#ParsedReport #CompletenessLow
13-03-2026

73 Malicious Open VSX Extensions Linked to GlassWorm Campaign Now Using Transitive Dependencies

https://socket.dev/blog/open-vsx-transitive-glassworm-campaign

Report completeness: Low

Threats:
Glassworm
Typosquatting_technique

Victims:
Software developers, Developer workstations, Open vsx users

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1071, T1102, T1105, T1195, T1199, T1204, T1583, T1584, have more...

IOCs:
IP: 3
File: 5

Soft:
VSCode, Outlook, Flutter, Claude, Node.js

Crypto:
solana

Algorithms:
rc4, base64, aes

Languages:
php, javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания GlassWorm недавно эволюционировала, чтобы использовать открытые расширения VSX, используя переходные зависимости для внедрения вредоносного ПО в среды разработчиков, используя манифесты extensionPack и extensionDependencies. Методы атаки включают поэтапное выполнение JavaScript, геозонирование на основе российских локалей и сложные методы командования и контроля с ротацией инфраструктуры, чтобы избежать обнаружения. Кроме того, была реализована усовершенствованная тактика обфускации, усложняющая идентификацию вредоносной активности в расширениях, которые могут казаться законными.
-----

Недавние расследования выявили новую волну вредоносных расширений Open VSX, связанных с кампанией GlassWorm, которая в настоящее время расширилась по меньшей мере до 73 новых случаев использования переходных зависимостей для заражения сред разработчиков. Эта эволюция позволяет злоумышленникам использовать extensionPack и манифесты extensionDependencies, позволяя изначально безвредным расширениям служить носителями вредоносной полезной нагрузки. Такой механизм снижает видимость истинных вредоносных компонентов, из-за чего пользователям недостаточно просто просмотреть оригинальную публикацию расширения.

Основные принципы работы GlassWorm остаются неизменными, с неизменной тактикой, включающей поэтапное выполнение JavaScript, привязку к русской локали/часовому поясу и использование заметок о транзакциях Solana для скрытых данных. Однако было замечено, что в недавних вариантах используются более агрессивные методы ротации инфраструктуры и запутывания. Например, кампания перешла с кошелька Solana BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC на новый кошелек 6YGcuyFRJKZtcaYCCFba9fScNUvPkGXodXE1mJiSzqDJ, одновременно введя новые IP-адреса командования и контроля (C2) наряду с ранее существовавшими. Эта стратегия ротации направлена на поддержание оперативной безопасности путем усложнения обнаружения и установления личности.

Чтобы еще больше усложнить ситуацию, злоумышленники используют передовые методы обфускации, такие как замена статического загрузчика в оболочке AES более сложным методом обфускации RC4/base64/string-array. Они также переносят важные материалы для расшифровки из расширения в заголовки ответов, что добавляет еще один уровень уклонения. Оповещения для защитников включают мониторинг изменений в манифестах расширений, которые включают поля extensionPack или extensionDependencies в более поздних версиях. Кроме того, должны быть отмечены такие индикаторы, как поэтапный JavaScript-код с геозонированием и встроенные криптографические подписи.

Примерами вредоносных расширений являются “otoboss.autoimport-extension”, который в своем манифесте ссылается на известные расширения, связанные с GlassWorm, и другие живые расширения, такие как “twilkbilk.color-highlight-css”, которые имитируют законные расширения, Маскировка под надежные инструменты. Эта манипулятивная тактика направлена на то, чтобы увеличить количество скачиваний и создать видимость законности, чтобы заманить ничего не подозревающих разработчиков.

По мере развития кампании подчеркивается острая необходимость для разработчиков проводить аудит всей истории установленных расширений, уделяя особое внимание любым недавно добавленным вредоносным зависимостям. Немедленные действия должны включать идентификацию и удаление инфраструктуры, связанной с GlassWorm, из сред разработки, учитывая риски, связанные с потенциальными последующими полезными нагрузками, выполняющимися в памяти, которые могут быть нацелены на локальные учетные данные и данные конфигурации. Поверхность атаки в основном находится в открытых путях установки и обновления расширений VSX/VS Code, что подчеркивает важность бдительности в отношении механизмов распространения переходного вредоносного ПО.

#ParsedReport #CompletenessMedium
12-03-2026

Detecting and responding to GreenBlood ransomware with Wazuh

https://wazuh.com/blog/detecting-and-responding-to-greenblood-ransomware-with-wazuh/

Report completeness: Medium

Threats:
Greenblood
Shadow_copies_delete_technique
Vssadmin_tool
Sdelete_tool

Victims:
Windows users

TTPs:
Tactics: 1
Technics: 5

IOCs:
File: 23
Path: 1
Registry: 3
Command: 4
Hash: 1

Soft:
Windows Defender Firewall, Microsoft Defender, bcdedit, Sysinternals

Algorithms:
sha256, aes-256

Functions:
Write-Output

Win API:
GetQueuedCompletionStatusEx

Languages:
powershell, python

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GreenBlood - это программа-вымогатель на базе Go, нацеленная на Windows, использующая тактику двойного вымогательства путем шифрования файлов и угрозы раскрытия данных. Он добавляет расширения .tgbg или .gblood к затронутым файлам, отключив при этом меры безопасности с помощью таких команд, как `bcdedit` и `vssadmin`, чтобы стереть тени резервных копий. Стратегии обнаружения используют Wazuh для мониторинга подозрительных действий и правила YARA для выявления и удаления вредоносного ПО, уделяя особое внимание таким действиям, как создание записки с требованием выкупа и несанкционированное изменение файлов.
-----

GreenBlood ransomware - это недавно появившееся вредоносное ПО на базе Go, которое нацелено на среды Windows с помощью модели двойного вымогательства, шифруя файлы и угрожая раскрытием данных. Программа-вымогатель работает с высокой эффективностью, используя скомпилированный язык, который позволяет ей быстро выполняться и воздействовать на множество файлов одновременно. Процесс шифрования добавляет определенные расширения файлов (.tgbg или .gblood) к целевым файлам, в то время как примечания о выкупе озаглавлены READ_ME_TO_RECOVER_FILES.txt или HOW_TO_RECOVER_FILES.txt удаляются в различные каталоги, такие как Документы и загрузки.

После выполнения GreenBlood использует несколько команд для нарушения функциональности системы и отключения мер безопасности. Основные вредоносные действия включают использование таких команд, как `bcdedit` для подавления запросов на восстановление и `vssadmin`, `wmic` и `wbadmin` для незаметного удаления теневых копий. Кроме того, он отключает брандмауэр защитника Windows и защиту в режиме реального времени, изменяя параметры системного реестра. Чтобы устранить следы своего присутствия, программа-вымогатель выполняет сценарий очистки, расположенный во временной папке после шифрования.

Обнаружение GreenBlood облегчается благодаря интеграции Wazuh, которая использует пользовательские правила обнаружения, созданные для определения его специфического поведения. Например, оповещения срабатывают при создании уведомлений о выкупе, расширениях файлов, указывающих на шифрование, удалении системных резервных копий и изменениях настроек восстановления. Правила YARA также реализованы в дополнение к функциональности Wazuh, автоматически сканируя Вредоносные файлы и удаляя их, если они считаются вредоносными.

Система мониторинга целостности файлов Wazuh (FIM) еще больше повышает защиту, отслеживая изменения в файловой системе, что позволяет организациям своевременно обнаруживать специфические изменения. Модули активного реагирования в Wazuh позволяют автоматически запускать проверку YARA при обнаружении подозрительных файлов. Эта упреждающая стратегия сводит к минимуму потенциальный ущерб, эффективно устраняя угрозы до того, как они смогут реализоваться.

В процессе обнаружения также используется Sysmon для комплексного мониторинга событий, позволяющий Wazuh анализировать поведение системы и регистрировать события, связанные с активностью GreenBlood. При наличии определенных идентификаторов правил Wazuh может предупреждать о различных действиях программ-вымогателей, таких как изменение файлов при загрузке или обнаружение и удаление исполняемого файла GreenBlood.

#ParsedReport #CompletenessLow
13-03-2026

DRILLAPP: new backdoor targeting Ukrainian entities with possible links to Laundry Bear

https://lab52.io/blog/drillapp-new-backdoor-targeting-ukrainian-entities-with-possible-links-to-laundry-bear/

Report completeness: Low

Actors/Campaigns:
Void_blizzard

Threats:
Drillapp

Victims:
Ukrainian entities, Government sector, Charity sector

Geo:
Italy, Poland, China, United kingdom, Ukrainian, France, Canada, Brazil, Germany, Spain, Australia, Russia, Japan, Ukraine, India

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1059.007, T1071.001, T1102, T1105, T1113, T1119, T1123, have more...

IOCs:
Hash: 26
IP: 2
Url: 10

Soft:
Starlink, Microsoft Edge, Chrome

Algorithms:
exhibit

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания DRILLAPP, атрибутируемая с российскими злоумышленниками, нацелена на украинские организации и действует с февраля 2026 года, используя приманки судебной и благотворительной тематики для развертывания бэкдора на основе JavaScript через Microsoft Edge. Вредоносное ПО, которое позволяет манипулировать файлами и Захвата видеоданных, использует обфускацию и собирает данные отпечатков пальцев устройства, отправляя их на сервер управления. Второй вариант использует CPL-файлы для развертывания, сохраняя аналогичные функции при одновременном внедрении таких возможностей, как рекурсивный список файлов и использование протокола Chrome DevTools.
-----

Кампания DRILLAPP, выявленная LAB52, конкретно нацелена на украинские организации, и есть признаки, связывающие злоумышленников с Россией. Эта кампания, действующая с февраля 2026 года, использует различные приманки судебной и благотворительной тематики для запуска бэкдора на основе JavaScript через браузер Microsoft Edge. Бэкдор под названием DRILLAPP позволяет злоумышленникам выполнять несколько функций, включая загрузку файлов, захват аудио через микрофон и съемку изображений через веб-камеру, используя встроенные возможности браузера.

Первый вариант этого вредоносного ПО включает в себя представление приманок, таких как изображения, связанные с установкой Starlink, или поддельные запросы от украинской благотворительной организации Come Back Alive foundation. При активации вредоносное ПО запускает HTML-файл, который загружает удаленный скрипт из pastefy.app, используя методы запутывания для сокрытия. Усилия по деобфускации показали, что вредоносное ПО может собирать отпечатки пальцев устройства, используя Canvas Fingerprinting и другие метаданные, такие как размер экрана и язык. Этот отпечаток пальца сохраняется в постоянной памяти браузера и отправляется на сервер управления вместе с географической информацией жертвы, определяемой часовым поясом устройства. Бэкдор взаимодействует через WebSocket, подключенный к pastefy.app, с резервным вариантом localhost, который подразумевает возможные этапы отладки в процессе разработки.

Второй вариант, обнаруженный позже, в феврале 2026 года, меняет способ развертывания с файлов LNK на файлы CPL — модули Панели управления Windows, которые действуют как исполняемые библиотеки DLL. Несмотря на изменения метода развертывания, эта версия по-прежнему сохраняет функции, аналогичные первой. В нем используются приманки, основанные на официальных документах, включая изображения отчетов об изъятии оружия. Этот вариант предоставляет дополнительные возможности, такие как рекурсивный список файлов и пакетная загрузка, за счет использования протокола Chrome DevTools (CDP) из-за ограничений безопасности, ограничивающих прямую удаленную загрузку файлов через JavaScript.

Предыдущий образец, связанный с этой кампанией, загруженный из России 28 января, демонстрировал аналогичные методы заражения, но связанный с веб-сайтом "доброкачественный". gnome.com вместо того, чтобы запускать бэкдор.

#ParsedReport #CompletenessLow
13-03-2026

Ongoing Phishing Campaign Abusing Google Cloud Storage to Redirect Users to Multiple Scam Pages

https://malwr-analysis.com/2026/03/14/ongoing-phishing-campaign-abusing-google-cloud-storage-to-redirect-users-to-multiple-scam-pages/

Report completeness: Low

Victims:
Consumers

Industry:
Transport

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1090, T1102, T1204, T1204.001, T1566.002, T1583.001, T1584.006, T1598.001, have more...

IOCs:
Url: 7
Domain: 58

Soft:
twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по фишингу с использованием облачного хранилища Google направляет пользователей на различные мошеннические сайты, в основном в домене .autos. В нем есть централизованная страница, которая адаптируется на основе перенаправления пользователей, используя такие тактики, как поддельные опросы и предложения о работе, для сбора личной и финансовой информации. Злоумышленники генерируют большое количество электронных писем с фишингом, используя фильтрацию на основе IP для управления доступом, что усложняет усилия по обнаружению и позволяет часто менять темы фишинга.
-----

Недавний анализ выявил продолжающуюся кампанию фишинга, использующую инфраструктуру облачного хранилища Google для перенаправления пользователей на различные мошеннические сайты, в основном размещенные в домене верхнего уровня .autos. Ключевым аспектом этой кампании является централизованная страница облачного хранилища Google, которая функционирует как центр распределения трафика. Эта страница перенаправляет пользователей на несколько сайтов фишинга, основанных на заранее определенных конфигурациях кампаний, нацеленных на жертв с помощью различных мошеннических действий, включая поддельные опросы, схемы вознаграждения, антивирусные оповещения и ложные предложения о работе.

Характер попыток фишинга заключается в том, что жертв обманом заставляют предоставить личную или финансовую информацию, часто в рамках сценариев, требующих небольшой платы за доставку или завершение опроса. После того, как пользователи заполняют опрос, часто обещающий вознаграждение, их обычно просят предоставить данные кредитной карты для оплаты стоимости доставки. Этот метод свидетельствует о нацеленности кампании на сбор конфиденциальной информации под видом законных предложений.

Что примечательно, так это адаптивность инфраструктуры фишинга; в одном домене .autos может размещаться несколько тем мошенничества, которые меняются в зависимости от перенаправления пользователя. Это означает, что злоумышленники используют централизованную серверную часть, которая позволяет плавно менять темы для фишинга, что затрудняет жертвам и мерам безопасности выявление последовательных закономерностей в использовании домена. Развертывание многочисленных одноразовых доменов в домене .autos TLD еще больше поддерживает стратегию злоумышленников, позволяя часто вносить изменения в страницы фишинга при сохранении механизма доставки.

Было замечено, что кампания привела к появлению большого количества фишинг-писем: в течение одного дня появлялись сообщения о 40-50 электронных письмах, содержащих ссылки на облачные редиректы Google. Такая тревожная скорость распространения подчеркивает эффективность методологии злоумышленников. Кроме того, конструкция перенаправителя включает механизмы ограничения доступа с одного и того же IP-адреса. Как только пользователь получает доступ к странице фишинга, последующие попытки с этого IP-адреса могут привести к ошибкам или перенаправлению на несвязанные сайты. Такое поведение предполагает использование фильтрации на основе IP или Систем распределения трафика, которые широко распространены в стратегиях вредоносного трафика, позволяя злоумышленникам управлять доступом и оптимизировать эффективность своих операций фишинга, не привлекая непосредственного внимания.

#ParsedReport #CompletenessHigh
13-03-2026

Operation CamelClone: Multi-Region Espionage Campaign Targets Government and Defense Entities Amidst Regional Tensions

https://www.seqrite.com/blog/operation-camelclone-multi-region-espionage-campaign-targets-government-and-defense-entities-amidst-regional-tensions/

Report completeness: High

Actors/Campaigns:
Camelclone (motivation: cyber_espionage, financially_motivated)

Threats:
Hoppingant
Spear-phishing_technique
Rclone_tool

Victims:
Government agencies, Defense and military organizations, Foreign affairs and international cooperation departments, Policy and diplomatic institutions, Energy and strategic resource sectors

Industry:
Government, Logistic, Military, Energy

Geo:
Chinese, Middle east, Kuwait, Russian, Italy, China, Russia, Ukraine, Africa, Morocco, Mongolia, Algeria, Ukrainian

TTPs:
Tactics: 6
Technics: 11

IOCs:
File: 12
Domain: 1
Url: 12
Command: 1
Email: 4
Hash: 13

Soft:
Telegram

Algorithms:
zip, sha256, base64, xor

Languages:
javascript, powershell

Links:
https://github.com/rclone/

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, dump: 1, code: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция CamelClone - это шпионская кампания, нацеленная на правительственный и оборонный секторы в условиях геополитической напряженности. Он использует многоуровневую цепочку заражения, начинающуюся с вредоносных ZIP-файлов, содержащих файлы LNK, которые запускают скрипты PowerShell для загрузки загрузчика JavaScript HOPPINGANT с общедоступных сайтов обмена файлами. Загрузчик выполняет команды в кодировке Base64, в конечном итоге развертывая Rclone для извлечения конфиденциальных документов, в то время как кампания демонстрирует последовательное использование аналогичных полезных нагрузок и инфраструктуры в различных странах, таких как Алжир, Монголия, Украина и Кувейт.
-----

Операция CamelClone включает в себя изощренную шпионскую кампанию, направленную против правительственных и оборонных структур во многих регионах, особенно под влиянием текущей геополитической напряженности. К основным затронутым отраслям промышленности относятся правительственные учреждения, военные организации, министерства иностранных дел и энергетический сектор. Кампания демонстрирует многогранную цепочку заражения, начинающуюся с вредоносных архивов и переходящую к запуску загрузчика JavaScript с именем HOPPINGANT.

Процесс заражения начинается с ZIP-файлов, содержащих вредоносные ярлыки и ложные изображения, имитирующие официальные правительственные документы. Например, первоначальные образцы были названы так, чтобы выдавать себя за организации из Алжира и Монголии, с содержанием, предназначенным для должностных лиц соответствующих государственных органов. Злоумышленники использовали не только локализованные темы, такие как жилищное строительство или военное сотрудничество, но и координировали свои усилия в географически связанных регионах для усиления воздействия.

Вредоносные архивы содержат файлы LNK, которые выполняют скрипты PowerShell. Эти скрипты загружают и запускают загрузчик JavaScript HOPPINGANT с общедоступного веб-сайта для обмена файлами. Загрузчик использует Windows Script Host для выполнения команд PowerShell в кодировке Base64, дополнительно извлекая полезную нагрузку, которая в конечном итоге используется для эксфильтрации данных. Конечная полезная нагрузка - это исполняемый файл Rclone, который ненадлежащим образом используется для загрузки конфиденциальных документов из систем компрометации во внешние службы хранения данных, такие как MEGA.

Злоумышленники использовали общедоступные инфраструктуры обмена файлами, а не традиционные системы управления (C2), что усложняет обнаружение с точки зрения мер безопасности. На протяжении всех кампаний, нацеленных на Алжир, Монголию, Украину и Кувейт, наблюдалось постоянное использование одних и тех же доменов хостинга и структур полезной нагрузки, что указывает на скоординированные операции. Поведение вредоносного ПО — в частности, использование Rclone — наряду с аналогичными методами кодирования, такими как шифрование XOR для хранения учетных данных, предполагает, что все наблюдаемые образцы относятся к объединенным усилиям, а не к отдельным атакам.

Хотя определить конкретного злоумышленника по-прежнему не удается, оперативные схемы указывают на тесную связь с целями сбора разведывательных данных, направленными на мониторинг дипломатических отношений и оборонных возможностей в пострадавших регионах. По мере развития кампании необходим дальнейший мониторинг ее инфраструктуры и TTP (тактики, методов и процедур), чтобы получить больше информации о вовлеченных акторах и их стратегических целях.

#ParsedReport #CompletenessMedium
14-03-2026

ForceMemo: Hundreds of GitHub Python Repos Compromised via Account Takeover and Force-Push

https://www.stepsecurity.io/blog/forcememo-hundreds-of-github-python-repos-compromised-via-account-takeover-and-force-push

Report completeness: Medium

Actors/Campaigns:
Forcememo

Threats:
Glassworm
Supply_chain_technique
Steganography_technique

Victims:
Github developers, Python open source projects, Django applications, Machine learning research projects, Streamlit dashboards, Flask apis, Pypi ecosystem users

Industry:
Financial

Geo:
Russian, Russia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.006, T1059.007, T1078, T1102, T1105, T1555

IOCs:
File: 2
IP: 9

Soft:
Django, ion of No, bject, Node.js, macOS, Flask

Wallets:
metamask

Crypto:
solana

Algorithms:
base64, aes, xor

Languages:
python, javascript

Platforms:
x64, cross-platform, arm

Links:
https://gist.github.com/tip-o-deincognito/d0d05e148e87a515f534b5a8e9ed3b36
have more...
https://github.com/search?q=lzcdrtfxyqiplpd&type=code

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ForceMemo активно компрометирует учетные записи GitHub и внедряет вредоносное ПО в репозитории Python, особенно затрагивая проекты Django и машинного обучения. Злоумышленники используют вредоносное ПО GlassWorm, чтобы получить доступ к токенам GitHub, что позволяет им добавлять запутанный вредоносный код в проекты, придавая обновлениям видимость законности. Вредоносное ПО использует канал управления блокчейном Solana для скрытных операций, нацеливаясь на конфиденциальную информацию, такую как данные криптовалютного кошелька, и демонстрируя значительную эволюцию тактики киберпреступников.
-----

Недавняя кампания, идентифицированная как ForceMemo, привела к компрометации сотен учетных записей GitHub, что привело к внедрению вредоносного ПО в многочисленные репозитории Python. Самые ранние случаи заражения были прослежены до 8 марта 2026 года, когда кампания все еще была активна и могла привести к компрометации новых репозиториев. Злоумышленники нацелены на различные проекты на базе Python, включая приложения Django и код машинного обучения, и они добавляют запутанный вредоносный код к таким критически важным файлам, как setup.py и main.py . Установка или выполнение любого кода из этих хранилищ компрометации запускает вредоносное ПО.

Процесс атаки начинается с захвата учетной записи, которому способствует вредоносное ПО GlassWorm, которое заражает разработчиков с помощью вредоносного кода Visual Studio и расширений Cursor. Как только злоумышленники получают токены GitHub с помощью модуля кражи учетных данных GlassWorm's, они могут принудительно отправлять коммиты компрометации в репозитории, добавляя свое вредоносное ПО, сохраняя при этом метаданные исходного коммита, что создает обманчивую видимость того, что обновления являются законными.

Само вредоносное ПО запутывается с использованием нескольких уровней, включая кодировку base64, сжатие zlib и шифрование XOR со статическим ключом. В нем содержатся проверки для предотвращения выполнения в системах, расположенных в России, что свидетельствует о восточноевропейских методах обеспечения оперативной безопасности в связи с киберпреступностью. Наиболее тревожной особенностью вредоносного ПО является использование блокчейна Solana в качестве канала управления (C2), что делает инструкции неизменяемыми и устойчивыми к цензуре за счет считывания URL-адресов полезной нагрузки непосредственно из транзакций.

После запуска вредоносного ПО загружается полезная нагрузка Node.js в домашний каталог жертвы и извлекает зашифрованную полезную нагрузку JavaScript с указанного URL-адреса. Эта полезная нагрузка структурирована таким образом, чтобы красть конфиденциальную информацию, в частности, нацеливаясь на данные расширений браузера, связанные с криптовалютными кошельками, что важно, учитывая продолжающиеся кражи, связанные с криптографией, в киберпреступности.

Технический анализ атаки показал, что вредоносное ПО пытается подключиться к нескольким конечным точкам Solana RPC, тем самым повышая устойчивость к отключениям инфраструктуры. Использование Solana в качестве канала C2 предназначено для скрытности, позволяя злоумышленникам передавать команды посредством транзакций по цепочке, а не обычных серверных вызовов.

Хотя несколько репозиториев были идентифицированы как подвергшиеся компрометации, включая популярные пакеты на GitHub, пользователям рекомендуется проверять наличие признаков присутствия вредоносного ПО путем поиска определенных переменных-маркеров и отслеживания необычных изменений в своих системах. Угроза, исходящая от этой кампании, усугубляется изощренным использованием технологии блокчейн, что указывает на эволюцию тактики, используемой киберпреступниками в отношении атак на supply chain программного обеспечения. Исследователи безопасности продолжают следить за ситуацией, анализируя тонкости методов работы вредоносного ПО, чтобы разработать стратегии защиты от подобных проникновений.

#ParsedReport #CompletenessHigh
10-03-2026

BlackSanta EDR-Killer: A Silent Threat Targeting Recruitment Workflows

https://www.aryaka.com/docs/reports/blacksanta-edr-killer-threat-report.pdf

Report completeness: High

Threats:
Blacksanta_tool
Dll_sideloading_technique
Edr-killer
Spear-phishing_technique
Steganography_technique
Antidebugging_technique

Victims:
Hr and recruitment personnel

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1027.003, T1033, T1036.007, T1057, T1059.001, T1071.001, T1082, T1105, have more...

IOCs:
File: 44
Domain: 6
Registry: 2
IP: 11
Path: 3

Soft:
Dropbox, SumatraPDF, Ubuntu, ASP.NET, VirtualBox, qemu xen, Hyper-V, QEMU, Xen, Windows Defender, have more...

Algorithms:
zip, aes, base64

Functions:
Get-ChildItem

Win API:
IsDebuggerPresent, CheckRemoteDebuggerPresent, GetLogicalProcessorInformation, GetComputerNameA, GetUserNameA, GetUserDefaultLocaleName, GetUserDefaultLangID

Win Services:
WebClient

Languages:
powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4