#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Червь npm Mini Shai-Hulud скомпрометировал более 170 пакетов в экосистемах npm и PyPI, что приписывается TeamPCP, которая использовала Кражу токена OIDC из рабочего процесса CI. Атака обошла двухфакторную аутентификацию, позволив создавать вредоносные токены npm и внедрять вредоносные предварительные установки в скомпрометированные пакеты. Используя одноранговую сеть обмена сообщениями для эксфильтрации данных, червь маскирует свои операции, что указывает на сложный подход к уклонению от обнаружения и усилению угроз Цепочки поставок.
-----

Самораспространяющийся npm-червь, идентифицированный как Mini Shai-Hulud, поразил более 170 пакетов npm и расширил свое присутствие в Индексе пакетов Python (PyPI), оказав влияние на высокопрофильных клиентов, таких как официальный JavaScript-клиент OpenSearch и пакеты Mistral AI. Получивший название в честь вымышленного существа из серии «Дюна», этот инцидент был приписан группе, называющей себя TeamPCP, которая публично взяла на себя ответственность через домен, использующий метод тайпсквоттинга и связанный с пакетами npm.

Начальная компрометация произошла в результате кражи OIDC-токена из автоматизированного CI-процесса, связанного с репозиторием TanStack. Этот эксплойт обошел двухфакторную аутентификацию, позволив злоумышленнику выпускать новые токены публикации npm без прямой аутентификации сопровождающего. В результате установки скомпрометированных пакетов стали точками повторной публикации, реплицируя вредоносный код через цепочку хуков preinstall. Примечательно, что вредоносная нагрузка доставляется через легитимную среду выполнения под названием Bun, которая загружается и используется как бинарный файл living-off-the-land, тем самым избегая обнаружения типичными средствами защиты.

Атака включает сложные механизмы кражи учетных данных, которые включают сбор конфиденциальных данных из CI-раннеров, таких как секреты GitHub Actions и метаданные AWS. Каждый скомпрометированный пакет также содержал действительные аттестации происхождения Sigstore, стратегически используя сигналы доверия, чтобы выглядеть правдоподобно для CI-конвейеров пользователей. После установки червь внедряет несколько файлов в репозитории, маскируя свои действия путем подделки коммитов с открытой авторством.

В отличие от других, механизм эксфильтрации червя использует одноранговую сеть обмена сообщениями под названием Session, применяя зашифрованные каналы связи вместо стандартных HTTP-команд, что позволяет ему выглядеть как обычные мгновенные сообщения для сетевых наблюдателей. Это указывает на сложный подход к эксфильтрации данных, снижающий вероятность обнаружения с помощью традиционных инструментов сетевого мониторинга.

Кампания продемонстрировала кросс-экосистемный подход, используя уязвимости как npm, так и PyPI для максимизации воздействия атаки. Особую обеспокоенность вызывают скомпрометированные версии JavaScript-клиента OpenSearch, который имеет около 1,3 миллиона загрузок в неделю, а также несколько версий клиентов Mistral AI на обоих пакетных менеджерах.

Для эффективного смягчения последствий пользователям рекомендуется незамедлительно зафиксировать зависимости на версиях, не подверженных воздействию, изменить любые учетные данные, которые взаимодействовали с зараженными этапами CI, а также внедрить меры контроля, такие как отключение скриптов npm install в средах CI. Тщательное исследование на наличие признаков отравления репозитория имеет решающее значение, в частности, поиск внедренных файлов и подозрительной истории коммитов. Эта атака подчеркивает растущую сложность угроз Цепочка поставок, где возможности автономной публикации усугубляют риски, связанные с традиционными практиками управления зависимостями.

#ParsedReport #CompletenessHigh
12-05-2026

Threat Intelligence \| Analysis of a Fake TronLink Chrome Extension Phishing Campaign

https://slowmist.medium.com/threat-intelligence-analysis-of-a-fake-tronlink-chrome-extension-phishing-campaign-768e8c0e8fb6

Report completeness: High

Threats:
Homoglyph_technique

Victims:
Tron wallet users, Cryptocurrency users

Industry:
Financial, Government

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1036.002, T1567, T1656

IOCs:
File: 4
Domain: 2
Url: 6
BrowserExtension: 1
Hash: 5

Soft:
Chrome, SlowMist, Telegram, TronGrid

Wallets:
tronlink, tron

Crypto:
binance

Algorithms:
sha1, md5, sha256

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания нацелена на пользователей кошелька TRON через обманное расширение Chrome, предназначенное для имитации легитимного инструмента кошелька. Это расширение использует юникод- и кириллические омографы для сокрытия своих злонамеренных намерений и загружает удаленный фишинговый интерфейс для сбора конфиденциальных данных, таких как мнемонические фразы и закрытые ключи. Данные эксфильтруются с использованием API одного источника на сервер через JSON-запросы, в то время как сложные механизмы отслеживания и географическая таргетинг повышают эффективность атаки, позволяя избегать обнаружения и адаптировать пользовательский опыт.
-----

Недавний анализ системы MistEye компании SlowMist выявил сложную фишинговую кампанию, направленную против пользователей кошельков TRON через обманное расширение для Chrome. Это расширение, маскирующееся под легитимный инструмент кошелька TRON, использует передовые методы для имперсонации бренда и удаленно настраиваемой загрузки интерфейса, чтобы организовать комплексную операцию по краже учетных данных.

Первый этап атаки включает поддельное расширение Chrome TronLink, которое использует управляющие символы Unicode и кириллические омографы для имитации названия бренда, тем самым скрывая его вредоносный характер. После установки расширение специально загружает удаленный фишинговый интерфейс во фрейм iframe, что позволяет злоумышленникам собирать конфиденциальные данные, такие как мнемонические фразы, закрытые ключи, файлы keystore и пароли, не вызывая подозрений у пользователя. Эти данные выводятся через API с тем же источником и через бота Телеграм, что затрудняет обнаружение вредоносного поведения традиционными средствами безопасности после установки.

Чтобы дополнительно скрыть свою деятельность, злоумышленники унаследовали данные репутации от легитимного расширения, что создало иллюзию надежности для фишингового инструмента благодаря заявлениям о миллионах пользователей и высоких оценках. Механизм загрузки расширения проверяет удаленную конечную точку перед выполнением любых дальнейших действий. Если конечная точка доступна, он настраивает фишинговый интерфейс соответствующим образом; если нет — переходит к локальному интерфейсу запросов.

Кража учетных данных выполняется с помощью функции, которая захватывает конфиденциальные пользовательские данные при попытке импорта информации кошелька. Собранная информация упаковывается в формат JSON и отправляется на сервер, контролируемый злоумышленником, через API-запросы. Примечательно, что инфраструктура злоумышленника включает домены, которые служат как конечными точками для загрузки удаленного пользовательского интерфейса, так и бэкенд-поддержкой для сбора учетных данных, например, tronfind-api.tronfindexplorer.com.

Кроме того, атака включает несколько механизмов противодействия анализу и отслеживания посетителей. Она использует файлы cookie для идентификации и блокировки автоматизированных исследовательских систем, перенаправляя их в обход фишингового интерфейса. Также применяются инструменты гео-таргетинга, создающие разный пользовательский опыт в зависимости от обнаруженной географической информации, особенно для пользователей русскоязычных регионов.

#ParsedReport #CompletenessHigh
13-05-2026

When IT Support Calls: Dissecting a ModeloRAT Campaign from Teams to Domain Compromise

https://www.rapid7.com/blog/post/tr-it-support-dissecting-modelorat-campaign-microsoft-teams-compromise

Report completeness: High

Actors/Campaigns:
0ktapus (motivation: cyber_criminal)
Dragonfish

Threats:
Modelorat
Lolbin_technique
Dumpit_tool
Kongtuke
Exobot
Sim_swapping_technique
Crashfix
Process_injection_technique
Winrm_tool
Nmap_tool
Credential_harvesting_technique
Kerberoasting_technique
Spear-phishing_technique
Pid_spoofing_technique
Credential_dumping_technique
Kyber_ransomware
Chrysalis
Empire_loader

Industry:
Ics

Geo:
Russian

CVEs:
CVE-2021-31969 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10 (20h2, 21h1, 1909, 2004)
- microsoft windows_server_2016 (20h2, 2004)
- microsoft windows_server_2019 (-)

CVE-2023-36036 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20308)
- microsoft windows_10_1607 (<10.0.14393.6452)
- microsoft windows_10_1809 (<10.0.17763.5122)
- microsoft windows_10_21h2 (<10.0.19041.3693)
- microsoft windows_10_22h2 (<10.0.19045.3693)
have more...

TTPs:
Tactics: 7
Technics: 42

IOCs:
Domain: 2
File: 21
Url: 1
IP: 15
Hash: 5
Command: 3
Registry: 1
Path: 1

Soft:
Microsoft Teams, Windows lock screen, Dropbox, Windows Cloud Files Mini Filter Driver, Active Directory, Microsoft Edge, ESXi

Algorithms:
sha256, zip

Functions:
Get-Process, Get-Service, Get-NetTCPConnection

Win API:
FilterSendMessage, WriteFile, CreatePipe, CreateProcessA, NtCreateWnfStateName, NtUpdateWnfStateData, NtDeleteWnfStateData, NtQueryWnfStateData, SeDebugPrivilege

Languages:
powershell, python

Links:
https://github.com/rapid7/Rapid7-Labs/tree/main/IOCs/ModeloRat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В апреле 2026 года кибератака была инициирована через поддельное сообщение Microsoft Teams от аккаунта, имитирующего службу поддержки ИТ, с использованием социальной инженерии и техник Living-off-the-Land. Атакующий выполнил команду PowerShell для загрузки вредоносного ПО на базе Python, `collector.py`, которое установило соединение с управлением и использовало CVE-2023-36036 для повышения привилегий. Операция включала кражу учетных данных через поддельный экран блокировки Windows, использование скомпрометированных паролей для доступа к системам по RDP и эксфильтрацию данных через анонимные сервисы обмена файлами.
-----

В апреле 2026 года Rapid7 расследовала сложную кибератаку, которая началась с мошеннического взаимодействия в Microsoft Teams, имитирующего аккаунт технической поддержки ИТ. Этот инцидент подчеркивает растущие уязвимости, создаваемые платформами для совместной работы, поскольку они становятся векторами атак в кибератаках. Злоумышленник использовал социальную инженерию в сочетании с техниками Living-off-the-Land для получения первоначального доступа и повышения привилегий внутри затронутого предприятия.

Внедрение началось с того, что злоумышленник использовал функцию внешнего доступа Teams для отправки сообщения жертве. Вскоре после этого выполнилась встроенная команда PowerShell, которая загрузила вредоносный Python-пакет с Dropbox. Этот загрузчик установил соединение управления (C2) и развернул первый этап полезной нагрузки — Python-скрипт под названием `collector.py`, предназначенный для разведки. Он профилировал среду хоста и передавал результаты обратно на сервер управления злоумышленника, используя 8-символьный отпечаток для идентификации.

Дальнейшие действия злоумышленника продемонстрировали связь с ModeloRAT, фреймворком, ранее связанным с группой KongTuke. Атака использовала уязвимость CVE-2023-36036, переполнение буфера на основе кучи, затрагивающее драйвер мини-фильтра облачных файлов Windows. Эта уязвимость позволила злоумышленнику повысить привилегии до SYSTEM с помощью пользовательских методов эксплуатации, адаптировав предыдущие методики для вызова повреждения памяти ядра.

После получения доступа к защищённой системе злоумышленник выполнил ряд инструментов, включая дополнительные модули Python, которые обеспечивали обратные оболочки и HTTP-маяки для непрерывного контроля над скомпрометированной системой. Примечательной особенностью атаки стала возможность злоумышленника делать скриншоты и отслеживать действия пользователей, что дополнительно укрепляло его позиции в сети.

Кража учетных данных стала значимым этапом операции, в ходе которого злоумышленник использовал поддельный экран блокировки Windows для сбора доменных паролей, а затем применял эти учетные данные для доступа к другим системам через Протокол удаленного рабочего стола (RDP). Злоумышленник выполнил дополнительную сборку данных из памяти с помощью легитимного инструмента DumpIt для извлечения конфиденциальной информации, такой как пароли и билеты Kerberos. Стратегии эксфильтрации включали использование анонимных сервисов обмена файлами для передачи украденных данных.

Этот инцидент демонстрирует растущую сложность киберугроз, поскольку злоумышленники сочетают традиционные эксплойты, такие как использование уязвимых компонентов программного обеспечения, с современными векторами атак через платформы социально-инженерной коммуникации. Он подчеркивает необходимость бдительного мониторинга, надежных средств защиты от кражи идентичности и контроля над внешним доступом для предотвращения подобных вторжений. Развитие этой атаки от первоначального контакта до полной компрометации домена за примерно два дня служит критическим напоминанием об уязвимостях, проистекающих из доверенных каналов связи, и подчеркивает сохраняющуюся эффективность некоторых эксплойтов, несмотря на наличие доступных исправлений.

#ParsedReport #CompletenessHigh
13-05-2026

FamousSparrow APT Targets Azerbaijani Oil and Gas Industry

https://www.bitdefender.com/en-us/blog/businessinsights/famoussparrow-apt-targets-azerbaijani-oil-gas-industry

Report completeness: High

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage)
Fancy_bear (motivation: cyber_espionage)
Webworm

Threats:
Dll_sideloading_technique
Poisonplug
Terndoor
Proxynotshell_vuln
Proxyshell_vuln
Logmein_tool
Atexec_tool
Impacket_tool
Mofu_loader
Cobalt_strike_tool
Ratels
Microdown
Smbexec_tool

Victims:
Oil and gas, Energy, South caucasus

Industry:
Telco, Petroleum, Government, Energy

Geo:
Austria, Ukraine, China, Chinese, South africa, Asia, Germany, Middle east, Asia-pacific, Azerbaijan, Qatar, Russia, Azerbaijani

CVEs:
CVE-2021-34473 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)

CVE-2022-41040 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)

CVE-2021-31207 [Vulners]
CVSS V3.1: 6.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)

CVE-2021-34523 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)

CVE-2022-41082 [Vulners]
CVSS V3.1: 8.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)


TTPs:
Tactics: 7
Technics: 12

IOCs:
File: 18
Coin: 1
Hash: 3
Path: 13
Domain: 5
Url: 3
Registry: 3

Soft:
Microsoft Exchange server, Microsoft Exchange, Windows Service, Unix, Internet Explorer, Linux

Algorithms:
aes, xor, exhibit, lzma, aes-128-cbc, zip, rc4, gzip, lznt1, cbc, aes-cbc, prng, aes-128, deflate, md5

Win API:
StartServiceCtrlDispatcherW, winMain, NtCreateFile, CreateProcessW, LdrLoadDll, VirtualAlloc, VirtualFree, VirtualProtect, RtlDecompressBuffer

Languages:
python, powershell

Platforms:
x86

Links:
https://github.com/bitdefender/malware-ioc/blob/master/2026\_05\_13-famoussparrow-iocs.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Labs Bitdefender сообщили о кибервторжении против азербайджанской нефтяной и газовой компании со стороны китайской хакерской группировки FamousSparrow, использующей передовые методы атак, направленные на энергетическую инфраструктуру. Атакующие применили новый метод подгрузки DLL для обхода обнаружения и эксплуатировали не исправленные уязвимости Microsoft Exchange через цепочки эксплойтов ProxyShell и ProxyNotShell для получения первоначального доступа. Они использовали два бэкдора, Deed RAT и Terndoor, демонстрируя оперативное закрепление, адаптируя свои тактики на протяжении многоволновой кампании атаки.
-----

Китайская хакерская группировка FamousSparrow провела многоволновую кибератаку на азербайджанскую нефтяную и газовую компанию в период с декабря 2025 года по февраль 2026 года. Они использовали новую технику подгрузки DLL, которая позволила обойти традиционные механизмы обнаружения. Этот метод изменял экспортируемые функции в вредоносной библиотеке для создания двухэтапной активации, позволяя загрузчику Deed RAT выполняться после определенных последовательностей. Атакующие применили два семейства бэкдоров, Deed RAT и Terndoor, и продемонстрировали закрепление путем многократного доступа к уязвимому серверу Microsoft Exchange. Первоначальный доступ был получен с использованием цепочек эксплойтов ProxyShell и ProxyNotShell, нацеленных на незакрытые уязвимости и развертывающих веб-оболочки. Вариант Deed RAT показал непрерывную адаптацию, применяя два криптографических подхода — AES-CBC и RC4 — для ограничения обнаружения во время анализа. Перемещение внутри компании осуществлялось с использованием RDP и PowerShell, за которым последовало развертывание Terndoor в качестве вторичного бэкдора. Атакующие вели дисциплинированную операцию, часто настраивая конфигурации ВПО и стратегии закрепления. Приписывание атаки FamousSparrow подтверждалось идентифицируемыми TTPs, связанными с их операционным фреймворком. Стратегии защиты должны сосредоточиться на сканировании памяти и обнаружении пользовательских техник подгрузки DLL.

#ParsedReport #CompletenessMedium
13-05-2026

Dark Web Profile: Keymous+

https://socradar.io/blog/dark-web-profile-keymous/

Report completeness: Medium

Actors/Campaigns:
Keymous (motivation: hacktivism)
Opisrael
Ddos-for-hire (motivation: hacktivism)
Rippersec
Mr_hamza
Moroccan_dragons
Noname057
Anonsec

Threats:
Elitestress_tool
Dns_amplification_technique
Udpflood_technique
Icmpflood_technique
Megamedusa_tool
Mirai
Godzilla_webshell
Synflood_technique

Victims:
Government, Telecommunications, Financial services, Transportation and logistics, Hospitality, Healthcare, Education, Energy, Africa, Asia, have more...

Industry:
Healthcare, Logistic, Entertainment, Military, Telco, Energy, Transport, Iot, Education, Financial, Government

Geo:
Africa, Netherlands, Israeli, Palestinians, Iranian, India, African, Chinese, Pakistan, Malaysian, Italy, Israel, France, Saudi, Algeria, Denmark, Morocco, Jordan, Sudan, Spain, Belgium, Asia, Palestine, United kingdom, Bangladesh, Ukraine, Germany, Kuwait, Saudi arabia, Sweden

TTPs:
Tactics: 7
Technics: 11

Soft:
Telegram, egram chan, elegram ch, Discord

Win API:
NetBIOS

Platforms:
arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Keymous+, группа хактивистов из Северной Африки, сформированная в ноябре 2023 года, специализируется на операциях DDoS-as-a-Service, используя платформу EliteStress для запуска атак с высокой пропускной способностью (до 44 Гбит/с) с применением таких методов, как DNS-амплификация и UDP-флуд. Группа, которая разделяет оперативные команды, атакует государственные структуры и критические сектора в ответ на геополитические события, в основном сосредотачиваясь на Марокко, Саудовской Аравии, Франции и Индии. Их тактика соответствует фреймворку MITRE ATT&CK, подчеркивая стратегический подход к сетевому отказу в обслуживании.
-----

Keymous+ — это североафриканская хактивистская группа, известная операциями DDoS-as-a-Service.

Группа появилась в ноябре 2023 года после DDoS-атаки на портал электронных виз Марокко.

Keymous+ работает в рамках внутренних подразделений, а именно Alpha Team и Beta Team.

Команда Alpha Team специализировалась на утечках данных и целевых атаках, но с конца 2024 года практически прекратила свою деятельность.

Команда Beta в настоящее время управляет всеми DDoS-кампаниями и делится результатами атак через Телеграм.

Keymous+ использует платформу EliteStress для запуска DDoS-атак с применением таких методов, как DNS-усиление и TCP/UDP-флуд.

Атаки могут достигать пиковой пропускной способности 11,8 Гбит/с по отдельности или более 44 Гбит/с при совместных усилиях.

Группа использует большой пул исходных IP-адресов с компрометированных устройств, публичных облачных инстансов и VPN-сервисов для уклонения от обнаружения.

Keymous+ осуществляет оппортунистические атаки, основанные на геополитических событиях, с фокусом на государственные структуры и критические сектора, такие как финансы и здравоохранение.

Среди стран, подвергшихся атакам, — Марокко, Саудовская Аравия, Франция и Индия.

Группа заранее объявляет цели в Телеграм, используя тактики психологического давления.

Keymous+ использует как методы прямого флудинга, так и отраженного увеличения сетевого трафика.

Стратегии защиты от Keymous+ должны сосредоточиться на обнаружении на основе векторов, системах раннего предупреждения через Телеграм и адаптивной операционной безопасности.

Их тактика связана с фреймворком MITRE ATT&CK, в частности с категорией T1498 сетевой отказ в обслуживании.

#ParsedReport #CompletenessMedium
13-05-2026

Thus Spoke…The Gentlemen

https://research.checkpoint.com/2026/thus-spoke-the-gentlemen/

Report completeness: Medium

Actors/Campaigns:
Gentlemen_ransomware
Hastalamuerte
Dragonforce
Shadowbyt3
Chaos_raas
Lockbit

Threats:
Gentlemen_ransomware
Systembc
Edr-killer
Vssadmin_tool
Netexec_tool
Shadow_copies_delete_technique
Mamba
Zeropulse_tool
Certihound_tool
Edrstartuphinder_tool
Gfreeze_tool
Glinker_tool
Dumpbrowsersecrets_tool
Winrm_tool
Bloodhound_tool
Titanis_tool
Manspider_tool
Powerzure_tool
Regpwn_tool
Ksldump_tool
Kslkatz_tool
Zerosalarium_tool
Blackbasta
Glocker_tool
Ntlmrelayx_tool
Hellokitty
Kraken_cryptor
Gunra
Hyflock
Anubis
Lockbit
Devman

Victims:
Software consultancy, Company in turkey, United kingdom, Turkey

Industry:
Financial

Geo:
Turkey, Turkish, Chinese, United kingdom, Russian

CVEs:
CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)

CVE-2025-32433 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- erlang erlang\/otp (<25.3.2.20, <26.2.5.11, <27.3.3)

CVE-2025-33073 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.21034)
- microsoft windows_10_1607 (<10.0.14393.8148)
- microsoft windows_10_1809 (<10.0.17763.7434)
- microsoft windows_10_21h2 (<10.0.19044.5965)
- microsoft windows_10_22h2 (<10.0.19045.5965)
have more...

TTPs:
Tactics: 4
Technics: 0

IOCs:
Hash: 62
File: 2

Soft:
Event Tracing for Windows, Linux, ESXi, Active Directory, Velociraptor, ctive Directory di, WireGuard, DeepSeek, Kitty, riced and base, have more...

Wallets:
guarda_wallet, exodus_wallet

Crypto:
bitcoin

Functions:
TaskHound

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 7, code: 12, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
The Gentlemen — это хакерская группировка The Gentlemen, работающая по модели Программа-вымогатель как услуга (RaaS), активная в 2026 году, с 332 зафиксированными атаками за первые пять месяцев. Их операции включают эксплуатацию уязвимостей в устройствах Fortinet и Cisco, проведение атак NTLM relay и кражу учетных данных из сред OWA/M365. Группировка применяет сложные методы перемещение внутри компании и уклонения от обнаружения, используя собственные инструменты, которые манипулируют Event Tracing for Windows (ETW) для развертывания программы-вымогателя, а также демонстрирует стратегию использования скомпрометированных данных в рамках различных кампаний и систематического отмывания выкупов.
-----

The Gentlemen — это формирующаяся программа-вымогатель как услуга (RaaS), которая была идентифицирована как высокоактивная в 2026 году, при этом только за первые пять месяцев было зафиксировано около 332 публичных жертв. 4 мая 2026 года база данных бэкенда The Gentlemen, получившая название «Rocket», была слита, раскрыв критические операционные детали о группировке и её сети аффилиатов. Утечка, в частности, включала обсуждения векторов первоначального доступа, таких как эксплойты, нацеленные на периферийные устройства Fortinet и Cisco, атаки с ретрансляцией NTLM и кража учётных данных из сред OWA/M365. Группировка активно отслеживает и оценивает современные уязвимости и экспозиции (CVE), включая CVE-2024-55591, CVE-2025-32433 и CVE-2025-33073, чтобы информировать свои операции.

RaaS-сервис The Gentlemen администрируется лицом, действующим под псевдонимом zeta88 (также известным как hastalamuerte), которое не только отвечает за управление инфраструктурой и операционной логистикой, но и непосредственно занимается развертыванием программ-вымогателей. Операционная структура предполагает четкое разделение ролей, при котором несколько аффилированных лиц участвуют скоординированно, обмениваясь инструментарием и операционными стратегиями. Утечки чатов указывают на методичный процесс планирования, ведущий к масштабному первоначальному доступу через экспонированные устройства, за которым следует тщательная разведка и повышение привилегий в целевых сетях.

Ключевые техники, применяемые группой, включают перемещение внутри компании в скомпрометированных сетях и масштабные меры по отключению средств защиты. Они используют широкий спектр инструментов для эксплуатации и уклонения, включая NetExec, RelayKing и собственные кастомные техники обхода EDR, которые опираются на продвинутые методы, такие как манипуляция трассировкой событий для Windows (ETW). Окончательное развертывание ransomware выполняется с использованием кастомного блокировщика, разработанного для быстрого распространения по сети.

Кроме того, оперативные стратегии выглядят изощрёнными; группа обсуждала использование данных из ранее взломанной британской консалтинговой компании в качестве рычага давления при последующей атаке на турецкую компанию, что демонстрирует тактику двойного давления во время переговоров о выкупе. Эта кросс-кампанийная методология показывает их способность повторно использовать скомпрометированные данные для содействия дальнейшим проникновениям.

Утечка также предоставила информацию об их финансовых операциях, намекая на систематические стратегии отмывания выкупов, включая обсуждения транзакционных цепочек и избегания обнаружения через неконтролируемые кошельки. Группа, по-видимому, проявляет живой интерес к отслеживанию операций конкурентов и улучшению своих моделей, демонстрируя понимание более широкого ландшафта RaaS, иногда сравнивая свою тактику и обсуждая успешные методы, используемые другими группами вымогателей.

#ParsedReport #CompletenessMedium
13-05-2026

GemStuffer Campaign Abuses RubyGems as Exfiltration Channel Targeting UK Local Government

https://socket.dev/blog/gemstuffer

Report completeness: Medium

Actors/Campaigns:
Gemstuffer

Victims:
Uk local government, Lambeth council, Wandsworth council, Southwark council

Industry:
Government

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059, T1071.001, T1074.001, T1552.001

IOCs:
File: 34
Hash: 6
Url: 3

Soft:
Unix

Algorithms:
md5, sha1, gzip, sha256

Languages:
ruby

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания GemStuffer нацелена на сайты британских местных органов власти, эксплуатируя RubyGems для эксфильтрации публичных данных через более 100 вредоносных пакетов. ВПО собирает контент, связанный с советами, используя модуль Ruby Net::HTTP, упаковывая данные в архивы .gem со скрытой структурой каталогов. Ключевые техники включают создание временной среды RubyGems путем манипуляции переменной `HOME` и использование жестко закодированных ключей API для прямой загрузки в реестр RubyGems, что облегчает скрытое извлечение данных.
-----

Кампания GemStuffer появилась как новая угроза, использующая RubyGems для эксфильтрации данных, в частности, нацеленная на публичную информацию из порталов демократических служб местных органов власти Великобритании. Эта кампания включает размещение более 100 вредоносных пакетов (gems), которые упаковывают собранные данные с порталов советов и публикуют эти пакеты в RubyGems. Используемые инструменты сосредоточены на использовании жестко закодированных API-ключей для прямой отправки архивов в реестр, что позволяет создать систему извлечения данных, замаскированную под легитимную активность пакетов Ruby.

Вредоносное ПО специально собирает контент, такой как календари советов, повестки дня и связанные документы, с порталов, управляемых Lambeth, Wandsworth и Southwark. Оно работает путем получения этих веб-страниц через модуль Net::HTTP стандартной библиотеки Ruby, а затем сканирования на наличие дополнительных ссылок, которые могут содержать полезную информацию. После получения ответы компилируются в действительные архивы .gem, которые содержат извлеченную информацию в скрытой структуре каталогов.

Два основных механизма определяют поведение атаки: создание временной среды для учетных данных RubyGems и процесс прямой отправки данных гема в API RubyGems. ВПО создает каталог в `/tmp`, имитируя легитимную среду RubyGems, и переопределяет переменную `HOME` для своего активного процесса. Такой подход минимизирует его след, избегая любой зависимости от предварительно настроенной среды.

Более того, атака не направлена на массовую компрометацию; вместо этого она использует низкопрофильные пакеты gem, которые могут не вызывать немедленных тревог, несмотря на значимость их методов. Общая операция включает систематический сбор данных, внедрение полученной информации в пакеты gem и постоянное использование интерфейса RubyGems для последующего получения данных.

Для эффективного противодействия этой угрозе аналитики рекомендуют немедленно удалить выявленные вредоносные гемы и направить отчеты в RubyGems. Рекомендуется мониторинг CI-сред для несанкционированного исходящего трафика в RubyGems, особенно с целью блокировки потенциальных попыток эксфильтрации, которые не исходят из легитимных рабочих процессов публикации пакетов. Также необходимо провести усиленный аудит зависимостей и сред, взаимодействующих с RubyGems, для выявления любых аномалий, в частности изменений переменной среды `HOME`, которые могут указывать на наличие аналогичных атак.