#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания InstallFix использует социальную инженерию для распространения ВПО, замаскированного под установки Claude AI, преимущественно через поддельные страницы установщиков, оптимизированные через Google Ads. Она использует `mshta.exe` для запуска зашифрованных скриптов и доставки безфайловых полезной нагрузки, а также обходит методы обнаружения, такие как AMSI и проверка SSL-сертификатов. ВПО реализует закрепление через запланированные задачи, эксплуатирует свою обманчивую структуру файлов и адаптирует свое выполнение для получения дополнительных полезной нагрузки, представляя значительные угрозы для нескольких отраслей.
-----

Кампания InstallFix использует обманные стратегии для распространения вредоносного программного обеспечения, замаскированного под легитимные установки ИИ-ассистента Claude от Anthropic, эксплуатируя тактики социальной инженерии и нацеливаясь на множество отраслей по всему миру. Эта операция преимущественно использует поддельные страницы установщиков, оптимизированные через Google Ads, чтобы заманить пользователей на выполнение вредоносных команд PowerShell. Вредоносное программное обеспечение предназначено для сбора системной информации, отключения мер безопасности, создания механизмов закрепления и установления соединений с серверами управления (C&C) для продолжения злонамеренной деятельности.

Атака начинается, когда пользователи, ищущие Claude AI, сталкиваются со спонсируемыми объявлениями, которые перенаправляют их на поддельные страницы установки. Злоумышленники используют реалистичные инструкции, специфичные для операционной системы, чтобы заставить пользователей выполнить команду, запускающую многоступенчатый процесс заражения. В основе этого процесса лежит misuse `mshta.exe` для запуска зашифрованных скриптов и доставки безфайловых полезной нагрузки. ВПО реализует сложные тактики уклонения, включая обход интерфейса сканирования антивирусного программного обеспечения (AMSI) и отключение проверки сертификатов SSL, что усложняет усилия по обнаружению. Данные об этой кампании указывают на то, что телеметрия выявила создание запланированных задач как способ ВПО для закрепления на зараженных системах.

Процесс установки использует убедительную структуру файлов. Полезная нагрузка, обозначаемая как `claude.msixbundle`, представлена в виде действительного ZIP-архива, скрывающего вредоносное содержимое HTA, которое `mshta.exe` выполняет напрямую. Эта техника, использующая структуры двойного формата, особенно эффективна для обхода средств защиты. Наблюдаемые команды во время цепочки заражения выявляют адаптивную стратегию выполнения ВПО, включая динамическую реконструкцию команд PowerShell для выполнения зашифрованного шеллкода и получения дополнительных полез

Индикаторы компрометации (IoCs), связанные с кампанией, указывают на обширную сетевую активность, включая исходящие подключения, обмен данными с внешними серверами и постоянные запланированные задачи на зараженных машинах, которые позволяют ВПО повторно выполняться после перезагрузок или выходов из системы. Кампания InstallFix подчеркивает тревожную тенденцию, при которой злоумышленники все чаще используют популярные технологические инструменты для запуска сложных атак. Полагаясь на социальную инженерию, как свидетельствует использование Google Ads для распространения, атакующие искусно обходят осторожность пользователей и средства защиты, что приводит к потенциально серьезным компрометациям в различных секторах, таких как государственное управление, образование и пищевая промышленность.

Организации должны повысить осведомленность о рисках, связанных с установкой программного обеспечения из незнакомых источников, внедрить системы мониторинга аномального поведения процессов и сети, а также приоритизировать многослойные стратегии безопасности для противодействия сложным угрозам, таким как InstallFix.

#ParsedReport #CompletenessHigh
06-05-2026

Muddying the Tracks: The State-Sponsored Shadow Behind Chaos Ransomware

https://www.rapid7.com/blog/post/tr-muddying-tracks-state-sponsored-shadow-behind-chaos-ransomware

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_criminal, cyber_espionage)
Olalampo

Threats:
Chaos_ransomware
Credential_harvesting_technique
Dwagent_tool
Blacksuit_ransomware
Anydesk_tool
Stagecomp
Darkcomp
Qilin_ransomware
Dw_service_tool
Spear-phishing_technique
Process_injection_technique
Bpfdoor

Victims:
Construction, Manufacturing, Business services, United states, Middle east and north africa, Israel

Industry:
Telco

Geo:
Chinese, Israeli, Africa, Middle east, Mena, Iranian

TTPs:
Tactics: 5
Technics: 24

IOCs:
File: 13
Url: 2
Domain: 4
Command: 1
IP: 4
Hash: 12

Soft:
Microsoft Teams, curl, Hyper-V

Algorithms:
md5, aes-256-gcm, xor, sha256, base64

Functions:
GetDriveTypesA

Win API:
LoadLibraryA, GetProcAddress, GetLogicalDrives, GetTickCount, CreateMutexA, CreatePipe, CreateProcessA, GetComputerNameA, GetUserNameA, NetWkstaGetInfo, have more...

Languages:
php, powershell, python

Platforms:
x64, intel

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
chart: 2, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2026 года киберинцидент, первоначально принятый за атаку с использованием программы-вымогателя Chaos, был идентифицирован как операция, спонсируемая государством и связанная с иранской APT-группировкой MuddyWater. Злоумышленники применяли социальную инженерию через Microsoft Teams для получения учетных данных пользователей и использовали ПО для удаленного доступа, в частности DWAgent, вместо традиционных методов работы программ-вымогателей, стремясь к долгосрочному закреплению и эксфильтрации данных. Ключевые исполняемые файлы, ms_upd.exe и Game.exe, служили загрузчиком и Троянской программой соответственно, при этом операция демонстрировала сочетание шпионских мотивов и передовых тактик киберпреступников, что усложняло усилия по атрибуции.
-----

Киберинцидент в начале 2026 года изначально считался атакой с использованием вымогательского ПО Chaos, но позже был связан с операцией, спонсируемой государством.

Инцидент продемонстрировал характеристики операции под ложным флагом с использованием тактик и инфраструктуры группы Chaos RaaS.

Криминалистический анализ связал атаку с MuddyWater (Seedworm), иранской APT, связанной с Министерством разведки и безопасности (MOIS).

Атака началась с социальной инженерии через Microsoft Teams, с использованием интерактивного обмена экраном для получения учетных данных пользователя и манипуляции с Многофакторной аутентификацией (MFA).

Атакующие сосредоточились на долгосрочном закреплении в системе, а не на шифровании данных, используя такие инструменты, как DWAgent, для эксфильтрации данных, что указывает на шпионские мотивы.

Тактики социального инжиниринга включали фишинг и вишинг, позволяя получать удалённый доступ с помощью таких инструментов, как Microsoft Quick Assist.

Атакующие получили доступ к внутренним системам с использованием существующих учетных записей, применяя RDP и ПО для удаленного доступа для закрепления и выполнения дальнейших операций.

Анализ вредоносного ПО выявил два основных исполняемых файла: ms_upd.exe, который действовал как загрузчик и подключался к серверу управления (C2), и Game.exe — троянская программа (RAT).

ms_upd.exe не имел шифрования кода и предназначался для одноразового развертывания; Game.exe маскировался под легитимное приложение и применял тактики уклонения.

Операция использовала общий сертификат подписи исполняемого кода, связанный с MuddyWater, что указывает на предварительную разведку против израильских и западных целей.

Этот инцидент продемонстрировал смешение государственных операций с методами киберпреступников, что усложняет усилия по атрибуции и реагированию.

Командам в области кибербезопасности рекомендуется внедрить комплексные механизмы обнаружения и охватить полный жизненный цикл вторжения, выходя за рамки традиционных индикаторов программ-вымогателей.

Эта активность указывает на гибридную модель вторжения, в которой техники вымогательского ПО способствуют шпионажу, а не финансовым мотивам, что отражает эволюцию ландшафта угроз.

#ParsedReport #CompletenessMedium
06-05-2026

Quasar Linux (QLNX) – A Silent Foothold in the Supply Chain: Inside a Full-Featured Linux RAT With Rootkit, PAM Backdoor, Credential Harvesting Capabilities

https://www.trendmicro.com/en_us/research/26/e/quasar-linux-qlnx-a-silent-foothold-in-the-software-supply-chain.html

Report completeness: Medium

Threats:
Supply_chain_technique
Credential_harvesting_technique
Quasar_rat
Inline_hooking_technique
Ghostpenguin
Pkexec_tool
Process_injection_technique
Timestomp_technique

Victims:
Developers, Devops, Software supply chain, Package maintainers, Open source package ecosystems, Cloud environments, Ci cd pipelines

Industry:
Software_development

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 3
Hash: 7

Soft:
Linux, inux RA, inux (Q, Kubernetes, Docker, systemd, crontab, Chrome, Chromium, Firefox, MySQL, have more...

Algorithms:
base64, sha1, sha256, xor, md5

Functions:
getuid, uname

Win API:
pie

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Quasar Linux (QLNX) — это сложная Троянская программа для удаленного доступа (RAT) для Linux, предназначенная для скрытности в цепочках поставок программного обеспечения, использующая руткит и бэкдор PAM для масштабного сбора учетных записей, особенно нацеленная на разработчиков и специалистов DevOps. Она применяет динамическую компиляцию на зараженных хостах, обеспечивая скрытность за счет загрузки вредоносных модулей в каждый процесс и внедряя передовые техники уклонения, такие как двухуровневая архитектура руткита и стратегии выполнения без файлов. Кроме того, QLNX может использовать собранные учетные данные для перемещения внутри компании и поддерживает закрепление через различные механизмы, представляя значительные риски для приложений и инфраструктуры в интегрированных средах.
-----

Quasar Linux (QLNX) — это сложная Троянская программа для Linux, специально разработанная для скрытных операций в цепочках поставок программного обеспечения с использованием таких продвинутых функций, как руткит, бэкдор PAM и широкие возможности сбора учетных записей. Она использует динамическую компиляцию вредоносных модулей непосредственно на зараженном хосте, применяя gcc для компиляции встроенного исходного кода на C для своего руткита и бэкдора PAM. Эти модули развертываются через механизм /etc/ld.so.preload, что гарантирует их загрузку в каждый динамически связанный процесс, обеспечивая перехват на уровне всей системы.

Вредоносное ПО специально адаптировано для атак на учетные данные разработчиков и DevOps, извлекая конфиденциальную информацию из файлов, критически важных для облачных и программных разработок. Оно может собирать секреты из файлов, таких как .npmrc (токены NPM), .pypirc (учетные данные PyPI), .git-credentials и различных облачных учетных данных, что позволяет ему потенциально загружать вредоносные пакеты или получать доступ к производственным средам без обнаружения.

QLNX имеет двухуровневую архитектуру руткита, которая использует хуки LD_PRELOAD в пространстве пользователя вместе с картами eBPF на уровне ядра для маскировки своего присутствия. Эта архитектура позволяет ему скрывать процессы, файлы и сетевую активность от стандартных инструментов мониторинга. Кроме того, он включает в себя кейлоггер, мониторинг буфера обмена и возможности создания скриншотов, что обеспечивает обширный надзор за зараженными системами.

Процесс сбора учетных записей является масштабным, поскольку QLNX использует вредоносный модуль PAM, способный перехватывать пароли в открытом виде во время процессов аутентификации. Он сохраняет захваченные учетные данные в скрытых лог-файлах, используя жестко закодированный мастер-пароль и XOR-шифрование для дополнительной защиты от обнаружения. Использование одноранговой сетевой топологии между скомпрометированными машинами повышает устойчивость ВПО, усложняя усилия по его уничтожению.

QLNX может выполнять команды, управляющие файловыми операциями, устанавливающие удаленные соединения и обеспечивающие перемещение внутри компании по сетям через SSH с использованием похищенных учетных данных. Он поддерживает различные механизмы закрепления, включая службы systemd, записи в crontab и файлы рабочего стола, что обеспечивает его активное присутствие даже после перезагрузки системы.

В частности, ВПО использует инновационную стратегию выполнения без файлов, при которой оно самокопируется в память и выполняется оттуда, практически не оставляя следов на диске. Быстро удаляя свой исходный бинарный файл и непрерывно пытаясь связаться с серверами управления (C&C), QLNX поддерживает надежные возможности скрытности и постоянный доступ к скомпрометированным системам.

Сочетание этих функций делает QLNX значительной угрозой для цепочек поставок программного обеспечения, где одна скомпрометированная рабочая станция разработчика может привести к каскадным нарушениям безопасности в интегрированных средах, фактически компрометируя не только приложения, но и базовую инфраструктуру, на которой они работают.

#ParsedReport #CompletenessLow
06-05-2026

OceanLotus suspected of using PyPI to deliver ZiChatBot malware

https://securelist.com/oceanlotus-suspected-pypi-zichatbot-campaign/119603/

Report completeness: Low

Actors/Campaigns:
Oceanlotus

Threats:
Zichatbot
Supply_chain_technique
Colorinal

Victims:
Python users, Software, Asia pacific, Middle east, Worldwide

Geo:
Middle east, Asia-pacific

ChatGPT TTPs:
do not use without manual check
T1027.007, T1027.009, T1036.005, T1053.003, T1059.006, T1070.004, T1071.001, T1082, T1102.002, T1105, have more...

IOCs:
File: 7
Hash: 18

Soft:
Linux, Zulip, crontab

Algorithms:
xor, aes, cbc, lzma

Functions:
is_color_supported

Win API:
decompress

Languages:
python

Platforms:
cross-platform, x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июле 2025 года на PyPI были обнаружены пакеты вредоносного ПО, замаскированные под легитимные библиотеки, связанные с OceanLotus и его вариантом ZiChatBot, использующие метод атаки на Цепочку поставок. Эти пакеты, нацеленные как на Windows, так и на Linux, устанавливали вредоносные файлы, которые выполняли полезную нагрузку ZiChatBot, применяя такие техники, как шифрование AES для доставки полезной нагрузки и записи в реестре для закрепления в Windows. Вредоносное ПО функционирует через приложение для обмена сообщениями Zulip для управления, что отмечает отход от традиционных инфраструктур и подчеркивает изменяющийся ландшафт угроз для разработчиков на Python.
-----

В июле 2025 года в Индексе пакетов Python (PyPI) были обнаружены вредоносные пакеты, связанные с семейством ВПО ZiChatBot, принадлежащим злоумышленнику OceanLotus. Вредоносные пакеты были разработаны так, чтобы выглядеть как легитимные библиотеки, используя технику атаки на Цепочку поставок для обмана пользователей и побуждения их к загрузке. Примечательно, что эти пакеты могли атаковать как платформы Windows, так и Linux, доставляя вредоносные DLL или SO файлы, которые служили загрузчиками для ВПО ZiChatBot.

Атакующие использовали популярные на первый взгляд названия проектов на PyPI, чтобы заманить пользователей. В частности, библиотеки colorinal и uuid32-utils представляют собой пакеты, которые маскируют вредоносную функциональность внутри кажущегося безобидным кода. Библиотека termncolor импортирует библиотеку colorinal в качестве зависимости, тем самым скрывая её изначальную вредоносность. В среде Windows при установке библиотеки извлекается дроппер с именем terminate.dll, что позволяет выполнить полезную нагрузку ziChatBot.

При установке вредоносный скрипт проверяет поддержку цветов терминала, загружает дроппер и выполняет его, после чего удаляет себя вместе с другими доказательствами атаки. Вредоносные полезная нагрузка, зашифрованные с использованием AES в режиме CBC, извлекаются и помещаются в папку в локальных данных приложения пользователя. Для закрепления дроппер создает записи автозапуска в реестре Windows, а в Linux полагается на задачи cron для аналогичной функциональности.

ZiChatBot взаимодействует через публичное командное приложение Zulip, а не через типичную конфигурацию сервера управления (C2). Это ВПО может выполнять полученный shellcode и передавать системную информацию посредством установленных вызовов REST API. Каждое успешное выполнение команд отправляет уведомление обратно через эмодзи сердца для подтверждения завершения.

В частности, инфраструктура этой кампании опирается на PyPI для распространения и Zulip для управления, что демонстрирует отход от традиционных методов атак, использующих скомпрометированные серверы или выделенные инфраструктуры управления. Несмотря на быстрое выявление и устранение этих пакетов из PyPI, возможность того, что ранее зараженные системы будут подключаться к сервису Zulip, остается предметом беспокойства. Дальнейшее исследование загрузчика выявило сходства с предыдущими операциями OceanLotus, подтверждая постоянную эволюцию тактик этой группы.

OceanLotus, являясь активно действующей сложной целенаправленной угрозой (APT), не только продолжает атаковать страны Азиатско-Тихоокеанского региона, но и расширяет свои векторы атак, включая атаки на цепочку поставок по всему миру. Эта смена стратегии, наряду с продолжающимися фишинговыми кампаниями, подчеркивает универсальность группы и представляет собой серьезную угрозу для пользователей Python повсеместно.

#ParsedReport #CompletenessHigh
06-05-2026

TCLBANKER: Brazilian Banking Trojan Spreading via WhatsApp and Outlook

https://www.elastic.co/security-labs/tclbanker-brazilian-banking-trojan

Report completeness: High

Actors/Campaigns:
Ref3076

Threats:
Tclbanker
Maverick
Sorvepotel
Dotnet_reactor_tool
Credential_harvesting_technique
Dll_sideloading_technique
Antidebugging_technique
Megadumper_tool
Process_hacker_tool
Scylla
Spear-phishing_technique
Process_injection_technique

Victims:
Banking, Fintech, Cryptocurrency

Industry:
Financial

Geo:
Latin american, Latam, Portuguese, Brazil, Brazilian

TTPs:
Tactics: 10
Technics: 0

IOCs:
File: 47
Domain: 9
Url: 7
IP: 1
Path: 2
Command: 1
Hash: 4

Soft:
WhatsApp, Outlook, NET Reactor, Microsoft Outlook, gmail, Flutter, VirtualBox, Xen, hyperv, Task Scheduler, have more...

Algorithms:
aes-256, base64, xor, cbc, zip, crc-32, sha256, lznt1

Functions:
DbgUiRemoteBreakin, SetCursorPos

Win API:
GetKeyboardLayoutList, NtQueryInformationProcess, NtSetInformationThread, NtSetInformationProcess, NtTerminateProcess, NtAllocateVirtualMemory, NtProtectVirtualMemory, EtwEventWrite, GetTickCount64, QueryPerformanceCounter, have more...

Languages:
javascript, powershell

Platforms:
x64

YARA: Found

Links:
have more...
https://github.com/wppconnect-team/wppconnect
https://gist.github.com/jiayuchann/e298effb68bd472c9e577a630d0ceb20

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TCLBANKER — это бразильский банковский троян, выявленный в рамках кампании REF3076, использующий поддельный установщик Logitech с расширенными возможностями, аналогичными предыдущему ВПО, такому как MAVERICK. Он нацелен на 59 финансовых учреждений, выполняется на бразильских системах и использует самораспространяющегося червя, который эксплуатирует захваченные аккаунты WhatsApp и Outlook для распространения. Примечательные функции включают полезную нагрузку, зависящую от среды, проверки на анализ и обманные WPF-оверлеи для кражи учетных данных, что подчеркивает тревожную тенденцию в разработке сложного ВПО.
-----

TCLBANKER — это сложный бразильский банковский троян, выявленный в ходе кампании REF3076, демонстрирующий продвинутые функциональные возможности, напоминающие о предыдущих семействах ВПО, таких как MAVERICK и SORVEPOTEL. Зловред использует троянизированный установщик Logitech, который интегрирует фреймворк антианализа и развертывает два основных компонента: модуль банковского трояна и модуль самораспространяющегося червя. Основной модуль, получивший название Tcl.Agent, использует загружаемые компоненты, ограниченные средой выполнения, обеспечивая запуск только на бразильских системах и требуя специфических региональных проверок. Он нацелен на 59 финансовых учреждений, устанавливая связь со своим сервером управления (управление) через WebSocket, когда пользователи переходят на соответствующие веб-сайты.

Его отличительной особенностью является оверлей на базе WPF, который облегчает тактики социальной инженерии. Этот оверлей позволяет операторам заниматься различными обманными практиками, такими как сбор учетных записей и симуляция взаимодействия пользователей с реальными приложениями, одновременно скрывая эти действия от средств обнаружения. ВПО также развертывает Tcl.WppBot, червяной модуль, отвечающий за распространение TCLBANKER через захваченные сессии WhatsApp и учетные записи Outlook. Модуль WhatsApp эксплуатирует браузер жертвы, клонируя активные сессии для отправки сообщений контактам, в то время как модуль Outlook отправляет фишинговые письма, используя легитимный почтовый аккаунт жертвы.

Установка начинается с извлечения вредоносной DLL, использующей Logi AI Prompt Builder — легитимное приложение Logitech. Механизмы противодействия анализу включают проверки отладчиков, виртуальных машин и несанкционированных сред. Сложность ВПО подчеркивается ее опорой на различные проверки системной информации для избежания выполнения в тестовых средах. Механизмы постоянства включают создание запланированных задач для автоматического выполнения и возможность самообновления через контролируемые скрипты.

Инфраструктура C2, размещённая на Cloudflare Workers, предназначена для быстрой адаптации и включает несколько фишинговых доменов для дальнейшего развития усилий по социальной инженерии. Один из таких доменов, arquivos-omie.com, является ярким примером более широких фишинговых тактик, использующих узнаваемые корпоративные бренды для проникновения.

По мере дальнейшего развития экосистемы этого банковского трояна интеграция механизмов самораспространения сигнализирует о тревожной тенденции в разработке вредоносного ПО. Использование TCLBANKERом зависимых от среды выполнения полезной нагрузки и продвинутых техник уклонения вызывает опасения относительно мер обнаружения и предотвращения, что требует бдительности со стороны организаций, особенно тех, которые работают в финансовом секторе. Это вредоносное ПО является примером растущей тенденции к коммерциализации сложных инструментов киберкриминала, что дополнительно усложняет ландшафт угроз.

#ParsedReport #CompletenessLow
05-05-2026

Attackers Actively Exploiting Critical Vulnerability in Breeze Cache Plugin

https://www.wordfence.com/blog/2026/05/attackers-actively-exploiting-critical-vulnerability-in-breeze-cache-plugin/

Report completeness: Low

Victims:
Wordpress sites, Shared hosting environments, Web hosting

CVEs:
CVE-2026-3844 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1070.004, T1083, T1105, T1190, T1505.003

IOCs:
Url: 1
File: 3
IP: 10
Hash: 1

Soft:
WordPress

Functions:
breeze_replace_gravatar_image, fetch_gravatar_from_remote, download_url, find_wordpress_installations, get_back, isset

Languages:
php

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Серьезная уязвимость произвольной загрузки файлов в плагине Breeze Cache для WordPress, затрагивающая около 400 000 установок, позволяет неаутентифицированным злоумышленникам загружать вредоносные файлы, включая PHP бэкдор, что может привести к Удаленному Выполнению Кода. Попытки эксплуатации резко возросли сразу после раскрытия уязвимости, при этом имеются доказательства того, что злоумышленники используют эту ошибку для загрузки PHP-скриптов, обладающих функциями бэкдор и способных сканировать другие установки WordPress. Уязвимость возникает из-за неверного регулярного выражения, позволяющего обрабатывать вредоносные URL из атрибута alt комментариев, что приводит к полной компрометации сайта.
-----

22 апреля 2026 года была раскрыта критическая уязвимость произвольной загрузки файлов (Arbitrary File Upload) в плагине Breeze Cache для WordPress, затронувшая около 400 000 активных установок. Эта уязвимость позволяет неаутентифицированным злоумышленникам загружать произвольные файлы, включая PHP-бэкдоры, что приводит к потенциальному удаленному выполнению кода (Remote Code Execution) на затронутых сайтах. Разработчик выпустил исправленную версию плагина всего за день до раскрытия информации. Несмотря на наличие исправления, попытки эксплуатации начались сразу же в день раскрытия, при этом более 30 000 попыток были заблокированы межсетевым экраном Wordfence за короткий промежуток времени.

Уязвимость возникает из-за некорректного регулярного выражения в плагине, которое позволяет извлекать URL не только из атрибута src тегов изображений, но и из атрибута alt. Это может быть использовано неаутентифицированными злоумышленниками, которые манипулируют отображаемым именем комментария, чтобы включить вредоносный URL, указывающий на PHP-файл. При обработке комментария затронутая функция fetch_gravatar_from_remote() загружает файл без проверки его типа или расширения, что позволяет злоумышленникам загрузить вредоносный PHP-код, который затем может быть выполнен, приводя к полной компрометации сайта.

Данные об атаках показывают, что злоумышленники используют эту уязвимость для загрузки различных вредоносных PHP-файлов, при этом примеры POST-запросов демонстрируют попытки использовать уязвимость для загрузки файлов, расположенных по URL-адресам, контролируемым злоумышленником. Некоторые вредоносные скрипты, наблюдаемые в ходе этих атак, имеют функциональность бэкдора, позволяющую ВПО сканировать другие установки WordPress, особенно в средах общего хостинга.

В частности, эти бэкдор-скрипты имеют механизмы самоуничтожения, что усложняет их обнаружение; однако они генерируют уникальные имена файлов, которые можно идентифицировать в журналах доступа. Меры безопасности, внедренные Wordfence, были направлены на упреждающую блокировку попыток эксплуатации, при этом специфические правила брандмауэра предоставлялись премиум-пользователям заранее, до даты раскрытия уязвимости. В свете этих событий очевидно, что уязвимость представляет собой серьезную угрозу, а ее массовая эксплуатация демонстрирует необходимость для пользователей плагина Breeze Cache применить рекомендуемые исправления и сохранять бдительность в отношении новых атак.

#ParsedReport #CompletenessHigh
06-05-2026

Iranian-Nexus Operation Against Oman's Government: 12 Ministries Hit and 26,000 Citizen Records Exposed

https://hunt.io/blog/iranian-nexus-oman-government-intrusion

Report completeness: High

Actors/Campaigns:
Oilrig
Muddywater

Threats:
Proxyshell_vuln
Spear-phishing_technique
Chisel_tool
Godpotato_tool

Victims:
Omani government, Ministry of justice and legal affairs, Royal oman police, Royal fleet of oman, Tax authority of oman, State audit institution, Royal court affairs, Authority for public services regulation, Civil aviation authority, Information technology authority, have more...

Industry:
Financial, Aerospace, Government

Geo:
Iran, Iranian, Oman, Iranians, Switzerland, Arab emirates, United arab emirates, Ita

CVEs:
CVE-2025-32372 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dnnsoftware dotnetnuke (<9.13.8)

CVE-2021-34473 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)


TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 12
Domain: 29
IP: 13
Path: 1

Soft:
DotNetNuke, Joomla, MSSQL, Chrome, Dot Net

Algorithms:
sha256, base64

Win API:
SeImpersonatePrivilege

Win Services:
WebClient

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская кампания, приписываемая злоумышленникам, связанным с Ираном, нацелена на Министерство юстиции и правовых вопросов Омана, в результате чего были скомпрометированы конфиденциальные данные 12 министерств и 26 000 записей о гражданах. Атакующие использовали пользовательскую веб-оболочку для обеспечения постоянного доступа, применяли различные эксплойты, включая уязвимости ProxyShell, и задействовали несколько скриптов для эксфильтрации данных и операций управления (C2), при этом оставив часть инфраструктуры открытой. Тактика включала разведку учетных данных, добычу судебных записей и использование инструментов обфускации для поддержания скрытой связи.
-----

Недавняя хакерская кампания, направленная против правительства Омана, связана с ирано-ориентированными злоумышленниками, что привело к раскрытию конфиденциальной информации из 12 министерств и примерно 26 000 записей о гражданах. Атака отличалась отсутствием оперативной дискретности, поскольку злоумышленники непреднамеренно оставили свою инфраструктуру управления (C2) открытой на публичном сервере в ОАЭ, предоставив тем самым информацию об их тактике, техниках и процедурах (TTPs).

Основной целью данной операции было Министерство юстиции и по правовым вопросам, при этом постоянный доступ обеспечивался через пользовательскую веб-оболочку на сервере министерства. Эта веб-оболочка позволяла операторам поддерживать плацдарм и проводить активности по эксфильтрации, что было подтверждено журналами команд, указывающими на активные сеансы вплоть до 10 апреля 2026 года. Набор инструментов атакующего включал 12 скриптов эксплойтов, нацеленных на различные уязвимости, включая эксплойты ProxyShell (CVE-2021-34473/34523/31207) против почтовых серверов Королевского флота и Налогового управления, а также другие попытки брутфорса паролей против порталов eVisa и Государственного аудиторского учреждения.

Атакующая инфраструктура выявила два этапа работы. На порту 8000 были замечены первоначальные усилия по разведке, указывающие на попытки воздействия на несколько оманских государственных структур. Второй этап, идентифицированный на порту 8002, продемонстрировал хорошо организованную среду C2, включая скрипты для извлечения данных из целевых министерств и разработки эксплойтов. Заметными скриптами были те, что предназначены для обхода WAF, уязвимостей Oracle APEX и атак SQL-инъекций.

Тактика эксплуатации в рамках кампании включала использование веб-шеллов для поиска учетных данных и доступа к личной информации путем извлечения схем баз данных и пользовательских таблиц через PowerShell. Основное внимание уделялось добыче судебных записей, при этом было собрано значительное количество данных о национальных идентификаторах, личных данных и учетных данных пользователей, хранящихся в приложении DotNetNuke, используемом несколькими министерствами.

Сохраняя закрепление и доступ, скрипты C2 включали различные порты прослушивания, включая HTTP и SSH, а также такие инструменты, как Chisel, для зашифрованных коммуникаций. Агрессоры использовали несколько версий серверов для расширения своих возможностей, при этом обеспечивая, чтобы сигналы команд оставались незамеченными.

#ParsedReport #CompletenessHigh
06-05-2026

A rigged game: ScarCruft compromises gaming platform in a supply-chain attack

https://www.welivesecurity.com/en/eset-research/rigged-game-scarcruft-compromises-gaming-platform-supply-chain-attack/

Report completeness: High

Actors/Campaigns:
Scarcruft (motivation: cyber_espionage)

Threats:
Supply_chain_technique
Birdcall
Rokrat
Reaper

Victims:
Gaming platform, Ethnic koreans in yanbian, North korean refugees and defectors

Industry:
Military, Entertainment, Government

Geo:
North korea, Koreans, Korean, China, Asian, North korean, Korea, Chinese, Ukraine

TTPs:
Tactics: 10
Technics: 47

IOCs:
Url: 5
File: 2
Email: 8
Hash: 9
Domain: 8
IP: 7

Soft:
Android, Dropbox, Google Play, kaoTalk, We, Chat, an, KakaoTalk, WeChat

Algorithms:
sha1

Languages:
python, ruby

Platforms:
apple

Links:
https://github.com/eset/malware-ioc/tree/master/scarcruft