CTT Report Hub
#ParsedReport #CompletenessMedium 29-04-2026 Phoenix Rising: Exposing the PhaaS Kit Behind Global Mass Phishing Campaigns https://www.group-ib.com/blog/phoenix-phaas-kit-smishing/ Report completeness: Medium Actors/Campaigns: Reward_points Threats: P…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
«Phoenix System» — это продвинутая платформа Phishing-as-a-Service, обеспечивающая проведение глобальных кампаний смишинга, особенно в секторах финансовых услуг, логистики и телекоммуникаций. Она предоставляет инструменты для мониторинга жертв в реальном времени, геофенсинга и вмешательства для обхода многофакторной аутентификации. Оперативные тактики включают смишинг-имперсонацию доверенных организаций и потенциальное использование поддельных базовых станций для повышения эффективности доставки и уклонения от обнаружения, нацеливаясь на жертв сообщениями, основанными на срочности, которые извлекают конфиденциальную информацию.
-----
В отчете исследовательской группы Group-IB раскрывается существование «Phoenix System» — продвинутой платформы Phishing-as-a-Service (PhaaS), используемой в глобальных смишинговых кампаниях в таких регионах, как Азиатско-Тихоокеанский регион (APAC), Латинская Америка и Карибский бассейн (LATAM), Европа и Ближний Восток и Африка (MEA). Эта платформа облегчает деятельность киберпреступников, предлагая интегрированные инструменты для мониторинга жертв в реальном времени, геофенсинга и живого вмешательства для обхода многофакторной аутентификации. С января 2025 года наблюдается заметный рост смишинговых кампаний, особенно направленных на такие сектора, как финансовые услуги, логистика и телекоммуникации, при этом выявлено более 2500 фишинговых доменов и затронуто более 70 организаций.
Кампании смишинга характеризуются несанкционированной имперсонацией доверенных организаций, используя такие темы, как «фишинг с предложением бонусных баллов» и «фишинг с уведомлением о недоставке посылки». Обе кампании используют общую инфраструктуру, что указывает на операционное пересечение, а также применяют такие стратегии, как доставка через SMS и потенциальное использование поддельных базовых станций сотовой связи (BTS) для улучшения доставки сообщений и обхода фильтрации операторов. Рассылая более сильные сигналы, чем легитимные вышки, злоумышленники могут отправлять SMS-сообщения, которые выглядят так, будто они исходят от доверенных организаций, напрямую жертвам. Эта техника позволяет им обходить традиционные системы фильтрации, усложняя усилия по обнаружению как для пользователей, так и для телекоммуникационных операторов.
Жертвы принуждаются к предоставлению конфиденциальной информации с использованием различных тактик. В сценарии фишинга Reward Points сообщения создают ощущение срочности, утверждая о скором истечении срока действия баллов, и побуждают пользователей действовать быстро. В альтернативном сценарии сообщения о неудачной доставке посылки побуждают пользователей оперативно обновить личные данные под ложными предлогами. В обоих случаях фишинговые страницы используют фильтрацию на основе IP-адресов для ограничения доступа пользователям из конкретных стран, повышая эффективность за счет локализованного таргетинга. Административная часть этих кампаний, Phoenix System, позволяет операторам эффективно управлять и развертывать свои фишинговые наборы, используя такие функции, как геозонирование, мониторинг учетных данных и меры противодействия анализу, чтобы максимизировать извлечение данных.
Эта платформа работает по подписной модели, предлагая киберпреступникам комплексные услуги, включая поддержку при подключении через каналы Телеграм и детальную операционную помощь. Group-IB отмечает, что Phoenix System является преемником Mouse System, демонстрируя преемственность в дизайне и функциональности, направленной на упрощение фишинговых атак в различных географических регионах. С развитием тактик в отчете подчеркивается насущная необходимость в стратегиях, таких как защита цифровых рисков и повышение осведомленности пользователей, для борьбы с растущей сложностью смишинговых и фишинговых угроз в целом.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
«Phoenix System» — это продвинутая платформа Phishing-as-a-Service, обеспечивающая проведение глобальных кампаний смишинга, особенно в секторах финансовых услуг, логистики и телекоммуникаций. Она предоставляет инструменты для мониторинга жертв в реальном времени, геофенсинга и вмешательства для обхода многофакторной аутентификации. Оперативные тактики включают смишинг-имперсонацию доверенных организаций и потенциальное использование поддельных базовых станций для повышения эффективности доставки и уклонения от обнаружения, нацеливаясь на жертв сообщениями, основанными на срочности, которые извлекают конфиденциальную информацию.
-----
В отчете исследовательской группы Group-IB раскрывается существование «Phoenix System» — продвинутой платформы Phishing-as-a-Service (PhaaS), используемой в глобальных смишинговых кампаниях в таких регионах, как Азиатско-Тихоокеанский регион (APAC), Латинская Америка и Карибский бассейн (LATAM), Европа и Ближний Восток и Африка (MEA). Эта платформа облегчает деятельность киберпреступников, предлагая интегрированные инструменты для мониторинга жертв в реальном времени, геофенсинга и живого вмешательства для обхода многофакторной аутентификации. С января 2025 года наблюдается заметный рост смишинговых кампаний, особенно направленных на такие сектора, как финансовые услуги, логистика и телекоммуникации, при этом выявлено более 2500 фишинговых доменов и затронуто более 70 организаций.
Кампании смишинга характеризуются несанкционированной имперсонацией доверенных организаций, используя такие темы, как «фишинг с предложением бонусных баллов» и «фишинг с уведомлением о недоставке посылки». Обе кампании используют общую инфраструктуру, что указывает на операционное пересечение, а также применяют такие стратегии, как доставка через SMS и потенциальное использование поддельных базовых станций сотовой связи (BTS) для улучшения доставки сообщений и обхода фильтрации операторов. Рассылая более сильные сигналы, чем легитимные вышки, злоумышленники могут отправлять SMS-сообщения, которые выглядят так, будто они исходят от доверенных организаций, напрямую жертвам. Эта техника позволяет им обходить традиционные системы фильтрации, усложняя усилия по обнаружению как для пользователей, так и для телекоммуникационных операторов.
Жертвы принуждаются к предоставлению конфиденциальной информации с использованием различных тактик. В сценарии фишинга Reward Points сообщения создают ощущение срочности, утверждая о скором истечении срока действия баллов, и побуждают пользователей действовать быстро. В альтернативном сценарии сообщения о неудачной доставке посылки побуждают пользователей оперативно обновить личные данные под ложными предлогами. В обоих случаях фишинговые страницы используют фильтрацию на основе IP-адресов для ограничения доступа пользователям из конкретных стран, повышая эффективность за счет локализованного таргетинга. Административная часть этих кампаний, Phoenix System, позволяет операторам эффективно управлять и развертывать свои фишинговые наборы, используя такие функции, как геозонирование, мониторинг учетных данных и меры противодействия анализу, чтобы максимизировать извлечение данных.
Эта платформа работает по подписной модели, предлагая киберпреступникам комплексные услуги, включая поддержку при подключении через каналы Телеграм и детальную операционную помощь. Group-IB отмечает, что Phoenix System является преемником Mouse System, демонстрируя преемственность в дизайне и функциональности, направленной на упрощение фишинговых атак в различных географических регионах. С развитием тактик в отчете подчеркивается насущная необходимость в стратегиях, таких как защита цифровых рисков и повышение осведомленности пользователей, для борьбы с растущей сложностью смишинговых и фишинговых угроз в целом.
#ParsedReport #CompletenessHigh
29-04-2026
Exposing VENOM: C-Suite Credential Theft Campaign Weaponizes Live Microsoft Authentication to Establish Persistent Access
https://files.abnormalsecurity.com/production/files/Exposing-VENOM.pdf
Report completeness: High
Actors/Campaigns:
Venom
Harvester
Threats:
Credential_harvesting_technique
Aitm_technique
Nmap_tool
Nikto_tool
Sqlmap_tool
Metasploit_tool
Nuclei_tool
Dirbuster_tool
Mitm_technique
Victims:
C suite executives, Senior executives, Manufacturing, Financial services, Multiple industries
Industry:
Retail, Healthcare, E-commerce, Transport, Entertainment
Geo:
Romania, London
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1036.005, T1111, T1497.001, T1497.002, T1528, T1557, T1583.001, T1584.004, have more...
IOCs:
File: 16
Domain: 16
Url: 2
IP: 3
Soft:
Dropbox, Microsoft Outlook, Android, Microsoft Office, Outlook, macOS, Microsoft Defender, cPanel, WordPress, selenium, have more...
Algorithms:
hmac, base64, sha256
Functions:
toLowerCase, detectAutomation, antiDebug, consoleDetection, blockRightClick, blockKeyboardShortcuts, honeypotCheck, setupMouseTracking, setupKeyboardTracking, setupTouchTracking, have more...
Languages:
php, javascript, python
Platforms:
apple
29-04-2026
Exposing VENOM: C-Suite Credential Theft Campaign Weaponizes Live Microsoft Authentication to Establish Persistent Access
https://files.abnormalsecurity.com/production/files/Exposing-VENOM.pdf
Report completeness: High
Actors/Campaigns:
Venom
Harvester
Threats:
Credential_harvesting_technique
Aitm_technique
Nmap_tool
Nikto_tool
Sqlmap_tool
Metasploit_tool
Nuclei_tool
Dirbuster_tool
Mitm_technique
Victims:
C suite executives, Senior executives, Manufacturing, Financial services, Multiple industries
Industry:
Retail, Healthcare, E-commerce, Transport, Entertainment
Geo:
Romania, London
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1036.005, T1111, T1497.001, T1497.002, T1528, T1557, T1583.001, T1584.004, have more...
IOCs:
File: 16
Domain: 16
Url: 2
IP: 3
Soft:
Dropbox, Microsoft Outlook, Android, Microsoft Office, Outlook, macOS, Microsoft Defender, cPanel, WordPress, selenium, have more...
Algorithms:
hmac, base64, sha256
Functions:
toLowerCase, detectAutomation, antiDebug, consoleDetection, blockRightClick, blockKeyboardShortcuts, honeypotCheck, setupMouseTracking, setupKeyboardTracking, setupTouchTracking, have more...
Languages:
php, javascript, python
Platforms:
apple
CTT Report Hub
#ParsedReport #CompletenessHigh 29-04-2026 Exposing VENOM: C-Suite Credential Theft Campaign Weaponizes Live Microsoft Authentication to Establish Persistent Access https://files.abnormalsecurity.com/production/files/Exposing-VENOM.pdf Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания по краже учетных данных, нацеленная на руководителей высшего звена, использует обманные электронные письма, имитирующие уведомления SharePoint, чтобы побудить жертв отсканировать QR-коды, обходя корпоративные средства защиты за счет нацеливания на личные устройства. Кампания применяет передовые стратегии уклонения, используя фишинговую инфраструктуру, которая захватывает аутентификационные токены в двух режимах работы: adversary-in-the-middle (AiTM) для захвата учетных данных в реальном времени и Device Code для получения токенов из инфраструктуры Microsoft, что существенно подрывает эффективность MFA. Она использует платформу фишинг как услуга VENOM для повышения скрытности и координации в атаках, что указывает на широкий потенциал таких тактик среди злоумышленников.
-----
Кампания по краже учётных данных нацелена на руководителей высшего звена с ноября 2025 года по март 2026 года.
Фишинговые письма имитируют уведомления SharePoint и заманивали получателей отсканировать QR-код.
Кампания использует динамические адреса отправителей и символы блоков Юникода в QR-кодах для уклонения от обнаружения.
Инфраструктура фишинга имеет два режима: перехват потоков аутентификации Microsoft и захват OAuth-токенов.
Платформа фишинга как услуга VENOM координирует атаку, предлагая управление токенами и структурированный интерфейс кампании.
Фишинговые письма манипулируют HTML, чтобы выглядеть подлинно, внедряя поддельные потоки и используя различные приманки.
QR-коды направляют пользователей на личные устройства, обходя корпоративные меры безопасности.
Страницы загрузки используют многослойную верификацию для фильтрации средств безопасности и автоматизированных сканеров, включая проверку User-Agent и проверку IP-адресов.
Операции с учетными данными выполняются в двух режимах: перехват учетных данных и MFA в реальном времени в режиме «злоумышленник посередине» (AiTM), а также режим Device Code для завершения процесса получения токена безопасности.
Компрометация учетных данных руководителей высшего звена позволяет осуществлять масштабные атаки на нижестоящие системы, включая компрометацию бизнес-электронной почты.
Кампания подрывает эффективность многофакторной аутентификации (MFA), позволяя осуществлять несанкционированный доступ при сохранении исходных мер безопасности.
Организациям настоятельно рекомендуется усилить защиту электронной почты и внедрить поведенческую аналитику для выявления таких инновационных методов фишинга.
Обнаружение платформы VENOM указывает на то, что эти тактики могут распространяться среди различных злоумышленников, что требует пересмотра стратегий реагирования на инциденты и снижения рисков.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания по краже учетных данных, нацеленная на руководителей высшего звена, использует обманные электронные письма, имитирующие уведомления SharePoint, чтобы побудить жертв отсканировать QR-коды, обходя корпоративные средства защиты за счет нацеливания на личные устройства. Кампания применяет передовые стратегии уклонения, используя фишинговую инфраструктуру, которая захватывает аутентификационные токены в двух режимах работы: adversary-in-the-middle (AiTM) для захвата учетных данных в реальном времени и Device Code для получения токенов из инфраструктуры Microsoft, что существенно подрывает эффективность MFA. Она использует платформу фишинг как услуга VENOM для повышения скрытности и координации в атаках, что указывает на широкий потенциал таких тактик среди злоумышленников.
-----
Кампания по краже учётных данных нацелена на руководителей высшего звена с ноября 2025 года по март 2026 года.
Фишинговые письма имитируют уведомления SharePoint и заманивали получателей отсканировать QR-код.
Кампания использует динамические адреса отправителей и символы блоков Юникода в QR-кодах для уклонения от обнаружения.
Инфраструктура фишинга имеет два режима: перехват потоков аутентификации Microsoft и захват OAuth-токенов.
Платформа фишинга как услуга VENOM координирует атаку, предлагая управление токенами и структурированный интерфейс кампании.
Фишинговые письма манипулируют HTML, чтобы выглядеть подлинно, внедряя поддельные потоки и используя различные приманки.
QR-коды направляют пользователей на личные устройства, обходя корпоративные меры безопасности.
Страницы загрузки используют многослойную верификацию для фильтрации средств безопасности и автоматизированных сканеров, включая проверку User-Agent и проверку IP-адресов.
Операции с учетными данными выполняются в двух режимах: перехват учетных данных и MFA в реальном времени в режиме «злоумышленник посередине» (AiTM), а также режим Device Code для завершения процесса получения токена безопасности.
Компрометация учетных данных руководителей высшего звена позволяет осуществлять масштабные атаки на нижестоящие системы, включая компрометацию бизнес-электронной почты.
Кампания подрывает эффективность многофакторной аутентификации (MFA), позволяя осуществлять несанкционированный доступ при сохранении исходных мер безопасности.
Организациям настоятельно рекомендуется усилить защиту электронной почты и внедрить поведенческую аналитику для выявления таких инновационных методов фишинга.
Обнаружение платформы VENOM указывает на то, что эти тактики могут распространяться среди различных злоумышленников, что требует пересмотра стратегий реагирования на инциденты и снижения рисков.
#ParsedReport #CompletenessLow
29-04-2026
From a coffee-in-bed Google search to a StealC-linked campaign — the story behind nailproxy.space
https://blog.technopathy.club/from-a-coffee-in-bed-google-search-to-a-stealc-linked-campaign-the-story-behind-nailproxy-space
Report completeness: Low
Threats:
Stealc
Rhadamanthys
Victims:
Software development, Cryptocurrency, Finance
Industry:
Financial
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1005, T1027, T1036.005, T1059.006, T1070.004, T1071.001, T1105, T1140, T1218.011, T1528, have more...
IOCs:
IP: 2
File: 4
Path: 1
Hash: 8
Soft:
UNICORN, Chrome, e.exe --, Telegram, Discord
Crypto:
binance
Algorithms:
xor, aes-gcm, salsa20, hmac, chacha20
Languages:
python
Platforms:
arm, x64, x86
Links:
29-04-2026
From a coffee-in-bed Google search to a StealC-linked campaign — the story behind nailproxy.space
https://blog.technopathy.club/from-a-coffee-in-bed-google-search-to-a-stealc-linked-campaign-the-story-behind-nailproxy-space
Report completeness: Low
Threats:
Stealc
Rhadamanthys
Victims:
Software development, Cryptocurrency, Finance
Industry:
Financial
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1036.005, T1059.006, T1070.004, T1071.001, T1105, T1140, T1218.011, T1528, have more...
IOCs:
IP: 2
File: 4
Path: 1
Hash: 8
Soft:
UNICORN, Chrome, e.exe --, Telegram, Discord
Crypto:
binance
Algorithms:
xor, aes-gcm, salsa20, hmac, chacha20
Languages:
python
Platforms:
arm, x64, x86
Links:
https://github.com/oliver-zehentleitner
CTT Report Hub
#ParsedReport #CompletenessLow 29-04-2026 From a coffee-in-bed Google search to a StealC-linked campaign — the story behind nailproxy.space https://blog.technopathy.club/from-a-coffee-in-bed-google-search-to-a-stealc-linked-campaign-the-story-behind-nailproxy…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавняя киберкампания, связанная с ВПО StealC, включала 19 поддельных репозиториев GitHub и использовала Python-дроппер для доставки вредоносных загрузок. Атака включала сервер управления на api.nailproxy.space, выполняющий команды для получения загрузчика Windows, который использовал однобайтовый XOR для расшифровки. Финальная загрузка, идентифицированная как StealC v2, обошла механизмы безопасности для доступа к конфиденциальным данным, таким как учетные данные браузеров и токены сессий, эксплуатируя контекст выполнения целевых браузеров.
-----
Недавний анализ выявил масштабную кампанию, связанную с операцией по распространению вредоносного ПО StealC, в рамках которой было обнаружено 19 поддельных репозиториев GitHub. Злоумышленники использовали структурированный метод доставки, начавшийся с загрузчика на Python. Кампания имитировала популярные проекты на Python и перенаправляла неосведомленных пользователей на api.nailproxy.space, который служил сервером управления (управление) для вредоносной нагрузки.
Начальный этап атаки включал созданный Python-дропер, интегрированный в поддельные репозитории. Этот дропер выполнял серию команд, включая POST-запрос к конечной точке аутентификации и синхронизацию зашифрованных данных, что в конечном итоге привело к загрузке нативного загрузчика Windows, обеспечившего дальнейшие эксплойты на машине жертвы. Примечательно, что он использовал такие техники, как однобайтовый XOR для расшифровки полезной нагрузки, и опирался на операционную среду для выполнения вредоносного кода без прямого воздействия в обычных операциях.
Финальный полезный код демонстрировал поведение, характерное для StealC v2, особенно в отношении выполнения методов, связанных с обходом шифрования, привязанного к приложению Chrome. Этот подход использует контекст выполнения целевого браузера для доступа к зашифрованным данным, тем самым обходя традиционные механизмы безопасности, предназначенные для защиты конфиденциальной информации, такой как учетные данные пользователей и токены сессий.
Атрибуция вредоносного ПО была подтверждена корреляциями инфраструктуры, в частности использованием IP-адреса 62.60.226.113, ранее идентифицированного в предыдущих отчетах, связанных со StealC. Анализ показал, что жертвы этой кампании могут ожидать компрометации различных конфиденциальных данных, включая сохраненные учетные данные браузеров, файлы cookie и артефакты сеансов из таких приложений, как Телеграм и Discord. Если пользователи взаимодействовали с скомпрометированными репозиториями, им рекомендовалось отключить свои системы, выполнить полное стирание данных и переустановку, а также сменить все пароли, связанные с онлайн-аккаунтами или сервисами, доступ к которым осуществлялся с зараженного компьютера.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавняя киберкампания, связанная с ВПО StealC, включала 19 поддельных репозиториев GitHub и использовала Python-дроппер для доставки вредоносных загрузок. Атака включала сервер управления на api.nailproxy.space, выполняющий команды для получения загрузчика Windows, который использовал однобайтовый XOR для расшифровки. Финальная загрузка, идентифицированная как StealC v2, обошла механизмы безопасности для доступа к конфиденциальным данным, таким как учетные данные браузеров и токены сессий, эксплуатируя контекст выполнения целевых браузеров.
-----
Недавний анализ выявил масштабную кампанию, связанную с операцией по распространению вредоносного ПО StealC, в рамках которой было обнаружено 19 поддельных репозиториев GitHub. Злоумышленники использовали структурированный метод доставки, начавшийся с загрузчика на Python. Кампания имитировала популярные проекты на Python и перенаправляла неосведомленных пользователей на api.nailproxy.space, который служил сервером управления (управление) для вредоносной нагрузки.
Начальный этап атаки включал созданный Python-дропер, интегрированный в поддельные репозитории. Этот дропер выполнял серию команд, включая POST-запрос к конечной точке аутентификации и синхронизацию зашифрованных данных, что в конечном итоге привело к загрузке нативного загрузчика Windows, обеспечившего дальнейшие эксплойты на машине жертвы. Примечательно, что он использовал такие техники, как однобайтовый XOR для расшифровки полезной нагрузки, и опирался на операционную среду для выполнения вредоносного кода без прямого воздействия в обычных операциях.
Финальный полезный код демонстрировал поведение, характерное для StealC v2, особенно в отношении выполнения методов, связанных с обходом шифрования, привязанного к приложению Chrome. Этот подход использует контекст выполнения целевого браузера для доступа к зашифрованным данным, тем самым обходя традиционные механизмы безопасности, предназначенные для защиты конфиденциальной информации, такой как учетные данные пользователей и токены сессий.
Атрибуция вредоносного ПО была подтверждена корреляциями инфраструктуры, в частности использованием IP-адреса 62.60.226.113, ранее идентифицированного в предыдущих отчетах, связанных со StealC. Анализ показал, что жертвы этой кампании могут ожидать компрометации различных конфиденциальных данных, включая сохраненные учетные данные браузеров, файлы cookie и артефакты сеансов из таких приложений, как Телеграм и Discord. Если пользователи взаимодействовали с скомпрометированными репозиториями, им рекомендовалось отключить свои системы, выполнить полное стирание данных и переустановку, а также сменить все пароли, связанные с онлайн-аккаунтами или сервисами, доступ к которым осуществлялся с зараженного компьютера.
#ParsedReport #CompletenessMedium
29-04-2026
A Mini Shai-Hulud has Appeared: Obfuscated Bun Runtime Payloads Hit SAP-Related npm Packages
https://www.stepsecurity.io/blog/a-mini-shai-hulud-has-appeared
Report completeness: Medium
Actors/Campaigns:
Teampcp (motivation: cyber_criminal)
Threats:
Shai-hulud
Dead_drop_technique
Supply_chain_technique
Credential_harvesting_technique
Typosquatting_technique
Plain-crypto-js_tool
Victims:
Software developers, Ci cd pipelines, Open source software ecosystem, Sap related npm packages
Geo:
Russia, Russian
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1003.007, T1027, T1036, T1057, T1059.006, T1059.007, T1070.004, T1071.001, T1082, T1105, have more...
IOCs:
Email: 3
File: 91
Hash: 5
Path: 6
Soft:
Claude, VSCode, Node.js, Linux, Alpine, TRAVIS, CIRCLECI, Dependabot, Kubernetes, helm, have more...
Algorithms:
zip, rsa-4096, aes-256-gcm, pbkdf2, aes-256, base64, gzip, sha256, aes
Functions:
isAlpineOrMusl, __decodeScrambled, 220__decodeScrambled, require, eval, TextDecoder, F30, N30, jA0, UZh, have more...
Languages:
python, javascript
Platforms:
intel
Links:
have more...
29-04-2026
A Mini Shai-Hulud has Appeared: Obfuscated Bun Runtime Payloads Hit SAP-Related npm Packages
https://www.stepsecurity.io/blog/a-mini-shai-hulud-has-appeared
Report completeness: Medium
Actors/Campaigns:
Teampcp (motivation: cyber_criminal)
Threats:
Shai-hulud
Dead_drop_technique
Supply_chain_technique
Credential_harvesting_technique
Typosquatting_technique
Plain-crypto-js_tool
Victims:
Software developers, Ci cd pipelines, Open source software ecosystem, Sap related npm packages
Geo:
Russia, Russian
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1003.007, T1027, T1036, T1057, T1059.006, T1059.007, T1070.004, T1071.001, T1082, T1105, have more...
IOCs:
Email: 3
File: 91
Hash: 5
Path: 6
Soft:
Claude, VSCode, Node.js, Linux, Alpine, TRAVIS, CIRCLECI, Dependabot, Kubernetes, helm, have more...
Algorithms:
zip, rsa-4096, aes-256-gcm, pbkdf2, aes-256, base64, gzip, sha256, aes
Functions:
isAlpineOrMusl, __decodeScrambled, 220__decodeScrambled, require, eval, TextDecoder, F30, N30, jA0, UZh, have more...
Languages:
python, javascript
Platforms:
intel
Links:
have more...
https://github.com/cap-js/cds-dbs/issues/1588https://github.com/SAP/cloud-mta-build-tool/issues/1224www.stepsecurity.io
A Mini Shai-Hulud has Appeared: Obfuscated Bun Runtime Payloads Hit SAP-Related npm Packages - StepSecurity
StepSecurity has detected a new npm supply chain attack campaign using preinstall hooks to download the Bun JavaScript runtime and execute an 11 MB obfuscated payload. At least two SAP-ecosystem packages are confirmed compromised so far.
CTT Report Hub
#ParsedReport #CompletenessMedium 29-04-2026 A Mini Shai-Hulud has Appeared: Obfuscated Bun Runtime Payloads Hit SAP-Related npm Packages https://www.stepsecurity.io/blog/a-mini-shai-hulud-has-appeared Report completeness: Medium Actors/Campaigns: Teampcp…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Червь Shai-Hulud — это ВПО для кражи учетных данных, которое нацелено на программное обеспечение, связанное с SAP, через скомпрометированные пакеты npm, в частности mbt@1.2.48 и несколько модулей @cap-js с вредоносным хуком preinstall. Он устанавливает среду выполнения JavaScript Bun и развертывает обфусцированную полезную нагрузку, которая собирает конфиденциальные данные, используя AES-256-GCM для шифрования и RSA-4096 для защиты ключей. Червь эксплуатирует среды разработки, внедряя вредоносные конфигурации для обеспечения устойчивости в рабочих процессах разработчиков, одновременно осуществляя Маскировка под обновления Dependabot для распространения в облачных средах и захвата секретов из систем CI/CD.
-----
Недавняя киберугроза, связанная с компрометацией пакетов npm, нацеленных на программное обеспечение SAP, привела к появлению обфусцированного вредоносного ПО для кражи учетных данных, получившего название червь Shai-Hulud. Атака была обнаружена вскоре после публикации вредоносных пакетов, что привело к немедленному уведомлению владельцев репозиториев и команды безопасности SAP. Выявленные скомпрометированные пакеты — это mbt@1.2.48 и несколько модулей @cap-js, все из которых содержат вредоносный хук preinstall. Этот хук устанавливает среду выполнения JavaScript Bun и запускает 11,6 МБ обфусцированный полезный груз, который собирает конфиденциальную информацию, включая токены npm, которые он использует для дальнейшего распространения вредоносного ПО.
Червь Shai-Hulud уникальным образом шифрует украденные данные с помощью AES-256-GCM и оборачивает ключ шифрования с помощью RSA-4096, обеспечивая то, что даже если данные будут найдены в репозиториях жертв, они останутся нечитаемыми без закрытого ключа атакующего. Этот уровень шифрования создает значительные трудности для жертв, заставляя их рассматривать наихудший сценарий в отношении компрометации учетных данных.
Что касается закрепления, то вредоносное ПО примечательно своей способностью эксплуатировать среды разработки, такие как VSCode и Claude Code. Оно внедряет вредоносные файлы конфигурации задач, которые автоматически запускают вредоносное ПО каждый раз, когда разработчик открывает зараженный репозиторий, что фактически позволяет ему выполняться незамеченным в рамках обычных рабочих процессов разработки. Этот метод доставки является частью более широкой попытки нацелиться на уязвимости цепочки поставок, что делает его одним из первых продемонстрированных атак на цепочку поставок, направленных на конфигурации ИИ для программирования.
Отличительными особенностями этого ВПО являются его поведение на системах, настроенных с русской локалью, приводящее к выходу при обнаружении такой системы, что указывает на то, что злоумышленник, вероятно, действует из России или соседних регионов. Анализ во время выполнения выявил несколько механизмов извлечения учетных данных, включая возможность чтения памяти исполнителей процессов напрямую для получения конфиденциальной информации.
Червь дополнительно усиливает свои возможности эксфильтрации и репликации, маскируясь под рутинные обновления Dependabot путем внесения тонких изменений в рабочие процессы репозиториев. Эта тактика позволяет ему распространяться по нескольким облачным средам и захватывать учетные данные из систем CI/CD, не вызывая немедленных тревог. Он хранит эти учетные данные в репозиториях под контролем злоумышленника, что затрудняет для защитников своевременное обнаружение затронутых систем.
В качестве защитной меры организациям необходимо проводить аудит пакетов npm на наличие несанкционированных версий, проверять репозитории GitHub на предмет аномальных шаблонов именования, связанных с червем Shai-Hulud, а также внедрять защитные инструменты для мониторинга установки скомпрометированных пакетов. Динамичный характер этой угрозы подчеркивает насущную необходимость непрерывного бдительного контроля в цепочке поставок программного обеспечения и средах разработки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Червь Shai-Hulud — это ВПО для кражи учетных данных, которое нацелено на программное обеспечение, связанное с SAP, через скомпрометированные пакеты npm, в частности mbt@1.2.48 и несколько модулей @cap-js с вредоносным хуком preinstall. Он устанавливает среду выполнения JavaScript Bun и развертывает обфусцированную полезную нагрузку, которая собирает конфиденциальные данные, используя AES-256-GCM для шифрования и RSA-4096 для защиты ключей. Червь эксплуатирует среды разработки, внедряя вредоносные конфигурации для обеспечения устойчивости в рабочих процессах разработчиков, одновременно осуществляя Маскировка под обновления Dependabot для распространения в облачных средах и захвата секретов из систем CI/CD.
-----
Недавняя киберугроза, связанная с компрометацией пакетов npm, нацеленных на программное обеспечение SAP, привела к появлению обфусцированного вредоносного ПО для кражи учетных данных, получившего название червь Shai-Hulud. Атака была обнаружена вскоре после публикации вредоносных пакетов, что привело к немедленному уведомлению владельцев репозиториев и команды безопасности SAP. Выявленные скомпрометированные пакеты — это mbt@1.2.48 и несколько модулей @cap-js, все из которых содержат вредоносный хук preinstall. Этот хук устанавливает среду выполнения JavaScript Bun и запускает 11,6 МБ обфусцированный полезный груз, который собирает конфиденциальную информацию, включая токены npm, которые он использует для дальнейшего распространения вредоносного ПО.
Червь Shai-Hulud уникальным образом шифрует украденные данные с помощью AES-256-GCM и оборачивает ключ шифрования с помощью RSA-4096, обеспечивая то, что даже если данные будут найдены в репозиториях жертв, они останутся нечитаемыми без закрытого ключа атакующего. Этот уровень шифрования создает значительные трудности для жертв, заставляя их рассматривать наихудший сценарий в отношении компрометации учетных данных.
Что касается закрепления, то вредоносное ПО примечательно своей способностью эксплуатировать среды разработки, такие как VSCode и Claude Code. Оно внедряет вредоносные файлы конфигурации задач, которые автоматически запускают вредоносное ПО каждый раз, когда разработчик открывает зараженный репозиторий, что фактически позволяет ему выполняться незамеченным в рамках обычных рабочих процессов разработки. Этот метод доставки является частью более широкой попытки нацелиться на уязвимости цепочки поставок, что делает его одним из первых продемонстрированных атак на цепочку поставок, направленных на конфигурации ИИ для программирования.
Отличительными особенностями этого ВПО являются его поведение на системах, настроенных с русской локалью, приводящее к выходу при обнаружении такой системы, что указывает на то, что злоумышленник, вероятно, действует из России или соседних регионов. Анализ во время выполнения выявил несколько механизмов извлечения учетных данных, включая возможность чтения памяти исполнителей процессов напрямую для получения конфиденциальной информации.
Червь дополнительно усиливает свои возможности эксфильтрации и репликации, маскируясь под рутинные обновления Dependabot путем внесения тонких изменений в рабочие процессы репозиториев. Эта тактика позволяет ему распространяться по нескольким облачным средам и захватывать учетные данные из систем CI/CD, не вызывая немедленных тревог. Он хранит эти учетные данные в репозиториях под контролем злоумышленника, что затрудняет для защитников своевременное обнаружение затронутых систем.
В качестве защитной меры организациям необходимо проводить аудит пакетов npm на наличие несанкционированных версий, проверять репозитории GitHub на предмет аномальных шаблонов именования, связанных с червем Shai-Hulud, а также внедрять защитные инструменты для мониторинга установки скомпрометированных пакетов. Динамичный характер этой угрозы подчеркивает насущную необходимость непрерывного бдительного контроля в цепочке поставок программного обеспечения и средах разработки.
#ParsedReport #CompletenessMedium
29-04-2026
Snow Malware Suite Turns Microsoft Teams Into a Help Desk Trap
https://cybersecsentinel.com/snow-malware-suite-turns-microsoft-teams-into-a-help-desk-trap/
Report completeness: Medium
Actors/Campaigns:
Unc6692
Threats:
Tunneler
Snowbelt
Snowglaze
Snowbasin
Email_bombing_technique
Credential_dumping_technique
Blackbasta
Spear-phishing_technique
Victims:
Enterprise users, Microsoft 365 environments, Microsoft teams environments, Organisations with on premises or hybrid identity estates
Industry:
Financial
TTPs:
Tactics: 3
Technics: 9
IOCs:
File: 3
Url: 2
Domain: 1
Soft:
Microsoft Teams, Chromium, FTK Imager, Active Directory, LimeWire, AutoHotkey, Microsoft Edge, Google Chrome
Languages:
python, javascript, powershell
29-04-2026
Snow Malware Suite Turns Microsoft Teams Into a Help Desk Trap
https://cybersecsentinel.com/snow-malware-suite-turns-microsoft-teams-into-a-help-desk-trap/
Report completeness: Medium
Actors/Campaigns:
Unc6692
Threats:
Tunneler
Snowbelt
Snowglaze
Snowbasin
Email_bombing_technique
Credential_dumping_technique
Blackbasta
Spear-phishing_technique
Victims:
Enterprise users, Microsoft 365 environments, Microsoft teams environments, Organisations with on premises or hybrid identity estates
Industry:
Financial
TTPs:
Tactics: 3
Technics: 9
IOCs:
File: 3
Url: 2
Domain: 1
Soft:
Microsoft Teams, Chromium, FTK Imager, Active Directory, LimeWire, AutoHotkey, Microsoft Edge, Google Chrome
Languages:
python, javascript, powershell
Cybersec Sentinel
Snow Malware Suite Turns Microsoft Teams Into a Help Desk Trap
GroupUNC6692 (financially motivated cluster, attribution unconfirmed beyond Mandiant tracking ID)TypeModular custom malware suite, browser extension plus Python tunneler plus Python backdoorMalwareSNOWBELT (Chromium extension), SNOWGLAZE (WebSocket and SOCKS…
CTT Report Hub
#ParsedReport #CompletenessMedium 29-04-2026 Snow Malware Suite Turns Microsoft Teams Into a Help Desk Trap https://cybersecsentinel.com/snow-malware-suite-turns-microsoft-teams-into-a-help-desk-trap/ Report completeness: Medium Actors/Campaigns: Unc6692…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Семейство вредоносного ПО «Snow», связанное с хакерской группировкой UNC6692, использует трехэтапную атаку с использованием Microsoft Teams для взаимодействия с человеком. Оно включает SNOWBELT — вредоносное расширение браузера, выступающее в качестве бэкдора; SNOWGLAZE — туннелизатор, обеспечивающий безопасные соединения; и SNOWBASIN — локальный бэкдор для выполнения команд. Операция делает акцент на краже учетных данных, эксплуатации контроллеров домена и потенциальной эксфильтрации данных, демонстрируя значительные уязвимости в корпоративном использовании инструментов совместной работы.
-----
Набор вредоносного ПО под кодовым названием «Snow», приписываемый хакерской группировке UNC6692, мотивированной финансовыми целями, использует сложный трехэтапный вектор атаки, который в значительной степени опирается на человеческое взаимодействие и доверие в рамках Microsoft Teams. Этот модульный набор ВПО состоит из трех компонентов: SNOWBELT — вредоносное расширение браузера Chromium, функционирующее как бэкдор на JavaScript; SNOWGLAZE — туннелизатор на базе Python, предназначенный для создания аутентифицированных WebSocket-соединений и обеспечения SOCKS-прокси-сервисов для скрытого исходящего трафика; и SNOWBASIN — локальный HTTP-бэкдор, который прослушивает команды и обеспечивает удаленный доступ, включая создание снимков экрана и эксфильтрацию файлов.
Атака начинается с массового спама электронной почтой, который перегружает почтовый ящик жертвы поддельными сообщениями, предназначенными для создания правдоподобного предлога, позволяющего в дальнейшем связаться через Microsoft Teams. Эта имперсонация включает в себя то, что злоумышленник выдает себя за сотрудника внутренней службы технической поддержки IT, предлагающего помощь. Жертву направляют на фишинговую страницу, где она неосознанно загружает вредоносный скрипт AutoHotkey, который устанавливает расширение SNOWBELT, эффективно внедряя ВПО в среду пользователя.
После успешной начальной компрометации злоумышленник может использовать другие компоненты набора Snow для дальнейшей эксплуатации. SNOWGLAZE настраивает защищенный туннель, позволяя злоумышленнику ретранслировать команды через скомпрометированный браузер, в то время как SNOWBASIN выполняет эти команды локально. Действия после компрометации отличаются агрессивностью, включая применение методов Передача хеша (Pass the Hash) для проникновения в контроллеры домена. Злоумышленник использует FTK Imager для захвата конфиденциальных данных Active Directory и реестровых хивов системы, выводя их через такие инструменты, как LimeWire. Это указывает не только на фокус на краже учетных данных, но и на потенциальную возможность будущей развертывания программ-вымогателей или продажи украденных учетных данных.
Проектирование операции подрывает традиционные меры безопасности электронной почты, поскольку вредоносные вложения доставляются через доверенный канал Microsoft Teams. Это подчеркивает критический пробел в текущих практиках кибербезопасности, так как многие организации по-прежнему считают Teams безопасной платформой для коммуникаций. Следовательно, организациям необходимо внедрить строгие ограничения на внешние коммуникации в Teams, усилить защиту Active Directory от кражи учетных данных и внимательно отслеживать необычные шаблоны сетевого трафика, особенно соединения с Heroku и Amazon S3.
Последствия кампании Snow значительны, подчеркивая необходимость повышенной бдительности в инструментах совместной работы и лучшей интеграции защиты от фишинга по нескольким каналам связи. Поскольку методы теперь публично раскрыты, существует вероятность их быстрого внедрения другими злоумышленниками, что делает для организаций существенным пересмотр их безопасности в отношении внутренних платформ обмена сообщениями.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Семейство вредоносного ПО «Snow», связанное с хакерской группировкой UNC6692, использует трехэтапную атаку с использованием Microsoft Teams для взаимодействия с человеком. Оно включает SNOWBELT — вредоносное расширение браузера, выступающее в качестве бэкдора; SNOWGLAZE — туннелизатор, обеспечивающий безопасные соединения; и SNOWBASIN — локальный бэкдор для выполнения команд. Операция делает акцент на краже учетных данных, эксплуатации контроллеров домена и потенциальной эксфильтрации данных, демонстрируя значительные уязвимости в корпоративном использовании инструментов совместной работы.
-----
Набор вредоносного ПО под кодовым названием «Snow», приписываемый хакерской группировке UNC6692, мотивированной финансовыми целями, использует сложный трехэтапный вектор атаки, который в значительной степени опирается на человеческое взаимодействие и доверие в рамках Microsoft Teams. Этот модульный набор ВПО состоит из трех компонентов: SNOWBELT — вредоносное расширение браузера Chromium, функционирующее как бэкдор на JavaScript; SNOWGLAZE — туннелизатор на базе Python, предназначенный для создания аутентифицированных WebSocket-соединений и обеспечения SOCKS-прокси-сервисов для скрытого исходящего трафика; и SNOWBASIN — локальный HTTP-бэкдор, который прослушивает команды и обеспечивает удаленный доступ, включая создание снимков экрана и эксфильтрацию файлов.
Атака начинается с массового спама электронной почтой, который перегружает почтовый ящик жертвы поддельными сообщениями, предназначенными для создания правдоподобного предлога, позволяющего в дальнейшем связаться через Microsoft Teams. Эта имперсонация включает в себя то, что злоумышленник выдает себя за сотрудника внутренней службы технической поддержки IT, предлагающего помощь. Жертву направляют на фишинговую страницу, где она неосознанно загружает вредоносный скрипт AutoHotkey, который устанавливает расширение SNOWBELT, эффективно внедряя ВПО в среду пользователя.
После успешной начальной компрометации злоумышленник может использовать другие компоненты набора Snow для дальнейшей эксплуатации. SNOWGLAZE настраивает защищенный туннель, позволяя злоумышленнику ретранслировать команды через скомпрометированный браузер, в то время как SNOWBASIN выполняет эти команды локально. Действия после компрометации отличаются агрессивностью, включая применение методов Передача хеша (Pass the Hash) для проникновения в контроллеры домена. Злоумышленник использует FTK Imager для захвата конфиденциальных данных Active Directory и реестровых хивов системы, выводя их через такие инструменты, как LimeWire. Это указывает не только на фокус на краже учетных данных, но и на потенциальную возможность будущей развертывания программ-вымогателей или продажи украденных учетных данных.
Проектирование операции подрывает традиционные меры безопасности электронной почты, поскольку вредоносные вложения доставляются через доверенный канал Microsoft Teams. Это подчеркивает критический пробел в текущих практиках кибербезопасности, так как многие организации по-прежнему считают Teams безопасной платформой для коммуникаций. Следовательно, организациям необходимо внедрить строгие ограничения на внешние коммуникации в Teams, усилить защиту Active Directory от кражи учетных данных и внимательно отслеживать необычные шаблоны сетевого трафика, особенно соединения с Heroku и Amazon S3.
Последствия кампании Snow значительны, подчеркивая необходимость повышенной бдительности в инструментах совместной работы и лучшей интеграции защиты от фишинга по нескольким каналам связи. Поскольку методы теперь публично раскрыты, существует вероятность их быстрого внедрения другими злоумышленниками, что делает для организаций существенным пересмотр их безопасности в отношении внутренних платформ обмена сообщениями.
#ParsedReport #CompletenessMedium
29-04-2026
Geo Likho Group continues to attack targets in Russia, focusing on the aviation and water transportation industries
https://securelist.ru/tr/geo-likho-hits-russian-aviation/115306/
Report completeness: Medium
Actors/Campaigns:
Geo_likho (motivation: information_theft, cyber_espionage, cyber_criminal)
Threats:
Batavia
Uac_bypass_technique
Spear-phishing_technique
Victims:
Aviation organizations, Shipping companies, Machine building companies, Educational institutions, Government agencies, Commercial companies
Industry:
Government, Aerospace, Transport, Education
Geo:
Russian federation, Russia, Belarus, Hong kong, Russian, Germany, Serbia
TTPs:
ChatGPT TTPs:
T1005, T1025, T1027, T1036.008, T1041, T1047, T1059.005, T1071.001, T1082, T1105, have more...
IOCs:
Domain: 29
File: 23
Hash: 64
Url: 7
Path: 5
Soft:
LiteSpeed
Algorithms:
xor, md5, zip, fnv-1a, base64
Functions:
Navigate
Win API:
ShellExecuteExW
Languages:
delphi
Platforms:
x86
29-04-2026
Geo Likho Group continues to attack targets in Russia, focusing on the aviation and water transportation industries
https://securelist.ru/tr/geo-likho-hits-russian-aviation/115306/
Report completeness: Medium
Actors/Campaigns:
Geo_likho (motivation: information_theft, cyber_espionage, cyber_criminal)
Threats:
Batavia
Uac_bypass_technique
Spear-phishing_technique
Victims:
Aviation organizations, Shipping companies, Machine building companies, Educational institutions, Government agencies, Commercial companies
Industry:
Government, Aerospace, Transport, Education
Geo:
Russian federation, Russia, Belarus, Hong kong, Russian, Germany, Serbia
TTPs:
ChatGPT TTPs:
do not use without manual checkT1005, T1025, T1027, T1036.008, T1041, T1047, T1059.005, T1071.001, T1082, T1105, have more...
IOCs:
Domain: 29
File: 23
Hash: 64
Url: 7
Path: 5
Soft:
LiteSpeed
Algorithms:
xor, md5, zip, fnv-1a, base64
Functions:
Navigate
Win API:
ShellExecuteExW
Languages:
delphi
Platforms:
x86
👍1
CTT Report Hub
#ParsedReport #CompletenessMedium 29-04-2026 Geo Likho Group continues to attack targets in Russia, focusing on the aviation and water transportation industries https://securelist.ru/tr/geo-likho-hits-russian-aviation/115306/ Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Geo Likho, хакерская группировка, нацелена на организации в России и Беларуси, в первую очередь фокусируясь на секторах авиации и водного транспорта с июля 2024 года. Они используют целевой фишинг с вредоносными скриптами Visual Basic для получения первоначального доступа, за которым следует многоэтапный процесс заражения с использованием исполняемых файлов на базе Delphi для кражи данных и сбора информации о системе. Их подход включает кастомные инструменты ВПО и надежную инфраструктуру управления для скрытой эксфильтрации данных, что усложняет усилия по обнаружению и реагированию.
-----
Группа Geo Likho, актор сложной целенаправленной угрозы (APT), с июля 2024 года активно атакует организации в Российской Федерации и Беларуси, уделяя особое внимание секторам авиации и водного транспорта. Их методологический подход включает высокоточные атаки с использованием уникальных вредоносных файлов, адаптированных под каждого конкретного жертву. Основной целью этих кампаний является кража данных, для чего развертываются различные пользовательские вредоносные инструменты, разработанные специально для этой задачи.
Первоначальный доступ для Geo Likho осуществляется через целевой фишинг, при котором в письмах содержатся ссылки на вредоносные Visual Basic Scripts (VBE). Такая уникальная схема использования VBE-скриптов, нехарактерная для других киберпреступных групп, служит четким маркером их активности. После первоначальной компрометации злоумышленники применяют многоступенчатый процесс заражения. Переход по вредоносной ссылке приводит к загрузке архива в формате TAR, маскирующегося под файл RAR, внутри которого находится VBE-скрипт, выполняющий роль загрузчика. Этот скрипт внедряет уникальный идентификатор жертвы в каждый вредоносный образец, а последующие вредоносные компоненты обычно доставляются с инфраструктуры управления (управление), которую группа регулярно меняет для уклонения от обнаружения.
Загружаемый первичный полезный груз обычно представляет собой исполняемый файл, созданный в Delphi, который не только динамически извлекает дополнительное вредоносное содержимое, но и собирает информацию с компрометированной машины об установленном программном обеспечении, деталях операционной системы, а также периодически делает снимки экрана. Передаваемые данные эксфильтруются на домены C2, связанные с Geo Likho. ВПО гарантирует, что файлы не отправляются более одного раза, хешируя их содержимое и сравнивая эти значения с сохраненными записями.
Последующие компоненты заражения, идентифицированные как второй и третий этапы, следуют аналогичным принципам, но внедряют дополнительные функциональные возможности и строгие процессы сбора данных. Примечательно, что эти этапы также используют механизмы хеширования для предотвращения дублирующей эксфильтрации данных. Второй этап доставляется как полезная нагрузка, сохраняемая в файл, например `reader.exe`, тогда как компоненты третьего этапа включают разнообразные исполняемые файлы, такие как `ruby5.3.exe`, расширяя возможности группы по сбору информации и взаимодействию с её C2-сервером.
Операционные методы группы Geo Likho отличаются целенаправленным воздействием на конкретные отрасли и тщательной кастомизацией их вредоносных инструментов для определённых жертв, что усложняет защитные меры. Постоянный мониторинг их деятельности выявляет надёжную инфраструктуру, поддерживающую непрерывные вредоносные кампании, с значительными ресурсами, выделенными на разработку инструментов.
В заключение, группа Geo Likho представляет собой сложную угрозу в киберпространстве, что подтверждается их целевыми тактиками фишинга, уникальными сигнатурами ВПО и хорошо структурированной методологией атак, которая ставит во главу угла скрытность и кражу данных из критических секторов в России и Беларуси.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Geo Likho, хакерская группировка, нацелена на организации в России и Беларуси, в первую очередь фокусируясь на секторах авиации и водного транспорта с июля 2024 года. Они используют целевой фишинг с вредоносными скриптами Visual Basic для получения первоначального доступа, за которым следует многоэтапный процесс заражения с использованием исполняемых файлов на базе Delphi для кражи данных и сбора информации о системе. Их подход включает кастомные инструменты ВПО и надежную инфраструктуру управления для скрытой эксфильтрации данных, что усложняет усилия по обнаружению и реагированию.
-----
Группа Geo Likho, актор сложной целенаправленной угрозы (APT), с июля 2024 года активно атакует организации в Российской Федерации и Беларуси, уделяя особое внимание секторам авиации и водного транспорта. Их методологический подход включает высокоточные атаки с использованием уникальных вредоносных файлов, адаптированных под каждого конкретного жертву. Основной целью этих кампаний является кража данных, для чего развертываются различные пользовательские вредоносные инструменты, разработанные специально для этой задачи.
Первоначальный доступ для Geo Likho осуществляется через целевой фишинг, при котором в письмах содержатся ссылки на вредоносные Visual Basic Scripts (VBE). Такая уникальная схема использования VBE-скриптов, нехарактерная для других киберпреступных групп, служит четким маркером их активности. После первоначальной компрометации злоумышленники применяют многоступенчатый процесс заражения. Переход по вредоносной ссылке приводит к загрузке архива в формате TAR, маскирующегося под файл RAR, внутри которого находится VBE-скрипт, выполняющий роль загрузчика. Этот скрипт внедряет уникальный идентификатор жертвы в каждый вредоносный образец, а последующие вредоносные компоненты обычно доставляются с инфраструктуры управления (управление), которую группа регулярно меняет для уклонения от обнаружения.
Загружаемый первичный полезный груз обычно представляет собой исполняемый файл, созданный в Delphi, который не только динамически извлекает дополнительное вредоносное содержимое, но и собирает информацию с компрометированной машины об установленном программном обеспечении, деталях операционной системы, а также периодически делает снимки экрана. Передаваемые данные эксфильтруются на домены C2, связанные с Geo Likho. ВПО гарантирует, что файлы не отправляются более одного раза, хешируя их содержимое и сравнивая эти значения с сохраненными записями.
Последующие компоненты заражения, идентифицированные как второй и третий этапы, следуют аналогичным принципам, но внедряют дополнительные функциональные возможности и строгие процессы сбора данных. Примечательно, что эти этапы также используют механизмы хеширования для предотвращения дублирующей эксфильтрации данных. Второй этап доставляется как полезная нагрузка, сохраняемая в файл, например `reader.exe`, тогда как компоненты третьего этапа включают разнообразные исполняемые файлы, такие как `ruby5.3.exe`, расширяя возможности группы по сбору информации и взаимодействию с её C2-сервером.
Операционные методы группы Geo Likho отличаются целенаправленным воздействием на конкретные отрасли и тщательной кастомизацией их вредоносных инструментов для определённых жертв, что усложняет защитные меры. Постоянный мониторинг их деятельности выявляет надёжную инфраструктуру, поддерживающую непрерывные вредоносные кампании, с значительными ресурсами, выделенными на разработку инструментов.
В заключение, группа Geo Likho представляет собой сложную угрозу в киберпространстве, что подтверждается их целевыми тактиками фишинга, уникальными сигнатурами ВПО и хорошо структурированной методологией атак, которая ставит во главу угла скрытность и кражу данных из критических секторов в России и Беларуси.
#ParsedReport #CompletenessLow
29-04-2026
Malicious npm Package Brand-Squats TanStack to Exfiltrate Environment Variables
https://socket.dev/blog/tanstack-brandsquat-compromise
Report completeness: Low
Threats:
Supply_chain_technique
Dead_drop_technique
TTPs:
Tactics: 2
Technics: 0
IOCs:
File: 7
Url: 2
Functions:
sendReadme
29-04-2026
Malicious npm Package Brand-Squats TanStack to Exfiltrate Environment Variables
https://socket.dev/blog/tanstack-brandsquat-compromise
Report completeness: Low
Threats:
Supply_chain_technique
Dead_drop_technique
TTPs:
Tactics: 2
Technics: 0
IOCs:
File: 7
Url: 2
Functions:
sendReadme
Socket
Malicious npm Package Brand-Squats TanStack to Exfiltrate En...
A brand-squatted TanStack npm package used postinstall scripts to steal .env files and exfiltrate developer secrets to an attacker-controlled endpoint...
#ParsedReport #CompletenessHigh
30-04-2026
Silver Fox uses the new ABCDoor backdoor to target organizations in Russia and India
https://securelist.com/silver-fox-tax-notification-campaign/119575/
Report completeness: High
Actors/Campaigns:
Silver_fox
Threats:
Abcdoor
Valleyrat
Rustsl
Steganography_technique
Winos
Tailscale_tool
Spear-phishing_technique
Victims:
Industrial, Consulting, Retail, Transportation, Organizations in russia, Organizations in india
Industry:
Transport, Retail
Geo:
China, Indian, Russia, Indonesia, Russian, Chinese, South africa, Cambodia, Japan, India
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1021.005, T1027, T1027.016, T1036, T1036.005, T1036.008, T1053.005, T1059.001, T1059.003, T1059.006, have more...
IOCs:
Url: 16
File: 30
Hash: 72
Registry: 6
IP: 15
Path: 1
Command: 2
Domain: 11
Soft:
SendGrid, curl, WireGuard, Linux, macOS, Windows registry, Task scheduler
Algorithms:
zip, md5, sha256, base64, base32, xor
Functions:
ShellExecute
Win API:
RegisterApplicationRestart, SetProcessShutdownParameters, InternetReadFile
Languages:
cython, powershell, javascript, rust, python
Platforms:
x86, x64
30-04-2026
Silver Fox uses the new ABCDoor backdoor to target organizations in Russia and India
https://securelist.com/silver-fox-tax-notification-campaign/119575/
Report completeness: High
Actors/Campaigns:
Silver_fox
Threats:
Abcdoor
Valleyrat
Rustsl
Steganography_technique
Winos
Tailscale_tool
Spear-phishing_technique
Victims:
Industrial, Consulting, Retail, Transportation, Organizations in russia, Organizations in india
Industry:
Transport, Retail
Geo:
China, Indian, Russia, Indonesia, Russian, Chinese, South africa, Cambodia, Japan, India
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1021.005, T1027, T1027.016, T1036, T1036.005, T1036.008, T1053.005, T1059.001, T1059.003, T1059.006, have more...
IOCs:
Url: 16
File: 30
Hash: 72
Registry: 6
IP: 15
Path: 1
Command: 2
Domain: 11
Soft:
SendGrid, curl, WireGuard, Linux, macOS, Windows registry, Task scheduler
Algorithms:
zip, md5, sha256, base64, base32, xor
Functions:
ShellExecute
Win API:
RegisterApplicationRestart, SetProcessShutdownParameters, InternetReadFile
Languages:
cython, powershell, javascript, rust, python
Platforms:
x86, x64