#ParsedReport #CompletenessMedium
30-04-2026

Crypto Drainers as a Converging Threat: Insights into Emerging Hybrid Attack Ecosystems

https://www.levelblue.com/blogs/spiderlabs-blog/crypto-drainers-as-a-converging-threat-insights-into-emerging-hybrid-attack-ecosystems

Report completeness: Medium

Threats:
Credential_stealing_technique
Clickfix_technique
Nova_stealer
Miolab
Credential_harvesting_technique
Stepdrainer
Etherrat

Victims:
Cryptocurrency users, Enterprise networks, Windows users

Industry:
Petroleum, E-commerce, Financial

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1033, T1036, T1059.001, T1059.007, T1071.001, T1082, T1102.001, T1105, T1189, have more...

IOCs:
Domain: 3
File: 22
Coin: 1
Registry: 1
Path: 1
Command: 2

Soft:
OpenClaw, penClaw re, Telegram, ode.js im, inux en, Node.js, ode.js ru, indows Security Center, A, ctive Directory do, curl, have more...

Wallets:
ledger_wallet, coinbase, solflare, bybit, math_wallet, tokenpocket, exodus_wallet, metamask, daffione, newwallet, have more...

Crypto:
arbitrum, solana, ethereum, coingecko

Algorithms:
cbc, aes, base64, zip, sha256

Functions:
getAccountInfo, connect, analyzeWallet, routeStealling, stealETH, stealCollection, permitSteal, tokenSteal, approve, transferFrom, have more...

Win API:
Polygon

Languages:
php, javascript, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Слияние традиционного киберкриминала и угроз, связанных с криптовалютой, привело к появлению сложных методов атак, что наглядно демонстрируется эволюцией современных «дрейнеров» и гибридного ВПО, такого как StepDrainer и EtherRAT. Эти инструменты используют передовые техники, включая социальную инженерию и манипуляции с блокчейном, для извлечения цифровых активов при минимальном взаимодействии со стороны пользователя. Эксплуатация поведения пользователей и уязвимостей блокчейна стирает границы между угрозами Web2 и Web3, повышая риски даже для организаций, не имеющих прямого отношения к криптовалютам.
-----

Наблюдается растущее пересечение инфраструктуры и методов, используемых киберкриминалом, нацеленным на пользователей криптовалют и тех, кто вовлечен в традиционный киберкриминал.

Вредоносное ПО и ботнеты, предназначенные для кражи учетных данных, теперь связаны с крипто-специфичными угрозами, такими как фишинговые порталы.

Современные «дрейнеры» эволюционировали от простых JavaScript-вставок до сложных систем, работающих в рамках нескольких блокчейн-сетей.

Дрейнеры отдают приоритет краже токенов высокой ценности при минимальном взаимодействии с пользователем и действуют менее заметно, чем программы-вымогатели.

Наборы «Drainer-as-a-service» доступны на подпольных рынках, что снижает порог входа для новых злоумышленников.

StepDrainer работает более чем на 20 блокчейнах, используя социальную инженерию для имитации легитимных подключений кошельков.

Техники StepDrainer включают имитацию дизайнов авторитетных торговых платформ и представление поддельных подтверждений транзакций.

EtherRAT сочетает в себе функции традиционных троянских программ удалённого доступа (RAT) с возможностями манипулирования блокчейном.

EtherRAT распространяется через троянизированный установщик, что позволяет проводить разведку и потенциально похищать криптоактивы через взаимодействия в блокчейне.

Дрейнеры эксплуатируют поведение пользователей, представляя визуальные элементы, соответствующие легитимным операциям, и обманом заставляя пользователей предоставлять одобрения.

Темы, связанные с искусственным интеллектом, используются для повышения доверия к вредоносным интерфейсам в этих атаках.

Организации, не имеющие прямого взаимодействия с криптографией, по-прежнему подвержены риску из-за скомпрометированных учетных данных или зараженных систем.

Распространение дрэйнеров и их интеграция с фишингом и распространением ВПО размывают границы между угрозами Web2 и Web3.

Злоумышленники эксплуатируют традиционные уязвимости, одновременно занимаясь сложными кражами криптоактивов, что требует единого подхода к защите в области кибербезопасности.

#ParsedReport #CompletenessLow
30-04-2026

Mapping Remus Infostealer

https://intelinsights.substack.com/p/mapping-remus-infostealer

Report completeness: Low

Threats:
Remus
Etherhiding_technique
Lumma_stealer

Industry:
Financial, Petroleum

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1571, T1583.001

IOCs:
IP: 29
Url: 4
Domain: 12
Coin: 6

Crypto:
ethereum

Functions:
write, read, setData, getData, transferOwnership

Links:
have more...
https://github.com/gendigitalinc/ioc/tree/master/Remus

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, chart: 1, table: 3, code: 5, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ вредоносного ПО Remus Infostealer выявляет его паттерны регистрации доменов, в основном использующие TLD .biz, и его интеграцию с блокчейн-технологиями для операций. Ключевые выводы показывают автоматизированные кампании, связанные с различными контрактами Ethereum, с выявленными конкретными портами управления (61611 и 61617). Дальнейшее изучение смарт-контрактов демонстрирует прогресс в функциях безопасности и потенциальные русскоязычные корни, что указывает на связи с известными группами российских злоумышленников.
-----

Анализ сосредоточен на инфраструктуре и оперативных техниках, используемых вредоносным ПО Remus Infostealer, предоставляя информацию о закономерностях регистрации доменов и его интеграции с блокчейн-технологиями. Основное внимание уделяется выявлению индикаторов компрометации (IoCs) и пониманию динамики коммуникаций и транзакций стиллера.

Большинство доменов, связанных с Remus, используют доменную зону .biz, что перекликается с другими инфостилерами, особенно с его предшественником Lumma. С помощью платформы Validin исследователи отследили историческое присутствие этих доменов, которые преимущественно были зарегистрированы в начале марта через Dynadot, что подтвердило гипотезу об автоматизированной кампании. Это согласуется с более широкими оперативными временными рамками, наблюдаемыми в аналогичных атаках.

Значительная методология данного исследования включает анализ блокчейна, где выявление паттернов транзакций раскрыло новые связи с кошельками операторов. Изначально анализ зашел в тупик, но дальнейшее изучение привело к идентификации дополнительных контрактов Ethereum, связанных с кошельками операторов. Расследование выявило четыре новых контракта и определило критические точки транзакций в фазе развертывания ВПО, указывая на использование конкретных портов (61611 и 61617) для каналов управления.

Анализ смарт-контрактов выявил различные операционные версии, при этом самые ранние версии не содержали механизмов валидации и функций безопасности. В последующих версиях были внедрены улучшения, такие как обеспечение конфиденциальности данных, строгие требования к форматированию и расширенные возможности логирования. Заметная эволюция в дизайне контракта отражает постоянные корректировки со стороны операторов, направленные на оптимизацию для снижения затрат при одновременном устранении видимости историй ротации C2. Интересно, что использование комментариев на русском языке внутри кода указывает на возможное русскоязычное происхождение разработчиков, что может помочь атрибутировать ВПО к конкретным группам злоумышленников, исторически связанным с деятельностью российского киберкриминала.

Несмотря на полученные данные, исследование признает ограничения в продолжении отслеживания блокчейна без новых образцов или индикаторов. Использование ончейн-мониторов может помочь в усилиях по обнаружению, что предполагает совместные действия для усиления мер кибербезопасности против Remus и подобных угроз. В целом, выводы подтверждают важность использования кросс-доменных методов, включая аналитику блокчейна, для отслеживания инфраструктуры и поведения ВПО, проливая свет на эволюционирующие тактики, применяемые киберпреступниками.

#ParsedReport #CompletenessMedium
30-04-2026

Claude adds malware to crypto agent

https://www.reversinglabs.com/blog/claude-promptmink-malware-crypto

Report completeness: Medium

Actors/Campaigns:
Famous_chollima
Graphalgo

Threats:
Promptmink
Ottercookie
Beavertail
Supply_chain_technique
Typosquatting_technique
Invisibleferret

Victims:
Cryptocurrency developers, Web3 developers, Ai coding agents, Software development

Industry:
Transport, Software_development, Financial

Geo:
Dprk, North korean

ChatGPT TTPs:
do not use without manual check
T1005, T1021.004, T1027, T1027.009, T1036.005, T1041, T1082, T1083, T1098.004, T1119, have more...

IOCs:
File: 3
Domain: 19
IP: 3
Hash: 305

Soft:
Claude, Twitter, Anthropic, Node.js, linux

Crypto:
solana

Algorithms:
base64, sha1

Functions:
ReversingLabs

Languages:
rust, python, typescript

Links:
https://github.com/reversinglabs/rl-protect-skills
https://github.com/ExpertVagabond/openpaw-graveyard/commit/cd3c6ccbfe02a0fcf249fdcf67fd3ec351a7ed7c
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PromptMink — это вредоносная кампания, связанная с северокорейской группой Famous Chollima, использующая скомпрометированный пакет @validate-sdk/v2, который маскируется под легитимный инструмент для проверки данных с целью кражи учетных данных криптокошельков. ВПО применяет техники враждебного искусственного интеллекта для уклонения от обнаружения и может атаковать конфиденциальные файлы, внедрять SSH-ключи для удаленного доступа и встраивать вредоносный код в крупные бинарные файлы. Эта кампания представляет собой значительную эволюцию в атаках на цепочку поставок программного обеспечения, демонстрируя манипулирование инструментами ИИ-кодинга для эффективного сокрытия вредоносных зависимостей.
-----

Исследователи ReversingLabs выявили новую вредоносную кампанию под названием PromptMink, исходящую от проекта криптографической торговли, в котором основанный на искусственном интеллекте агент программирования включил вредоносный пакет зависимостей с меткой @validate-sdk/v2. Этот пакет имитирует обычный инструмент проверки данных, но предназначен для эксфильтрации конфиденциальной информации, включая учетные данные из криптокошельков пользователей, и связан с хакерской группировкой Famous Chollima из Северной Кореи. В частности, этот инцидент демонстрирует сложную компрометацию цепочки поставок программного обеспечения, включающую многоуровневый подход: пакеты первого уровня, выглядящие легитимно и безвредно, служат приманкой, тогда как пакеты второго уровня несут реальный вредоносный код.

Mink демонстрирует заметную техническую эволюцию; его полезная нагрузка перешла от базовых возможностей по сбору информации к более продвинутым функциям. Изначально унаследованное от более ранних вредоносных пакетов, ВПО усовершенствовало свои методы, используя техники adversarial AI для обфускации и уклонения от обнаружения. ВПО может сканировать машины жертв на наличие конфиденциальных файлов, таких как .env и .json файлы, содержащие учетные данные криптографии, и оно использует функцию для сжатия и эксфильтрации целых проектов. Для целей Linux и Windows оно также может внедрять SSH ключи для постоянного удаленного доступа.

Кампания использует современные практики разработки, внедряя вредоносные загрузки в более крупные бинарные файлы с помощью таких техник, как создание одиночных исполняемых приложений (SEA). Этот подход не только облегчает обфускацию, но и интегрирует вредоносные загрузки в знакомые среды, где присутствуют интерпретаторы JavaScript, что существенно повышает скрытность от механизмов обнаружения. Исследователи отметили, что злоумышленники быстро адаптировались к уязвимостям предыдущих итераций, постоянно развертывая новые версии с усовершенствованными тактиками уклонения от обнаружения.

Выбор знаменитой группы Chollima манипулировать инструментами программирования на базе ИИ эффективно демонстрирует эволюцию в способах генерации и развертывания вредоносного ПО; использование больших языковых моделей (LLM) облегчает создание как описаний пакетов, так и самого вредоносного ПО. Это привело к успешному обману как человеческих разработчиков, так и ИИ-агентов для программирования, заставив их использовать вредоносные зависимости. Ключевые индикаторы компрометации (IOCs) включают конкретные домены управления и конечные точки API, которые обеспечивают эксфильтрацию данных.

Выводы подчеркивают необходимость надежных мер безопасности в процессах разработки программного обеспечения, в частности посредством детального статического анализа всех зависимостей перед установкой. Такие инструменты, как ReversingLabs' Spectra Assure Community, могут помочь выявить эти вредоносные сущности, повышая целостность цепочки поставок программного обеспечения и защищая от подобных целевых кампаний ВПО в будущем.

#ParsedReport #CompletenessHigh
30-04-2026

Geo-information data at risk. How HeartlessSoul is attacking the aviation industry

https://securelist.ru/tr/heartlesssoul-campaign-javascript-rat/115376/

Report completeness: High

Actors/Campaigns:
Heartlesssoul (motivation: information_theft)
Paper_werewolf

Threats:
Uac_bypass_technique

Victims:
Government agencies, Commercial companies, Industrial enterprises, Aviation systems, Public sector, Individual users

Industry:
Aerospace, Government

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.010, T1033, T1036.005, T1041, T1053.005, T1056.001, T1059.001, T1059.005, have more...

IOCs:
File: 14
Hash: 71
Url: 13
Domain: 11
IP: 4

Soft:
Node.js, GearUP, Telegram, Outlook, Google Chrome, Microsoft Edge, Yandex Browser, Opera

Crypto:
solana

Algorithms:
base64, zip, md5

Functions:
Main, createHash, GetCookiesKey

Win API:
DriveType

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группировка HeartlessSoul, активная с сентября 2025 года, нацелена на авиационный сектор и российские государственные учреждения, используя фишинг для распространения файлов LNK, XLL или MSI. Они применяют PowerShell для загрузки JavaScript RAT с серверов C2, используя обфускацию для уклонения от обнаружения, с возможностями регистрации нажатий клавиш, захвата экрана и эксфильтрации данных. Примечательно, что они эксплуатируют уязвимость ZDI-CAN-25373 и пересекаются в инфраструктуре с хакерской группировкой GOFFEE, что указывает на скоординированные действия.
-----

Группировка HeartlessSoul, активная с сентября 2025 года, представляет собой серьезную угрозу для авиационного сектора и российских государственных органов благодаря инновационным методам атак. Их основные тактики заражения включают фишинговые кампании, доставляющие вредоносные вложения, обычно в формате файлов LNK, XLL или MSI, а также вредоносную рекламу через поддельные сайты, имитирующие легальное авиационное программное обеспечение.

При первоначальной компрометации группа выполняет команды PowerShell, предназначенные для загрузки троянской программы удаленного доступа (RAT) из JavaScript на серверы управления (C2). Этот загрузчик JavaScript, названный index.js, не только запускает основной полезный груз, но и использует обфусцированный код для уклонения от обнаружения. Некоторые известные векторы заражения эксплуатируют уязвимость, обозначенную как ZDI-CAN-25373, где вредоносные команды могут быть скрыты в пути ярлыка файлов LNK.

В рамках вредоносной экосистемы RAT оснащен сложными функциями, включая захват экрана, регистрацию нажатий клавиш и возможности эксфильтрации данных. После установки RAT извлекает жизненно важную системную информацию, такую как серийный номер диска, имя пользователя и имя хоста, которые впоследствии объединяются в строку, хешируются и отправляются на сервер C2.

Целями сбора данных являются конфиденциальные геоинформационные данные, хранящиеся в форматах файлов ГИС, которые могут предоставить информацию об инфраструктуре, такой как транспортные и коммунальные сети. RAT также имеет специальные команды для извлечения истории просмотров и учетных данных из различных веб-браузеров, собирая данные, хранящиеся в их соответствующих каталогах. Примечательно, что троян использует утилиту .NET под названием ArtifactsCollector.exe для извлечения мастер-ключей браузера, что облегчает извлечение конфиденциальных данных cookie.

Инфраструктура HeartlessSoul демонстрирует заметные пересечения с хакерской группировкой GOFFEE, что указывает на возможную координацию между этими двумя субъектами. Обе группировки используют PowerShell для развертывания вредоносных модулей и сосредоточены на эксплуатации уязвимостей в целевых организациях, особенно в государственном секторе. Домены C2, используемые в их операциях, преимущественно регистрируются через Tucows Domains Inc., и они занимаются мошеннической регистрацией доменов для дальнейшего продвижения своих злонамеренных усилий по распространению.

Обнаружение активности HeartlessSoul может быть достигнуто путем мониторинга необычного поведения, связанного с выполненными LNK-файлами, паттернов сетевой коммуникации, указывающих на взаимодействие с серверами C2, а также наличия скрытых или зашифрованных входных данных командной строки. Хорошо зарекомендовавшие себя средства защиты в области кибербезопасности необходимы для снижения рисков, создаваемых этими постоянными угрозами, особенно в таких отраслях, как авиация, где безопасность имеет первостепенное значение.

#ParsedReport #CompletenessHigh
30-04-2026

LofyStealer: Malware targeting Minecraft players.

https://zenox.ai/en/lofystealer-malware-mirando-jogadores-de-minecraft/

Report completeness: High

Actors/Campaigns:
Lofygang

Threats:
Lofystealer
Grabbot
Slinky
Process_injection_technique
Process_hollowing_technique
Supply_chain_technique
Typosquatting_technique
Starjacking_technique
Chromelevator_tool
Antidebugging_technique

Victims:
Minecraft players, Gaming community, Browser users

Industry:
Entertainment

Geo:
Portuguese, Brazil, Brazilian

TTPs:
Tactics: 3
Technics: 16

IOCs:
IP: 2
File: 18
Command: 1
Hash: 2

Soft:
Node.js, OpenSSL, Chrome, Opera GX, Firefox, Windows kernel, Windows Certificate, WinHTTP, Metadados, 1 funcs, have more...

Algorithms:
aes-256, sha256, bcrypt, md5, base64, sha1, xor, zip

Win API:
MiniDumpWriteDump, SymSetSearchPathW, CertOpenStore, CertCloseStore, CertEnumCertificatesInStore, CertFindCertificateInStore, CertDuplicateCertificateContext, GetBestRoute2, if_nametoindex, NotifyIpInterfaceChange, have more...

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4, table: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LofyStealer — это продвинутый стиллер, нацеленный на игроков Minecraft, связанный с кампанией GrabBot/Slinky. Он использует двухэтапную структуру, состоящую из загрузчика на Node.js и полезной нагрузки на C++ для Внедрения кода в процессы браузеров, применяя техники обфускации и каналы управления (C2) для эксфильтрации конфиденциальных данных из веб-браузеров. ВПО связано с группой LofyGang и включает механизмы антиотладки, что подчеркивает его сложность и фокус на краже данных, связанных с играми.
-----

LofyStealer — это сложная вредоносная кампания, нацеленная на игроков Minecraft, выявленная в ходе охоты на угрозы на платформе ANY.RUN. Этот стиллер, связанный с кампанией GrabBot/Slinky, маскируется под модификацию Minecraft под названием Slinky, используя доверие своей молодой аудитории. Он работает в два основных этапа: значительный загрузчик на базе Node.js размером 53,5 МБ (load.exe) и нативный полезный модуль на C++ размером 1,4 МБ (chromelevator.exe), который внедряется в процессы браузера жертвы. Такая двухуровневая структура повышает его возможности по уклонению от обнаружения и операционную сложность.

Загрузчик предназначен для сокрытия своей вредоносной природы, поскольку он упакован вместе с множеством легитимных библиотек, что усложняет обнаружение. Динамические доказательства выполнения подтверждают, что загрузчик устанавливает соединения управления (управление) с IP-адресом (24.152.36.241), что подтверждает его активное распространение. Критические функции внутри load.exe включают высокоуровневые сетевые возможности, предоставляемые библиотекой WS2_32.dll, используемыми для связи с C2, и расширенные функции манипуляции памятью из KERNEL32.dll, облегчающие эффективные техники Внедрение кода в процессы.

LofyStealer создан для масштабного кражи данных, нацелен на восемь популярных веб-браузеров. Он извлекает пять конкретных типов конфиденциальной информации: cookies, пароли, токены, данные кредитных карт и IBAN. ВПО использует как прямые системные вызовы, так и стандартные API для выполнения техник Внедрение в пустой процесс, тем самым обходя традиционные средства защиты конечных точек. Интеграция криптографического хеша SHA-256 для целостности данных гарантирует, что информация, отправляемая на C2, проверяется на подлинность.

Процесс эксфильтрации вредоносного ПО надежен и использует библиотеку WinHTTP для безопасных C2-коммуникаций, при этом отправляя собранные данные в ZIP-файлах, закодированных в Base64. Анализ также выявил механизмы антиотладки и уклонения от обнаружения, что указывает на его сложность в избегании механизмов обнаружения. Сформированный JSON-пакет, отправляемый на C2, включает различные поля, такие как секретный ключ для аутентификации, операционный журнал и данные для идентификации системы жертвы.

Кампания связана с группировкой LofyGang, которая исторически нацеливалась на игровые сообщества посредством различных атак на цепочку поставок JavaScript. Использование бразильского португальского языка в комментариях к коду и встроенных шаблонах именования подтверждает эту атрибуцию. Кроме того, представление LofyStealer в качестве платформы ВПО как услуга дополнительно иллюстрирует его коммерциализированную эволюцию, обеспечивая многоаспектный подход к киберкриминалу, сосредоточенный на кражах, связанных с играми.

#ParsedReport #CompletenessHigh
30-04-2026

Komari: The “Monitoring” Tool That Didn't Need Weaponising

https://www.huntress.com/blog/komari-c2-agent-abuse

Report completeness: High

Threats:
Komari_tool
Nssm_tool
Impacket_tool
Simplehelp_tool
Screenconnect_tool
Anydesk_tool
Nezha_tool
Atera_tool
Smbexec_tool
Mirai

Geo:
Netherlands

TTPs:
Tactics: 5
Technics: 1

IOCs:
IP: 1
Domain: 1
File: 12
Path: 5
Url: 1
Command: 2
Registry: 2
Hash: 1

Soft:
Windows service, Windows Update Service, Microsoft Defender, Velociraptor, Active Directory, Windows Defender, Linux, Zoom, systemd

Algorithms:
sha256

Functions:
randomString

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник использовал украденные учетные данные VPN для доступа к рабочей станции Windows партнера Huntress, развернув агент Komari — бэкдор на уровне SYSTEM, созданный на основе открытого проекта GitHub. Komari функционирует как двунаправленный канал управления и использует такие возможности, как произвольное выполнение команд и интерактивные обратные оболочки. Он избежал первоначального обнаружения Microsoft Defender, будучи зарегистрированным как Служба Windows, что подчеркивает риски использования открытых инструментов с функциями мониторинга и контроля.
-----

16 апреля 2026 года злоумышленник использовал украденные учетные данные VPN для получения доступа к рабочей станции Windows, принадлежащей партнеру Huntress, и развернул бэкдор на уровне SYSTEM с использованием агента Komari. Komari, происходящий из проекта на GitHub, описываемого как инструмент удаленного мониторинга и управления, по умолчанию служит двунаправленным каналом управления (C2). Он устанавливает постоянное WebSocket-соединение с сервером и принимает три типа команд: `exec`, позволяющий выполнять произвольные команды (через PowerShell или оболочку), `terminal`, который устанавливает интерактивную PTY-обратную оболочку в браузере, и `ping`, используемый для сетевой разведки. Эта функциональность включена по умолчанию и не требует дополнительной конфигурации для превращения в оружие, что делает ее особенно привлекательной для злоумышленников.

Атака была инициирована через сессию SSLVPN, которая обеспечила первоначальный доступ с использованием скомпрометированных учетных данных, связанных с IP-адресом, ассоциированным с хостинг-провайдером VMHeaven. Злоумышленник впоследствии использовал скрипт smbexec.py из пакета Impacket для манипуляции Протоколом удаленного рабочего стола (RDP) на скомпрометированной рабочей станции. В ходе операции Microsoft Defender обнаружил поведенческую угрозу, обозначенную сигнатурой `Behavior:Win32/RegDump.SA`, что привело к изоляции связанного процесса, но не до того, как атакующий установил Komari.

Процесс установки включал регистрацию агента Komari в виде постоянной Службы Windows с именем «Windows Update Service», что было выполнено с использованием NSSM (Non-Sucking Service Manager). Это гарантировало автоматическую загрузку вредоносного агента при запуске системы, а скрипт установки был напрямую загружен из репозитория GitHub без использования какой-либо промежуточной инфраструктуры. После установки агент Komari выполнил первоначальный сбор информации для отправки данных о хосте на настроенный злоумышленником сервер C2.

Операционные возможности Komari обширны, позволяя злоумышленникам поддерживать закрепление при выполнении произвольных команд и создании удалённых оболочек. Примечательно, что настоящие функции мониторинга Komari размывают границы между легитимным использованием и вооружением, поскольку её базовая архитектура включает функциональность, обычно ассоциируемую с C2-архитектурами. Если злоумышленник успешно масштабирует развёртывание Komari на нескольких скомпрометированных системах, архитектура может напоминать лёгкий ботнет.

Этот инцидент подчеркивает риски, связанные с инструментами с открытым исходным кодом, которые включают как функции мониторинга, так и управления, что делает их привлекательными для злоумышленников. Динамичная природа таких инструментов требует бдительного подхода к кибербезопасности, фокусируясь не только на известных индикаторах, но и на поведенческих паттернах, указывающих на несанкционированную активность C2.

#ParsedReport #CompletenessMedium
30-04-2026

Mini Shai-Hulud Spreads to Packagist: Malicious Intercom PHP Package Follows npm Compromise

https://socket.dev/blog/mini-shai-hulud-packagist-malicious-intercom-php-package-compromise

Report completeness: Medium

Threats:
Shai-hulud
Supply_chain_technique
Credential_stealing_technique
Credential_harvesting_technique

Victims:
Open source package ecosystems, Php projects, Node.js projects, Continuous integration and continuous delivery environments, Cloud environments, Github repositories

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.004, T1059.007, T1105, T1195.001, T1550.001, T1567.001

IOCs:
File: 5
Url: 1
Hash: 5
Domain: 1

Soft:
Node.js, Linux, macOS, Kubernetes, Docker, HashiCorp Vault, claude, Laravel

Algorithms:
zip, sha256, aes-256-gcm, aes

Languages:
php, javascript