#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Выявлена инфраструктура фишинга и смишинга, нацеленная на ОАЭ и Сингапур, использующая модель PhaaS с динамически генерируемыми поддоменами на Alibaba Cloud, в частности с доменом emiratespost.ae.tcsz.top. Эта кампания включает высокодоверенные сервисы и использует случайные четырехсимвольные корневые домены для создания обманных поддоменов, стремясь к сбору учетных записей и финансовому мошенничеству. Она демонстрирует признаки сложной автоматизации, включая быструю регистрацию доменов и адаптированную географическую таргетинг, параллельно тактикам группы Smishing Triad.
-----

Обнаружена значительная инфраструктура фишинга и смишинга, нацеленная на транспортный, государственный и логистический секторы ОАЭ и Сингапура. Эта инфраструктура, характеризующаяся как экосистема фишинга как услуга (PhaaS), в основном использует динамически генерируемые поддомены, размещенные на Alibaba Cloud. Выявленный фишинговый домен — emiratespost.ae.tcsz.top, вместе с IP-адресом хостинга 47.254.56.221, который был связан с операциями, напоминающими те, что ассоциируются с Smishing Triad, признанной хакерской группировкой.

В рамках кампании активно используются домены .top и .cc, при этом эксплуатируются короткие случайные домены верхнего уровня в сочетании с названиями легитимных организаций для создания обманных поддоменов. Под атаками находятся высокодоверенные публичные сервисы, такие как Emirates Post, Salik, Parkin, Dubai Police, Aramex и Сингапурская администрация наземного транспорта (Land Transport Authority). Оперативная цель, по всей видимости, заключается в финансовом мошенничестве, включающем сбор учетных записей, кражу платежных карт и возможные атаки на национальные системы цифровой идентификации, такие как UAE Pass.

Эта смишинг-кампания отличается признаками автоматизации в промышленных масштабах, такими как быстрая регистрация доменов, выпуск SSL-сертификатов и методы фишинговой доставки с геотаргетингом. Злоумышленники адаптировали свои операции для целенаправленного воздействия на сервисы, связанные с регулярными платежами и проверкой личности, что подчеркивает их стратегический фокус на секторах, где пользователи часто взаимодействуют с конфиденциальной информацией.

Кроме того, инфраструктура демонстрирует характеристики, типичные для зрелых фишинговых операций, включая систематическое использование случайных четырехсимвольных доменов верхнего уровня в зонах .top и .cc, которые часто предпочтительны для фишинга из-за их низкой стоимости и простоты быстрого развертывания. Фишинговая инфраструктура спроектирована для доставки вредоносного контента на основе географической привязки, что указывает на организованный подход к максимизации эффективности и воздействия.

Анализ показывает, что, хотя окончательная атрибуция остается сложной задачей, сходство в шаблонах инфраструктуры и методологиях с теми, что используются Smishing Triad, представляет убедительный случай для операционного сходства. Кампания подчеркивает тревожную тенденцию в киберугрозах, иллюстрируя эволюцию ландшафта мобильных фишинговых стратегий, особенно в контексте правительственных и транспортных систем на Ближнем Востоке и в Юго-Восточной Азии, поскольку злоумышленники все чаще смещают фокус на высокодоверительные цифровые среды.

#ParsedReport #CompletenessHigh
10-05-2026

OPERATION SILENTCANVAS : JPEG BASED MULTISTAGE POWERSHELL INTRUSION

https://www.cyfirma.com/research/operation-silentcanvas-jpeg-based-multistage-powershell-intrusion/

Report completeness: High

Actors/Campaigns:
Silentcanvas (motivation: cyber_espionage, financially_motivated)

Threats:
Screenconnect_tool
Uac_bypass_technique
Amsi_bypass_technique
Lolbin_technique
Credential_harvesting_technique
Sysupdate
Spear-phishing_technique

Victims:
Enterprise environments, Organizations utilizing rmm software, Remote support platforms

TTPs:
Tactics: 10
Technics: 37

IOCs:
File: 16
Domain: 1
Registry: 1
IP: 1
Command: 1
Hash: 6

Soft:
Windows service, Active Directory, Windows authentication, Windows shell, NET Framework, Microsoft OneDrive

Algorithms:
sha256, zip, pbkdf2

Functions:
DeriveSecureRandomValuesForConnection, MaintainEphemeralUsers, MaintainClientProcesses, SetSafeModeReboot, AddWindowTaskbarButtonIfApplicable, RemoveWindowTaskbarButtonIfPresent, TryLaunch, CreateProcessAsUser, CreateRemoteProcess, EnableCurrentProcessPrivilege, have more...

Win API:
WndProc, DuplicateToken, ImpersonateLoggedOnUser, SeDebugPrivilege, NetUserAdd, DuplicateTokenEx, GetDIBits

Languages:
powershell

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция SilentCanvas — это сложная многоэтапная хакерская кампания, использующая замаскированный PowerShell-пэйлоад, доставляемый через фишинг, для получения скрытого удалённого доступа через модифицированную версию ConnectWise ScreenConnect. Атака применяет передовые методы, такие как обход AMSI, повышение привилегий без использования файлов и выполнение кода в памяти, что обеспечивает постоянное присутствие через Службу Windows, имитирующую легитимное программное обеспечение. Обладая возможностями перехвата учётных данных и масштабного наблюдения, операция подчёркивает растущий тренд среди злоумышленников в сторону скрытности.
-----

Хакерская кампания под названием Operation SilentCanvas использует сложную многоэтапную атаку, которая задействует оружией PowerShell-пакет, замаскированный под файл JPEG, для обеспечения скрытого и постоянного удаленного доступа через модифицированную версию ConnectWise ScreenConnect. ВПО изначально доставляется с помощью методов социальной инженерии, таких как фишинговые письма и вредоносные вложения. В частности, оно эксплуатирует доверие пользователей, Маскируясь как sysupdate.jpeg, обходя протоколы проверки расширений файлов.

После запуска вредоносное ПО создает среду развертывания, использует компилятор Microsoft .NET (csc.exe) для динамической компиляции дополнительных вредоносных загрузок и извлекает дальнейшие компоненты с серверов, контролируемых злоумышленниками. Сюда входит троянизированная версия ScreenConnect, предназначенная для скрытых операций. Атака использует передовые тактики, такие как обход интерфейса сканирования антивирусного ПО (AMSI), выполнение кода в памяти, злоупотребление исполняемыми файлами living-off-the-land (LOLBin) и безфайловое повышение привилегий через подмену реестра с участием ComputerDefaults.exe. Это позволяет вредоносному ПО получать повышенные привилегии без вызова запросов контроля учетных записей (UAC).

Модифицированный фреймворк ScreenConnect обеспечивает широкий спектр функциональных возможностей, включая перехват учетных данных, выполнение удаленных команд и расширенные возможности наблюдения, такие как захват экрана и мониторинг аудио. Связь с злоумышленниками осуществляется по зашифрованным каналам, при этом для повышения устойчивости к усилиям по обнаружению используются нестандартные порты. Кроме того, ВПО включает различные уклонистские техники, такие как использование легитимных подписанных бинарных файлов, антикриминалистический анализ поведения и манипуляции с реестром для снижения криминалистической видимости своих действий.

При запуске вредоносного ПО оно создает постоянную Службу Windows, замаскированную под OneDriveServers, что обеспечивает сохранение доступа после перезагрузки. Кроме того, оно перечисляет установленные решения безопасности для адаптации своей деятельности, демонстрируя высокий уровень операционной зрелости. Архитектура вредоносного ПО указывает на фокус на скрытности и сложности, включая децентрализованную инфраструктуру управления, широкие возможности сбора учетных записей и фреймворк для перемещения внутри компании по скомпрометированным сетям.

Сочетание передовых тактик уклонения и возможностей для долгосрочного закрепления указывает на то, что эта операция может привести к значительным последствиям для предприятий, включая кражу данных, шпионаж и потенциальное развертывание программ-вымогателей. В целом, операция SilentCanvas отражает растущий тренд среди злоумышленников использовать доверенное программное обеспечение в злонамеренных целях, применяя модульные фреймворки, направленные на поддержание скрытого доступа в скомпрометированных средах.

#ParsedReport #CompletenessMedium
06-05-2026

Coinbase Cartel: The Credential-Driven Extortion Group Targeting Enterprise Data

https://www.provendata.com/blog/coinbase-cartel-ransomware

Report completeness: Medium

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated)
Shinyhunters (motivation: cyber_criminal, financially_motivated)
Bianlian
Shiny_spider

Threats:
Redline_stealer
Lumma_stealer
Vidar_stealer
Supply_chain_technique
Psexec_tool

Victims:
Healthcare, Technology, Transportation, North america, Europe, Middle east, Asia pacific

Industry:
Education, Healthcare, Transport

Geo:
America, Japanese, Middle east, Asia-pacific

TTPs:
Tactics: 10
Technics: 19

IOCs:
Domain: 1
Email: 2

Soft:
Telegram, Active Directory, ESXi, PsExec, Salesforce

Wallets:
coinbase

Crypto:
bitcoin

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Картель Coinbase, действующий с сентября 2025 года, — это киберпреступная группа, специализирующаяся на вымогательстве на основе учетных данных, использующая скомпрометированные учетные данные из стиллеров, таких как RedLine и Vidar. Они получают доступ к жертвам преимущественно через кражу учетных данных, социальную инженерию и тщательную разведку, выполняя перемещение внутри компании через SSH и RDP для эксфильтрации данных с помощью пользовательских скриптов, имитирующих легитимные инструменты. Их операции характеризуются отсутствием шифрования похищенных данных, что отражает сдвиг в сторону вымогательства без традиционных тактик ransomware.
-----

Группировка Coinbase Cartel, мотивированная финансовой выгодой, которая появилась в сентябре 2025 года, сосредоточена на вымогательстве на основе учетных данных, а не на традиционных атаках с использованием ВПО-шифровальщиков. Эта группировка действует независимо и имеет связи с устоявшимися киберпреступными организациями, такими как ShinyHunters, Scattered Spider и Lapsus$. Их метод работы заключается в использовании скомпрометированных учетных данных из журналов стиллер-ВПО, таких как RedLine, Lumma и Vidar, которые собирают конфиденциальные данные, такие как сохраненные пароли и токены аутентификации.

Оперативные техники Coinbase Cartel можно разбить на отдельные фазы. Потенциальные жертвы в первую очередь атакуются путем кражи учетных данных, что осуществляется путем покупки логов, содержащих действительные учетные данные, из даркнета или каналов Телеграм. Кроме того, картель применял тактики социальной инженерии, в частности вишинг, чтобы обмануть сотрудников и заставить их предоставить разрешения вредоносным приложениям OAuth, что обеспечивает продолженный доступ к целевым средам.

После проникновения группа проводит тщательную разведку для выявления высокоценных активов, таких как объекты Active Directory и базы данных VMware, используя инструменты вроде запросов к API vCenter. Затем они осуществляют перемещение внутри компании через SSH и RDP для эффективного перемещения по сети. Фаза сбора данных включает пользовательские скрипты на Python, имитирующие легитимные инструменты, такие как Salesforce Data Loader, что облегчает массовую эксфильтрацию данных CRM, маскируя их под обычный операционный трафик. Данные сжимаются и передаются через зашифрованные каналы или облачные API, избегая механизмов обнаружения, используемых при традиционных утечках данных.

В отличие от других группировок-вымогателей, Coinbase Cartel не применяет методы шифрования к эксфильтрованным данным, делая ставку на чистые стратегии вымогательства. Эта модель, основанная исключительно на эксфильтрации, отражает более широкую тенденцию в киберкриминале, наблюдаемую у таких группировок, как BianLian, что побуждает организации готовиться к инцидентам вымогательства без шифрования файлов. Деятельность картеля преимущественно направлена на ключевые сектора, включая здравоохранение, технологии и транспорт, при этом сообщается о жертвах в Северной Америке, Европе, на Ближнем Востоке и в регионе Азиатско-Тихоокеанского региона.

Для защиты от подобных угроз организациям рекомендуется внедрять многофакторную аутентификацию (MFA), контролировать учетные данные на предмет утечек и проводить аудит разрешений приложений OAuth. Эти меры могут снизить риски, особенно учитывая, что значительная часть жертв ранее имела задокументированные утечки, связанные с инфостилерами. Кроме того, защита инфраструктуры, такой как хосты ESXi, и обеспечение строгого контроля всех точек удаленного доступа могут дополнительно защитить предприятия от этих атак, основанных на учетных данных. Операционная структура и методы атак, применяемые Coinbase Cartel, подчеркивают необходимость надежных мер кибербезопасности в современной угрожающей среде.

#ParsedReport #CompletenessHigh
10-05-2026

Donuts and Beagles: Fake Claude site spreads backdoor

https://www.sophos.com/en-us/blog/donuts-and-beagles-fake-claude-site-spreads-backdoor

Report completeness: High

Actors/Campaigns:
Golden_eyed_dog
Red_wolf
Crimson_palace
Stac4713
Payouts_king

Threats:
Donut
Beagle
Dll_sideloading_technique
Plugx_rat
Seo_poisoning_technique
Shadowpad
Adaptixc2_tool

Victims:
Government, Users of ai tools

Industry:
Nuclear_power, Education, Government

Geo:
Asia, German, Usa, Budapest

ChatGPT TTPs:
do not use without manual check
T1027.013, T1033, T1082, T1095, T1105, T1106, T1132.001, T1140, T1204.001, T1204.002, have more...

IOCs:
Domain: 9
IP: 4
File: 2
Url: 1
Hash: 15

Soft:
Claude, Anthropic, Microsoft Defender, Alibaba Cloud, macOS

Algorithms:
base64, xor, aes, sha256

Links:
https://github.com/TheWover/donut
https://github.com/Adaptix-Framework/AdaptixC2
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Согласно недавнему расследованию, вредоносный сайт, имитирующий Claude от Anthropic, распространяет ВПО с помощью подгрузки DLL. В рамках кампании используется полезная нагрузка под названием DonutLoader, которая загружает бэкдор Beagle, взаимодействующий с сервером C2 через структурированную систему обмена сообщениями по протоколам TCP и UDP. Злоумышленники применяют тактики, напоминающие исторические операции PlugX, одновременно адаптируя свои методы для обхода защиты и используя социальную инженерию вокруг инструментов на базе искусственного интеллекта для привлечения жертв.
-----

Недавнее расследование Sophos X-Ops выявило вредоносный сайт, имитирующий сайт Anthropic's Claude, предназначенный для распространения ВПО через подгрузку DLL. Эта кампания изначально выглядит похожей на исторические кампании PlugX, но дальнейший анализ выявил новый первый этап загрузки, названный DonutLoader, который предназначен для загрузки ранее не документированного бэкдора, идентифицированного как "Beagle". Фальшивый сайт, claude-pro.com, имеет упрощенный дизайн, предназначенный для Вредоносная реклама, привлекающий внимание пользователей через результаты поисковых систем и потенциально вводящие в заблуждение рекламные объявления.

Атака начинается, когда пользователи загружают установочный файл MSI с именем Claude.msi, который затем размещает три вредоносных файла в каталоге автозагрузки пользователя. Примечательно, что компонент NOVupdate.exe маскируется под легитимный обновлятор антивируса G DATA. Однако он использует подгрузку DLL (DLL sideloading) для выполнения вредоносной версии avk.dll — техники, часто ассоциируемой как с семейством ВПО PlugX, так и с его вариантами. Примечательно, как этот подход усложняет атрибуцию, учитывая, что методология имеет пересечения с ShadowPad, еще одним бэкдором, использующим подгрузку DLL.

После запуска вредоносное ПО разворачивает shellcode Donut, загрузчик с открытым исходным кодом, который затем активирует бэкдор Beagle. Этот бэкдор взаимодействует с сервером управления (C2) по адресу license.claude-pro.com через TCP (порт 443) и UDP (порт 8080). Протокол связи использует жестко закодированный ключ AES и устанавливает структурированный формат сообщений, указывающий направление трафика; исходящие сообщения имеют тип "10", а входящие команды отображаются как тип "11".

Дальнейшие образцы от злоумышленников демонстрируют приверженность к изменению тактик при сохранении фундаментальных структур, включающих подгрузку DLL (DLL sideloading). В их арсенале присутствуют дополнительные легитимные имена файлов наряду с вредоносными DLL, что указывает на изобретательный подход к уклонению от обнаружения. Вариации в их коммуникационной инфраструктуре, такие как размещение C2-сервера на Alibaba Cloud при использовании Cloudflare для распространения ВПО, свидетельствуют о попытке создать слои сложности в своих операциях.

Последствия этой кампании демонстрируют стратегию, адаптирующуюся к текущим технологическим трендам, поскольку злоумышленники используют техники социальной инженерии, опирающиеся на популярные инструменты ИИ для заманивания потенциальных жертв. Существующие исследования указывают на паттерн перенастройки ранее эффективных цепочек заражения при одновременном внедрении новых полезной нагрузки, что подчеркивает эволюцию в методологиях злоумышленников. Мониторинг имен файлов, связанных с этой кампанией, и осторожность при переходе по ссылкам из рекламных объявлений являются критически важными защитными мерами.

#ParsedReport #CompletenessLow
11-05-2026

Checkmarx Jenkins Plugin Backdoored in New TeamPCP Supply Chain Attack

https://socradar.io/blog/checkmarx-jenkins-plugin-teampcp-backdoor/

Report completeness: Low

Actors/Campaigns:
Teampcp
Mini_shai-hulud

Threats:
Supply_chain_technique
Shai-hulud
Credential_stealing_technique
Canisterworm

Victims:
Checkmarx, Jenkins users, Software development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1078.004, T1083, T1119, T1195.001, T1195.002, T1491, T1552, T1552.001, have more...

IOCs:
Domain: 1

Soft:
Jenkins, OpenVSX, Kubernetes, Trivy, litellm, Docker, trycloudflare

Links:
https://github.com/jenkinsci/checkmarx-ast-scanner-plugin

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник TeamPCP осуществил атаку на Цепочку поставок плагина Checkmarx Jenkins AST, скомпрометировав его репозиторий GitHub и выпустив версию с бэкдором (2026.5.09), которая эксплуатирует пользователей Jenkins. ВПО, описываемое как «в стиле Dune», и предыдущие тактики демонстрируют фокус TeamPCP на сбор учетных записей, используя разведку для эксфильтрации конфиденциальных данных из сред разработки. Этот инцидент подчеркивает наличие уязвимостей в практиках безопасности Checkmarx, создавая значительные риски для пользователей затронутого плагина.
-----

Злоумышленник TeamPCP вновь проявил себя, осуществив атаку через Цепочку поставок, нацеленную на плагин Jenkins от Checkmarx. Этот инцидент включает дефейс и компрометацию репозитория плагина Checkmarx Jenkins AST на GitHub, где TeamPCP изменил название и описание репозитория, чтобы высмеять Checkmarx за упущения в практике безопасности. Версия с бэкдором, идентифицированная как 2026.5.09, была доступна пользователям Jenkins в течение периода воздействия, что позволяло любому экземпляру Jenkins, загрузившему эту версию, внедрить скомпрометированный плагин.

Вредоносное ПО, связанное с этой кампанией, называется «Dune-themed», а различные имена репозиториев на скомпрометированном аккаунте GitHub отражают эту тему. Предыдущие взаимодействия TeamPCP с инфраструктурой Checkmarx включали развертывание вредоносного модуля для кражи учетных данных через другие действия GitHub, что подчеркивает продолжающуюся эксплуатацию уязвимостей в системах Checkmarx. Это недавнее повторное проникновение указывает на потенциальные недостатки в предыдущих усилиях по устранению уязвимостей, как свидетельствует насмешка TeamPCP относительно неспособности Checkmarx эффективно ротировать секреты.

Данный инцидент представляет значительные риски для пользователей Jenkins, поскольку скомпрометированный плагин может получать доступ к конфиденциальной информации из конвейеров разработки, такой как переменные окружения, токены и секреты, видимые для исполнителя Jenkins. Типичный modus operandi TeamPCP включает обширную разведку для сбора учетных записей, при которой они сканируют наличие SSH-ключей и других конфиденциальных данных, в конечном итоге эксфильтруя эту информацию в зашифрованных архивах.

Организациям, использующим затронутую версию плагина Checkmarx для Jenkins, рекомендуется рассматривать свои среды как потенциально скомпрометированные. Немедленные меры включают аудит версий плагинов Jenkins, ротацию всех секретов, доступных с затронутых экземпляров, и проверку журналов сборки на наличие аномальных исходящих соединений. Долгосрочные меры по смягчению последствий включают принудительное применение принципа наименьших привилегий для учетных данных Jenkins и внедрение кратковременных учетных данных аутентификации. Мониторинг необычного трафика от агентов сборки и применение строгих мер безопасности к средам CI/CD, аналогичных производственным системам, имеет решающее значение для предотвращения будущих инцидентов.

#ParsedReport #CompletenessLow
06-05-2026

Hunting Lazarus Part VII: The Server That Was Not Just FTP

https://redasgard.com/blog/hunting-lazarus-part7-server-not-just-ftp

Report completeness: Low

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Beavertail
Ottercookie
Credential_harvesting_technique

Victims:
Cryptocurrency, Web3, Software development

Industry:
Financial

Geo:
North-korea, Dprk

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1048, T1056.001, T1071.001, T1071.002, T1113, T1115, T1539, T1555.003, T1571, have more...

IOCs:
IP: 1
File: 2
Path: 1

Soft:
macOS, Linux, Node.js

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование выявляет киберугрозу, связанную с FTP-сервером BeaverTail, который использует FileZilla на порту 21 для эксфильтрации учетных данных, сохраненных в браузере, и запускает несколько сервисов Express.js, связанных с семейством ВПО OtterCookie. Примечательно, что сервер демонстрирует смесь типов ВПО, при этом один сервис транслирует данные о состоянии жертв с macOS в инфраструктуру управления. Результаты указывают на двойную угрозу от различных методов сбора данных, нацеленных на разные демографические группы жертв, и подчеркивают необходимость глубокого анализа и стратегий обнаружения для эффективного управления взаимосвязанными действиями ВПО.
-----

Анализ, представленный в статье, подробно описывает оперативные выводы из расследования киберугрозы, направленного на сервер, известный как точка эксфильтрации BeaverTail FTP, расположенный по адресу 195.201.104.53. Этот сервер обслуживает несколько одновременных кампаний и семейств ВПО, что имеет значительные последствия для обнаружения и оперативной безопасности.

На хосте работает FTP-сервер FileZilla на порту 21, который используется для эксфильтрации данных жертв и содержит структурированные дампы, такие как учетные данные, сохраненные в браузере. Примечательно, что на нем также запущены шесть сервисов Express.js на нестандартных портах, два из которых связаны с инфраструктурой управления (C2) OtterCookie. Порт 6931 обслуживает активный узел OtterCookie, который каждые тридцать секунд транслирует информацию о состоянии жертв с устройств macOS, тогда как порт 6101 выполняет функцию молчаливого предшественника, все еще принимающего Socket.IO-соединения. Такое двойное присутствие демонстрирует сосуществование различных типов ВПО на одном хосте.

Заслуживающий внимания факт — необычное наличие пути разработки Windows, утекающего из развертывания Linux на порту 80, что указывает на некорректную гигиену развертывания. Это раскрывает, что служба, возможно, происходила из среды разработки Windows до развертывания, предполагая потенциальные пробелы в операционной чистоте.

В отчёте об расследовании указывается, что механизмы сбора данных OtterCookie и FTP-сервиса нацелены на разные группы жертв: FTP-сервис собирает хранимые данные, тогда как OtterCookie извлекает информацию в реальном времени из активных сессий. Такое различие в методах кражи с одного и того же хоста повышает уровень оперативной угрозы, создаваемой сервером. В течение периода наблюдения каждый из шести сервисов Express демонстрировал поведение Node.js HTTP, при этом три из них остались неопределёнными с точки зрения конкретных операционных ролей.

Выводы подчеркивают необходимость всестороннего понимания инфраструктуры при проведении расследований киберугроз. Операции по выводу из строя или правоприменительные меры, направленные на конкретные кампании, должны быть тщательно ограничены по охвату, поскольку устранение только одного сервиса может оставить другие работающими, что дополнительно подчеркивает взаимосвязанность инфраструктуры вредоносного ПО. Эта сложность требует надежных стратегий выявления и смягчения угроз, использующих общую инфраструктуру в рамках нескольких кампаний. В отчете иллюстрируется важность многоаспектных стратегий обнаружения, включая необходимость выявления активного поведения C2 за пределами простой доступности портов и мониторинга признаков неправильно развернутого инструментария операторов, что могло бы дополнительно усилить усилия по обнаружению и реагированию на угрозы.

#ParsedReport #CompletenessLow
11-05-2026

JDownloader Hack Spreads New Python RAT

https://gbhackers.com/jdownloader-hack/

Report completeness: Low

Actors/Campaigns:
Jdownloader_hack

Threats:
Supply_chain_technique

Victims:
Jdownloader, Software users

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.006, T1071.001, T1105, T1190, T1195.002, T1204.002, T1548.001, T1553.002, have more...

IOCs:
Url: 2

Soft:
Twitter, WhatsApp, Linux, Windows installer, macOS

Algorithms:
sha256

Languages:
java, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Веб-сайт JDownloader подвергся атаке на цепочку поставок, в ходе которой легитимные ссылки для загрузки установщиков были перенаправлены на вредоносные файлы, содержащие троянскую программу удаленного доступа (RAT) на базе Python. Это стало возможным благодаря не исправленной уязвимости в системе управления контентом сайта. RAT, функционирующий через серверы управления, выполнял удаленный код на Python и распространялся через скомпрометированные установщики, особенно затрагивая пользователей, которые скачали определенные версии в течение двухдневного окна.
-----

Сайт JDownloader подвергся атаке на цепочку поставок, в результате которой пользователям стали распространяться вредоносные пакеты установщика. Злоумышленники воспользовались не исправленной уязвимостью в системе управления контентом сайта, перенаправив ссылки на загрузку легитимных установщиков JDownloader на сторонние файлы, содержащие троянскую программу удаленного доступа (RAT) на базе Python. Этот инцидент затронул пользователей, которые скачали либо Альтернативный установщик для Windows, либо установщик для Linux в период с 6 по 7 мая 2026 года. Важно отметить, что сами подлинные пакеты установщика не были изменены; вместо этого были изменены только ссылки, указывающие на вредоносные файлы, размещенные на внешних серверах.

Расследования специалистов по кибербезопасности выявили, что RAT, идентифицированный как модульный фреймворк бота, был разработан для удаленного выполнения кода Python через серверы управления (C2), в частности два конечные точки: parkspringshotel.com/m/Lu6aeloo.php и auraguest.lk/m/douV2quu.php. Для повышения легитимности ВПО, полезная нагрузка была подписана с использованием поддельных идентификаторов от фиктивных компаний, Zipline LLC и The Water Team. Исследование также показало, что скомпрометированный установщик Linux содержал внедренный код, который не только загружал дополнительное ВПО, но и устанавливал SUID-root загрузчик, замаскированный под легитимный системный процесс, чтобы избежать обнаружения.

В ходе данного инцидента было задокументировано восемь различных вредоносных установочных файлов Windows, размеры которых варьировались от примерно 61 МБ до 107 МБ, каждый из которых был нацелен на различные версии среды выполнения Java. Конкретный скомпрометированный установочный файл для Linux был идентифицирован как JDownloader2Setup_unix_nojre.sh, с размером 7 934 496 байт и уникальным хешем SHA256. Пользователям, которые загрузили любой из этих скомпрометированных установщиков, рекомендуется проверить свои файлы на соответствие контрольным суммам SHA256 и размерам, указанным в отчете об инциденте JDownloader, чтобы убедиться, что у них нет вредоносных версий. Другие форматы установщиков, доступные на веб-сайте JDownloader, такие как пакет JAR и версии для macOS или Flatpak, не были скомпрометированы в ходе этой атаки.

Учитывая, что вредоносное ПО может выполнять произвольный код и может привести к компрометации учетных данных пользователей, затронутым пользователям настоятельно рекомендуется переустановить операционные системы, если они взаимодействовали с вредоносными установщиками в течение периода риска.

#ParsedReport #CompletenessHigh
10-05-2026

Python Backdoor Threat Analysis Following an AI Deepfake Impersonation Campaign

https://www.genians.co.kr/en/blog/threat_intelligence/python

Report completeness: High

Actors/Campaigns:
Scarcruft

Threats:
Spear-phishing_technique
Lolbin_technique
Chinotto

Victims:
Defense, Security, Law enforcement, Research

Industry:
Military, Aerospace

Geo:
North korean, Korea, Korean, Italian, North korea, France, French

CVEs:
CVE-2018-15982 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player (le31.0.0.153)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.009, T1027.010, T1036, T1036.008, T1041, T1053.005, T1059.001, T1059.003, T1059.006, have more...

IOCs:
File: 20
Domain: 20
IP: 10
Command: 2
Path: 1
Hash: 11

Soft:
Microsoft Excel, Microsoft Office, curl, Windows security, Windows scheduled task, Flash Player

Algorithms:
zip, base64, md5, xor

Functions:
chr, exec, GetString

Languages:
powershell, python, cpython, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, windows: 5, code: 6, dump: 2