#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пять вредоносных пакетов NuGet, использующих Маскировка под настоящие китайские библиотеки пользовательского интерфейса .NET, нацелены на развертывание стиллера, который собирает конфиденциальные данные, такие как учетные данные браузеров и криптовалютные кошельки, с использованием техники typosquatting. Стиллер усилен с помощью .NET Reactor для сокрытия своего поведения и спроектирован так, чтобы активироваться через инициализатор модулей .NET, что позволяет ему обходить меры безопасности и работать на нескольких платформах, включая Windows, Linux и macOS. Эти пакеты набрали значительную популярность, получив около 65 000 загрузок, что усложняет обнаружение и представляет серьезную угрозу для разработчиков и сред CI/CD, использующих технологии .NET.
-----

Пять вредоносных пакетов NuGet были выявлены под аккаунтом 'bmrxntfj', которые имитируют легитимные китайские библиотеки .NET UI для развертывания стиллера, нацеленного на конфиденциальные пользовательские данные, включая учетные данные браузеров, криптовалютные кошельки, SSH-ключи и локальные файлы. Эти пакеты используют технику, известную как тайпсквоттинг, выбирая имитацию широко используемых китайских библиотек .NET с целью обмануть разработчиков в средах, где применяются такие библиотеки.

Стиллер, упакованный в эти вредоносные библиотеки NuGet, усиливается с помощью .NET Reactor, скрывая свою функциональность через упаковку, которая делает его похожим на легитимную библиотеку. Пакеты включают множество версий (всего 224), большинство из которых намеренно скрыты в публичных поисках, вводя разработчиков в заблуждение, заставляя их воспринимать эти пакеты как ресурсы с низкой активностью, потенциально легитимные. В результате они набрали около 65 000 загрузок, заразив десятки тысяч рабочих станций разработчиков и серверов сборки CI/CD. Пакеты остаются в реестре NuGet, несмотря на их вредоносный характер.

При выполнении полезная нагрузка использует инициализатор модулей .NET для активации до запуска любого кода приложения, что позволяет ей работать просто за счет восстановления зависимости пакета. Эта инициализация включает механизмы перехвата, позволяющие актору проверять целостность сборки, выделять области памяти для своей полезной нагрузки и выполнять ключевые процедуры, эффективно обходя традиционные меры безопасности. Полезная нагрузка обладает кроссплатформенной возможностью, активируясь в средах Windows, Linux и macOS, тем самым расширяя потенциальное воздействие.

Функционал стиллера включает методы извлечения сохраненных учетных данных из различных источников, включая 12 популярных браузеров на базе Chromium, пять различных расширений для криптокошельков и набор файлов на локальных системах. Он может работать скрытно в любой среде, принимающей .NET-сборки, что затрудняет его выявление и нейтрализацию. Это программное обеспечение также использует техники обфускации и маскирует свое вредоносное поведение внутри легитимных структур каталогов, дополнительно усложняя усилия по обнаружению.

Злоумышленники, по-видимому, тщательно структурировали свою инфраструктуру управления (C2), используя конкретные зарегистрированные домены для эксфильтрации, маскируя свою деятельность под видом легитимных операций. Эта операция имеет несколько индикаторов, которые команды безопасности могут использовать для защитных мер, таких как блокировка разрешений DNS для известных доменов C2 и оповещение о подозрительном создании файлов или исходящих соединениях, указывающих на вредоносную активность. В целом, сложность атаки и целенаправленный подход к различным средам разработки подчеркивают значительную угрозу для организаций, использующих технологии .NET.

#ParsedReport #CompletenessHigh
07-05-2026

Salat Stealer Analysis: Go-Based RAT, C2 Resilience, and Info-Stealing Capabilities

https://darkatlas.io/blog/salat-stealer-analysis-go-based-rat-c2-resilience-and-info-stealing-capabilities

Report completeness: High

Threats:
Salatstealer
Credential_harvesting_technique
Uac_bypass_technique

Industry:
Financial

Geo:
Russian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1008, T1010, T1027, T1041, T1047, T1053.005, T1056.001, T1059, T1070.004, have more...

IOCs:
File: 34
Url: 5
Registry: 1
Hash: 3

Soft:
Discord, Steam, Chromium, Chrome

Algorithms:
sha1, xor, zip, aes-gcm, sha256, aes, md5

Functions:
Direct

Win API:
OpenFile

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Salat Stealer — это продвинутая Троянская программа (RAT), написанная на Go, обладающая обширным набором инструментов для пост-эксплуатации, включая C2 на базе WebSocket и QUIC, регистрацию нажатий клавиш и потоковую передачу с веб-камеры. Она использует сложные методы обфускации и шифрования для обеспечения безопасности, включая технику отпечатка, специфичную для жертвы, которая отправляет идентификатор в виде хеш-значения на сервер C2. ВПО поддерживает закрепление различными способами, такими как копирование самого себя в легитимные места и изменение системных настроек.
-----

Salat Stealer — это сложная Троянская программа (RAT), созданная на языке Go, обладающая расширенными возможностями по краже информации. В отличие от обычных стилеров, она функционирует как комплексный фреймворк для пост-эксплуатации, включающий различные функции, такие как механизмы управления (C2) на основе WebSocket и QUIC, удаленный доступ к оболочке, системы потоковой передачи рабочего стола и видеопотоков с веб-камеры, регистрация нажатий клавиш, кража данных из буфера обмена, а также перемещение через прокси-серверы SOCKS5.

ВПО использует шестимодальную технику обфускации строк и механизм вывода ключей на основе параметров конкретной машины, что привязывает процесс расшифровки к имени хоста и аппаратному профилю жертвы. Такая архитектура усложняет статический анализ и повышает устойчивость ВПО. При запуске Salat Stealer извлекает свой путь к файлу и выводит начальный ключ расшифровки из жёстко закодированной строки, который используется совместно с другими ключами для расшифровки методами AES-128-GCM и XOR.

Вредоносное ПО использует уникальный метод идентификации жертвы, который объединяет данные, специфичные для жертвы, в хеш-значение, служащее идентификатором агента и отправляемое на C2-сервер с каждым бекеном. Кроме того, оно пытается повысить привилегии для получения более широкого доступа к скомпрометированной системе. Salat Stealer работает в различных режимах в зависимости от аргументов командной строки, позволяя ему функционировать либо как кейлоггер, либо как полноценный RAT в зависимости от переданных параметров.

Инфраструктура C2 Salat Stealer отличается устойчивостью: она использует двойное шифрование URL-адресов C2 и реализует механизмы резервирования с помощью блокчейна TON. Такой подход не только помогает получать оперативные команды, но и гарантирует возможность динамического восстановления связи, если основные конечные точки C2 будут скомпрометированы. Связь с сервером C2 защищена шифрованием RSA, что обеспечивает недоступность перехваченных данных без закрытых ключей.

Возможности вредоносного ПО по краже данных обширны: оно собирает конфиденциальную информацию с системы жертвы, включая данные браузеров и зашифрованные учетные данные. Оно создает ZIP-архивы украденных данных и отправляет эту информацию обратно на сервер C2. Команды, получаемые от C2, охватывают широкий спектр функций удаленного управления, включая выполнение команд, загрузку файлов, кражу данных и повышение привилегий.

Salat Stealer обеспечивает закрепление с помощью различных техник, включая копирование самого себя в места, замаскированные под легитимные системные файлы, создание запланированных задач и изменение настроек реестра для обеспечения запуска при входе пользователей. Каждый из этих механизмов закрепления повышает вероятность его продолжительной работы на зараженных системах.

#ParsedReport #CompletenessLow
07-05-2026

CVE-2026-23918: Apache HTTP Server HTTP/2 Double Free With Possible RCE

https://socradar.io/blog/cve-2026-23918-apache-http-server-http-2/

Report completeness: Low

Victims:
Apache http server users

CVEs:
CVE-2026-23918 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache http_server (2.4.66)

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-23918 — это уязвимость высокой степени серьезности в реализации HTTP/2 сервера Apache HTTP Server, имеющая оценку CVSS 8.8. Ошибка, классифицируемая как CWE-415, возникает из-за условия двойного освобождения памяти (double free), что может привести к сбоям приложения и потенциальному выполнению произвольного кода, особенно через неконтролируемый атакующим трафик HTTP/2 без привилегий. Серверы, обрабатывающие несколько соединений, особенно уязвимы, поскольку для эксплуатации не требуется аутентификация, что делает эту уязвимость критической для таких сред.
-----

CVE-2026-23918 — это уязвимость, обнаруженная в Apache HTTP Server (httpd), конкретно в его реализации HTTP/2, с оценкой CVSS 8.8, указывающей на высокий уровень серьезности. Эта уязвимость возникает из-за условия двойного освобождения (double free), классифицируемого как CWE-415, которое происходит, когда программное обеспечение пытается освободить один и тот же участок памяти дважды. Такие сценарии могут привести к повреждению структур кучи, потенциально вызывая сбои приложения или, в более серьезных случаях, выполнение произвольного кода под контролем злоумышленника.

Эксплуатация данной уязвимости не требует аутентификации или повышенных привилегий, поскольку она может быть выполнена через управляемый атакующим трафик HTTP/2, достигающий сервера httpd. Даже если фронтенды Apache используют различные методы аутентификации — такие как базовая аутентификация, сеансы приложений или аутентификация обратного прокси-сервера — эти меры не предотвращают возможность установления вредоносных соединений HTTP/2. Экземпляры Apache, обычно участвующие в обработке контента для нескольких арендаторов или пользовательского контента, могут находиться под особой угрозой, поскольку атакующие могут создавать множество соединений и потоков для эксплуатации уязвимости.

Меры по устранению уязвимости CVE-2026-23918 заключаются в обновлении до версии Apache httpd 2.4.67 или более поздней, в которой данная ошибка исправлена. Настоятельно рекомендуется выполнить это обновление немедленно, поскольку оно полностью устраняет уязвимый путь выполнения кода, в отличие от попыток просто применить патч или ограничить риск на периметре сервера. Поскольку Apache продолжает широко использоваться в различных серверных средах, своевременное внимание к данной уязвимости повысит общий уровень безопасности и снизит риск успешной эксплуатации.

#ParsedReport #CompletenessLow
07-05-2026

FEMITBOT: Abuse of Telegram Mini Apps for Large-Scale Fraud Campaigns

https://cdn.prod.website-files.com/66fbdb04ee8bb0436308fc15/69f6093b2b8fcc3f49102d63_FEMITBOT%20-%20Report%20by%20CTM360%20-%202026.pdf

Report completeness: Low

Threats:
Femitbot
Golden_mine

Victims:
Media, Entertainment, Cryptocurrency, Telegram users

Industry:
Financial

Geo:
Bahrain

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1476, T1656

IOCs:
Domain: 5
File: 12

Soft:
Telegram, TikTok, Android, Chrome

Crypto:
binance

Algorithms:
gzip

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция FEMITBOT представляет собой серьезную киберугрозу, использующую Telegram Mini Apps для мошеннических кампаний, имитирующих легитимные сервисы. Этот модульный набор, проанализированный CTM360, применяет тактики, такие как имперсонация брендов, ссылки на фишинговые веб-сайты и взаимодействие с пользователями через ботов Телеграм, что облегчает извлечение персональных данных. Кроме того, FEMITBOT может распространять ВПО через файлы Android APK, замаскированные под легитимные приложения, применяя техники, которые скрывают вредоносную активность, одновременно оптимизируя процессы мошенничества посредством отслеживания пользователей.
-----

Операция FEMITBOT представляет собой значительную киберугрозу, использующую Telegram Mini Apps для проведения масштабных мошеннических кампаний. Используя эти легкие веб-приложения, киберпреступники создают обманные среды, имитирующие легитимные сервисы. Набор инструментов FEMITBOT, идентифицированный CTM360, представляет собой модульную инфраструктуру, обеспечивающую бесперебойное выполнение и масштабирование различных мошеннических схем. Анализ показывает, что несколько мошеннических Telegram Mini Apps питаются от общей бэкенд-системы, что подтверждается повторяющимся ответом API «Welcome to join the FEMITBOT platform», указывающим на скоординированные действия в рамках различных доменов.

Тактики мошенничества, применяемые в наборе FEMITBOT, часто включают имперсонацию известных брендов, таких как BBC, Netflix и Binance, тем самым используя знакомые логотипы для создания фасада достоверности и повышения вовлеченности пользователей. Связанные фишинговые сайты тесно связаны с ботами Телеграм, которые обеспечивают взаимодействие с потенциальными жертвами через последовательность, начинающуюся с нежелательной рекламы на таких платформах, как Meta, и продолжающуюся структурированным взаимодействием с ботом Телеграм.

При взаимодействии с ботом жертвы получают сильно кастомные приветственные сообщения через среду Mini App. Система использует строку Telegram.WebApp.initData для скрытого извлечения данных идентификации пользователя и помощи в дальнейших процедурах аутентификации. Такая модульная архитектура позволяет быстро развертывать новые мошеннические схемы без необходимости создания полностью отдельных конфигураций, повышая разнообразие угроз.

Техническая архитектура операции FEMITBOT интегрирует SDK Telegram WebApp для обеспечения бесшовного пользовательского опыта, который маскирует вредоносную активность. Когда пользователи получают доступ к фишинговым сайтам, они направляются на использование встроенного браузера, что создает видимость легитимной среды. Кроме того, операция включает отслеживающие пиксели от Meta и TikTok, которые контролируют взаимодействия пользователей для оптимизации процессов мошенничества.

Важно отметить, что набор FEMITBOT оснащен возможностью распространения ВПО, в частности через APK-файлы Android, предлагаемые жертвам под видом обычных взаимодействий с приложениями. Этот механизм распространения модулируется с использованием таких функций, как запросы «добавить на главный экран» и просмотр внутри приложения, что повышает вероятность согласия пользователей с вредоносными инструкциями. Эти тактики подчеркивают изощренный подход, который злоумышленники применяют для сбора и эксплуатации пользовательских данных в целях финансовой выгоды, эффективно используя технологии для сокрытия своих действий.

#ParsedReport #CompletenessLow
07-05-2026

CVE-2026-26956: vm2 Sandbox Escape Enables Host RCE in Node.js 25

https://socradar.io/blog/cve-2026-26956-vm2-sandbox-escape-rce-node-js-25/

Report completeness: Low

Victims:
Plugin execution systems, Continuous integration platforms, Automation platforms, Workflow platforms, Services running untrusted javascript

CVEs:
CVE-2026-26956 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.007

IOCs:
File: 3

Soft:
Node.js, Linux

Functions:
Symbol

Languages:
javascript

Platforms:
x64

Links:
https://github.com/patriksimek/vm2/security/advisories/GHSA-ffh4-j6h5-pg66

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-26956 — критическая уязвимость в библиотеке vm2, позволяющая злоумышленникам совершить побег из её песочницы, что приводит к выполнению произвольного кода (RCE) в приложениях Node.js. Уязвимость затрагивает версию vm2 3.10.4 и конкретно влияет на версию Node.js 25, особенно v25.6.1 на x64 Linux, путём эксплуатации механизмов обработки исключений WebAssembly. Доступен публичный Proof-of-Concept (PoC), демонстрирующий потенциал уязвимости в реальных атаках, особенно в средах, полагающихся на vm2 для обеспечения безопасности.
-----

CVE-2026-26956 — критическая уязвимость в библиотеке vm2, которая используется для песочницы недоверенного JavaScript-кода в приложениях Node.js. Эта проблема позволяет злоумышленнику выйти за пределы песочницы, предоставляемой версией vm2 3.10.4, и выполнить произвольный код (RCE) в процессе Node.js на хосте, чему присвоен балл CVSS 9.8, что указывает на его серьезность.

Уязвимость конкретно затрагивает версию Node.js 25, с подтвержденной эксплуатацией на Node.js v25.6.1, работающей на x64 Linux. Злоумышленники эксплуатируют эту уязвимость через манипуляцию обработкой исключений WebAssembly. Vm2 в основном полагается на контроль на уровне JavaScript для песочницы и обработки ошибок, но CVE-2026-26956 обходит эти защиты, используя конструкцию WebAssembly, известную как try_table, в сочетании с обработчиком перехвата JSTag. Это позволяет злоумышленникам перехватывать исключения JavaScript на уровне, который обходит типичные процессы управления ошибками vm2. В конечном итоге они могут использовать полученный объект ошибки для доступа к привилегированным конструкторам, что приводит к доступу к объекту хост-процесса.

Реальные последствия этой уязвимости значительны для многопользовательских сред, систем выполнения плагинов и любых контекстов, где сервисы используют vm2 в качестве границы против вредоносного ввода. Это включает платформы непрерывной интеграции, автоматизации и рабочих процессов, которые могут предоставлять функции скриптования.

Доступный в открытом доступе рабочий Proof-of-Concept (PoC) демонстрирует как возможность выхода из песочницы, так и выполнение команд на хосте. Это повышает риск практического применения эксплойта в реальных атаках, особенно против сервисов, которые предоставляют недоверенный ввод через vm2.

Для снижения рисков, связанных с CVE-2026-26956, организациям рекомендуется проверить свои кодовые базы на наличие вызовов VM.run() с недоверенным входом, убедиться, используется ли Node.js 25.x, и убедиться, что необходимые функции WebAssembly включены. Также рекомендуется обновиться до версии vm2 выше 3.10.4 для защиты от эксплуатации. Сосредоточившись на мерах обнаружения, включая выявление путей, по которым недоверенный код может попасть в vm2, организации могут лучше защитить себя от этой критической уязвимости.

#ParsedReport #CompletenessMedium
07-05-2026

Operation HookedWing: 4-Year Multi-Sector Phishing Campaign

https://socradar.io/blog/operation-hookedwing-4-year-phishing/

Report completeness: Medium

Actors/Campaigns:
Hookedwing (motivation: financially_motivated)

Threats:
Credential_harvesting_technique
Spear-phishing_technique

Industry:
Education, Government, Petroleum, Logistic, Transport, Aerospace, Energy, Critical_infrastructure, Financial, Retail, Telco, Ngo

Geo:
Nigeria, Africa, Uganda, Pakistan, Senegal, French, Nepal, Asia, Sri lanka, Brazil, African, Afghanistan, Chile

TTPs:
Tactics: 10
Technics: 13

IOCs:
File: 10
Hash: 2

Soft:
Outlook, Microsoft Outlook, office365, Azure Active Directory, Android

Algorithms:
sha256, base64, exhibit

Functions:
getInd__, getSlice__, getURLEm, AJAX, getSC

Languages:
javascript, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 6, table: 1, code: 3, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция HookedWing — это сложная фишинговая кампания, активная с 2022 года, нацеленная на такие сектора, как авиация и критическая инфраструктура. Она использует собственный фишинговый набор инструментов и привлекает внешне безобидные страницы на платформах вроде github.io для сбора учетных записей, динамически генерируя вредоносные посадочные формы и захватывая конфиденциальные данные. Злоумышленники применяют двухуровневую инфраструктуру, состоящую из слоев распространения и бэкенда, постоянно совершенствуя свои тактики и сосредотачиваясь на высокоценных целях для потенциального использования конфиденциальной информации.
-----

Операция HookedWing — это устойчивая фишинговая кампания, активная с 2022 года, нацеленная на такие сектора, как авиация, государственное управление и энергетика. Она использует собственный фишинговый набор инструментов, не связанный с известными злоумышленниками. Кампания скомпрометировала более 2 500 уникальных учетных данных из 500+ организаций. Фишинговые письма часто используют темы, связанные с управлением персоналом, Microsoft или Google, направляя пользователей на поддельные страницы входа, в основном размещенные на github.io и Vercel. Эти страницы используют техники обфускации, включая динамически генерируемые целевые страницы, имитирующие Microsoft Outlook для захвата учетных данных пользователей. Жертвы сталкиваются с экраном загрузки перед тем, как им будет предложена вредоносная форма для ввода учетных данных, которая также собирает геолокационные и контекстные данные. Инфраструктура кампании включает распределительный слой из статических страниц, выглядящих безобидно, и бэкенд-слой из скомпрометированных серверов для эксфильтрации данных. Злоумышленники постоянно диверсифицируют свои фишинговые тактики, сохраняя при этом основные структурные паттерны. Паттерн нацеливания сосредоточен на высокоценных секторах, при этом многие жертвы находятся в авиации и правительстве, что указывает на интерес к конфиденциальной информации. Они используют базы данных электронной почты для предварительного заполнения фишинговых URL-адресов, повышая легитимность. Злоумышленники применяют передовые техники уклонения, такие как динамическое выполнение JavaScript, что делает ВПО трудным для обнаружения без выполнения. Непрерывный характер и стратегическое нацеливание этой операции предполагают наличие значительных ресурсов и намерений для дальнейшего злоупотребления данными.

#ParsedReport #CompletenessHigh
07-05-2026

PCPJack \| Cloud Worm Evicts TeamPCP and Steals Credentials at Scale

https://www.sentinelone.com/labs/cloud-worm-evicts-teampcp-and-steals-credentials-at-scale/

Report completeness: High

Actors/Campaigns:
Teampcp (motivation: financially_motivated)
Vect
Teamtnt

Threats:
Pcpjack_tool
Supply_chain_technique
Credential_harvesting_technique
React2shell_vuln
Sliver_c2_tool
Typosquatting_technique
Garble_tool
Xmrig_miner

Victims:
Cloud infrastructure, Container services, Developer services, Productivity services, Financial services, Open source software supply chain

Industry:
Financial

Geo:
Germany

CVEs:
CVE-2025-29927 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vercel next.js (<12.3.5, <13.5.9, <14.2.25, <15.2.3)

CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2026-1357 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-48703 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- control-webpanel webpanel (<0.9.8.1205)

CVE-2025-9501 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1021.004, T1027, T1036.005, T1041, T1046, T1053.003, T1059.004, T1059.006, T1070.004, have more...

IOCs:
Url: 2
File: 5
IP: 11
Domain: 3
Hash: 12

Soft:
Docker, Kubernetes, Redis, Trivy, LiteLLM, Slack, Linux, Telegram, WordPress, Gmail, have more...

Wallets:
coinbase

Crypto:
ethereum, solana, binance, bitcoin, kucoin

Algorithms:
base64, chacha20-poly1305, ecdh, curve25519, xor, sha1, md5

Functions:
_d, GetBeaconInterval

Languages:
python, php

Platforms:
intel, arm

Links:
https://github.com/urllib3/urllib3/blob/main/src/urllib3/poolmanager.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PCPJack — это новая выявленная фреймворк для кражи учетных данных, нацеленный на открытые облачные инфраструктуры для сбора учетных записей из таких сервисов, как Docker и Kubernetes. Его заражение начинается с shell-скрипта, который настраивает среду на Linux и инициирует сбор учетных данных с помощью таких техник, как сканирование конфигурационных файлов и эксплуатация уязвимостей в сети жертвы. Связь с его инфраструктурой управления происходит через Телеграм, используя сложные методы шифрования для эксфильтрации данных, в то время как фреймворк также включает вторичный набор инструментов для дальнейшего сбора учетных данных и гибкости операций.
-----

Компания SentinelLABS выявила новую фреймворк для кражи учетных данных под названием PCPJack, специально разработанный для проникновения и распространения через открытые облачные инфраструктуры. PCPJack в первую очередь нацелен на сбор учетных данных из таких сервисов, как Docker, Kubernetes, Redis, MongoDB и других уязвимых веб-приложений, что позволяет осуществлять как внешнее распространение, так и перемещение внутри компании в целевых средах. Примечательно, что это ВПО воздерживается от развертывания криптомайнеров, сосредоточившись вместо этого на монетизации украденных учетных данных через различные незаконные действия, такие как мошенничество, спам и вымогательство.

Процесс заражения, инициируемый PCPJack, начинается со скрипта оболочки bootstrap.sh, который настраивает необходимую среду в системах Linux. Этот скрипт организует загрузку и выполнение дополнительных Python-загрузчиков в виртуальном окружении. Один из ключевых компонентов, monitor.py, контролирует операцию сбора учетных записей, одновременно удаляя любые процессы, связанные с хакерской группировкой TeamPCP. Точечная нацеленность на артефакты TeamPCP заставляет исследователей предполагать, что PCPJack может управляться кем-то, знакомым с методологиями TeamPCP.

Сбор учетных записей использует различные техники, включая сканирование файлов конфигурации и секретов, содержащихся в переменных окружения, учетных данных службы метаданных экземпляров AWS (IMDS) и закрытых ключей SSH. Модули перемещения внутри компании PCJack эксплуатируют конкретные уязвимости в программных компонентах для распространения внутри сети жертвы, используя такие методы, как запросы к службам Kubernetes и взаимодействие с API Docker. Например, взаимодействие с Kubernetes часто приводит к эксфильтрации конфиденциальной информации, несмотря на современные конфигурации безопасности.

Более того, PCPJack взаимодействует со своей инфраструктурой управления (C2) через Телеграм, отправляя собранные данные в выделенный канал и получая операционные команды. Важно отметить, что фреймворк использует сложные методы шифрования для эксфильтруемых данных, реализуя протоколы обмена ключами ECDH и шифрования ChaCha20-Poly1305, которые предназначены для сокрытия данных от обнаружения во время передачи.

В дополнение к основному набору инструментов анализ выявил вторичный набор инструментов, используемый злоумышленниками, включая shell-скрипт с именем check.sh, который собирает учетные данные из различных сервисов и определяет архитектуру системы для развертывания бинарного файла Sliver для беконинга. Это указывает на разнообразный и модульный дизайн, благоприятствующий гибкости в операциях, хотя также выявляет упущения в операционной безопасности из-за незашифрованных учетных данных.

#ParsedReport #CompletenessHigh
07-05-2026

Operation GriefLure: Dissecting an APT Campaign Targeting Vietnam’s Military Telecom & Philippine Healthcare

https://www.seqrite.com/blog/operation-grieflure-dissecting-an-apt-campaign-targeting-vietnams-military-telecom-philippine-healthcare/

Report completeness: High

Actors/Campaigns:
Grieflure (motivation: information_theft)

Threats:
Spear-phishing_technique
Lolbin_technique
Polymorphism_technique
Dll_sideloading_technique
Process_injection_technique
Apc_injection_technique
Credential_harvesting_technique
Todesk_tool
Xshell_tool
Grief

Victims:
Telecommunications, Healthcare, Law enforcement

Industry:
Healthcare, Telco, Military

Geo:
Burma, Asia-pacific, Vietnamese, Vietnam, Philippines, Asian, Philippine, China, Hong kong

TTPs:
Tactics: 10
Technics: 24

IOCs:
File: 19
Command: 1
Domain: 2
IP: 1
Hash: 10

Soft:
Windows service, Windows shell, WinHTTP, chrome, Chrome chrome, TightVNC, Windows Defender, Sunlogin, NetSarang, WeChat, have more...

Algorithms:
sha256, xor, zip

Win API:
DllRegisterServer, OpenProcess, TerminateProcess, ShellExecuteW, CreateProcessAsUserW, LoadLibraryW, GetProcAddress, DllUnregisterServer, llRegisterServer, i, VirtualAlloc, have more...

Languages:
php