#ParsedReport #CompletenessLow
12-05-2026

Shai-Hulud-Style npm Worm Hits @tanstack

https://www.netskope.com/blog/shai-hulud-style-npm-worm-hits-tanstack

Report completeness: Low

Threats:
Shai-hulud

Victims:
Software development, Cloud services, Github, Aws

ChatGPT TTPs:
do not use without manual check
T1059.007, T1070.004, T1078, T1105, T1195.001, T1526, T1528, T1552.005

IOCs:
File: 1
Hash: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя атака, направленная на пакеты npm, включая @tanstack и @mistralai, эксплуатировала уязвимости в версиях @tanstack/history, применяя паттерн «скачать и выполнить» для запуска стиллера, собирающего учетные данные GitHub и секреты облачных сервисов. Атака инициируется во время установки пакета, загружая среду выполнения Bun и выполняя полезную нагрузку, которая крадет учетные данные с помощью определенных команд, одновременно осуществляя коммуникацию через домен-побратим. Эта вариация эволюционировала для нацеливания на облачные рабочие нагрузки AWS, стремясь к повышению привилегий через несколько конечных точек, а затем удаляя доказательства своей активности после выполнения.
-----

Недавняя компрометация пакетов npm выявила сложную атаку, нацеленную на несколько пространств имен, включая @tanstack, @mistralai и @uipath. В частности, версии 1.161.9 и 1.161.12 пакета @tanstack/history, наряду с более чем 50 другими затронутыми пакетами, были использованы в схеме атаки «скачать и выполнить». Эта схема позволяет выполнить стиллер, который собирает учетные данные GitHub и облачные секреты. Характер атаки отражает предыдущие инциденты, такие как компрометации Shai-Hulud и инцидент с intercom-client@7.0.4, которые указывали на червеобразное поведение, при котором украденные учетные данные используются для дальнейшего распространения заражения на другие пакеты npm.

Компрометация носит масштабный характер, поскольку затронуты несколько библиотек, на которые широко опирается сообщество. Массовая публикация зараженных пакетов указывает на то, что в ближайшее время могут последовать новые волны скомпрометированного программного обеспечения. Пользователям, установившим любую из уязвимых версий, рекомендуется отслеживать подозрительную активность, ротировать учетные данные GitHub и тщательно проверять учетные данные AWS в средах, где использовались эти скомпрометированные пакеты.

Механика атаки начинается в процессе установки вредоносных пакетов, которые запускают скрипт для загрузки среды выполнения Bun с GitHub. После этого выполняется полезная нагрузка `tanstack_runner.js`, предназначенная для сбора учетных данных GitHub с помощью команды `gh auth token`. Команд и контроль (C2) полезной нагрузки осуществляется через домен-двойник git-tanstack.com, созданный для имитации легитимного трафика tanstack.com. В тревожном развитии событий по сравнению с предыдущими атаками этот вариант нацелен конкретно на облачные рабочие нагрузки, опрашивая Службу метаданных экземпляров AWS (IMDS) и пытаясь повысить привилегии, перемещаясь по конечным точкам Службы токенов безопасности (STS) и Системного менеджера (SSM) в нескольких регионах. Эта эскалация направлена на переход от учетных данных роли экземпляра к более широкому доступу в учетной записи AWS через Session Manager.

Кроме того, для сокрытия своего следа бинарный файл Bun, используемый в атаке, удаляется после выполнения. Скомпрометированные учетные данные позволяют злоумышленникам публиковать вредоносные версии дополнительных пакетов из любой учетной записи сопровождающего, к которой есть доступ, тем самым еще больше закрепляя угрозы в этих экосистемах. В целом, этот инцидент подчеркивает насущную необходимость бдительности в управлении пакетами и практике безопасности, поскольку злоумышленники постоянно совершенствуют свои тактики для эксплуатации широко используемого программного обеспечения.

#ParsedReport #CompletenessLow
12-05-2026

Hackers Hijack Microsoft Teams Accounts to Spread ModeloRAT Malware

https://gbhackers.com/hackers-hijack-microsoft-teams/

Report completeness: Low

Threats:
Modelorat
Crashfix
Kongtuke

Victims:
Corporate environments, Microsoft teams users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1007, T1016, T1027, T1041, T1057, T1059.001, T1059.006, T1071.001, T1078.004, T1082, have more...

IOCs:
File: 3
IP: 5

Soft:
Microsoft Teams, Twitter, WhatsApp, Dropbox

Algorithms:
zip

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакеры используют аккаунты Microsoft Teams для распространения новой вариации вредоносного ПО ModeloRAT, применяя тактики социальной инженерии через поддельные чаты технической поддержки ИТ. Жертв обманом заставляют выполнить команду PowerShell, которая сохраняет полезную нагрузку в каталоге %APPDATA%, распаковывает портативную среду WinPython и запускает вредоносное ПО скрытно. ModeloRAT использует двухкомпонентную архитектуру для разведки и управления, избегает обнаружения за счет прямой IP-коммуникации и демонстрирует высокие показатели уклонения от средств защиты конечных точек.
-----

Хакеры начали перехватывать учетные записи Microsoft Teams для распространения новой вариации вредоносного ПО ModeloRAT, используя техники, которые опираются на социальную инженерию через поддельные чаты службы технической поддержки ИТ. Этот метод повторяет предыдущие стратегии атак, такие как те, что применялись в операциях CrashFix, но переводит взаимодействие из веб-браузеров в интерфейсы чатов, делая имперсонацию внутренней поддержки более убедительной. Злоумышленники побуждают жертв выполнить команду PowerShell, скопированную непосредственно из чата, что активирует вредоносное ПО.

После выполнения команда PowerShell сохраняет полезную нагрузку в профиле пользователя в директории %APPDATA% и распаковывает портативную среду WinPython. Эта распаковка имитирует предыдущую активность KongTuke, которая использовала Dropbox для размещения архивов, и является критически важной для нового процесса загрузки ModeloRAT. Извлеченный код запускает pythonw.exe без отображения окна консоли, что эффективно обеспечивает скрытность во время установки.

Этот обновленный вариант ModeloRAT использует двухкомпонентную архитектуру, разделяющую задачи разведки и функции управления (C2). Компонент разведки собирает обширные данные хоста, такие как членство в домене и сетевые настройки, подготавливая эту информацию для эксфильтрации в структурированном формате JSON. Компонент C2 устанавливает исходящие HTTP-соединения напрямую к инфраструктуре злоумышленника через жестко закодированные IP-адреса, обходя меры безопасности, основанные на доменах. Это продолжает тенденцию, наблюдаемую в более ранних развертываниях ModeloRAT, которые предпочитали прямую IP-коммуникацию для обхода стандартных методов обнаружения.

ВПО продемонстрировало высокий уровень уклонения от обнаружения: некоторые образцы оставались незамеченными решениями для обнаружения и реагирования на конечных точках (EDR), а предварительный анализ на платформах, таких как VirusTotal, не выявил срабатываний антивирусов. Методы закрепления ModeloRAT также эволюционировали; вместо того чтобы полагаться исключительно на ключи реестра Run, оно способно формировать цепочки выполнения с сильно обфусцированными командами, которые собирают полезную нагрузку во время выполнения.

Для снижения рисков, связанных с этими атаками, организациям рекомендуется ужесточить политики внешнего доступа для Microsoft Teams, особенно отмечая или ограничивая неожиданные запросы, претендующие на роль ИТ-поддержки. Рекомендуется мониторинг подозрительных загрузок из Dropbox или других облачных хранилищ, особенно при отсутствии законного делового обоснования. Кроме того, аналитикам следует отслеживать события создания и извлечения ZIP-файлов в директории %APPDATA%, особенно те, которые приводят к созданию директорий с именем WPy64-31401. Установление базовых показателей для легитимного использования pythonw.exe и активное обнаружение необычных выполнений в путях к файлам, доступных для записи пользователями, являются дополнительными стратегическими мерами защиты от ModeloRAT. Непрерывный мониторинг добавлений в ключи автозагрузки и регистрации запланированных задач имеет решающее значение, особенно для записей, связанных с pythonw.exe, которые содержат нерегулярные или плохо структурированные имена задач.

#ParsedReport #CompletenessLow
12-05-2026

GhostLock Tool Leverages Windows API to Lock File Access Like Ransomware

https://cybersecuritynews.com/ghostlock-attack/

Report completeness: Low

Threats:
Ghostlock

Victims:
Organizations, Corporate environments

ChatGPT TTPs:
do not use without manual check
T1059.006, T1078.002, T1106, T1499

Soft:
Microsoft Office, Microsoft Word, Active Directory, Twitter, Telegram

Win API:
CreateFileW

Languages:
python

Links:
https://github.com/kimd155/GhostLock

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostLock — это новый метод атаки на отказ в обслуживании, использующий поведение файлового обмена Windows для блокировки доступа к файлам без традиционного шифрования, что делает его значительной угрозой, сопоставимой с программой-вымогателем. Инструмент работает за счёт эксплуатации API CreateFileW с определённым параметром, позволяя пользователям с правами только на чтение нарушать работу корпоративных систем, при этом избегая обнаружения стандартными средствами защиты, поскольку не выполняет операций записи. Его способность накапливать множество эксклюзивных дескрипторов файлов и находиться в активных сессиях в течение длительного времени дополнительно усложняет обнаружение угрозы, повышая потенциал эксплуатации.
-----

GhostLock — это инновационный инструмент, представляющий новый метод атаки на доступность, аналогичный ransomware, но без типичного шифрования файлов. Обнаруженный Ким Двашем, этот метод использует поведение файлового обмена Windows для нарушения доступа к файлам, эффективно делая их недоступными для пользователей. В отличие от традиционного ransomware, который шифрует данные и удерживает их в качестве залога за выкуп, GhostLock блокирует файлы таким образом, что стандартный пользователь домена, имея только права на чтение, может использовать это для парализации корпоративных операций. Это приводит к воздействию, неотличимому от события ransomware с точки зрения жертвы.

GhostLock использует функцию API CreateFileW с параметром dwShareMode, установленным в 0, — метод, применяемый Microsoft Office при открытии документов для редактирования. Этот подход не связан с какими-либо дефектами программного обеспечения, требующими патчей, поэтому соответствующие CVE отсутствуют. Инструмент реализован через обёртку Python ctypes, которая не требует административных прав или внешних зависимостей, что повышает его угрозу.

Эффективность GhostLock заключается в его способности обходить механизмы обнаружения традиционных программ-вымогателей. Оценки показали, что он избегает обнаружения на нескольких уровнях корпоративной безопасности, включая honeypots и canary-файлы, при этом не генерируя никаких оповещений, поскольку GhostLock не выполняет никаких операций записи. Детекторы аномалий скорости записи также не регистрировали никаких оповещений, поскольку ожидаемое отсутствие операций записи делает обнаружение невозможным. Движки программ-вымогателей на основе поведенческого искусственного интеллекта не смогли выявить угрозу, так как поведение GhostLock тесно напоминает легитимные процессы, такие как индексация поиска или предварительное сканирование резервных копий. Кроме того, коммерческие системы обнаружения и реагирования на конечных точках (EDR) не срабатывали, поскольку шаблоны системных вызовов имитировали стандартные действия по открытию документов.

Дальнейшее усложнение обнаружения связано с тем, что GhostLock накапливает значительное количество эксклюзивных дескрипторов файлов, потенциально достигающее десятков тысяч, — статистика, которую типичные корпоративные системы управления информационной безопасностью и событиями (SIEM) не отслеживают. Кроме того, даже если учетные данные Active Directory атакующего будут отозваны, существующие аутентифицированные сеансы и соответствующие им блокировки могут оставаться активными в течение 15–60 минут в зависимости от конфигурации платформы.

Для тех, кто заинтересован, исходный код GhostLock публично доступен на GitHub, наряду с выделенным исследовательским сайтом. Эта открытость подчеркивает его готовность к потенциальному использованию в различных средах, представляя значительный риск для кибербезопасности организаций.

#ParsedReport #CompletenessHigh
12-05-2026

Seedworm: Iran-Linked Hackers Breached Korean Electronics Maker in Global Spying Campaign

https://www.security.com/threat-intelligence/iran-seedworm-electronics

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)

Threats:
Dll_sideloading_technique
Chromelevator_tool
Credential_dumping_technique

Victims:
Electronics manufacturing, Industrial manufacturing, Education, Public sector, Financial services, Professional services, Government agencies, Airport

Industry:
Government, Aerospace, Education

Geo:
Asia, Iranian, Korean, Tehran, Asian, Latin american, Middle east, Iran

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.002, T1016.001, T1036.008, T1056.002, T1059.001, T1059.003, T1059.007, T1069.001, T1069.002, T1090, have more...

IOCs:
File: 12
Hash: 9
Domain: 2
IP: 6
Command: 2
Url: 6

Soft:
Node.js, Windows security, curl

Algorithms:
sha256

Win API:
CredUIPromptForWindowsCredentialsW

Win Services:
WebClient

Languages:
powershell

Links:
https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранская связанная с государством группа Seedworm (MuddyWater) провела сложную кампанию шпионажа в феврале 2026 года, нацеленную на крупную южнокорейскую электронную компанию и другие организации, используя передовые тактики, такие как подгрузка DLL легитимных бинарных файлов для сокрытия вредоносной активности. Атакующие применяли инструменты для сбора учетных записей, используя стандартные запросы Windows, и обеспечивали эксфильтрацию данных через публичные облачные сервисы. Эта операция отражает значительную эволюцию в методологиях Seedworm, указывая на расширение их целей за пределы Ближнего Востока и Южной Азии.
-----

В рамках сложной кампании шпионажа, приписываемой связанной с Ираном группе Seedworm (также известной как MuddyWater), злоумышленники в феврале 2026 года скомпрометировали крупного южнокорейского производителя электроники, а также восемь других организаций в различных секторах и на разных континентах. Эта активность продемонстрировала сдвиг в тактике и инструментах, подчеркивая зрелый подход к кибероперациям.

Методология Seedworm включала основную опору на подгрузку DLL с использованием легитимных, подписанных бинарных файлов от доверенного программного обеспечения — в частности, драйвера аудио Fortemedia (fmapp.exe) и компонента от SentinelOne (sentinelmemoryscanner.exe). Эти бинарные файлы использовались для загрузки вредоносных динамических библиотек (DLL), что позволяло злоумышленникам скрывать свою деятельность и обходить механизмы обнаружения. Среди вредоносных DLL присутствовал ChromElevator — инструмент, предназначенный для эксфильтрации конфиденциальной информации, такой как пароли, файлы cookie и платежные данные, из браузеров.

Операционная цепочка началась с внедрения на основе node.exe, которое использовалось для размещения скриптов PowerShell, выполняющих команды для разведки, захвата скриншотов и повышения привилегий. Злоумышленники активно использовали PowerShell, но координировали эти команды через скрипты Node.js, что указывает на тактическую эволюцию. Например, скрипт Node.js, обнаруженный внутри XML-файла на скомпрометированном хосте, значительно облегчил рабочий процесс атаки.

Во время операции злоумышленники применяли методы сбора учетных записей, отображая стандартные системные запросы безопасности Windows для захвата имен пользователей и паролей, которые затем сохранялись локально. Эксфильтрация данных проводилась с использованием публичного сервиса передачи файлов sendit.sh, что указывает на тенденцию, при которой злоумышленники все чаще размывают операционные сигналы, используя потребительские облачные сервисы для маскировки вредоносного трафика. Этот метод подчеркивает их адаптацию для обхода стандартных стратегий обнаружения на основе сетевого анализа.

Атака началась с первоначальной разведки с помощью PowerShell и перешла к загрузке дополнительных вредоносных компонентов. Злоумышленники поддерживали скрытность за счет периодической активности, используя такие инструменты, как curl.exe, для получения компонентов, минимизируя при этом обнаруживаемые сетевые артефакты. Они также продолжали заниматься выгрузкой учетных данных и разведкой на протяжении всей кампании, особенно с 22 по 27 февраля, обеспечивая постоянный доступ к скомпрометированной среде.

Эта кампания отмечает заметную диверсификацию в целях Seedworm, ранее сосредоточенных на Ближнем Востоке и Южной Азии. Успешные новые цели указывают на потенциальное расширение задач иранской разведки. Сложное использование подгрузки DLL, облачных сервисов для эксфильтрации данных и общее повышение оперативной дисциплины сигнализируют о существенном совершенствовании тактики Seedworm, что свидетельствует о значительной эволюции их прошлой оперативной деятельности.

#ParsedReport #CompletenessMedium
12-05-2026

TeamPCP hits 160+ packages including OpenSearch and Mistral AI

https://opensourcemalware.com/blog/teampcp-mistralai-opensearch-compromised

Report completeness: Medium

Actors/Campaigns:
Teampcp
Mini_shai-hulud

Threats:
Supply_chain_technique
Typosquatting_technique
Lolbin_technique
Shai-hulud

Victims:
Software development, Artificial intelligence, Search and observability, Robotics process automation, Aviation, Commerce and point of sale, Authentication, Machine learning, Cloud services, Continuous integration environments, have more...

Industry:
Aerospace

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1059.006, T1059.007, T1070.004, T1105, T1195.001, T1497.001, T1528, have more...

IOCs:
File: 11
Hash: 7

Soft:
OpenSearch, TanStack, Kubernetes, HashiCorp Vault, Claude, mistralai, Linux, nSearch publ

Algorithms:
sha1, zip, md5, sha256

Functions:
createCommitOnBranch, fetch

Win API:
lockfile

Languages:
python, javascript

Links:
have more...
https://github.com/TanStack/router/issues/7383
https://github.com/opensourcemalware/osm-claude-automation/blob/main/reports/mini-shai-hulud-2026-05-12.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Червь npm Mini Shai-Hulud скомпрометировал более 170 пакетов в экосистемах npm и PyPI, что приписывается TeamPCP, которая использовала Кражу токена OIDC из рабочего процесса CI. Атака обошла двухфакторную аутентификацию, позволив создавать вредоносные токены npm и внедрять вредоносные предварительные установки в скомпрометированные пакеты. Используя одноранговую сеть обмена сообщениями для эксфильтрации данных, червь маскирует свои операции, что указывает на сложный подход к уклонению от обнаружения и усилению угроз Цепочки поставок.
-----

Самораспространяющийся npm-червь, идентифицированный как Mini Shai-Hulud, поразил более 170 пакетов npm и расширил свое присутствие в Индексе пакетов Python (PyPI), оказав влияние на высокопрофильных клиентов, таких как официальный JavaScript-клиент OpenSearch и пакеты Mistral AI. Получивший название в честь вымышленного существа из серии «Дюна», этот инцидент был приписан группе, называющей себя TeamPCP, которая публично взяла на себя ответственность через домен, использующий метод тайпсквоттинга и связанный с пакетами npm.

Начальная компрометация произошла в результате кражи OIDC-токена из автоматизированного CI-процесса, связанного с репозиторием TanStack. Этот эксплойт обошел двухфакторную аутентификацию, позволив злоумышленнику выпускать новые токены публикации npm без прямой аутентификации сопровождающего. В результате установки скомпрометированных пакетов стали точками повторной публикации, реплицируя вредоносный код через цепочку хуков preinstall. Примечательно, что вредоносная нагрузка доставляется через легитимную среду выполнения под названием Bun, которая загружается и используется как бинарный файл living-off-the-land, тем самым избегая обнаружения типичными средствами защиты.

Атака включает сложные механизмы кражи учетных данных, которые включают сбор конфиденциальных данных из CI-раннеров, таких как секреты GitHub Actions и метаданные AWS. Каждый скомпрометированный пакет также содержал действительные аттестации происхождения Sigstore, стратегически используя сигналы доверия, чтобы выглядеть правдоподобно для CI-конвейеров пользователей. После установки червь внедряет несколько файлов в репозитории, маскируя свои действия путем подделки коммитов с открытой авторством.

В отличие от других, механизм эксфильтрации червя использует одноранговую сеть обмена сообщениями под названием Session, применяя зашифрованные каналы связи вместо стандартных HTTP-команд, что позволяет ему выглядеть как обычные мгновенные сообщения для сетевых наблюдателей. Это указывает на сложный подход к эксфильтрации данных, снижающий вероятность обнаружения с помощью традиционных инструментов сетевого мониторинга.

Кампания продемонстрировала кросс-экосистемный подход, используя уязвимости как npm, так и PyPI для максимизации воздействия атаки. Особую обеспокоенность вызывают скомпрометированные версии JavaScript-клиента OpenSearch, который имеет около 1,3 миллиона загрузок в неделю, а также несколько версий клиентов Mistral AI на обоих пакетных менеджерах.

Для эффективного смягчения последствий пользователям рекомендуется незамедлительно зафиксировать зависимости на версиях, не подверженных воздействию, изменить любые учетные данные, которые взаимодействовали с зараженными этапами CI, а также внедрить меры контроля, такие как отключение скриптов npm install в средах CI. Тщательное исследование на наличие признаков отравления репозитория имеет решающее значение, в частности, поиск внедренных файлов и подозрительной истории коммитов. Эта атака подчеркивает растущую сложность угроз Цепочка поставок, где возможности автономной публикации усугубляют риски, связанные с традиционными практиками управления зависимостями.

#ParsedReport #CompletenessHigh
12-05-2026

Threat Intelligence \| Analysis of a Fake TronLink Chrome Extension Phishing Campaign

https://slowmist.medium.com/threat-intelligence-analysis-of-a-fake-tronlink-chrome-extension-phishing-campaign-768e8c0e8fb6

Report completeness: High

Threats:
Homoglyph_technique

Victims:
Tron wallet users, Cryptocurrency users

Industry:
Financial, Government

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1036.002, T1567, T1656

IOCs:
File: 4
Domain: 2
Url: 6
BrowserExtension: 1
Hash: 5

Soft:
Chrome, SlowMist, Telegram, TronGrid

Wallets:
tronlink, tron

Crypto:
binance

Algorithms:
sha1, md5, sha256

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания нацелена на пользователей кошелька TRON через обманное расширение Chrome, предназначенное для имитации легитимного инструмента кошелька. Это расширение использует юникод- и кириллические омографы для сокрытия своих злонамеренных намерений и загружает удаленный фишинговый интерфейс для сбора конфиденциальных данных, таких как мнемонические фразы и закрытые ключи. Данные эксфильтруются с использованием API одного источника на сервер через JSON-запросы, в то время как сложные механизмы отслеживания и географическая таргетинг повышают эффективность атаки, позволяя избегать обнаружения и адаптировать пользовательский опыт.
-----

Недавний анализ системы MistEye компании SlowMist выявил сложную фишинговую кампанию, направленную против пользователей кошельков TRON через обманное расширение для Chrome. Это расширение, маскирующееся под легитимный инструмент кошелька TRON, использует передовые методы для имперсонации бренда и удаленно настраиваемой загрузки интерфейса, чтобы организовать комплексную операцию по краже учетных данных.

Первый этап атаки включает поддельное расширение Chrome TronLink, которое использует управляющие символы Unicode и кириллические омографы для имитации названия бренда, тем самым скрывая его вредоносный характер. После установки расширение специально загружает удаленный фишинговый интерфейс во фрейм iframe, что позволяет злоумышленникам собирать конфиденциальные данные, такие как мнемонические фразы, закрытые ключи, файлы keystore и пароли, не вызывая подозрений у пользователя. Эти данные выводятся через API с тем же источником и через бота Телеграм, что затрудняет обнаружение вредоносного поведения традиционными средствами безопасности после установки.

Чтобы дополнительно скрыть свою деятельность, злоумышленники унаследовали данные репутации от легитимного расширения, что создало иллюзию надежности для фишингового инструмента благодаря заявлениям о миллионах пользователей и высоких оценках. Механизм загрузки расширения проверяет удаленную конечную точку перед выполнением любых дальнейших действий. Если конечная точка доступна, он настраивает фишинговый интерфейс соответствующим образом; если нет — переходит к локальному интерфейсу запросов.

Кража учетных данных выполняется с помощью функции, которая захватывает конфиденциальные пользовательские данные при попытке импорта информации кошелька. Собранная информация упаковывается в формат JSON и отправляется на сервер, контролируемый злоумышленником, через API-запросы. Примечательно, что инфраструктура злоумышленника включает домены, которые служат как конечными точками для загрузки удаленного пользовательского интерфейса, так и бэкенд-поддержкой для сбора учетных данных, например, tronfind-api.tronfindexplorer.com.

Кроме того, атака включает несколько механизмов противодействия анализу и отслеживания посетителей. Она использует файлы cookie для идентификации и блокировки автоматизированных исследовательских систем, перенаправляя их в обход фишингового интерфейса. Также применяются инструменты гео-таргетинга, создающие разный пользовательский опыт в зависимости от обнаруженной географической информации, особенно для пользователей русскоязычных регионов.

#ParsedReport #CompletenessHigh
13-05-2026

When IT Support Calls: Dissecting a ModeloRAT Campaign from Teams to Domain Compromise

https://www.rapid7.com/blog/post/tr-it-support-dissecting-modelorat-campaign-microsoft-teams-compromise

Report completeness: High

Actors/Campaigns:
0ktapus (motivation: cyber_criminal)
Dragonfish

Threats:
Modelorat
Lolbin_technique
Dumpit_tool
Kongtuke
Exobot
Sim_swapping_technique
Crashfix
Process_injection_technique
Winrm_tool
Nmap_tool
Credential_harvesting_technique
Kerberoasting_technique
Spear-phishing_technique
Pid_spoofing_technique
Credential_dumping_technique
Kyber_ransomware
Chrysalis
Empire_loader

Industry:
Ics

Geo:
Russian

CVEs:
CVE-2021-31969 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10 (20h2, 21h1, 1909, 2004)
- microsoft windows_server_2016 (20h2, 2004)
- microsoft windows_server_2019 (-)

CVE-2023-36036 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20308)
- microsoft windows_10_1607 (<10.0.14393.6452)
- microsoft windows_10_1809 (<10.0.17763.5122)
- microsoft windows_10_21h2 (<10.0.19041.3693)
- microsoft windows_10_22h2 (<10.0.19045.3693)
have more...

TTPs:
Tactics: 7
Technics: 42

IOCs:
Domain: 2
File: 21
Url: 1
IP: 15
Hash: 5
Command: 3
Registry: 1
Path: 1

Soft:
Microsoft Teams, Windows lock screen, Dropbox, Windows Cloud Files Mini Filter Driver, Active Directory, Microsoft Edge, ESXi

Algorithms:
sha256, zip

Functions:
Get-Process, Get-Service, Get-NetTCPConnection

Win API:
FilterSendMessage, WriteFile, CreatePipe, CreateProcessA, NtCreateWnfStateName, NtUpdateWnfStateData, NtDeleteWnfStateData, NtQueryWnfStateData, SeDebugPrivilege

Languages:
powershell, python

Links:
https://github.com/rapid7/Rapid7-Labs/tree/main/IOCs/ModeloRat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В апреле 2026 года кибератака была инициирована через поддельное сообщение Microsoft Teams от аккаунта, имитирующего службу поддержки ИТ, с использованием социальной инженерии и техник Living-off-the-Land. Атакующий выполнил команду PowerShell для загрузки вредоносного ПО на базе Python, `collector.py`, которое установило соединение с управлением и использовало CVE-2023-36036 для повышения привилегий. Операция включала кражу учетных данных через поддельный экран блокировки Windows, использование скомпрометированных паролей для доступа к системам по RDP и эксфильтрацию данных через анонимные сервисы обмена файлами.
-----

В апреле 2026 года Rapid7 расследовала сложную кибератаку, которая началась с мошеннического взаимодействия в Microsoft Teams, имитирующего аккаунт технической поддержки ИТ. Этот инцидент подчеркивает растущие уязвимости, создаваемые платформами для совместной работы, поскольку они становятся векторами атак в кибератаках. Злоумышленник использовал социальную инженерию в сочетании с техниками Living-off-the-Land для получения первоначального доступа и повышения привилегий внутри затронутого предприятия.

Внедрение началось с того, что злоумышленник использовал функцию внешнего доступа Teams для отправки сообщения жертве. Вскоре после этого выполнилась встроенная команда PowerShell, которая загрузила вредоносный Python-пакет с Dropbox. Этот загрузчик установил соединение управления (C2) и развернул первый этап полезной нагрузки — Python-скрипт под названием `collector.py`, предназначенный для разведки. Он профилировал среду хоста и передавал результаты обратно на сервер управления злоумышленника, используя 8-символьный отпечаток для идентификации.

Дальнейшие действия злоумышленника продемонстрировали связь с ModeloRAT, фреймворком, ранее связанным с группой KongTuke. Атака использовала уязвимость CVE-2023-36036, переполнение буфера на основе кучи, затрагивающее драйвер мини-фильтра облачных файлов Windows. Эта уязвимость позволила злоумышленнику повысить привилегии до SYSTEM с помощью пользовательских методов эксплуатации, адаптировав предыдущие методики для вызова повреждения памяти ядра.

После получения доступа к защищённой системе злоумышленник выполнил ряд инструментов, включая дополнительные модули Python, которые обеспечивали обратные оболочки и HTTP-маяки для непрерывного контроля над скомпрометированной системой. Примечательной особенностью атаки стала возможность злоумышленника делать скриншоты и отслеживать действия пользователей, что дополнительно укрепляло его позиции в сети.

Кража учетных данных стала значимым этапом операции, в ходе которого злоумышленник использовал поддельный экран блокировки Windows для сбора доменных паролей, а затем применял эти учетные данные для доступа к другим системам через Протокол удаленного рабочего стола (RDP). Злоумышленник выполнил дополнительную сборку данных из памяти с помощью легитимного инструмента DumpIt для извлечения конфиденциальной информации, такой как пароли и билеты Kerberos. Стратегии эксфильтрации включали использование анонимных сервисов обмена файлами для передачи украденных данных.

Этот инцидент демонстрирует растущую сложность киберугроз, поскольку злоумышленники сочетают традиционные эксплойты, такие как использование уязвимых компонентов программного обеспечения, с современными векторами атак через платформы социально-инженерной коммуникации. Он подчеркивает необходимость бдительного мониторинга, надежных средств защиты от кражи идентичности и контроля над внешним доступом для предотвращения подобных вторжений. Развитие этой атаки от первоначального контакта до полной компрометации домена за примерно два дня служит критическим напоминанием об уязвимостях, проистекающих из доверенных каналов связи, и подчеркивает сохраняющуюся эффективность некоторых эксплойтов, несмотря на наличие доступных исправлений.