#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GreenBlood - это программа-вымогатель на базе Go, нацеленная на Windows, использующая тактику двойного вымогательства путем шифрования файлов и угрозы раскрытия данных. Он добавляет расширения .tgbg или .gblood к затронутым файлам, отключив при этом меры безопасности с помощью таких команд, как `bcdedit` и `vssadmin`, чтобы стереть тени резервных копий. Стратегии обнаружения используют Wazuh для мониторинга подозрительных действий и правила YARA для выявления и удаления вредоносного ПО, уделяя особое внимание таким действиям, как создание записки с требованием выкупа и несанкционированное изменение файлов.
-----

GreenBlood ransomware - это недавно появившееся вредоносное ПО на базе Go, которое нацелено на среды Windows с помощью модели двойного вымогательства, шифруя файлы и угрожая раскрытием данных. Программа-вымогатель работает с высокой эффективностью, используя скомпилированный язык, который позволяет ей быстро выполняться и воздействовать на множество файлов одновременно. Процесс шифрования добавляет определенные расширения файлов (.tgbg или .gblood) к целевым файлам, в то время как примечания о выкупе озаглавлены READ_ME_TO_RECOVER_FILES.txt или HOW_TO_RECOVER_FILES.txt удаляются в различные каталоги, такие как Документы и загрузки.

После выполнения GreenBlood использует несколько команд для нарушения функциональности системы и отключения мер безопасности. Основные вредоносные действия включают использование таких команд, как `bcdedit` для подавления запросов на восстановление и `vssadmin`, `wmic` и `wbadmin` для незаметного удаления теневых копий. Кроме того, он отключает брандмауэр защитника Windows и защиту в режиме реального времени, изменяя параметры системного реестра. Чтобы устранить следы своего присутствия, программа-вымогатель выполняет сценарий очистки, расположенный во временной папке после шифрования.

Обнаружение GreenBlood облегчается благодаря интеграции Wazuh, которая использует пользовательские правила обнаружения, созданные для определения его специфического поведения. Например, оповещения срабатывают при создании уведомлений о выкупе, расширениях файлов, указывающих на шифрование, удалении системных резервных копий и изменениях настроек восстановления. Правила YARA также реализованы в дополнение к функциональности Wazuh, автоматически сканируя Вредоносные файлы и удаляя их, если они считаются вредоносными.

Система мониторинга целостности файлов Wazuh (FIM) еще больше повышает защиту, отслеживая изменения в файловой системе, что позволяет организациям своевременно обнаруживать специфические изменения. Модули активного реагирования в Wazuh позволяют автоматически запускать проверку YARA при обнаружении подозрительных файлов. Эта упреждающая стратегия сводит к минимуму потенциальный ущерб, эффективно устраняя угрозы до того, как они смогут реализоваться.

В процессе обнаружения также используется Sysmon для комплексного мониторинга событий, позволяющий Wazuh анализировать поведение системы и регистрировать события, связанные с активностью GreenBlood. При наличии определенных идентификаторов правил Wazuh может предупреждать о различных действиях программ-вымогателей, таких как изменение файлов при загрузке или обнаружение и удаление исполняемого файла GreenBlood.

#ParsedReport #CompletenessLow
13-03-2026

DRILLAPP: new backdoor targeting Ukrainian entities with possible links to Laundry Bear

https://lab52.io/blog/drillapp-new-backdoor-targeting-ukrainian-entities-with-possible-links-to-laundry-bear/

Report completeness: Low

Actors/Campaigns:
Void_blizzard

Threats:
Drillapp

Victims:
Ukrainian entities, Government sector, Charity sector

Geo:
Italy, Poland, China, United kingdom, Ukrainian, France, Canada, Brazil, Germany, Spain, Australia, Russia, Japan, Ukraine, India

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1059.007, T1071.001, T1102, T1105, T1113, T1119, T1123, have more...

IOCs:
Hash: 26
IP: 2
Url: 10

Soft:
Starlink, Microsoft Edge, Chrome

Algorithms:
exhibit

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания DRILLAPP, атрибутируемая с российскими злоумышленниками, нацелена на украинские организации и действует с февраля 2026 года, используя приманки судебной и благотворительной тематики для развертывания бэкдора на основе JavaScript через Microsoft Edge. Вредоносное ПО, которое позволяет манипулировать файлами и Захвата видеоданных, использует обфускацию и собирает данные отпечатков пальцев устройства, отправляя их на сервер управления. Второй вариант использует CPL-файлы для развертывания, сохраняя аналогичные функции при одновременном внедрении таких возможностей, как рекурсивный список файлов и использование протокола Chrome DevTools.
-----

Кампания DRILLAPP, выявленная LAB52, конкретно нацелена на украинские организации, и есть признаки, связывающие злоумышленников с Россией. Эта кампания, действующая с февраля 2026 года, использует различные приманки судебной и благотворительной тематики для запуска бэкдора на основе JavaScript через браузер Microsoft Edge. Бэкдор под названием DRILLAPP позволяет злоумышленникам выполнять несколько функций, включая загрузку файлов, захват аудио через микрофон и съемку изображений через веб-камеру, используя встроенные возможности браузера.

Первый вариант этого вредоносного ПО включает в себя представление приманок, таких как изображения, связанные с установкой Starlink, или поддельные запросы от украинской благотворительной организации Come Back Alive foundation. При активации вредоносное ПО запускает HTML-файл, который загружает удаленный скрипт из pastefy.app, используя методы запутывания для сокрытия. Усилия по деобфускации показали, что вредоносное ПО может собирать отпечатки пальцев устройства, используя Canvas Fingerprinting и другие метаданные, такие как размер экрана и язык. Этот отпечаток пальца сохраняется в постоянной памяти браузера и отправляется на сервер управления вместе с географической информацией жертвы, определяемой часовым поясом устройства. Бэкдор взаимодействует через WebSocket, подключенный к pastefy.app, с резервным вариантом localhost, который подразумевает возможные этапы отладки в процессе разработки.

Второй вариант, обнаруженный позже, в феврале 2026 года, меняет способ развертывания с файлов LNK на файлы CPL — модули Панели управления Windows, которые действуют как исполняемые библиотеки DLL. Несмотря на изменения метода развертывания, эта версия по-прежнему сохраняет функции, аналогичные первой. В нем используются приманки, основанные на официальных документах, включая изображения отчетов об изъятии оружия. Этот вариант предоставляет дополнительные возможности, такие как рекурсивный список файлов и пакетная загрузка, за счет использования протокола Chrome DevTools (CDP) из-за ограничений безопасности, ограничивающих прямую удаленную загрузку файлов через JavaScript.

Предыдущий образец, связанный с этой кампанией, загруженный из России 28 января, демонстрировал аналогичные методы заражения, но связанный с веб-сайтом "доброкачественный". gnome.com вместо того, чтобы запускать бэкдор.

#ParsedReport #CompletenessLow
13-03-2026

Ongoing Phishing Campaign Abusing Google Cloud Storage to Redirect Users to Multiple Scam Pages

https://malwr-analysis.com/2026/03/14/ongoing-phishing-campaign-abusing-google-cloud-storage-to-redirect-users-to-multiple-scam-pages/

Report completeness: Low

Victims:
Consumers

Industry:
Transport

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1090, T1102, T1204, T1204.001, T1566.002, T1583.001, T1584.006, T1598.001, have more...

IOCs:
Url: 7
Domain: 58

Soft:
twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по фишингу с использованием облачного хранилища Google направляет пользователей на различные мошеннические сайты, в основном в домене .autos. В нем есть централизованная страница, которая адаптируется на основе перенаправления пользователей, используя такие тактики, как поддельные опросы и предложения о работе, для сбора личной и финансовой информации. Злоумышленники генерируют большое количество электронных писем с фишингом, используя фильтрацию на основе IP для управления доступом, что усложняет усилия по обнаружению и позволяет часто менять темы фишинга.
-----

Недавний анализ выявил продолжающуюся кампанию фишинга, использующую инфраструктуру облачного хранилища Google для перенаправления пользователей на различные мошеннические сайты, в основном размещенные в домене верхнего уровня .autos. Ключевым аспектом этой кампании является централизованная страница облачного хранилища Google, которая функционирует как центр распределения трафика. Эта страница перенаправляет пользователей на несколько сайтов фишинга, основанных на заранее определенных конфигурациях кампаний, нацеленных на жертв с помощью различных мошеннических действий, включая поддельные опросы, схемы вознаграждения, антивирусные оповещения и ложные предложения о работе.

Характер попыток фишинга заключается в том, что жертв обманом заставляют предоставить личную или финансовую информацию, часто в рамках сценариев, требующих небольшой платы за доставку или завершение опроса. После того, как пользователи заполняют опрос, часто обещающий вознаграждение, их обычно просят предоставить данные кредитной карты для оплаты стоимости доставки. Этот метод свидетельствует о нацеленности кампании на сбор конфиденциальной информации под видом законных предложений.

Что примечательно, так это адаптивность инфраструктуры фишинга; в одном домене .autos может размещаться несколько тем мошенничества, которые меняются в зависимости от перенаправления пользователя. Это означает, что злоумышленники используют централизованную серверную часть, которая позволяет плавно менять темы для фишинга, что затрудняет жертвам и мерам безопасности выявление последовательных закономерностей в использовании домена. Развертывание многочисленных одноразовых доменов в домене .autos TLD еще больше поддерживает стратегию злоумышленников, позволяя часто вносить изменения в страницы фишинга при сохранении механизма доставки.

Было замечено, что кампания привела к появлению большого количества фишинг-писем: в течение одного дня появлялись сообщения о 40-50 электронных письмах, содержащих ссылки на облачные редиректы Google. Такая тревожная скорость распространения подчеркивает эффективность методологии злоумышленников. Кроме того, конструкция перенаправителя включает механизмы ограничения доступа с одного и того же IP-адреса. Как только пользователь получает доступ к странице фишинга, последующие попытки с этого IP-адреса могут привести к ошибкам или перенаправлению на несвязанные сайты. Такое поведение предполагает использование фильтрации на основе IP или Систем распределения трафика, которые широко распространены в стратегиях вредоносного трафика, позволяя злоумышленникам управлять доступом и оптимизировать эффективность своих операций фишинга, не привлекая непосредственного внимания.

#ParsedReport #CompletenessHigh
13-03-2026

Operation CamelClone: Multi-Region Espionage Campaign Targets Government and Defense Entities Amidst Regional Tensions

https://www.seqrite.com/blog/operation-camelclone-multi-region-espionage-campaign-targets-government-and-defense-entities-amidst-regional-tensions/

Report completeness: High

Actors/Campaigns:
Camelclone (motivation: cyber_espionage, financially_motivated)

Threats:
Hoppingant
Spear-phishing_technique
Rclone_tool

Victims:
Government agencies, Defense and military organizations, Foreign affairs and international cooperation departments, Policy and diplomatic institutions, Energy and strategic resource sectors

Industry:
Government, Logistic, Military, Energy

Geo:
Chinese, Middle east, Kuwait, Russian, Italy, China, Russia, Ukraine, Africa, Morocco, Mongolia, Algeria, Ukrainian

TTPs:
Tactics: 6
Technics: 11

IOCs:
File: 12
Domain: 1
Url: 12
Command: 1
Email: 4
Hash: 13

Soft:
Telegram

Algorithms:
zip, sha256, base64, xor

Languages:
javascript, powershell

Links:
https://github.com/rclone/

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, dump: 1, code: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция CamelClone - это шпионская кампания, нацеленная на правительственный и оборонный секторы в условиях геополитической напряженности. Он использует многоуровневую цепочку заражения, начинающуюся с вредоносных ZIP-файлов, содержащих файлы LNK, которые запускают скрипты PowerShell для загрузки загрузчика JavaScript HOPPINGANT с общедоступных сайтов обмена файлами. Загрузчик выполняет команды в кодировке Base64, в конечном итоге развертывая Rclone для извлечения конфиденциальных документов, в то время как кампания демонстрирует последовательное использование аналогичных полезных нагрузок и инфраструктуры в различных странах, таких как Алжир, Монголия, Украина и Кувейт.
-----

Операция CamelClone включает в себя изощренную шпионскую кампанию, направленную против правительственных и оборонных структур во многих регионах, особенно под влиянием текущей геополитической напряженности. К основным затронутым отраслям промышленности относятся правительственные учреждения, военные организации, министерства иностранных дел и энергетический сектор. Кампания демонстрирует многогранную цепочку заражения, начинающуюся с вредоносных архивов и переходящую к запуску загрузчика JavaScript с именем HOPPINGANT.

Процесс заражения начинается с ZIP-файлов, содержащих вредоносные ярлыки и ложные изображения, имитирующие официальные правительственные документы. Например, первоначальные образцы были названы так, чтобы выдавать себя за организации из Алжира и Монголии, с содержанием, предназначенным для должностных лиц соответствующих государственных органов. Злоумышленники использовали не только локализованные темы, такие как жилищное строительство или военное сотрудничество, но и координировали свои усилия в географически связанных регионах для усиления воздействия.

Вредоносные архивы содержат файлы LNK, которые выполняют скрипты PowerShell. Эти скрипты загружают и запускают загрузчик JavaScript HOPPINGANT с общедоступного веб-сайта для обмена файлами. Загрузчик использует Windows Script Host для выполнения команд PowerShell в кодировке Base64, дополнительно извлекая полезную нагрузку, которая в конечном итоге используется для эксфильтрации данных. Конечная полезная нагрузка - это исполняемый файл Rclone, который ненадлежащим образом используется для загрузки конфиденциальных документов из систем компрометации во внешние службы хранения данных, такие как MEGA.

Злоумышленники использовали общедоступные инфраструктуры обмена файлами, а не традиционные системы управления (C2), что усложняет обнаружение с точки зрения мер безопасности. На протяжении всех кампаний, нацеленных на Алжир, Монголию, Украину и Кувейт, наблюдалось постоянное использование одних и тех же доменов хостинга и структур полезной нагрузки, что указывает на скоординированные операции. Поведение вредоносного ПО — в частности, использование Rclone — наряду с аналогичными методами кодирования, такими как шифрование XOR для хранения учетных данных, предполагает, что все наблюдаемые образцы относятся к объединенным усилиям, а не к отдельным атакам.

Хотя определить конкретного злоумышленника по-прежнему не удается, оперативные схемы указывают на тесную связь с целями сбора разведывательных данных, направленными на мониторинг дипломатических отношений и оборонных возможностей в пострадавших регионах. По мере развития кампании необходим дальнейший мониторинг ее инфраструктуры и TTP (тактики, методов и процедур), чтобы получить больше информации о вовлеченных акторах и их стратегических целях.

#ParsedReport #CompletenessMedium
14-03-2026

ForceMemo: Hundreds of GitHub Python Repos Compromised via Account Takeover and Force-Push

https://www.stepsecurity.io/blog/forcememo-hundreds-of-github-python-repos-compromised-via-account-takeover-and-force-push

Report completeness: Medium

Actors/Campaigns:
Forcememo

Threats:
Glassworm
Supply_chain_technique
Steganography_technique

Victims:
Github developers, Python open source projects, Django applications, Machine learning research projects, Streamlit dashboards, Flask apis, Pypi ecosystem users

Industry:
Financial

Geo:
Russian, Russia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.006, T1059.007, T1078, T1102, T1105, T1555

IOCs:
File: 2
IP: 9

Soft:
Django, ion of No, bject, Node.js, macOS, Flask

Wallets:
metamask

Crypto:
solana

Algorithms:
base64, aes, xor

Languages:
python, javascript

Platforms:
x64, cross-platform, arm

Links:
https://gist.github.com/tip-o-deincognito/d0d05e148e87a515f534b5a8e9ed3b36
have more...
https://github.com/search?q=lzcdrtfxyqiplpd&type=code

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ForceMemo активно компрометирует учетные записи GitHub и внедряет вредоносное ПО в репозитории Python, особенно затрагивая проекты Django и машинного обучения. Злоумышленники используют вредоносное ПО GlassWorm, чтобы получить доступ к токенам GitHub, что позволяет им добавлять запутанный вредоносный код в проекты, придавая обновлениям видимость законности. Вредоносное ПО использует канал управления блокчейном Solana для скрытных операций, нацеливаясь на конфиденциальную информацию, такую как данные криптовалютного кошелька, и демонстрируя значительную эволюцию тактики киберпреступников.
-----

Недавняя кампания, идентифицированная как ForceMemo, привела к компрометации сотен учетных записей GitHub, что привело к внедрению вредоносного ПО в многочисленные репозитории Python. Самые ранние случаи заражения были прослежены до 8 марта 2026 года, когда кампания все еще была активна и могла привести к компрометации новых репозиториев. Злоумышленники нацелены на различные проекты на базе Python, включая приложения Django и код машинного обучения, и они добавляют запутанный вредоносный код к таким критически важным файлам, как setup.py и main.py . Установка или выполнение любого кода из этих хранилищ компрометации запускает вредоносное ПО.

Процесс атаки начинается с захвата учетной записи, которому способствует вредоносное ПО GlassWorm, которое заражает разработчиков с помощью вредоносного кода Visual Studio и расширений Cursor. Как только злоумышленники получают токены GitHub с помощью модуля кражи учетных данных GlassWorm's, они могут принудительно отправлять коммиты компрометации в репозитории, добавляя свое вредоносное ПО, сохраняя при этом метаданные исходного коммита, что создает обманчивую видимость того, что обновления являются законными.

Само вредоносное ПО запутывается с использованием нескольких уровней, включая кодировку base64, сжатие zlib и шифрование XOR со статическим ключом. В нем содержатся проверки для предотвращения выполнения в системах, расположенных в России, что свидетельствует о восточноевропейских методах обеспечения оперативной безопасности в связи с киберпреступностью. Наиболее тревожной особенностью вредоносного ПО является использование блокчейна Solana в качестве канала управления (C2), что делает инструкции неизменяемыми и устойчивыми к цензуре за счет считывания URL-адресов полезной нагрузки непосредственно из транзакций.

После запуска вредоносного ПО загружается полезная нагрузка Node.js в домашний каталог жертвы и извлекает зашифрованную полезную нагрузку JavaScript с указанного URL-адреса. Эта полезная нагрузка структурирована таким образом, чтобы красть конфиденциальную информацию, в частности, нацеливаясь на данные расширений браузера, связанные с криптовалютными кошельками, что важно, учитывая продолжающиеся кражи, связанные с криптографией, в киберпреступности.

Технический анализ атаки показал, что вредоносное ПО пытается подключиться к нескольким конечным точкам Solana RPC, тем самым повышая устойчивость к отключениям инфраструктуры. Использование Solana в качестве канала C2 предназначено для скрытности, позволяя злоумышленникам передавать команды посредством транзакций по цепочке, а не обычных серверных вызовов.

Хотя несколько репозиториев были идентифицированы как подвергшиеся компрометации, включая популярные пакеты на GitHub, пользователям рекомендуется проверять наличие признаков присутствия вредоносного ПО путем поиска определенных переменных-маркеров и отслеживания необычных изменений в своих системах. Угроза, исходящая от этой кампании, усугубляется изощренным использованием технологии блокчейн, что указывает на эволюцию тактики, используемой киберпреступниками в отношении атак на supply chain программного обеспечения. Исследователи безопасности продолжают следить за ситуацией, анализируя тонкости методов работы вредоносного ПО, чтобы разработать стратегии защиты от подобных проникновений.

#ParsedReport #CompletenessHigh
10-03-2026

BlackSanta EDR-Killer: A Silent Threat Targeting Recruitment Workflows

https://www.aryaka.com/docs/reports/blacksanta-edr-killer-threat-report.pdf

Report completeness: High

Threats:
Blacksanta_tool
Dll_sideloading_technique
Edr-killer
Spear-phishing_technique
Steganography_technique
Antidebugging_technique

Victims:
Hr and recruitment personnel

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1027.003, T1033, T1036.007, T1057, T1059.001, T1071.001, T1082, T1105, have more...

IOCs:
File: 44
Domain: 6
Registry: 2
IP: 11
Path: 3

Soft:
Dropbox, SumatraPDF, Ubuntu, ASP.NET, VirtualBox, qemu xen, Hyper-V, QEMU, Xen, Windows Defender, have more...

Algorithms:
zip, aes, base64

Functions:
Get-ChildItem

Win API:
IsDebuggerPresent, CheckRemoteDebuggerPresent, GetLogicalProcessorInformation, GetComputerNameA, GetUserNameA, GetUserDefaultLocaleName, GetUserDefaultLangID

Win Services:
WebClient

Languages:
powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания BlackSanta, атрибутируемая с русскоязычным злоумышленником, использует продвинутый Целевой фишинг для нацеливания на персонал отдела кадров, в основном используя вредоносные ISO-файлы, замаскированные под резюме. Он использует многоэтапный процесс развертывания, включая DLL sideloading с помощью законного приложения, и использует методы защиты от виртуальных машин и отладки, позволяющие избежать обнаружения при сборе системной информации для обмена данными управления. Вредоносное ПО также интегрирует компоненты для нарушения работы EDR-решений и поддержания долгосрочного доступа для эксфильтрации данных, демонстрируя свой изощренный подход к постоянной компрометации и скрытности.
-----

Недавно раскрытая вредоносная кампания BlackSanta, атрибутируемая с русскоязычным злоумышленником, в первую очередь нацелена на отдел кадров и подбор персонала с помощью изощренной тактики Целевого фишинга. Вредоносные электронные письма содержат ссылки на загрузку ISO-файлов, которые маскируются под законные резюме. Во время первоначального заражения эти ISO-файлы запускают многоэтапную цепочку развертывания вредоносного ПО, которая незаметно приводит к компрометации систем. Заметный образец инфекции с надписью "Celine_Pesant.iso ," приводит к последовательности выполнения, которая включает в себя ярлык Windows, скрипты PowerShell и методы Стеганографии для извлечения скрытых данных для дальнейшего использования.

В атаке используется метод DLL sideloading, при котором законное приложение (SumatraPDF) обманом загружает вредоносную библиотеку DLL (DWrite.dll ) из того же каталога, что позволяет вредоносному ПО обходить стандартные меры безопасности. После выполнения, DWrite.dll выполняет обширную проверку системы путем сбора важных сведений об операционной системе и подготовки к взаимодействию с сервером управления (C2). Он кодирует системную информацию и передает ее как часть запроса HTTPS POST на C2, получая плацдарм для последующих вредоносных действий.

Методы защиты от виртуальных машин, анти-отладки и обхода защиты являются неотъемлемой частью операций BlackSanta's. Вредоносное ПО обнаруживает присутствие виртуальных машин или средств отладки с помощью различных проверок, включая анализ системных свойств и блоков среды обработки. Если обнаружены индикаторы сред анализа, вредоносное ПО завершает выполнение, чтобы избежать обнаружения. Кроме того, он изменяет настройки защитника Windows, отключая защитные функции, что еще больше обеспечивает необнаруженную работу.

Важнейшим компонентом этой экосистемы вредоносного ПО является BlackSanta EDR-killer, специализирующийся на решениях для обнаружения конечных точек и реагирования на них (EDR). Нейтрализуя эти средства защиты, вредоносное ПО может выполнять дополнительные полезные нагрузки незамеченным. Кампания действовала незаметно более года, демонстрируя передовые тактики, которые включают эксфильтрацию данных, HTTPS-связь с серверами C2 и использование низкоуровневых драйверов, позволяющих обходить средства контроля безопасности.

Сложная инфраструктура вредоносного ПО позволяет загружать различные компоненты, включая элементы "Принесите свой собственный драйвер" (BYOD), которые облегчают более глубокий доступ к системе. Такая тщательная согласованность методов гарантирует, что злоумышленник сохраняет постоянный контроль над системами компрометации, обеспечивая масштабную кражу данных и избегая усилий по обнаружению на протяжении всего жизненного цикла эксплуатации. Скрытный и ориентированный на закрепление характер операций BlackSanta подчеркивает растущую сложность киберугроз, нацеленных на организационную среду.

#ParsedReport #CompletenessMedium
13-03-2026

First instance of PylangGhost RAT observed on npm

https://kmsec.uk/blog/pylangghost-npm/

Report completeness: Medium

Actors/Campaigns:
Famous_chollima
Jaime9008

Threats:
Pylangghost

Victims:
Software supply chain, Npm ecosystem

Geo:
Dprk

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.006, T1071.001, T1082, T1195

IOCs:
Email: 1
Domain: 1
IP: 1
Hash: 2
File: 7
Url: 2

Soft:
curl, macOS, linux, Chrome

Algorithms:
xor, zip

Functions:
createWriteStream, setTimeout

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PylangGhost, Троянская программа для удаленного доступа, связанная с преступной хакерской группировкой FAMOUS CHOLLIMA, была обнаружена в пакетах на npm, в частности, содержащих запутанный загрузчик и вредоносные файлы JavaScript. Вредоносное ПО имеет жестко запрограммированный сервер управления (IP: 173.211.46.22, порт: 8080) и может использовать расширения Chrome для перечисления конфиденциальных данных. Такая эволюция тактики подчеркивает опасения по поводу возможностей наблюдения вредоносного ПО и вызывает тревогу по поводу безопасности в экосистемах разработки программного обеспечения.
-----

PylangGhost - это Троянская программа для удаленного доступа (RAT), о которой впервые публично сообщила Cisco Talos в июне 2025 года и которая связана с преступной хакерской группировкой FAMOUS CHOLLIMA. Недавно вредоносное ПО было замечено в конце февраля - начале марта 2026 года, когда на платформе npm (Node Package Manager) были обнаружены два пакета, связанных с пользователем по имени jaime9008, что ознаменовало его первое появление в этом репозитории. Этот инцидент свидетельствует о быстрой эволюции штамма вредоносного ПО с момента его первоначального раскрытия.

Идентифицированные пакеты — в частности, версии `react-refresh-update` и `@jaime9008/math-service` — содержали запутанный загрузчик для PylangGhost. Сканирование выявило определенные действия по загрузке внутри пакетов, с такими версиями, как `react-refresh-update v1.0.4` и `@jaime9008/math-service v1.0.2`, успешно распространяющими вредоносные файлы JavaScript, такие как `runtime.js ` и`lib.js `. Сообщалось, что размер загрузчика составляет 29 МБ, что говорит о значительной функциональности, хотя его критиковали за громоздкость в эксплуатации.

Ключевой технической деталью является инфраструктура управления (C2), связанная с PylangGhost, которая, как сообщается, жестко закодирована в файлах конфигурации вредоносного ПО. Идентифицированный IP-адрес сервера C2 - 173.211.46.22, работающий через порт 8080. Эта информация стратегически встроена в вредоносное ПО, указывая на то, что операторы внедрили постоянный метод управления зараженными системами.

Дополнительные результаты включают наличие идентификаторов расширений Chrome, связанных с PylangGhost, что подразумевает, что вредоносное ПО также может использовать расширения браузера для потенциального перечисления и захвата конфиденциальных данных. Эти особенности подчеркивают эволюционирующую тактику злоумышленника, стоящего за PylangGhost, вызывая опасения по поводу его способности к широкомасштабному наблюдению и контролю за зараженными средами. Технические детали, связанные с этим RAT, подчеркивают необходимость бдительности в экосистемах разработки программного обеспечения, особенно при мониторинге и защите пакетов npm от подобных угроз.

#ParsedReport #CompletenessMedium
16-03-2026

Four Arms, One Monster: GlassWorm Invades GitHub, NPM, VS Code and PyPI

https://opensourcemalware.com/blog/four-arms-one-monster

Report completeness: Medium

Actors/Campaigns:
Forcememo
Polinrider
Tasksjacker

Threats:
Glassworm
Supply_chain_technique
Etherhiding_technique
Beavertail
Invisibleferret
Ottercookie

Victims:
Software supply chain, Developers, Open source ecosystems, Github projects, Npm packages, Vs code extensions, Pypi packages

Industry:
Financial, E-commerce

Geo:
Russian, Moscow, Dprk

TTPs:
Tactics: 5
Technics: 0

IOCs:
IP: 15
File: 5
Url: 1

Soft:
VSCode, Node.js, BitTorrent

Wallets:
tron

Crypto:
solana

Algorithms:
xor, aes, base64

Functions:
_isRussianSystem

Languages:
javascript, python

Platforms:
cross-platform