#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания BackgroundFix использует обманчивый инструмент для редактирования изображений для распространения ВПО, в частности применяя компонент под названием CastleLoader для развертывания NetSupport RAT и CastleStealer, последний из которых нацелен на конфиденциальную информацию, такую как учетные данные браузеров и данные криптографических кошельков. CastleLoader выполняет вредоносные коды скрыто, используя различные компоненты Windows и техники манипуляции, в то время как CastleStealer применяет передовые методы для извлечения учетных данных без прерывания активности пользователя, например, используя Restart Manager для операций с файлами. Кампания демонстрирует сложный подход к развертыванию ВПО и краже данных, объединяя удаленный доступ с автоматизированным сбором учетных записей.
-----

Кампания BackgroundFix использует обманчивый инструмент для редактирования изображений для распространения вредоносного ПО через мошеннические веб-сайты.

Выявлено восемь связанных доменов, входящих в кампанию BackgroundFix.

CastleLoader является основным угрозой, обеспечивающим развертывание вредоносных загрузок (ВПО).

CastleLoader устанавливает две основные угрозы: NetSupport RAT для удалённого управления и CastleStealer для кражи учётных данных.

CastleStealer извлекает конфиденциальную информацию, включая учетные данные браузеров, данные криптографических кошельков и файлы сеансов Телеграм.

CastleLoader использует ошибочный метод выполнения, ссылающийся на `regsrv32.exe` вместо `regsvr32.exe`, что приводит к ошибкам.

Использует компоненты Windows, такие как `finger.exe`, для связи с сервером управления и передачи команд.

Методы выполнения включают запуск скриптов PowerShell, манипулирование командами через `cmd.exe` и внедрение в пустой процесс.

CastleStealer нацелен на пароли, хранящиеся в браузерах и приложениях, сфокусировавшись на извлечении данных из баз данных IndexedDB, используемых криптокошельками.

Использует диспетчер перезапуска (Restart Manager) для операций с файлами, чтобы обойти блокировки приложений, минимизируя прерывания для пользователей.

CastleLoader тщательно выстраивает свои каналы управления с использованием встроенного шифрования на основе ChaCha20.

Сочетание CastleLoader и CastleStealer обеспечивает удаленный доступ и автоматизированный сбор учетных записей, представляя значительную угрозу для целевых систем.

#ParsedReport #CompletenessMedium
02-05-2026

'Copy Fail' Flaw: 5 YARA Rules for Detection

https://www.reversinglabs.com/blog/copy-fail-5-yara-rules

Report completeness: Medium

Threats:
Copyfail_vuln

Victims:
Server infrastructure, Cloud computing, Enterprise workloads, Multi tenant servers, Ci/cd pipelines, Container clusters

CVEs:
CVE-2026-31431 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<5.10.254, <5.15.204, <6.1.170, <6.6.137, <6.12.85)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1027.008, T1027.009, T1059.004, T1059.006, T1068, T1105, T1548.001, T1611, have more...

IOCs:
File: 2
Hash: 21

Soft:
Linux, Twitter, Ubuntu, Kubernetes, curl, PyInstaller

Algorithms:
sha1, aes, sha256, cbc, hmac

Functions:
splice, sendmsg

Win API:
PIE

Languages:
javascript, python

Platforms:
amd64, arm, riscv64

YARA: Found

Links:
https://github.com/Neo23x0/signature-base/blob/master/yara/expl\_copy\_fail\_cve\_2026\_31431.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость Copy Fail (CVE-2026-31431) — это критическая локальная эскалация привилегий в ядре Linux, затрагивающая все основные дистрибутивы с 2017 года, позволяющая локальным пользователям получать административный контроль без паролей. Эта уязвимость возникает из-за ошибки логики в поддержке криптографических шаблонов ядра через сокет AF_ALG, что позволяет осуществлять контролируемые записи в важные файлы. Эксплойты включают минимальные скрипты на Python и их вариации, которые обходят хеш-базированное обнаружение, что стимулировало разработку правил YARA для выявления как оригинальных, так и модифицированных экземпляров эксплойта.
-----

Уязвимость Copy Fail, получившая идентификатор CVE-2026-31431, представляет собой критическую уязвимость повышения локальных привилегий, обнаруженную в ядре Linux, о которой компания Theori сообщила 29 апреля 2026 года. Она затрагивает все основные дистрибутивы Linux, выпущенные с 2017 года, и позволяет любому пользователю с Локальная учетная запись получить полный административный контроль без необходимости использования паролей или каких-либо специальных инструментов. Эксплойт представляет собой минимальный Python-скрипт размером 732 байта, который можно надежно выполнить на любой затронутой системе.

Основной механизм Copy Fail — это логическая ошибка, связанная с поддержкой криптографических шаблонов в ядре, которая доступна через интерфейс сокетов AF_ALG. Манипулируя этим интерфейсом, злоумышленник может выполнить контролируемое действие записи, способное повлиять на критически важные файлы, включая setuid-бинарники, такие как /usr/bin/su. Этот эксплойт представляет исключительную опасность в средах, где несколько пользователей или рабочих нагрузок разделяют одно ядро, например, на многопользовательских серверах и в кластерах контейнеров.

Область уязвимости охватывает версии ядра Linux от 4.14 до 7.0-rc. Хотя исправления доступны, на момент раскрытия информации они не были развернуты во всех дистрибутивах. Простота эксплуатации означает, что системы остаются подверженными до тех пор, пока не будут обновлены. Атака может быстро эскалировать, если злоумышленник уже имеет доступ к среде Linux.

ReversingLabs сообщил, что выявил несколько экземпляров уязвимого эксплойта вскоре после его публичного раскрытия, включая четыре различных образца на Python, созданных на основе исходного доказательства уязвимости (PoC). Эти образцы представляли собой вариации начального скрипта, демонстрировавшие изменения, такие как изменённые окончания строк или незначительные корректировки пробелов, не влиявшие на их функциональность. Подобная вариативность указывает на ограничения методов обнаружения на основе хешей, поскольку один и тот же исходный код может давать разные хеш-значения при незначительных модификациях.

В ответ ReversingLabs разработала целевые правила YARA для борьбы с угрозой Copy Fail. Они варьировались от правил с высокой степенью достоверности, обнаруживающих точные совпадения оригинального доказательства концепции (PoC), до более широких правил, направленных на выявление вариантов и скомпилированных ELF-бинарников, связанных с тем же эксплойтом. Одним из заметных производных работ является реализация на C под названием goodcopy.c, которая позволяет нацеливаться на различные архитектуры и включает улучшенные меры очистки для сброса кэша страниц после эксплуатации, тем самым предотвращая последующие атаки.

#ParsedReport #CompletenessHigh
30-04-2026

That AI Extension Helping You Write Emails? It’s Reading Them First

https://unit42.paloaltonetworks.com/high-risk-gen-ai-browser-extensions/

Report completeness: High

Threats:
Mitm_technique
Process_injection_technique

Victims:
Ai users, Ai developers, Email users, Job applicants, Online retailers, Fast fashion brands, Banking users, Corporate users

Industry:
Financial, Retail, E-commerce, Education

Geo:
Chinese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1020, T1036, T1059.007, T1071.001, T1090, T1113, T1114.001, T1176, T1217, T1587.001, have more...

IOCs:
Url: 10
File: 6
BrowserExtension: 23
Hash: 6
Domain: 13
IP: 1
Coin: 2

Soft:
Chrome, ChatGPT, Gmail, Outlook, OpenAI, Claude

Algorithms:
sha256, exhibit

Functions:
JavaScript, Function

Languages:
javascript

Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-08-18-IOCs-for-Chrome-extensions-leading-to-thank-you-pages-for-unwanted-content.txt
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-08-19-IOCs-for-Chrome-extensions-leading-to-adware-or-PUP.txt
have more...
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-09-24-IOCs-for-AI-prompt-hijacker-extensions.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние исследования показывают рост киберугроз, использующих вредоносные расширения браузера, маскирующиеся под инструменты ИИ, которые доставляют ВПО, такие как трояны удаленного доступа, атаки «человек посередине» и инфостилеры. Эти расширения применяют такие техники, как каналы управления на основе WebSocket для постоянного взаимодействия, перехват API браузера и эксфильтрация на основе DOM для сбора конфиденциальной информации без обнаружения. Яркими примерами являются расширения, которые собирают личные данные и изменяют настройки браузера для отслеживания поведения пользователей, демонстрируя сложность этих атак, основанных на ИИ.
-----

Наблюдается рост киберугроз, использующих расширения браузера, замаскированные под инструменты ИИ, которые доставляют вредоносное ПО, такое как трояны удаленного доступа (RAT), атаки типа «человек посередине» (MitM) и инфостилеры.

Злоумышленники используют популярность генеративного ИИ для создания расширений, которые осуществляют слежку за взаимодействиями пользователей и собирают конфиденциальные данные.

Злоумышленники используют большие языковые модели для повышения уровня сложности создания и доработки ВПО.

Вредоносные расширения используют каналы управления на основе WebSocket для постоянной связи с удаленными серверами.

Эти каналы могут восстанавливаться после сетевых сбоев, позволяя злоумышленникам непрерывно управлять сессиями.

Расширения используют такие методы, как перехват вызовов API браузера и эксфильтрация на основе DOM, для перехвата сетевого трафика и извлечения конфиденциальных данных без видимых сетевых запросов.

Расширение "Chrome MCP Server - AI Browser Control" действует как RAT с жёстко закодированным WebSocket-соединением для контролируемого доступа к контексту браузера жертвы.

Расширение «Reverse Recruiting - AI Job Application Assistant» собирает личную информацию и конфиденциальные ключи API искусственного интеллекта, отправляя эти данные на удаленный сервер без ведома пользователя.

«Chat AI for Chrome» — это перехватчик поиска, который изменяет настройки поиска для перенаправления запросов на контролируемые злоумышленниками сайты, позволяя отслеживать активность пользователей на различных устройствах.

Эта вредоносная архитектура использует многоуровневые методы хранения для закрепления даже после очистки файлов cookie.

Расширения шпионского ПО, такие как инструмент перевода на китайский язык, собирают данные через ненужные разрешения и конфигурации прокси.

Код, сгенерированный искусственным интеллектом, используется в кампаниях для разработки расширений, что иллюстрируется схемой перехвата аффилиатов 10xprofit, использующей формализованные практики программирования.

Эволюционирующий ландшафт угроз требует обновления стратегий защиты, в которых веб-браузеры рассматриваются как ключевые точки безопасности.

Надежные механизмы обнаружения должны фокусироваться на поведенческом анализе сетевой активности и включать контекстную разведку для противодействия техникам вымогательства на тему искусственного интеллекта.

#ParsedReport #CompletenessMedium
29-04-2026

AccountDumpling Hunting Down the Google-Sent Phishing Wave Compromising 30,000+ Facebook Accounts

https://guard.io/labs/accountdumpling---hunting-down-the-google-sent-phishing-wave-compromising-30-000-facebook-accounts

Report completeness: Medium

Threats:
Httrack_tool
Supply_chain_technique

Victims:
Facebook users, Page administrators, Business users

Industry:
Government

Geo:
Italy, Philippines, Brazil, Mexico, Vietnam, India, Canada, Vietnamese, Spain, Australia, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1078, T1102.002, T1111, T1113, T1566.002, T1567, T1583.006, T1588.002, have more...

IOCs:
Email: 2
Domain: 21
Url: 47

Soft:
Gmail, Telegram, WhatsApp

Languages:
javascript

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, chart: 1, schema: 2, chats: 1, table: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция по фишингу AccountDumpling, приписываемая вьетнамским злоумышленникам, привела к компрометации более 30 000 аккаунтов Facebook с использованием Google AppSheet для доставки реалистично выглядящих фишинговых писем. Сложная схема включает использование поддельных страниц Facebook и PDF-файла, размещенного на Google Drive, содержащего ссылку на динамическую фишинговую панель, способную в реальном времени собирать пароли и коды 2FA. Для эксфильтрации украденных данных используются уникальные боты Телеграм, что отражает структурированный подход к краже учетных данных и захвату аккаунтов в рамках развивающейся экосистемы киберкриминал.
-----

Операция AccountDumpling по фишингу скомпрометировала более 30 000 аккаунтов Facebook.

Эта операция приписывается связанным с Вьетнамом злоумышленникам.

Фишинговые письма доставляются через AppSheet от Google, который является легитимным сервисом.

Атакующие используют доверенные платформы для обхода традиционных методов блокировки электронной почты.

Фишинговая кампания нацелена на пользователей Facebook с приманками, связанными с проблемами аккаунта и поддельными предложениями о работе.

Злоумышленники используют различные домены и инструменты, включая клоны легитимных страниц Facebook, размещённые на Netlify и Vercel.

Один из вариантов фишинговой схемы использовал PDF-файл, размещённый на Google Drive, который маскировался под уведомление от Meta.

PDF содержал встроенную ссылку, перенаправляющую пользователей на динамическую фишинговую панель на базе Socket IO.

Панель фишинга собирает конфиденциальные данные, такие как пароли, коды 2FA и скриншоты.

Операционная модель включает интерфейс взаимодействия с жертвами в реальном времени.

Боты Телеграм используются для эксфильтрации украденных данных, что позволяет оперативно реагировать на собранную информацию.

Аналитика выявила конкретные боты, связанные с операцией, что позволило получить представление о сетях злоумышленников.

Кампания способствует краже учётных данных, захвату учётных записей и перепродаже скомпрометированных учётных записей.

Установление связи с конкретными лицами подтверждается анализом метаданных, собранных с помощью фишинговых инструментов.

Один из PDF-файлов связал следователей с вьетнамским гражданином по имени Phạm Tài Tân.

Пересекающиеся каналы и общие языковые шаблоны в фишинговых наборах помогают аналитикам кибербезопасности отслеживать угрозу.

#ParsedReport #CompletenessLow
02-05-2026

Defending Against CORDIAL SPIDER and SNARKY SPIDER with Falcon Shield

https://www.crowdstrike.com/en-us/blog/defending-against-cordial-spider-and-snarky-spider-with-falcon-shield/

Report completeness: Low

Actors/Campaigns:
Cordial_spider (motivation: information_theft)
Snarky_spider (motivation: information_theft)

Threats:
Aitm_technique
Residential_proxy_technique
Nsocks_tool

Victims:
Software as a service, Information technology

TTPs:
Tactics: 5
Technics: 0

Soft:
Android, Linux, macOS, QEMU, HubSpot

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С октября 2025 года две группы злоумышленников, CORDIAL SPIDER и SNARKY SPIDER, эволюционировали тактики для атак в быстром темпе, ориентированных на SaaS, используя голосовой фишинг для направления жертв на страницы adversary-in-the-middle (AiTM), имитирующие легитимные порталы SSO. Они собирают учетные данные с помощью этих схем AiTM, одновременно применяя различные техники, включая закрепление через контролируемые злоумышленником устройства MFA и создание правил почтового ящика для удаления предупреждений безопасности. Их основная цель заключается в масштабной эксфильтрации данных из таких платформ, как SharePoint и Google Workspace, с использованием коммерческих VPN и резидентных прокси для сокрытия своей деятельности.
-----

С октября 2025 года подразделение CrowdStrike Counter Adversary Operations сообщает о значительной эволюции методов кибератак, особенно через деятельность двух враждебных группировок, CORDIAL SPIDER и SNARKY SPIDER. Эти группы в основном осуществляют быстрые атаки, ориентированные на SaaS, которые эффективно обходят традиционные средства защиты конечных точек. Используя голосовой фишинг, или вишинг, они манипулируют жертвами, заставляя их посещать страницы атакующего посередине (AiTM), имитирующие легитимные порталы единого входа (SSO); это позволяет им собирать учетные данные и токены сеанса непосредственно в момент входа пользователей.

Эти страницы AiTM создаются так, чтобы максимально точно имитировать настоящие интерфейсы входа, обманывая жертв и предлагая опыт, идентичный легитимному доступу. Эта тактика позволяет им использовать доверенные среды SaaS, одновременно минимизируя риск обнаружения. Получив первоначальный доступ, эти злоумышленники часто устанавливают закрепление, регистрируя устройства многофакторной аутентификации (MFA), контролируемые атакующим. Они часто удаляют существующие конфигурации MFA перед добавлением собственных, при этом SNARKY SPIDER отдает предпочтение эмулятору Android Genymobile из-за его возможностей MFA, а CORDIAL SPIDER использует комбинацию мобильных устройств и конфигурации Windows на базе QEMU.

Для дальнейшего уклонения от обнаружения SNARKY SPIDER реализует стратегию подавления любых уведомлений, связанных с скомпрометированными учетными записями. Это включает создание правил почтового ящика, которые автоматически удаляют предупреждения безопасности и переписку, содержащие ключевые слова, связанные с подозрительной деятельностью. Эта тактика снижает вероятность обнаружения и обеспечивает продолжительный несанкционированный доступ.

Основная цель этих групп сосредоточена на масштабной эксфильтрации данных из различных платформ SaaS, включая SharePoint и Google Workspace. Наблюдается, что они проводят целевые поиски для выявления конфиденциальных данных, что указывает на их фокус на критически важной бизнес-информации. Для обеспечения своей деятельности без привлечения внимания они используют коммерческие VPN-сервисы и резидентные прокси, которые маскируют их трафик и делают его похожим на нормальный.

Несмотря на то, что некоторые организации усиливают защиту конечных точек, характер этих атак подчеркивает пробел в обнаружении, особенно на уровне провайдера идентификации (IdP) и SaaS. В частности, CrowdStrike Falcon Shield разработан для устранения этого пробела путем применения передовых методов обнаружения аномалий, которые позволяют отличать легитимную активность от вредоносной. Инструмент обеспечивает широкую видимость по всему стеку SaaS и учитывает данные, полученные из анализа поведения пользователей и конкретных конфигураций платформы. Falcon Shield расширяет эту возможность за счет классификации сервисов анонимизации и мониторинга доступа через инфраструктуру, не принадлежащую предприятию, стремясь тем самым обеспечить точное определение источников подозрительной активности.

#ParsedReport #CompletenessLow
02-05-2026

Threat Brief: CVE-2026-41940: Critical cPanel & WHM Authentication Bypass Actively Exploited in the Wild

https://www.catonetworks.com/blog/threat-brief-cve-2026-41940-critical-cpanel-whm-authentication-bypass-actively-exploited-in-the-wild/

Report completeness: Low

Threats:
Seo_poisoning_technique

Victims:
Hosting providers, Website owners, Managed hosting customers, Organizations that rely on hosted web assets

Geo:
Japan, Ireland

CVEs:
CVE-2026-41940 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cpanel (<86.0.41, <110.0.97, <118.0.63, <126.0.54, <130.0.19)


ChatGPT TTPs:
do not use without manual check
T1053.003, T1056.007, T1136, T1190, T1491.002, T1505.003, T1565.001, T1566, T1584.001

IOCs:
IP: 8

Soft:
cPanel

Algorithms:
base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-41940 — критическая уязвимость обхода аутентификации в cPanel & WHM, позволяющая неаутентифицированным удалённым злоумышленникам получать несанкционированный доступ к панелям управления, что потенциально может привести к манипуляции размещённым контентом и созданию веб-шеллов. Уязвимость эксплуатирует механизмы обработки сессий, при которых неудачные попытки входа создают предварительно аутентифицированные сессии, позволяя злоумышленникам внедрять данные, закодированные в Base64, в заголовок Authorization для обхода аутентификации. Учитывая широкое распространение cPanel, с примерно 1,5 миллиона инстансов, доступных в интернете, наблюдаются попытки эксплуатации, что требует срочного внимания со стороны затронутых организаций.
-----

CVE-2026-41940 — критическая уязвимость обхода аутентификации, затрагивающая версии cPanel & WHM (WebHost Manager), выпущенные после 11.40, включая связанные продукты, такие как DNSOnly и WP Squared. Данная уязвимость позволяет неаутентифицированному удаленному злоумышленнику получить несанкционированный доступ к панелям управления хостингом, что создает значительные риски для провайдеров хостинга и владельцев веб-сайтов. Эксплуатация этой уязвимости может привести к несанкционированному административному доступу, манипулированию размещенным контентом, доступу к базам данных и учетным записям эл. почты, созданию новых пользователей, развертыванию веб-оболочек и другим вредоносным действиям. Широкое распространение cPanel и WHM в управлении множеством доменов усиливает потенциальное воздействие от компрометации одного сервера.

Разбираясь в технических деталях, уязвимость позволяет злоумышленникам эксплуатировать механизмы обработки сессий. Когда злоумышленник пытается войти через конечную точку /login/?login_only=1, даже неудачная попытка входа приводит к тому, что сервер создает предварительно аутентифицированную сессию и возвращает cookie whostmgrsession. Злоумышленники могут затем использовать это поведение, внедряя данные, закодированные в Base64, в заголовок Authorization, что соответствует атрибутам сессии, которые могут быть записаны в файл сессии на стороне сервера. Эта манипуляция не только обеспечивает несанкционированный доступ, но и позволяет злоумышленнику эффективно обойти аутентификацию путем последующего чтения измененного файла сессии.

Уязвимость имеет критический уровень серьезности с оценками CVSS v3.1 равными 9.8 и CVSS v4.0 равными 9.3, классифицируется по CWE-306 из-за отсутствия аутентификации. Патчи были выпущены cPanel, и организациям рекомендуется внедрить их в срочном порядке. Кроме того, в промежуточный период до установки патчей рекомендуется ограничить входящий трафик на определенные порты (2083, 2087, 2095 и 2096) в качестве защитной меры.

Обнаружены попытки эксплуатации, что побудило организации, такие как Cato, к проактивной защите: внедрены сигнатуры системы предотвращения вторжений (IPS) для пресечения этих атак. Эти меры включают мониторинг и виртуальное патчинг уязвимости. Непрерывное наблюдение со стороны аналитиков в области кибербезопасности имеет критическое значение, учитывая возможность злоупотребления после эксплуатации с использованием платформ, затронутых уязвимостью. Наличие примерно 1,5 миллиона экземпляров cPanel, открытых в интернете (по данным Shodan), подчеркивает срочность для организаций по защите своих систем от CVE-2026-41940.

#ParsedReport #CompletenessHigh
03-05-2026

Chinese Cybercrime Infrastructure Detected: Automated Exploitation & Harvesting Infrastructure

https://socradar.io/blog/chinese-cybercrime-exploitation-harvesting/

Report completeness: High

Threats:
React2shell_vuln
Log4shell_vuln
Credential_harvesting_technique

Victims:
Web3 platforms, Fintech services, Security vendors

Industry:
Financial

Geo:
Chinese

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2025-66478 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027.010, T1059.006, T1059.007, T1078, T1082, T1105, T1190, T1213, T1572, have more...

IOCs:
File: 4
IP: 1
Domain: 2
Url: 8
Email: 3

Soft:
nClaw , en, OpenClaw, PostgreSQL, trycloudflare, curl, nClaw

Algorithms:
base64

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда исследователей угроз SOCRadar сообщила о сложной операции китайского киберкриминала, использующей бэкенд-систему под названием 'paperclip' и инструмент на основе агента под названием OpenClaw для оркестровки киберкампаний. Атакующие применяют обширную разведку с использованием таких инструментов, как FOFA и 360Quake, для выявления целей в секторах Web3 и финансов, за которыми следует автоматизация эксплуатации уязвимостей с помощью пользовательских Python-скриптов для Удаленное Выполнение Кода. Они поддерживают постоянный доступ с помощью различных методов и занимаются упрощенными тактиками монетизации через эксплуатацию данных блокчейна и Stripe, что подчеркивает сдвиг в сторону организованных и автоматизированных операций киберкриминала.
-----

Команда исследователей угроз SOCRadar выявила сложную инфраструктуру китайского киберкриминала, которая сочетает автоматизированную эксплуатацию с структурированной оркестрацией и методами монетизации. В основе этой операции лежит бэкенд-система, известная как ‘paperclip’, в паре с агентной системой рабочих процессов под названием OpenClaw, которая позволяет операторам управлять и выполнять киберкампании через организованные миссии.

Стратегия атаки основывается на обширной интернет-разведке с использованием таких инструментов, как FOFA и 360Quake, где FOFA выявляет высокоценные цели, такие как платформы Web3, финтех-сервисы и поставщики средств защиты, в то время как 360Quake проводит техническую идентификацию уязвимых сервисов. После выбора целей злоумышленники используют собственные Python-скрипты для автоматизации процессов эксплуатации. Эти скрипты могут выполнять команды, такие как дамп переменных окружения, обход веб-приложений брандмауэров (WAF) и выполнение действий параллельно на множестве целей, при этом основная цель заключается в надежном Удаленное Выполнение Кода, а не просто в обнаружении уязвимостей.

Сбор учетных записей осуществляется с помощью ключей AI, хранящихся в базе данных PostgreSQL. Для поддержания постоянного доступа злоумышленники развернули различные механизмы, включая туннели Cloudflare, P2P-клиенты и бэкдоры (d2 и pl), что обеспечивает им возможность скрытого и избыточного доступа к своим целям. Особого внимания заслуживает безфайловая цепочка выполнения, предназначенная для бесшовного развертывания агентов управления, использующая специфические команды Python для загрузки и выполнения полезной нагрузки из URL-адресов.

Оркестрация операций тщательно структурирована и включает такие этапы, как планирование, разведка, проверка и отчетность, все под контролем человека, что демонстрирует целенаправленную интеграцию автоматизации с ручным надзором. Монетизация украденных данных через API блокчейн-аналитики и проверку Stripe позволяет злоумышленникам анализировать адреса криптовалюты и тестировать украденные ключи Stripe для аккаунтов с доступными балансами, облегчая нацеливание на высокоценные активы.

Масштаб инфраструктуры подчеркивается заметным предпочтением развертывания легких бэкдоров по сравнению с традиционными вебшеллами, что указывает на эволюционный сдвиг в тактике киберкриминал в сторону более эффективных и скрытных операций. В целом, это развитие свидетельствует о более широком тренде в киберкриминал в сторону высокоорганизованных, автоматизированных систем, которые эффективно гармонизируют эксплуатацию, извлечение и монетизацию, что предполагает критическую необходимость в развитии оборонительных стратегий, учитывающих эти интегрированные методологии.