#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник TeamPCP осуществил атаку на Цепочку поставок плагина Checkmarx Jenkins AST, скомпрометировав его репозиторий GitHub и выпустив версию с бэкдором (2026.5.09), которая эксплуатирует пользователей Jenkins. ВПО, описываемое как «в стиле Dune», и предыдущие тактики демонстрируют фокус TeamPCP на сбор учетных записей, используя разведку для эксфильтрации конфиденциальных данных из сред разработки. Этот инцидент подчеркивает наличие уязвимостей в практиках безопасности Checkmarx, создавая значительные риски для пользователей затронутого плагина.
-----

Злоумышленник TeamPCP вновь проявил себя, осуществив атаку через Цепочку поставок, нацеленную на плагин Jenkins от Checkmarx. Этот инцидент включает дефейс и компрометацию репозитория плагина Checkmarx Jenkins AST на GitHub, где TeamPCP изменил название и описание репозитория, чтобы высмеять Checkmarx за упущения в практике безопасности. Версия с бэкдором, идентифицированная как 2026.5.09, была доступна пользователям Jenkins в течение периода воздействия, что позволяло любому экземпляру Jenkins, загрузившему эту версию, внедрить скомпрометированный плагин.

Вредоносное ПО, связанное с этой кампанией, называется «Dune-themed», а различные имена репозиториев на скомпрометированном аккаунте GitHub отражают эту тему. Предыдущие взаимодействия TeamPCP с инфраструктурой Checkmarx включали развертывание вредоносного модуля для кражи учетных данных через другие действия GitHub, что подчеркивает продолжающуюся эксплуатацию уязвимостей в системах Checkmarx. Это недавнее повторное проникновение указывает на потенциальные недостатки в предыдущих усилиях по устранению уязвимостей, как свидетельствует насмешка TeamPCP относительно неспособности Checkmarx эффективно ротировать секреты.

Данный инцидент представляет значительные риски для пользователей Jenkins, поскольку скомпрометированный плагин может получать доступ к конфиденциальной информации из конвейеров разработки, такой как переменные окружения, токены и секреты, видимые для исполнителя Jenkins. Типичный modus operandi TeamPCP включает обширную разведку для сбора учетных записей, при которой они сканируют наличие SSH-ключей и других конфиденциальных данных, в конечном итоге эксфильтруя эту информацию в зашифрованных архивах.

Организациям, использующим затронутую версию плагина Checkmarx для Jenkins, рекомендуется рассматривать свои среды как потенциально скомпрометированные. Немедленные меры включают аудит версий плагинов Jenkins, ротацию всех секретов, доступных с затронутых экземпляров, и проверку журналов сборки на наличие аномальных исходящих соединений. Долгосрочные меры по смягчению последствий включают принудительное применение принципа наименьших привилегий для учетных данных Jenkins и внедрение кратковременных учетных данных аутентификации. Мониторинг необычного трафика от агентов сборки и применение строгих мер безопасности к средам CI/CD, аналогичных производственным системам, имеет решающее значение для предотвращения будущих инцидентов.

#ParsedReport #CompletenessLow
06-05-2026

Hunting Lazarus Part VII: The Server That Was Not Just FTP

https://redasgard.com/blog/hunting-lazarus-part7-server-not-just-ftp

Report completeness: Low

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Beavertail
Ottercookie
Credential_harvesting_technique

Victims:
Cryptocurrency, Web3, Software development

Industry:
Financial

Geo:
North-korea, Dprk

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1048, T1056.001, T1071.001, T1071.002, T1113, T1115, T1539, T1555.003, T1571, have more...

IOCs:
IP: 1
File: 2
Path: 1

Soft:
macOS, Linux, Node.js

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование выявляет киберугрозу, связанную с FTP-сервером BeaverTail, который использует FileZilla на порту 21 для эксфильтрации учетных данных, сохраненных в браузере, и запускает несколько сервисов Express.js, связанных с семейством ВПО OtterCookie. Примечательно, что сервер демонстрирует смесь типов ВПО, при этом один сервис транслирует данные о состоянии жертв с macOS в инфраструктуру управления. Результаты указывают на двойную угрозу от различных методов сбора данных, нацеленных на разные демографические группы жертв, и подчеркивают необходимость глубокого анализа и стратегий обнаружения для эффективного управления взаимосвязанными действиями ВПО.
-----

Анализ, представленный в статье, подробно описывает оперативные выводы из расследования киберугрозы, направленного на сервер, известный как точка эксфильтрации BeaverTail FTP, расположенный по адресу 195.201.104.53. Этот сервер обслуживает несколько одновременных кампаний и семейств ВПО, что имеет значительные последствия для обнаружения и оперативной безопасности.

На хосте работает FTP-сервер FileZilla на порту 21, который используется для эксфильтрации данных жертв и содержит структурированные дампы, такие как учетные данные, сохраненные в браузере. Примечательно, что на нем также запущены шесть сервисов Express.js на нестандартных портах, два из которых связаны с инфраструктурой управления (C2) OtterCookie. Порт 6931 обслуживает активный узел OtterCookie, который каждые тридцать секунд транслирует информацию о состоянии жертв с устройств macOS, тогда как порт 6101 выполняет функцию молчаливого предшественника, все еще принимающего Socket.IO-соединения. Такое двойное присутствие демонстрирует сосуществование различных типов ВПО на одном хосте.

Заслуживающий внимания факт — необычное наличие пути разработки Windows, утекающего из развертывания Linux на порту 80, что указывает на некорректную гигиену развертывания. Это раскрывает, что служба, возможно, происходила из среды разработки Windows до развертывания, предполагая потенциальные пробелы в операционной чистоте.

В отчёте об расследовании указывается, что механизмы сбора данных OtterCookie и FTP-сервиса нацелены на разные группы жертв: FTP-сервис собирает хранимые данные, тогда как OtterCookie извлекает информацию в реальном времени из активных сессий. Такое различие в методах кражи с одного и того же хоста повышает уровень оперативной угрозы, создаваемой сервером. В течение периода наблюдения каждый из шести сервисов Express демонстрировал поведение Node.js HTTP, при этом три из них остались неопределёнными с точки зрения конкретных операционных ролей.

Выводы подчеркивают необходимость всестороннего понимания инфраструктуры при проведении расследований киберугроз. Операции по выводу из строя или правоприменительные меры, направленные на конкретные кампании, должны быть тщательно ограничены по охвату, поскольку устранение только одного сервиса может оставить другие работающими, что дополнительно подчеркивает взаимосвязанность инфраструктуры вредоносного ПО. Эта сложность требует надежных стратегий выявления и смягчения угроз, использующих общую инфраструктуру в рамках нескольких кампаний. В отчете иллюстрируется важность многоаспектных стратегий обнаружения, включая необходимость выявления активного поведения C2 за пределами простой доступности портов и мониторинга признаков неправильно развернутого инструментария операторов, что могло бы дополнительно усилить усилия по обнаружению и реагированию на угрозы.

#ParsedReport #CompletenessLow
11-05-2026

JDownloader Hack Spreads New Python RAT

https://gbhackers.com/jdownloader-hack/

Report completeness: Low

Actors/Campaigns:
Jdownloader_hack

Threats:
Supply_chain_technique

Victims:
Jdownloader, Software users

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.006, T1071.001, T1105, T1190, T1195.002, T1204.002, T1548.001, T1553.002, have more...

IOCs:
Url: 2

Soft:
Twitter, WhatsApp, Linux, Windows installer, macOS

Algorithms:
sha256

Languages:
java, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Веб-сайт JDownloader подвергся атаке на цепочку поставок, в ходе которой легитимные ссылки для загрузки установщиков были перенаправлены на вредоносные файлы, содержащие троянскую программу удаленного доступа (RAT) на базе Python. Это стало возможным благодаря не исправленной уязвимости в системе управления контентом сайта. RAT, функционирующий через серверы управления, выполнял удаленный код на Python и распространялся через скомпрометированные установщики, особенно затрагивая пользователей, которые скачали определенные версии в течение двухдневного окна.
-----

Сайт JDownloader подвергся атаке на цепочку поставок, в результате которой пользователям стали распространяться вредоносные пакеты установщика. Злоумышленники воспользовались не исправленной уязвимостью в системе управления контентом сайта, перенаправив ссылки на загрузку легитимных установщиков JDownloader на сторонние файлы, содержащие троянскую программу удаленного доступа (RAT) на базе Python. Этот инцидент затронул пользователей, которые скачали либо Альтернативный установщик для Windows, либо установщик для Linux в период с 6 по 7 мая 2026 года. Важно отметить, что сами подлинные пакеты установщика не были изменены; вместо этого были изменены только ссылки, указывающие на вредоносные файлы, размещенные на внешних серверах.

Расследования специалистов по кибербезопасности выявили, что RAT, идентифицированный как модульный фреймворк бота, был разработан для удаленного выполнения кода Python через серверы управления (C2), в частности два конечные точки: parkspringshotel.com/m/Lu6aeloo.php и auraguest.lk/m/douV2quu.php. Для повышения легитимности ВПО, полезная нагрузка была подписана с использованием поддельных идентификаторов от фиктивных компаний, Zipline LLC и The Water Team. Исследование также показало, что скомпрометированный установщик Linux содержал внедренный код, который не только загружал дополнительное ВПО, но и устанавливал SUID-root загрузчик, замаскированный под легитимный системный процесс, чтобы избежать обнаружения.

В ходе данного инцидента было задокументировано восемь различных вредоносных установочных файлов Windows, размеры которых варьировались от примерно 61 МБ до 107 МБ, каждый из которых был нацелен на различные версии среды выполнения Java. Конкретный скомпрометированный установочный файл для Linux был идентифицирован как JDownloader2Setup_unix_nojre.sh, с размером 7 934 496 байт и уникальным хешем SHA256. Пользователям, которые загрузили любой из этих скомпрометированных установщиков, рекомендуется проверить свои файлы на соответствие контрольным суммам SHA256 и размерам, указанным в отчете об инциденте JDownloader, чтобы убедиться, что у них нет вредоносных версий. Другие форматы установщиков, доступные на веб-сайте JDownloader, такие как пакет JAR и версии для macOS или Flatpak, не были скомпрометированы в ходе этой атаки.

Учитывая, что вредоносное ПО может выполнять произвольный код и может привести к компрометации учетных данных пользователей, затронутым пользователям настоятельно рекомендуется переустановить операционные системы, если они взаимодействовали с вредоносными установщиками в течение периода риска.

#ParsedReport #CompletenessHigh
10-05-2026

Python Backdoor Threat Analysis Following an AI Deepfake Impersonation Campaign

https://www.genians.co.kr/en/blog/threat_intelligence/python

Report completeness: High

Actors/Campaigns:
Scarcruft

Threats:
Spear-phishing_technique
Lolbin_technique
Chinotto

Victims:
Defense, Security, Law enforcement, Research

Industry:
Military, Aerospace

Geo:
North korean, Korea, Korean, Italian, North korea, France, French

CVEs:
CVE-2018-15982 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player (le31.0.0.153)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.009, T1027.010, T1036, T1036.008, T1041, T1053.005, T1059.001, T1059.003, T1059.006, have more...

IOCs:
File: 20
Domain: 20
IP: 10
Command: 2
Path: 1
Hash: 11

Soft:
Microsoft Excel, Microsoft Office, curl, Windows security, Windows scheduled task, Flash Player

Algorithms:
zip, base64, md5, xor

Functions:
chr, exec, GetString

Languages:
powershell, python, cpython, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, windows: 5, code: 6, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа APT37 из Северной Кореи использует тактики Целевого фишинга для доставки ВПО, применяя замаскированные пакетные файлы и Python-бэкдор для удаленного выполнения команд. Первоначальный доступ осуществляется через ZIP-архивы в письмах, содержащие LNK-файлы, которые загружают дополнительные полез
-----

Анализ угроз сосредоточен на кампании, приписываемой северокорейской группе APT37, которая использует тактики Целевой фишинг для доставки вредоносных загрузок, особенно выделяя использование зашифрованных пакетных файлов и бэкдор на базе Python для удаленного выполнения команд. Вектор первоначального доступа включает фишинговые письма, содержащие ZIP-архивы с вредоносными LNK-файлами, предназначенные для привлечения получателей темами, такими как электронные авиабилеты и приглашения на мероприятия. При выполнении этих LNK-файлов они реконструируют команды с использованием обфускации на основе переменных окружения для загрузки и выполнения дополнительных загрузок с сервера управления (управление).

После запуска вредоносное ПО выполняет пакетный файл, который взаимодействует с сервером C2, обеспечивая многоэтапный процесс заражения. На финальном этапе загружается файл байт-кода Python, замаскированный под расширение .cat, который служит бэкдором для удаленного выполнения команд. Этот файл Python структурирован таким образом, чтобы функционировать в среде выполнения Python, позволяя злоумышленнику управлять зараженной системой и выполнять команды, полученные от сервера C2.

В технике атаки заметно злоупотребление легитимными системными бинарными файлами, такими как curl.exe и pythonw.exe, для маскировки вредоносного поведения и уклонения от обнаружения. Кроме того, закрепление обеспечивается через запланированные задачи, настроенные на повторное выполнение бэкдора, что указывает на намерение злоумышленника поддерживать долгосрочный доступ к скомпрометированным системам.

В частности, данная кампания демонстрирует сходство с предыдущими атаками, приписываемыми APT37, включая использование аналогичных методов обфускации, шаблонов инфраструктуры C2 и эксплуатации конкретных методов доставки ВПО. Поведение, наблюдаемое в этой кампании, согласуется с предыдущими усилиями APT37 по нацеливанию на лиц, связанных с оборонным и безопасностным секторами, что подтверждает продолжающиеся стратегии кибершпионажа данной группы.

Для смягчения таких угроз организациям рекомендуется усилить свои фреймворки обнаружения и реагирования на конечных точках (EDR), сосредоточившись на возможностях обнаружения, охватывающих весь жизненный цикл атаки — от доставки до выполнения, закрепления и коммуникаций с C2. Учитывая динамичный характер методов, используемых злоумышленниками, рекомендуется применять более комплексную стратегию обнаружения, которая отдает приоритет отношениям и шаблонам вредоносной активности, а не полагается исключительно на известные индикаторы компрометации.

#ParsedReport #CompletenessLow
11-05-2026

macOS Malware Abuses Google Ads and Claude Shared Chats to Deliver Payloads

https://gbhackers.com/macos-malware-abuses-google-ads-and-claude-shared-chats/

Report completeness: Low

Threats:
Macc_stealer
Clickfix_technique

Victims:
Developers, Macos users, Technology

ChatGPT TTPs:
do not use without manual check
T1027, T1059.004, T1105, T1204.004, T1583.006, T1656

IOCs:
Domain: 1
Hash: 1

Soft:
macOS, Claude, Twitter, WhatsApp, Anthropic Claude

Algorithms:
sha256, base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Обнаружена новая кампания вредоносной рекламы (Malvertising), нацеленная на пользователей macOS, которая использует Google Ads и социальную инженерию для распространения варианта вредоносного ПО (Malware) MacSync. Атака эксплуатирует поисковые запросы, связанные с Claude AI, перенаправляя жертв на поддельное руководство по установке, которое предлагает им выполнить команду терминала, скрытую с помощью кодирования base64. Эта команда загружает вредоносное ПО (Malware) из инфраструктуры управления (command-and-control), размещенной на домене customroofingcontractors.com, что позволяет осуществлять постоянную эксплуатацию в среде macOS.
-----

Обнаружена новая кампания вредоносной рекламы, нацеленная на пользователей macOS, которая использует Google Ads и подлинные общие чаты Anthropic Claude для распространения варианта вредоносного ПО MacSync. Кампания, раскрытая исследователем безопасности Берком Альбайраком, использует тактики социальной инженерии для заманивания пользователей — особенно разработчиков — ищущих интеграцию Claude AI в свои системы macOS.

Атака начинается, когда жертва ищет такие термины, как «Claude download Mac». Киберпреступники используют Google Ads для перенаправления этих поисковых запросов на убедительно оформленную целевую страницу, имитирующую официальное руководство по установке. Чтобы повысить видимость легитимности, злоумышленники предоставляют инструкции по установке через общедоступную ссылку чата с Claude.ai. Жертвам предлагается скопировать и вставить конкретную команду терминала, которая скрыта с помощью кодирования base64, тем самым скрывая истинный URL загружаемого контента.

После выполнения команды в оболочке Z shell (zsh) для macOS начинается загрузка вредоносного ПО MacSync, которое характеризуется механизмами закрепления, позволяющими ему сохранять foothold в среде macOS для дальнейшей эксплуатации. Результаты исследований Альбайрака показывают, что инфраструктура управления (C2) для этой кампании размещена на домене, идентифицированном как customroofingcontractors.com.

Этот инцидент подчеркивает, как злоумышленники манипулируют авторитетными платформами и ресурсами для обхода традиционных мер веб-безопасности. Для организаций и пользователей macOS крайне важно проявлять осторожность с командами терминала, полученными из интернета, даже если они представлены через кажущиеся легитимными каналы. Внедрение политик для тщательной проверки таких команд и проактивное блокирование выявленных доменов C2 могут значительно снизить риск успешного проникновения ВПО и обеспечить более надежную защиту от подобных попыток эксплуатации.

#ParsedReport #CompletenessMedium
11-05-2026

Threat Actor Mr_Rot13 Actively Exploits CVE-2026-41940 for Backdoor Deployment

https://blog.xlab.qianxin.com/mr_rot13-the-elusive-6-year-hacker-group-weaponizing-critical-cpanel-flaws-for-backdoor-deployment/

Report completeness: Medium

Actors/Campaigns:
Mr_rot13 (motivation: script_kiddie)

Victims:
Web hosting, Linux server operations, Wordpress websites

Geo:
Brazil, Netherlands, Germany

CVEs:
CVE-2026-41940 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cpanel (<86.0.41, <110.0.97, <118.0.63, <124.0.35, <126.0.54)


ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1056.003, T1059.004, T1071.001, T1098, T1098.004, T1105, T1140, T1190, have more...

IOCs:
Domain: 2
Hash: 13
Url: 6
File: 5
IP: 2

Soft:
cPanel, Linux, Telegram, curl, WordPress

Algorithms:
xor, md5, bcrypt, rc4

Functions:
getChatAdministrators

Languages:
php, javascript

Platforms:
amd64, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-41940 — это уязвимость обхода аутентификации высокой степени серьезности без необходимости аутентификации в cPanel & WHM, которая позволяет злоумышленникам получать несанкционированный доступ без учетных данных, что приводит к значительной эксплуатации со стороны различных групп угроз. Актор, известный как Mr_Rot13, использует эту уязвимость для развертывания заражателя на базе Go, Payload, который внедряет SSH-ключи, загружает вредоносные файлы, похищает учетные данные, изменяет системные пароли и устанавливает троян удаленного управления под названием filemanager. Заражатель действует скрытно, постоянно подключаясь к серверу загрузки для получения обновлений и применяя продвинутые техники, такие как алгоритм Rot13, для обфускации.
-----

CVE-2026-41940 — это серьезная уязвимость обхода аутентификации без аутентификации, затрагивающая cPanel & WHM, с оценкой 9.8 по шкале CVSS. Она позволяет злоумышленникам получать несанкционированный доступ администратора к затронутым серверам без необходимости использования каких-либо учетных данных. После ее публичного раскрытия 28 апреля 2026 года наблюдалось широкое использование различных групп черного и серого рынка, при этом более 2000 уникальных IP-адресов злоумышленников из нескольких стран участвовали в различных вредоносных действиях, включая развертывание ВПО и сетевые атаки.

Заметный злоумышленник, известный как Mr_Rot13, был выявлен использующим данную уязвимость для развертывания инфиктора по имени Payload, написанного на Go. Этот инфиктор выполняет несколько функций: внедряет открытые SSH-ключи, загружает вредоносные PHP и JavaScript-файлы, эксфильтрует учетные данные в канал, контролируемый через Телеграм, и устанавливает троян удаленного управления, известный как filemanager. Расследование показало, что Mr_Rot13 действует с 2020 года, применяя такие техники, как использование алгоритма Rot13 для сокрытия доменов и инструментов управления (C2).

Заражатель полезной нагрузки часто подключается к серверу загрузки для получения обновлений, непрерывно выполняя операции в фоновом режиме. Он изменяет системные пароли, внедряет PHP-вебшеллы и отправляет конфиденциальные данные обратно злоумышленникам. Примечательно, что вебшелл, названный Cpanel-Python, позволяет загружать файлы, просматривать файловую систему и выполнять удаленные команды.

Бэкдор Filemanager действует как кроссплатформенный инструмент удалённого управления, совместимый с основными операционными системами. Он использует строгий метод обработки хешей паролей, требуя хешированные bcrypt-пароли вместо паролей в открытом виде для работы. Предыдущий анализ PHP-бэкдора, выявленного в 2022 году, подтвердил давний фокус Mr_Rot13 на уязвимостях cPanel, особенно на атаках на установки WordPress.

#ParsedReport #CompletenessMedium
11-05-2026

New TrickMo Variant: Device Take Over malware targeting Banking, Fintech, Wallet & Auth apps

https://www.threatfabric.com/blogs/new-trickmo-variant-device-take-over-malware-targeting-banking-fintech-wallet-auth-app

Report completeness: Medium

Threats:
Trickmo
Ssh_tunnelling_technique
Godfather

Victims:
Banking, Fintech, Digital wallet, Authenticator applications, Banking customers, Wallet customers

Industry:
E-commerce, Financial

Geo:
Turkish, Austria, France, Italy

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.004, T1021.005, T1041, T1046, T1056.001, T1056.002, T1071.001, T1090, T1105, have more...

IOCs:
Hash: 6

Soft:
Android, TikTok, Telegram, curl, Google Play

Algorithms:
base32, sha256

Functions:
getScreenshot, setNotificationFilter, setKeyLoggerConfig, setVars, setSwitch, setServers, getInstalledApps, getState, getUsageStats, setRingerMode, have more...

Win API:
loadModule, setGestureConfig

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4