#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость в расширении Chrome для Claude позволяет вредоносным расширениям перехватывать его функциональность без разрешения, что даёт возможность выполнения произвольного кода и манипулирования пользовательскими данными в различных сервисах. Ошибка возникает из-за проблемы доверия при выполнении кода в домене claude.ai, позволяя любому скрипту взаимодействовать с LLM Claude. Несмотря на частичное исправление, внесённое разработчиком, основная уязвимость остаётся, позволяя злоумышленникам выполнять несанкционированные действия с привилегиями пользователя.
-----

Исследователи безопасности LayerX выявили значительную уязвимость в расширении Chrome для Claude, которая позволяет вредоносным расширениям перехватывать его функциональность без необходимости получения каких-либо разрешений. Этот недостаток обусловлен реализацией кода, которая позволяет скриптам, выполняемым в домене claude.ai, взаимодействовать с большой языковой моделью (LLM) Claude без проверки подлинности или контекста выполняемого скрипта. В результате любое расширение может внедрить код, выполнить произвольные команды и манипулировать пользовательскими данными в рамках различных Веб-сервисов, таких как Gmail, Google Drive и GitHub, эффективно превращая Claude в прокси-сервер для злоумышленника.

Исследователи продемонстрировали, как злоумышленник может похищать конфиденциальную информацию или выполнять действия от имени пользователя, например, делиться файлами или отправлять электронные письма, эксплуатируя эту уязвимость. Примечательно, что проблема усугублялась использованием Claude настройки манифеста «externally_connectable», которая доверяет источнику (origin), а не контексту выполнения. Этот недостаток архитектуры позволяет любому JavaScript-коду, выполняемому на claude.ai — который может быть внедрен вредоносным расширением — отправлять привилегированные команды напрямую расширению Claude.

Хотя Anthropic, разработчик Claude, признал наличие уязвимости и выпустил частичное исправление, оно не устранило основную уязвимость. Исправление заключалось во внедрении дополнительных внутренних проверок безопасности, но не затронуло базовую модель доверия, которая по-прежнему позволяет обходить эти проверки. Например, даже включение «привилегированного режима» позволяет злоумышленнику манипулировать поведением расширения без уведомления пользователя.

Воздействие этой уязвимости является серьезным, поскольку оно по сути нарушает парадигму безопасности расширений Chrome, позволяя расширениям с нулевыми разрешениями выполнять действия, обычно зарезервированные для доверенных приложений. Отсутствие надлежащей аутентификации для сообщений, отправляемых в интерфейсы Claude, означает, что несанкционированные действия могут выполняться с привилегиями пользователя, обходя потоки согласия и приводя к потенциально непреднамеренным или вредным последствиям.

#ParsedReport #CompletenessMedium
07-05-2026

Abuse of Cloud-Native Infrastructure in Modern Phishing Campaigns

https://www.cyfirma.com/research/abuse-of-cloud-native-infrastructure-in-modern-phishing-campaigns/

Report completeness: Medium

Threats:
Blobphish
Credential_harvesting_technique
Blob_url_obfuscation_technique
Aitm_technique
Supply_chain_technique
Spear-phishing_technique
Typosquatting_technique

Victims:
Manufacturing, Technology, Financial services, Finance, Government, Transportation, Telecommunications, Consumer finance, Thailand, Southeast asia, have more...

Industry:
Retail, Financial, Transport, Telco, Government

Geo:
Asia, Asia-pacific, Thailand, America, Asian, Middle east

TTPs:
Tactics: 7
Technics: 14

IOCs:
IP: 6

Soft:
Azure Blob

Functions:
SaaS

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Доверенная инфраструктура фишинга (TIP) эволюционировала, изменив методы фишинга, работая полностью в облачных средах, которым доверяют организации, что затрудняет обнаружение из-за легитимного характера используемых сервисов. Атакующие используют протоколы OAuth для сбора токенов доступа и инструментов автоматизации рабочих процессов для доставки фишинговых писем, направляя жертв на кажущиеся безобидными страницы на таких сервисах, как Azure и SharePoint. TIP использует передовые тактики уклонения, включая методы в памяти и проксирование «противник посередине», для закрепления без вызова тревог.
-----

Доверенная инфраструктура фишинга (TIP) — это новый метод фишинга, который работает исключительно в доверенных облачных средах предприятия.

TIP устраняет традиционные индикаторы злонамеренных намерений, используя легитимные облачные сервисы на всех этапах атаки.

Злоумышленники перешли от фишинга на основе ВПО к сбору учетных записей через легитимные структуры, избегая типичных следов криминалистический анализ.

Фишинговые письма часто отправляются с использованием легальных инструментов автоматизации рабочих процессов из систем облачных провайдеров, что позволяет обходить спам-фильтры и меры безопасности электронной почты.

Жертв перенаправляют на фишинговые страницы, размещенные на признанных облачных сервисах хранения данных, таких как Azure и SharePoint, которые выглядят легитимно благодаря защищенным сертификатам и брендингу.

Расширенные варианты TIP используют техники в памяти для динамического создания фишинговых страниц на основе возможностей браузера жертвы, что позволяет избегать обнаружения.

Этот подход позволяет избежать фильтрации на сетевом уровне, поскольку вредоносный контент не передается по сети.

Злоумышленники используют протоколы OAuth для перехвата токенов доступа вместо паролей, применяя проксирование «злоумышленник посередине» для ретрансляции потоков аутентификации.

После получения первоначального доступа злоумышленники сохраняют присутствие в облачной среде жертвы и создают правила для постоянного доступа без вызова тревог.

Фишинговые кампании, нацеленные на организации в Северной Америке, успешно использовали механизмы OAuth для токенов доступа, обеспечив закрепление.

Другие операции имитируют легитимные организации, применяя мониторинг в реальном времени и локализованные стратегии для манипуляции пользователями и извлечения конфиденциальной информации.

Скомпрометированные бэкенд-интерфейсы могут раскрывать подробные журналы взаимодействия, выявляя плохие практики безопасности.

Для противодействия TIP организациям необходимо внедрить более строгие меры аутентификации, управлять разрешениями OAuth и улучшить обнаружение на основе поведения пользователей, а не только сетевого трафика.

Будущие меры защиты потребуют архитектурных изменений в связи с эволюцией фишинга на фоне растущего внедрения облачных технологий.

#ParsedReport #CompletenessMedium
10-05-2026

Update: Ongoing Checkmarx Supply Chain Security Incident

https://checkmarx.com/blog/ongoing-security-updates/

Report completeness: Medium

Actors/Campaigns:
Teampcp
Lapsus

Threats:
Supply_chain_technique

Victims:
Checkmarx, Github repositories, Ci cd pipelines, Developer workstations, Open vsx registry users

Industry:
E-commerce

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1195.001, T1195.002, T1213.003

IOCs:
IP: 3
Domain: 1
File: 7
Hash: 2

Soft:
OpenVSX, Jenkins, Trivy, DockerHub, debian, alpine, Open VSX, Open-VSX, docker, VSCode, have more...

Algorithms:
sha256

Links:
have more...
https://github.com/checkmarx/ast-github-action

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
23 марта 2026 года Checkmarx столкнулся с нарушением безопасности Цепочки поставок из-за скомпрометированных артефактов разработчиков, связанных с уязвимостями в сканере Trivy, что позволило злоумышленникам публиковать вредоносный код в его репозиториях GitHub. Этот инцидент включал выпуск модифицированных версий плагина Checkmarx Jenkins AST и других компонентов на нескольких маркетплейсах, что привело к эксфильтрации данных группой LAPSUS$. Хотя вредоносные артефакты не перезаписывали безопасные версии, атака выявила значительные риски, связанные с зависимостью от стороннего кода.
-----

23 марта 2026 года Checkmarx стал жертвой инцидента безопасности цепочки поставок, связанного с компрометацией артефактов разработчиков после атаки на цепочку поставок Trivy. Злоумышленники использовали уязвимости в сканере Trivy, потенциально похищая учетные данные у пользователей, использующих его в своих процессах. Этот несанкционированный доступ позволил им публиковать вредоносный код в репозиториях GitHub Checkmarx, где они взаимодействовали с окружением и публиковали скомпрометированные версии плагинов.

Злоумышленники публиковали модифицированные версии плагина Checkmarx Jenkins AST в маркетплейс Jenkins, а также различные плагины в реестре OpenVSX. В частности, были обнаружены вредоносные теги и связанные с ними SHA-хэши для образов Docker, действий GitHub и расширений VS Code, что затронуло такие версии, как публичный образ KICS на DockerHub от Checkmarx и несколько расширений как в маркетплейсе Microsoft, так и в Open VSX.

30 марта 2026 года произошла эксфильтрация данных, что впоследствии привело к утечке конфиденциальных данных группой киберпреступников LAPSUS$ 25 апреля 2026 года. Этот инцидент был идентифицирован как компрометация определенных компонентов, связанных с Checkmarx One, но не с его локальной установкой CxSAST. Расследование показало, что вредоносные артефакты не перезаписывали известные безопасные версии, что позволило клиентам, использующим более ранние версии, остаться без изменений.

В ответ на атаку Checkmarx предпринял меры по сдерживанию, расследованию и устранению последствий, включая привлечение правоохранительных органов и привлечение сторонней криминалистический анализ компании. Дополнительные действия по защите их систем включали ротацию учетные данные, ужесточение контроля доступа и проведение аудитов кода для подтверждения отсутствия вредоносного кода.

Клиентам было рекомендовано заблокировать доступ к конкретным доменам и IP-адресам, связанным с компрометацией, заменить потенциально затронутые учетные данные, включая те, что используются для облачных сервисов и GitHub, а также удалить любые вредоносные версии расширений, полученные из реестра OpenVSX. Были предоставлены инструменты для выявления затронутых сред, включая проверку журналов CI/CD и рабочих станций на наличие подозрительной активности, связанной с скомпрометированными плагинами.

Результаты инцидента показали, что уязвимости в Цепочка поставок могут существенно воздействовать как на пользователей, так и на платформы, зависящие от стороннего кода. В качестве превентивных мер Checkmarx заявил о намерениях усилить средства защиты, направленные на снижение аналогичных рисков в будущем. Ожидается, что текущее расследование позволит провести формальный анализ первопричины и подготовить комплексное заявление о воздействии для затронутых клиентов.

#ParsedReport #CompletenessLow
10-05-2026

Industrialized Smishing Infrastructure Targeting the UAE and Singapore Transportation, Government, and Logistics Sectors

https://medium.com/@raghavtiresearch/industrialized-smishing-infrastructure-targeting-the-uae-and-singapore-transportation-government-cd754e76a5c8?source=rss-2f156a402f32------2

Report completeness: Low

Actors/Campaigns:
Smishing_triad

Threats:
Smishing_technique
Credential_harvesting_technique

Victims:
Transportation, Government, Logistics, Digital identity

Industry:
Logistic, Transport, Government, Financial

Geo:
Asia, Singapore, Middle east, Emirates

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1583.001, T1583.004, T1588.004, T1656

IOCs:
Domain: 6
IP: 1

Soft:
Alibaba Cloud

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Выявлена инфраструктура фишинга и смишинга, нацеленная на ОАЭ и Сингапур, использующая модель PhaaS с динамически генерируемыми поддоменами на Alibaba Cloud, в частности с доменом emiratespost.ae.tcsz.top. Эта кампания включает высокодоверенные сервисы и использует случайные четырехсимвольные корневые домены для создания обманных поддоменов, стремясь к сбору учетных записей и финансовому мошенничеству. Она демонстрирует признаки сложной автоматизации, включая быструю регистрацию доменов и адаптированную географическую таргетинг, параллельно тактикам группы Smishing Triad.
-----

Обнаружена значительная инфраструктура фишинга и смишинга, нацеленная на транспортный, государственный и логистический секторы ОАЭ и Сингапура. Эта инфраструктура, характеризующаяся как экосистема фишинга как услуга (PhaaS), в основном использует динамически генерируемые поддомены, размещенные на Alibaba Cloud. Выявленный фишинговый домен — emiratespost.ae.tcsz.top, вместе с IP-адресом хостинга 47.254.56.221, который был связан с операциями, напоминающими те, что ассоциируются с Smishing Triad, признанной хакерской группировкой.

В рамках кампании активно используются домены .top и .cc, при этом эксплуатируются короткие случайные домены верхнего уровня в сочетании с названиями легитимных организаций для создания обманных поддоменов. Под атаками находятся высокодоверенные публичные сервисы, такие как Emirates Post, Salik, Parkin, Dubai Police, Aramex и Сингапурская администрация наземного транспорта (Land Transport Authority). Оперативная цель, по всей видимости, заключается в финансовом мошенничестве, включающем сбор учетных записей, кражу платежных карт и возможные атаки на национальные системы цифровой идентификации, такие как UAE Pass.

Эта смишинг-кампания отличается признаками автоматизации в промышленных масштабах, такими как быстрая регистрация доменов, выпуск SSL-сертификатов и методы фишинговой доставки с геотаргетингом. Злоумышленники адаптировали свои операции для целенаправленного воздействия на сервисы, связанные с регулярными платежами и проверкой личности, что подчеркивает их стратегический фокус на секторах, где пользователи часто взаимодействуют с конфиденциальной информацией.

Кроме того, инфраструктура демонстрирует характеристики, типичные для зрелых фишинговых операций, включая систематическое использование случайных четырехсимвольных доменов верхнего уровня в зонах .top и .cc, которые часто предпочтительны для фишинга из-за их низкой стоимости и простоты быстрого развертывания. Фишинговая инфраструктура спроектирована для доставки вредоносного контента на основе географической привязки, что указывает на организованный подход к максимизации эффективности и воздействия.

Анализ показывает, что, хотя окончательная атрибуция остается сложной задачей, сходство в шаблонах инфраструктуры и методологиях с теми, что используются Smishing Triad, представляет убедительный случай для операционного сходства. Кампания подчеркивает тревожную тенденцию в киберугрозах, иллюстрируя эволюцию ландшафта мобильных фишинговых стратегий, особенно в контексте правительственных и транспортных систем на Ближнем Востоке и в Юго-Восточной Азии, поскольку злоумышленники все чаще смещают фокус на высокодоверительные цифровые среды.

#ParsedReport #CompletenessHigh
10-05-2026

OPERATION SILENTCANVAS : JPEG BASED MULTISTAGE POWERSHELL INTRUSION

https://www.cyfirma.com/research/operation-silentcanvas-jpeg-based-multistage-powershell-intrusion/

Report completeness: High

Actors/Campaigns:
Silentcanvas (motivation: cyber_espionage, financially_motivated)

Threats:
Screenconnect_tool
Uac_bypass_technique
Amsi_bypass_technique
Lolbin_technique
Credential_harvesting_technique
Sysupdate
Spear-phishing_technique

Victims:
Enterprise environments, Organizations utilizing rmm software, Remote support platforms

TTPs:
Tactics: 10
Technics: 37

IOCs:
File: 16
Domain: 1
Registry: 1
IP: 1
Command: 1
Hash: 6

Soft:
Windows service, Active Directory, Windows authentication, Windows shell, NET Framework, Microsoft OneDrive

Algorithms:
sha256, zip, pbkdf2

Functions:
DeriveSecureRandomValuesForConnection, MaintainEphemeralUsers, MaintainClientProcesses, SetSafeModeReboot, AddWindowTaskbarButtonIfApplicable, RemoveWindowTaskbarButtonIfPresent, TryLaunch, CreateProcessAsUser, CreateRemoteProcess, EnableCurrentProcessPrivilege, have more...

Win API:
WndProc, DuplicateToken, ImpersonateLoggedOnUser, SeDebugPrivilege, NetUserAdd, DuplicateTokenEx, GetDIBits

Languages:
powershell

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция SilentCanvas — это сложная многоэтапная хакерская кампания, использующая замаскированный PowerShell-пэйлоад, доставляемый через фишинг, для получения скрытого удалённого доступа через модифицированную версию ConnectWise ScreenConnect. Атака применяет передовые методы, такие как обход AMSI, повышение привилегий без использования файлов и выполнение кода в памяти, что обеспечивает постоянное присутствие через Службу Windows, имитирующую легитимное программное обеспечение. Обладая возможностями перехвата учётных данных и масштабного наблюдения, операция подчёркивает растущий тренд среди злоумышленников в сторону скрытности.
-----

Хакерская кампания под названием Operation SilentCanvas использует сложную многоэтапную атаку, которая задействует оружией PowerShell-пакет, замаскированный под файл JPEG, для обеспечения скрытого и постоянного удаленного доступа через модифицированную версию ConnectWise ScreenConnect. ВПО изначально доставляется с помощью методов социальной инженерии, таких как фишинговые письма и вредоносные вложения. В частности, оно эксплуатирует доверие пользователей, Маскируясь как sysupdate.jpeg, обходя протоколы проверки расширений файлов.

После запуска вредоносное ПО создает среду развертывания, использует компилятор Microsoft .NET (csc.exe) для динамической компиляции дополнительных вредоносных загрузок и извлекает дальнейшие компоненты с серверов, контролируемых злоумышленниками. Сюда входит троянизированная версия ScreenConnect, предназначенная для скрытых операций. Атака использует передовые тактики, такие как обход интерфейса сканирования антивирусного ПО (AMSI), выполнение кода в памяти, злоупотребление исполняемыми файлами living-off-the-land (LOLBin) и безфайловое повышение привилегий через подмену реестра с участием ComputerDefaults.exe. Это позволяет вредоносному ПО получать повышенные привилегии без вызова запросов контроля учетных записей (UAC).

Модифицированный фреймворк ScreenConnect обеспечивает широкий спектр функциональных возможностей, включая перехват учетных данных, выполнение удаленных команд и расширенные возможности наблюдения, такие как захват экрана и мониторинг аудио. Связь с злоумышленниками осуществляется по зашифрованным каналам, при этом для повышения устойчивости к усилиям по обнаружению используются нестандартные порты. Кроме того, ВПО включает различные уклонистские техники, такие как использование легитимных подписанных бинарных файлов, антикриминалистический анализ поведения и манипуляции с реестром для снижения криминалистической видимости своих действий.

При запуске вредоносного ПО оно создает постоянную Службу Windows, замаскированную под OneDriveServers, что обеспечивает сохранение доступа после перезагрузки. Кроме того, оно перечисляет установленные решения безопасности для адаптации своей деятельности, демонстрируя высокий уровень операционной зрелости. Архитектура вредоносного ПО указывает на фокус на скрытности и сложности, включая децентрализованную инфраструктуру управления, широкие возможности сбора учетных записей и фреймворк для перемещения внутри компании по скомпрометированным сетям.

Сочетание передовых тактик уклонения и возможностей для долгосрочного закрепления указывает на то, что эта операция может привести к значительным последствиям для предприятий, включая кражу данных, шпионаж и потенциальное развертывание программ-вымогателей. В целом, операция SilentCanvas отражает растущий тренд среди злоумышленников использовать доверенное программное обеспечение в злонамеренных целях, применяя модульные фреймворки, направленные на поддержание скрытого доступа в скомпрометированных средах.

#ParsedReport #CompletenessMedium
06-05-2026

Coinbase Cartel: The Credential-Driven Extortion Group Targeting Enterprise Data

https://www.provendata.com/blog/coinbase-cartel-ransomware

Report completeness: Medium

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated)
Shinyhunters (motivation: cyber_criminal, financially_motivated)
Bianlian
Shiny_spider

Threats:
Redline_stealer
Lumma_stealer
Vidar_stealer
Supply_chain_technique
Psexec_tool

Victims:
Healthcare, Technology, Transportation, North america, Europe, Middle east, Asia pacific

Industry:
Education, Healthcare, Transport

Geo:
America, Japanese, Middle east, Asia-pacific

TTPs:
Tactics: 10
Technics: 19

IOCs:
Domain: 1
Email: 2

Soft:
Telegram, Active Directory, ESXi, PsExec, Salesforce

Wallets:
coinbase

Crypto:
bitcoin

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Картель Coinbase, действующий с сентября 2025 года, — это киберпреступная группа, специализирующаяся на вымогательстве на основе учетных данных, использующая скомпрометированные учетные данные из стиллеров, таких как RedLine и Vidar. Они получают доступ к жертвам преимущественно через кражу учетных данных, социальную инженерию и тщательную разведку, выполняя перемещение внутри компании через SSH и RDP для эксфильтрации данных с помощью пользовательских скриптов, имитирующих легитимные инструменты. Их операции характеризуются отсутствием шифрования похищенных данных, что отражает сдвиг в сторону вымогательства без традиционных тактик ransomware.
-----

Группировка Coinbase Cartel, мотивированная финансовой выгодой, которая появилась в сентябре 2025 года, сосредоточена на вымогательстве на основе учетных данных, а не на традиционных атаках с использованием ВПО-шифровальщиков. Эта группировка действует независимо и имеет связи с устоявшимися киберпреступными организациями, такими как ShinyHunters, Scattered Spider и Lapsus$. Их метод работы заключается в использовании скомпрометированных учетных данных из журналов стиллер-ВПО, таких как RedLine, Lumma и Vidar, которые собирают конфиденциальные данные, такие как сохраненные пароли и токены аутентификации.

Оперативные техники Coinbase Cartel можно разбить на отдельные фазы. Потенциальные жертвы в первую очередь атакуются путем кражи учетных данных, что осуществляется путем покупки логов, содержащих действительные учетные данные, из даркнета или каналов Телеграм. Кроме того, картель применял тактики социальной инженерии, в частности вишинг, чтобы обмануть сотрудников и заставить их предоставить разрешения вредоносным приложениям OAuth, что обеспечивает продолженный доступ к целевым средам.

После проникновения группа проводит тщательную разведку для выявления высокоценных активов, таких как объекты Active Directory и базы данных VMware, используя инструменты вроде запросов к API vCenter. Затем они осуществляют перемещение внутри компании через SSH и RDP для эффективного перемещения по сети. Фаза сбора данных включает пользовательские скрипты на Python, имитирующие легитимные инструменты, такие как Salesforce Data Loader, что облегчает массовую эксфильтрацию данных CRM, маскируя их под обычный операционный трафик. Данные сжимаются и передаются через зашифрованные каналы или облачные API, избегая механизмов обнаружения, используемых при традиционных утечках данных.

В отличие от других группировок-вымогателей, Coinbase Cartel не применяет методы шифрования к эксфильтрованным данным, делая ставку на чистые стратегии вымогательства. Эта модель, основанная исключительно на эксфильтрации, отражает более широкую тенденцию в киберкриминале, наблюдаемую у таких группировок, как BianLian, что побуждает организации готовиться к инцидентам вымогательства без шифрования файлов. Деятельность картеля преимущественно направлена на ключевые сектора, включая здравоохранение, технологии и транспорт, при этом сообщается о жертвах в Северной Америке, Европе, на Ближнем Востоке и в регионе Азиатско-Тихоокеанского региона.

Для защиты от подобных угроз организациям рекомендуется внедрять многофакторную аутентификацию (MFA), контролировать учетные данные на предмет утечек и проводить аудит разрешений приложений OAuth. Эти меры могут снизить риски, особенно учитывая, что значительная часть жертв ранее имела задокументированные утечки, связанные с инфостилерами. Кроме того, защита инфраструктуры, такой как хосты ESXi, и обеспечение строгого контроля всех точек удаленного доступа могут дополнительно защитить предприятия от этих атак, основанных на учетных данных. Операционная структура и методы атак, применяемые Coinbase Cartel, подчеркивают необходимость надежных мер кибербезопасности в современной угрожающей среде.

#ParsedReport #CompletenessHigh
10-05-2026

Donuts and Beagles: Fake Claude site spreads backdoor

https://www.sophos.com/en-us/blog/donuts-and-beagles-fake-claude-site-spreads-backdoor

Report completeness: High

Actors/Campaigns:
Golden_eyed_dog
Red_wolf
Crimson_palace
Stac4713
Payouts_king

Threats:
Donut
Beagle
Dll_sideloading_technique
Plugx_rat
Seo_poisoning_technique
Shadowpad
Adaptixc2_tool

Victims:
Government, Users of ai tools

Industry:
Nuclear_power, Education, Government

Geo:
Asia, German, Usa, Budapest

ChatGPT TTPs:
do not use without manual check
T1027.013, T1033, T1082, T1095, T1105, T1106, T1132.001, T1140, T1204.001, T1204.002, have more...

IOCs:
Domain: 9
IP: 4
File: 2
Url: 1
Hash: 15

Soft:
Claude, Anthropic, Microsoft Defender, Alibaba Cloud, macOS

Algorithms:
base64, xor, aes, sha256

Links:
https://github.com/TheWover/donut
https://github.com/Adaptix-Framework/AdaptixC2
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Согласно недавнему расследованию, вредоносный сайт, имитирующий Claude от Anthropic, распространяет ВПО с помощью подгрузки DLL. В рамках кампании используется полезная нагрузка под названием DonutLoader, которая загружает бэкдор Beagle, взаимодействующий с сервером C2 через структурированную систему обмена сообщениями по протоколам TCP и UDP. Злоумышленники применяют тактики, напоминающие исторические операции PlugX, одновременно адаптируя свои методы для обхода защиты и используя социальную инженерию вокруг инструментов на базе искусственного интеллекта для привлечения жертв.
-----

Недавнее расследование Sophos X-Ops выявило вредоносный сайт, имитирующий сайт Anthropic's Claude, предназначенный для распространения ВПО через подгрузку DLL. Эта кампания изначально выглядит похожей на исторические кампании PlugX, но дальнейший анализ выявил новый первый этап загрузки, названный DonutLoader, который предназначен для загрузки ранее не документированного бэкдора, идентифицированного как "Beagle". Фальшивый сайт, claude-pro.com, имеет упрощенный дизайн, предназначенный для Вредоносная реклама, привлекающий внимание пользователей через результаты поисковых систем и потенциально вводящие в заблуждение рекламные объявления.

Атака начинается, когда пользователи загружают установочный файл MSI с именем Claude.msi, который затем размещает три вредоносных файла в каталоге автозагрузки пользователя. Примечательно, что компонент NOVupdate.exe маскируется под легитимный обновлятор антивируса G DATA. Однако он использует подгрузку DLL (DLL sideloading) для выполнения вредоносной версии avk.dll — техники, часто ассоциируемой как с семейством ВПО PlugX, так и с его вариантами. Примечательно, как этот подход усложняет атрибуцию, учитывая, что методология имеет пересечения с ShadowPad, еще одним бэкдором, использующим подгрузку DLL.

После запуска вредоносное ПО разворачивает shellcode Donut, загрузчик с открытым исходным кодом, который затем активирует бэкдор Beagle. Этот бэкдор взаимодействует с сервером управления (C2) по адресу license.claude-pro.com через TCP (порт 443) и UDP (порт 8080). Протокол связи использует жестко закодированный ключ AES и устанавливает структурированный формат сообщений, указывающий направление трафика; исходящие сообщения имеют тип "10", а входящие команды отображаются как тип "11".

Дальнейшие образцы от злоумышленников демонстрируют приверженность к изменению тактик при сохранении фундаментальных структур, включающих подгрузку DLL (DLL sideloading). В их арсенале присутствуют дополнительные легитимные имена файлов наряду с вредоносными DLL, что указывает на изобретательный подход к уклонению от обнаружения. Вариации в их коммуникационной инфраструктуре, такие как размещение C2-сервера на Alibaba Cloud при использовании Cloudflare для распространения ВПО, свидетельствуют о попытке создать слои сложности в своих операциях.

Последствия этой кампании демонстрируют стратегию, адаптирующуюся к текущим технологическим трендам, поскольку злоумышленники используют техники социальной инженерии, опирающиеся на популярные инструменты ИИ для заманивания потенциальных жертв. Существующие исследования указывают на паттерн перенастройки ранее эффективных цепочек заражения при одновременном внедрении новых полезной нагрузки, что подчеркивает эволюцию в методологиях злоумышленников. Мониторинг имен файлов, связанных с этой кампанией, и осторожность при переходе по ссылкам из рекламных объявлений являются критически важными защитными мерами.

#ParsedReport #CompletenessLow
11-05-2026

Checkmarx Jenkins Plugin Backdoored in New TeamPCP Supply Chain Attack

https://socradar.io/blog/checkmarx-jenkins-plugin-teampcp-backdoor/

Report completeness: Low

Actors/Campaigns:
Teampcp
Mini_shai-hulud

Threats:
Supply_chain_technique
Shai-hulud
Credential_stealing_technique
Canisterworm

Victims:
Checkmarx, Jenkins users, Software development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1078.004, T1083, T1119, T1195.001, T1195.002, T1491, T1552, T1552.001, have more...

IOCs:
Domain: 1

Soft:
Jenkins, OpenVSX, Kubernetes, Trivy, litellm, Docker, trycloudflare

Links:
https://github.com/jenkinsci/checkmarx-ast-scanner-plugin