#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ландшафт угроз npm значительно изменился после появления червя Shai-Hulud, который использует экосистему npm для распространения вредоносных пакетов. Известные методы атаки включают в себя червеобразное распространение, нацеленное на токены npm и GitHub, и встраивание в конвейеры CI/CD для устойчивого доступа. Известный инцидент был связан с вредоносным пакетом npm, выдававшим себя за Bitwarden CLI, выполняющим сложные многоэтапные полезные нагрузки для кражи учетных данных и бэкдорных пакетов npm, при этом применяя сложную обфускацию и используя GitHub для скрытой передачи данных.
-----

НПМ опасный ландшафт существенно изменился с появлением Shai-hulud червя в сентябре 2025, знаменует собой переход от низших воздействие ложных атак до более серьезных, систематических угроз. В Shai-hulud Хулуд пример продвинутая форма ВПО, который использует НПМ экосистемы для распространения вредоносных пакетов, указывая на резкое ускорение по частоте и изощренности компромиссы цепи поставок.

Ключевые методы атак, наблюдаемые с момента появления Shai-Hulud's, включают в себя "червеобразное распространение", когда вредоносная полезная нагрузка сосредоточена на краже токенов npm и токенов личного доступа GitHub (PATs) для распространения дальнейших атак. Примечательным примером является Axios compromise в марте 2026 года. Злоумышленники теперь внедряются глубоко в конвейеры CI/CD для долгосрочного доступа, а не просто для кражи данных. Распространенными также стали многоступенчатые полезные нагрузки, использующие бездействующие зависимости, которые активируются при определенных условиях, чтобы избежать обнаружения.

Значительная атака была связана с вредоносным пакетом npm, имитирующим законный Bitwarden CLI, идентифицированный как версия 2026.4.0 и атрибутированный с TeamPCP. После установки этот пакет выполняет многоэтапную загрузку, в первую очередь воруя учетные данные у облачных провайдеров и систем непрерывной интеграции. Затем ВПО самораспространяется, внедряясь в любой пакет npm, который может опубликовать жертва. Эта атака иллюстрирует, как злоумышленники могут использовать доверие, встроенное в реестр npm, в качестве мощного механизма распределения своей полезной нагрузки.

Широкие компромиссы цепи поставок, связанные в этой атаке включенными в отравлении нескольких каналов распределения Checkmarx, такие как Docker Hub и действия на GitHub, используя все похожие командования и управления (C2) инфраструктура и методы кодирования.

В ВПО нагрузки-особенно примечателен своими размерами и сложностью. Она включает в себя такие законных пакеты SDK в сочетании с вредоносным кодом, а используют современные запутывания приемы, такие как подстановочный шифр, чтобы скрыть важные компоненты, включая С2 доменов. Credential Harvesting носит систематический характер, адресность помощью npm и GitHub учетные данные через регулярные выражения, с эксфильтрация эксфильтрации, которые используют GitHub для скрытой передачи данных, даже если прямые С2 каналы разрушены.

Механизм самовоспроизводящегося ВПО вредоносного ПО позволяет ему манипулировать законными пакетами npm, эффективно переписывая файлы package.json для включения вредоносных перехватов. Он реализует стратегию отказоустойчивости для связи C2 с использованием общедоступного поискового API GitHub, напоминающего dead Drop для команд и данных, гарантируя, что даже при блокировке основных каналов ВПО все еще может функционировать.

В ответ на эти угрозы организациям настоятельно рекомендуется блокировать идентифицированные домены C2, менять потенциально компрометацию учетных данных, проводить тщательный аудит поддерживаемых пакетов npm и применять строгую фильтрацию исходящих данных в конвейерах CI/CD. Меняющийся ландшафт подчеркивает необходимость постоянной бдительности и адаптивных мер безопасности для противодействия все более изощренным атакам, нацеленным на supply chains программного обеспечения.

#ParsedReport #CompletenessLow
22-04-2026

CVE-2026-33626: How attackers exploited LMDeploy LLM Inference Engines in 12 hours

https://webflow.sysdig.com/blog/cve-2026-33626-how-attackers-exploited-lmdeploy-llm-inference-engines-in-12-hours

Report completeness: Low

Victims:
Lmdeploy, Artificial intelligence infrastructure, Inference servers, Model gateways, Agent orchestration tools

CVEs:
CVE-2026-33626 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- internlm lmdeploy (<0.12.3)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016.001, T1046, T1190, T1499.004, T1552.005

IOCs:
IP: 3
Domain: 1
File: 1
Url: 1

Soft:
Redis, MySQL, OpenAI, Ollama, Docker

Functions:
_is_safe_url

Links:
https://github.com/InternLM/lmdeploy
have more...
https://github.com/advisories/GHSA-6w67-hwm5-92mq

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В LMDeploy была обнаружена уязвимость CVE-2026-33626 для подделки запросов на стороне сервера (SSRF), что делает ее уязвимой для использования из-за неадекватных проверок разрешения имен хостов и отсутствия сетевой защиты. Попытки эксплуатации начались вскоре после раскрытия информации, когда злоумышленники использовали загрузчик изображений на языке vision для проведения сканирования сети, нацеленного на службы метаданных AWS и базы данных. Этот инцидент подчеркивает растущую тенденцию быстрого использования уязвимостей в инфраструктуре искусственного интеллекта, потенциально ставящую под угрозу конфиденциальные ресурсы и нарушающую работу служб.
-----

21 апреля 2026 года в LMDeploy, наборе инструментов, предназначенном для обслуживания моделей vision-language и text large language, созданных Шанхайской лабораторией искусственного интеллекта, была обнаружена уязвимость для подделки запросов на стороне сервера (SSRF), зарегистрированная как CVE-2026-33626. Уязвимость связана с отсутствием проверок разрешения имен хостов, отсутствием списка блокировок в частной сети и недостаточной защитой локальных адресов. Следовательно, любой URL-адрес со схемой http:// или https:// может быть извлечен и ретранслирован сервером, что позволяет потенциальным злоумышленникам использовать это слабое место.

Чуть более чем через 12 часов после раскрытия уязвимости были замечены попытки ее использования. Группа по исследованию угроз Sysdig отметила, что злоумышленник использовал загрузчик изображений vision-language для проведения сканирования портов во внутренней сети. Это выявило важные цели, включая службу метаданных экземпляра AWS (IMDS), Redis, базы данных MySQL, дополнительные административные интерфейсы HTTP и точки эксфильтрации DNS вне диапазона. Эксплуатация характеризовалась быстрым восьмиминутным сеансом, во время которого первый запрос был направлен непосредственно на AWS IMDS, за которым последовало зондирование порта обратной связи Redis.

Стратегия злоумышленника продемонстрировала, как SSRF можно использовать в качестве оружия в контексте облачной инфраструктуры, используя преимущества общих портов, таких как 6379 для Redis, известных тем, что они становятся мишенью после доступа по IMDS. После этой разведки были предприняты дальнейшие попытки установить точки выхода, используя внеполосный обратный вызов DNS для эксфильтрации данных.

Последствия CVE-2026-33626 глубоки, особенно потому, что в нем подчеркивается тревожная тенденция: критические уязвимости в инфраструктуре, связанной с искусственным интеллектом, все чаще используются в течение нескольких часов после раскрытия. Злоумышленники могут использовать эти уязвимости для получения доступа к конфиденциальным ресурсам, включая учетные данные IAM и облачные метаданные. Такой доступ может привести к серьезным последствиям, включая компрометацию Облачных учетных записей и сбои в обслуживании из-за отказов в обслуживании процессов вывода.

Защитные стратегии жизненно важны, учитывая эту модель быстрой эксплуатации. Защита на прикладном уровне должна включать ведение журнала и оповещение о запросах, отправленных во внутренние сетевые диапазоны или хорошо известные сервисные порты. Более того, на уровне хоста обнаружение во время выполнения должно быть сосредоточено на выявлении исходящих подключений из процессов вывода, особенно к конечным точкам облачных метаданных. Быстрое выявление попыток эксплуатации подчеркивает необходимость принятия упреждающих мер безопасности, отказ от использования отложенных исправлений или сканирований для обеспечения целостности фреймворков, обслуживающих искусственный интеллект, перед лицом возникающих угроз.

#ParsedReport #CompletenessMedium
23-04-2026

CTI Report: ShadowByt3$ Retaliation Package Targeting Researcher

https://barricadecyber.com/cti-report-shadowbyt3-retaliation-package-targeting-researcher/

Report completeness: Medium

Actors/Campaigns:
Shadowbyt3
Root_sploit

Threats:
Prince_ransomware
Redline_stealer
Raccoon_stealer
Lumma_stealer
Screenconnect_tool
Steganography_technique

Victims:
Cybersecurity, Research, Financial services, Education, Hospitality, Technology

Industry:
Education, E-commerce, Financial

Geo:
America, Argentina, Canadian, Georgia, Russian, Pacific, Los angeles

ChatGPT TTPs:
do not use without manual check
T1036, T1588.001, T1593.001

IOCs:
IP: 1
Hash: 1
Email: 1

Soft:
ChatGPT, Chrome, Linux, Telegram, Discord, Unix, macOS, Windows Subsystem for Linux, Photoshop

Algorithms:
sha256, zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогателей ShadowByt3$ предприняла попытку возмездия исследователю, опубликовав их информацию вместе с сфабрикованным журналом действий стиллера, в котором отсутствуют доказательства успешной компрометации. Содержимое журнала указывает на несоответствия с заявлениями группы об отказе от использования искусственного интеллекта и выявляет существенные недостатки, такие как идентификатор Аппаратного обеспечения-заполнителя. Дальнейший анализ раскрывает сомнительное происхождение архива и демонстрирует оперативную некомпетентность группы, подрывая их угрозы.
-----

Группа вымогателей ShadowByt3$ предприняла ответные действия против исследователя из Barricade Cyber Solutions, опубликовав их информацию на сайте утечки данных. Архив, сопровождающий doxx, включал ZIP-файл, который в основном состоит из общедоступных данных LinkedIn об исследователе, а также сфабрикованный журнал, указывающий на активность стиллера. Однако в этом журнале нет никаких свидетельств успешной компрометации каких-либо систем Barricade, клиентов или устройств исследователя.

В отношении претензий группы выявились ключевые несоответствия. Несмотря на заявления о том, что они не используют Искусственный интеллект, содержимое архива возмездия содержит артефакты, свидетельствующие об обратном. Например, конкретные фразы и форматы в файлах cookie указывают на использование выходных данных языковой модели отказа, что подрывает их отказ. Кроме того, указано, что код выкупа является производным от ранее просочившейся программы-вымогателя, что группа косвенно подтвердила, признавшись в повторном использовании этого кода.

Детальный криминалистический анализ ZIP-архива выявил существенные недостатки. Предполагаемый журнал стиллера содержал всего 563 байта, распределенных по нескольким файлам, что значительно меньше объема данных, обычно связанных с реальными стиллерами, что указывает на то, что угроза была преувеличена. Примечательно, что идентификатор Аппаратного обеспечения (HWID), указанный в архиве, был обнаружен как заполнитель, не соответствующий ни одному активу Barricade, что подтверждает теорию о том, что данные были созданы искусственно.

Анализ также выявил внешний IP-адрес 198.144.189.39, который, как утверждалось, был связан с предполагаемым зараженным устройством. Расследование подтвердило, что этот IP-адрес принадлежит сторонней организации, которая в настоящее время размещает сервер ScreenConnect, подключенный к Интернету. Это не означает, что Barricade столкнулась с нарушением, а скорее указывает на распространенный недосмотр, когда организации неправильно настраивают свои инструменты удаленного администрирования.

Метаданные архива указывают на то, что он был создан в Unix-подобной среде, что еще больше ставит под сомнение подлинность утверждений, особенно поскольку в нем использовались файловые terminators в стиле Windows, несмотря на то, что он был упакован в среду Linux. Этот пример указывает на более низкий уровень операционной компетентности, что согласуется с оценкой того, что ShadowByt3$ не хватает изощренности в их попытках вымогательства, подчеркивая их неопытность, несмотря на некоторые технические возможности.

#ParsedReport #CompletenessMedium
27-04-2026

Bitwarden CLI Hijacked in npm Supply Chain Attack Linked to TeamPCP & Checkmarx Breach

https://socradar.io/blog/bitwarden-cli-hijacked-npm-supply-chain-teampcp/

Report completeness: Medium

Actors/Campaigns:
Checkmarx_breach
Teampcp

Threats:
Supply_chain_technique
Credential_harvesting_technique

Victims:
Software development, Cybersecurity, Developers, Continuous integration and continuous delivery environments

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1059.007, T1078.004, T1083, T1102.001, T1105, T1140, have more...

IOCs:
File: 5
IP: 1
Domain: 1
Url: 1
Hash: 3

Soft:
Bitwarden, Docker, Node.js, claude, Trivy, LiteLLM

Algorithms:
gzip, zip, aes-256-gcm, aes, base64, sha256

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
22 апреля 2026 года вредоносная версия Bitwarden CLI распространялась через npm в течение 90 минут, связанная с TeamPCP и нарушением supply chain в Checkmarx. Атака использовала действие компрометации GitHub для внедрения двухэтапного сценария загрузки, который загружал сильно запутанную полезную нагрузку, bw1.js , предназначенный для сбора учетных записей с высокоценных объектов. Это ВПО использовало токены GitHub для доступа к репозиториям, собирало секреты из действий GitHub и имело возможность заражать другие пакеты npm, выявляя значительные уязвимости в supply chain.
-----

22 апреля 2026 года вредоносная версия Bitwarden CLI (версия 2026.4.0) распространялась через npm в течение примерно 90 минут, нацеливаясь на учетные данные разработчика, облачные секреты и токены CI/CD. Эта атака была связана с TeamPCP злоумышленника, что совпало с нарушением supply chain в Checkmarx. Пакет компрометации сохранял фирменный стиль Bitwarden, гарантируя, что он выглядел законным во время установки.

Злоумышленники получили доступ к конвейеру доставки программного обеспечения с помощью действия компрометации GitHub в рабочем процессе CI/CD Bitwarden. Эта точка входа позволила им внедрить вредоносный код в процесс упаковки npm, минуя прямой доступ к кодовой базе Bitwarden. После взлома Bitwarden быстро отозвала доступ к учетной записи npm, подвергшейся компрометации, и выпустила чистую версию без каких-либо доказательств несанкционированного доступа к данным хранилища конечных пользователей.

Внедренный вредоносный код имел двухэтапный процесс выполнения. Изначально скрипт загрузчика проверялся на наличие среды выполнения Bun JavaScript. Если он отсутствовал, загрузчик автоматически загружал его с GitHub, гарантируя, что основная полезная нагрузка была выполнена вне традиционных Node.js пути, позволяющие избежать обнаружения. Основная полезная нагрузка, сильно запутанный файл JavaScript с именем bw1.js , внедрил сложный фреймворк для сбора учетных записей с несколькими сборщиками, ориентированными на ценную конфиденциальную информацию, включая токены GitHub, переменные среды и конфигурационные файлы, связанные с искусственным интеллектом и инструментами разработчика.

Более широкие возможности ВПО-вредоносного ПО способствовали не только простой краже учетных данных. Он использовал токены GitHub для перечисления репозиториев жертвы, создавая новый репозиторий в учетной записи жертвы для хранения отфильтрованных данных. Он также использовал украденные токены для доступа и извлечения секретов из действий GitHub, выполняя рабочие процессы для извлечения дополнительных раскрытых секретов, одновременно скрывая свои следы путем удаления улик.

Более того, полезная нагрузка обладала самораспространяющейся функциональностью, позволяющей ей использовать украденные учетные данные npm для заражения других пакетов, которыми управляла жертва, потенциально затрагивая нижестоящих пользователей. Вторжение выявило связи с предыдущими кампаниями, атрибутированными с TeamPCP, в которых использовались конечные точки эксфильтрации телеметрии и структурные схемы работы.

Службы безопасности должны сохранять бдительность в отношении уязвимостей supply chain, особенно тех, которые используются в надежных средах разработки. Пользователям Bitwarden, которые, возможно, установили интерфейс компрометации CLI во время окна атаки, рекомендуется рассматривать потенциально затронутые системы как компрометацию, ища конкретные артефакты, связанные с ВПО. Анализ атаки подчеркивает тревожную тенденцию в изощренных действиях по краже учетных данных, нацеленных как на отдельных разработчиков, так и на более крупные организационные инфраструктуры.

#ParsedReport #CompletenessMedium
27-04-2026

Beyond PowerShell: Analyzing the Multi-Action ClickFix Variant

https://www.cyberproof.com/blog/beyond-powershell-analyzing-the-multi-action-clickfix-variant/

Report completeness: Medium

Threats:
Clickfix_technique
Lolbin_technique

Victims:
Windows users

TTPs:
Tactics: 5
Technics: 7

IOCs:
Command: 1
IP: 1
File: 3
Hash: 1

Win API:
DllRegisterServer, CreateProcessA

Languages:
powershell

YARA: Found
SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ВПО новой версии ClickFix использует передовые методы доставки полезной нагрузки, используя утилиты Windows cmdkey и regsvr32. Инициированный с помощью социальной инженерии, он использует цепочку команд для выполнения вредоносных команд без удаления файлов, извлекая удаленную библиотеку DLL из инфраструктуры SMB, контролируемой злоумышленником. Операция генерирует запланированную задачу для поддержания скрытности, выходя за рамки традиционных методов за счет использования надежных двоичных файлов Windows для повышения скрытности и показателей успешности выполнения.
-----

В исследовании подробно описан новый вариант ВПО ClickFix, идентифицированный CyberProof, который демонстрирует передовые методы доставки полезной нагрузки с использованием встроенных утилит Windows, в частности cmdkey и regsvr32. Этот вариант инициируется с помощью социальной инженерии, когда жертв обманом заставляют выполнить вредоносную команду через диалоговое окно запуска Windows. Эта команда эффективно объединяет несколько действий, включая сбор учетных данных, извлечение удаленной библиотеки DLL и автоматическое выполнение, избегая при этом обычных удалений ВПО, которые обычно отслеживаются системами безопасности.

Атака начинается с фишинг-страницы, которая маскируется под капчу, побуждая пользователя выполнить, казалось бы, безобидное действие. Выполняемая команда не загружает какие-либо файлы на компьютер жертвы, а скорее использует цепочку команд, которая позволяет выполнять несколько операций за одно действие. Утилита cmdkey используется для хранения учетных данных для удаленного доступа, в то время как regsvr32 используется для загрузки и выполнения библиотеки DLL из UNC-пути. Примечательно, что фактическая полезная нагрузка извлекается из инфраструктуры SMB, контролируемой злоумышленником, и не хранится локально, что повышает скрытность операции. Запланированная задача, получившая название "RunNotepadNow", создается таким образом, чтобы казаться неопасной, и работает под видом обычной активности Windows.

Инфраструктура для этой операции основана на удаленном XML-файле, содержащем определение задачи, что подчеркивает эволюцию методологии атаки за счет выхода за рамки традиционных утилит PowerShell и rundll32. Сочетая промежуточное использование учетных данных, удаленное выполнение и использование исключительно надежных двоичных файлов Windows, атака ClickFix снижает риск обнаружения и повышает вероятность успешного выполнения.

Возможности обнаружения для этого варианта включают мониторинг cmd.exe операций, в которых используются связанные операторы, отслеживание использования cmdkey для адресации внешних IP-адресов и наблюдение за загрузкой regsvr32 библиотек DLL из UNC-путей. Кроме того, обнаружение создания запланированных задач, использующих удаленные определения XML, может дать представление о потенциальных вредоносных действиях.

#ParsedReport #CompletenessLow
27-04-2026

Defending Critical Infrastructure in a Hyperconnected Society

https://outpost24.com/blog/defending-critical-infrastructure-hyperconnected-society/

Report completeness: Low

Actors/Campaigns:
Sandworm

Threats:
Stuxnet
Industoyer2
Supply_chain_technique

Victims:
Critical infrastructure, Energy, Aviation, Public services, Retail, Banking, Industry, Skilled trades, Transportation

Industry:
Critical_infrastructure, Energy, Financial, Ics, Petroleum, Aerospace, Retail

Geo:
Ukrainian, Portugal, Berlin, France, Spain, London, Iran

ChatGPT TTPs:
do not use without manual check
T0831, T0832, T1078, T1091, T1486

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние отключения электроэнергии на Пиренейском полуострове и юго-востоке Берлина выявили уязвимости в критически важной инфраструктуре, вызванные поджогами и сбоями в электросетях, хотя расследования не выявили подтвержденных кибератак. Исторические киберинциденты, такие как Stuxnet, BlackEnergy и атака Colonial Pipeline, демонстрируют потенциал ВПО для разрушения инфраструктуры. Спонсируемые государством акторы и брокеры первоначального доступа все чаще нацеливаются на эти системы, что требует законодательных мер, таких как директива ЕС NIS2, для обеспечения соблюдения требований и управления рисками в критически важных секторах инфраструктуры.
-----

Недавние отключения электроэнергии на Пиренейском полуострове и юго-востоке Берлина подчеркнули критическую уязвимость инфраструктурных систем в нашем взаимосвязанном обществе. Перебои, вызванные такими инцидентами, как поджог и сбой в электросети, свидетельствуют о потенциальных последствиях компрометации критически важных служб, начиная от смертельных исходов и заканчивая значительными перебоями в работе в различных секторах, таких как транспорт, банковское дело и промышленность. Несмотря на первоначальные опасения по поводу кибератак, расследования этих инцидентов не подтвердили злонамеренное цифровое вмешательство в качестве основной причины; однако близость киберугроз остается насущной проблемой для системы безопасности.

Исторические события служат ярким фоном для понимания текущей обстановки с угрозами. Печально известная атака Stuxnet в 2010 году продемонстрировала реальность физического ущерба, вызванного ВПО, когда она была нацелена на ядерные объекты Ирана. Кроме того, атаки на электросети в Украине с использованием ВПО, таких как BlackEnergy и Industroyer, продемонстрировали, как цифровое вторжение может манипулировать промышленными системами управления, приводя к массовым отключениям. Инцидент с Colonial Pipeline в 2021 году показал, как распространенные нарушения безопасности могут привести к серьезным сбоям, подчеркнув важность строгих мер по Кибербезопасности, таких как надежный контроль доступа и Многофакторная аутентификация.

Спонсируемые государством кибер-акторы и брокеры первоначального доступа (IAB) все чаще несут ответственность за нанесение ударов по критически важной инфраструктуре, используя шпионаж, саботаж и широко распространенную тактику дезинформации. Директива Европейского союза NIS2 представляет собой законодательный ответ на растущий уровень угроз. Этот регламент предписывает принимать строгие меры по соблюдению требований для объектов критически важной инфраструктуры, уделяя особое внимание управлению рисками и отчетности об инцидентах.

В свете этих эволюционирующих угроз организациям жизненно важно укреплять свои оборонительные возможности путем повышения устойчивости с помощью постоянной разведки угроз и стратегических методов обеспечения безопасности. Создание комплексной программы анализа киберугроз (CTI) имеет важное значение для обеспечения обоснованной защиты от потенциальных злоумышленников, предоставляя информацию о спонсируемых государством действиях, инициативах по распространению программ-вымогателей и препятствиях, создаваемых акторами Dark Web. Акцент на понимании существующих уязвимостей в сочетании с использованием данных в режиме реального времени имеет первостепенное значение для адаптации к быстро меняющемуся ландшафту киберугроз и укрепления безопасности систем критически важной инфраструктуры.

#ParsedReport #CompletenessLow
24-04-2026

TGR-STA-1030: New Activity in Central and South America

https://unit42.paloaltonetworks.com/new-activity-central-south-america/

Report completeness: Low

Actors/Campaigns:
Unc6619

Victims:
Central america, South america

Industry:
Healthcare, Iot

Geo:
America

Soft:
PAN-OS

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С февраля TGR-STA-1030 демонстрирует постоянную активность в области угроз в Центральной и Южной Америке, используя методы кибератак, такие как фишинг, использование уязвимостей программного обеспечения и внедрение ВПО. Их деятельность свидетельствует о стратегическом фокусе на этих регионах, что создает такие риски, как утечка данных и перебои в обслуживании. Более глубокое понимание их тактики и расширение обмена информацией о региональных угрозах имеют важное значение для устранения киберрисков, которые они представляют.
-----

С февраля TGR-STA-1030 продолжает проявлять значительную и непрекращающуюся активность в отношении угроз, особенно в различных странах Центральной и Южной Америки. Деятельность этой группы свидетельствует о целенаправленном подходе, предполагающем стратегический интерес к этим регионам. Конкретные методы, используемые TGR-STA-1030, хотя и не детализированы в резюме, обычно включают в себя сочетание методов кибератак, которые могут включать кампании фишинга, использование уязвимостей в широко используемом программном обеспечении или развертывание ВПО, предназначенных для компрометации систем.

Появление повышенной активности TGR-STA-1030's в Центральной и Южной Америке указывает на меняющийся ландшафт угроз, где локализованные киберугрозы требуют повышенной бдительности. Организации в пределах этих географических зон могут сталкиваться с различными рисками, начиная от утечки данных и заканчивая нарушением работы служб, что подчеркивает необходимость принятия надежных мер по Кибербезопасности для защиты от таких вторжений.

Поскольку эта группа продолжает свою деятельность, понимание их тактики, методов и процедур (TTP) будет иметь решающее значение для смягчения их потенциального воздействия. Мониторинг аномальной сетевой активности, обеспечение исправлений известных уязвимостей и обучение персонала распознаванию попыток Целевого фишинга являются ключевыми стратегиями в устранении рисков, создаваемых этим активным злоумышленником. Постоянное внимание TGR-STA-1030 к этим регионам подчеркивает важность регионального обмена информацией об угрозах и сотрудничества для лучшей защиты инфраструктуры и конфиденциальных данных от киберпреступников.

#ParsedReport #CompletenessHigh
24-04-2026

Chaos is a ladder : Vidar's recent rise to the top

https://www.intrinsec.com/wp-content/uploads/2026/04/TLP_CLEAR-20260424-New_Vidar.pdf

Report completeness: High

Actors/Campaigns:
0ktapus
Loadbaks

Threats:
Vidar_stealer
Dead_drop_technique
Paranoidchecker_tool
Lumma_stealer
Rhadamanthys
Acreed
Chaos_ransomware
Clickfix_technique
Stealc
Redline_stealer
Riseprostealer
Spear-phishing_technique
Polymorphism_technique

Victims:
Corporate employees, Corporate networks, Users worldwide, Enterprises, Non corporate users

Industry:
E-commerce

Geo:
Georgia, Russian, Russia

TTPs:
Tactics: 6
Technics: 35

IOCs:
File: 22
Domain: 26
IP: 11
Url: 17
Hash: 3
BrowserExtension: 9

Soft:
Telegram, Steam, Unix, Linux, WinZip, Microsoft Edge, Gmail, protonmail, Chrome, Firefox, Opera, have more...

Wallets:
metamask, tronlink, binancechain, yoroi, math_wallet, coinbase, guarda_wallet, jaxx, iwallet, wombat, have more...

Algorithms:
base64, zip, md5, sha256

Functions:
GetInstallDetailsPayload

Win API:
BuildTrusteeWithSidW, CheckTokenMembership, ConvertStringSidToSidW, GetLengthSid, GetNamedSecurityInfoW, LoadLibrary, GetProcAddress, AddVectoredExceptionHandler, CloseHandle, CreateEventA, have more...

Platforms:
amd64, x64, x86