#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 3, windows: 5, dump: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование Cato CTRL выявило атаку на глобального производителя, в ходе которой использовался вредоносный модуль на базе Go под названием TencShell, созданный на основе фреймворка C2 Rshell. Атака началась с загрузчика, использующего shellcode Donut, доставленного через замаскированный файл .woff, что позволило выполнить код в памяти без создания обычных артефактов и установило сложную коммуникацию с C2, имитирующую легитимный трафик. TencShell поддерживает расширенные техники пост-эксплуатации, включая получение учетных данных, перемещение внутри компании и эксфильтрацию, при этом обеспечивая скрытое ведение операций.
-----

Расследование Cato CTRL в апреле 2026 года выявило атаку, направленную на эксплуатацию глобального производителя с использованием недавно выявленного Go-импланта под названием TencShell. Это ВПО, созданное на базе открытого фреймворка управления (C2) Rshell, использует сложные техники для избегания обнаружения и получения удаленного доступа. Атака началась с дроппера первого этапа, использующего shellcode Donut, доставленного через ресурс веб-шрифта .woff с маскировкой, и включала инъекцию в память и связь с C2, имитирующую нормальную веб-активность.

Актор предположительно связан с Китаем, что подтверждается характеристиками ВПО и его инфраструктуры. Если бы TencShell был успешно развернут, он предоставил бы атакующему обширные возможности, включая удаленное выполнение команд, профилирование системы и возможность установки дополнительных вредоносных инструментов. К счастью, защита Cato заблокировала попытку до установления постоянного контроля.

Вредоносное ПО было частью целевой атаки, которая использовала многоэтапную цепочку заражения, начиная с начального дроппер-загрузчика. Этот начальный этап извлек shellcode Donut, замаскированный в запросе .woff, который был спроектирован так, чтобы имитировать легитимный веб-трафик. Shellcode Donut известен возможностью выполнения различных типов загрузчиков в памяти, и в данном случае он обеспечил загрузку TencShell в память без создания традиционных артефактов на основе файлов.

После загрузки в память имплантат пытался связаться с серверами C2, используя структурированные API-подобные конечные точки, чтобы замаскировать вредоносный трафик в рамках нормального взаимодействия с приложением. Это включало использование имен и путей, напоминающих сервисы Tencent, что усложняло усилия аналитиков по обнаружению. Дополнительный анализ TencShell выявил функциональность, типичную для зрелых фреймворков, включая возможности проксирования, взаимодействия через обратный шелл и механизм закрепления, встроенный в реестр Windows, предназначенный для обеспечения повторного запуска при перезагрузке системы.

Архитектура TencShell поддерживает расширенные стратегии пост-эксплуатации, позволяя выполнять такие действия, как получение учетных данных, эксфильтрация и перемещение внутри компании по сетям. Оператор мог беспрепятственно развертывать дополнительные инструменты или команды, сохраняя низкий профиль, поскольку коммуникация C2 спроектирована так, чтобы имитировать паттерны безобидного трафика.

#ParsedReport #CompletenessLow
13-05-2026

The French 2-Step: Exposing a Multi-stage Scam Targeting the National Railway Company in France

https://www.group-ib.com/blog/french-railway-two-step-scam/

Report completeness: Low

Victims:
Railway and transport, Financial services, French consumers

Industry:
E-commerce, Transport, Financial

Geo:
France, French

ChatGPT TTPs:
do not use without manual check
T1566.002, T1583.001, T1598.004, T1656, T1657

IOCs:
Domain: 5
Url: 10
IP: 11
Email: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная мошенническая схема, направленная против клиентов SNCF, использует фишинг и социальную инженерию, применяя тщательно выверенные по времени поддельные рекламные письма и поддельные веб-сайты для эксплуатации доверия к бренду. Злоумышленники используют данные из предыдущего взлома для идентификации целей, а затем следуют с звонками от лиц, выдающих себя за банковских консультантов, чтобы получить конфиденциальную финансовую информацию. Мошенники используют авторитетные платежные процессоры, чтобы придать легитимность своим операциям, усложняя усилия жертв по восстановлению и подчеркивая возрастающую сложность тактик киберкриминал.
-----

Сложная и многоэтапная мошенническая схема, направленная против клиентов французской национальной железнодорожной компании SNCF, наглядно демонстрирует текущую эволюцию онлайн-мошенничества с использованием техник фишинга и социальной инженерии. Схема работает за счет эксплуатации эмоционального состояния жертв и узнаваемости бренда, что приводит к финансовым потерям через двухэтапный подход, завершающийся несанкционированными транзакциями.

Начальный этап мошенничества использует целевые фишинг-стратегии, при которых злоумышленники отправляют поддельные рекламные письма, обещающие скидки на продукты SNCF. Эти кампании тщательно синхронизированы по времени с периодами высокой туристической активности, особенно во время французских школьных каникул, когда семьи с большей вероятностью планируют поездки. Мошенники используют данные из предыдущего инцидента утечки, конкретно инцидента Addka72424 в сентябре 2024 года, чтобы выявить и нацелить на тех, кто с большей вероятностью попадется на эту аферу. Это позволяет им создавать реалистичные поддельные веб-сайты, эффективно имитирующие официальные порталы SNCF и внушающие доверие среди потенциальных жертв.

После того как жертвы попадают в ловушку и предоставляют свои личные данные и платежные реквизиты через эти мошеннические платформы, вступает в силу второй этап мошенничества. Жертвы получают последующие звонки от лиц, выдающих себя за банковских консультантов, которые утверждают, что обнаружили подозрительные транзакции на счете жертвы. Эта манипуляция использует первоначальное обманное воздействие для извлечения конфиденциальной финансовой информации, такой как коды безопасности и данные банковских счетов, которыми мошенники пользуются для авторизации дополнительных несанкционированных платежей.

Важно отметить, что мошенники используют авторитетные онлайн-платежные процессоры, такие как Stripe, создавая видимость легитимности своей деятельности. Этот аспект серьезно затрудняет возможность жертв вернуть похищенные средства, поскольку злоумышленники эксплуатируют каналы отчетности этих платформ. К тому времени, когда жертвы начинают подавать заявления или открывать дела о мошенничестве, часто уже слишком поздно; мошенники исчезают, унося с собой деньги.

Применяемые здесь тактики подчеркивают растущий тренд в киберкриминале, где злоумышленники сочетают передовые методы социальной инженерии и точное нацеливание для максимизации эффективности своих схем. Такие мошеннические схемы не только наносят жертвам значительные финансовые потери, но и вызывают глубокое эмоциональное расстройство, поскольку люди переживают осознание того, что их обманули дважды.

По мере того как подобные виды мошенничества распространяются в цифровой экономике, осведомленность и обучение методам выявления и реагирования на подозрительные коммуникации становятся жизненно важными. Организациям и частным лицам необходимо сохранять бдительность в отношении этих все более сложных угроз, особенно тех, которые успешно используют психологическое манипулирование и эмоциональную эксплуатацию для достижения своих злонамеренных целей.

#ParsedReport #CompletenessMedium
13-05-2026

Sinkholing CountLoader: Insights into Its Recent Campaign

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/sinkholing-countloader-insights-into-its-recent-campaign/

Report completeness: Medium

Threats:
Countloader
Etherhiding_technique
Amsi_bypass_technique

Victims:
Cryptocurrency users, India, Indonesia, United states, South east asia

Industry:
Financial

Geo:
India, Indonesia, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1008, T1027, T1053.005, T1055, T1059.001, T1059.007, T1091, T1102.001, T1105, T1115, have more...

IOCs:
File: 3
Domain: 23
Hash: 19
Url: 6

Crypto:
ethereum

Algorithms:
base64, des, xor

Functions:
taskType

Languages:
python, javascript, powershell

Links:
https://github.com/S3cur3Th1sSh1t/Amsi-Bypass-Powershell?tab=readme-ov-file#patching-clr

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания CountLoader использует сложный многоуровневый подход с применением зашифрованного JavaScript и PowerShell-скриптов для заражения, скрывая свою деятельность через инъекцию shellcode в память. ВПО, в основном доставляемое через вредоносный EXE-файл, устанавливает соединения с серверами управления через собственный зашифрованный протокол и может распространяться через вредоносные ярлыки LNK на USB-накопителях. Его финальный payload — криптографический клиппер — заменяет адреса кошельков в буфере обмена, чтобы перенаправить средства, а также использует методы для обхода обнаружения, такие как отключение AMSI и реализация запланированных задач для закрепления.
-----

Недавняя кампания CountLoader, выявленная McAfee Labs, демонстрирует сложный метод кибератаки, включающий многоуровневое маскирование и сложную цепочку заражения. Злоумышленники используют различные загрузчики, включая скрипты PowerShell и обфусцированный JavaScript, выполняемые через mshta.exe для обеспечения процесса заражения. Каждый этап этого процесса спроектирован так, чтобы оставаться скрытым, применяя техники инъекции шеллкода в память, что дополнительно усложняет усилия по обнаружению.

Заражение начинается с выполнения вредоносного EXE-файла, который запускает однострочный скрипт PowerShell для загрузки дополнительных полезной нагрузки. Этот начальный скрипт PowerShell содержит необычную обфускацию, что затрудняет анализ его поведения средствами защиты. CountLoader, являющийся критическим компонентом этой атаки, создается в виде HTA-файла с использованием продвинутой обфускации строк. После выполнения он пытается связаться с серверами управления (управление), выбирая активный сервер на основе успешных ответов рукопожатия. Это ВПО использует собственный зашифрованный протокол связи для взаимодействия со своим сервером управления, что способствует скрытности.

Телеметрия McAfee от операции sinkhole выявила огромное количество заражений — примерно 86 000 уникальных машин, с существенным подключением к C2-инфраструктуре на уровне около 5 000 соединений в минуту. Способность ВПО распространяться через съемные носители, такие как USB-накопители, привела к примерно 9 000 заражений, связанных с этим методом. Метод заключается в создании вредоносных ярлыков LNK, которые запускают ВПО при срабатывании.

Финальный полезный код, развернутый в этой кампании, представляет собой крипто-клиппер, который отслеживает активность буфера обмена и заменяет скопированные адреса криптографических кошельков на те, которые контролируются злоумышленниками. Этот сложный полезный код, получающий адрес C2-сервера через метод, называемый EtherHiding, дополнительно демонстрирует передовые стратегии, применяемые злоумышленниками.

Для поддержания закрепления CountLoader создает запланированные задачи, которые обеспечивают его непрерывную работу на скомпрометированных системах. Использование резервных C2-доменов и техник выполнения в памяти гарантирует высокую надежность и уклонение от механизмов безопасности. Кроме того, такие меры, как отключение AMSI (Antimalware Scan Interface), повышают шансы вредоносного ПО избежать обнаружения, позволяя ему выполнять свою основную функцию — перехват криптографических транзакций.

#ParsedReport #CompletenessMedium
13-05-2026

NATS-as-C2: Inside a new technique attackers are using to harvest cloud credentials and AI API keys

https://webflow.sysdig.com/blog/nats-as-c2-inside-a-new-technique-attackers-are-using-to-harvest-cloud-credentials-and-ai-api-keys

Report completeness: Medium

Threats:
Nats-as-c2_technique
Dirtypipe_vuln
Dirtycreds_vuln
Keyhunter_tool
Credential_harvesting_technique
Llmjacking_technique

CVEs:
CVE-2026-33017 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.8.2)


TTPs:
Tactics: 2
Technics: 0

IOCs:
IP: 3
File: 14
Hash: 3

Soft:
Langflow, Discord, Telegram, Flask, CodePen, JSFiddle, StackBlitz, CodeSandbox, boto3, LiteLLM, have more...

Algorithms:
sha256

Functions:
AWS, SetTaskProgress

Languages:
python

Platforms:
arm

Links:
have more...
https://github.com/fadidevv/keyhunter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда исследователей угроз Sysdig выявила новую технику управления, названную NATS-as-C2, используемую злоумышленниками для сбора учетных записей и ключей API. Этот метод, использующий сервер NATS, отличается от традиционной связи управления и связан с эксплуатацией уязвимости несанкционированного удаленного выполнения (RCE) без аутентификации в Langflow (CVE-2026-33017). Операция, получившая название KeyHunter, включала сложную разведку и сбор учетных записей на платформах, таких как AWS и среды разработки в облаке, с использованием передовых инструментов для уклонения и скрытности.
-----

Sysdig TRT выявил технику управления (C2) под названием NATS-as-C2, используемую для сбора учетных данных облачных сервисов и ключей API.

Этот метод использует сервер NATS, отклоняясь от традиционных методов атакующей коммуникации.

Эта техника связана с эксплуатацией уязвимости CVE-2026-33017, позволяющей выполнять несанкционированный Удаленное Выполнение Кода (RCE) в Langflow без аутентификации.

В ходе расследования оператор загрузил с сервера DigitalOcean Python-воркер и бинарный файл Go.

Атакующий попытался выполнить эскалацию привилегий в контейнере, используя эксплойты, такие как DirtyPipe и DirtyCreds.

Операция KeyHunter была направлена на извлечение учетных данных из облачных платформ, таких как Cloud Development Environments и AWS.

Работник указывал свои возможности через темы NATS для различных функций сбора учетных записей, включая scan_cde и validate_aws.

Функция scan_cde нацелена на такие платформы, как CodePen и StackBlitz.

KeyHunter использует авторизацию на уровне субъекта в NATS, повышая скрытность и ограничивая роли коммуникации для скомпрометированных узлов.

Этот принцип наименьших привилегий способствует уклонению от традиционных механизмов обнаружения.

Атакующий выполнил вызовы API AWS для эксплуатации похищенных учетных данных и поиска дополнительных уязвимостей.

Атака включала попытки использования моделей AWS Bedrock без оплаты, что демонстрировало понимание сервисов AWS.

Такие инструменты, как utls для имитации TLS-отпечатков, и sidecar-компонент для headless-браузера для рендеринга JavaScript, подчеркивают изощренность злоумышленника.

Система обмена сообщениями на базе NATS отличает этот подход от более простых методов сбора учетных записей.

Обнаружение атак с использованием NATS в качестве C2 возможно с помощью существующих систем безопасности, таких как Sysdig Secure.

Появление NATS в качестве C2 знаменует собой значительную эволюцию киберугроз, требующую усиления стратегий исходящего эгресс-трафика для защиты.

Бдительный мониторинг аномалий необходим для обнаружения будущих эксплойтов, использующих передовые инфраструктуры, такие как NATS.

#ParsedReport #CompletenessLow
13-05-2026

Mini Shai-Hulud tears at OSS trust

https://www.reversinglabs.com/blog/mini-shai-hulud-tears-at-oss-trust

Report completeness: Low

Actors/Campaigns:
Mini_shai-hulud
Teampcp

Threats:
Shai-hulud
Supply_chain_technique
Credential_stealing_technique
Trufflehog_tool
Typosquatting_technique

Victims:
Open source software, Software supply chain, Developer environments, Continuous integration systems

Industry:
Petroleum

ChatGPT TTPs:
do not use without manual check
T1078, T1195.001, T1528

Soft:
Twitter, TanStack

Crypto:
ripple

Languages:
javascript

Links:
https://github.com/guardrails-ai/guardrails/issues/1473

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Mini Shai-Hulud, выявленная в апреле и теперь затрагивающая более 160 пакетов npm, включая те, что входят в экосистему TanStack, подчеркивает значительную угрозу Цепочка поставок, где злоумышленники используют скомпрометированные учетные данные для публикации, чтобы внедрить вредоносные версии в доверенные пакеты. Эта кампания расширила свой охват, включив 373 вредоносных версий пакетов, с целью кражи токенов npm, учетных данных GitHub и секретов облачных провайдеров с использованием таких инструментов, как TruffleHog, что отражает тревожный сдвиг в направлении атак на основные доверительные отношения внутри экосистем открытого исходного кода. Атака демонстрирует опасную эволюцию от традиционных методов эксплуатации к прямому компрометированию легитимных пакетов для сбор учетных записей.
-----

Mini Shai-Hulud — это угроза Цепочке поставок программного обеспечения, затрагивающая более 160 пакетов с открытым исходным кодом npm.

Он возродился после того, как ранее атаковал SAP Cloud Application Programming и инструмент сборки Cloud MTA Build Tool.

Экосистема TanStack пострадала в значительной степени, было выявлено 84 вредоносные версии пакетов.

42 из этих скомпрометированных пакетов принадлежали к пространству имён @tanstack/*, включая @tanstack/react-router.

Вредоносные версии включали функционал для кражи учётных данных, направленный на среды разработки и системы CI.

В рамках кампании зафиксировано 373 вредоносных записи «пакет-версия» для 169 названий пакетов npm.

Основная цель заключается в компрометации сред разработки для кражи учетных данных.

Злоумышленники используют доверенные рабочие процессы публикации для распространения вредоносного контента в затронутых средах.

Методология напоминает оригинальный червь Shai-Hulud, систематически собирая токены npm и учетные данные GitHub.

Такие инструменты, как TruffleHog, используются для извлечения конфиденциальной информации из скомпрометированных систем.

Это представляет собой переход от тайпо-сквоттинга к прямой компрометации легитимных пакетов.

Кампания подчеркивает атаки на фундаментальные доверительные отношения внутри экосистем открытого исходного кода.

Npm обеспечил почти 90% обнаруженного ВПО с открытым исходным кодом, о котором недавно сообщалось.

Утечки токенов npm и персональных токенов доступа GitHub широко распространены и подпитывают атаки на цепочку поставок программного обеспечения.

Требуется повышенная бдительность для обеспечения безопасности цепочек поставок программного обеспечения и защиты сред разработки.

#ParsedReport #CompletenessMedium
13-05-2026

New TrickMo Variant: Device Take Over malware targeting Banking, Fintech, Wallet & Auth apps

https://www.threatfabric.com/blogs/trickmo-unmasked-the-hidden-dex-module-and-the-variant-that-replaced-it

Report completeness: Medium

Threats:
Trickmo
Ssh_tunnelling_technique
Godfather

Victims:
Banking, Financial technology, Digital wallet, Authentication services

Industry:
Financial, E-commerce

Geo:
France, Turkish, Italy, Austria

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.005, T1041, T1046, T1056.001, T1071.001, T1082, T1090, T1105, T1113, T1518, have more...

IOCs:
Hash: 6

Soft:
Android, TikTok, Telegram, curl, Google Play

Algorithms:
sha256, base32

Functions:
getScreenshot, setNotificationFilter, setKeyLoggerConfig, setVars, setSwitch, setServers, getInstalledApps, getState, getUsageStats, setRingerMode, have more...

Win API:
loadModule, setGestureConfig

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вариант Android-ВПО TrickMo, выявленный в начале 2026 года, был значительно переработан для повышения скрытности за счет работы через The Open Network (TON), что помогает ему избегать традиционных методов обнаружения. Он нацелен на банковские и финансовые приложения, используя автоматизацию для получения разрешений на доступ в реальном времени для контроля, кражи учетных данных и перехвата коммуникаций. Управление осуществляется через децентрализованную сеть TON, скрывающую шаблоны трафика, и включает расширенные функции разведки для картирования сетевой среды жертвы, с указаниями на будущие возможности через потенциальные обновления.
-----

Новый вариант Android-банковского ВПО TrickMo, выявленный в начале 2026 года, представляет собой значительную переработку, направленную на повышение скрытности и устойчивости к обнаружению. Сохраняя большую часть своей базовой функциональности, этот вариант претерпел существенные изменения в своей внутренней архитектуре, главным образом сосредоточенные на работе через The Open Network (TON) вместо традиционных интернет-маршрутов. Этот переход облегчает обход обычных стратегий противодействия ВПО, которые опираются на публичную интернет-инфраструктуру и доменные блокировки.

ТrickMo, нацеленный на банковские, финтех-приложения, кошельки и аутентификаторы, использует комбинацию автоматизации и принудительных тактик для получения разрешений службы доступности, что обеспечивает возможность управления скомпрометированными устройствами в реальном времени. Ключевые возможности включают кражу учетных данных путем Имперсонация легитимных банковских приложений, ведение журнала нажатий клавиш, запись экрана и двунаправленное удаленное управление, которое позволяет операторам отправлять команды и взаимодействовать с устройством так, как если бы они были пользователем. Дополнительные функции позволяют ВПО незаметно перехватывать SMS-сообщения и уведомления, предоставляя операторам комплексный набор инструментов для эксплуатации зараженных устройств.

Коммуникация варианта с центром управления (C2) перешла на децентрализованную сеть в TON, где используются конечные точки .adnl. Такая архитектура помогает скрыть шаблоны трафика и усиливает контроль оператора. ВПО использует локальный прокси TON, поддерживающий гибкие сетевые конфигурации, что позволяет ему функционировать как программируемый выходной узел благодаря функциям, таким как туннелирование SSH и проксирование SOCKS5. Это означает, что скомпрометированные устройства могут маршрутизировать сетевой трафик, усложняя системам безопасности обнаружение и блокировку вредоносной активности на основе IP-адресов.

Новые команды, внедрённые в этой версии, дополняют её функциональность возможностями для сетевой разведки и тестирования, включая DNS-запросы, ICMP-пинги и проверки TCP-портов. Это позволяет операторам собирать информацию об сетевой среде устройства жертвы, добавляя уровень операционной сложности, выходящий за рамки традиционной банковской эксплуатации.

Несмотря на эти достижения, некоторые возможности были перераспределены для будущего использования, а не для немедленного применения. Например, включение фреймворк Pine hooking указывает на возможность развертывания дополнительных функций в будущем посредством обновлений во время выполнения без изменения основной кодовой базы.

#ParsedReport #CompletenessHigh
13-05-2026

Unusual Data Exfiltration Paths: Leveraging Rclone for SharePoint Data Theft

https://labs.yarix.com/2026/05/unusual-data-exfiltration-paths-leveraging-rclone-for-sharepoint-data-theft/

Report completeness: High

Threats:
Rclone_tool
Netscan_tool
Dcsync_technique
Mimikatz_tool
Golden_ticket_technique
Credential_dumping_technique

Victims:
Organization, External it service provider, Sharepoint, Microsoft 365

Industry:
Education

Geo:
Russian, Great britain, Netherlands, Russia

TTPs:
Tactics: 9
Technics: 12

IOCs:
IP: 4
File: 7
Email: 1
Hash: 1

Soft:
Linux, PsExec, Remote Desktop Services, Microsoft Defender, Active Directory, Chrome, Microsoft OneDrive, Microsoft SharePoint, Microsoft Windows Defender Windows Defender, icrosoft Windows Defender Windows Defender Ex, have more...

Algorithms:
sha256

Functions:
ReadWrite

Win API:
NtLmSsp

Win Services:
{ @Name

Languages:
java

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4