#ParsedReport #CompletenessMedium
05-05-2026

UAT-8302 and its box full of malware

https://blog.talosintelligence.com/uat-8302/

Report completeness: Medium

Actors/Campaigns:
Uat-8302
Earth_alux
Cl-sta-0049
Longnosedgoblin
Webworm
Unc5174
Unc6586
Ghostemperor
Earth_naga

Threats:
Netdraft
Finaldraft
Squiddoor
Cloudsorcerer
Vshell
Snowlight
Snowrust
Impacket_tool
Nosydoor
Luckystrike
Poisonplug
Zingdoor
Draculoader
Qscan_tool
Naabu_tool
Portqry_tool
Ad_explorer_tool
Squidoor
Costura_tool
Fringeporch_tool
Dll_sideloading_technique
Sliver_c2_tool
Hades
Stowaway_tool

Victims:
Government, It organizations, South america, Southeastern europe, Southeast asia, Japan, Russian government entities, Americas

Industry:
Government, Critical_infrastructure

Geo:
Japan, America, Russian, China, Asia, Americas, Chinese

CVEs:
CVE-2025-0994 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- trimble cityworks (<15.8.9, <23.10)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1005, T1014, T1018, T1027, T1033, T1041, T1046, T1047, T1053.005, have more...

IOCs:
File: 9

Soft:
Active Directory, Azure AD, Graph API, Dropbox, SoftEther

Algorithms:
xor

Languages:
golang, rust, powershell, python

Links:
https://github.com/qi4L/qscan
https://github.com/chainreactors/gogo
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UAT-8302 — это китайская хакерская группировка, нацеленная на правительственные организации в Южной Америке и юго-восточной Европе, развертывающая широкий спектр пользовательского ВПО, включая бэкдор NetDraft на базе .NET и CloudSorcerer v3. Их оперативные методы включают разведку с использованием пользовательских скриптов, сбор учетных данных и использование легитимных исполняемых файлов для подгрузки вредоносных DLL. Группировка применяет такие инструменты, как Draculoader, для распространения и демонстрирует значительное пересечение с другими китайскими злоумышленниками, что указывает на совместную среду в киберкриминале.
-----

UAT-8302 — это хакерская группировка, связанная с Китаем, которая с конца 2024 года атакует государственные организации в Южной Америке, а в 2025 году — в юго-восточной Европе. После успешных компрометаций группировка развертывает различные виды пользовательского ВПО, используя инструменты, ранее связанные с другими известными китайскими APT-группировками. Cisco Talos выявил несколько семейств ВПО, используемых UAT-8302, включая бэкдор на базе .NET под названием NetDraft, который является вариантом семейства FinalDraft/SquidDoor, связанного с другими китайскими хакерскими группировками. Еще одним значимым инструментом в их арсенале является CloudSorcerer, в частности его версия 3, также используемая в атаках на российские государственные цели.

Среди прочего внедренного ВПО UAT-8302 использует VSHELL вместе с новым стейджером на базе Rust под названием SNOWRUST и более ранней версией SNOWLIGHT, оба из которых применяются для выполнения последующих этапов загрузки полезной нагрузки. Их методология включает обширную начальную разведку с использованием пользовательских скриптов и инструментов с открытым исходным кодом, таких как Impacket, для исследования и эксплуатации сетей. UAT-8302 стремится собирать учетные данные и другую критически важную информацию, применяя скрипты для сканирования данных активного каталога, журналов событий, общих ресурсов SMB и информации для входа в систему.

Стратегия развертывания UAT-8302 является сложной, она использует легитимные исполняемые файлы для подгрузки вредоносных динамических библиотек (DLL), которые несут полезную нагрузку. Например, NetDraft работает в связке с вспомогательной библиотекой FringePorch для выполнения команд, управления файлами и запуска плагинов, предоставленных сервером управления (управление). CloudSorcerer v3 использует легитимные файлы для загрузки своей DLL для вредоносных операций, в зависимости от контекста процесса, с которым она взаимодействует, для сбора системной информации или выполнения команд.

Кроме того, APT использует Draculoader, универсальный загрузчик shellcode, в своих усилиях по распространению, часто применяя инструменты для создания прокси-серверов или настройки VPN-клиентов на скомпрометированных системах для дальнейшего доступа. UAT-8302 демонстрирует заметную степень операционного пересечения с другими злоумышленниками, связанными с Китаем, что указывает на совместную среду в деятельности киберкриминала.

Разнообразие ВПО, используемых UAT-8302, указывает на продвинутые оперативные возможности, включая механизмы управления через легитимные сервисы и масштабную эксфильтрацию данных. Это подтверждает цель группы по установлению долгосрочного доступа к своим целям и подчеркивает значительные риски, создаваемые такими скоординированными киберактивностями в глобальном масштабе.

#ParsedReport #CompletenessHigh
07-05-2026

OpenClaw’s Hologram: Fake Installer Ships Rust Infostealer

https://www.netskope.com/blog/openclaw-hologram-fake-installer-ships-rust-infostealer

Report completeness: High

Threats:
Hologram
Typosquatting_technique
Stealth_packer_tool
Supply_chain_technique
Hookdeck_tool
Clroxide_tool
Vidar_stealer
Purelogs
Dead_drop_technique
Pathfinder
Com_hijacking_technique

Victims:
Cryptocurrency wallet users, Password manager users, Two factor authenticator users, Legal services

Geo:
Chinese, German, Brazilian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.001, T1033, T1036, T1036.008, T1041, T1053.005, T1055, T1059.001, T1071.001, have more...

IOCs:
Domain: 15
Path: 5
File: 6
IP: 9
Command: 1
Url: 12
Hash: 12
Registry: 3

Soft:
OpenClaw, Telegram, WinLogon, VirtualBox, Ledger Live, Bitwarden, LastPass, 1Password, NordPass, Dashlane, have more...

Wallets:
metamask, coinbase, rabby

Algorithms:
xor, sha256, base64

Functions:
CreateInterface

Win API:
NtAllocateVirtualMemory, NtProtectVirtualMemory, NtGetContextThread, NtSetContextThread, NtSuspendThread, NtResumeThread

Languages:
rust, powershell

Platforms:
x86

Links:
https://github.com/yamakadi/clroxide
have more...
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/Hologram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Hologram использует стиллер на базе Rust, распространяемый через поддельный установщик под именем OpenClaw_x64.exe, нацеленный на более чем 250 расширений браузера, включая криптокошельки. ВПО применяет передовые техники уклонения от мер безопасности, такие как требование движений мыши и проверка сигнатур виртуальной машины, а также использует двухканальную архитектуру C2 с динамическими обновлениями для скрытности. Его модульная структура включает возможности кражи учетных данных и сложные механизмы закрепления, что демонстрирует эволюцию тактик криминального ПО.
-----

Кампания Hologram, связанная с установщиком OpenClaw, представляет собой сложную вредоносную атаку, при которой поддельный установщик доставляет стиллер на базе Rust, способный атаковать более 250 расширений браузера, включая криптокошельки и Менеджеры паролей. ВПО, представляющее собой 130-мегабайтный исполняемый файл с именем OpenClaw_x64.exe, надежно спроектировано для обхода автоматических средств защиты. Этот дроппер управляется с использованием нескольких легитимных сервисов, таких как Azure DevOps и Телеграм, что позволяет ему скрытно функционировать в обход систем обнаружения в корпоративной среде.

Hologram использует различные техники уклонения для обхода песочницы, включая необходимость реальных движений мыши и проведение комплексных проверок на наличие сигнатур виртуальной машины перед выполнением вредоносных процедур. После успешного выполнения он развертывает встроенный PowerShell-пэйлоад, который отключает меры безопасности, такие как Windows Defender. Затем вредоносное ПО загружает дополнительные пэйлоады второго этапа, размещаясь в таких местах, как C:\Users\Public, и применяет несколько стратегий резервирования для поддержания закрепления даже в случае удаления его частей.

Фреймворк ВПО состоит как минимум из шести модульных бинарных файлов, каждый из которых выполняет отдельные функции. В его состав входят возможности для отражённой загрузки PE-файлов, кражи учётных данных различными способами и сложные механизмы закрепления, такие как перехват WinLogon Userinit. Одной из примечательных особенностей этого фреймворка является использование Rust-кредита clroxide для загрузки .NET-сборок в памяти, что обычно встречается в продвинутых постоянных угрозах. Кампания Hologram активно несколько раз меняла свою инфраструктуру во время анализа безопасности, что указывает на намерение оператора поддерживать операционную устойчивость и скрытность.

Hologram использует двухканальную архитектуру управления (C2). Изначально он получает адреса C2 из канала в Телеграм, один из которых принадлежит скомпрометированной бразильской юридической фирме. ВПО может легко переключать свою связь C2 через динамические обновления, что помогает избегать обнаружения. Связь маршрутизируется через Hookdeck, ретранслятор, который скрывает его истинный бэкенд, повышая анонимность оператора.

Манифест целевой ориентации вредоносного ПО динамически перечисляет расширения браузеров для кражи, позволяя оператору мгновенно обновлять возможности кражи учетных данных без перекомпиляции. Тщательно сконструированный механизм доставки и многоуровневые оперативные техники способствуют его скрытности и потенциалу для значительной кражи информации, отмечая заметную эволюцию в криминальном ПО, использующем Rust. Усилия по обнаружению поддерживаются мерами передовой защиты от угроз, однако передовое закрепление и полиморфные качества Hologram создают постоянные вызовы для усилий в области кибербезопасности.

#friday

Если не Битрикс, то кто же тебя еще порадует :)
Если у тебя нет задач, то ты эффективен на 100% - полностью поддерживаю такой подход.
Скорее всего это бородатый прикол, но все же.

#ParsedReport #CompletenessMedium
08-05-2026

PamDOORa: Analyzing a New Linux PAM-Based Backdoor for Sale on the Dark Web

https://flare.io/learn/resources/blog/pamdoora-new-linux-pam-based-backdoor-sale-dark-web

Report completeness: Medium

Actors/Campaigns:
Darkworm

Threats:
Pamdoora
Credential_harvesting_technique
Linux-pam-backdoor
Pam_auth_backdoor
Pamdoor
Dayofd00m
Madlib_tool
Ssh-door
Duar-pamspy
Paminant
Libpam_spooky_tool

Victims:
Linux servers, Enterprise infrastructure, Cloud environments, Authentication systems

Industry:
Government, E-commerce, Financial

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1049, T1070.002, T1070.006, T1074.001, T1556.003, T1622

Soft:
Linux, OpenSSH, sudo, systemd, SELinux

Algorithms:
xor

Languages:
python

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PamDOORa — это сложный Linux-бэкдор, который интегрируется в стек Pluggable Authentication Module (PAM), предоставляя злоумышленникам скрытый постоянный доступ к серверам и позволяя им собирать учетные данные пользователей во время аутентификации. Он использует «магический пароль» для доступа по SSH, применяет XOR-шифрование для хранения учетных данных и включает меры криминалистического анализа для манипуляции системными журналами. Злоумышленник «darkworm» демонстрирует передовые технические возможности, что может указывать на сотрудничество между несколькими операторами, подчеркивая эволюцию ландшафта киберугроз, нацеленных на среды Linux.
-----

PamDOORa — это новый обнаруженный Linux бэкдор, который внедряется в стек модулей плагируемой аутентификации (PAM).

Оно обеспечивает постоянный доступ к скомпрометированным серверам, одновременно собирая учетные данные у легитимных пользователей.

PamDOORa нацелена на x86_64 Linux-окружения и доступна для покупки на российском форуме киберкриминала за 900 долларов.

Бэкдор обеспечивает удалённый доступ через SSH с использованием «магического пароля» и определённых комбинаций TCP-портов.

PamDOORa работает скрытно в рамках фреймворк PAM, извлекая учетные данные пользователей во время процессов аутентификации.

Захваченные учетные данные шифруются с помощью XOR-шифрования и сохраняются во временных файлах для обхода традиционных механизмов логирования.

Вредоносное ПО включает в себя меры противодействия криминалистический анализ, которые манипулируют системными журналами, усложняя усилия по реагированию на инциденты.

Как правило, злоумышленники получают root-доступ к серверу Linux с помощью ранее использованных уязвимостей перед развертыванием PamDOORa.

Бэкдор внедряет вредоносные модули PAM в стек аутентификации, что позволяет активировать его на основе сетевых характеристик.

Сложность и модульная архитектура PamDOORa отмечают значительный шаг вперёд по сравнению с предыдущими открытыми PAM-бэкдорами.

Используемые PamDOORa техники включают PAM-хукинг, захват учётных данных и подделку журналов.

Злоумышленник, стоящий за PamDOORa, действует под псевдонимом "darkworm" и демонстрирует высокий уровень технической квалификации.

За псевдонимом "darkworm" закреплено пять персон, что указывает на возможную координацию между различными злоумышленниками.

Работа PamDOORa в доверенных областях операционной системы может позволить избежать обнаружения традиционными средствами защиты.

Развертывание таких продвинутых инструментов пост-эксплуатации требует переоценки стратегий защиты и мониторинга для критических систем аутентификации.

#ParsedReport #CompletenessLow
08-05-2026

DirtyFrag: Two Kernel Bugs Give Root on All Major Linux Distros

https://www.netskope.com/blog/dirtyfrag-two-kernel-bugs-give-root-on-all-major-linux-distros

Report completeness: Low

Threats:
Dirtyfrag_vuln
Supply_chain_technique
Dirty_pipe_vuln
Copyfail_vuln

Victims:
Linux distributions

CVEs:
CVE-2026-43284 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-43500 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1068, T1098, T1548.001

Soft:
Linux, Ubuntu, Fedora

YARA: Found

Links:
have more...
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/Dirtyfrag
https://github.com/V4bel/dirtyfrag#mitigation

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DirtyFrag — это уязвимость повышения привилегий в локальном окружении в ядре Linux, раскрытая 7 мая 2026 года, затрагивающая основные дистрибутивы. Она эксплуатирует две уязвимости: CVE-2026-43284 позволяет перезаписывать бинарный файл setuid в памяти для получения доступа root, тогда как CVE-2026-43500 позволяет злоумышленникам получить доступ к оболочке root без специальных привилегий на системах с модулем RxRPC. Эксплойт использует детерминированные ошибки логики, что делает его надежным без зависания ядра, ожидаются вооруженные варианты.
-----

DirtyFrag — это уязвимость повышения привилегий в локальной среде ядра Linux, раскрытая 7 мая 2026 года, которая затрагивает все основные дистрибутивы, включая Ubuntu, RHEL, Fedora, CentOS Stream, AlmaLinux и openSUSE. Эта критическая уязвимость эксплуатирует две конкретные уязвимости записи в кэш-памяти ядра: CVE-2026-43284, связанную с функциональностью xfrm-ESP, которая была исправлена в основном ядре, и CVE-2026-43500, касающуюся протокола RxRPC, которая не была исправлена ни в одном дереве ядра на момент раскрытия. Обе уязвимости классифицируются в семействе Dirty Pipe / Copy Fail, характеризующемся детерминированными логическими ошибками без условий гонки, что обеспечивает надежность и работоспособность эксплойтов без вызова сбоев ядра при неудаче.

Эксплойт использует ошибку в логике ядра, которая позволяет непривилегированному процессу записывать данные в память, связанную с файлами и имеющую атрибуты только для чтения. Первый путь, связанный с CVE-2026-43284, требует наличия привилегий на создание пространств имен и позволяет перезаписать находящийся в памяти бинарный файл с установленным битом setuid, чтобы получить оболочку root. Второй путь, основанный на CVE-2026-43500, не требует специальных привилегий на системах, где модуль RxRPC загружается по умолчанию. Этот метод эксплуатации позволяет атакующему сделать пароль учетной записи root пустым, давая ему возможность получить доступ к оболочке root путем вызова команды 'su'.

В настоящее время Netskope Threat Labs отслеживает ход разработки эксплойта DirtyFrag, поскольку ожидается появление его вооруженных вариантов. В ответ на эту вновь выявленную угрозу Netskope Threat Labs опубликовала два правила YARA, доступные в их репозитории индикаторов компрометации (IoC), для содействия усилиям по обнаружению и смягчению последствий. Это подчеркивает насущную необходимость для администраторов затронутых дистрибутивов Linux применить доступные исправления и использовать проактивные стратегии обнаружения для защиты от потенциальной эксплуатации этих уязвимостей.

#ParsedReport #CompletenessMedium
09-05-2026

Mini Shai-Hulud: A Cross-Ecosystem Supply Chain Attack on PyTorch Lightning & Intercom Client

https://www.resecurity.com/blog/article/mini-shai-hulud-a-cross-ecosystem-supply-chain-attack-on-pytorch-lightning-intercom-client

Report completeness: Medium

Actors/Campaigns:
Mini_shai-hulud

Threats:
Supply_chain_technique
Typosquatting_technique
Credential_harvesting_technique

Victims:
Software development, Cloud native infrastructure, Continuous integration and continuous delivery environments, Developer environments

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 16
Url: 1
Hash: 3
Domain: 1
IP: 1

Soft:
Node.js, Kubernetes, HashiCorp Vault, CircleCI, Docker, Helm, claude, vscode

Algorithms:
sha256, gzip, aes, md5, aes-256

Functions:
download_bun, collectFilesystemSecrets, collectShellAndEnv, collectGitHubRunnerSecrets, createRepo

Languages:
python, javascript, php

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Mini Shai-Hulud инициировала атаку на Цепочку поставок в рамках кросс-экосистемного подхода, нацеленную на пакеты Python, Node.js и PHP путем компрометации учетных данных сопровождающих и токенов CI/CD, что позволило злоумышленникам выпускать вредоносные обновления популярных пакетов, включая PyTorch Lightning и intercom-client. ВПО выполнялось автоматически во время установки, нацеливаясь на конфигурации, связанные с Kubernetes и HashiCorp Vault, и использовало GitHub в качестве скрытого канала для эксфильтрации данных. Масштабная кража учетных данных была облегчена за счет модифицированных версий программного обеспечения, что создало значительные риски для различных сред.
-----

Кампания Mini Shai-Hulud, запущенная в апреле 2026 года, нацелилась на пакеты в экосистемах Python, Node.js и PHP.

Злоумышленники использовали учетные данные и токены CI/CD администраторов для компрометации доверенных пакетов.

Вредоносные версии пакетов, таких как PyTorch Lightning и intercom-client, были выпущены без вызова подозрений.

Украденные или неправильно настроенные токены CI/CD, связанные с GitHub Actions, сыграли ключевую роль в публикации и модификации пакетов.

Отсутствие строгих контроля за публикацией пакетов позволило неконтролируемое распространение вредоносных обновлений.

Вредоносные загрузки, выполняемые автоматически при установке или импорте, преимущественно с использованием среды выполнения JavaScript Bun.

В пакетах Lightning версий 2.6.2 и 2.6.3 содержался встроенный вредоносный код.

В версии 7.0.4 межкомнатного телефона был включён вредоносный пред-установочный хук, выполняющий код, контролируемый злоумышленником.

Экосистема PHP также стала целью, в частности, пакет intercom-php был скомпрометирован посредством несанкционированного Git-тега.

Вредоносное ПО было специально нацелено на конфигурации и токены для Kubernetes и HashiCorp Vault.

Атака использовала многоуровневую стратегию для эксфильтрации данных через GitHub, смешивая вредоносную активность с обычными рабочими процессами разработчиков.

После запуска вредоносное ПО сканировало учетные данные, такие как SSH-ключи и токены облачных сервисов.

Атака была разработана для самораспространения, что облегчало компрометацию в последующих средах.

Индикаторы компрометации включали наличие файлов, таких как router_runtime.js и start.py, в каталогах пакетов.

Также были отмечены несанкционированная активность в репозиториях и отсутствие аттестатов SLSA в скомпрометированных релизах.

Миллионы сред были подвержены риску, что подчеркивает опасность автоматизированной эксфильтрации в программных экосистемах.

#ParsedReport #CompletenessMedium
07-05-2026

Fake call logs, real payments: How CallPhantom tricks Android users

https://www.welivesecurity.com/en/eset-research/fake-call-logs-real-payments-how-callphantom-tricks-android-users/

Report completeness: Medium

Threats:
Callphantom

Victims:
Android users, Google play users

Industry:
Government, Financial

Geo:
Asia pacific, Ukraine, Indian, India

TTPs:
Tactics: 2
Technics: 2

IOCs:
File: 4
Hash: 28
Domain: 4
IP: 2

Soft:
Android, Google Play, WhatsApp

Algorithms:
sha1

Functions:
WhatsApp

Links:
https://github.com/eset/malware-ioc/tree/master/callphantom

#ParsedReport #GeneratedSchema
Generated with GPT-4