#ParsedReport #ExtractedSchema

Classified images:
windows: 4, chart: 1, schema: 2, chats: 1, table: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция по фишингу AccountDumpling, приписываемая вьетнамским злоумышленникам, привела к компрометации более 30 000 аккаунтов Facebook с использованием Google AppSheet для доставки реалистично выглядящих фишинговых писем. Сложная схема включает использование поддельных страниц Facebook и PDF-файла, размещенного на Google Drive, содержащего ссылку на динамическую фишинговую панель, способную в реальном времени собирать пароли и коды 2FA. Для эксфильтрации украденных данных используются уникальные боты Телеграм, что отражает структурированный подход к краже учетных данных и захвату аккаунтов в рамках развивающейся экосистемы киберкриминал.
-----

Операция AccountDumpling по фишингу скомпрометировала более 30 000 аккаунтов Facebook.

Эта операция приписывается связанным с Вьетнамом злоумышленникам.

Фишинговые письма доставляются через AppSheet от Google, который является легитимным сервисом.

Атакующие используют доверенные платформы для обхода традиционных методов блокировки электронной почты.

Фишинговая кампания нацелена на пользователей Facebook с приманками, связанными с проблемами аккаунта и поддельными предложениями о работе.

Злоумышленники используют различные домены и инструменты, включая клоны легитимных страниц Facebook, размещённые на Netlify и Vercel.

Один из вариантов фишинговой схемы использовал PDF-файл, размещённый на Google Drive, который маскировался под уведомление от Meta.

PDF содержал встроенную ссылку, перенаправляющую пользователей на динамическую фишинговую панель на базе Socket IO.

Панель фишинга собирает конфиденциальные данные, такие как пароли, коды 2FA и скриншоты.

Операционная модель включает интерфейс взаимодействия с жертвами в реальном времени.

Боты Телеграм используются для эксфильтрации украденных данных, что позволяет оперативно реагировать на собранную информацию.

Аналитика выявила конкретные боты, связанные с операцией, что позволило получить представление о сетях злоумышленников.

Кампания способствует краже учётных данных, захвату учётных записей и перепродаже скомпрометированных учётных записей.

Установление связи с конкретными лицами подтверждается анализом метаданных, собранных с помощью фишинговых инструментов.

Один из PDF-файлов связал следователей с вьетнамским гражданином по имени Phạm Tài Tân.

Пересекающиеся каналы и общие языковые шаблоны в фишинговых наборах помогают аналитикам кибербезопасности отслеживать угрозу.

#ParsedReport #CompletenessLow
02-05-2026

Defending Against CORDIAL SPIDER and SNARKY SPIDER with Falcon Shield

https://www.crowdstrike.com/en-us/blog/defending-against-cordial-spider-and-snarky-spider-with-falcon-shield/

Report completeness: Low

Actors/Campaigns:
Cordial_spider (motivation: information_theft)
Snarky_spider (motivation: information_theft)

Threats:
Aitm_technique
Residential_proxy_technique
Nsocks_tool

Victims:
Software as a service, Information technology

TTPs:
Tactics: 5
Technics: 0

Soft:
Android, Linux, macOS, QEMU, HubSpot

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С октября 2025 года две группы злоумышленников, CORDIAL SPIDER и SNARKY SPIDER, эволюционировали тактики для атак в быстром темпе, ориентированных на SaaS, используя голосовой фишинг для направления жертв на страницы adversary-in-the-middle (AiTM), имитирующие легитимные порталы SSO. Они собирают учетные данные с помощью этих схем AiTM, одновременно применяя различные техники, включая закрепление через контролируемые злоумышленником устройства MFA и создание правил почтового ящика для удаления предупреждений безопасности. Их основная цель заключается в масштабной эксфильтрации данных из таких платформ, как SharePoint и Google Workspace, с использованием коммерческих VPN и резидентных прокси для сокрытия своей деятельности.
-----

С октября 2025 года подразделение CrowdStrike Counter Adversary Operations сообщает о значительной эволюции методов кибератак, особенно через деятельность двух враждебных группировок, CORDIAL SPIDER и SNARKY SPIDER. Эти группы в основном осуществляют быстрые атаки, ориентированные на SaaS, которые эффективно обходят традиционные средства защиты конечных точек. Используя голосовой фишинг, или вишинг, они манипулируют жертвами, заставляя их посещать страницы атакующего посередине (AiTM), имитирующие легитимные порталы единого входа (SSO); это позволяет им собирать учетные данные и токены сеанса непосредственно в момент входа пользователей.

Эти страницы AiTM создаются так, чтобы максимально точно имитировать настоящие интерфейсы входа, обманывая жертв и предлагая опыт, идентичный легитимному доступу. Эта тактика позволяет им использовать доверенные среды SaaS, одновременно минимизируя риск обнаружения. Получив первоначальный доступ, эти злоумышленники часто устанавливают закрепление, регистрируя устройства многофакторной аутентификации (MFA), контролируемые атакующим. Они часто удаляют существующие конфигурации MFA перед добавлением собственных, при этом SNARKY SPIDER отдает предпочтение эмулятору Android Genymobile из-за его возможностей MFA, а CORDIAL SPIDER использует комбинацию мобильных устройств и конфигурации Windows на базе QEMU.

Для дальнейшего уклонения от обнаружения SNARKY SPIDER реализует стратегию подавления любых уведомлений, связанных с скомпрометированными учетными записями. Это включает создание правил почтового ящика, которые автоматически удаляют предупреждения безопасности и переписку, содержащие ключевые слова, связанные с подозрительной деятельностью. Эта тактика снижает вероятность обнаружения и обеспечивает продолжительный несанкционированный доступ.

Основная цель этих групп сосредоточена на масштабной эксфильтрации данных из различных платформ SaaS, включая SharePoint и Google Workspace. Наблюдается, что они проводят целевые поиски для выявления конфиденциальных данных, что указывает на их фокус на критически важной бизнес-информации. Для обеспечения своей деятельности без привлечения внимания они используют коммерческие VPN-сервисы и резидентные прокси, которые маскируют их трафик и делают его похожим на нормальный.

Несмотря на то, что некоторые организации усиливают защиту конечных точек, характер этих атак подчеркивает пробел в обнаружении, особенно на уровне провайдера идентификации (IdP) и SaaS. В частности, CrowdStrike Falcon Shield разработан для устранения этого пробела путем применения передовых методов обнаружения аномалий, которые позволяют отличать легитимную активность от вредоносной. Инструмент обеспечивает широкую видимость по всему стеку SaaS и учитывает данные, полученные из анализа поведения пользователей и конкретных конфигураций платформы. Falcon Shield расширяет эту возможность за счет классификации сервисов анонимизации и мониторинга доступа через инфраструктуру, не принадлежащую предприятию, стремясь тем самым обеспечить точное определение источников подозрительной активности.

#ParsedReport #CompletenessLow
02-05-2026

Threat Brief: CVE-2026-41940: Critical cPanel & WHM Authentication Bypass Actively Exploited in the Wild

https://www.catonetworks.com/blog/threat-brief-cve-2026-41940-critical-cpanel-whm-authentication-bypass-actively-exploited-in-the-wild/

Report completeness: Low

Threats:
Seo_poisoning_technique

Victims:
Hosting providers, Website owners, Managed hosting customers, Organizations that rely on hosted web assets

Geo:
Japan, Ireland

CVEs:
CVE-2026-41940 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cpanel (<86.0.41, <110.0.97, <118.0.63, <126.0.54, <130.0.19)


ChatGPT TTPs:
do not use without manual check
T1053.003, T1056.007, T1136, T1190, T1491.002, T1505.003, T1565.001, T1566, T1584.001

IOCs:
IP: 8

Soft:
cPanel

Algorithms:
base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-41940 — критическая уязвимость обхода аутентификации в cPanel & WHM, позволяющая неаутентифицированным удалённым злоумышленникам получать несанкционированный доступ к панелям управления, что потенциально может привести к манипуляции размещённым контентом и созданию веб-шеллов. Уязвимость эксплуатирует механизмы обработки сессий, при которых неудачные попытки входа создают предварительно аутентифицированные сессии, позволяя злоумышленникам внедрять данные, закодированные в Base64, в заголовок Authorization для обхода аутентификации. Учитывая широкое распространение cPanel, с примерно 1,5 миллиона инстансов, доступных в интернете, наблюдаются попытки эксплуатации, что требует срочного внимания со стороны затронутых организаций.
-----

CVE-2026-41940 — критическая уязвимость обхода аутентификации, затрагивающая версии cPanel & WHM (WebHost Manager), выпущенные после 11.40, включая связанные продукты, такие как DNSOnly и WP Squared. Данная уязвимость позволяет неаутентифицированному удаленному злоумышленнику получить несанкционированный доступ к панелям управления хостингом, что создает значительные риски для провайдеров хостинга и владельцев веб-сайтов. Эксплуатация этой уязвимости может привести к несанкционированному административному доступу, манипулированию размещенным контентом, доступу к базам данных и учетным записям эл. почты, созданию новых пользователей, развертыванию веб-оболочек и другим вредоносным действиям. Широкое распространение cPanel и WHM в управлении множеством доменов усиливает потенциальное воздействие от компрометации одного сервера.

Разбираясь в технических деталях, уязвимость позволяет злоумышленникам эксплуатировать механизмы обработки сессий. Когда злоумышленник пытается войти через конечную точку /login/?login_only=1, даже неудачная попытка входа приводит к тому, что сервер создает предварительно аутентифицированную сессию и возвращает cookie whostmgrsession. Злоумышленники могут затем использовать это поведение, внедряя данные, закодированные в Base64, в заголовок Authorization, что соответствует атрибутам сессии, которые могут быть записаны в файл сессии на стороне сервера. Эта манипуляция не только обеспечивает несанкционированный доступ, но и позволяет злоумышленнику эффективно обойти аутентификацию путем последующего чтения измененного файла сессии.

Уязвимость имеет критический уровень серьезности с оценками CVSS v3.1 равными 9.8 и CVSS v4.0 равными 9.3, классифицируется по CWE-306 из-за отсутствия аутентификации. Патчи были выпущены cPanel, и организациям рекомендуется внедрить их в срочном порядке. Кроме того, в промежуточный период до установки патчей рекомендуется ограничить входящий трафик на определенные порты (2083, 2087, 2095 и 2096) в качестве защитной меры.

Обнаружены попытки эксплуатации, что побудило организации, такие как Cato, к проактивной защите: внедрены сигнатуры системы предотвращения вторжений (IPS) для пресечения этих атак. Эти меры включают мониторинг и виртуальное патчинг уязвимости. Непрерывное наблюдение со стороны аналитиков в области кибербезопасности имеет критическое значение, учитывая возможность злоупотребления после эксплуатации с использованием платформ, затронутых уязвимостью. Наличие примерно 1,5 миллиона экземпляров cPanel, открытых в интернете (по данным Shodan), подчеркивает срочность для организаций по защите своих систем от CVE-2026-41940.

#ParsedReport #CompletenessHigh
03-05-2026

Chinese Cybercrime Infrastructure Detected: Automated Exploitation & Harvesting Infrastructure

https://socradar.io/blog/chinese-cybercrime-exploitation-harvesting/

Report completeness: High

Threats:
React2shell_vuln
Log4shell_vuln
Credential_harvesting_technique

Victims:
Web3 platforms, Fintech services, Security vendors

Industry:
Financial

Geo:
Chinese

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2025-66478 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027.010, T1059.006, T1059.007, T1078, T1082, T1105, T1190, T1213, T1572, have more...

IOCs:
File: 4
IP: 1
Domain: 2
Url: 8
Email: 3

Soft:
nClaw , en, OpenClaw, PostgreSQL, trycloudflare, curl, nClaw

Algorithms:
base64

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда исследователей угроз SOCRadar сообщила о сложной операции китайского киберкриминала, использующей бэкенд-систему под названием 'paperclip' и инструмент на основе агента под названием OpenClaw для оркестровки киберкампаний. Атакующие применяют обширную разведку с использованием таких инструментов, как FOFA и 360Quake, для выявления целей в секторах Web3 и финансов, за которыми следует автоматизация эксплуатации уязвимостей с помощью пользовательских Python-скриптов для Удаленное Выполнение Кода. Они поддерживают постоянный доступ с помощью различных методов и занимаются упрощенными тактиками монетизации через эксплуатацию данных блокчейна и Stripe, что подчеркивает сдвиг в сторону организованных и автоматизированных операций киберкриминала.
-----

Команда исследователей угроз SOCRadar выявила сложную инфраструктуру китайского киберкриминала, которая сочетает автоматизированную эксплуатацию с структурированной оркестрацией и методами монетизации. В основе этой операции лежит бэкенд-система, известная как ‘paperclip’, в паре с агентной системой рабочих процессов под названием OpenClaw, которая позволяет операторам управлять и выполнять киберкампании через организованные миссии.

Стратегия атаки основывается на обширной интернет-разведке с использованием таких инструментов, как FOFA и 360Quake, где FOFA выявляет высокоценные цели, такие как платформы Web3, финтех-сервисы и поставщики средств защиты, в то время как 360Quake проводит техническую идентификацию уязвимых сервисов. После выбора целей злоумышленники используют собственные Python-скрипты для автоматизации процессов эксплуатации. Эти скрипты могут выполнять команды, такие как дамп переменных окружения, обход веб-приложений брандмауэров (WAF) и выполнение действий параллельно на множестве целей, при этом основная цель заключается в надежном Удаленное Выполнение Кода, а не просто в обнаружении уязвимостей.

Сбор учетных записей осуществляется с помощью ключей AI, хранящихся в базе данных PostgreSQL. Для поддержания постоянного доступа злоумышленники развернули различные механизмы, включая туннели Cloudflare, P2P-клиенты и бэкдоры (d2 и pl), что обеспечивает им возможность скрытого и избыточного доступа к своим целям. Особого внимания заслуживает безфайловая цепочка выполнения, предназначенная для бесшовного развертывания агентов управления, использующая специфические команды Python для загрузки и выполнения полезной нагрузки из URL-адресов.

Оркестрация операций тщательно структурирована и включает такие этапы, как планирование, разведка, проверка и отчетность, все под контролем человека, что демонстрирует целенаправленную интеграцию автоматизации с ручным надзором. Монетизация украденных данных через API блокчейн-аналитики и проверку Stripe позволяет злоумышленникам анализировать адреса криптовалюты и тестировать украденные ключи Stripe для аккаунтов с доступными балансами, облегчая нацеливание на высокоценные активы.

Масштаб инфраструктуры подчеркивается заметным предпочтением развертывания легких бэкдоров по сравнению с традиционными вебшеллами, что указывает на эволюционный сдвиг в тактике киберкриминал в сторону более эффективных и скрытных операций. В целом, это развитие свидетельствует о более широком тренде в киберкриминал в сторону высокоорганизованных, автоматизированных систем, которые эффективно гармонизируют эксплуатацию, извлечение и монетизацию, что предполагает критическую необходимость в развитии оборонительных стратегий, учитывающих эти интегрированные методологии.

#ParsedReport #CompletenessHigh
02-05-2026

VECT ransomware: small files decrypt, large files lose their nonces

https://www.derp.ca/research/vect-ransomware-nonce-loss/

Report completeness: High

Actors/Campaigns:
Vect
Teampcp

Threats:
Supply_chain_technique
Shadow_copies_delete_technique
Wevtutil_tool
Qtox_tool

Victims:
Security, Software development, Developer infrastructure, Cloud infrastructure

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.002, T1021.006, T1047, T1053.005, T1059.001, T1059.003, T1070.001, T1070.004, T1078, T1112, have more...

IOCs:
File: 14
Path: 3
Command: 4
Hash: 6
Url: 1
Domain: 1

Soft:
Linux, ESXi, Trivy, LiteLLM, Kubernetes, Windows PowerShell, Telegram

Algorithms:
poly1305, sha1, chacha20, md5, chacha20-poly1305, base64, sha256

Functions:
Set-MpPreference

Win Services:
MSSQLSERVER

Languages:
powershell

Platforms:
x64

Links:
https://github.com/DarkWebInformer/vect-ransomware-decryptor
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VECT — это сложная угроза в формате Программа-вымогатель как услуга (RaaS), появившаяся в конце декабря 2025 года. Она использует шифрование ChaCha20-IETF для файлов на системах Windows, Linux и VMware ESXi. VECT неэффективно обрабатывает большие файлы, сохраняя только часть данных nonce, критически важных для расшифровки. Для избежания обнаружения злоумышленники применяют тактики, такие как выполнение команд PowerShell для отключения Windows Defender, удаления теневых копий и очистки журналов событий. Кроме того, VECT может распространяться по сетям путем эксплуатации административных общих ресурсов и создания Службы удаленного доступа, что усложняет усилия по восстановлению для затронутых организаций.
-----

ВПО VECT представляет собой сложную и новую угрозу, действующую как платформа «Программа-вымогатель как услуга» (RaaS). Запущенное в конце декабря 2025 года и публично заявляющее о жертвах с января 2026 года, ВПО VECT имеет модульную архитектуру, поддерживающую атаки в средах Windows, Linux и VMware ESXi. ВПО использует алгоритм шифрования ChaCha20-IETF для шифрования файлов, конкретно применяя сырой ChaCha20 для своей процедуры шифрования.

Операционная архитектура демонстрирует уникальные характеристики, особенно при размерах файлов, превышающих 131 072 байта, где ВПО обрабатывает файлы четырьмя фрагментами, но сохраняет только последний 12-байтовый nonce, что приводит к значительной потере данных при попытке расшифровки больших файлов. Напротив, файлы меньшего размера могут быть расшифрованы без проблем благодаря более простым процессам обработки. ВПО VECT ransomware известно тем, что переименовывает зашифрованные файлы с расширением .vect и включает файл с ransom note под названием "!!!_READ_ME_!!!.txt", а также файл обоев, указывающий на активность шифрования.

С точки зрения поведения, VECT использует различные техники для уклонения от обнаружения и затруднения усилий по восстановлению. Он отключает функции Windows Defender с помощью команд PowerShell, удаляет теневые копии для устранения точек восстановления и систематически очищает журналы событий системы, чтобы скрыть свою деятельность. Кроме того, встроенные в его код команды обеспечивают перемещение внутри компании по сетям, например, путем использования административных общих ресурсов и создания Службы удаленного доступа. Это показывает, что VECT не только шифрует файлы, но и обладает способностью распространяться в сетевых средах, увеличивая масштаб своего воздействия.

Что касается вариантов восстановления, попытки использования дешифровщика, основанного на публичных заявлениях, встречают осторожность, поскольку значительная часть данных nonce, критически важных для дешифрования больших файлов, не сохраняется в процессе шифрования. Это создает существенные трудности для жертв, стремящихся восстановить свои файлы, так как восстановление зашифрованных данных без полной информации nonce практически невозможно.

В заключение, вредоносное ПО VECT представляет собой сложную угрозу с четкими оперативными стратегиями, включающими передовые методы шифрования, методы уклонения на основе скрытности и возможности перемещения внутри компании в скомпрометированных сетях. Таким образом, организациям следует принимать строгие превентивные меры, включая поддержание актуальных резервных копий и мониторинг аномальной активности PowerShell для снижения потенциальных рисков, связанных с этим развивающимся вариантом вредоносного ПО.

#ParsedReport #CompletenessLow
30-04-2026

The New Hacking Tool That Lets Anyone Launch Their Own Spyware Company

https://www.certosoftware.com/insights/the-new-hacking-tool-that-lets-anyone-launch-their-own-spyware-company/

Report completeness: Low

Victims:
Android users, Mobile device users

Geo:
New york

ChatGPT TTPs:
do not use without manual check
T1402, T1408, T1417, T1429, T1430, T1512, T1513, T1626.001

IOCs:
Hash: 5

Soft:
Android, WhatsApp, Viber, Telegram, Google Play

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Certo обнаружила KidsProtect, Android RAT, которая позволяет практически полный контроль над смартфоном жертвы, обеспечивая такие функции, как запись разговоров в реальном времени, потоковая передача аудио, отслеживание GPS, чтение SMS и доступ к камере. Приложение маскируется под инструмент родительского контроля и запрашивает обширные разрешения, используя Accessibility Service для перехвата контента. Оно включает механизмы для обхода обнаружения путем отключения Google Play Protect, поддерживает закрепление через BootReceiver и продается как white-label решение, представляя значительную угрозу на рынке stalkerware.
-----

Certo выявила новый инструмент слежения для Android под названием KidsProtect, который функционирует как Троянская программа (RAT). Этот инструмент позволяет операторам получать почти полный контроль над смартфоном жертвы без её ведома. После установки программное обеспечение работает в фоновом режиме, обеспечивая такие возможности, как запись разговоров в реальном времени, потоковая передача аудио через микрофон устройства, отслеживание местоположения по GPS, чтение SMS-сообщений, логирование нажатий клавиш, а также доступ к фотографиям и спискам контактов. Важно отметить, что оно также может удалённо активировать фронтальную и заднюю камеры, а также блокировать удаление пользователем, регистрируя себя в качестве Администратора устройства.

Приложение маскируется под средство родительского контроля, однако его реклама открыто заявляет о возможностях слежки. Анализ APK-файла приложения подтвердил наличие обширных запросов на разрешения, включая ACCESS_BACKGROUND_LOCATION, RECORD_AUDIO, CAMERA и READ_SMS, среди прочего, что демонстрирует его инвазивный функционал. Важным аспектом работы ВПО является использование разрешения Accessibility Service, которое часто используется не по назначению в Android-ВПО для перехвата и чтения содержимого приложений, включая пароли.

Для обеспечения своей эффективности инструкции по установке KidsProtect включают отключение Google Play Protect, встроенного сканера вредоносного ПО, предназначенного для предотвращения установки вредоносного программного обеспечения. Кроме того, приложение запрашивает разрешения SYSTEM_ALERT_WINDOW и REQUEST_IGNORE_BATTERY_OPTIMIZATIONS, что позволяет ему работать постоянно в фоновом режиме, предотвращая его завершение системой из-за мер энергосбережения. Наличие компонента BootReceiver гарантирует, что шпионское ПО автоматически перезапускается после перезагрузки устройства, сохраняя свой контроль над устройством постоянно.

Модель предоставления такой технологии слежения в виде white-label решения представляет собой значительную угрозу, поскольку позволяет различным субъектам легко ребрендить и продавать программное обеспечение, тем самым усложняя усилия по обеспечению соблюдения законодательства в отношении таких инструментов на рынке стаalkerware. Это особенно важно в свете растущего юридического давления на аналогичных операторов, что указывает на то, что без решения проблемы базовой технологии вмешательства могут иметь ограниченную долгосрочную эффективность. Ситуация подчеркивает растущую проблему противодействия распространению шпионского ПО, которое становится все более доступным для любого, кто готов за него заплатить.

#ParsedReport #CompletenessMedium
29-04-2026

TeamPCP-Linked Supply Chain Attack Hits SAP CAP and Cloud MTA npm Packages

https://socket.dev/blog/sap-cap-npm-packages-supply-chain-attack

Report completeness: Medium

Actors/Campaigns:
Teampcp

Threats:
Supply_chain_technique
Shai-hulud
Dead_drop_technique

Victims:
Sap cap ecosystem, Developers, Ci cd environments

Geo:
Russian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1005, T1027, T1059.006, T1078.004, T1102.001, T1105, T1140, T1195.001, T1528, have more...

IOCs:
File: 6
Command: 1
Hash: 5
Url: 1

Soft:
PostgreSQL, Bitwarden, CIRCLECI, TRAVIS, Kubernetes, claude, Slack, Telegram, Discord, VSCode, have more...

Algorithms:
zip, sha256, md5, xor, aes-256-gcm, pbkdf2

Functions:
__decodeScrambled

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака на цепочку поставок, связанная с TeamPCP, нацелена на пакеты npm, относящиеся к Cloud Application Programming Model от SAP, компрометируя разработчиков и среды CI/CD. Вредоносная нагрузка execution.js представляет собой сильно обфусцированный JavaScript-файл размером 11,7 МБ, который извлекает конфиденциальную информацию из памяти, шифрует ее и загружает на аккаунт жертвы в GitHub. Ключевые методы включают внедрение вредоносных кодов в другие пакеты с использованием украденных токенов npm и создание бэкдоров для закрепления в средах разработки (IDE), что подчеркивает эволюцию тактик TeamPCP.
-----

Недавняя атака на цепочку поставок, связанная с группой злоумышленников, известной как TeamPCP, была выявлена в нескольких пакетах npm, связанных с Cloud Application Programming Model (CAP) от SAP и инструментами облачного развертывания. Эта атака представляет угрозу для разработчиков и сред CI/CD из-за скомпрометированных пакетов, которые загружают и выполняют непроверенные двоичные файлы.

Вредоносная полезная нагрузка, обозначенная как execution.js, представляет собой сильно обфусцированный JavaScript-файл размером около 11,7 МБ. В ней применяются сложные методы кодирования, такие как PBKDF2 для защиты конфиденциальных данных, с 200 000 итераций и использованием определенного соли. Полезная нагрузка имеет несколько уровней обфускации, что делает невозможным восстановление значимых идентификаторов. Кроме того, ВПО разработано таким образом, чтобы останавливать выполнение, если среда настроена на русский язык, и демонстрирует условные переходы на основе переменных среды платформы CI/CD.

Целями эксплуатации являются SSH-ключи, учетные данные облачных провайдеров, файлы конфигурации разработчиков, файлы окружения, криптокошельки и данные приложений для обмена сообщениями. В CI-раннерах полезная нагрузка извлекает конфиденциальную информацию непосредственно из памяти, обходя любые механизмы маскировки, реализованные платформами CI.

Эксфильтрация данных выполняется путем шифрования собранных учетных данных с использованием жестко закодированного открытого RSA-ключа и AES-256-GCM. Скомпрометированные данные загружаются в репозиторий GitHub, созданный под аккаунтом жертвы, с соблюдением конкретной схемы именования, которая использовалась в предыдущих атаках TeamPCP. Для самораспространения ВПО использует украденные токены npm для внедрения полезной нагрузки execution.js в другие пакеты, поддерживаемые жертвой, что указывает на предварительное картирование графа зависимостей SAP CAP.js.

Механизмы закрепления включают создание бэкдор-файлов в инструментах разработки, которые повторно выполняют полезную нагрузку при открытии проектов в интегрированных средах разработки (IDE). По сравнению с предыдущими версиями ВПО TeamPCP, метод закрепления этого варианта сместился в сторону IDE, а не полагался на традиционные файлы автозагрузки системы.

Атака имеет три варианта исполняемого файла execution.js, каждый из которых нацелен на разные пакеты, что свидетельствует о постепенном расширении возможностей. Эта активность согласуется с историей TeamPCP по нацеливанию на инструменты разработки и среды, включая учетные данные GitHub, облачных сервисов и CI/CD. Ключевые сигналы атрибуции включают использование конкретных инженерных решений в коде ВПО и модус операнди, которые соответствуют предыдущим инцидентам TeamPCP, связанным с компрометацией Цепочки поставок.

Организациям рекомендуется отслеживать необычные шаблоны доступа, связанные с установкой пакетов npm, особенно тех, которые связаны с выполнением вредоносных скриптов. Обнаружение подозрительной активности в службах метаданных облака и от инструментов, связанных с выполнением JavaScript, будет иметь решающее значение для снижения воздействия этой развивающейся угрозы.