#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость CVE-2026-31431, также известная как Dirty Frag, представляет собой локальное повышение привилегий в ядре Linux, которым активно пользовались злоумышленники: до публичного раскрытия информации и выпуска исправлений было выявлено 163 различных вредоносных образца. Техники атаки включают традиционные ELF-бинарные файлы и скрипты на Python, при этом используется метод выполнения через оболочку с помощью системного вызова 59 без вставки нулевого байта. Правила YARA, разработанные для обнаружения связанных вредоносных паттернов, эффективно выявляют ELF-бинарные файлы, но не покрывают скрипты на Python, что указывает на сохраняющиеся риски в средах Linux.
-----

ReversingLabs (RL) выделила эксплуатацию уязвимости CVE-2026-31431, также известной как Dirty Frag или Copy Fail, которая представляет собой уязвимость повышения привилегий в ядре Linux. Эта уязвимость, получившая широкое внимание после нарушения эмбарго в мае 2026 года, позволяла злоумышленникам эксплуатировать кэш страниц ядра способом, напоминающим уязвимости Dirty Pipe (CVE-2022-0847). После документирования этого недостатка RL выявила 163 уникальных вредоносных образца, связанных с ним, что указывает на значительную фазу превентивной эксплуатации как минимум за девять дней до публичного уведомления и развертывания исправления Ubuntu.

Анализированные образцы включают как традиционные ELF-бинарные файлы, так и скрипты на Python, охватывая широкий спектр вредоносных форматов под тегами эксплойтов, связанных с CVE-2026-31431, а также отдельную категоризацию образцов, полученных из референса V4bel/dirtyfrag, найденного на GitHub. В частности, 148 образцов отслеживаются под тегом эксплойта для CVE-2026-31431, среди которых узнаваемые имена, такие как Linux.Exploit.CVE-2026-31431, тогда как 15 образцов из реализации V4bel помечены тегом Linux.Exploit.DirtyFrag. В исследовании подробно описывается всплеск вредоносных образцов, начавшийся 1 мая 2026 года, что подчеркивает растущий интерес к эксплуатации данной уязвимости.

Обнаружение вредоносного поведения облегчается правилами YARA, разработанными RL, предназначенными для выявления конкретных шаблонов шеллкода, связанных с эталонной реализацией V4bel. Эти шаблоны используют стандартные техники выполнения шелла через системный вызов 59 (syscall 59) без вставки нулевых байтов, что обычно применяется при разработке позиционно-независимого шеллкода. Однако важно отметить, что, хотя эти правила YARA эффективно коррелируют с ELF-бинарными файлами, они не покрывают варианты на Python-скриптах и PyPI-колесах (PyPI-wheel), для которых требуются альтернативные методы обнаружения.

Выводы RL указывают на значительную оперативную ценность для защитников, поскольку разработанные ими правила YARA могут быть внедрены в существующие системы безопасности для обнаружения угроз в реальном времени. Учитывая, что множество образцов были классифицированы как вредоносные еще до того, как широко признанные антивирусные сигнатуры зафиксировали эксплуатацию уязвимости, потенциал не mitigated рисков в средах Linux остается высоким. Аналитические инструменты, предлагаемые RL, такие как Spectra Analyze, могут обеспечить непрерывные усилия по сканированию новых ELF-файлов, гарантируя быструю адаптацию к возникающим угрозам.

#ParsedReport #CompletenessMedium
11-05-2026

TanStack npm Packages Compromised in Ongoing Mini Shai-Hulud Supply-Chain Attack

https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack

Report completeness: Medium

Actors/Campaigns:
Mini_shai-hulud

Threats:
Supply_chain_technique
Credential_stealing_technique
Credential_harvesting_technique

Victims:
Tanstack, Npm maintainers, Github repositories, Developer systems, Ci systems

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1036.005, T1041, T1059.007, T1074.001, T1078, T1082, T1090.003, T1195.001, have more...

IOCs:
File: 28
Hash: 6
Domain: 1
Url: 1

Soft:
TanStack, HashiCorp Vault, Kubernetes, Claude, Node.js, laude ho, vscode, linux, macOS, ubernetes -i, have more...

Algorithms:
sha1, xor, md5, base64, sha256, aes

Functions:
beautify, unref, REST, createCommitOnBranch, updateTarball

Languages:
javascript

Links:
https://github.com/voicproducoes?tab=repositories&type=source
https://github.com/TanStack/router/commit/79ac49eedf774dd4b0cfa308722bc463cfe5885c
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда Socket Threat Research обнаружила компрометацию 84 пакетов npm в пространстве имен TanStack, внедрив ВПО, предназначенное для кражи учетных данных из систем CI, таких как GitHub Actions. Зашифрованный полезный груз, включающий файл `router_init.js`, действует как червь цепочки поставок и нацелен на среды, включая AWS и Kubernetes, применяя такие техники, как форкирование процессов и постоянное внедрение в директории разработчиков. ВПО может самовоспроизводиться, публикуя себя обратно в реестр npm, применяя метод отравления репозитория через GraphQL API GitHub и маршрутизируя похищенные данные через децентрализованную сеть обмена сообщениями для уклонения от обнаружения.
-----

В ходе недавнего инцидента киберугрозы команда Socket Threat Research выявила значительную компрометацию 84 пакетов npm в пространстве имен TanStack, которые были изменены для включения ВПО, способного красть учетные данные из различных систем непрерывной интеграции (CI), наиболее заметной из которых является GitHub Actions. Вредоносные модификации были обнаружены в течение нескольких минут после их публикации благодаря возможностям быстрого реагирования AI-сканера Socket. Затронутые пакеты включали популярные библиотеки, некоторые из которых набрали более 12 миллионов загрузок всего за одну неделю.

Основной вредоносный код содержится в новом файле `router_init.js`, который сильно запутан и функционирует как червь цепочки поставок. ВПО использует различные техники запутывания, включая ротацию строковых массивов и уплощение потока управления, что затрудняет статический анализ. После запуска вредоносный код закрепляется, проверяя наличие переменной окружения и создавая отсоединённый процесс, чтобы работать незамеченным. Он обеспечивает устойчивость, размещая свои копии в директориях инструментов разработки, тем самым сохраняя функциональность даже в случае удаления исходного npm-пакета.

Функционал сбора учетных записей вредоносного ПО нацелен на несколько сред, включая AWS, HashiCorp Vault и Kubernetes. Для AWS он корректно использует службу метаданных экземпляра (IMDSv2) для получения учетных данных в нескольких регионах. Для GitHub Actions он сканирует переменные среды для захвата токенов и секретных значений, тогда как нацеливание на Kubernetes использует токены учетных записей служб для получения доступа к секретам, хранящимся в Vault.

Помимо простого кражи учётных данных, внедрённый код включает механизм червеобразного распространения, который позволяет ему публиковать себя обратно в реестре npm под идентичностью скомпрометированных сопровождающих, создавая дополнительную угрозу для экосистемы. Эта функция самовоспроизведения сочетается с вектором атаки отравления репозитория, который использует GraphQL API GitHub для коммита вредоносного кода непосредственно в репозитории сопровождающих, эффективно внедряя себя в легитимные проекты.

Все эксфильтрованные данные маршрутизируются через децентрализованную сеть обмена сообщениями, что позволяет командно-управляющей (C2) коммуникации маскироваться под легитимный трафик и избегать обнаружения. Важно отметить, что внедренные модули демонстрируют глубокое понимание CI-процессов, используя OIDC GitHub для генерации валидных npm-токенов с целью вредоносного повторного размещения.

Рекомендуемые меры по смягчению последствий для затронутых сред включают немедленную ротацию всех секретов, связанных с скомпрометированными пакетами, аудит недавних коммитов и строгий контроль журналов публикации npm. ВПО представляет серьезную угрозу для целостности Цепочка поставок в экосистеме JavaScript, подчеркивая необходимость бдительности в отношении как текущих, так и новых атак на Цепочка поставок.

#ParsedReport #CompletenessMedium
12-05-2026

Flash Alert: EtherRat and TukTuk C2 End in The Gentleman Ransomware

https://thedfirreport.com/2026/05/11/flash-alert-etherrat-and-tuktuk-c2-end-in-the-gentleman-ransomware/

Report completeness: Medium

Actors/Campaigns:
Gentlemen_ransomware

Threats:
Gentlemen_ransomware
Tuktuk
Etherrat
Gotoresolve_tool
React2shell_vuln
Etherhiding_technique
Dll_sideloading_technique
Dead_drop_technique
Kerberoasting_technique
Winrm_tool
Netexec_tool
Mimikatz_tool
Rclone_tool
Shadow_copies_delete_technique

Victims:
Critical infrastructure

Industry:
Critical_infrastructure, Financial

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


TTPs:
Tactics: 7
Technics: 1

IOCs:
File: 14
Command: 11
Path: 1
Domain: 1
Coin: 2
Hash: 6

Soft:
curl, SoftPerfect Network Scanner, trycloudflare, supabase, clickhouse, Arweave, Linux, Sysinternals, Node.js, Dropbox, have more...

Wallets:
wassabi

Crypto:
ethereum

Languages:
javascript

Platforms:
x86

Links:
https://github.com/Pennyw0rth/NetExec

#ParsedReport #ExtractedSchema

Classified images:
schema: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Выявлена сложная киберкампания, связанная с использованием вредоносного ПО EtherRAT и TukTuk, что привело к развертыванию вымогателя The Gentlemen. EtherRAT использует уязвимости через вредоносный установщик MSI, обеспечивая закрепление с помощью децентрализованной инфраструктуры управления с использованием блокчейна Ethereum. Вредоносное ПО TukTuk применяет подгрузку DLL для кражи учетных данных и перемещение внутри компании, в то время как злоумышленник повышает привилегии и похищает данные перед развертыванием вымогателя с использованием скомпрометированных учетных данных и вредоносных объектов групповой политики.
-----

Недавняя картина киберугроз выявила сложную кампанию, использующую вредоносное ПО EtherRAT и TukTuk, что привело к развертыванию вымогателя The Gentlemen. EtherRAT, впервые выявленный в конце 2025 года, применяет техники эксплуатации для получения первоначального доступа, включая вариант для Windows, использующий вредоносный установщик MSI, замаскированный под легитимную утилиту Sysinternals. После запуска он обеспечивает закрепление и взаимодействует с децентрализованной инфраструктурой управления (C2) с использованием технологии блокчейна Ethereum. Атакующий динамически обновляет конфигурацию управления путем запроса смарт-контрактов на 1rpc.io.

После развертывания вредоносное ПО сначала извлекает конфигурационные данные для доступа к операционным командам. Злоумышленник затем использует вычислительную среду, выполняя обширную разведку и загружая дополнительные компоненты вредоносного ПО, размещенные на облачной инфраструктуре, включая такие сервисы, как ClickHouse и Supabase. Примечательно, что TukTuk появился как новая фреймворк, использующий техники подгрузки DLL для маскировки под известные бинарные файлы, что позволило ему поддерживать скрытую работу, одновременно занимаясь кражей учетных данных и перемещением внутри компании.

Кампания отличалась агрессивной тактикой повышения привилегий и перемещения внутри компании по сетям. Злоумышленник использовал такие инструменты, как Mimikatz и Керберостинг, для атаки на административные учетные записи, в конечном итоге применяя скомпрометированные учетные данные для развертывания GoTo Resolve для удаленного управления различными системами. Это широкое перемещение внутри компании обеспечило доступ к конфиденциальным данным, которые в итоге были эксфильтрованы в облачное хранилище Wasabi с использованием Rclone.

В качестве подготовки к развертыванию программ-вымогателей актор провел значительные предварительные операции перед атакой, включая отключение функций безопасности, удаление криминалистических артефактов и создание механизмов для более широкого распространения программ-вымогателей. Шифровальщик Gentlemen был развернут с помощью вредоносного объекта групповой политики (GPO), что затронуло несколько систем домена одновременно и привело к развертыванию бинарных файлов программ-вымогателей при одновременном изменении системных настроек, таких как обои рабочего стола и записки с требованием выкупа.

Для противодействия этой эволюционирующей угрозе организациям следует активно отслеживать необычный исходящий трафик, соответствующий активности C2, особенно из сред, не имеющих легитимных взаимодействий с облачными сервисами или инфраструктурой блокчейна. Использование инструментов удаленного управления также должно подвергаться тщательной проверке для предотвращения попыток несанкционированного доступа. Кроме того, стратегии обнаружения должны включать мониторинг таких инструментов, как Rclone, обеспечивая использование только одобренных облачных сервисов в рамках корпоративной инфраструктуры.

#ParsedReport #CompletenessLow
12-05-2026

Shai-Hulud-Style npm Worm Hits @tanstack

https://www.netskope.com/blog/shai-hulud-style-npm-worm-hits-tanstack

Report completeness: Low

Threats:
Shai-hulud

Victims:
Software development, Cloud services, Github, Aws

ChatGPT TTPs:
do not use without manual check
T1059.007, T1070.004, T1078, T1105, T1195.001, T1526, T1528, T1552.005

IOCs:
File: 1
Hash: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя атака, направленная на пакеты npm, включая @tanstack и @mistralai, эксплуатировала уязвимости в версиях @tanstack/history, применяя паттерн «скачать и выполнить» для запуска стиллера, собирающего учетные данные GitHub и секреты облачных сервисов. Атака инициируется во время установки пакета, загружая среду выполнения Bun и выполняя полезную нагрузку, которая крадет учетные данные с помощью определенных команд, одновременно осуществляя коммуникацию через домен-побратим. Эта вариация эволюционировала для нацеливания на облачные рабочие нагрузки AWS, стремясь к повышению привилегий через несколько конечных точек, а затем удаляя доказательства своей активности после выполнения.
-----

Недавняя компрометация пакетов npm выявила сложную атаку, нацеленную на несколько пространств имен, включая @tanstack, @mistralai и @uipath. В частности, версии 1.161.9 и 1.161.12 пакета @tanstack/history, наряду с более чем 50 другими затронутыми пакетами, были использованы в схеме атаки «скачать и выполнить». Эта схема позволяет выполнить стиллер, который собирает учетные данные GitHub и облачные секреты. Характер атаки отражает предыдущие инциденты, такие как компрометации Shai-Hulud и инцидент с intercom-client@7.0.4, которые указывали на червеобразное поведение, при котором украденные учетные данные используются для дальнейшего распространения заражения на другие пакеты npm.

Компрометация носит масштабный характер, поскольку затронуты несколько библиотек, на которые широко опирается сообщество. Массовая публикация зараженных пакетов указывает на то, что в ближайшее время могут последовать новые волны скомпрометированного программного обеспечения. Пользователям, установившим любую из уязвимых версий, рекомендуется отслеживать подозрительную активность, ротировать учетные данные GitHub и тщательно проверять учетные данные AWS в средах, где использовались эти скомпрометированные пакеты.

Механика атаки начинается в процессе установки вредоносных пакетов, которые запускают скрипт для загрузки среды выполнения Bun с GitHub. После этого выполняется полезная нагрузка `tanstack_runner.js`, предназначенная для сбора учетных данных GitHub с помощью команды `gh auth token`. Команд и контроль (C2) полезной нагрузки осуществляется через домен-двойник git-tanstack.com, созданный для имитации легитимного трафика tanstack.com. В тревожном развитии событий по сравнению с предыдущими атаками этот вариант нацелен конкретно на облачные рабочие нагрузки, опрашивая Службу метаданных экземпляров AWS (IMDS) и пытаясь повысить привилегии, перемещаясь по конечным точкам Службы токенов безопасности (STS) и Системного менеджера (SSM) в нескольких регионах. Эта эскалация направлена на переход от учетных данных роли экземпляра к более широкому доступу в учетной записи AWS через Session Manager.

Кроме того, для сокрытия своего следа бинарный файл Bun, используемый в атаке, удаляется после выполнения. Скомпрометированные учетные данные позволяют злоумышленникам публиковать вредоносные версии дополнительных пакетов из любой учетной записи сопровождающего, к которой есть доступ, тем самым еще больше закрепляя угрозы в этих экосистемах. В целом, этот инцидент подчеркивает насущную необходимость бдительности в управлении пакетами и практике безопасности, поскольку злоумышленники постоянно совершенствуют свои тактики для эксплуатации широко используемого программного обеспечения.

#ParsedReport #CompletenessLow
12-05-2026

Hackers Hijack Microsoft Teams Accounts to Spread ModeloRAT Malware

https://gbhackers.com/hackers-hijack-microsoft-teams/

Report completeness: Low

Threats:
Modelorat
Crashfix
Kongtuke

Victims:
Corporate environments, Microsoft teams users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1007, T1016, T1027, T1041, T1057, T1059.001, T1059.006, T1071.001, T1078.004, T1082, have more...

IOCs:
File: 3
IP: 5

Soft:
Microsoft Teams, Twitter, WhatsApp, Dropbox

Algorithms:
zip

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакеры используют аккаунты Microsoft Teams для распространения новой вариации вредоносного ПО ModeloRAT, применяя тактики социальной инженерии через поддельные чаты технической поддержки ИТ. Жертв обманом заставляют выполнить команду PowerShell, которая сохраняет полезную нагрузку в каталоге %APPDATA%, распаковывает портативную среду WinPython и запускает вредоносное ПО скрытно. ModeloRAT использует двухкомпонентную архитектуру для разведки и управления, избегает обнаружения за счет прямой IP-коммуникации и демонстрирует высокие показатели уклонения от средств защиты конечных точек.
-----

Хакеры начали перехватывать учетные записи Microsoft Teams для распространения новой вариации вредоносного ПО ModeloRAT, используя техники, которые опираются на социальную инженерию через поддельные чаты службы технической поддержки ИТ. Этот метод повторяет предыдущие стратегии атак, такие как те, что применялись в операциях CrashFix, но переводит взаимодействие из веб-браузеров в интерфейсы чатов, делая имперсонацию внутренней поддержки более убедительной. Злоумышленники побуждают жертв выполнить команду PowerShell, скопированную непосредственно из чата, что активирует вредоносное ПО.

После выполнения команда PowerShell сохраняет полезную нагрузку в профиле пользователя в директории %APPDATA% и распаковывает портативную среду WinPython. Эта распаковка имитирует предыдущую активность KongTuke, которая использовала Dropbox для размещения архивов, и является критически важной для нового процесса загрузки ModeloRAT. Извлеченный код запускает pythonw.exe без отображения окна консоли, что эффективно обеспечивает скрытность во время установки.

Этот обновленный вариант ModeloRAT использует двухкомпонентную архитектуру, разделяющую задачи разведки и функции управления (C2). Компонент разведки собирает обширные данные хоста, такие как членство в домене и сетевые настройки, подготавливая эту информацию для эксфильтрации в структурированном формате JSON. Компонент C2 устанавливает исходящие HTTP-соединения напрямую к инфраструктуре злоумышленника через жестко закодированные IP-адреса, обходя меры безопасности, основанные на доменах. Это продолжает тенденцию, наблюдаемую в более ранних развертываниях ModeloRAT, которые предпочитали прямую IP-коммуникацию для обхода стандартных методов обнаружения.

ВПО продемонстрировало высокий уровень уклонения от обнаружения: некоторые образцы оставались незамеченными решениями для обнаружения и реагирования на конечных точках (EDR), а предварительный анализ на платформах, таких как VirusTotal, не выявил срабатываний антивирусов. Методы закрепления ModeloRAT также эволюционировали; вместо того чтобы полагаться исключительно на ключи реестра Run, оно способно формировать цепочки выполнения с сильно обфусцированными командами, которые собирают полезную нагрузку во время выполнения.

Для снижения рисков, связанных с этими атаками, организациям рекомендуется ужесточить политики внешнего доступа для Microsoft Teams, особенно отмечая или ограничивая неожиданные запросы, претендующие на роль ИТ-поддержки. Рекомендуется мониторинг подозрительных загрузок из Dropbox или других облачных хранилищ, особенно при отсутствии законного делового обоснования. Кроме того, аналитикам следует отслеживать события создания и извлечения ZIP-файлов в директории %APPDATA%, особенно те, которые приводят к созданию директорий с именем WPy64-31401. Установление базовых показателей для легитимного использования pythonw.exe и активное обнаружение необычных выполнений в путях к файлам, доступных для записи пользователями, являются дополнительными стратегическими мерами защиты от ModeloRAT. Непрерывный мониторинг добавлений в ключи автозагрузки и регистрации запланированных задач имеет решающее значение, особенно для записей, связанных с pythonw.exe, которые содержат нерегулярные или плохо структурированные имена задач.

#ParsedReport #CompletenessLow
12-05-2026

GhostLock Tool Leverages Windows API to Lock File Access Like Ransomware

https://cybersecuritynews.com/ghostlock-attack/

Report completeness: Low

Threats:
Ghostlock

Victims:
Organizations, Corporate environments

ChatGPT TTPs:
do not use without manual check
T1059.006, T1078.002, T1106, T1499

Soft:
Microsoft Office, Microsoft Word, Active Directory, Twitter, Telegram

Win API:
CreateFileW

Languages:
python

Links:
https://github.com/kimd155/GhostLock

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostLock — это новый метод атаки на отказ в обслуживании, использующий поведение файлового обмена Windows для блокировки доступа к файлам без традиционного шифрования, что делает его значительной угрозой, сопоставимой с программой-вымогателем. Инструмент работает за счёт эксплуатации API CreateFileW с определённым параметром, позволяя пользователям с правами только на чтение нарушать работу корпоративных систем, при этом избегая обнаружения стандартными средствами защиты, поскольку не выполняет операций записи. Его способность накапливать множество эксклюзивных дескрипторов файлов и находиться в активных сессиях в течение длительного времени дополнительно усложняет обнаружение угрозы, повышая потенциал эксплуатации.
-----

GhostLock — это инновационный инструмент, представляющий новый метод атаки на доступность, аналогичный ransomware, но без типичного шифрования файлов. Обнаруженный Ким Двашем, этот метод использует поведение файлового обмена Windows для нарушения доступа к файлам, эффективно делая их недоступными для пользователей. В отличие от традиционного ransomware, который шифрует данные и удерживает их в качестве залога за выкуп, GhostLock блокирует файлы таким образом, что стандартный пользователь домена, имея только права на чтение, может использовать это для парализации корпоративных операций. Это приводит к воздействию, неотличимому от события ransomware с точки зрения жертвы.

GhostLock использует функцию API CreateFileW с параметром dwShareMode, установленным в 0, — метод, применяемый Microsoft Office при открытии документов для редактирования. Этот подход не связан с какими-либо дефектами программного обеспечения, требующими патчей, поэтому соответствующие CVE отсутствуют. Инструмент реализован через обёртку Python ctypes, которая не требует административных прав или внешних зависимостей, что повышает его угрозу.

Эффективность GhostLock заключается в его способности обходить механизмы обнаружения традиционных программ-вымогателей. Оценки показали, что он избегает обнаружения на нескольких уровнях корпоративной безопасности, включая honeypots и canary-файлы, при этом не генерируя никаких оповещений, поскольку GhostLock не выполняет никаких операций записи. Детекторы аномалий скорости записи также не регистрировали никаких оповещений, поскольку ожидаемое отсутствие операций записи делает обнаружение невозможным. Движки программ-вымогателей на основе поведенческого искусственного интеллекта не смогли выявить угрозу, так как поведение GhostLock тесно напоминает легитимные процессы, такие как индексация поиска или предварительное сканирование резервных копий. Кроме того, коммерческие системы обнаружения и реагирования на конечных точках (EDR) не срабатывали, поскольку шаблоны системных вызовов имитировали стандартные действия по открытию документов.

Дальнейшее усложнение обнаружения связано с тем, что GhostLock накапливает значительное количество эксклюзивных дескрипторов файлов, потенциально достигающее десятков тысяч, — статистика, которую типичные корпоративные системы управления информационной безопасностью и событиями (SIEM) не отслеживают. Кроме того, даже если учетные данные Active Directory атакующего будут отозваны, существующие аутентифицированные сеансы и соответствующие им блокировки могут оставаться активными в течение 15–60 минут в зависимости от конфигурации платформы.

Для тех, кто заинтересован, исходный код GhostLock публично доступен на GitHub, наряду с выделенным исследовательским сайтом. Эта открытость подчеркивает его готовность к потенциальному использованию в различных средах, представляя значительный риск для кибербезопасности организаций.

#ParsedReport #CompletenessHigh
12-05-2026

Seedworm: Iran-Linked Hackers Breached Korean Electronics Maker in Global Spying Campaign

https://www.security.com/threat-intelligence/iran-seedworm-electronics

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)

Threats:
Dll_sideloading_technique
Chromelevator_tool
Credential_dumping_technique

Victims:
Electronics manufacturing, Industrial manufacturing, Education, Public sector, Financial services, Professional services, Government agencies, Airport

Industry:
Government, Aerospace, Education

Geo:
Asia, Iranian, Korean, Tehran, Asian, Latin american, Middle east, Iran

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.002, T1016.001, T1036.008, T1056.002, T1059.001, T1059.003, T1059.007, T1069.001, T1069.002, T1090, have more...

IOCs:
File: 12
Hash: 9
Domain: 2
IP: 6
Command: 2
Url: 6

Soft:
Node.js, Windows security, curl

Algorithms:
sha256

Win API:
CredUIPromptForWindowsCredentialsW

Win Services:
WebClient

Languages:
powershell

Links:
https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранская связанная с государством группа Seedworm (MuddyWater) провела сложную кампанию шпионажа в феврале 2026 года, нацеленную на крупную южнокорейскую электронную компанию и другие организации, используя передовые тактики, такие как подгрузка DLL легитимных бинарных файлов для сокрытия вредоносной активности. Атакующие применяли инструменты для сбора учетных записей, используя стандартные запросы Windows, и обеспечивали эксфильтрацию данных через публичные облачные сервисы. Эта операция отражает значительную эволюцию в методологиях Seedworm, указывая на расширение их целей за пределы Ближнего Востока и Южной Азии.
-----

В рамках сложной кампании шпионажа, приписываемой связанной с Ираном группе Seedworm (также известной как MuddyWater), злоумышленники в феврале 2026 года скомпрометировали крупного южнокорейского производителя электроники, а также восемь других организаций в различных секторах и на разных континентах. Эта активность продемонстрировала сдвиг в тактике и инструментах, подчеркивая зрелый подход к кибероперациям.

Методология Seedworm включала основную опору на подгрузку DLL с использованием легитимных, подписанных бинарных файлов от доверенного программного обеспечения — в частности, драйвера аудио Fortemedia (fmapp.exe) и компонента от SentinelOne (sentinelmemoryscanner.exe). Эти бинарные файлы использовались для загрузки вредоносных динамических библиотек (DLL), что позволяло злоумышленникам скрывать свою деятельность и обходить механизмы обнаружения. Среди вредоносных DLL присутствовал ChromElevator — инструмент, предназначенный для эксфильтрации конфиденциальной информации, такой как пароли, файлы cookie и платежные данные, из браузеров.

Операционная цепочка началась с внедрения на основе node.exe, которое использовалось для размещения скриптов PowerShell, выполняющих команды для разведки, захвата скриншотов и повышения привилегий. Злоумышленники активно использовали PowerShell, но координировали эти команды через скрипты Node.js, что указывает на тактическую эволюцию. Например, скрипт Node.js, обнаруженный внутри XML-файла на скомпрометированном хосте, значительно облегчил рабочий процесс атаки.

Во время операции злоумышленники применяли методы сбора учетных записей, отображая стандартные системные запросы безопасности Windows для захвата имен пользователей и паролей, которые затем сохранялись локально. Эксфильтрация данных проводилась с использованием публичного сервиса передачи файлов sendit.sh, что указывает на тенденцию, при которой злоумышленники все чаще размывают операционные сигналы, используя потребительские облачные сервисы для маскировки вредоносного трафика. Этот метод подчеркивает их адаптацию для обхода стандартных стратегий обнаружения на основе сетевого анализа.

Атака началась с первоначальной разведки с помощью PowerShell и перешла к загрузке дополнительных вредоносных компонентов. Злоумышленники поддерживали скрытность за счет периодической активности, используя такие инструменты, как curl.exe, для получения компонентов, минимизируя при этом обнаруживаемые сетевые артефакты. Они также продолжали заниматься выгрузкой учетных данных и разведкой на протяжении всей кампании, особенно с 22 по 27 февраля, обеспечивая постоянный доступ к скомпрометированной среде.

Эта кампания отмечает заметную диверсификацию в целях Seedworm, ранее сосредоточенных на Ближнем Востоке и Южной Азии. Успешные новые цели указывают на потенциальное расширение задач иранской разведки. Сложное использование подгрузки DLL, облачных сервисов для эксфильтрации данных и общее повышение оперативной дисциплины сигнализируют о существенном совершенствовании тактики Seedworm, что свидетельствует о значительной эволюции их прошлой оперативной деятельности.

#ParsedReport #CompletenessMedium
12-05-2026

TeamPCP hits 160+ packages including OpenSearch and Mistral AI

https://opensourcemalware.com/blog/teampcp-mistralai-opensearch-compromised

Report completeness: Medium

Actors/Campaigns:
Teampcp
Mini_shai-hulud

Threats:
Supply_chain_technique
Typosquatting_technique
Lolbin_technique
Shai-hulud

Victims:
Software development, Artificial intelligence, Search and observability, Robotics process automation, Aviation, Commerce and point of sale, Authentication, Machine learning, Cloud services, Continuous integration environments, have more...

Industry:
Aerospace

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1059.006, T1059.007, T1070.004, T1105, T1195.001, T1497.001, T1528, have more...

IOCs:
File: 11
Hash: 7

Soft:
OpenSearch, TanStack, Kubernetes, HashiCorp Vault, Claude, mistralai, Linux, nSearch publ

Algorithms:
sha1, zip, md5, sha256

Functions:
createCommitOnBranch, fetch

Win API:
lockfile

Languages:
python, javascript

Links:
have more...
https://github.com/TanStack/router/issues/7383
https://github.com/opensourcemalware/osm-claude-automation/blob/main/reports/mini-shai-hulud-2026-05-12.csv