#ParsedReport #CompletenessMedium
07-05-2026

Fake call logs, real payments: How CallPhantom tricks Android users

https://www.welivesecurity.com/en/eset-research/fake-call-logs-real-payments-how-callphantom-tricks-android-users/

Report completeness: Medium

Threats:
Callphantom

Victims:
Android users, Google play users

Industry:
Government, Financial

Geo:
Asia pacific, Ukraine, Indian, India

TTPs:
Tactics: 2
Technics: 2

IOCs:
File: 4
Hash: 28
Domain: 4
IP: 2

Soft:
Android, Google Play, WhatsApp

Algorithms:
sha1

Functions:
WhatsApp

Links:
https://github.com/eset/malware-ioc/tree/master/callphantom

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET обнаружили вредоносный набор из 28 мошеннических приложений в магазине Google Play под названием CallPhantom, нацеленный на более чем 7,3 миллиона пользователей в Индии и регионе Азиатско-Тихоокеанского региона. Эти приложения ложно обещали доступ к журналам вызовов и записям SMS без запроса конфиденциальных разрешений, вместо этого подделывая данные из жестко закодированных индийских номеров телефонов. Они использовали различные методы оплаты, некоторые из которых обходили политики биллинга Google Play, что могло подвергнуть пользователей финансовым уязвимостям и усложнить процессы возврата средств.
-----

Исследователи ESET выявили серию мошеннических приложений в магазине Google Play, объединённых общим названием CallPhantom, которые ложно обещают пользователям доступ к журналам вызовов, записям SMS и историям звонков WhatsApp для любого указанного номера телефона. Эти приложения обманули более 7,3 миллиона пользователей до их удаления с платформы. В ходе расследования было выявлено 28 конкретных приложений, которые использовали различные методы оплаты, некоторые из которых нарушали правила биллинга Google Play.

Приложения CallPhantom в первую очередь были нацелены на пользователей Android в Индии и более широком регионе Азиатско-Тихоокеанского региона, часто предварительно выбирая индийский код страны (+91) и используя UPI (Unified Payments Interface) для транзакций. Заметной особенностью этих приложений является то, что они не запрашивают навязчивые разрешения, но при этом также не имеют никакой законной функции для получения реальных данных связи, вместо этого генерируя фиктивную информацию для представления пользователям.

Фальшивые приложения использовали смесь методов оплаты, что усложняло процесс возврата средств для пользователей. Некоторые приложения корректно использовали официальную систему биллинга Google Play, что давало пользователям право на защиту при возврате средств в соответствии с политиками Google. Другие обходили эту систему, направляя пользователей на оплату через сторонние приложения, поддерживающие UPI, или интегрируя формы прямой оплаты банковскими картами непосредственно в сами приложения. Такие действия не только нарушают платежные политики Google, но и подвергают пользователей потенциальным финансовым рискам из-за невозможности получить возврат средств через Google, если платежи были произведены самостоятельно или через внешние сервисы.

Расследование CallPhantom началось с обсуждения на Reddit приложения, которое утверждало, что может получить историю звонков по номеру телефона, что привело исследователей к раскрытию более широкой схемы. Эти приложения обманным образом рекламировались и часто маскировали свою деятельность под видом законности, используя названия, предполагающие связь с правительством Индии.

Дополнительно усложняет ситуацию то, что приложения CallPhantom взаимодействовали с серверами управления через Firebase Cloud Messaging, что способствовало попыткам мошеннического выставления счетов. В результате пользовательские данные были сфабрикованы с использованием жестко закодированных индийских номеров и фиктивных временных меток для имитации подлинных данных коммуникации.

#ParsedReport #CompletenessMedium
09-05-2026

Technical Advisory: ShinyHunters Breach of Instructure Canvas LMS

https://www.bitdefender.com/en-us/blog/businessinsights/technical-advisory-shinyhunters-breach-instructure-canvas-lms

Report completeness: Medium

Actors/Campaigns:
Shinyhunters

Threats:
Spear-phishing_technique

Victims:
Education, Schools, Universities, School districts, Learning management systems

Industry:
Education, Petroleum, Government

Geo:
Australia, California

ChatGPT TTPs:
do not use without manual check
T1190, T1213, T1491.002

IOCs:
Url: 2
IP: 1
File: 1
Domain: 1

Soft:
Salesforce, Zoom, Microsoft Teams, Microsoft Entra, Azure AD

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2026 года система управления обучением Canvas LMS от компании Instructure подверглась значительной компрометации, связанной с хакерская группировка ShinyHunters, которая использовала функцию аккаунта Free-For-Teacher для доступа к личным данным, таким как имена, адреса эл. почты и идентификаторы студентов, без признаков компрометации паролей или финансовых данных. Злоумышленники применили техники социальной инженерии, намекая на наличие повышенных привилегий, которые могли бы позволить дальнейшую эксплуатацию, например, изменение страниц входа. Последовала публичная кампания вымогательства, в ходе которой утверждалось о наличии обширных украденных данных, что вызвало опасения относительно потенциальных фишинг-атак на образовательные учреждения.
-----

В мае 2026 года компания Instructure сообщила о значительном нарушении безопасности своей системы управления обучением Canvas Learning Management System (LMS), что стало второй атакой со стороны хакерской группировки ShinyHunters за восемь месяцев. Незаконная активность была впервые обнаружена 29 апреля 2026 года, а компания Instructure подтвердила нарушение 1 мая. Окно воздействия длилось с 30 апреля по 7 мая, в течение которого были скомпрометированы персональные данные, включая имена, адреса эл. почты, идентификаторы студентов и некоторые личные сообщения. Криминалистический анализ Instructure не выявил доказательств раскрытия паролей или финансовых данных, однако компания признала, что скомпрометированные данные могут способствовать проведению персонализированных фишинговых атак.

ShinyHunters известен применением тактик социальной инженерии, включая голосовой фишинг, для первоначального доступа к системам. Этот инцидент эксплуатировал функцию аккаунта Free-For-Teacher платформы Canvas, позволяющую пользователям создавать аккаунты без институциональной верификации. Средства защиты, предназначенные для защиты данных арендатора, были недостаточными, поскольку злоумышленник получил доступ к конфиденциальной информации непосредственно в среде Canvas. Имеются указания на то, что не только была осуществлена эксфильтрация данных, но и повышенные привилегии могли позволить злоумышленнику осквернить страницы входа нескольких образовательных учреждений, хотя это официально не подтверждено компанией Instructure.

После инцидента Instructure временно отключила сервисы Canvas и навсегда прекратила программу Free-For-Teacher. Они предприняли немедленные действия по отзыву скомпрометированных учетных данных и взаимодействию с правоохранительными органами. Тем временем ShinyHunters начали публичную кампанию по вымогательству, требуя выплаты выкупа, заявляя о наличии 3,6 ТБ данных 275 миллионов пользователей из примерно 9 000 учреждений. Однако эти цифры не были подтверждены Instructure.

Последствия взлома создают существенные риски для образовательных учреждений, особенно в отношении потенциальных атак Целевой фишинг. Наблюдается повышенная угроза кампаний Целевой фишинг, нацеленных на студентов и преподавателей с использованием украденных данных, поскольку злоумышленники могут создавать правдоподобные сообщения, содержащие личные сведения. Учреждениям необходимо защитить свои API-ключи, отслеживать попытки фишинг и, при необходимости, ротировать учетные данные для защиты от последующих атак, использующих скомпрометированные данные.

Instructure не раскрыла конкретные технические уязвимости, которые использовал ShinyHunters во время взлома, однако это подчеркивает серьезные недостатки в границах доверия внутри архитектуры их приложения. Инцидент демонстрирует операционный сдвиг ShinyHunters от нацеливания на периферийные бизнес-системы к эксплуатации уязвимостей в основных функциях продукта, что является эскалацией их стратегии атак. После этих событий учреждения, которые могли быть затронуты, должны сохранять бдительность, активно отслеживать потенциальные фишинг-кампании и последовательно внедрять необходимые меры безопасности после инцидента.

#ParsedReport #CompletenessMedium
10-05-2026

Instead of a job, stolen data and money. Fake online job interview applications hide a stealer trojan that attacks macOS and Windows users Dr.Web vxCube sandbox update coming

https://news.drweb.ru/show/?i=15253&lng=ru&c=5

Report completeness: Medium

Threats:
Jobstealer

Victims:
Job seekers, Macos users, Windows users, Cryptocurrency wallet users

Industry:
Entertainment, Petroleum, Financial

TTPs:
Tactics: 3
Technics: 15

IOCs:
File: 7
Domain: 4
Hash: 12
Url: 5
BrowserExtension: 244
Coin: 33

Soft:
macOS, Telegram, Chrome, Opera, OperaGX, Vivaldi, CocCoc, Ledger Live, Linux, Android, Chromium, have more...

Wallets:
trezor, tronlink, nifty, metamask, math_wallet, coinbase, binancechain, brave_wallet, guarda_wallet, equal_wallet, have more...

Crypto:
aptos, tezos, casper, multiversx, ethereum, bitcoin, dogecoin, hedera

Algorithms:
sha1, zip

Win API:
Arc

Platforms:
x64, arm

Links:
https://github.com/DoctorWebLtd/malware-iocs/blob/master/Mac.PWS.JobStealer.1/README.adoc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
JobStealer — это троян, нацеленный на пользователей macOS и Windows, основная задача которого заключается в краже конфиденциальных данных из криптовалютных кошельков. Он использует поддельные собеседования для найма, чтобы заманить жертв на загрузку вредоносного программного обеспечения, замаскированного под легитимное приложение для видеоконференцсвязи, которое доставляется через dmg-образы или команды терминала в macOS. Вредоносное ПО собирает обширную информацию о пользователе и передает ее на серверы злоумышленников, при этом аналогичная версия для Windows демонстрирует те же возможности, а потенциальные будущие версии намечены для платформ Linux, iOS и Android.
-----

Doctor Web выпустил предупреждение о появлении JobStealer — трояна, предназначенного для эксплуатации пользователей macOS и Windows с целью кражи конфиденциальных данных, в частности из криптовалютных кошельков. Киберпреступники, стоящие за этой операцией, используют поддельные собеседования при приеме на работу в качестве приманки, перенаправляя потенциальных жертв на обманные веб-сайты, которые продвигают установку приложения для видеоконференцсвязи, выглядящего легитимно, но на самом деле являющегося трояном JobStealer.

После начала взаимодействия жертвы получают приглашения на фиктивную вакансию, которая перенаправляет их на поддельные платформы для онлайн-встреч. Эти мошеннические сайты имитируют легитимные сервисы и наблюдались под различными названиями, включая MeetLab, Juseo и другие, иногда даже используя устоявшиеся имена, такие как Webex. Чтобы создать иллюзию подлинности, мошенники часто создают соответствующие каналы в социальных сетях.

При нацеливании на пользователей macOS троян JobStealer доставляется преимущественно двумя способами: в виде контейнера dmg или через команду bash, выполняемую в терминале. В первом случае пользователь монтирует образ dmg, который обманным образом предлагает запустить скрипт, который вместо установки безобидного программного обеспечения запускает троян. Данный троян, идентифицированный как Mac.PWS.JobStealer.1, спроектирован для поддержки нескольких архитектур процессоров, включая x64 и arm64. При запуске вредоносное ПО представляет фишинговый интерфейс, использующий Маскировка под ошибку программного обеспечения, побуждая пользователей вводить пароль своей учетной записи Mac на ложных основаниях.

Информационные возможности трояна обширны. Он собирает различные конфиденциальные данные, включая версию операционной системы, уникальные идентификаторы компьютера, подробную информацию о многочисленных расширениях браузера для криптовалютных кошельков, сеансовые файлы cookie, сохраненные пароли, информацию банковских карт, файлы данных Телеграм и пользовательские заметки из нативного приложения macOS Notes. Впоследствии эти собранные данные сжимаются в ZIP-архив и отправляются на сервер управления злоумышленников.

Кроме того, существует версия JobStealer для Windows, которая дублирует функциональность её аналога для macOS. Хотя вредоносные сайты анонсировали потенциальные версии для Linux, iOS и Android, эти дистрибутивы в настоящее время не работают. Однако имеются указания на то, что злоумышленники могут внедрить эти версии в будущем.

Для снижения рисков, связанных с JobStealer, Dr.Web успешно выявил и нейтрализовал все известные варианты троянца на обеих платформах. Веб-сайты, участвующие в распространении этого ВПО, были задокументированы и классифицированы как опасные ресурсы, что предотвратило дальнейшее воздействие на пользователей. Анализ JobStealer также позволил сопоставить его методы с фреймворком MITRE ATT&CK®, выделив несколько тактик, таких как выполнение пользователем, сбор данных, автоматизированная эксфильтрация и перехват вводимых данных, что подчеркивает сложную природу угрозы.

#ParsedReport #CompletenessMedium
06-05-2026

Threat Brief: Exploitation of PAN-OS Captive Portal Zero-Day for Unauthenticated Remote Code Execution

https://unit42.paloaltonetworks.com/captive-portal-zero-day/

Report completeness: Medium

Actors/Campaigns:
Cl-sta-1132
Volt_typhoon
Gelsemium
Uat-8337
Winnti

Threats:
Earthworm_tool
Reversesocks5_tool

Victims:
Firewalls, Edge network infrastructure

Industry:
Healthcare, Iot

Geo:
Asia, India, Australia, Middle east, Korea, Japan

CVEs:
CVE-2026-0300 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)


TTPs:
Tactics: 1
Technics: 2

ChatGPT TTPs:
do not use without manual check
T1055, T1070, T1070.004, T1078.002, T1090, T1105, T1190, T1499, T1572

IOCs:
IP: 4
Url: 2
Hash: 1

Soft:
PAN-OS, AN-OS so, nginx, Active Directory, Linux, macOS

Functions:
SetUserID

Languages:
python

Platforms:
arm, x64, intel, mips

Links:
https://github.com/rootkiter/EarthWorm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Palo Alto Networks выявила критическую уязвимость переполнения буфера (CVE-2026-0300) в PAN-OS, позволяющую неаутентифицированным злоумышленникам выполнять произвольный код на межсетевых экранах с помощью вредоносных пакетов. Государственная спонсируемая группа CL-STA-1132 использовала эту уязвимость для Удаленного Выполнения Кода и занималась пост-эксплуатацией, развертывая туннелирующие инструменты, такие как EarthWorm и ReverseSocks5, одновременно маскируя свою деятельность. Их атаки также включали SAML-флудинг для повышения привилегий, что демонстрирует стратегию, сфокусированную на скрытности и закрепление.
-----

6 мая 2026 года компания Palo Alto Networks устранила критическую уязвимость безопасности, отслеживаемую как CVE-2026-0300, которая представляет собой переполнение буфера в службе User-ID™ Authentication Portal программного обеспечения PAN-OS. Эта уязвимость позволяет неаутентифицированным злоумышленникам выполнять произвольный код с привилегиями root на межсетевых экранах PA-Series и VM-Series путем отправки вредоносных сетевых пакетов. Недавние расследования подразделения Unit 42 показывают, что уязвимость эксплуатируется хакерская группировка, спонсируемая государством, обозначаемая как CL-STA-1132, которая использовала ее для достижения Удаленное Выполнение Кода (RCE) в системах PAN-OS.

Попытки эксплуатации начались 9 апреля 2026 года, хотя первоначальные усилия оказались безуспешными. Однако к 16 апреля злоумышленники успешно выполнили RCE, внедрив шеллкод в процесс worker nginx. После этой компрометации злоумышленники занялись обширной деятельностью после эксплуатации, включая развертывание инструментов туннелирования, таких как EarthWorm и ReverseSocks5, перечисление учетных данных в Active Directory и систематическое стирание журналов для сокрытия своей деятельности.

С точки зрения поведения вредоносного ПО, EarthWorm представляет собой утилиту туннелирования сети с открытым исходным кодом, которая позволяет осуществлять скрытую связь путем установления прокси-соединений SOCKS v5, что делает ее удобной для злоумышленников, которым необходимо перемещаться внутри скомпрометированных сетей. Она может проксировать входящие соединения, создавать обратные туннели и объединять несколько режимов передачи для сокрытия сетевой активности. Кроме того, ReverseSocks5 выполняет аналогичную задачу, обеспечивая исходящие соединения, которые позволяют злоумышленникам маршрутизировать трафик обратно во внутреннюю сеть цели.

Атакующие выполнили SAML-флуд 29 апреля, успешно осуществив переход от RCE к вторичному устройству, а затем приступили к загрузке инструментов EarthWorm и ReverseSocks5. Такое поведение иллюстрирует их оперативную стратегию, которая сочетает скрытность с закреплением, используя непостоянный доступ для поддержания присутствия без обнаружения.

Для снижения рисков, связанных с данной уязвимостью, компания Palo Alto Networks предоставила рекомендации для пользователей с подписками Advanced Threat Prevention, позволяющие блокировать попытки эксплуатации путем включения конкретных идентификаторов угроз. Учитывая растущее внимание со стороны акторов-государств к технологиям периферийных сетей, действия, предпринятые CL-STA-1132, подчеркивают более широкую тенденцию, при которой злоумышленники используют инструменты с открытым исходным кодом для обхода традиционных методов обнаружения и поддержания длительного доступа с минимальным следом.

#ParsedReport #CompletenessLow
07-05-2026

ClaudeBleed: A Flaw In Claude’s Browser Extension Allows Any Extension to Hijack It

https://layerxsecurity.com/blog/a-flaw-in-claudes-browser-extension-allows-any-extension-to-hijack-it/

Report completeness: Low

Actors/Campaigns:
Claudebleed

Victims:
Artificial intelligence services, Email services, Cloud storage, Software development platforms

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.007, T1176, T1213, T1530, T1537

Soft:
Claude, Chrome, Anthropic, Claude Chrome, Gmail

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость в расширении Chrome для Claude позволяет вредоносным расширениям перехватывать его функциональность без разрешения, что даёт возможность выполнения произвольного кода и манипулирования пользовательскими данными в различных сервисах. Ошибка возникает из-за проблемы доверия при выполнении кода в домене claude.ai, позволяя любому скрипту взаимодействовать с LLM Claude. Несмотря на частичное исправление, внесённое разработчиком, основная уязвимость остаётся, позволяя злоумышленникам выполнять несанкционированные действия с привилегиями пользователя.
-----

Исследователи безопасности LayerX выявили значительную уязвимость в расширении Chrome для Claude, которая позволяет вредоносным расширениям перехватывать его функциональность без необходимости получения каких-либо разрешений. Этот недостаток обусловлен реализацией кода, которая позволяет скриптам, выполняемым в домене claude.ai, взаимодействовать с большой языковой моделью (LLM) Claude без проверки подлинности или контекста выполняемого скрипта. В результате любое расширение может внедрить код, выполнить произвольные команды и манипулировать пользовательскими данными в рамках различных Веб-сервисов, таких как Gmail, Google Drive и GitHub, эффективно превращая Claude в прокси-сервер для злоумышленника.

Исследователи продемонстрировали, как злоумышленник может похищать конфиденциальную информацию или выполнять действия от имени пользователя, например, делиться файлами или отправлять электронные письма, эксплуатируя эту уязвимость. Примечательно, что проблема усугублялась использованием Claude настройки манифеста «externally_connectable», которая доверяет источнику (origin), а не контексту выполнения. Этот недостаток архитектуры позволяет любому JavaScript-коду, выполняемому на claude.ai — который может быть внедрен вредоносным расширением — отправлять привилегированные команды напрямую расширению Claude.

Хотя Anthropic, разработчик Claude, признал наличие уязвимости и выпустил частичное исправление, оно не устранило основную уязвимость. Исправление заключалось во внедрении дополнительных внутренних проверок безопасности, но не затронуло базовую модель доверия, которая по-прежнему позволяет обходить эти проверки. Например, даже включение «привилегированного режима» позволяет злоумышленнику манипулировать поведением расширения без уведомления пользователя.

Воздействие этой уязвимости является серьезным, поскольку оно по сути нарушает парадигму безопасности расширений Chrome, позволяя расширениям с нулевыми разрешениями выполнять действия, обычно зарезервированные для доверенных приложений. Отсутствие надлежащей аутентификации для сообщений, отправляемых в интерфейсы Claude, означает, что несанкционированные действия могут выполняться с привилегиями пользователя, обходя потоки согласия и приводя к потенциально непреднамеренным или вредным последствиям.

#ParsedReport #CompletenessMedium
07-05-2026

Abuse of Cloud-Native Infrastructure in Modern Phishing Campaigns

https://www.cyfirma.com/research/abuse-of-cloud-native-infrastructure-in-modern-phishing-campaigns/

Report completeness: Medium

Threats:
Blobphish
Credential_harvesting_technique
Blob_url_obfuscation_technique
Aitm_technique
Supply_chain_technique
Spear-phishing_technique
Typosquatting_technique

Victims:
Manufacturing, Technology, Financial services, Finance, Government, Transportation, Telecommunications, Consumer finance, Thailand, Southeast asia, have more...

Industry:
Retail, Financial, Transport, Telco, Government

Geo:
Asia, Asia-pacific, Thailand, America, Asian, Middle east

TTPs:
Tactics: 7
Technics: 14

IOCs:
IP: 6

Soft:
Azure Blob

Functions:
SaaS

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Доверенная инфраструктура фишинга (TIP) эволюционировала, изменив методы фишинга, работая полностью в облачных средах, которым доверяют организации, что затрудняет обнаружение из-за легитимного характера используемых сервисов. Атакующие используют протоколы OAuth для сбора токенов доступа и инструментов автоматизации рабочих процессов для доставки фишинговых писем, направляя жертв на кажущиеся безобидными страницы на таких сервисах, как Azure и SharePoint. TIP использует передовые тактики уклонения, включая методы в памяти и проксирование «противник посередине», для закрепления без вызова тревог.
-----

Доверенная инфраструктура фишинга (TIP) — это новый метод фишинга, который работает исключительно в доверенных облачных средах предприятия.

TIP устраняет традиционные индикаторы злонамеренных намерений, используя легитимные облачные сервисы на всех этапах атаки.

Злоумышленники перешли от фишинга на основе ВПО к сбору учетных записей через легитимные структуры, избегая типичных следов криминалистический анализ.

Фишинговые письма часто отправляются с использованием легальных инструментов автоматизации рабочих процессов из систем облачных провайдеров, что позволяет обходить спам-фильтры и меры безопасности электронной почты.

Жертв перенаправляют на фишинговые страницы, размещенные на признанных облачных сервисах хранения данных, таких как Azure и SharePoint, которые выглядят легитимно благодаря защищенным сертификатам и брендингу.

Расширенные варианты TIP используют техники в памяти для динамического создания фишинговых страниц на основе возможностей браузера жертвы, что позволяет избегать обнаружения.

Этот подход позволяет избежать фильтрации на сетевом уровне, поскольку вредоносный контент не передается по сети.

Злоумышленники используют протоколы OAuth для перехвата токенов доступа вместо паролей, применяя проксирование «злоумышленник посередине» для ретрансляции потоков аутентификации.

После получения первоначального доступа злоумышленники сохраняют присутствие в облачной среде жертвы и создают правила для постоянного доступа без вызова тревог.

Фишинговые кампании, нацеленные на организации в Северной Америке, успешно использовали механизмы OAuth для токенов доступа, обеспечив закрепление.

Другие операции имитируют легитимные организации, применяя мониторинг в реальном времени и локализованные стратегии для манипуляции пользователями и извлечения конфиденциальной информации.

Скомпрометированные бэкенд-интерфейсы могут раскрывать подробные журналы взаимодействия, выявляя плохие практики безопасности.

Для противодействия TIP организациям необходимо внедрить более строгие меры аутентификации, управлять разрешениями OAuth и улучшить обнаружение на основе поведения пользователей, а не только сетевого трафика.

Будущие меры защиты потребуют архитектурных изменений в связи с эволюцией фишинга на фоне растущего внедрения облачных технологий.

#ParsedReport #CompletenessMedium
10-05-2026

Update: Ongoing Checkmarx Supply Chain Security Incident

https://checkmarx.com/blog/ongoing-security-updates/

Report completeness: Medium

Actors/Campaigns:
Teampcp
Lapsus

Threats:
Supply_chain_technique

Victims:
Checkmarx, Github repositories, Ci cd pipelines, Developer workstations, Open vsx registry users

Industry:
E-commerce

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1195.001, T1195.002, T1213.003

IOCs:
IP: 3
Domain: 1
File: 7
Hash: 2

Soft:
OpenVSX, Jenkins, Trivy, DockerHub, debian, alpine, Open VSX, Open-VSX, docker, VSCode, have more...

Algorithms:
sha256

Links:
have more...
https://github.com/checkmarx/ast-github-action