#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания, базирующаяся во Вьетнаме, использует Троянскую программу удаленного доступа (RAT), которая использует .NET DLL на основе Rebex для своей инфраструктуры C2, начиная с обманчивого zip-файла, содержащего CHM-файл, скомпилированный в HTML. ВПО извлекает его содержимое для вызова переименованного интерпретатора Python, что приводит к криптографически запутанной библиотеке DLL с именем _WwWQPVGiYq.dll , который устанавливает закрепление путем изменения реестра оболочки Windows и создания запланированной задачи. Этот RAT может выполнять команды и загружать файлы через API Телеграм, что указывает на сложный подход, позволяющий оставаться незамеченным.
-----

Вредоносная кампания выходцев из Вьетнама включает в себя троянская программа (RAT) использование Rebex основе .Чистая DLL для ее командования и управления (C2), развитая инфраструктура. Инфекция начинается с zip файл, содержащий скомпилированный HTML (CHM-файл) предназначен, чтобы обмануть пользователей в полагая, что документ поврежден. При открытии CHM-файл, на ВПО работает hh.exe -D, чтобы извлечь его содержимое во временный каталог, из которого он вызывает переименован Python переводчик, чтобы запустить декомпилированы .файл pyc. Этот этап устанавливает последующего исполнения DLL файл, который криптографически обфусцирован с помощью операции XOR шифрование.

Полезная нагрузка, представленная библиотекой DLL с именем _WwWQPVGiYq.dll , отвечает за выполнение следующего этапа атаки, а также обеспечивает закрепление за счет компрометации оболочки Windows путем изменения реестра. Он устанавливает стратегии закрепления, внедряясь в реестр HKEY_CURRENT_USER под ключом оболочки Winlogon и создавая запланированную задачу для автоматического запуска каждую пятницу. Библиотека DLL оснащена рядом переменных окружения, предназначенных для облегчения скрытых операций, которые скрывают природу ее деятельности.

Конечная цель этого ВПО - работать как RAT на базе Телеграм. Он использует модифицированную версию Rebex.Common.библиотека dll, которая была изменена для вредоносных операций. RAT поддерживает базовые командные функции, такие как регистрация (“ping”), выполнение команд и загрузка файлов через API Телеграм. Эти команды подразумевают, что злоумышленник может сохранять контроль над системой компрометации, оставаясь гибким в управлении токенами, демонстрируя хорошо продуманный подход, позволяющий избежать обнаружения.

Несмотря на свою функциональность, ВПО в настоящее время не обнаружено в VirusTotal, что указывает на то, что оно все еще находится под контролем многих решений для обеспечения безопасности. Общая структура и последовательность используемых тактик, методов и процедур (TTP) свидетельствуют о целенаправленной вредоносной кампании против вьетнамских организаций, хотя связи с конкретными злоумышленниками окончательно установлены не были. Этот инцидент свидетельствует о растущем использовании законных библиотек в неблаговидных целях и подчеркивает эволюционирующую тактику, применяемую престпными группировками в регионе.

#ParsedReport #CompletenessLow
23-04-2026

Trigona Affiliates Deploy Custom Exfiltration Tool to Streamline Data Theft

https://www.security.com/threat-intelligence/trigona-exfiltration-custom

Report completeness: Low

Threats:
Trigona
Rclone_tool
Megasync_tool
Hrsword_tool
Pchunter_tool
Gmer_tool
Ydark_tool
Dumpguard_tool
Powerrun_tool
Anydesk_tool
Mimikatz_tool
Byovd_technique
Passview_tool
Vncpassview_tool
Netscan_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1219, T1543.003, T1555, T1562.001, T1587.001

IOCs:
File: 3
Hash: 42
IP: 1

Soft:
Huorong

Functions:
Symantec

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2026 года филиалы Trigona ransomware начали использовать пользовательский инструмент эксфильтрации, отойдя от обычных утилит, таких как Rclone, чтобы снизить риски обнаружения. Их стратегия включала развертывание HRSword пакета сетевой безопасности Huorong в качестве драйвера ядра для отключения мер безопасности, используя повышенные привилегии для дальнейших атак с помощью таких инструментов, как PowerRun. Кроме того, они использовали AnyDesk для удаленного доступа и использовали Mimikatz для кражи учетных данных, что свидетельствует о возросшей технической сложности и тенденции к разработке проприетарного ВПО в операциях вымогателей.
-----

В марте 2026 года филиалы Trigona ransomware заметно изменили свою тактику, внедрив специально разработанный инструмент эксфильтрации для улучшения процессов кражи данных. Как правило, группы программ-вымогателей используют широко известные утилиты, такие как Rclone или MegaSync, для эксфильтрации данных; однако использование Trigona's проприетарного ВПО подчеркивает потенциальную стратегию уклонения от обнаружения системами безопасности. Это изменение подразумевает усилия по минимизации видимости на критических этапах их кампаний, поскольку общедоступные инструменты становятся все более узнаваемыми и часто помечаются решениями для обеспечения безопасности.

Оперативные стратегии Trigona, который возник в конце 2022 года, так как в программа-вымогатель как услуга модель Raas Раас), включает в себя ряд пре-эксфильтрация мероприятий, направленных на демонтаж защитных мер. Злоумышленники систематически установлен HRSword в Huorong сетевой безопасности номере hrsword как услуга драйвер ядра наряду с несколькими другими безопасность-отключение инструменты, такие как PCHunter, Gmer, YDark, WKTools, DumpGuard, и StpProcessMonitorByovd. Эти предприятия часто используют уязвимости в драйверах ядра, чтобы подорвать защиту конечных точек, что позволяет злоумышленникам выполнять операции с повышенными привилегиями, используя такие инструменты, как PowerRun. Эксплуатируется на уровне ядра, такие ВПО может обойти традиционные пользователей-режим протоколы безопасности.

Злоумышленники также получили удаленный доступ к зараженным системам через AnyDesk и осуществили кражу учетных данных, используя сложные инструменты, такие как Mimikatz и различные приложения для восстановления паролей от Nirsoft. Такая тактика не только облегчает доступ к конфиденциальной информации, но и укрепляет позиции злоумышленников в общей среде компрометации.

Редкость пользовательского ВПО в экосистеме программ-вымогателей указывает на значительное повышение технической изощренности злоумышленников. Разработка проприетарных инструментов требует значительных инвестиций в ресурсы разработки, но при этом дает злоумышленникам стратегическое преимущество в скрытности. Хотя внедрение таких инструментов сопряжено с неотъемлемыми рисками, а именно с возможностью обнаружения, при обеспечении оперативной безопасности они предоставляют способ скрыть преступную деятельность от обычных методов обнаружения, обозначая потенциальную тенденцию в будущих операциях программ—вымогателей.

#ParsedReport #CompletenessHigh
24-04-2026

The npm Threat Landscape: Attack Surface and Mitigations

https://unit42.paloaltonetworks.com/monitoring-npm-supply-chain-attacks/

Report completeness: High

Actors/Campaigns:
Axios_compromise
Teampcp

Threats:
Shai-hulud
Credential_harvesting_technique
Dead_drop_technique
Supply_chain_technique
Typosquatting_technique

Victims:
Software development, Security tooling, Cloud services, Developer environments

Industry:
Healthcare, Software_development, Iot

Geo:
Asia, Japan, Korea, Australia, Middle east, Russian, India

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.013, T1036.005, T1041, T1059.007, T1070.004, T1082, T1102.001, T1105, T1140, have more...

IOCs:
Domain: 3
File: 9
IP: 2
Url: 3
Hash: 4
Email: 1

Soft:
Bitwarden, Docker, alpine, debian, Trivy, LiteLLM, Node.js, Linux, macOS, claude, have more...

Algorithms:
prng, gzip, base64, sha1, zip, rsa-4096, aes-256-gcm, sha256

Functions:
GetParameter, getSecretsFromVault

Languages:
javascript

Platforms:
x64, arm

Links:
https://docs.github.com/en/authentication/keeping-your-account-and-data-secure/managing-your-personal-access-tokens
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ландшафт угроз npm значительно изменился после появления червя Shai-Hulud, который использует экосистему npm для распространения вредоносных пакетов. Известные методы атаки включают в себя червеобразное распространение, нацеленное на токены npm и GitHub, и встраивание в конвейеры CI/CD для устойчивого доступа. Известный инцидент был связан с вредоносным пакетом npm, выдававшим себя за Bitwarden CLI, выполняющим сложные многоэтапные полезные нагрузки для кражи учетных данных и бэкдорных пакетов npm, при этом применяя сложную обфускацию и используя GitHub для скрытой передачи данных.
-----

НПМ опасный ландшафт существенно изменился с появлением Shai-hulud червя в сентябре 2025, знаменует собой переход от низших воздействие ложных атак до более серьезных, систематических угроз. В Shai-hulud Хулуд пример продвинутая форма ВПО, который использует НПМ экосистемы для распространения вредоносных пакетов, указывая на резкое ускорение по частоте и изощренности компромиссы цепи поставок.

Ключевые методы атак, наблюдаемые с момента появления Shai-Hulud's, включают в себя "червеобразное распространение", когда вредоносная полезная нагрузка сосредоточена на краже токенов npm и токенов личного доступа GitHub (PATs) для распространения дальнейших атак. Примечательным примером является Axios compromise в марте 2026 года. Злоумышленники теперь внедряются глубоко в конвейеры CI/CD для долгосрочного доступа, а не просто для кражи данных. Распространенными также стали многоступенчатые полезные нагрузки, использующие бездействующие зависимости, которые активируются при определенных условиях, чтобы избежать обнаружения.

Значительная атака была связана с вредоносным пакетом npm, имитирующим законный Bitwarden CLI, идентифицированный как версия 2026.4.0 и атрибутированный с TeamPCP. После установки этот пакет выполняет многоэтапную загрузку, в первую очередь воруя учетные данные у облачных провайдеров и систем непрерывной интеграции. Затем ВПО самораспространяется, внедряясь в любой пакет npm, который может опубликовать жертва. Эта атака иллюстрирует, как злоумышленники могут использовать доверие, встроенное в реестр npm, в качестве мощного механизма распределения своей полезной нагрузки.

Широкие компромиссы цепи поставок, связанные в этой атаке включенными в отравлении нескольких каналов распределения Checkmarx, такие как Docker Hub и действия на GitHub, используя все похожие командования и управления (C2) инфраструктура и методы кодирования.

В ВПО нагрузки-особенно примечателен своими размерами и сложностью. Она включает в себя такие законных пакеты SDK в сочетании с вредоносным кодом, а используют современные запутывания приемы, такие как подстановочный шифр, чтобы скрыть важные компоненты, включая С2 доменов. Credential Harvesting носит систематический характер, адресность помощью npm и GitHub учетные данные через регулярные выражения, с эксфильтрация эксфильтрации, которые используют GitHub для скрытой передачи данных, даже если прямые С2 каналы разрушены.

Механизм самовоспроизводящегося ВПО вредоносного ПО позволяет ему манипулировать законными пакетами npm, эффективно переписывая файлы package.json для включения вредоносных перехватов. Он реализует стратегию отказоустойчивости для связи C2 с использованием общедоступного поискового API GitHub, напоминающего dead Drop для команд и данных, гарантируя, что даже при блокировке основных каналов ВПО все еще может функционировать.

В ответ на эти угрозы организациям настоятельно рекомендуется блокировать идентифицированные домены C2, менять потенциально компрометацию учетных данных, проводить тщательный аудит поддерживаемых пакетов npm и применять строгую фильтрацию исходящих данных в конвейерах CI/CD. Меняющийся ландшафт подчеркивает необходимость постоянной бдительности и адаптивных мер безопасности для противодействия все более изощренным атакам, нацеленным на supply chains программного обеспечения.

#ParsedReport #CompletenessLow
22-04-2026

CVE-2026-33626: How attackers exploited LMDeploy LLM Inference Engines in 12 hours

https://webflow.sysdig.com/blog/cve-2026-33626-how-attackers-exploited-lmdeploy-llm-inference-engines-in-12-hours

Report completeness: Low

Victims:
Lmdeploy, Artificial intelligence infrastructure, Inference servers, Model gateways, Agent orchestration tools

CVEs:
CVE-2026-33626 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- internlm lmdeploy (<0.12.3)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016.001, T1046, T1190, T1499.004, T1552.005

IOCs:
IP: 3
Domain: 1
File: 1
Url: 1

Soft:
Redis, MySQL, OpenAI, Ollama, Docker

Functions:
_is_safe_url

Links:
https://github.com/InternLM/lmdeploy
have more...
https://github.com/advisories/GHSA-6w67-hwm5-92mq

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В LMDeploy была обнаружена уязвимость CVE-2026-33626 для подделки запросов на стороне сервера (SSRF), что делает ее уязвимой для использования из-за неадекватных проверок разрешения имен хостов и отсутствия сетевой защиты. Попытки эксплуатации начались вскоре после раскрытия информации, когда злоумышленники использовали загрузчик изображений на языке vision для проведения сканирования сети, нацеленного на службы метаданных AWS и базы данных. Этот инцидент подчеркивает растущую тенденцию быстрого использования уязвимостей в инфраструктуре искусственного интеллекта, потенциально ставящую под угрозу конфиденциальные ресурсы и нарушающую работу служб.
-----

21 апреля 2026 года в LMDeploy, наборе инструментов, предназначенном для обслуживания моделей vision-language и text large language, созданных Шанхайской лабораторией искусственного интеллекта, была обнаружена уязвимость для подделки запросов на стороне сервера (SSRF), зарегистрированная как CVE-2026-33626. Уязвимость связана с отсутствием проверок разрешения имен хостов, отсутствием списка блокировок в частной сети и недостаточной защитой локальных адресов. Следовательно, любой URL-адрес со схемой http:// или https:// может быть извлечен и ретранслирован сервером, что позволяет потенциальным злоумышленникам использовать это слабое место.

Чуть более чем через 12 часов после раскрытия уязвимости были замечены попытки ее использования. Группа по исследованию угроз Sysdig отметила, что злоумышленник использовал загрузчик изображений vision-language для проведения сканирования портов во внутренней сети. Это выявило важные цели, включая службу метаданных экземпляра AWS (IMDS), Redis, базы данных MySQL, дополнительные административные интерфейсы HTTP и точки эксфильтрации DNS вне диапазона. Эксплуатация характеризовалась быстрым восьмиминутным сеансом, во время которого первый запрос был направлен непосредственно на AWS IMDS, за которым последовало зондирование порта обратной связи Redis.

Стратегия злоумышленника продемонстрировала, как SSRF можно использовать в качестве оружия в контексте облачной инфраструктуры, используя преимущества общих портов, таких как 6379 для Redis, известных тем, что они становятся мишенью после доступа по IMDS. После этой разведки были предприняты дальнейшие попытки установить точки выхода, используя внеполосный обратный вызов DNS для эксфильтрации данных.

Последствия CVE-2026-33626 глубоки, особенно потому, что в нем подчеркивается тревожная тенденция: критические уязвимости в инфраструктуре, связанной с искусственным интеллектом, все чаще используются в течение нескольких часов после раскрытия. Злоумышленники могут использовать эти уязвимости для получения доступа к конфиденциальным ресурсам, включая учетные данные IAM и облачные метаданные. Такой доступ может привести к серьезным последствиям, включая компрометацию Облачных учетных записей и сбои в обслуживании из-за отказов в обслуживании процессов вывода.

Защитные стратегии жизненно важны, учитывая эту модель быстрой эксплуатации. Защита на прикладном уровне должна включать ведение журнала и оповещение о запросах, отправленных во внутренние сетевые диапазоны или хорошо известные сервисные порты. Более того, на уровне хоста обнаружение во время выполнения должно быть сосредоточено на выявлении исходящих подключений из процессов вывода, особенно к конечным точкам облачных метаданных. Быстрое выявление попыток эксплуатации подчеркивает необходимость принятия упреждающих мер безопасности, отказ от использования отложенных исправлений или сканирований для обеспечения целостности фреймворков, обслуживающих искусственный интеллект, перед лицом возникающих угроз.

#ParsedReport #CompletenessMedium
23-04-2026

CTI Report: ShadowByt3$ Retaliation Package Targeting Researcher

https://barricadecyber.com/cti-report-shadowbyt3-retaliation-package-targeting-researcher/

Report completeness: Medium

Actors/Campaigns:
Shadowbyt3
Root_sploit

Threats:
Prince_ransomware
Redline_stealer
Raccoon_stealer
Lumma_stealer
Screenconnect_tool
Steganography_technique

Victims:
Cybersecurity, Research, Financial services, Education, Hospitality, Technology

Industry:
Education, E-commerce, Financial

Geo:
America, Argentina, Canadian, Georgia, Russian, Pacific, Los angeles

ChatGPT TTPs:
do not use without manual check
T1036, T1588.001, T1593.001

IOCs:
IP: 1
Hash: 1
Email: 1

Soft:
ChatGPT, Chrome, Linux, Telegram, Discord, Unix, macOS, Windows Subsystem for Linux, Photoshop

Algorithms:
sha256, zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогателей ShadowByt3$ предприняла попытку возмездия исследователю, опубликовав их информацию вместе с сфабрикованным журналом действий стиллера, в котором отсутствуют доказательства успешной компрометации. Содержимое журнала указывает на несоответствия с заявлениями группы об отказе от использования искусственного интеллекта и выявляет существенные недостатки, такие как идентификатор Аппаратного обеспечения-заполнителя. Дальнейший анализ раскрывает сомнительное происхождение архива и демонстрирует оперативную некомпетентность группы, подрывая их угрозы.
-----

Группа вымогателей ShadowByt3$ предприняла ответные действия против исследователя из Barricade Cyber Solutions, опубликовав их информацию на сайте утечки данных. Архив, сопровождающий doxx, включал ZIP-файл, который в основном состоит из общедоступных данных LinkedIn об исследователе, а также сфабрикованный журнал, указывающий на активность стиллера. Однако в этом журнале нет никаких свидетельств успешной компрометации каких-либо систем Barricade, клиентов или устройств исследователя.

В отношении претензий группы выявились ключевые несоответствия. Несмотря на заявления о том, что они не используют Искусственный интеллект, содержимое архива возмездия содержит артефакты, свидетельствующие об обратном. Например, конкретные фразы и форматы в файлах cookie указывают на использование выходных данных языковой модели отказа, что подрывает их отказ. Кроме того, указано, что код выкупа является производным от ранее просочившейся программы-вымогателя, что группа косвенно подтвердила, признавшись в повторном использовании этого кода.

Детальный криминалистический анализ ZIP-архива выявил существенные недостатки. Предполагаемый журнал стиллера содержал всего 563 байта, распределенных по нескольким файлам, что значительно меньше объема данных, обычно связанных с реальными стиллерами, что указывает на то, что угроза была преувеличена. Примечательно, что идентификатор Аппаратного обеспечения (HWID), указанный в архиве, был обнаружен как заполнитель, не соответствующий ни одному активу Barricade, что подтверждает теорию о том, что данные были созданы искусственно.

Анализ также выявил внешний IP-адрес 198.144.189.39, который, как утверждалось, был связан с предполагаемым зараженным устройством. Расследование подтвердило, что этот IP-адрес принадлежит сторонней организации, которая в настоящее время размещает сервер ScreenConnect, подключенный к Интернету. Это не означает, что Barricade столкнулась с нарушением, а скорее указывает на распространенный недосмотр, когда организации неправильно настраивают свои инструменты удаленного администрирования.

Метаданные архива указывают на то, что он был создан в Unix-подобной среде, что еще больше ставит под сомнение подлинность утверждений, особенно поскольку в нем использовались файловые terminators в стиле Windows, несмотря на то, что он был упакован в среду Linux. Этот пример указывает на более низкий уровень операционной компетентности, что согласуется с оценкой того, что ShadowByt3$ не хватает изощренности в их попытках вымогательства, подчеркивая их неопытность, несмотря на некоторые технические возможности.

#ParsedReport #CompletenessMedium
27-04-2026

Bitwarden CLI Hijacked in npm Supply Chain Attack Linked to TeamPCP & Checkmarx Breach

https://socradar.io/blog/bitwarden-cli-hijacked-npm-supply-chain-teampcp/

Report completeness: Medium

Actors/Campaigns:
Checkmarx_breach
Teampcp

Threats:
Supply_chain_technique
Credential_harvesting_technique

Victims:
Software development, Cybersecurity, Developers, Continuous integration and continuous delivery environments

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1059.007, T1078.004, T1083, T1102.001, T1105, T1140, have more...

IOCs:
File: 5
IP: 1
Domain: 1
Url: 1
Hash: 3

Soft:
Bitwarden, Docker, Node.js, claude, Trivy, LiteLLM

Algorithms:
gzip, zip, aes-256-gcm, aes, base64, sha256

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
22 апреля 2026 года вредоносная версия Bitwarden CLI распространялась через npm в течение 90 минут, связанная с TeamPCP и нарушением supply chain в Checkmarx. Атака использовала действие компрометации GitHub для внедрения двухэтапного сценария загрузки, который загружал сильно запутанную полезную нагрузку, bw1.js , предназначенный для сбора учетных записей с высокоценных объектов. Это ВПО использовало токены GitHub для доступа к репозиториям, собирало секреты из действий GitHub и имело возможность заражать другие пакеты npm, выявляя значительные уязвимости в supply chain.
-----

22 апреля 2026 года вредоносная версия Bitwarden CLI (версия 2026.4.0) распространялась через npm в течение примерно 90 минут, нацеливаясь на учетные данные разработчика, облачные секреты и токены CI/CD. Эта атака была связана с TeamPCP злоумышленника, что совпало с нарушением supply chain в Checkmarx. Пакет компрометации сохранял фирменный стиль Bitwarden, гарантируя, что он выглядел законным во время установки.

Злоумышленники получили доступ к конвейеру доставки программного обеспечения с помощью действия компрометации GitHub в рабочем процессе CI/CD Bitwarden. Эта точка входа позволила им внедрить вредоносный код в процесс упаковки npm, минуя прямой доступ к кодовой базе Bitwarden. После взлома Bitwarden быстро отозвала доступ к учетной записи npm, подвергшейся компрометации, и выпустила чистую версию без каких-либо доказательств несанкционированного доступа к данным хранилища конечных пользователей.

Внедренный вредоносный код имел двухэтапный процесс выполнения. Изначально скрипт загрузчика проверялся на наличие среды выполнения Bun JavaScript. Если он отсутствовал, загрузчик автоматически загружал его с GitHub, гарантируя, что основная полезная нагрузка была выполнена вне традиционных Node.js пути, позволяющие избежать обнаружения. Основная полезная нагрузка, сильно запутанный файл JavaScript с именем bw1.js , внедрил сложный фреймворк для сбора учетных записей с несколькими сборщиками, ориентированными на ценную конфиденциальную информацию, включая токены GitHub, переменные среды и конфигурационные файлы, связанные с искусственным интеллектом и инструментами разработчика.

Более широкие возможности ВПО-вредоносного ПО способствовали не только простой краже учетных данных. Он использовал токены GitHub для перечисления репозиториев жертвы, создавая новый репозиторий в учетной записи жертвы для хранения отфильтрованных данных. Он также использовал украденные токены для доступа и извлечения секретов из действий GitHub, выполняя рабочие процессы для извлечения дополнительных раскрытых секретов, одновременно скрывая свои следы путем удаления улик.

Более того, полезная нагрузка обладала самораспространяющейся функциональностью, позволяющей ей использовать украденные учетные данные npm для заражения других пакетов, которыми управляла жертва, потенциально затрагивая нижестоящих пользователей. Вторжение выявило связи с предыдущими кампаниями, атрибутированными с TeamPCP, в которых использовались конечные точки эксфильтрации телеметрии и структурные схемы работы.

Службы безопасности должны сохранять бдительность в отношении уязвимостей supply chain, особенно тех, которые используются в надежных средах разработки. Пользователям Bitwarden, которые, возможно, установили интерфейс компрометации CLI во время окна атаки, рекомендуется рассматривать потенциально затронутые системы как компрометацию, ища конкретные артефакты, связанные с ВПО. Анализ атаки подчеркивает тревожную тенденцию в изощренных действиях по краже учетных данных, нацеленных как на отдельных разработчиков, так и на более крупные организационные инфраструктуры.

#ParsedReport #CompletenessMedium
27-04-2026

Beyond PowerShell: Analyzing the Multi-Action ClickFix Variant

https://www.cyberproof.com/blog/beyond-powershell-analyzing-the-multi-action-clickfix-variant/

Report completeness: Medium

Threats:
Clickfix_technique
Lolbin_technique

Victims:
Windows users

TTPs:
Tactics: 5
Technics: 7

IOCs:
Command: 1
IP: 1
File: 3
Hash: 1

Win API:
DllRegisterServer, CreateProcessA

Languages:
powershell

YARA: Found
SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ВПО новой версии ClickFix использует передовые методы доставки полезной нагрузки, используя утилиты Windows cmdkey и regsvr32. Инициированный с помощью социальной инженерии, он использует цепочку команд для выполнения вредоносных команд без удаления файлов, извлекая удаленную библиотеку DLL из инфраструктуры SMB, контролируемой злоумышленником. Операция генерирует запланированную задачу для поддержания скрытности, выходя за рамки традиционных методов за счет использования надежных двоичных файлов Windows для повышения скрытности и показателей успешности выполнения.
-----

В исследовании подробно описан новый вариант ВПО ClickFix, идентифицированный CyberProof, который демонстрирует передовые методы доставки полезной нагрузки с использованием встроенных утилит Windows, в частности cmdkey и regsvr32. Этот вариант инициируется с помощью социальной инженерии, когда жертв обманом заставляют выполнить вредоносную команду через диалоговое окно запуска Windows. Эта команда эффективно объединяет несколько действий, включая сбор учетных данных, извлечение удаленной библиотеки DLL и автоматическое выполнение, избегая при этом обычных удалений ВПО, которые обычно отслеживаются системами безопасности.

Атака начинается с фишинг-страницы, которая маскируется под капчу, побуждая пользователя выполнить, казалось бы, безобидное действие. Выполняемая команда не загружает какие-либо файлы на компьютер жертвы, а скорее использует цепочку команд, которая позволяет выполнять несколько операций за одно действие. Утилита cmdkey используется для хранения учетных данных для удаленного доступа, в то время как regsvr32 используется для загрузки и выполнения библиотеки DLL из UNC-пути. Примечательно, что фактическая полезная нагрузка извлекается из инфраструктуры SMB, контролируемой злоумышленником, и не хранится локально, что повышает скрытность операции. Запланированная задача, получившая название "RunNotepadNow", создается таким образом, чтобы казаться неопасной, и работает под видом обычной активности Windows.

Инфраструктура для этой операции основана на удаленном XML-файле, содержащем определение задачи, что подчеркивает эволюцию методологии атаки за счет выхода за рамки традиционных утилит PowerShell и rundll32. Сочетая промежуточное использование учетных данных, удаленное выполнение и использование исключительно надежных двоичных файлов Windows, атака ClickFix снижает риск обнаружения и повышает вероятность успешного выполнения.

Возможности обнаружения для этого варианта включают мониторинг cmd.exe операций, в которых используются связанные операторы, отслеживание использования cmdkey для адресации внешних IP-адресов и наблюдение за загрузкой regsvr32 библиотек DLL из UNC-путей. Кроме того, обнаружение создания запланированных задач, использующих удаленные определения XML, может дать представление о потенциальных вредоносных действиях.