#ParsedReport #CompletenessMedium
01-05-2026

Malicious Ruby Gems and Go Modules Impersonate Developer Tools to Steal Secrets and Poison CI

https://socket.dev/blog/malicious-ruby-gems-and-go-modules-steal-secrets-poison-ci

Report completeness: Medium

Actors/Campaigns:
Bufferzonecorp

Threats:
Supply_chain_technique
Typosquatting_technique

Victims:
Developers, Continuous integration runners, Build environments

TTPs:
Tactics: 5
Technics: 9

IOCs:
File: 24
Url: 20
IP: 5

Soft:
Outlook, GOPROXY, Docker, Unix

Algorithms:
base64

Functions:
init, _syncRegistry, that

Win API:
gethostname

Languages:
ruby, swift

Links:
https://socket.dev/go/package/github.com/BufferZoneCorp/go-metrics-sdk
https://socket.dev/go/package/github.com/BufferZoneCorp/go-retryablehttp
have more...
https://socket.dev/go/package/github.com/BufferZoneCorp/go-weather-sdk

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Аккаунт GitHub компании BufferZoneCorp был связан с атакой на цепочку поставок программного обеспечения, нацеленной на разработчиков и CI-среды, распространяющей вредоносные Ruby-гемы и Go-модули. Ruby-гемы предназначены для кражи секретов, таких как SSH и учетные данные AWS, и их эксфильтрации на скрытую конечную точку, в то время как Go-модули манипулируют средами сборки, изменяют GitHub Actions и устанавливают SSH закрепление. Эти пакеты изначально выглядят безобидно, но позже активируют вредоносные функции, применяя тактики, согласующиеся с фреймворком MITRE ATT&CK для компрометации цепочки поставок и кражи учетных данных.
-----

Аккаунт BufferZoneCorp в GitHub был идентифицирован как источник вредоносных Ruby-гемов и Go-модулей в рамках кампании атак на цепочку поставок программного обеспечения, которая в первую очередь нацелена на разработчиков и среды непрерывной интеграции (CI). В частности, Ruby-гемы предназначены для автоматизации кражи секретов путем сбора конфиденциальных переменных окружения и локальных учетных данных, таких как SSH-ключи и учетные данные AWS. Эта информация выгружается на скрытую конечную точку, установленную злоумышленниками.

На стороне Go вредоносные модули демонстрируют разнообразные атакующие техники. Они могут манипулировать средами сборки, изменяя критические настройки GitHub Actions, ослабляя защиту контрольных сумм и внедряя поддельные обёртки, которые манипулируют настройками прокси. Примечательно, что один из модулей Go может установить закрепление через SSH, добавляя жёстко закодированный открытый SSH-ключ в файл разрешённых ключей затронутого хоста.

В рамках кампании используются спящие пакеты, изначально загружаемые без активной вредоносной активности, которые впоследствии обновляются для включения вредоносных функций. Для Ruby вредоносные гемы имеют названия, тесно напоминающие названия доверенных инструментов разработчика, что усиливает их обманчивый вид. Модули Go также воспроизводят знакомые названия библиотек, дополнительно сливаясь с существующими графами зависимостей.

Пример вредоносного поведения на стороне Ruby наблюдается в геме под названием "knot-activesupport-logger", который выполняет кражу учётных данных во время установки через скрипт extconf.rb и во время выполнения программы при использовании его функциональности логирования. Этот гем структурирован таким образом, чтобы подавлять обнаружение, отправляя похищенные данные в фоновом потоке.

Go-модули в основном используют автоматизированный путь выполнения через функцию init(), стремясь нарушить работу рабочих процессов GitHub Actions и выполнить компрометацию настроек доверия модулей. Конкретные модули, такие как "go-metrics-sdk", намеренно изменяют переменную GITHUB_ENV и используют PKG_ANALYTICS_URL для целей эксфильтрации, в то время как другие сосредоточены на манипулировании путями выполнения и отслеживании аргументов.

Технические детали кампании BufferZoneCorp демонстрируют методологии, согласующиеся с многочисленными тактиками, выявленными во фреймворке MITRE ATT&CK, особенно теми, которые связаны с компрометацией цепочки поставок, выполнением с участием пользователя вредоносных библиотек и кражей учетных данных через скомпрометированные зависимости программного обеспечения. Эта продолжающаяся ситуация подчеркивает значительный ландшафт угроз для разработчиков программного обеспечения, что требует проактивной бдительности и практик безопасного управления зависимостями.

#ParsedReport #CompletenessLow
30-04-2026

Intercom’s npm Package Compromised in Ongoing Mini Shai-Hulud Worm Attack

https://socket.dev/blog/intercom-s-npm-package-compromised-in-supply-chain-attack

Report completeness: Low

Actors/Campaigns:
Teampcp

Threats:
Shai-hulud
Supply_chain_technique
Credential_harvesting_technique

Victims:
Software development, Continuous integration and continuous delivery environments, Open source package ecosystem

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.007, T1078.004, T1105, T1195.001, T1552, T1552.001, T1565.001, T1567.001, have more...

IOCs:
File: 2
Hash: 2

Soft:
Node.js, Kubernetes, Bitwarden, LiteLLM, Trivy, Dependabot, claude

Algorithms:
zip, sha1, sha256, md5

Languages:
javascript

Links:
https://github.com/intercom/intercom-node

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компрометация npm-пакета intercom-client@7.0.4 связана с червем Mini Shai-Hulud, нацеленным на секреты разработчиков и CI/CD. В этой версии были добавлены вредоносные файлы setup.mjs и router_runtime.js; setup.mjs выполняется во время установки, загружая непроверенный бинарный файл Bun, тогда как router_runtime.js собирает и выводит конфиденциальную информацию, используя аналогичные техники, наблюдавшиеся в других атаках на Цепочку поставок. Компрометация также включает подозрительного пользователя GitHub, демонстрирующего необычную активность в репозиториях, которая может быть связана с более широкой кампанией атак, затрагивающей другие npm-пакеты.
-----

Компрометация пакета npm intercom-client@7.0.4 связана с продолжающейся атакой, известной как червь Mini Shai-Hulud, которая нацелена на секреты разработчиков и CI/CD. Эта вредоносная версия пакета была подтверждена командой Socket Threat Research, которая выявила появление двух новых файлов — setup.mjs и router_runtime.js, отсутствовавших в более ранней версии 7.0.3. Установка версии 7.0.4 автоматически выполняет хук preinstall, который запускает setup.mjs, загружает и выполняет непроверенный бинарный файл Bun с GitHub, обходя проверки целостности.

Файл router_runtime.js представляет собой обфусцированный JavaScript-код, который собирает конфиденциальную информацию, такую как учетные данные Kubernetes и Vault из переменных окружения и локальных файлов. Эти украденные данные шифруются и эксфильтруются через GitHub API. Примечательно, что методы, использованные в этой атаке, поразительно похожи на предыдущие инциденты, включая один с пакетом lightning@2.6.2 из PyPI, который также применял обфусцированный файл и стратегии эксфильтрации и сбора учетных записей на основе GitHub. Компрометация intercom-client может быть частью более широкой кампании атак, потенциально связанной с недавно сообщенными компрометациями Цепочки поставок, затрагивающими другие npm-пакеты, связанные с активностью TeamPCP.

Разработчики и среды CI/CD, установившие пакет intercom-client@7.0.4, находятся в зоне риска, поскольку вредоносная нагрузка выполняется в процессе установки, потенциально подвергая системы опасности независимо от того, используется ли она напрямую в коде приложения. Пользователям рекомендуется немедленно удалить скомпрометированный пакет, понизить версию до безопасной, изменить все потенциально скомпрометированные учетные данные и провести тщательный обзор своих систем, уделив особое внимание средам, содержащим конфиденциальные учетные данные, такие как токены Kubernetes и GitHub.

Далее была зафиксирована дополнительная подозрительная активность, связанная с этой компрометацией, в которой пользователь GitHub по имени nhur демонстрировал необычное поведение, включая быстрое создание репозиториев и изменение файлов в нескольких репозиториях в течение короткого промежутка времени. Действия этого пользователя включали имитацию коммитов в стиле Dependabot с ошибками в наименовании, среди которых были конфигурации, способные получать доступ к секретам репозитория и загружать их в виде артефактов. Аккаунт, который выглядит как скомпрометированный, запустил рабочий процесс публикации CI, что позволило доставить вредоносный пакет npm.

Сложившаяся ситуация подчеркивает стойкий характер угроз Цепочка поставок и акцентирует внимание на важности мониторинга и проверки зависимостей в средах разработки. Практики безопасности, включающие регулярную проверку целостности пакетов и тщательный анализ процессов CI/CD, имеют решающее значение для снижения рисков, связанных с подобными атаками. Текущее расследование кампании Mini Shai-Hulud продолжает изучать эти связи и их последствия для разработчиков.

#ParsedReport #CompletenessLow
01-05-2026

Copy Fail: Universal Linux Local Privilege Escalation Vulnerability

https://www.wiz.io/blog/copyfail-cve-2026-31431-linux-privilege-escalation-vulnerability

Report completeness: Low

Threats:
Copyfail_vuln

Victims:
Linux systems

CVEs:
CVE-2026-31431 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<5.10.254, <5.15.204, <6.1.170, <6.6.137, <6.12.85)


ChatGPT TTPs:
do not use without manual check
T1068, T1105, T1548.001

IOCs:
File: 2
Hash: 1

Soft:
Linux, Ubuntu, Debian, Fedora, curl

Functions:
splice

Platforms:
intel

Links:
https://github.com/Percivalll/Copy-Fail-CVE-2026-31431-Kubernetes-PoC

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость Copy Fail (CVE-2026-31431) затрагивает практически все версии ядра Linux начиная с 2017 года, позволяя неименным локальным пользователям повышать привилегии до уровня root благодаря логической ошибке в реализации криптографии AEAD. Атакующие могут эксплуатировать эту уязвимость, манипулируя списками scatter-gather, потенциально перезаписывая критически важные исполняемые файлы в кэше страниц, особенно используя сокеты AF_ALG и системный вызов splice(). Хотя исправления уже интегрированы в основное ядро Linux, многие дистрибутивы остаются без патчей, что требует бдительности в отношении признаков эксплуатации, таких как аномалии в журналах аутентификации и взаимодействия с определенными веб-сайтами, размещающими эксплойты.
-----

Уязвимость Copy Fail, идентифицированная как CVE-2026-31431, представляет собой серьезную угрозу для систем Linux, позволяя локальным непривилегированным пользователям повышать свои права до уровня root. Эта уязвимость, обнаруженная Xint, затрагивает практически все версии ядра Linux, выпущенные с 2017 года, потенциально подвергая риску миллионы установок. По состоянию на 1 мая 2026 года исправление для этой уязвимости было интегрировано в основное ядро Linux, однако многие дистрибутивы еще не внедрили эти исправления.

Ошибка Copy Fail возникает из-за логической уязвимости в криптографической реализации AEAD ядра Linux. В частности, ошибка связана с тем, как обрабатываются списки scatter-gather. Эта некорректная обработка позволяет злоумышленникам перезаписывать четыре байта в кэше страниц любого доступного для чтения файла в системе, включая критически важные исполняемые файлы, такие как setuid-бинарники. Комбинируя эту уязвимость с сокетами AF_ALG и системным вызовом splice(), злоумышленник может использовать это для получения повышенных привилегий.

Дистрибутивы Linux реагируют с разной скоростью. Например, ветка sid (unstable) Debian была исправлена, тогда как стабильные релизы остаются уязвимыми без подтверждённых исправлений, перенесённых в стабильные версии. Другие дистрибутивы, такие как Ubuntu и CloudLinux, на указанную дату не выпустили исправлений, тогда как Fedora, RHEL и другие находятся в процессе внедрения исправлений. Arch Linux, следуя модели непрерывного выпуска (rolling release), по-видимому, оперативно применил необходимые исправления.

Мониторинг систем на наличие признаков эксплуатации имеет решающее значение. Одним из индикаторов является регистрация сообщения "NET: Registered PF_ALG protocol family" в файлах kern.log и syslog, что является стандартным во время загрузки и работы легитимных приложений, но может потребовать дополнительного расследования при наличии других подозрительных действий. Кроме того, следует регистрировать взаимодействия с веб-сайтом Xint, на котором размещен Proof of Concept (PoC) код эксплуатации уязвимости, особенно команды curl, выполняющие запросы к сайту по адресу https://copy.fail/exp.

Внутренние тесты показали, что выполнение модифицированной версии /usr/bin/su с измененным кэшем страниц может вызывать аномалии в журналах аутентификации, приводя к появлению записей без указания идентификатора вызывающего. Это отсутствие свидетельствует о том, что попытка эксплуатации может повредить состояние выполнения бинарного файла, дополнительно усложняя криминалистический анализ после компрометации. Организациям, использующим системы Linux, необходимо приоритизировать устранение этой уязвимости путем применения последних исправлений и мониторинга связанных аномальных действий.

#ParsedReport #CompletenessHigh
30-04-2026

Poisoning the well: AI supply chain attacks on Hugging Face and OpenClaw

https://www.acronis.com/en/tru/posts/poisoning-the-well-ai-supply-chain-attacks-on-hugging-face-and-openclaw/

Report completeness: High

Actors/Campaigns:
Fakesecurity

Threats:
Supply_chain_technique
Amos_stealer
Process_injection_technique
Vmprotect_tool
Dead_drop_technique
Motw_bypass_technique

Victims:
Financial sector, Openclaw users, Hugging face users

Geo:
Vietnam, Vietnamese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.002, T1027.007, T1027.010, T1036, T1036.005, T1053.005, T1055, T1059.001, T1059.004, T1070.004, have more...

IOCs:
File: 17
Hash: 12
IP: 1
Url: 13
Domain: 1

Soft:
Hugging Face, OpenClaw, ClawHub, macOS, twitter, Moltbot, Clawdbot, curl, Telegram, Windows Defender, have more...

Algorithms:
xor, aes, cbc, base64, sha256

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
windows: 8, schema: 6, code: 20, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют платформы распространения ИИ, такие как Hugging Face и ClawHub, для доставки ВПО, внедряя вредоносную функциональность в приложения и инструменты, которые выглядят надежными. Экосистема OpenClaw была идентифицирована как распространяющая более 575 вредоносных навыков, нацеленных на Windows и macOS, используя такие техники, как косвенная инъекция промптов, для выполнения скрытых команд без согласия пользователя. Кроме того, кампании, такие как ITHKRPAW и FAKESECURITY, демонстрируют использование сложных методов, таких как выполнение в памяти и скрытое извлечение полезной нагрузки с этих платформ, что подчеркивает тенденцию к нацеливанию на доверенные источники для распространения ВПО.
-----

Злоумышленники используют платформы распространения ИИ, такие как Hugging Face и ClawHub, для доставки ВПО.

Злоумышленники внедряют вредоносный функционал в программное обеспечение, предназначенное для экосистем ИИ, расширяя воздействие своего ВПО.

Экосистема OpenClaw насчитывает более 575 вредоносных навыков, нацеленных на системы Windows и macOS.

Эти навыки маскируются под легитимные инструменты, но выполняют скрытые команды или устанавливают вредоносные зависимости.

Косвенная инъекция промпта — это техника, используемая для принуждения ИИ-агентов к выполнению действий без ведома пользователя.

Hugging Face размещает вредоносные файлы, замаскированные под легитимные приложения, используя доверие пользователей.

Различные типы ВПО включают инфостилеры, трояны удалённого доступа (RAT) и криптомайнеры.

В кампании ITHKRPAW злоумышленники использовали Cloudflare Workers для развертывания скрипта PowerShell, который загружал полезную нагрузку с Hugging Face.

Кампания FAKESECURITY включала использование ВПО, применяющего выполнение в памяти и Внедрение кода в процессы для сокрытия операций в Windows Explorer.

Индикаторы компрометации включают серверы C2, идентифицированные по конкретным IP-адресам, что способствует проведению масштабных вредоносных действий.

Злоумышленники все чаще нацеливаются на доверенные платформы ИИ для глобального распространения ВПО.

Пользователи и организации должны рассматривать все входные данные из центров распределения ИИ как потенциально недоверенные.

Непрерывный мониторинг аномального поведения и проактивный поиск угроз могут повысить возможности обнаружения против этих угроз.

#ParsedReport #CompletenessLow
30-04-2026

Copy Fail: 732 Bytes to Root on Every Major Linux Distribution.

https://xint.io/blog/copy-fail-linux-distributions

Report completeness: Low

Threats:
Copyfail_vuln
Dirty_cow_vuln
Dirty_pipe_vuln

Victims:
Linux distributions, Kubernetes platforms, Cloud computing

CVEs:
CVE-2026-31431 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<5.10.254, <5.15.204, <6.1.170, <6.6.137, <6.12.85)

CVE-2022-0847 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<5.10.102, <5.15.25, <5.16.11)

CVE-2016-5195 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- canonical ubuntu_linux (12.04, 14.04, 16.04, 16.10)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.006, T1068, T1548.001, T1611

IOCs:
File: 5

Soft:
Linux, Ubuntu, Kubernetes, Android

Algorithms:
sha256, cbc, aes, hmac

Functions:
splice, read, mmap, execve, recvmsg, sg_chain, crypto_authenc_esn_decrypt, crypto_authenc_esn_decrypt_tail, sendmsg, recv, have more...

Languages:
python

Links:
have more...
https://github.com/torvalds/linux/commit/104880a6b470
https://github.com/torvalds/linux/commit/a5079d084f8b

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-31431, известная как «Copy Fail», — это критическая уязвимость в ядре Linux, позволяющая не привилегированным локальным пользователям выполнять контролируемые 4-байтовые записи в кэш страниц читаемых файлов. Эксплойт использует интерфейс AF_ALG для манипуляции бинарными файлами, в частности /usr/bin/su, что может предоставить доступ к root при выполнении. Эта уязвимость также представляет риски для побега из контейнеров, особенно в многопользовательских облачных средах, таких как Kubernetes, что делает её особенно опасной для безопасности системы.
-----

CVE-2026-31431, идентифицированный как «Copy Fail», представляет собой критическую уязвимость логики в шаблоне аутентификационного шифрования ядра Linux, которая позволяет не привилегированному локальному пользователю выполнять контролируемую запись 4 байт в кэш страниц любого доступного для чтения файла. Эта уязвимость была раскрыта Xint Code и применима ко всем основным дистрибутивам Linux, включая Ubuntu, Amazon Linux, RHEL и SUSE. Эксплуатация может быть выполнена с помощью простого 732-байтового скрипта на Python, использующего функциональность стандартных библиотечных модулей, что делает его особенно примечательным благодаря своей простоте и переносимости.

Корень проблемы «Copy Fail» кроется в обработке криптографических операций и управлении кэшем страниц ядром Linux. В частности, эксплойт манипулирует интерфейсом AF_ALG, широко используемым для криптографии, чтобы выполнить детерминированную запись, изменяющую кэш страниц без условий гонки или ошибочных временных окон. Этот простой подход отличает его от предыдущих уязвимостей повышения привилегий, таких как «Dirty Cow» и «Dirty Pipe», которые требовали более сложных условий и зависели от конкретных версий.

Механизм эксплуатации включает целевую запись в кэш страниц бинарного файла с правами setuid, а именно /usr/bin/su, который присутствует в основных дистрибутивах начиная с 2017 года. Атака осуществляется путем формирования полезной нагрузки, которая отправляется частями через функции sendmsg() и splice(), при этом определенные параметры тщательно подбираются для обеспечения вставки полезной нагрузки в системные бинарные файлы. После внедрения полезной нагрузки выполнение измененного бинарного файла предоставляет доступ к root.

Кроме того, последствия данной уязвимости выходят за рамки простого повышения привилегий на локальном уровне; общая природа кэша страниц позволяет осуществить потенциальный побег из контейнера, что существенно затрагивает среды Kubernetes. Таким образом, уязвимость Copy Fail представляет собой значительный риск, особенно в многопользовательских облачных инфраструктурах, где компрометация одного контейнера может привести к более широкому доступу к системе.

Уязвимость была сообщена команде безопасности ядра Linux в марте 2026 года и оперативно подтверждена, при этом исправления были предложены и включены в основное ядро вскоре после этого, что продемонстрировало проактивный подход к снижению рисков. Публичное раскрытие информации состоялось 29 апреля 2026 года после установления эффективного графика устранения.

#ParsedReport #CompletenessHigh
30-04-2026

ClickFix Removes Your Background but Leaves the Malware

https://www.huntress.com/blog/clickfix-castleloader-backgroundfix

Report completeness: High

Threats:
Clickfix_technique
Backgroundfix
Castleloader
Castlestealer
Process_hollowing_technique
Netsupportmanager_rat
Sandbox_evasion_technique
Apc_injection_technique
Antidebugging_technique
Lumma_stealer
Stealc

Victims:
Individual users, Telegram users, Cryptocurrency wallet users

Industry:
Transport

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.007, T1033, T1036.003, T1036.008, T1041, T1047, T1053.005, T1055.004, have more...

IOCs:
File: 35
Email: 1
Domain: 12
Url: 6
Path: 2
Command: 13
IP: 1
Hash: 2

Soft:
Telegram, Linux, curl, winhttp, Windows Defender, VirtualBox, indexeddb, Firefox, Discord, chrome, have more...

Wallets:
metamask

Algorithms:
xor, aes, chacha20, base64, zip, aes-cbc, rc4, aes-128, aes-256, aes-256-cbc

Functions:
exec, Windows

Win API:
decompress, HeapCreate, HeapAlloc, RtlMoveMemory, VirtualProtect, GetDesktopWindow, GetLastError, GetPrivateProfileStringW, CreateFileW, ShellExecuteW, have more...

Win Services:
bits

Languages:
python, powershell

Links:
https://gist.github.com/RussianPanda95/beefe07b6ead220de05fa63e2e5f556b#file-gistfile1-txt
https://github.com
have more...
https://gist.github.com/RussianPanda95/beefe07b6ead220de05fa63e2e5f556b/raw/9481136956fda26cad4a3b0fb56bf6321eac3976/gistfile1.txt

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, table: 1, code: 6, dump: 1, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания BackgroundFix использует обманчивый инструмент для редактирования изображений для распространения ВПО, в частности применяя компонент под названием CastleLoader для развертывания NetSupport RAT и CastleStealer, последний из которых нацелен на конфиденциальную информацию, такую как учетные данные браузеров и данные криптографических кошельков. CastleLoader выполняет вредоносные коды скрыто, используя различные компоненты Windows и техники манипуляции, в то время как CastleStealer применяет передовые методы для извлечения учетных данных без прерывания активности пользователя, например, используя Restart Manager для операций с файлами. Кампания демонстрирует сложный подход к развертыванию ВПО и краже данных, объединяя удаленный доступ с автоматизированным сбором учетных записей.
-----

Кампания BackgroundFix использует обманчивый инструмент для редактирования изображений для распространения вредоносного ПО через мошеннические веб-сайты.

Выявлено восемь связанных доменов, входящих в кампанию BackgroundFix.

CastleLoader является основным угрозой, обеспечивающим развертывание вредоносных загрузок (ВПО).

CastleLoader устанавливает две основные угрозы: NetSupport RAT для удалённого управления и CastleStealer для кражи учётных данных.

CastleStealer извлекает конфиденциальную информацию, включая учетные данные браузеров, данные криптографических кошельков и файлы сеансов Телеграм.

CastleLoader использует ошибочный метод выполнения, ссылающийся на `regsrv32.exe` вместо `regsvr32.exe`, что приводит к ошибкам.

Использует компоненты Windows, такие как `finger.exe`, для связи с сервером управления и передачи команд.

Методы выполнения включают запуск скриптов PowerShell, манипулирование командами через `cmd.exe` и внедрение в пустой процесс.

CastleStealer нацелен на пароли, хранящиеся в браузерах и приложениях, сфокусировавшись на извлечении данных из баз данных IndexedDB, используемых криптокошельками.

Использует диспетчер перезапуска (Restart Manager) для операций с файлами, чтобы обойти блокировки приложений, минимизируя прерывания для пользователей.

CastleLoader тщательно выстраивает свои каналы управления с использованием встроенного шифрования на основе ChaCha20.

Сочетание CastleLoader и CastleStealer обеспечивает удаленный доступ и автоматизированный сбор учетных записей, представляя значительную угрозу для целевых систем.

#ParsedReport #CompletenessMedium
02-05-2026

'Copy Fail' Flaw: 5 YARA Rules for Detection

https://www.reversinglabs.com/blog/copy-fail-5-yara-rules

Report completeness: Medium

Threats:
Copyfail_vuln

Victims:
Server infrastructure, Cloud computing, Enterprise workloads, Multi tenant servers, Ci/cd pipelines, Container clusters

CVEs:
CVE-2026-31431 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<5.10.254, <5.15.204, <6.1.170, <6.6.137, <6.12.85)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1027.008, T1027.009, T1059.004, T1059.006, T1068, T1105, T1548.001, T1611, have more...

IOCs:
File: 2
Hash: 21

Soft:
Linux, Twitter, Ubuntu, Kubernetes, curl, PyInstaller

Algorithms:
sha1, aes, sha256, cbc, hmac

Functions:
splice, sendmsg

Win API:
PIE

Languages:
javascript, python

Platforms:
amd64, arm, riscv64

YARA: Found

Links:
https://github.com/Neo23x0/signature-base/blob/master/yara/expl\_copy\_fail\_cve\_2026\_31431.yar