Directory. Они использовали атрибут mS-DS-MachineAccountQuota, позволяя стандартные присоединения рабочих станций. Оповещения безопасности были вызваны сканированием сети и многочисленными неудачными попытками входа из Украины и Казахстана, что указывает на попытки подбора паролей. Злоумышленники развернули инструменты Удаленного Мониторинга и Удаленного Управления (Remote Monitoring and Management, RMM), а именно Pulseway и MeshAgent, из URL-адресов облачного хранилища, контролируемых злоумышленниками, настроенных для постоянства через запланированные задачи. Они изменили параметры реестра Windows, чтобы скрыть эти инструменты из списка "Программы и компоненты". Было загружено вредоносное ПО, которое установило связь с удаленными серверами командования и управления (C2), позволяя злоумышленникам создавать резервные копии снимков тени (Volume Shadow Copy) контроллеров домена и извлекать конфиденциальные файлы, включая NTDS.dit. Это включало сжатие файлов и подключение к внешним IP-инфраструктуре облака, что указывает на попытки эксфиляции данных. Эффективный логгинг и мониторинг активности FortiGate имеют решающее значение для обнаружения несанкционированного доступа и трафика вредоносного ПО, с рекомендованными системами SIEM для отслеживания аномальных поведения.

#ParsedReport #CompletenessLow
10-03-2026

NetSupport RAT: How Legitimate Tools Can Be as Damaging as Malware

https://www.darktrace.com/blog/netsupport-rat-how-legitimate-tools-can-be-as-damaging-as-malware

Report completeness: Low

Threats:
Netsupportmanager_rat
Clickfix_technique
Seo_poisoning_technique
Rhadamanthys

Victims:
Information technology, Government, Financial services, Information and communication, Manufacturing, Arts entertainment and recreation, Technology, Energy, Education

Industry:
Education, Energy, Entertainment, Government

Geo:
Middle east, Asia, Africa, Americas, Emea

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1059.001, T1071.001, T1105, T1189, T1204, T1219, T1566, T1583.001, have more...

IOCs:
Domain: 6
IP: 11
File: 1

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, windows: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NetSupport Manager, инструмент удаленного доступа для ИТ, эксплуатируется угрозами в качестве Trojan Remote Access (RAT), что облегчает несанкционированный доступ с помощью тактик социальной инженерии, таких как метод ClickFix. Злоумышленники устанавливают его в нестандартные директории после эксплуатации, что позволяет осуществлять мониторинг, эксфильтрацию данных и связь с серверами командования и управления. Использование различных векторов атаки, таких как фишинг и загрузки с помощью драйва, указывает на растущую тенденцию в нескольких секторах, подчеркивая проблемы в обнаружении вредоносной активности, спрятанной под легитимным использованием программного обеспечения.
-----

NetSupport Manager, законный инструмент удаленного доступа IT, все чаще используется злоумышленниками, что привело к его классификации как Троян удаленного доступа (RAT). Неправомерное использование этого инструмента стало заметным вектором для несанкционированного доступа, при этом атакующие используют различные методы социальной инженерии, такие как метод ClickFix, чтобы заманить жертв к выполнению вредоносных команд PowerShell под предлогом решения вымышленных проблем или поддельной проверки CAPTCHA. Дополнительные пути атаки включают фишинговые электронные письма, поддельные обновления программного обеспечения, вредоносные веб-сайты, SEO-поisoning, malvertising и загрузки с помощью drive-by, все они нацелены на перенаправление пользователей на скомпрометированные страницы, где их обманывают, чтобы они выполнили эти вредоносные скрипты.

После успешного выполнения атаки злоумышленник устанавливает NetSupport Manager в нестандартные директории, что позволяет ему получить удаленный доступ к зараженной машине. Этот доступ позволяет мониторить действия пользователей, выполнять эксфильтрацию данных, общаться с серверами управления и контроля (C2) и поддерживать постоянное присутствие в скомпрометированной сети. Особенно стоит отметить, что было замечено поведение после эксплуатации, когда злоумышленники используют RAT для загрузки дополнительных вредоносных программ.

Последние отчеты о кибердеятельности указывают на злоупотребление NetSupport Manager в различных секторах по всему миру, с значительными случаями в таких регионах, как Европа, Ближний Восток, Африка и Северная Америка. Разнообразие пострадавших отраслей — от информационных технологий, государственного сектора, финансовых услуг до образования — подчеркивает доступность и злонамеренный потенциал этого инструмента для киберпреступников. Нацеливание на такие сектора, как образование, дополнительно указывает на то, что злоумышленники могут воспользоваться доверием, связанным с широко используемым программным обеспечением в этих средах.

Проблемы с обнаружением возникают потому, что традиционные базирующиеся на сигнатурах защиты могут упустить эволюционирующие индикаторы компрометации (IoCs), связанные с NetSupport RAT. Хотя аномальная система обнаружения от Darktrace предоставляет значительные сведения, она подчеркивает важность анализа легитимных инструментов удаленного управления для выявления любых злонамеренных действий. Идентификация C2 коммуникаций, замаскированных под легитимный трафик NetSupport Manager, иллюстрирует сложность этих атак, что подчеркивает необходимость постоянного мониторинга на предмет необычного использования программного обеспечения для значительного снижения риска несанкционированного доступа.

В заключение, хотя такие инструменты, как NetSupport Manager, выполняют законные административные функции, они стали инструментами для злонамеренной эксплуатации. Эта двуликость требует бдительности от команд безопасности, чтобы эффективно различать доброкачественные и злонамеренные действия, особенно в эпоху возросшей зависимости от удаленной работы.

#ParsedReport #CompletenessLow
10-03-2026

Behind the console: Active phishing campaign targeting AWS console credentials

https://securitylabs.datadoghq.com/articles/behind-the-console-aws-aitm-phishing-campaign/

Report completeness: Low

Threats:
Aitm_technique
Credential_harvesting_technique
Typosquatting_technique

Victims:
Aws users

Geo:
Emea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1078, T1090.003, T1204.001, T1557.003, T1566.002, T1583.001, T1589.003, T1606.002

IOCs:
Domain: 35
IP: 5
Url: 5
File: 3

Soft:
twitter

Algorithms:
sha256

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние расследования выявили сложную фишинг-кампанию AiTM, нацеленную на учетные данные AWS Console с использованием фишинг-кита с прокси в реальном времени. Операция использует типосквотированные домены и многоступенчатые редиректы, критически захватывая учетные данные пользователей и потенциально коды двуфакторной аутентификации. Активная инфраструктура, связанная с Mullvad VPN, указывает на быстрое использование скомпрометированных аккаунтов, подчеркивая необходимость бдительности против таких продвинутых техник сбора учетных данных.
-----

Недавнее расследование в области кибербезопасности, проведенное Datadog Security Research, обнаружило активную кампанию фишинга с атакой «средним человеком» (AiTM), нацеленную на получение учетных данных AWS Console. Эта сложная кампания использует комплект для фишинга, который проксирует запросы аутентификации к законному конечному пункту входа в AWS в режиме реального времени. В результате, когда жертвы вводят свои учетные данные, комплект их проверяет и может перехватывать одноразовые пароли (OTP) перед перенаправлением пользователей. Примечательно, что потенциальный доступ к учетным записям консоли AWS после компрометации был идентифицирован в течение 20 минут после ввода учетных данных, при этом действия были отслежены до инфраструктуры, связанной с Mullvad VPN.

Операция основана на доменах с опечатками, которые имитируют легитимные наименования AWS, что повышает ее доверие и эффективность. Аналитики отметили наличие двух активных кластеров фишинговой инфраструктуры, а также третьего домена с общими метаданными регистратора. В одном зафиксированном случае злоумышленник получил доступ к скомпрометированной учетной записи AWS вскоре после проверки учетных данных пользователя.

Фишинговая кампания использует многоступенчатые редирекции, чтобы направить жертв на фишинговую страницу, исходя из электронного письма, оформленного так, чтобы напоминать AWS Organization Security Alert. Фишинговый URL использовал AWS Simple Email Service (SES) для отслеживания кликов, что усиливало способность злоумышленника оценивать успех своей кампании. Последовательность URL включала переход через несколько шагов редиректа перед тем, как достичь страницы сбора учетных данных, которая была высококачественной копией легитимной AWS Management Console.

Фишинг-кит действует как прозрачный обратный прокси, эффективно захватывая учетные данные пользователей в реальном времени и пересылая их на AWS. Он также потенциально включает возможности захвата кодов двухфакторной аутентификации. В дополнение к основной странице сбора учетных данных, фишинговый домен хостит посадочные страницы продуктов, которые еще больше имитируют законные предложения AWS, тем самым добавляя еще один уровень обмана для потенциальных жертв.

Исследователи по безопасности также обнаружили административную панель, связанную с phishing kit, доступную на TCP порту 3000, что указывает на то, что несколько участников могут использовать этот общий инструмент. Подчеркнута быстрая активность после компрометации, что предполагает, что злоумышленники могут быстро использовать украденные учетные данные через идентифицированные узлы выхода VPN.

В ответ на эту продолжающуюся угрозу, организациям следует приоритизировать мониторинг необычных событий аутентификации AWS CloudTrail, аномалий в многофакторной аутентификации и признаков повышения привилегий, которые критичны для обнаружения и смягчения последствий успешного фишинга. Последствия этой кампании подчеркивают необходимость надежных мер киберзащиты против все более продвинутых техник фишинга, нацеленных на учетные данные облачных сервисов.

#ParsedReport #CompletenessHigh
10-03-2026

FakeGit: LuaJIT malware distributed via GitHub at scale

https://www.derp.ca/research/fakegit-luajit-github-campaign/

Report completeness: High

Threats:
Fakegit_tool
Dead_drop_technique
Stealc
Process_injection_technique
Etherhiding_technique
Ocrfix_technique
Luca_stealer
Aurora_stealer
Andromeda
Wallstealer
Lumma_stealer
Spear-phishing_technique
Process_hollowing_technique

Victims:
Saas users, Gamers, Software developers, Adult content seekers, Crypto traders

Industry:
Financial, Entertainment

Geo:
Vietnamese, Pol

CVEs:
CVE-2025-0411 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- netapp active_iq_unified_manager (-)


TTPs:
Tactics: 1
Technics: 19

IOCs:
File: 39
Hash: 17
Coin: 7
IP: 50

Soft:
Chrome, Dropbox, Slack, Zoom, Roblox, Fortnite, Valorant, Node.js, Ubuntu, Pydantic, have more...

Wallets:
mainnet

Algorithms:
xor, rc4, base64, aes, aes-256, aes-ecb, zip, aes-256-ecb, sha256

Functions:
GetConsoleWindow, getDomain, updateDomain, destroyContract, getData, updateData

Win API:
Polygon, GetDC, CreateCompatibleDC, CreateDIBSection, SelectObject, BitBlt, VirtualAlloc, GetComputerNameW, IsWow64Process, VerifyVersionInfoW, have more...

Win Services:
WebClient

Languages:
php, powershell, lua, python

Platforms:
x64, intel

Links:
https://github.com/kirkderp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания FakeGit, возглавляемая угрожающим актером, говорящим на вьетнамском языке, распространяет вредоносное ПО на основе LuaJIT через обманчивые репозитории GitHub с марта 2025 года. Вредоносное ПО, известное как StealC, извлекает информацию о C2 сервере из контракта Binance Smart Chain и использует продвинутые процессы декодирования для извлечения конфиденциальных пользовательских данных из браузеров, таких как Chrome и Edge. Ключевые техники включают инъекцию процессов и загрузку DLL, в то время как кампания адаптируется, чтобы избежать обнаружения, и использует как легитимные, так и скомпрометированные аккаунты GitHub для распространения.
-----

Кампания FakeGit, организованная говорящим на вьетнамском языке злоумышленником, с марта 2025 года распространяет вредоносное ПО на основе LuaJIT через GitHub, используя различные обманчивые репозитории, которые имитируют взломанные расширения браузера для популярных программных сервисов, игровых читов, утилит для разработчиков и контента для взрослых. Вредоносное ПО упаковано в ZIP-файлы, более 600 уникальных злонамеренных архивов были выявлены в более чем 47 аккаунтах GitHub. Кампания, продолжающаяся по состоянию на март 2026 года, развивалась через несколько поколений запутывания и методов доставки.

Загрузчик вредоносного ПО получает данные своего сервера управления и контроля (C2) через функцию получения от контракта Binance Smart Chain, который динамически обновляется без изменения развернутого двоичного кода. Эта техника позволяет поддерживать постоянное взаимодействие с инфраструктурой вредоносного ПО, сохраняя операционную анонимность. При выполнении вредоносное ПО использует сложный процесс декодирования, включающий несколько слоев (hex кодирование, XOR, base64url, AES-ECB), чтобы выявить финальную полезную нагрузку, известную как StealC, которая функционирует как крадитель информации.

Инфраструктура кампании основана на сочетании специализированных и скомпрометированных аккаунтов GitHub, некоторые из которых выглядят законными, но содержат единственные репозитории, распространяющие вредоносное ПО. Это атрибуция подтверждается наличием автоматизационных скриптов Node.js, написанных на вьетнамском языке, которые предполагают централизованную координацию. Среди заметных техник, используемых в вредоносном ПО, есть инъекция процессов и загрузка DLL, использующие общие структуры, такие как IMAGE_NT_HEADERS и VirtualAlloc, чтобы имитировать законное поведение во время выполнения вредоносных задач.

Замечательные особенности загрузки StealC включают ее способность извлекать конфиденциальные данные из браузеров, таких как Chrome, Brave и Edge, эффективно обходя современные методы шифрования. Это вредоносное ПО нацелено на хранилище учетных данных, куки и различные системные настройки, накапливая широкий спектр конфиденциальной информации пользователей. Экстракция этих данных происходит через JSON POST-запросы к назначенным конечным точкам PHP. Идентифицированная архитектура C2 укрепляется за счет использования услуг bulletproof hosting, многие из связанных IP-адресов принадлежат одному ASN (номеру автономной системы), что еще больше усложняет усилия по ликвидации.

Кампания постоянно адаптировалась, чтобы избежать обнаружения, с заметным снижением подписей вредоносного ПО с течением времени и значительным увеличением объема распространения, что иллюстрирует сдвиг к более усовершенствованному оперативному подходу. Эти тактики соответствуют нескольким методам MITRE ATT&CK, особенно в отношении фишинга, пользовательского выполнения и стратегий обфускации. В целом, кампания FakeGit олицетворяет собой сложную угрозу, демонстрируя как продвинутые методы распространения, так и высокоорганизованную оперативную структуру.

#technique

Static Kitten APT Adversary Simulation

https://github.com/S3N4T0R-0X0/APTs-Adversary-Simulation/tree/main/Iranian%20APT/Static%20Kitten

#ParsedReport #CompletenessHigh
11-03-2026

Sednit reloaded: Back in the trenches

https://www.welivesecurity.com/en/eset-research/sednit-reloaded-back-trenches/

Report completeness: High

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)

Threats:
Slimagent_tool
Beardshell_tool
Covenant_c2_tool
Xagent
Xtunnel
Usbstealer
Graphite
Grunt
C2bridge_tool
Spear-phishing_technique
Empire_loader

Victims:
Ukrainian military, Government sector, Media sector, Parliament

Industry:
Military

Geo:
Ukrainian, Russia, Russian, German, French, Ukraine, Russian federation

CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)


TTPs:
Tactics: 8
Technics: 19

IOCs:
File: 5
Hash: 4

Soft:
Linux, Icedrive, Component Object Model

Algorithms:
exhibit, sha1

Languages:
powershell

Links:
https://github.com/cobbr/Covenant
https://github.com/cobbr/Covenant/blob/5decc3ccfab04e6e881ed00c9de649740dac8ad1/Covenant/Data/Grunt/GruntBridge/GruntBridgeStager.cs#L128
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Sednit, также известный как APT28 или Fancy Bear, вновь появился с передовыми наборами инструментов, включая BeardShell и Covenant, предназначенных в первую очередь для украинских военнослужащих. BeardShell, использующий сложные методы обфускации, выполняет команды PowerShell через Icedrive для C&C, в то время как SlimAgent, кейлоггер, созданный на основе исторического Xagent backdoor, Captures нажатия клавиш и Данные из буфера обмена. Covenant функционирует как постэксплуатационный фреймворк с улучшенными облачными протоколами связи, демонстрируя адаптацию Sednit's для поддержания операционной эффективности в условиях растущей геополитической напряженности.
-----

Sednit, также известный как APT28 или Fancy Bear, добился заметного успеха благодаря сложному инструментарию, включающему двойные имплантаты, BeardShell и Covenant, предназначенному в первую очередь для украинских военнослужащих. Возобновленные операции демонстрируют тесную связь с прошлыми методами и кодовыми базами группы, особенно подчеркивая возрождение их передовой команды по имплантации с апреля 2024 года.

BeardShell — это современный имплантат, способный выполнять команды PowerShell в рамках .NET фреймворка и использующий Icedrive — законного поставщика облачных хранилищ - для управления (C&C). Его дизайн включает в себя сложные методы запутывания, включая уникальную стратегию непрозрачных предикатов для процедуры расшифровки токенов, которая препятствует статическому анализу. Примечательно, что внедрение частного API Icedrive демонстрирует гибкое реагирование разработчиков на сбои в их канале связи. Способность Sednit's быстро адаптировать и улучшать BeardShell нашла отражение в его постоянном использовании до 2025 и 2026 годов.

SlimAgent, еще один важный инструмент, связанный с возрождением Sednit's, - это кейлоггер, код которого заимствован из Xagent, The group's исторического бэкдора. Он эффективно регистрирует нажатия клавиш, делает снимки экрана и извлекает Данные из буфера обмена, подтверждая свою роль в шпионских операциях. Данные свидетельствуют о том, что код SlimAgent имеет глубокое сходство с образцами, выявленными еще в 2018 году, что подтверждает длительные и последовательные усилия по разработке.

Covenant служит усовершенствованным фреймворком для постэксплуатации, который претерпел различные модификации для повышения его долгосрочных эксплуатационных возможностей. Разработчики Sednit пересмотрели свои коммуникационные протоколы, чтобы включить облачные инфраструктуры, обеспечивающие устойчивый доступ во всех развертываниях. Недавние изменения включают детерминированную генерацию имени имплантата и измененный процесс выполнения, чтобы свести к минимуму риски обнаружения.

На протяжении всей этой деятельности очевидно, что команда продвинутых разработчиков Sednit's не только активна, но и усовершенствовала свои тайные операции, чтобы поддерживать устойчивость к контрмерам. Как BeardShell, так и Covenant используют различные Облачные сервисы, позволяя Sednit быстро восстанавливать и поддерживать проникновение в случае компрометации одного канала. Эта стратегия двойного внедрения указывает на возврат к использованию более сложного вредоносного ПО после фазы, в которой преобладали более простые операции, основанные на фишинге, вероятно, вызванные усилением геополитической напряженности после вторжения России в Украину.

Непрерывность и эволюция инструментов Sednit для разработки вредоносного ПО иллюстрируют постоянные возможности и приверженность группы шпионажу, в то время как артефакты общего кода и стратегии разработки повторяют их предыдущие методологии, усиливая опасения по поводу меняющегося ландшафта угроз группы.

#ParsedReport #CompletenessLow
10-03-2026

5 Malicious Rust Crates Posed as Time Utilities to Exfiltrate .env Files

https://socket.dev/blog/5-malicious-rust-crates-posed-as-time-utilities-to-exfiltrate-env-files

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique

Victims:
Software supply chain, Developers

TTPs:
Tactics: 3
Technics: 6

IOCs:
Domain: 1
Email: 2
Url: 3

Soft:
Outlook, curl

Functions:
check_params

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В экосистеме программирования Rust была выявлена атака на supply chain, включающая пять вредоносных пакетов, предназначенных для скрытой эксфильтрации данных, наиболее значимым из которых является chrono_anchor crate. Он использует ошибку в коде проверки для утечки конфиденциальной информации из файлов .env через HTTP POST-запросы в похожие домены. Кроме того, dnp3times crate использует методы typosquatting, чтобы ввести пользователей в заблуждение при установке, помогая злоумышленнику интегрироваться в экосистему.
-----

Недавний анализ, проведенный исследовательской группой Socket по исследованию угроз, выявил атаку по системе supply chain в экосистеме программирования Rust, которая включала распространение пяти вредоносных пакетов: chrono_anchor, dnp3times, time_calibrator, time_calibrators и time-sync. Четыре из этих упаковок были быстро извлечены из ящиков.ио после их открытия. Основное вредоносное поведение было обнаружено в ящике chrono_anchor, который был помечен для скрытой эксфильтрации данных. Этот ящик содержит код, который создает имена хостов из константы и использует ложный HTTPS-запрос к законному time API. Впоследствии он пытается отфильтровать данные через HTTP POST—запрос к домену-двойнику, одновременно раскрывая конфиденциальную информацию из файлов .env - общего хранилища конфиденциальных ключей API и секретов конфигурации.

Механизм использования основан на ошибке в коде проверки AnchorParams, когда безусловный триггер приводит к утечке секретной информации всякий раз, когда параметры проверяются, в том числе во время выполнения тестов. Целью являются все файлы, на которые ссылается предопределенная переменная ENV_FILE_PATH, как правило, env-файлы, и атака выполняется в фоновом режиме, что затрудняет обнаружение.

Другой crate, dnp3times, использует тот же метод эксфильтрации, но выдает себя за вариант законного пакета dnp3time, используя typosquatting для увеличения вероятности случайной установки. Стратегия злоумышленника, заключающаяся в принятии узнаваемых соглашений об именовании, помогает легко интегрировать вредоносные ящики в экосистему. Другие пакеты в этом кластере имитируют безопасные утилиты калибровки, еще больше скрывая их вредоносную активность при случайном просмотре.

У недолговечных ящиков, опубликованных пользователем "dictorudin", было низкое количество загрузок и активность последних обновлений, что указывает на то, что они были частью временной угрозы, а не стабильного сопровождающего. Это согласуется с поведением, типичным для атак supply chain, которые направлены на использование уязвимостей в зависимостях библиотек для доступа к конфиденциальным учетным данным. Угроза, исходящая от этих env-файлов, значительна, поскольку успешная эксфильтрация данных может обеспечить доступ к многочисленным конфиденциальным ресурсам, начиная от Облачных сервисов и заканчивая внутренними системами.

Этот инцидент отражает несколько тактик MITRE ATT&CK, в частности, направленных на Компрометацию цепочки поставок и незащищенные учетные данные, подчеркивая настоятельную необходимость бдительности в экосистеме Rust и постоянного контроля сторонних библиотек.

#ParsedReport #CompletenessLow
11-03-2026

Kernel in the Crosshairs: The BlackSanta Threat Campaign Targeting Recruitment Workflows

https://www.aryaka.com/blog/kernel-in-the-crosshairs-blacksanta-edr-killer-recruitment-workflows/

Report completeness: Low

Threats:
Blacksanta_tool
Edr-killer
Process_hollowing_technique
Credential_harvesting_technique
Byovd_technique
Lolbin_technique
Steganography_technique

Victims:
Recruitment workflows, Human resources

Industry:
Financial, Education

TTPs:
Tactics: 4
Technics: 0

Soft:
Microsoft Defender

Languages:
powershell