#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Earth Lusca, связанная с Китаем APT-группировка, действующая с 2019 года, фокусируется на кибершпионаже в таких секторах, как правительство и телекоммуникации, а также нацелена на криптовалютные платформы для получения финансовой выгоды. Его расширяющийся арсенал вредоносного ПО включает KTLVdoor, мультиплатформенный бэкдор в Go с расширенной защитой от обфускации, который позволяет удаленно выполнять команды как в системах Windows, так и в Linux, и использует установленное вредоносное ПО, такое как ShadowPad и Cobalt Strike. Группа использует сложные методы управления с ротацией облачных серверов, используя методы фреймворка MITRE ATT&CK для постоянного доступа и устойчивого сбора разведывательной информации.
-----

Earth Lusca, также известная как FishMonger, представляет собой связанную с Китаем APT-группировку, которая действует с 2019 года. Группа в первую очередь занимается кибершпионажем, нацеленным на различные секторы, включая правительство, СМИ, телекоммуникации, научные круги и религиозные организации, а также проводит финансово мотивированные атаки на криптовалютные платформы. Его деятельность отражает значительную зависимость от известных семейств вредоносного ПО и передовых технологий, часто связанных с другими группами, такими как APT41 и Winnti Group, хотя Earth Lusca, по-видимому, действует независимо.

Недавние действия Earth Lusca свидетельствуют об эволюции ее арсенала вредоносного ПО, особенно с внедрением KTLVdoor. Этот мультиплатформенный бэкдор, написанный на Go, использует передовые методы запутывания и может маскироваться под законные системные утилиты, такие как sshd и java. Бэкдор предоставляет злоумышленникам широкие возможности, включая удаленное выполнение команд, сканирование портов, манипулирование файлами и мониторинг системы как в системах Windows, так и в Linux. Оперативная деятельность группы по-прежнему сосредоточена на скрытности и закреплении, что имеет решающее значение для ее долгосрочных целей шпионажа.

Несмотря на интеграцию новых инструментов, Earth Lusca продолжает использовать набор установленных вредоносных ПО, таких как ShadowPad, Winnti, Spyder и Cobalt Strike, для поддержания доступа и эксфильтрации данных. Эти инструменты являются модульными и расширяют возможности злоумышленников выполнять удаленные команды, проводить разведку и доставлять дополнительную полезную нагрузку. Целевая стратегия группы особенно ярко выражена в Азиатско-Тихоокеанском регионе, с акцентом на секторы, связанные с конфиденциальной политической, экономической или технологической информацией, подчеркивая их цели, связанные со сбором разведывательных данных.

Для поддержки своей деятельности Earth Lusca разработала сложную архитектуру управления (C2), которая включает в себя несколько серверов, управляемых через облачных провайдеров. Такое расположение обеспечивает быструю ротацию инфраструктуры, усложняя усилия по обнаружению с помощью мер безопасности. Более того, группа использует передовые методы обфускации и антианализа, такие как шифрование сообщений и переименование функций в своих двоичных файлах вредоносного ПО, чтобы препятствовать обратному проектированию и продлить эффективность своих инструментов.

Методы атак, используемые Earth Lusca, тесно связаны с фреймворком MITRE ATT&CK в различных категориях, включая первоначальный доступ с помощью spear phishing и использование общедоступных приложений, закрепление с помощью таких методов, как запланированные задачи и сервисы, и стратегии эксфильтрации данных с использованием облачных хранилищ. Системный подход группы делает упор на постоянный доступ к сетям компрометации и подчеркивает ее долгосрочные цели шпионажа, а не сиюминутную финансовую выгоду, что позволяет осуществлять постоянный сбор конфиденциальной информации.

#ParsedReport #CompletenessLow
12-03-2026

Contagious Interview: Malware delivered through fake developer job interviews

https://www.microsoft.com/en-us/security/blog/2026/03/11/contagious-interview-malware-delivered-through-fake-developer-job-interviews/

Report completeness: Low

Actors/Campaigns:
Contagious_interview (motivation: information_theft)

Threats:
Ottercookie
Invisibleferret
Beavertail
Flexibleferret

Victims:
Software development, Media and communications

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 2

Soft:
Microsoft Defender, Visual Studio Code, KeePass, 1Password, macOS, Node.js, curl, Microsoft Defender for Endpoint, qemu, virtualbox, have more...

Algorithms:
exhibit

Languages:
javascript, python, powershell

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Contagious Interview использует социальную инженерию для нацеливания на разработчиков программного обеспечения путем внедрения вредоносного ПО в доверенные сценарии подбора персонала, в первую очередь с использованием бэкдора под названием OtterCookie, который используется для масштабной кражи данных и удаленных операций. Злоумышленники также используют облегченный агент-маячок для сбора системной информации и контроля удаленных команд с помощью безобидных на вид модулей npm, облегчающих Регистрацию нажатий клавиш и эксфильтрацию данных. Кампания подчеркивает тенденцию к развитию методов атак, которые используют доверие разработчиков, создавая значительные риски для корпоративной безопасности и целостности данных.
-----

Кампания Contagious Interview нацелена на разработчиков программного обеспечения с помощью социальной инженерии, используя сценарии вербовки для запуска вредоносных пакетов. Он действует с декабря 2022 года. Злоумышленники используют доверие разработчиков к таким инструментам, как Visual Studio Code, для распространения вредоносного ПО. Основной бэкдор, OtterCookie, представляет собой вариант JavaScript, способный к масштабной краже данных и передаче команд и контроля. Он поддерживает выполнение произвольного кода и проверки среды. Облегченный агент-маячок собирает системную информацию и выполняет удаленные команды. В Windows он перечисляет учетные данные, в то время как в macOS он находит конфиденциальные файлы, избегая общих системных каталогов. OtterCookie использует Node.js фреймворк для сбора криптографических ключей и исходного кода, эксфильтрации данных с помощью замаскированных HTTP-запросов. В кампании также используется бэкдор на Python под названием Invisible Ferret для удаленного выполнения команд и другой под названием FlexibleFerret, который использует тактику социальной инженерии. Качество вредоносного ПО указывает на переход злоумышленников к методам быстрой разработки. Кампания подчеркивает значительные риски, связанные с нацеливанием на разработчиков и использованием уязвимостей для обширного сбора данных.

#ParsedReport #CompletenessHigh
12-03-2026

MicroStealer Analysis: A Fast-Spreading Infostealer with Limited Detection

https://any.run/cybersecurity-blog/microstealer-technical-analysis/

Report completeness: High

Threats:
Microstealer
Junk_code_technique
Zelix_klassmaster_technique
Credential_dumping_technique

Victims:
Education, Telecommunications

Industry:
Financial, Healthcare, Telco, Education

Geo:
Germany

TTPs:
Tactics: 9
Technics: 16

IOCs:
Domain: 16
File: 39
Command: 2
Path: 1
Url: 2
Hash: 4

Soft:
Node.js, Steam, Linux, Android, Electron, Discord, Dropbox, NSIS installer, Windows Task Scheduler, Opera, have more...

Wallets:
metamask, coinbase, exodus_wallet, electrum, atomicwallet, jaxx

Crypto:
ethereum

Algorithms:
sha1, md5, zip, sha256

Functions:
InitializeStringTable, GetString, readFi, Robot, getToken

Win API:
SeDebugPrivilege, Rectangle, DuplicateToken, ImpersonateLoggedOnUser

Languages:
java, powershell, javascript

Links:
https://github.com/horsicq/Detect-It-Easy
have more...
https://github.com/NationalSecurityAgency/ghidra

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MicroStealer - это сложный стиллер информации, идентифицируемый с декабря 2022 года, использующий многоуровневый механизм доставки, включающий NSIS и Java, что усложняет усилия по обнаружению. Он нацелен на учетные данные браузера и данные сеанса, используя такие методы, как внедрение JS для кражи учетных данных, и работает скрытно через действительные пользовательские сеансы. Вредоносное ПО сохраняется через планировщик задач Windows, проводит проверки среды, чтобы избежать обнаружения, и использует Windows DPAPI и LSASS для извлечения учетных данных, демонстрируя обширные меры защиты от анализа.
-----

MicroStealer - это сложный стиллер информации, который приобрел заметную популярность с момента своего первого обнаружения в декабре 2022 года. Он демонстрирует многоуровневый механизм доставки с использованием NSIS (Nullsoft Scriptable Install System) и Java, что усложняет традиционные усилия по обнаружению. Расследования в области безопасности показывают, что вредоносное ПО использует хитрую цепочку доставки через компрометацию или выданные за себя учетные записи, в первую очередь затрагивая такие секторы, как образование и телекоммуникации.

Основными целями вредоносного ПО являются учетные данные браузера и конфиденциальные данные сеанса. Он собирает информацию в веб-браузерах, работает скрытно через действительные пользовательские сеансы, используя украденные файлы cookie, и отправляет данные на серверы, контролируемые злоумышленниками, включая Discord. Примечательно, что MicroStealer может делать снимки экрана и извлекать учетные данные как из стандартных веб-браузеров, так и из приложений для криптовалютных кошельков, используя такие методы, как внедрение JS, для облегчения кражи учетных данных пользователя.

Статический анализ показывает, что процесс выполнения MicroStealer's начинается с установщика NSIS — RocobeSetup, который распаковывает вредоносный JAR—файл. Этот JAR-файл запускается в фоновом режиме после завершения процесса установки, что позволяет вредоносному ПО избежать обнаружения на начальном этапе. Использование Electron для загрузчика добавляет еще один уровень запутывания, эффективно обходя методы статического анализа, которые могли бы выявить его присутствие.

MicroStealer сохраняется через планировщик задач Windows, позволяя его автоматическое выполнение при входе пользователя в систему. Кроме того, он пытается получить повышенные привилегии, используя тактику социальной инженерии, чтобы предоставить пользователю запрос на контроль учетных записей пользователей (UAC). Он также проводит проверки среды, чтобы прекратить свое выполнение, если обнаруживает виртуальную машину, тем самым ограничивая усилия по анализу.

Кража учетных данных выполняется с использованием Windows DPAPI для доступа к защищенной информации из различных браузеров на базе Chromium, Opera и Opera GX. Вредоносное ПО дополнительно использует взаимодействие с LSASS (службой подсистемы локальных органов безопасности) для захвата токенов безопасности, если определенные средства защиты отключены. Кроме того, он профилирует активность жертв на таких платформах, как Discord и Steam, чтобы определить приоритеты целей для эксплуатации.

Динамика работы MicroStealer's подчеркивает важность стратегий быстрого обнаружения. Ранний мониторинг подозрительной инфраструктуры и методы эксфильтрации данных могут помочь выявить компрометации до того, как вредоносное ПО полностью задействует свои возможности. Учитывая сложное поведение стиллера и меры по противодействию анализу, эффективные методы поиска угроз и реагирования на инциденты имеют решающее значение для смягчения его воздействия на корпоративную среду.

#ParsedReport #CompletenessHigh
12-03-2026

You've been visited by a Labooboo extortionist: Toy Ghouls encrypt Russian companies' data

https://securelist.ru/toy-ghouls/114942/

Report completeness: High

Actors/Campaigns:
Bearlyfy (motivation: financially_motivated, hacktivism)
Head_mare (motivation: hacktivism)

Threats:
Lockbit
Redalert
Babuk
1c-shell_tool
Nssm_tool
Wevtutil_tool
Localtonet_tool
Cloudflared_tool
Fscan_tool
Netscan_tool
Ad_explorer_tool
Ntdsutil_tool
Paexec_tool
Minidump_tool
Mimikatz_tool
Passthehash_technique
Dcsync_technique
Devolutions_remote_desktop_tool
Meshagent_tool
Rudesktop_tool
Anydesk_tool
Shadow_copies_delete_technique
Phantomproxylite_tool

Victims:
Russian organizations, Oil and gas sector, Food service sector

Industry:
Foodtech, Petroleum

Geo:
Russian

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 22
Path: 3
Command: 1
Email: 5
IP: 5
Domain: 4
Hash: 22

Soft:
Linux, ESXI, OpenSSH, rsocx, Sysinternals, Active Directory, PsExec, Hyper-V, Windows shell, SoftPerfect network scanner, have more...

Algorithms:
zip, chacha20, poly1305, salsa20, ntruencrypt

Functions:
Get-VM

Win Services:
ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, xfssvccon, mydesktopservice, ocautoupds, encsvc, tbirdconfig, have more...

Languages:
powershell, golang

Platforms:
x86, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Toy Ghouls, группа вымогателей, нацеленная на российские организации, использует методы вымогательства с января 2025 года, используя инструменты из таких семейств, как LockBit, RedAlert и Babuk, при этом используя инфраструктуру подрядчика по компрометации для первоначального доступа. Их тактика включает использование Протокола удаленного рабочего стола для перемещения внутри компании, выполнение команд через небезопасный сервер 1С с использованием 1C-Shell и поддержание закрепления с помощью NSSM и запланированных задач. Они специализируются на получении учетных данных с помощью lsass.exe в своих операциях с программами-вымогателями они создают дампы памяти и используют сложные методы шифрования, включая NTRU и Salsa20.
-----

Toy Ghouls, также известная как Labooboo, нацелена на российские организации, использующие программы-вымогатели для шифрования данных с января 2025 года. Они используют общедоступные инструменты и просочившийся код вместо того, чтобы разрабатывать свой собственный. В своих операциях с программами-вымогателями они используют такие семейства, как LockBit и RedAlert для Windows и Babuk для систем Linux/ESXi. Первоначальный доступ осуществляется с помощью инфраструктуры подрядчика по компрометации или государственных служб, часто с использованием Протокола удаленного рабочего стола (RDP). Они используют инструмент под названием 1C-Shell, загруженный в небезопасные конфигурации сервера 1С для выполнения команд. Закрепление поддерживается с помощью NSSM для управления Службами Windows и запланированными задачами для SSH-туннелей и управления виртуальными машинами. Они избегают обнаружения, удаляя файлы сеансов, очищая журналы событий Windows и удаляя промежуточные установочные файлы. Командование и контроль включают в себя доставку коммунальных услуг через msiexec.exe , certutil.exe , или скрипты PowerShell через SSH-туннели. Они проводят разведку с помощью сетевых сканеров, таких как SoftPerfect и fscan, часто используя уязвимости внутренней сети. Управление выполнением осуществляется с помощью запланированных задач, PowerShell, команд оболочки Windows и Bash. Они сосредоточены на получении учетных данных с использованием таких методов, как lsass.exe дампы памяти и такие инструменты, как mimikatz. RedAlert использует уникальный метод шифрования с ключами для каждого файла, зашифрованными открытым ключом NTRU, в то время как LockBit использует Salsa20 для шифрования и удаляет shadow copies. В записках о выкупе указывается их фирменный стиль и знание русского языка, часто требуется контакт для согласования оплаты. Есть пересечения с хактивистской группой Head Mare в отношении инфраструктуры и инструментов.

#ParsedReport #CompletenessLow
12-03-2026

Russian Spy Hackers Weaponize Signal & WhatsApp to Infiltrate Encrypted Conversations

https://www.secureblink.com/cyber-security-news/russian-spy-hackers-weaponize-signal-and-whats-app-to-infiltrate-encrypted-conversations

Report completeness: Low

Victims:
Government officials, Military staff, Civil servants, Journalists, Messaging platform users

Industry:
Military, Government

Geo:
Russian, Dutch

TTPs:

Soft:
WhatsApp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Голландская разведка предупредила о спонсируемых российским государством хакерах, использующих методы фишинга для нацеливания на пользователей платформ зашифрованных сообщений, таких как Signal и WhatsApp. Злоумышленники используют фишинг с использованием проверочного кода и сканирование QR-кода, чтобы получить контроль над учетными записями жертв, тем самым обходя сквозное шифрование и получая доступ к конфиденциальным разговорам. Их стратегия основана на социальной инженерии, фокусируясь на важных целях, таких как правительственный и военный персонал, используя тактику, соответствующую фреймворку MITRE ATT&CK, связанную с фишингом, Манипуляциями с учетными записями и использованием Существующих учетных записей.
-----

Голландская разведка опубликовала предупреждение относительно киберугрозы, исходящей от российских хакеров, спонсируемых государством, которые используют фишинг-атаки для проникновения к пользователям платформ зашифрованного обмена сообщениями, таких как Signal и WhatsApp. Основная цель хакеров - получить постоянный доступ к конфиденциальным разговорам высокопоставленных лиц, включая правительственных чиновников, военнослужащих, госслужащих и журналистов. Эта операция использует тактику социальной инженерии, которая использует законные рабочие процессы аутентификации учетной записи, а не нацелена на конкретные уязвимости программного обеспечения.

Методология атаки включает в себя две ключевые стратегии: фишинг с использованием кода проверки и злоупотребление привязкой устройств. В первом случае злоумышленники отправляют сообщения, в которых заявляют о необходимости верификации учетной записи, предлагая жертвам поделиться одноразовыми проверочными кодами или PIN-кодами. Как только злоумышленники получат эти коды, они смогут зарегистрировать учетную запись жертвы на контролируемом ими устройстве. При втором подходе жертв обманом заставляют сканировать QR-коды, которые связывают их учетные записи обмена сообщениями с устройствами злоумышленников. Успешно применяя любую из этих тактик, злоумышленники могут обойти сквозное шифрование, предоставляемое платформами, поскольку они контролируют одну из конечных точек, обеспечивая доступ к разговорам в режиме реального времени.

Оперативный фреймворк процесса проникновения начинается с разведки, направленной на выявление целей, которые, вероятно, будут участвовать в конфиденциальных дискуссиях с помощью зашифрованных сообщений. Злоумышленники разрабатывают убедительные приманки социальной инженерии, адаптированные к ролям жертв и текущим событиям. Они инициируют контакт с помощью различных средств, включая SMS, обмен сообщениями в приложении или электронную почту, требуя немедленного ответа на запросы о предоставлении проверочных кодов или QR-сканирования. После успешной привязки учетной записи к своему устройству злоумышленники могут собирать и использовать сообщения, контакты и файлы, которыми обмениваются в этих чатах, для последующих операций.

С точки зрения технического отображения, атака согласуется с несколькими тактиками в фреймворке MITRE ATT&CK. К ним относятся T1566 (Фишинг), T1204 (Выполнение с участием пользователя/социальная инженерия), T1098 (Манипуляции с учетными записями) и T1078 (Существующие учетные записи), которые описывают переход от первоначального взаимодействия с жертвой к окончательной компрометации содержимого защищенных сообщений.

Чтобы усилить защиту от такой тактики, организациям следует принять ряд мер предосторожности. Пользователям настоятельно рекомендуется не пересылать проверочные коды или PIN-коды и относиться к незапрашиваемым запросам QR-кода как к потенциально вредоносным. Включение дополнительных функций безопасности, таких как блокировки при регистрации и исчезающие сообщения, может еще больше снизить риски. Предоставление пользователям простого контрольного списка и простых механизмов отчетности о подозрительных сообщениях также может помочь снизить эффективность этих атак фишинга.

#ParsedReport #CompletenessLow
11-03-2026

Phishers hide scam links with IPv6 trick in free toothbrush emails

https://www.malwarebytes.com/blog/scams/2026/03/phishers-hide-scam-links-with-ipv6-trick-in-free-toothbrush-emails

Report completeness: Low

Victims:
Health insurance customers

Industry:
Healthcare, Financial, Transport

ChatGPT TTPs:
do not use without manual check
T1027, T1204.001, T1566.002, T1583.001, T1584.005

IOCs:
IP: 3
Domain: 2

Soft:
Azure Blob

Win Services:
bits

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники, выдающие себя за United Healthcare, проводят кампании фишинга, предлагая бесплатные продукты, чтобы заманить жертв перейти по Вредоносным ссылкам, которые ведут на сайты фишинга, нацеленные на сбор личной информации (PII) и реквизитов платежных карт. Недавно эти кампании перешли на использование ссылок IPv6, что повысило их способность избегать обнаружения при быстрой смене целевых страниц для максимального извлечения данных. Основной целью злоумышленников является компрометация финансовой информации, что подчеркивает необходимость проявлять бдительность в отношении таких изощренных мошенничеств.
-----

Кампании фишинга, использующие предложения бесплатных товаров, таких как зубная щетка Oral-B, были идентифицированы как тактика, используемая злоумышленниками, выдающими себя за United Healthcare. Эти электронные письма создаются для того, чтобы побудить получателей переходить по ссылкам, ведущим на мошеннические целевые страницы. Основная цель этих ссылок - собрать личную информацию (PII) вместе с реквизитами платежной карты, часто оформляемую как часть процесса подтверждения соответствия требованиям или оплаты доставки.

Недавно метод фишинга эволюционировал, чтобы использовать ссылки IPv6 вместо ранее распространенных ссылок на хранилище больших двоичных объектов Microsoft Azure. Этот вариант не только помогает замаскировать вредоносный умысел URL-адресов, но и усложняет усилия по обнаружению. Быстрая смена целевых страниц указывает на изощренный подход злоумышленников, направленный на то, чтобы обойти меры безопасности и быстро собрать конфиденциальную информацию у как можно большего числа жертв.

Конечной целью злоумышленников является компрометация финансовой информации, что еще больше подчеркивает настоятельную необходимость принятия немедленных мер лицами, которые, возможно, попались на удочку подобных мошенников. Жертвам рекомендуется аннулировать свои карты, оспаривать несанкционированные платежи и менять пароли, связанные с любыми учетными записями, привязанными к указанным ими Адресам эл. почты. Кроме того, выполнение проверок безопасности и обеспечение обновления устройств и программного обеспечения имеет решающее значение для ограничения потенциальных последствий таких попыток фишинга.

Меняющаяся тактика этих злоумышленников подчеркивает важность бдительности пользователей при выявлении мошенничества и необходимость принятия строгих мер Кибербезопасности, включая использование решений для защиты от вредоносного ПО в режиме реального времени, способных обнаруживать и блокировать вредоносные действия онлайн.

#ParsedReport #CompletenessHigh
12-03-2026

6 Malicious Packagist Themes Ship Trojanized jQuery and FUNNULL Redirect Payloads

https://socket.dev/blog/6-malicious-packagist-themes-ship-trojanized-jquery

Report completeness: High

Actors/Campaigns:
Funnull

Threats:
Supply_chain_technique
Typosquatting_technique
Ringh23_tool

Victims:
Ophimcms ecosystem, Movie streaming sites, Website visitors

Industry:
Entertainment

Geo:
Macau, Philippines, Los angeles, Chinese, Vietnamese

TTPs:
Tactics: 3
Technics: 3

IOCs:
Domain: 11
Url: 4
File: 11
IP: 1
Hash: 1

Soft:
OphimCMS, Outlook, Laravel, ophimcms Laravel, Android, Chrome, Polyfill

Algorithms:
rc4, sha256, base64

Functions:
atob

Languages:
php, javascript

Platforms:
apple

Links:
https://github.com/hacoidev/ophim-core

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние результаты выявили шесть вредоносных пакетов, выдающих себя за темы для вьетнамской OphimCMS, которые включают троянские библиотеки jQuery для фильтрации URL-адресов, внедрения рекламы и перенаправления пользователей на вредоносные сайты, управляемые FUNNULL, филиппинской организацией, связанной с мошенничеством с криптовалютами. Вредоносные полезные программы JavaScript используют методы запутывания и особые условия активации, такие как таргетинг на платформу и управление файлами cookie. Эти темы при значительном количестве установок создают существенные риски, подвергая пользователей утечке данных и мошеннической рекламе без изменения основного PHP-кода.
-----

Недавнее исследование выявило шесть вредоносных пакетов, размещенных на Packagist, которые Маскировку под темы для OphimCMS, системы управления контентом Laravel на вьетнамском языке. Эти пакеты являются частью более масштабной схемы, которая включает в себя троянские библиотеки jQuery, встроенные в эти темы, предназначенные для фильтрации URL-адресов, внедрения рекламы и перенаправления пользователей на вредоносные веб-сайты, управляемые FUNNULL. FUNNULL - базирующийся на Филиппинах поставщик инфраструктуры, находящийся под санкциями США за участие в мошенничестве с инвестициями в криптовалюты и связанный с огромным количеством вредоносных доменов.

Вредоносная полезная нагрузка в основном внедряется в файлы JavaScript, поставляемые в комплекте с темами, используя законную библиотеку jQuery в качестве механизма доставки. Некоторые полезные приложения специально адаптированы для мобильных пользователей, перенаправляя их на платформы азартных игр и контента для взрослых. Каждая затронутая тема использует различные цепочки атак. Например, некоторые пакеты используют шифр Caesar для кодирования своего домена управления (C2), который используется для фильтрации URL-адресов просмотра пользователями, в то время как другие реализуют внедрение рекламы или методы перехвата кликов для показа нежелательной рекламы.

Примечательно, что вредоносные темы содержат только вредоносный код JavaScript, без изменений в базовой кодовой базе PHP. Среди идентифицированных пакетов "theme-dy", "theme-mtyy" и "theme-rrdyw" содержат значительную полезную нагрузку, которая включает эксфильтрацию URL-адресов и внедрение рекламы, в то время как другие, такие как "theme-pcc", демонстрируют поведение перехвата кликов, которое манипулирует взаимодействиями пользователей для получения мошеннической рекламы.

Кроме того, в этих угрозах используются методы обфускации, которые усложняют обнаружение и анализ. Например, один из вариантов обеспечивает их выполнение только на определенных платформах и после многократных посещений, используя файлы cookie для управления условиями активации. Другие эксплойты включают в себя наложение рекламы, которая скрывает законный интерфейс сайта, заставляя пользователя просматривать вредоносный контент.

Воздействие этих вредоносных тем имеет далеко идущие последствия, поскольку любой сайт, использующий их, рискует подвергнуть своих посетителей утечке данных, несанкционированной рекламе и рискованным перенаправлениям, основанным на дифференцированных условиях таргетинга. Учитывая, что зарегистрировано более 2750 установок, воздействие является значительным и представляет существенную угрозу, особенно учитывая, что некоторые векторы атак не имеют географических ограничений, затрагивая глобальную базу пользователей.

Таким образом, этот случай иллюстрирует растущую тенденцию к компрометации supply chains программного обеспечения, когда законные платформы превращаются в оружие с помощью, казалось бы, безобидных обновлений, демонстрируя необходимость бдительного контроля за сторонними пакетами в экосистемах разработки программного обеспечения. Методы атак и базовая инфраструктура являются примечательными иллюстрациями современной тактики киберугроз, которая требует постоянной бдительности и упреждающей защиты в рамках системы ИТ-безопасности.

#ParsedReport #CompletenessMedium
12-03-2026

Storm-2561 uses SEO poisoning to distribute fake VPN clients for credential theft

https://www.microsoft.com/en-us/security/blog/2026/03/12/storm-2561-uses-seo-poisoning-to-distribute-fake-vpn-clients-for-credential-theft/

Report completeness: Medium

Actors/Campaigns:
Storm-2561 (motivation: cyber_criminal, financially_motivated)

Threats:
Seo_poisoning_technique
Malgent
Trojanspy:win64/hyrax

Victims:
Enterprise users, Vpn users

TTPs:
Tactics: 4
Technics: 0

IOCs:
Domain: 19
Url: 1
IP: 2
Path: 2
Hash: 11

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Windows Installer, Windows security, rosoft Defender for Endpoint VPN, Ivanti, Twitter

Algorithms:
zip, sha256, exhibit