#ParsedReport #CompletenessLow
07-05-2026
CVE-2026-26956: vm2 Sandbox Escape Enables Host RCE in Node.js 25
https://socradar.io/blog/cve-2026-26956-vm2-sandbox-escape-rce-node-js-25/
Report completeness: Low
Victims:
Plugin execution systems, Continuous integration platforms, Automation platforms, Workflow platforms, Services running untrusted javascript
CVEs:
CVE-2026-26956 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1059.007
IOCs:
File: 3
Soft:
Node.js, Linux
Functions:
Symbol
Languages:
javascript
Platforms:
x64
Links:
07-05-2026
CVE-2026-26956: vm2 Sandbox Escape Enables Host RCE in Node.js 25
https://socradar.io/blog/cve-2026-26956-vm2-sandbox-escape-rce-node-js-25/
Report completeness: Low
Victims:
Plugin execution systems, Continuous integration platforms, Automation platforms, Workflow platforms, Services running untrusted javascript
CVEs:
CVE-2026-26956 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1059.007
IOCs:
File: 3
Soft:
Node.js, Linux
Functions:
Symbol
Languages:
javascript
Platforms:
x64
Links:
https://github.com/patriksimek/vm2/security/advisories/GHSA-ffh4-j6h5-pg66SOCRadar® Cyber Intelligence Inc.
CVE-2026-26956: vm2 Sandbox Escape Enables Host RCE in Node.js 25
CVE-2026-26956 is a critical sandbox escape affecting the Node.js sandbox library vm2. In vm2 3.10.4, attacker-controlled JavaScript executed...
CTT Report Hub
#ParsedReport #CompletenessLow 07-05-2026 CVE-2026-26956: vm2 Sandbox Escape Enables Host RCE in Node.js 25 https://socradar.io/blog/cve-2026-26956-vm2-sandbox-escape-rce-node-js-25/ Report completeness: Low Victims: Plugin execution systems, Continuous…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
CVE-2026-26956 — критическая уязвимость в библиотеке vm2, позволяющая злоумышленникам совершить побег из её песочницы, что приводит к выполнению произвольного кода (RCE) в приложениях Node.js. Уязвимость затрагивает версию vm2 3.10.4 и конкретно влияет на версию Node.js 25, особенно v25.6.1 на x64 Linux, путём эксплуатации механизмов обработки исключений WebAssembly. Доступен публичный Proof-of-Concept (PoC), демонстрирующий потенциал уязвимости в реальных атаках, особенно в средах, полагающихся на vm2 для обеспечения безопасности.
-----
CVE-2026-26956 — критическая уязвимость в библиотеке vm2, которая используется для песочницы недоверенного JavaScript-кода в приложениях Node.js. Эта проблема позволяет злоумышленнику выйти за пределы песочницы, предоставляемой версией vm2 3.10.4, и выполнить произвольный код (RCE) в процессе Node.js на хосте, чему присвоен балл CVSS 9.8, что указывает на его серьезность.
Уязвимость конкретно затрагивает версию Node.js 25, с подтвержденной эксплуатацией на Node.js v25.6.1, работающей на x64 Linux. Злоумышленники эксплуатируют эту уязвимость через манипуляцию обработкой исключений WebAssembly. Vm2 в основном полагается на контроль на уровне JavaScript для песочницы и обработки ошибок, но CVE-2026-26956 обходит эти защиты, используя конструкцию WebAssembly, известную как try_table, в сочетании с обработчиком перехвата JSTag. Это позволяет злоумышленникам перехватывать исключения JavaScript на уровне, который обходит типичные процессы управления ошибками vm2. В конечном итоге они могут использовать полученный объект ошибки для доступа к привилегированным конструкторам, что приводит к доступу к объекту хост-процесса.
Реальные последствия этой уязвимости значительны для многопользовательских сред, систем выполнения плагинов и любых контекстов, где сервисы используют vm2 в качестве границы против вредоносного ввода. Это включает платформы непрерывной интеграции, автоматизации и рабочих процессов, которые могут предоставлять функции скриптования.
Доступный в открытом доступе рабочий Proof-of-Concept (PoC) демонстрирует как возможность выхода из песочницы, так и выполнение команд на хосте. Это повышает риск практического применения эксплойта в реальных атаках, особенно против сервисов, которые предоставляют недоверенный ввод через vm2.
Для снижения рисков, связанных с CVE-2026-26956, организациям рекомендуется проверить свои кодовые базы на наличие вызовов VM.run() с недоверенным входом, убедиться, используется ли Node.js 25.x, и убедиться, что необходимые функции WebAssembly включены. Также рекомендуется обновиться до версии vm2 выше 3.10.4 для защиты от эксплуатации. Сосредоточившись на мерах обнаружения, включая выявление путей, по которым недоверенный код может попасть в vm2, организации могут лучше защитить себя от этой критической уязвимости.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
CVE-2026-26956 — критическая уязвимость в библиотеке vm2, позволяющая злоумышленникам совершить побег из её песочницы, что приводит к выполнению произвольного кода (RCE) в приложениях Node.js. Уязвимость затрагивает версию vm2 3.10.4 и конкретно влияет на версию Node.js 25, особенно v25.6.1 на x64 Linux, путём эксплуатации механизмов обработки исключений WebAssembly. Доступен публичный Proof-of-Concept (PoC), демонстрирующий потенциал уязвимости в реальных атаках, особенно в средах, полагающихся на vm2 для обеспечения безопасности.
-----
CVE-2026-26956 — критическая уязвимость в библиотеке vm2, которая используется для песочницы недоверенного JavaScript-кода в приложениях Node.js. Эта проблема позволяет злоумышленнику выйти за пределы песочницы, предоставляемой версией vm2 3.10.4, и выполнить произвольный код (RCE) в процессе Node.js на хосте, чему присвоен балл CVSS 9.8, что указывает на его серьезность.
Уязвимость конкретно затрагивает версию Node.js 25, с подтвержденной эксплуатацией на Node.js v25.6.1, работающей на x64 Linux. Злоумышленники эксплуатируют эту уязвимость через манипуляцию обработкой исключений WebAssembly. Vm2 в основном полагается на контроль на уровне JavaScript для песочницы и обработки ошибок, но CVE-2026-26956 обходит эти защиты, используя конструкцию WebAssembly, известную как try_table, в сочетании с обработчиком перехвата JSTag. Это позволяет злоумышленникам перехватывать исключения JavaScript на уровне, который обходит типичные процессы управления ошибками vm2. В конечном итоге они могут использовать полученный объект ошибки для доступа к привилегированным конструкторам, что приводит к доступу к объекту хост-процесса.
Реальные последствия этой уязвимости значительны для многопользовательских сред, систем выполнения плагинов и любых контекстов, где сервисы используют vm2 в качестве границы против вредоносного ввода. Это включает платформы непрерывной интеграции, автоматизации и рабочих процессов, которые могут предоставлять функции скриптования.
Доступный в открытом доступе рабочий Proof-of-Concept (PoC) демонстрирует как возможность выхода из песочницы, так и выполнение команд на хосте. Это повышает риск практического применения эксплойта в реальных атаках, особенно против сервисов, которые предоставляют недоверенный ввод через vm2.
Для снижения рисков, связанных с CVE-2026-26956, организациям рекомендуется проверить свои кодовые базы на наличие вызовов VM.run() с недоверенным входом, убедиться, используется ли Node.js 25.x, и убедиться, что необходимые функции WebAssembly включены. Также рекомендуется обновиться до версии vm2 выше 3.10.4 для защиты от эксплуатации. Сосредоточившись на мерах обнаружения, включая выявление путей, по которым недоверенный код может попасть в vm2, организации могут лучше защитить себя от этой критической уязвимости.
#ParsedReport #CompletenessMedium
07-05-2026
Operation HookedWing: 4-Year Multi-Sector Phishing Campaign
https://socradar.io/blog/operation-hookedwing-4-year-phishing/
Report completeness: Medium
Actors/Campaigns:
Hookedwing (motivation: financially_motivated)
Threats:
Credential_harvesting_technique
Spear-phishing_technique
Industry:
Education, Government, Petroleum, Logistic, Transport, Aerospace, Energy, Critical_infrastructure, Financial, Retail, Telco, Ngo
Geo:
Nigeria, Africa, Uganda, Pakistan, Senegal, French, Nepal, Asia, Sri lanka, Brazil, African, Afghanistan, Chile
TTPs:
Tactics: 10
Technics: 13
IOCs:
File: 10
Hash: 2
Soft:
Outlook, Microsoft Outlook, office365, Azure Active Directory, Android
Algorithms:
sha256, base64, exhibit
Functions:
getInd__, getSlice__, getURLEm, AJAX, getSC
Languages:
javascript, php
07-05-2026
Operation HookedWing: 4-Year Multi-Sector Phishing Campaign
https://socradar.io/blog/operation-hookedwing-4-year-phishing/
Report completeness: Medium
Actors/Campaigns:
Hookedwing (motivation: financially_motivated)
Threats:
Credential_harvesting_technique
Spear-phishing_technique
Industry:
Education, Government, Petroleum, Logistic, Transport, Aerospace, Energy, Critical_infrastructure, Financial, Retail, Telco, Ngo
Geo:
Nigeria, Africa, Uganda, Pakistan, Senegal, French, Nepal, Asia, Sri lanka, Brazil, African, Afghanistan, Chile
TTPs:
Tactics: 10
Technics: 13
IOCs:
File: 10
Hash: 2
Soft:
Outlook, Microsoft Outlook, office365, Azure Active Directory, Android
Algorithms:
sha256, base64, exhibit
Functions:
getInd__, getSlice__, getURLEm, AJAX, getSC
Languages:
javascript, php
SOCRadar® Cyber Intelligence Inc.
Operation HookedWing: 4-Year Multi-Sector Attack Analysis
Operation HookedWing follows an execution chain structured into four clearly differentiated phases. While individual campaigns may vary in some...
CTT Report Hub
#ParsedReport #CompletenessMedium 07-05-2026 Operation HookedWing: 4-Year Multi-Sector Phishing Campaign https://socradar.io/blog/operation-hookedwing-4-year-phishing/ Report completeness: Medium Actors/Campaigns: Hookedwing (motivation: financially_motivated)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция HookedWing — это сложная фишинговая кампания, активная с 2022 года, нацеленная на такие сектора, как авиация и критическая инфраструктура. Она использует собственный фишинговый набор инструментов и привлекает внешне безобидные страницы на платформах вроде github.io для сбора учетных записей, динамически генерируя вредоносные посадочные формы и захватывая конфиденциальные данные. Злоумышленники применяют двухуровневую инфраструктуру, состоящую из слоев распространения и бэкенда, постоянно совершенствуя свои тактики и сосредотачиваясь на высокоценных целях для потенциального использования конфиденциальной информации.
-----
Операция HookedWing — это устойчивая фишинговая кампания, активная с 2022 года, нацеленная на такие сектора, как авиация, государственное управление и энергетика. Она использует собственный фишинговый набор инструментов, не связанный с известными злоумышленниками. Кампания скомпрометировала более 2 500 уникальных учетных данных из 500+ организаций. Фишинговые письма часто используют темы, связанные с управлением персоналом, Microsoft или Google, направляя пользователей на поддельные страницы входа, в основном размещенные на github.io и Vercel. Эти страницы используют техники обфускации, включая динамически генерируемые целевые страницы, имитирующие Microsoft Outlook для захвата учетных данных пользователей. Жертвы сталкиваются с экраном загрузки перед тем, как им будет предложена вредоносная форма для ввода учетных данных, которая также собирает геолокационные и контекстные данные. Инфраструктура кампании включает распределительный слой из статических страниц, выглядящих безобидно, и бэкенд-слой из скомпрометированных серверов для эксфильтрации данных. Злоумышленники постоянно диверсифицируют свои фишинговые тактики, сохраняя при этом основные структурные паттерны. Паттерн нацеливания сосредоточен на высокоценных секторах, при этом многие жертвы находятся в авиации и правительстве, что указывает на интерес к конфиденциальной информации. Они используют базы данных электронной почты для предварительного заполнения фишинговых URL-адресов, повышая легитимность. Злоумышленники применяют передовые техники уклонения, такие как динамическое выполнение JavaScript, что делает ВПО трудным для обнаружения без выполнения. Непрерывный характер и стратегическое нацеливание этой операции предполагают наличие значительных ресурсов и намерений для дальнейшего злоупотребления данными.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция HookedWing — это сложная фишинговая кампания, активная с 2022 года, нацеленная на такие сектора, как авиация и критическая инфраструктура. Она использует собственный фишинговый набор инструментов и привлекает внешне безобидные страницы на платформах вроде github.io для сбора учетных записей, динамически генерируя вредоносные посадочные формы и захватывая конфиденциальные данные. Злоумышленники применяют двухуровневую инфраструктуру, состоящую из слоев распространения и бэкенда, постоянно совершенствуя свои тактики и сосредотачиваясь на высокоценных целях для потенциального использования конфиденциальной информации.
-----
Операция HookedWing — это устойчивая фишинговая кампания, активная с 2022 года, нацеленная на такие сектора, как авиация, государственное управление и энергетика. Она использует собственный фишинговый набор инструментов, не связанный с известными злоумышленниками. Кампания скомпрометировала более 2 500 уникальных учетных данных из 500+ организаций. Фишинговые письма часто используют темы, связанные с управлением персоналом, Microsoft или Google, направляя пользователей на поддельные страницы входа, в основном размещенные на github.io и Vercel. Эти страницы используют техники обфускации, включая динамически генерируемые целевые страницы, имитирующие Microsoft Outlook для захвата учетных данных пользователей. Жертвы сталкиваются с экраном загрузки перед тем, как им будет предложена вредоносная форма для ввода учетных данных, которая также собирает геолокационные и контекстные данные. Инфраструктура кампании включает распределительный слой из статических страниц, выглядящих безобидно, и бэкенд-слой из скомпрометированных серверов для эксфильтрации данных. Злоумышленники постоянно диверсифицируют свои фишинговые тактики, сохраняя при этом основные структурные паттерны. Паттерн нацеливания сосредоточен на высокоценных секторах, при этом многие жертвы находятся в авиации и правительстве, что указывает на интерес к конфиденциальной информации. Они используют базы данных электронной почты для предварительного заполнения фишинговых URL-адресов, повышая легитимность. Злоумышленники применяют передовые техники уклонения, такие как динамическое выполнение JavaScript, что делает ВПО трудным для обнаружения без выполнения. Непрерывный характер и стратегическое нацеливание этой операции предполагают наличие значительных ресурсов и намерений для дальнейшего злоупотребления данными.
#ParsedReport #CompletenessHigh
07-05-2026
PCPJack \| Cloud Worm Evicts TeamPCP and Steals Credentials at Scale
https://www.sentinelone.com/labs/cloud-worm-evicts-teampcp-and-steals-credentials-at-scale/
Report completeness: High
Actors/Campaigns:
Teampcp (motivation: financially_motivated)
Vect
Teamtnt
Threats:
Pcpjack_tool
Supply_chain_technique
Credential_harvesting_technique
React2shell_vuln
Sliver_c2_tool
Typosquatting_technique
Garble_tool
Xmrig_miner
Victims:
Cloud infrastructure, Container services, Developer services, Productivity services, Financial services, Open source software supply chain
Industry:
Financial
Geo:
Germany
CVEs:
CVE-2025-29927 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vercel next.js (<12.3.5, <13.5.9, <14.2.25, <15.2.3)
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
CVE-2026-1357 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2025-48703 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- control-webpanel webpanel (<0.9.8.1205)
CVE-2025-9501 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1016, T1021.004, T1027, T1036.005, T1041, T1046, T1053.003, T1059.004, T1059.006, T1070.004, have more...
IOCs:
Url: 2
File: 5
IP: 11
Domain: 3
Hash: 12
Soft:
Docker, Kubernetes, Redis, Trivy, LiteLLM, Slack, Linux, Telegram, WordPress, Gmail, have more...
Wallets:
coinbase
Crypto:
ethereum, solana, binance, bitcoin, kucoin
Algorithms:
base64, chacha20-poly1305, ecdh, curve25519, xor, sha1, md5
Functions:
_d, GetBeaconInterval
Languages:
python, php
Platforms:
intel, arm
Links:
07-05-2026
PCPJack \| Cloud Worm Evicts TeamPCP and Steals Credentials at Scale
https://www.sentinelone.com/labs/cloud-worm-evicts-teampcp-and-steals-credentials-at-scale/
Report completeness: High
Actors/Campaigns:
Teampcp (motivation: financially_motivated)
Vect
Teamtnt
Threats:
Pcpjack_tool
Supply_chain_technique
Credential_harvesting_technique
React2shell_vuln
Sliver_c2_tool
Typosquatting_technique
Garble_tool
Xmrig_miner
Victims:
Cloud infrastructure, Container services, Developer services, Productivity services, Financial services, Open source software supply chain
Industry:
Financial
Geo:
Germany
CVEs:
CVE-2025-29927 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vercel next.js (<12.3.5, <13.5.9, <14.2.25, <15.2.3)
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
CVE-2026-1357 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2025-48703 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- control-webpanel webpanel (<0.9.8.1205)
CVE-2025-9501 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1016, T1021.004, T1027, T1036.005, T1041, T1046, T1053.003, T1059.004, T1059.006, T1070.004, have more...
IOCs:
Url: 2
File: 5
IP: 11
Domain: 3
Hash: 12
Soft:
Docker, Kubernetes, Redis, Trivy, LiteLLM, Slack, Linux, Telegram, WordPress, Gmail, have more...
Wallets:
coinbase
Crypto:
ethereum, solana, binance, bitcoin, kucoin
Algorithms:
base64, chacha20-poly1305, ecdh, curve25519, xor, sha1, md5
Functions:
_d, GetBeaconInterval
Languages:
python, php
Platforms:
intel, arm
Links:
https://github.com/urllib3/urllib3/blob/main/src/urllib3/poolmanager.pySentinelOne
PCPJacked | A Supply Chain Attacker Becomes the Target
Cloud attack framework skips cryptomining, harvests financial, messaging, and enterprise credentials for fraud, spam, and potential extortion.
CTT Report Hub
#ParsedReport #CompletenessHigh 07-05-2026 PCPJack \| Cloud Worm Evicts TeamPCP and Steals Credentials at Scale https://www.sentinelone.com/labs/cloud-worm-evicts-teampcp-and-steals-credentials-at-scale/ Report completeness: High Actors/Campaigns: Teampcp…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
PCPJack — это новая выявленная фреймворк для кражи учетных данных, нацеленный на открытые облачные инфраструктуры для сбора учетных записей из таких сервисов, как Docker и Kubernetes. Его заражение начинается с shell-скрипта, который настраивает среду на Linux и инициирует сбор учетных данных с помощью таких техник, как сканирование конфигурационных файлов и эксплуатация уязвимостей в сети жертвы. Связь с его инфраструктурой управления происходит через Телеграм, используя сложные методы шифрования для эксфильтрации данных, в то время как фреймворк также включает вторичный набор инструментов для дальнейшего сбора учетных данных и гибкости операций.
-----
Компания SentinelLABS выявила новую фреймворк для кражи учетных данных под названием PCPJack, специально разработанный для проникновения и распространения через открытые облачные инфраструктуры. PCPJack в первую очередь нацелен на сбор учетных данных из таких сервисов, как Docker, Kubernetes, Redis, MongoDB и других уязвимых веб-приложений, что позволяет осуществлять как внешнее распространение, так и перемещение внутри компании в целевых средах. Примечательно, что это ВПО воздерживается от развертывания криптомайнеров, сосредоточившись вместо этого на монетизации украденных учетных данных через различные незаконные действия, такие как мошенничество, спам и вымогательство.
Процесс заражения, инициируемый PCPJack, начинается со скрипта оболочки bootstrap.sh, который настраивает необходимую среду в системах Linux. Этот скрипт организует загрузку и выполнение дополнительных Python-загрузчиков в виртуальном окружении. Один из ключевых компонентов, monitor.py, контролирует операцию сбора учетных записей, одновременно удаляя любые процессы, связанные с хакерской группировкой TeamPCP. Точечная нацеленность на артефакты TeamPCP заставляет исследователей предполагать, что PCPJack может управляться кем-то, знакомым с методологиями TeamPCP.
Сбор учетных записей использует различные техники, включая сканирование файлов конфигурации и секретов, содержащихся в переменных окружения, учетных данных службы метаданных экземпляров AWS (IMDS) и закрытых ключей SSH. Модули перемещения внутри компании PCJack эксплуатируют конкретные уязвимости в программных компонентах для распространения внутри сети жертвы, используя такие методы, как запросы к службам Kubernetes и взаимодействие с API Docker. Например, взаимодействие с Kubernetes часто приводит к эксфильтрации конфиденциальной информации, несмотря на современные конфигурации безопасности.
Более того, PCPJack взаимодействует со своей инфраструктурой управления (C2) через Телеграм, отправляя собранные данные в выделенный канал и получая операционные команды. Важно отметить, что фреймворк использует сложные методы шифрования для эксфильтруемых данных, реализуя протоколы обмена ключами ECDH и шифрования ChaCha20-Poly1305, которые предназначены для сокрытия данных от обнаружения во время передачи.
В дополнение к основному набору инструментов анализ выявил вторичный набор инструментов, используемый злоумышленниками, включая shell-скрипт с именем check.sh, который собирает учетные данные из различных сервисов и определяет архитектуру системы для развертывания бинарного файла Sliver для беконинга. Это указывает на разнообразный и модульный дизайн, благоприятствующий гибкости в операциях, хотя также выявляет упущения в операционной безопасности из-за незашифрованных учетных данных.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
PCPJack — это новая выявленная фреймворк для кражи учетных данных, нацеленный на открытые облачные инфраструктуры для сбора учетных записей из таких сервисов, как Docker и Kubernetes. Его заражение начинается с shell-скрипта, который настраивает среду на Linux и инициирует сбор учетных данных с помощью таких техник, как сканирование конфигурационных файлов и эксплуатация уязвимостей в сети жертвы. Связь с его инфраструктурой управления происходит через Телеграм, используя сложные методы шифрования для эксфильтрации данных, в то время как фреймворк также включает вторичный набор инструментов для дальнейшего сбора учетных данных и гибкости операций.
-----
Компания SentinelLABS выявила новую фреймворк для кражи учетных данных под названием PCPJack, специально разработанный для проникновения и распространения через открытые облачные инфраструктуры. PCPJack в первую очередь нацелен на сбор учетных данных из таких сервисов, как Docker, Kubernetes, Redis, MongoDB и других уязвимых веб-приложений, что позволяет осуществлять как внешнее распространение, так и перемещение внутри компании в целевых средах. Примечательно, что это ВПО воздерживается от развертывания криптомайнеров, сосредоточившись вместо этого на монетизации украденных учетных данных через различные незаконные действия, такие как мошенничество, спам и вымогательство.
Процесс заражения, инициируемый PCPJack, начинается со скрипта оболочки bootstrap.sh, который настраивает необходимую среду в системах Linux. Этот скрипт организует загрузку и выполнение дополнительных Python-загрузчиков в виртуальном окружении. Один из ключевых компонентов, monitor.py, контролирует операцию сбора учетных записей, одновременно удаляя любые процессы, связанные с хакерской группировкой TeamPCP. Точечная нацеленность на артефакты TeamPCP заставляет исследователей предполагать, что PCPJack может управляться кем-то, знакомым с методологиями TeamPCP.
Сбор учетных записей использует различные техники, включая сканирование файлов конфигурации и секретов, содержащихся в переменных окружения, учетных данных службы метаданных экземпляров AWS (IMDS) и закрытых ключей SSH. Модули перемещения внутри компании PCJack эксплуатируют конкретные уязвимости в программных компонентах для распространения внутри сети жертвы, используя такие методы, как запросы к службам Kubernetes и взаимодействие с API Docker. Например, взаимодействие с Kubernetes часто приводит к эксфильтрации конфиденциальной информации, несмотря на современные конфигурации безопасности.
Более того, PCPJack взаимодействует со своей инфраструктурой управления (C2) через Телеграм, отправляя собранные данные в выделенный канал и получая операционные команды. Важно отметить, что фреймворк использует сложные методы шифрования для эксфильтруемых данных, реализуя протоколы обмена ключами ECDH и шифрования ChaCha20-Poly1305, которые предназначены для сокрытия данных от обнаружения во время передачи.
В дополнение к основному набору инструментов анализ выявил вторичный набор инструментов, используемый злоумышленниками, включая shell-скрипт с именем check.sh, который собирает учетные данные из различных сервисов и определяет архитектуру системы для развертывания бинарного файла Sliver для беконинга. Это указывает на разнообразный и модульный дизайн, благоприятствующий гибкости в операциях, хотя также выявляет упущения в операционной безопасности из-за незашифрованных учетных данных.
#ParsedReport #CompletenessHigh
07-05-2026
Operation GriefLure: Dissecting an APT Campaign Targeting Vietnam’s Military Telecom & Philippine Healthcare
https://www.seqrite.com/blog/operation-grieflure-dissecting-an-apt-campaign-targeting-vietnams-military-telecom-philippine-healthcare/
Report completeness: High
Actors/Campaigns:
Grieflure (motivation: information_theft)
Threats:
Spear-phishing_technique
Lolbin_technique
Polymorphism_technique
Dll_sideloading_technique
Process_injection_technique
Apc_injection_technique
Credential_harvesting_technique
Todesk_tool
Xshell_tool
Grief
Victims:
Telecommunications, Healthcare, Law enforcement
Industry:
Healthcare, Telco, Military
Geo:
Burma, Asia-pacific, Vietnamese, Vietnam, Philippines, Asian, Philippine, China, Hong kong
TTPs:
Tactics: 10
Technics: 24
IOCs:
File: 19
Command: 1
Domain: 2
IP: 1
Hash: 10
Soft:
Windows service, Windows shell, WinHTTP, chrome, Chrome chrome, TightVNC, Windows Defender, Sunlogin, NetSarang, WeChat, have more...
Algorithms:
sha256, xor, zip
Win API:
DllRegisterServer, OpenProcess, TerminateProcess, ShellExecuteW, CreateProcessAsUserW, LoadLibraryW, GetProcAddress, DllUnregisterServer, llRegisterServer, i, VirtualAlloc, have more...
Languages:
php
07-05-2026
Operation GriefLure: Dissecting an APT Campaign Targeting Vietnam’s Military Telecom & Philippine Healthcare
https://www.seqrite.com/blog/operation-grieflure-dissecting-an-apt-campaign-targeting-vietnams-military-telecom-philippine-healthcare/
Report completeness: High
Actors/Campaigns:
Grieflure (motivation: information_theft)
Threats:
Spear-phishing_technique
Lolbin_technique
Polymorphism_technique
Dll_sideloading_technique
Process_injection_technique
Apc_injection_technique
Credential_harvesting_technique
Todesk_tool
Xshell_tool
Grief
Victims:
Telecommunications, Healthcare, Law enforcement
Industry:
Healthcare, Telco, Military
Geo:
Burma, Asia-pacific, Vietnamese, Vietnam, Philippines, Asian, Philippine, China, Hong kong
TTPs:
Tactics: 10
Technics: 24
IOCs:
File: 19
Command: 1
Domain: 2
IP: 1
Hash: 10
Soft:
Windows service, Windows shell, WinHTTP, chrome, Chrome chrome, TightVNC, Windows Defender, Sunlogin, NetSarang, WeChat, have more...
Algorithms:
sha256, xor, zip
Win API:
DllRegisterServer, OpenProcess, TerminateProcess, ShellExecuteW, CreateProcessAsUserW, LoadLibraryW, GetProcAddress, DllUnregisterServer, llRegisterServer, i, VirtualAlloc, have more...
Languages:
php
Blogs on Information Technology, Network & Cybersecurity | Seqrite
Operation GriefLure: Dissecting an APT Campaign Targeting Vietnam’s Military Telecom & Philippine Healthcare
<p>Table of Contents: Introduction: Key Targets: Infection Chain: Initial Findings about Campaign: Analysis of Decoys: Technical Analysis: Campaign-1: Stage-1: Ho so.rar Campaign: 2 Stage-1: download.zip Stage-2: The LNK & Batch file (Common in 1 & 2 both)…
CTT Report Hub
#ParsedReport #CompletenessHigh 07-05-2026 Operation GriefLure: Dissecting an APT Campaign Targeting Vietnam’s Military Telecom & Philippine Healthcare https://www.seqrite.com/blog/operation-grieflure-dissecting-an-apt-campaign-targeting-vietnams-military…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция GriefLure представляет собой целевой фишинг, использующий вредоносный файл LNK Windows в двойном архиве RAR для компрометации старших руководителей Viettel Group и St. Luke's Medical Center. Атака применяет полиморфную полезную нагрузку (sfsvc.exe), которая выполняется скрытно, демонстрируя при этом легитимный файл PDF-декой, что обеспечивает выполнение без файлов, внедрение кода в процессы и сбор учетных записей. Сложные возможности вредоносного ПО, включая связь с центром управления через HTTPS и XOR-обфускацию, указывают на его связь со сложной целенаправленной угрозой, связанной с Китаем.
-----
Операция GriefLure нацелена на старших руководителей Viettel Group и St. Luke's Medical Center с использованием целевого фишинга.
В рамках кампании используется вредоносный файл LNK Windows, находящийся внутри двойного архива RAR.
Он использует ftp.exe в качестве дропера Living-off-the-Land для обхода обнаружения.
Злоумышленники используют подлинные юридические документы и сфабрикованную жалобу информатора для социальной инженерии.
Первоначальный доступ обеспечивается архивом RAR, который беззвучно устанавливает вредоносный модуль (sfsvc.exe).
Процесс заражения завершается в течение десяти секунд без предупреждений для пользователя.
Используется пакетный фреймворк для объединения и сборки бинарных фрагментов, замаскированных под документы.
ВПО использует методы управления процессами для стирания или манипуляции пользовательскими интерфейсами в целях скрытности.
Оно обладает расширенными возможностями, такими как выполнение без файлов и внедрение кода в процессы через фреймворк sfsvc.exe.
Рутинные процедуры ВПО включают сбор учетных записей, разведку системы и захват скриншотов.
Он использует HTTPS для связи управления и для обфускации XOR полезной нагрузки.
Учетные данные извлекаются из жестко закодированных путей часто используемых приложений.
ВПО обладает высокой модульностью, адаптируя действия в зависимости от командных вводов от атакующего.
Операция связана с кластером угроз, связанным с Китаем, использующим провайдера пуленепробиваемого хостинга в Юго-Восточной Азии.
Кампания демонстрирует стратегии сложной целенаправленной угрозы (APT) и техники психологического манипулирования.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция GriefLure представляет собой целевой фишинг, использующий вредоносный файл LNK Windows в двойном архиве RAR для компрометации старших руководителей Viettel Group и St. Luke's Medical Center. Атака применяет полиморфную полезную нагрузку (sfsvc.exe), которая выполняется скрытно, демонстрируя при этом легитимный файл PDF-декой, что обеспечивает выполнение без файлов, внедрение кода в процессы и сбор учетных записей. Сложные возможности вредоносного ПО, включая связь с центром управления через HTTPS и XOR-обфускацию, указывают на его связь со сложной целенаправленной угрозой, связанной с Китаем.
-----
Операция GriefLure нацелена на старших руководителей Viettel Group и St. Luke's Medical Center с использованием целевого фишинга.
В рамках кампании используется вредоносный файл LNK Windows, находящийся внутри двойного архива RAR.
Он использует ftp.exe в качестве дропера Living-off-the-Land для обхода обнаружения.
Злоумышленники используют подлинные юридические документы и сфабрикованную жалобу информатора для социальной инженерии.
Первоначальный доступ обеспечивается архивом RAR, который беззвучно устанавливает вредоносный модуль (sfsvc.exe).
Процесс заражения завершается в течение десяти секунд без предупреждений для пользователя.
Используется пакетный фреймворк для объединения и сборки бинарных фрагментов, замаскированных под документы.
ВПО использует методы управления процессами для стирания или манипуляции пользовательскими интерфейсами в целях скрытности.
Оно обладает расширенными возможностями, такими как выполнение без файлов и внедрение кода в процессы через фреймворк sfsvc.exe.
Рутинные процедуры ВПО включают сбор учетных записей, разведку системы и захват скриншотов.
Он использует HTTPS для связи управления и для обфускации XOR полезной нагрузки.
Учетные данные извлекаются из жестко закодированных путей часто используемых приложений.
ВПО обладает высокой модульностью, адаптируя действия в зависимости от командных вводов от атакующего.
Операция связана с кластером угроз, связанным с Китаем, использующим провайдера пуленепробиваемого хостинга в Юго-Восточной Азии.
Кампания демонстрирует стратегии сложной целенаправленной угрозы (APT) и техники психологического манипулирования.
#ParsedReport #CompletenessHigh
07-05-2026
Operation HumanitarianBait: An Infostealer Campaign in Disguise
https://cyble.com/blog/operation-humanitarianbait-infostealer-campaign/
Report completeness: High
Actors/Campaigns:
Humanitarianbait (motivation: cyber_espionage)
Threats:
Credential_harvesting_technique
Pyarmor_tool
Rustdesk_tool
Anydesk_tool
Spear-phishing_technique
Victims:
Russian speaking individuals, Humanitarian aid organizations, Civil administration, Government
Industry:
Government
Geo:
Usa, Russian
TTPs:
Tactics: 9
Technics: 19
IOCs:
Hash: 3
Url: 4
File: 8
IP: 1
Soft:
Telegram, Windows Scheduled Task, Firefox, Chromium, Chrome, Opera, Yandex Browser, Ubuntu Linux, Flask
Algorithms:
zip, aes-gcm, sha256
Languages:
python, powershell
Platforms:
x64
07-05-2026
Operation HumanitarianBait: An Infostealer Campaign in Disguise
https://cyble.com/blog/operation-humanitarianbait-infostealer-campaign/
Report completeness: High
Actors/Campaigns:
Humanitarianbait (motivation: cyber_espionage)
Threats:
Credential_harvesting_technique
Pyarmor_tool
Rustdesk_tool
Anydesk_tool
Spear-phishing_technique
Victims:
Russian speaking individuals, Humanitarian aid organizations, Civil administration, Government
Industry:
Government
Geo:
Usa, Russian
TTPs:
Tactics: 9
Technics: 19
IOCs:
Hash: 3
Url: 4
File: 8
IP: 1
Soft:
Telegram, Windows Scheduled Task, Firefox, Chromium, Chrome, Opera, Yandex Browser, Ubuntu Linux, Flask
Algorithms:
zip, aes-gcm, sha256
Languages:
python, powershell
Platforms:
x64
CTT Report Hub
#ParsedReport #CompletenessHigh 07-05-2026 Operation HumanitarianBait: An Infostealer Campaign in Disguise https://cyble.com/blog/operation-humanitarianbait-infostealer-campaign/ Report completeness: High Actors/Campaigns: Humanitarianbait (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция HumanitarianBait — это кампания кибершпионажа, направленная против русскоязычных лиц, использующая социальную инженерию через фишинговые электронные письма с вредоносными файлами LNK, замаскированными под запросы гуманитарной помощи. При взаимодействии активируется безфайловый вредоносный модуль на базе Python, обеспечивающий сбор учетных записей, регистрацию нажатий клавиш и эксфильтрацию данных на сервер C2. ВПО применяет передовые методы обфускации и обнаружения, включая использование GitHub для доставки полезной нагрузки, что обеспечивает скрытность работы и закрепление.
-----
Операция HumanitarianBait — это сложная кампания кибершпионажа, преимущественно направленная против русскоязычных лиц или организаций, использующая тактики социальной инженерии для получения доступа к системам жертв. Атака начинается с фишинговых писем, содержащих вредоносный LNK-файл, скрытый внутри архива RAR, под видом запроса гуманитарной помощи для эксплуатации контекстного доверия. Эта стратегия не только инициирует заражение, но и демонстрирует фокус злоумышленников на адаптации своих методов на основе наблюдаемых уязвимостей.
После того как жертва взаимодействует с файлом LNK, происходит многоэтапный процесс заражения, протекающий незаметно. Вначале отображается поддельный документ, якобы связанный с гуманитарной помощью, в то время как выполняется сильно зашифрованный безфайловый вредоносный модуль на базе Python. Этот модуль загружает дополнительные компоненты из GitHub Releases, что позволяет ему маскировать вредоносную активность под легитимный трафик и эффективно избегать систем обнаружения. Модуль обеспечивает закрепление через запланированные задачи, гарантируя его работу после перезагрузок системы.
ВПО функционирует как комплексный инструмент слежки, обеспечивая сбор учетных записей, регистрацию нажатий клавиш, мониторинг буфера обмена, эксфильтрацию конфиденциальных файлов и удаленный доступ через такие приложения, как RustDesk и AnyDesk. Оно собирает широкий спектр конфиденциальной информации, включая пароли и сеансовые куки из различных веб-браузеров, и загружает собранные данные на управляемый злоумышленниками сервер управления (C2), в настоящее время размещенный на коммерческом VPS. Использование самодостаточной среды Python, размещенной на GitHub, отражает высокий уровень технической квалификации среди злоумышленников.
Файл LNK, используемый в кампании, содержит самообфусцированное содержимое, которое выполняется через PowerShell, что демонстрирует намеренный дизайн для обхода систем автоматического обнаружения. Он также реализует техники противодействия песочнице, полагаясь на наличие определенных файлов на диске. Полезная нагрузка, защищенная с помощью PyArmor — коммерческого инструмента обфускации, значительно усложняет статический анализ и усилия по реверс-инжинирингу.
Закрепление обеспечивается путем регистрации запланированной задачи, которая выполняется каждые пять минут, в то время как техники маскировки заставляют вредоносное ПО имитировать легитимные системные компоненты. Внедренный модуль выполняет мониторинг данных из буфера обмена в реальном времени, захватывая потенциально конфиденциальную скопированную информацию. Кроме того, он активно сканирует пользовательские каталоги для эксфильтрации важных документов и конфигурационных файлов. Процессы эксфильтрации данных спроектированы таким образом, чтобы использовать протоколы HTTP, что затрудняет для инструментов сетевого мониторинга различие между легитимным и вредоносным трафиком.
Хотя точная личность злоумышленника остается неопределенной, сложные техники, примененные в операции HumanitarianBait, указывают на целенаправленный шпионаж, потенциально приоритизирующий сбор разведывательных данных о политически значимых лицах или организациях, участвующих в гуманитарных усилиях в русскоязычных регионах.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция HumanitarianBait — это кампания кибершпионажа, направленная против русскоязычных лиц, использующая социальную инженерию через фишинговые электронные письма с вредоносными файлами LNK, замаскированными под запросы гуманитарной помощи. При взаимодействии активируется безфайловый вредоносный модуль на базе Python, обеспечивающий сбор учетных записей, регистрацию нажатий клавиш и эксфильтрацию данных на сервер C2. ВПО применяет передовые методы обфускации и обнаружения, включая использование GitHub для доставки полезной нагрузки, что обеспечивает скрытность работы и закрепление.
-----
Операция HumanitarianBait — это сложная кампания кибершпионажа, преимущественно направленная против русскоязычных лиц или организаций, использующая тактики социальной инженерии для получения доступа к системам жертв. Атака начинается с фишинговых писем, содержащих вредоносный LNK-файл, скрытый внутри архива RAR, под видом запроса гуманитарной помощи для эксплуатации контекстного доверия. Эта стратегия не только инициирует заражение, но и демонстрирует фокус злоумышленников на адаптации своих методов на основе наблюдаемых уязвимостей.
После того как жертва взаимодействует с файлом LNK, происходит многоэтапный процесс заражения, протекающий незаметно. Вначале отображается поддельный документ, якобы связанный с гуманитарной помощью, в то время как выполняется сильно зашифрованный безфайловый вредоносный модуль на базе Python. Этот модуль загружает дополнительные компоненты из GitHub Releases, что позволяет ему маскировать вредоносную активность под легитимный трафик и эффективно избегать систем обнаружения. Модуль обеспечивает закрепление через запланированные задачи, гарантируя его работу после перезагрузок системы.
ВПО функционирует как комплексный инструмент слежки, обеспечивая сбор учетных записей, регистрацию нажатий клавиш, мониторинг буфера обмена, эксфильтрацию конфиденциальных файлов и удаленный доступ через такие приложения, как RustDesk и AnyDesk. Оно собирает широкий спектр конфиденциальной информации, включая пароли и сеансовые куки из различных веб-браузеров, и загружает собранные данные на управляемый злоумышленниками сервер управления (C2), в настоящее время размещенный на коммерческом VPS. Использование самодостаточной среды Python, размещенной на GitHub, отражает высокий уровень технической квалификации среди злоумышленников.
Файл LNK, используемый в кампании, содержит самообфусцированное содержимое, которое выполняется через PowerShell, что демонстрирует намеренный дизайн для обхода систем автоматического обнаружения. Он также реализует техники противодействия песочнице, полагаясь на наличие определенных файлов на диске. Полезная нагрузка, защищенная с помощью PyArmor — коммерческого инструмента обфускации, значительно усложняет статический анализ и усилия по реверс-инжинирингу.
Закрепление обеспечивается путем регистрации запланированной задачи, которая выполняется каждые пять минут, в то время как техники маскировки заставляют вредоносное ПО имитировать легитимные системные компоненты. Внедренный модуль выполняет мониторинг данных из буфера обмена в реальном времени, захватывая потенциально конфиденциальную скопированную информацию. Кроме того, он активно сканирует пользовательские каталоги для эксфильтрации важных документов и конфигурационных файлов. Процессы эксфильтрации данных спроектированы таким образом, чтобы использовать протоколы HTTP, что затрудняет для инструментов сетевого мониторинга различие между легитимным и вредоносным трафиком.
Хотя точная личность злоумышленника остается неопределенной, сложные техники, примененные в операции HumanitarianBait, указывают на целенаправленный шпионаж, потенциально приоритизирующий сбор разведывательных данных о политически значимых лицах или организациях, участвующих в гуманитарных усилиях в русскоязычных регионах.
#ParsedReport #CompletenessMedium
08-05-2026
MacSync Stealer: C2 Infrastructure Rotation
https://www.rstcloud.com/macsync-stealer-c2-infrastructure-rotation/
Report completeness: Medium
Actors/Campaigns:
Mentalpositive
Threats:
Macc_stealer
Clickfix_technique
Victims:
Technology, Cryptocurrency
TTPs:
Tactics: 2
Technics: 4
IOCs:
Domain: 15
Url: 4
Hash: 1
Soft:
macOS, Chrome, IndexedDB, ChatGPT, curl, credential dialog, Mac OS, openssl
Algorithms:
gzip, md5, sha1, zip, sha256, base64
Functions:
daemon_function
Languages:
swift, applescript
Platforms:
apple, intel
08-05-2026
MacSync Stealer: C2 Infrastructure Rotation
https://www.rstcloud.com/macsync-stealer-c2-infrastructure-rotation/
Report completeness: Medium
Actors/Campaigns:
Mentalpositive
Threats:
Macc_stealer
Clickfix_technique
Victims:
Technology, Cryptocurrency
TTPs:
Tactics: 2
Technics: 4
IOCs:
Domain: 15
Url: 4
Hash: 1
Soft:
macOS, Chrome, IndexedDB, ChatGPT, curl, credential dialog, Mac OS, openssl
Algorithms:
gzip, md5, sha1, zip, sha256, base64
Functions:
daemon_function
Languages:
swift, applescript
Platforms:
apple, intel
CTT Report Hub
#ParsedReport #CompletenessMedium 08-05-2026 MacSync Stealer: C2 Infrastructure Rotation https://www.rstcloud.com/macsync-stealer-c2-infrastructure-rotation/ Report completeness: Medium Actors/Campaigns: Mentalpositive Threats: Macc_stealer Clickfix_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
5 мая 2026 года система Jamf Protect перехватила попытку загрузки MacSync Stealer, который использует быструю ротацию инфраструктуры для своих доменов управления (C2). ВПО использует обертку zsh для эксфильтрации конфиденциальных данных с систем macOS, применяя диалоги AppleScript для манипуляции пользователями с целью получения паролей системы. Примечательно, что статические API-ключи и уникальный токен сборки были связаны с несколькими доменами C2, что указывает на взаимосвязанные преступные операции и нацеленность ВПО на учетные данные Связки ключей и криптовалютные кошельки.
-----
5 мая 2026 года был выявлен инцидент с MacSync Stealer, когда Jamf Protect заблокировал попытку загрузки вредоносного полезного груза с домена jacksonvillemma.com. Это произошло всего через несколько дней после того, как предыдущий домен управления (C2) был публично раскрыт, что подчеркивает быструю ротацию инфраструктуры, типичную для злоумышленника. Последующие действия RST Cloud, включая анализ обнаруженного образца ВПО, выявили системный подход к поддержанию оперативной непрерывности несмотря на растущее внимание.
Загрузчик, связанный с этой атакой, работает на основе архитектуры обертки zsh, предназначенной для эксфильтрации конфиденциальной информации из сред macOS. Значимые выводы расследования включали выявление статических API-ключей, общих для нескольких доменов C2, в частности ключа "5190ef1733183a0dc63fb623357f56d6", и уникального токена сборки "7980485fb1e0b1b1d6307a92b5750c7055bc53b662005cbaa662ac634984363d". Эти идентификаторы были прослежены через четыре различных домена C2, что указывает на одни и те же или взаимосвязанные преступные предприятия, использующие это ВПО как услуга.
Вредоносная полезная нагрузка доставляется с помощью механизмов, эксплуатирующих взаимодействие с пользователем, например, путем запроса паролей системы macOS через манипулятивные диалоговые окна AppleScript. Первый этап включает HTTP-запрос для получения обертки zsh, которая впоследствии декодирует и выполняет встраиваемую полезную нагрузку. Этот код обрабатывает как сбор, так и эксфильтрацию конфиденциальной информации, такой как пароли и данные, хранящиеся в браузере, через зашифрованный скрипт, который упаковывает украденные данные в ZIP-файл перед выполнением фрагментированных загрузок на инфраструктуру C2 оператора.
Исследование также показало, что C2-URL-адреса следуют определённому шаблону, что отражает параллельную C2-операцию. В ходе расследования было выявлено ещё одиннадцать кандидатов, связанных с этой инфраструктурой. Эти кандидаты были определены на основе обнаружения URI-шаблонов, что подтверждает вывод о том, что операторы поддерживают несколько активных доменов, тем самым усложняя усилия по отслеживанию и смягчению последствий.
Этот конкретный штамм вредоносного ПО, идентифицированный как MacSync Stealer, известен своим широким охватом пользователей macOS, включая кражу учетных данных из Связки ключей и данных из различных криптовалютных кошельков. Адаптивный характер его методов распространения включал несколько кампаний, с эволюционирующими техниками, которые демонстрируют способность актора перестраиваться в соответствии с операционными неудачами и выводами из предыдущих инцидентов.
С точки зрения обнаружения существуют устоявшиеся правила YARA, которые могут выявлять поведение этого ВПО, но могут потребовать обновления для учета новых тактик уклонения. В отчете подчеркивается необходимость усиления бдительности против этого семейства ВПО, поскольку его закрепление и эволюционирующие стратегии создают постоянные риски для сред macOS. Тщательное описание этих механизмов служит важным источником информации для защитников, стремящихся укрепить свои стратегии кибербезопасности против эволюционирующих угроз ВПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
5 мая 2026 года система Jamf Protect перехватила попытку загрузки MacSync Stealer, который использует быструю ротацию инфраструктуры для своих доменов управления (C2). ВПО использует обертку zsh для эксфильтрации конфиденциальных данных с систем macOS, применяя диалоги AppleScript для манипуляции пользователями с целью получения паролей системы. Примечательно, что статические API-ключи и уникальный токен сборки были связаны с несколькими доменами C2, что указывает на взаимосвязанные преступные операции и нацеленность ВПО на учетные данные Связки ключей и криптовалютные кошельки.
-----
5 мая 2026 года был выявлен инцидент с MacSync Stealer, когда Jamf Protect заблокировал попытку загрузки вредоносного полезного груза с домена jacksonvillemma.com. Это произошло всего через несколько дней после того, как предыдущий домен управления (C2) был публично раскрыт, что подчеркивает быструю ротацию инфраструктуры, типичную для злоумышленника. Последующие действия RST Cloud, включая анализ обнаруженного образца ВПО, выявили системный подход к поддержанию оперативной непрерывности несмотря на растущее внимание.
Загрузчик, связанный с этой атакой, работает на основе архитектуры обертки zsh, предназначенной для эксфильтрации конфиденциальной информации из сред macOS. Значимые выводы расследования включали выявление статических API-ключей, общих для нескольких доменов C2, в частности ключа "5190ef1733183a0dc63fb623357f56d6", и уникального токена сборки "7980485fb1e0b1b1d6307a92b5750c7055bc53b662005cbaa662ac634984363d". Эти идентификаторы были прослежены через четыре различных домена C2, что указывает на одни и те же или взаимосвязанные преступные предприятия, использующие это ВПО как услуга.
Вредоносная полезная нагрузка доставляется с помощью механизмов, эксплуатирующих взаимодействие с пользователем, например, путем запроса паролей системы macOS через манипулятивные диалоговые окна AppleScript. Первый этап включает HTTP-запрос для получения обертки zsh, которая впоследствии декодирует и выполняет встраиваемую полезную нагрузку. Этот код обрабатывает как сбор, так и эксфильтрацию конфиденциальной информации, такой как пароли и данные, хранящиеся в браузере, через зашифрованный скрипт, который упаковывает украденные данные в ZIP-файл перед выполнением фрагментированных загрузок на инфраструктуру C2 оператора.
Исследование также показало, что C2-URL-адреса следуют определённому шаблону, что отражает параллельную C2-операцию. В ходе расследования было выявлено ещё одиннадцать кандидатов, связанных с этой инфраструктурой. Эти кандидаты были определены на основе обнаружения URI-шаблонов, что подтверждает вывод о том, что операторы поддерживают несколько активных доменов, тем самым усложняя усилия по отслеживанию и смягчению последствий.
Этот конкретный штамм вредоносного ПО, идентифицированный как MacSync Stealer, известен своим широким охватом пользователей macOS, включая кражу учетных данных из Связки ключей и данных из различных криптовалютных кошельков. Адаптивный характер его методов распространения включал несколько кампаний, с эволюционирующими техниками, которые демонстрируют способность актора перестраиваться в соответствии с операционными неудачами и выводами из предыдущих инцидентов.
С точки зрения обнаружения существуют устоявшиеся правила YARA, которые могут выявлять поведение этого ВПО, но могут потребовать обновления для учета новых тактик уклонения. В отчете подчеркивается необходимость усиления бдительности против этого семейства ВПО, поскольку его закрепление и эволюционирующие стратегии создают постоянные риски для сред macOS. Тщательное описание этих механизмов служит важным источником информации для защитников, стремящихся укрепить свои стратегии кибербезопасности против эволюционирующих угроз ВПО.