#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PamDOORa — это сложный Linux-бэкдор, который интегрируется в стек Pluggable Authentication Module (PAM), предоставляя злоумышленникам скрытый постоянный доступ к серверам и позволяя им собирать учетные данные пользователей во время аутентификации. Он использует «магический пароль» для доступа по SSH, применяет XOR-шифрование для хранения учетных данных и включает меры криминалистического анализа для манипуляции системными журналами. Злоумышленник «darkworm» демонстрирует передовые технические возможности, что может указывать на сотрудничество между несколькими операторами, подчеркивая эволюцию ландшафта киберугроз, нацеленных на среды Linux.
-----

PamDOORa — это новый обнаруженный Linux бэкдор, который внедряется в стек модулей плагируемой аутентификации (PAM).

Оно обеспечивает постоянный доступ к скомпрометированным серверам, одновременно собирая учетные данные у легитимных пользователей.

PamDOORa нацелена на x86_64 Linux-окружения и доступна для покупки на российском форуме киберкриминала за 900 долларов.

Бэкдор обеспечивает удалённый доступ через SSH с использованием «магического пароля» и определённых комбинаций TCP-портов.

PamDOORa работает скрытно в рамках фреймворк PAM, извлекая учетные данные пользователей во время процессов аутентификации.

Захваченные учетные данные шифруются с помощью XOR-шифрования и сохраняются во временных файлах для обхода традиционных механизмов логирования.

Вредоносное ПО включает в себя меры противодействия криминалистический анализ, которые манипулируют системными журналами, усложняя усилия по реагированию на инциденты.

Как правило, злоумышленники получают root-доступ к серверу Linux с помощью ранее использованных уязвимостей перед развертыванием PamDOORa.

Бэкдор внедряет вредоносные модули PAM в стек аутентификации, что позволяет активировать его на основе сетевых характеристик.

Сложность и модульная архитектура PamDOORa отмечают значительный шаг вперёд по сравнению с предыдущими открытыми PAM-бэкдорами.

Используемые PamDOORa техники включают PAM-хукинг, захват учётных данных и подделку журналов.

Злоумышленник, стоящий за PamDOORa, действует под псевдонимом "darkworm" и демонстрирует высокий уровень технической квалификации.

За псевдонимом "darkworm" закреплено пять персон, что указывает на возможную координацию между различными злоумышленниками.

Работа PamDOORa в доверенных областях операционной системы может позволить избежать обнаружения традиционными средствами защиты.

Развертывание таких продвинутых инструментов пост-эксплуатации требует переоценки стратегий защиты и мониторинга для критических систем аутентификации.

#ParsedReport #CompletenessLow
08-05-2026

DirtyFrag: Two Kernel Bugs Give Root on All Major Linux Distros

https://www.netskope.com/blog/dirtyfrag-two-kernel-bugs-give-root-on-all-major-linux-distros

Report completeness: Low

Threats:
Dirtyfrag_vuln
Supply_chain_technique
Dirty_pipe_vuln
Copyfail_vuln

Victims:
Linux distributions

CVEs:
CVE-2026-43284 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-43500 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1068, T1098, T1548.001

Soft:
Linux, Ubuntu, Fedora

YARA: Found

Links:
have more...
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/Dirtyfrag
https://github.com/V4bel/dirtyfrag#mitigation

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DirtyFrag — это уязвимость повышения привилегий в локальном окружении в ядре Linux, раскрытая 7 мая 2026 года, затрагивающая основные дистрибутивы. Она эксплуатирует две уязвимости: CVE-2026-43284 позволяет перезаписывать бинарный файл setuid в памяти для получения доступа root, тогда как CVE-2026-43500 позволяет злоумышленникам получить доступ к оболочке root без специальных привилегий на системах с модулем RxRPC. Эксплойт использует детерминированные ошибки логики, что делает его надежным без зависания ядра, ожидаются вооруженные варианты.
-----

DirtyFrag — это уязвимость повышения привилегий в локальной среде ядра Linux, раскрытая 7 мая 2026 года, которая затрагивает все основные дистрибутивы, включая Ubuntu, RHEL, Fedora, CentOS Stream, AlmaLinux и openSUSE. Эта критическая уязвимость эксплуатирует две конкретные уязвимости записи в кэш-памяти ядра: CVE-2026-43284, связанную с функциональностью xfrm-ESP, которая была исправлена в основном ядре, и CVE-2026-43500, касающуюся протокола RxRPC, которая не была исправлена ни в одном дереве ядра на момент раскрытия. Обе уязвимости классифицируются в семействе Dirty Pipe / Copy Fail, характеризующемся детерминированными логическими ошибками без условий гонки, что обеспечивает надежность и работоспособность эксплойтов без вызова сбоев ядра при неудаче.

Эксплойт использует ошибку в логике ядра, которая позволяет непривилегированному процессу записывать данные в память, связанную с файлами и имеющую атрибуты только для чтения. Первый путь, связанный с CVE-2026-43284, требует наличия привилегий на создание пространств имен и позволяет перезаписать находящийся в памяти бинарный файл с установленным битом setuid, чтобы получить оболочку root. Второй путь, основанный на CVE-2026-43500, не требует специальных привилегий на системах, где модуль RxRPC загружается по умолчанию. Этот метод эксплуатации позволяет атакующему сделать пароль учетной записи root пустым, давая ему возможность получить доступ к оболочке root путем вызова команды 'su'.

В настоящее время Netskope Threat Labs отслеживает ход разработки эксплойта DirtyFrag, поскольку ожидается появление его вооруженных вариантов. В ответ на эту вновь выявленную угрозу Netskope Threat Labs опубликовала два правила YARA, доступные в их репозитории индикаторов компрометации (IoC), для содействия усилиям по обнаружению и смягчению последствий. Это подчеркивает насущную необходимость для администраторов затронутых дистрибутивов Linux применить доступные исправления и использовать проактивные стратегии обнаружения для защиты от потенциальной эксплуатации этих уязвимостей.

#ParsedReport #CompletenessMedium
09-05-2026

Mini Shai-Hulud: A Cross-Ecosystem Supply Chain Attack on PyTorch Lightning & Intercom Client

https://www.resecurity.com/blog/article/mini-shai-hulud-a-cross-ecosystem-supply-chain-attack-on-pytorch-lightning-intercom-client

Report completeness: Medium

Actors/Campaigns:
Mini_shai-hulud

Threats:
Supply_chain_technique
Typosquatting_technique
Credential_harvesting_technique

Victims:
Software development, Cloud native infrastructure, Continuous integration and continuous delivery environments, Developer environments

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 16
Url: 1
Hash: 3
Domain: 1
IP: 1

Soft:
Node.js, Kubernetes, HashiCorp Vault, CircleCI, Docker, Helm, claude, vscode

Algorithms:
sha256, gzip, aes, md5, aes-256

Functions:
download_bun, collectFilesystemSecrets, collectShellAndEnv, collectGitHubRunnerSecrets, createRepo

Languages:
python, javascript, php

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Mini Shai-Hulud инициировала атаку на Цепочку поставок в рамках кросс-экосистемного подхода, нацеленную на пакеты Python, Node.js и PHP путем компрометации учетных данных сопровождающих и токенов CI/CD, что позволило злоумышленникам выпускать вредоносные обновления популярных пакетов, включая PyTorch Lightning и intercom-client. ВПО выполнялось автоматически во время установки, нацеливаясь на конфигурации, связанные с Kubernetes и HashiCorp Vault, и использовало GitHub в качестве скрытого канала для эксфильтрации данных. Масштабная кража учетных данных была облегчена за счет модифицированных версий программного обеспечения, что создало значительные риски для различных сред.
-----

Кампания Mini Shai-Hulud, запущенная в апреле 2026 года, нацелилась на пакеты в экосистемах Python, Node.js и PHP.

Злоумышленники использовали учетные данные и токены CI/CD администраторов для компрометации доверенных пакетов.

Вредоносные версии пакетов, таких как PyTorch Lightning и intercom-client, были выпущены без вызова подозрений.

Украденные или неправильно настроенные токены CI/CD, связанные с GitHub Actions, сыграли ключевую роль в публикации и модификации пакетов.

Отсутствие строгих контроля за публикацией пакетов позволило неконтролируемое распространение вредоносных обновлений.

Вредоносные загрузки, выполняемые автоматически при установке или импорте, преимущественно с использованием среды выполнения JavaScript Bun.

В пакетах Lightning версий 2.6.2 и 2.6.3 содержался встроенный вредоносный код.

В версии 7.0.4 межкомнатного телефона был включён вредоносный пред-установочный хук, выполняющий код, контролируемый злоумышленником.

Экосистема PHP также стала целью, в частности, пакет intercom-php был скомпрометирован посредством несанкционированного Git-тега.

Вредоносное ПО было специально нацелено на конфигурации и токены для Kubernetes и HashiCorp Vault.

Атака использовала многоуровневую стратегию для эксфильтрации данных через GitHub, смешивая вредоносную активность с обычными рабочими процессами разработчиков.

После запуска вредоносное ПО сканировало учетные данные, такие как SSH-ключи и токены облачных сервисов.

Атака была разработана для самораспространения, что облегчало компрометацию в последующих средах.

Индикаторы компрометации включали наличие файлов, таких как router_runtime.js и start.py, в каталогах пакетов.

Также были отмечены несанкционированная активность в репозиториях и отсутствие аттестатов SLSA в скомпрометированных релизах.

Миллионы сред были подвержены риску, что подчеркивает опасность автоматизированной эксфильтрации в программных экосистемах.

#ParsedReport #CompletenessMedium
07-05-2026

Fake call logs, real payments: How CallPhantom tricks Android users

https://www.welivesecurity.com/en/eset-research/fake-call-logs-real-payments-how-callphantom-tricks-android-users/

Report completeness: Medium

Threats:
Callphantom

Victims:
Android users, Google play users

Industry:
Government, Financial

Geo:
Asia pacific, Ukraine, Indian, India

TTPs:
Tactics: 2
Technics: 2

IOCs:
File: 4
Hash: 28
Domain: 4
IP: 2

Soft:
Android, Google Play, WhatsApp

Algorithms:
sha1

Functions:
WhatsApp

Links:
https://github.com/eset/malware-ioc/tree/master/callphantom

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET обнаружили вредоносный набор из 28 мошеннических приложений в магазине Google Play под названием CallPhantom, нацеленный на более чем 7,3 миллиона пользователей в Индии и регионе Азиатско-Тихоокеанского региона. Эти приложения ложно обещали доступ к журналам вызовов и записям SMS без запроса конфиденциальных разрешений, вместо этого подделывая данные из жестко закодированных индийских номеров телефонов. Они использовали различные методы оплаты, некоторые из которых обходили политики биллинга Google Play, что могло подвергнуть пользователей финансовым уязвимостям и усложнить процессы возврата средств.
-----

Исследователи ESET выявили серию мошеннических приложений в магазине Google Play, объединённых общим названием CallPhantom, которые ложно обещают пользователям доступ к журналам вызовов, записям SMS и историям звонков WhatsApp для любого указанного номера телефона. Эти приложения обманули более 7,3 миллиона пользователей до их удаления с платформы. В ходе расследования было выявлено 28 конкретных приложений, которые использовали различные методы оплаты, некоторые из которых нарушали правила биллинга Google Play.

Приложения CallPhantom в первую очередь были нацелены на пользователей Android в Индии и более широком регионе Азиатско-Тихоокеанского региона, часто предварительно выбирая индийский код страны (+91) и используя UPI (Unified Payments Interface) для транзакций. Заметной особенностью этих приложений является то, что они не запрашивают навязчивые разрешения, но при этом также не имеют никакой законной функции для получения реальных данных связи, вместо этого генерируя фиктивную информацию для представления пользователям.

Фальшивые приложения использовали смесь методов оплаты, что усложняло процесс возврата средств для пользователей. Некоторые приложения корректно использовали официальную систему биллинга Google Play, что давало пользователям право на защиту при возврате средств в соответствии с политиками Google. Другие обходили эту систему, направляя пользователей на оплату через сторонние приложения, поддерживающие UPI, или интегрируя формы прямой оплаты банковскими картами непосредственно в сами приложения. Такие действия не только нарушают платежные политики Google, но и подвергают пользователей потенциальным финансовым рискам из-за невозможности получить возврат средств через Google, если платежи были произведены самостоятельно или через внешние сервисы.

Расследование CallPhantom началось с обсуждения на Reddit приложения, которое утверждало, что может получить историю звонков по номеру телефона, что привело исследователей к раскрытию более широкой схемы. Эти приложения обманным образом рекламировались и часто маскировали свою деятельность под видом законности, используя названия, предполагающие связь с правительством Индии.

Дополнительно усложняет ситуацию то, что приложения CallPhantom взаимодействовали с серверами управления через Firebase Cloud Messaging, что способствовало попыткам мошеннического выставления счетов. В результате пользовательские данные были сфабрикованы с использованием жестко закодированных индийских номеров и фиктивных временных меток для имитации подлинных данных коммуникации.

#ParsedReport #CompletenessMedium
09-05-2026

Technical Advisory: ShinyHunters Breach of Instructure Canvas LMS

https://www.bitdefender.com/en-us/blog/businessinsights/technical-advisory-shinyhunters-breach-instructure-canvas-lms

Report completeness: Medium

Actors/Campaigns:
Shinyhunters

Threats:
Spear-phishing_technique

Victims:
Education, Schools, Universities, School districts, Learning management systems

Industry:
Education, Petroleum, Government

Geo:
Australia, California

ChatGPT TTPs:
do not use without manual check
T1190, T1213, T1491.002

IOCs:
Url: 2
IP: 1
File: 1
Domain: 1

Soft:
Salesforce, Zoom, Microsoft Teams, Microsoft Entra, Azure AD

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2026 года система управления обучением Canvas LMS от компании Instructure подверглась значительной компрометации, связанной с хакерская группировка ShinyHunters, которая использовала функцию аккаунта Free-For-Teacher для доступа к личным данным, таким как имена, адреса эл. почты и идентификаторы студентов, без признаков компрометации паролей или финансовых данных. Злоумышленники применили техники социальной инженерии, намекая на наличие повышенных привилегий, которые могли бы позволить дальнейшую эксплуатацию, например, изменение страниц входа. Последовала публичная кампания вымогательства, в ходе которой утверждалось о наличии обширных украденных данных, что вызвало опасения относительно потенциальных фишинг-атак на образовательные учреждения.
-----

В мае 2026 года компания Instructure сообщила о значительном нарушении безопасности своей системы управления обучением Canvas Learning Management System (LMS), что стало второй атакой со стороны хакерской группировки ShinyHunters за восемь месяцев. Незаконная активность была впервые обнаружена 29 апреля 2026 года, а компания Instructure подтвердила нарушение 1 мая. Окно воздействия длилось с 30 апреля по 7 мая, в течение которого были скомпрометированы персональные данные, включая имена, адреса эл. почты, идентификаторы студентов и некоторые личные сообщения. Криминалистический анализ Instructure не выявил доказательств раскрытия паролей или финансовых данных, однако компания признала, что скомпрометированные данные могут способствовать проведению персонализированных фишинговых атак.

ShinyHunters известен применением тактик социальной инженерии, включая голосовой фишинг, для первоначального доступа к системам. Этот инцидент эксплуатировал функцию аккаунта Free-For-Teacher платформы Canvas, позволяющую пользователям создавать аккаунты без институциональной верификации. Средства защиты, предназначенные для защиты данных арендатора, были недостаточными, поскольку злоумышленник получил доступ к конфиденциальной информации непосредственно в среде Canvas. Имеются указания на то, что не только была осуществлена эксфильтрация данных, но и повышенные привилегии могли позволить злоумышленнику осквернить страницы входа нескольких образовательных учреждений, хотя это официально не подтверждено компанией Instructure.

После инцидента Instructure временно отключила сервисы Canvas и навсегда прекратила программу Free-For-Teacher. Они предприняли немедленные действия по отзыву скомпрометированных учетных данных и взаимодействию с правоохранительными органами. Тем временем ShinyHunters начали публичную кампанию по вымогательству, требуя выплаты выкупа, заявляя о наличии 3,6 ТБ данных 275 миллионов пользователей из примерно 9 000 учреждений. Однако эти цифры не были подтверждены Instructure.

Последствия взлома создают существенные риски для образовательных учреждений, особенно в отношении потенциальных атак Целевой фишинг. Наблюдается повышенная угроза кампаний Целевой фишинг, нацеленных на студентов и преподавателей с использованием украденных данных, поскольку злоумышленники могут создавать правдоподобные сообщения, содержащие личные сведения. Учреждениям необходимо защитить свои API-ключи, отслеживать попытки фишинг и, при необходимости, ротировать учетные данные для защиты от последующих атак, использующих скомпрометированные данные.

Instructure не раскрыла конкретные технические уязвимости, которые использовал ShinyHunters во время взлома, однако это подчеркивает серьезные недостатки в границах доверия внутри архитектуры их приложения. Инцидент демонстрирует операционный сдвиг ShinyHunters от нацеливания на периферийные бизнес-системы к эксплуатации уязвимостей в основных функциях продукта, что является эскалацией их стратегии атак. После этих событий учреждения, которые могли быть затронуты, должны сохранять бдительность, активно отслеживать потенциальные фишинг-кампании и последовательно внедрять необходимые меры безопасности после инцидента.

#ParsedReport #CompletenessMedium
10-05-2026

Instead of a job, stolen data and money. Fake online job interview applications hide a stealer trojan that attacks macOS and Windows users Dr.Web vxCube sandbox update coming

https://news.drweb.ru/show/?i=15253&lng=ru&c=5

Report completeness: Medium

Threats:
Jobstealer

Victims:
Job seekers, Macos users, Windows users, Cryptocurrency wallet users

Industry:
Entertainment, Petroleum, Financial

TTPs:
Tactics: 3
Technics: 15

IOCs:
File: 7
Domain: 4
Hash: 12
Url: 5
BrowserExtension: 244
Coin: 33

Soft:
macOS, Telegram, Chrome, Opera, OperaGX, Vivaldi, CocCoc, Ledger Live, Linux, Android, Chromium, have more...

Wallets:
trezor, tronlink, nifty, metamask, math_wallet, coinbase, binancechain, brave_wallet, guarda_wallet, equal_wallet, have more...

Crypto:
aptos, tezos, casper, multiversx, ethereum, bitcoin, dogecoin, hedera

Algorithms:
sha1, zip

Win API:
Arc

Platforms:
x64, arm

Links:
https://github.com/DoctorWebLtd/malware-iocs/blob/master/Mac.PWS.JobStealer.1/README.adoc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
JobStealer — это троян, нацеленный на пользователей macOS и Windows, основная задача которого заключается в краже конфиденциальных данных из криптовалютных кошельков. Он использует поддельные собеседования для найма, чтобы заманить жертв на загрузку вредоносного программного обеспечения, замаскированного под легитимное приложение для видеоконференцсвязи, которое доставляется через dmg-образы или команды терминала в macOS. Вредоносное ПО собирает обширную информацию о пользователе и передает ее на серверы злоумышленников, при этом аналогичная версия для Windows демонстрирует те же возможности, а потенциальные будущие версии намечены для платформ Linux, iOS и Android.
-----

Doctor Web выпустил предупреждение о появлении JobStealer — трояна, предназначенного для эксплуатации пользователей macOS и Windows с целью кражи конфиденциальных данных, в частности из криптовалютных кошельков. Киберпреступники, стоящие за этой операцией, используют поддельные собеседования при приеме на работу в качестве приманки, перенаправляя потенциальных жертв на обманные веб-сайты, которые продвигают установку приложения для видеоконференцсвязи, выглядящего легитимно, но на самом деле являющегося трояном JobStealer.

После начала взаимодействия жертвы получают приглашения на фиктивную вакансию, которая перенаправляет их на поддельные платформы для онлайн-встреч. Эти мошеннические сайты имитируют легитимные сервисы и наблюдались под различными названиями, включая MeetLab, Juseo и другие, иногда даже используя устоявшиеся имена, такие как Webex. Чтобы создать иллюзию подлинности, мошенники часто создают соответствующие каналы в социальных сетях.

При нацеливании на пользователей macOS троян JobStealer доставляется преимущественно двумя способами: в виде контейнера dmg или через команду bash, выполняемую в терминале. В первом случае пользователь монтирует образ dmg, который обманным образом предлагает запустить скрипт, который вместо установки безобидного программного обеспечения запускает троян. Данный троян, идентифицированный как Mac.PWS.JobStealer.1, спроектирован для поддержки нескольких архитектур процессоров, включая x64 и arm64. При запуске вредоносное ПО представляет фишинговый интерфейс, использующий Маскировка под ошибку программного обеспечения, побуждая пользователей вводить пароль своей учетной записи Mac на ложных основаниях.

Информационные возможности трояна обширны. Он собирает различные конфиденциальные данные, включая версию операционной системы, уникальные идентификаторы компьютера, подробную информацию о многочисленных расширениях браузера для криптовалютных кошельков, сеансовые файлы cookie, сохраненные пароли, информацию банковских карт, файлы данных Телеграм и пользовательские заметки из нативного приложения macOS Notes. Впоследствии эти собранные данные сжимаются в ZIP-архив и отправляются на сервер управления злоумышленников.

Кроме того, существует версия JobStealer для Windows, которая дублирует функциональность её аналога для macOS. Хотя вредоносные сайты анонсировали потенциальные версии для Linux, iOS и Android, эти дистрибутивы в настоящее время не работают. Однако имеются указания на то, что злоумышленники могут внедрить эти версии в будущем.

Для снижения рисков, связанных с JobStealer, Dr.Web успешно выявил и нейтрализовал все известные варианты троянца на обеих платформах. Веб-сайты, участвующие в распространении этого ВПО, были задокументированы и классифицированы как опасные ресурсы, что предотвратило дальнейшее воздействие на пользователей. Анализ JobStealer также позволил сопоставить его методы с фреймворком MITRE ATT&CK®, выделив несколько тактик, таких как выполнение пользователем, сбор данных, автоматизированная эксфильтрация и перехват вводимых данных, что подчеркивает сложную природу угрозы.

#ParsedReport #CompletenessMedium
06-05-2026

Threat Brief: Exploitation of PAN-OS Captive Portal Zero-Day for Unauthenticated Remote Code Execution

https://unit42.paloaltonetworks.com/captive-portal-zero-day/

Report completeness: Medium

Actors/Campaigns:
Cl-sta-1132
Volt_typhoon
Gelsemium
Uat-8337
Winnti

Threats:
Earthworm_tool
Reversesocks5_tool

Victims:
Firewalls, Edge network infrastructure

Industry:
Healthcare, Iot

Geo:
Asia, India, Australia, Middle east, Korea, Japan

CVEs:
CVE-2026-0300 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)


TTPs:
Tactics: 1
Technics: 2

ChatGPT TTPs:
do not use without manual check
T1055, T1070, T1070.004, T1078.002, T1090, T1105, T1190, T1499, T1572

IOCs:
IP: 4
Url: 2
Hash: 1

Soft:
PAN-OS, AN-OS so, nginx, Active Directory, Linux, macOS

Functions:
SetUserID

Languages:
python

Platforms:
arm, x64, intel, mips

Links:
https://github.com/rootkiter/EarthWorm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Palo Alto Networks выявила критическую уязвимость переполнения буфера (CVE-2026-0300) в PAN-OS, позволяющую неаутентифицированным злоумышленникам выполнять произвольный код на межсетевых экранах с помощью вредоносных пакетов. Государственная спонсируемая группа CL-STA-1132 использовала эту уязвимость для Удаленного Выполнения Кода и занималась пост-эксплуатацией, развертывая туннелирующие инструменты, такие как EarthWorm и ReverseSocks5, одновременно маскируя свою деятельность. Их атаки также включали SAML-флудинг для повышения привилегий, что демонстрирует стратегию, сфокусированную на скрытности и закрепление.
-----

6 мая 2026 года компания Palo Alto Networks устранила критическую уязвимость безопасности, отслеживаемую как CVE-2026-0300, которая представляет собой переполнение буфера в службе User-ID™ Authentication Portal программного обеспечения PAN-OS. Эта уязвимость позволяет неаутентифицированным злоумышленникам выполнять произвольный код с привилегиями root на межсетевых экранах PA-Series и VM-Series путем отправки вредоносных сетевых пакетов. Недавние расследования подразделения Unit 42 показывают, что уязвимость эксплуатируется хакерская группировка, спонсируемая государством, обозначаемая как CL-STA-1132, которая использовала ее для достижения Удаленное Выполнение Кода (RCE) в системах PAN-OS.

Попытки эксплуатации начались 9 апреля 2026 года, хотя первоначальные усилия оказались безуспешными. Однако к 16 апреля злоумышленники успешно выполнили RCE, внедрив шеллкод в процесс worker nginx. После этой компрометации злоумышленники занялись обширной деятельностью после эксплуатации, включая развертывание инструментов туннелирования, таких как EarthWorm и ReverseSocks5, перечисление учетных данных в Active Directory и систематическое стирание журналов для сокрытия своей деятельности.

С точки зрения поведения вредоносного ПО, EarthWorm представляет собой утилиту туннелирования сети с открытым исходным кодом, которая позволяет осуществлять скрытую связь путем установления прокси-соединений SOCKS v5, что делает ее удобной для злоумышленников, которым необходимо перемещаться внутри скомпрометированных сетей. Она может проксировать входящие соединения, создавать обратные туннели и объединять несколько режимов передачи для сокрытия сетевой активности. Кроме того, ReverseSocks5 выполняет аналогичную задачу, обеспечивая исходящие соединения, которые позволяют злоумышленникам маршрутизировать трафик обратно во внутреннюю сеть цели.

Атакующие выполнили SAML-флуд 29 апреля, успешно осуществив переход от RCE к вторичному устройству, а затем приступили к загрузке инструментов EarthWorm и ReverseSocks5. Такое поведение иллюстрирует их оперативную стратегию, которая сочетает скрытность с закреплением, используя непостоянный доступ для поддержания присутствия без обнаружения.

Для снижения рисков, связанных с данной уязвимостью, компания Palo Alto Networks предоставила рекомендации для пользователей с подписками Advanced Threat Prevention, позволяющие блокировать попытки эксплуатации путем включения конкретных идентификаторов угроз. Учитывая растущее внимание со стороны акторов-государств к технологиям периферийных сетей, действия, предпринятые CL-STA-1132, подчеркивают более широкую тенденцию, при которой злоумышленники используют инструменты с открытым исходным кодом для обхода традиционных методов обнаружения и поддержания длительного доступа с минимальным следом.