#ParsedReport #CompletenessLow
13-05-2026

Mini Shai-Hulud tears at OSS trust

https://www.reversinglabs.com/blog/mini-shai-hulud-tears-at-oss-trust

Report completeness: Low

Actors/Campaigns:
Mini_shai-hulud
Teampcp

Threats:
Shai-hulud
Supply_chain_technique
Credential_stealing_technique
Trufflehog_tool
Typosquatting_technique

Victims:
Open source software, Software supply chain, Developer environments, Continuous integration systems

Industry:
Petroleum

ChatGPT TTPs:
do not use without manual check
T1078, T1195.001, T1528

Soft:
Twitter, TanStack

Crypto:
ripple

Languages:
javascript

Links:
https://github.com/guardrails-ai/guardrails/issues/1473

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Mini Shai-Hulud, выявленная в апреле и теперь затрагивающая более 160 пакетов npm, включая те, что входят в экосистему TanStack, подчеркивает значительную угрозу Цепочка поставок, где злоумышленники используют скомпрометированные учетные данные для публикации, чтобы внедрить вредоносные версии в доверенные пакеты. Эта кампания расширила свой охват, включив 373 вредоносных версий пакетов, с целью кражи токенов npm, учетных данных GitHub и секретов облачных провайдеров с использованием таких инструментов, как TruffleHog, что отражает тревожный сдвиг в направлении атак на основные доверительные отношения внутри экосистем открытого исходного кода. Атака демонстрирует опасную эволюцию от традиционных методов эксплуатации к прямому компрометированию легитимных пакетов для сбор учетных записей.
-----

Mini Shai-Hulud — это угроза Цепочке поставок программного обеспечения, затрагивающая более 160 пакетов с открытым исходным кодом npm.

Он возродился после того, как ранее атаковал SAP Cloud Application Programming и инструмент сборки Cloud MTA Build Tool.

Экосистема TanStack пострадала в значительной степени, было выявлено 84 вредоносные версии пакетов.

42 из этих скомпрометированных пакетов принадлежали к пространству имён @tanstack/*, включая @tanstack/react-router.

Вредоносные версии включали функционал для кражи учётных данных, направленный на среды разработки и системы CI.

В рамках кампании зафиксировано 373 вредоносных записи «пакет-версия» для 169 названий пакетов npm.

Основная цель заключается в компрометации сред разработки для кражи учетных данных.

Злоумышленники используют доверенные рабочие процессы публикации для распространения вредоносного контента в затронутых средах.

Методология напоминает оригинальный червь Shai-Hulud, систематически собирая токены npm и учетные данные GitHub.

Такие инструменты, как TruffleHog, используются для извлечения конфиденциальной информации из скомпрометированных систем.

Это представляет собой переход от тайпо-сквоттинга к прямой компрометации легитимных пакетов.

Кампания подчеркивает атаки на фундаментальные доверительные отношения внутри экосистем открытого исходного кода.

Npm обеспечил почти 90% обнаруженного ВПО с открытым исходным кодом, о котором недавно сообщалось.

Утечки токенов npm и персональных токенов доступа GitHub широко распространены и подпитывают атаки на цепочку поставок программного обеспечения.

Требуется повышенная бдительность для обеспечения безопасности цепочек поставок программного обеспечения и защиты сред разработки.

#ParsedReport #CompletenessMedium
13-05-2026

New TrickMo Variant: Device Take Over malware targeting Banking, Fintech, Wallet & Auth apps

https://www.threatfabric.com/blogs/trickmo-unmasked-the-hidden-dex-module-and-the-variant-that-replaced-it

Report completeness: Medium

Threats:
Trickmo
Ssh_tunnelling_technique
Godfather

Victims:
Banking, Financial technology, Digital wallet, Authentication services

Industry:
Financial, E-commerce

Geo:
France, Turkish, Italy, Austria

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.005, T1041, T1046, T1056.001, T1071.001, T1082, T1090, T1105, T1113, T1518, have more...

IOCs:
Hash: 6

Soft:
Android, TikTok, Telegram, curl, Google Play

Algorithms:
sha256, base32

Functions:
getScreenshot, setNotificationFilter, setKeyLoggerConfig, setVars, setSwitch, setServers, getInstalledApps, getState, getUsageStats, setRingerMode, have more...

Win API:
loadModule, setGestureConfig

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вариант Android-ВПО TrickMo, выявленный в начале 2026 года, был значительно переработан для повышения скрытности за счет работы через The Open Network (TON), что помогает ему избегать традиционных методов обнаружения. Он нацелен на банковские и финансовые приложения, используя автоматизацию для получения разрешений на доступ в реальном времени для контроля, кражи учетных данных и перехвата коммуникаций. Управление осуществляется через децентрализованную сеть TON, скрывающую шаблоны трафика, и включает расширенные функции разведки для картирования сетевой среды жертвы, с указаниями на будущие возможности через потенциальные обновления.
-----

Новый вариант Android-банковского ВПО TrickMo, выявленный в начале 2026 года, представляет собой значительную переработку, направленную на повышение скрытности и устойчивости к обнаружению. Сохраняя большую часть своей базовой функциональности, этот вариант претерпел существенные изменения в своей внутренней архитектуре, главным образом сосредоточенные на работе через The Open Network (TON) вместо традиционных интернет-маршрутов. Этот переход облегчает обход обычных стратегий противодействия ВПО, которые опираются на публичную интернет-инфраструктуру и доменные блокировки.

ТrickMo, нацеленный на банковские, финтех-приложения, кошельки и аутентификаторы, использует комбинацию автоматизации и принудительных тактик для получения разрешений службы доступности, что обеспечивает возможность управления скомпрометированными устройствами в реальном времени. Ключевые возможности включают кражу учетных данных путем Имперсонация легитимных банковских приложений, ведение журнала нажатий клавиш, запись экрана и двунаправленное удаленное управление, которое позволяет операторам отправлять команды и взаимодействовать с устройством так, как если бы они были пользователем. Дополнительные функции позволяют ВПО незаметно перехватывать SMS-сообщения и уведомления, предоставляя операторам комплексный набор инструментов для эксплуатации зараженных устройств.

Коммуникация варианта с центром управления (C2) перешла на децентрализованную сеть в TON, где используются конечные точки .adnl. Такая архитектура помогает скрыть шаблоны трафика и усиливает контроль оператора. ВПО использует локальный прокси TON, поддерживающий гибкие сетевые конфигурации, что позволяет ему функционировать как программируемый выходной узел благодаря функциям, таким как туннелирование SSH и проксирование SOCKS5. Это означает, что скомпрометированные устройства могут маршрутизировать сетевой трафик, усложняя системам безопасности обнаружение и блокировку вредоносной активности на основе IP-адресов.

Новые команды, внедрённые в этой версии, дополняют её функциональность возможностями для сетевой разведки и тестирования, включая DNS-запросы, ICMP-пинги и проверки TCP-портов. Это позволяет операторам собирать информацию об сетевой среде устройства жертвы, добавляя уровень операционной сложности, выходящий за рамки традиционной банковской эксплуатации.

Несмотря на эти достижения, некоторые возможности были перераспределены для будущего использования, а не для немедленного применения. Например, включение фреймворк Pine hooking указывает на возможность развертывания дополнительных функций в будущем посредством обновлений во время выполнения без изменения основной кодовой базы.

#ParsedReport #CompletenessHigh
13-05-2026

Unusual Data Exfiltration Paths: Leveraging Rclone for SharePoint Data Theft

https://labs.yarix.com/2026/05/unusual-data-exfiltration-paths-leveraging-rclone-for-sharepoint-data-theft/

Report completeness: High

Threats:
Rclone_tool
Netscan_tool
Dcsync_technique
Mimikatz_tool
Golden_ticket_technique
Credential_dumping_technique

Victims:
Organization, External it service provider, Sharepoint, Microsoft 365

Industry:
Education

Geo:
Russian, Great britain, Netherlands, Russia

TTPs:
Tactics: 9
Technics: 12

IOCs:
IP: 4
File: 7
Email: 1
Hash: 1

Soft:
Linux, PsExec, Remote Desktop Services, Microsoft Defender, Active Directory, Chrome, Microsoft OneDrive, Microsoft SharePoint, Microsoft Windows Defender Windows Defender, icrosoft Windows Defender Windows Defender Ex, have more...

Algorithms:
sha256

Functions:
ReadWrite

Win API:
NtLmSsp

Win Services:
{ @Name

Languages:
java

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализированная кибератака включала кражу учетных данных у внешнего поставщика ИТ-услуг, что позволило несанкционированный доступ через SSL-VPN с использованием скомпрометированной учетной записи. Атакующий использовал PsExec для перемещения внутри компании и предпринял попытку атаки DCSync для извлечения данных паролей. Эксфильтрация данных проводилась с помощью rclone с использованием токенов легитимных учетных записей, а атака завершилась развертыванием ransomware, продемонстрировав различные сложные техники, соответствующие фреймворку MITRE ATT&CK.
-----

Рассмотренный случай демонстрирует сложную кибератаку, использующую различные техники, включая эксплуатацию внешних VPN-сервисов и применение инструментов для эксфильтрации данных. Атака началась с получения учетных данных, связанных с аккаунтом внешнего ИТ-провайдера, что позволило злоумышленнику (TA) получить несанкционированный доступ к корпоративной инфраструктуре жертвы. Этот первоначальный доступ был осуществлен через SSL-VPN, при этом логи указывают на то, что соединение было установлено с компрометированного аккаунта и машины Kali Linux — платформы, часто ассоциируемой с пентестингом и вредоносной деятельностью.

После первоначального проникновения злоумышленник установил службу PsExec на нескольких серверах, что позволило выполнять удаленные команды для дальнейшего перемещения внутри компании по сети. Примечательно, что была предпринята атака DCSync — метод, используемый для несанкционированной имперсонации контроллера домена и извлечения конфиденциальных данных паролей, что могло предоставить ТА обширный доступ к учетным данным пользователей. Хотя остается неясным, была ли эта попытка успешной, она подчеркивает амбиции атаки по повышению привилегий и поддержанию доступа.

Деятельность злоумышленника включала удаление важных средств защиты и обнаружение учетных данных в файле, сгенерированном с помощью инструмента получения учетных данных, возможно Mimikatz. Метод эксфильтрации заключался в использовании инструмента rclone, который обычно применяется для передачи данных в Облачные сервисы. Злоумышленник настроил rclone с токенами доступа, полученными от легитимной учетной записи, что позволило загружать файлы из SharePoint в течение двух дней до обнаружения вторжения.

Эксфильтрация применяла двухфазный подход, начиная с аутентичного доступа с IP-адреса, связанного с легитимным пользователем, и переходя к доступу через другой геолоцированный российский IP-адрес после получения необходимых токенов через rclone. Этот переход демонстрирует сложность атаки в маскировке её операций для уклонения от обнаружения. В конечном итоге, ТА инициировал деятельность по вымогательству, что подтверждается распространением ransom-ноты и шифрованием данных на системах корпорации.

В рамках реагирования на инцидент была обозначена необходимость немедленных корректирующих действий, включая сброс паролей для всех пользователей домена, внедрение многофакторной аутентификации и строгие ограничения доступа на основе геолокации и необходимости использования SSL-VPN. Такой подход соответствует лучшим практикам усиления безопасности для снижения рисков, связанных с внешними угрозами.

Событие наглядно демонстрирует набор тактик, техник и процедур (TTPs), соответствующих фреймворку MITRE ATT&CK, в частности использование существующих учетных записей, внешних служб удаленного доступа, эксфильтрация учетных данных через DCSync и других методологий, которые способствуют масштабному проникновению и эксфильтрация данных. Сложность этой атаки подчеркивает насущную необходимость для организаций внедрять проактивные меры безопасности, способные адаптироваться к развивающимся киберугрозам.

#ParsedReport #CompletenessHigh
13-05-2026

Multi-Stage SEO Poisoning Campaign Targets Chinese-Speaking Developers with Kong RAT

https://www.esentire.com/blog/multi-stage-seo-poisoning-campaign-targets-chinese-speaking-developers-with-kong-rat

Report completeness: High

Threats:
Seo_poisoning_technique
Kong_rat
Dll_sideloading_technique
Uac_bypass_technique
Finalshell
Xshell_tool
Dllsearchorder_hijacking_technique
Icmluautil_tool

Victims:
Chinese speaking developers, It professionals, System administrators, Chinese speaking users

Geo:
Hong kong, Chinese

TTPs:
Tactics: 4
Technics: 0

IOCs:
Domain: 16
File: 33
IP: 3
Hash: 22
Path: 5
Url: 15
Registry: 4
Command: 2

Soft:
Telegram, QuickQ, Alibaba Cloud, Windows Scheduled Task, Task Scheduler, Windows Explorer, WeChat, Chrome, WhatsApp

Algorithms:
fnv-1a, xor, sha256, prng

Functions:
GetAsyncKeyState-based, CreateAndExecuteTask, RPC, main, run, run_0, time64

Win API:
QueueUserAPC, EnumWindows, CheckTokenMembership, ExitProcess, VirtualAlloc, VirtualFree, LoadLibraryA, GetProcAddress, FreeLibrary, CreateToolhelp32Snapshot, have more...

Languages:
lua

Platforms:
x64

YARA: Found

Links:
https://github.com/eSentire/iocs/blob/main/KONG%20RAT/Kong-RAT-IoCs-04-16-2026.txt
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Kong RAT, нацеленная на разработчиков, говорящих на китайском языке, использует шестистадийный вектор атаки, начинающийся с Отравления поисковой оптимизации (SEO) и приводящий к доставке троянизированных установок программного обеспечения. Изначальный загрузчик вредоносного кода, замаскированный под легальное программное обеспечение, использует сложные техники для повышения привилегий и уклонения от обнаружения, включая тихий обход UAC через COM. Kong RAT взаимодействует со своим C2-сервером через собственный протокол на порту 5947, обеспечивая выполнение различных злонамеренных операций и маскируя свою активность под нормальный сетевой трафик.
-----

В марте 2026 года была обнаружена сложная вредоносная кампания под названием «Kong RAT», нацеленная на китайскоязычных разработчиков и ИТ-специалистов посредством Отравления поисковой оптимизации (SEO). Эта кампания использовала поддельные веб-сайты для доставки троянизированных версий популярных программных инструментов, заманивая жертв, искавших такие приложения, как SSH-клиент FinalShell и Xshell. Изначальный загрузчик вредоносного ПО, Setup.exe с легитимным видом, скомпилированный в .NET 10.0 NativeAOT, искусно избегал реверс-инжиниринга, преобразуя C# в нативный машинный код. Инфраструктура вредоносного ПО, размещенная на Alibaba Cloud, была активна с мая 2025 года, и все полезная нагрузка постоянно доставлялась через домен oss-cn-hongkong.aliyuncs.com.

Подход злоумышленника включал шестистадийную цепочку выполнения, начиная от отравления поисковой оптимизации (SEO Poisoning) и заканчивая финальным развертыванием Kong RAT. Первоначальный доступ был получен, когда жертвы скачивали троянизированные установщики с поддельных доменов, которые также содержали намеренные попытки выглядеть легитимно с помощью реалистичных скриншотов. Важно отметить, что дроппер не только развертывал вредоносные компоненты, но и применял техники повышения привилегий для избежания обнаружения. Он использовал комбинацию ShellExecute для первоначального запроса повышения прав через UAC, а затем переходил к тихому обходу UAC через COM, используя специально созданное поведение для маскировки идентичности процессов.

После установки вредоносное ПО реализовало ряд инновационных методов выполнения shellcode-пакетов, в частности, через обратные вызовы EnumWindows, что позволяло обходить распространенные средства защиты, контролирующие создание потоков. Загрузчик shellcode был встроен в специально созданный XML-файл, к которому обращались во время выполнения. Функциональность Kong RAT включала функцию регистрации нажатий клавиш, работающую со встроенным переключателем отключения, позволяющим оператору отключить её удаленно. Кроме того, оно использовало легитимные сервисы (например, LeTV CDN) для сбора геолокационной информации о целевых системах, маскируя свою активность под нормальный сетевой трафик.

Связь с сервером управления (управление) (C2) осуществлялась по протоколу TCP на порту 5947 с использованием собственного протокола (MPK1) для передачи данных, что затрудняло обнаружение при анализе в песочнице; при некорректном вызове по умолчанию поведение было безвредным. Фреймворк C2 обеспечивал выполнение широкого спектра команд — от удаленного выполнения команд оболочки до более сложных операций, таких как загрузка модулей, управление сессиями и даже самоуничтожение ВПО по требованию.

Kong RAT продемонстрировал продвинутые техники обфускации и уклонения, включая создание постоянных процессов через Планировщик заданий Windows и сложную обработку команд на уровне C2, что указывает на тщательно спланированную стратегию поддержания контроля над зараженными системами. Используя такие методы, как подгрузка DLL и регистрация в среде Windows, это ВПО представляет собой явную угрозу для физических лиц и организаций в целевых демографических группах, что свидетельствует о высокой вероятности того, что за его деятельностью стоит злоумышленник, говорящий на китайском языке.

#ParsedReport #CompletenessLow
14-05-2026

Lookalike Domains Expose the iPhone Theft Economy

https://www.infoblox.com/blog/threat-intelligence/lookalike-domains-expose-the-iphone-theft-economy/

Report completeness: Low

Threats:
Smishing_technique
Supply_chain_technique
Spear-phishing_technique

Victims:
Iphone owners, Apple users, Xiaomi users, Samsung users, Mobile device owners

Industry:
E-commerce

Geo:
Venezuela, Mexico, India, Brazil, Pakistan, Asia, Bangladesh

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.002, T1566.004, T1567, T1588.002, T1592, T1656

IOCs:
Domain: 20

Soft:
Telegram, WhatsApp, Chrome

Platforms:
intel, apple

Links:
https://github.com/Infoblox-CTO/phoebe-openintel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, chats: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessMedium
14-05-2026

Analyzing TeamPCP’s Supply Chain Attacks: Checkmarx KICS and elementary-data in CI/CD Credential Theft

https://www.trendmicro.com/en_us/research/26/e/analyzing-teampcp-supply-chain-attacks.html

Report completeness: Medium

Actors/Campaigns:
Teampcp (motivation: financially_motivated)
Vect (motivation: financially_motivated)
Lapsus
Sandworm

Threats:
Supply_chain_technique
Shai-hulud
Dead_drop_technique
Credential_harvesting_technique

Victims:
Open source software projects, Ci cd pipelines, Software development organizations, Cloud connected ci runners

TTPs:
Tactics: 10
Technics: 21

IOCs:
File: 9
Url: 1

Soft:
Docker, Kubernetes, LiteLLM, Xinference, Trivy, OpenVSX, Bitwarden, alpine, debian, claude, have more...

Wallets:
zcash

Crypto:
bitcoin, ethereum, solana, litecoin, dogecoin, ripple, monero, cardano

Algorithms:
aes-256-gcm, xor, ecdsa, ed25519

Functions:
SigV4-authenticated

Languages:
javascript, python

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TeamPCP выполнила продвинутые атаки на цепочку поставок в апреле 2026 года, направленные на кражу учетных данных через скомпрометированные рабочие процессы CI/CD. В инциденте с Checkmarx KICS они проникли на такие платформы, как Docker Hub и GitHub Actions, внедряя вредоносные скрипты, которые собирали различные учетные данные, а в случае elementary-data они использовали комментарий в GitHub для запуска вредоносного пакета, который выполнялся через механизм файлов .pth в Python, обходя защиты антивирусов. Эти атаки продемонстрировали отточенные техники извлечения учетных данных, используя API AWS и применяя зашифрованные полезную нагрузку, что подчеркивает гибкость и сложность инфраструктуры злоумышленника.
-----

TeamPCP выполнила сложную стратегию атаки на цепочку поставок, направленную на массовый кражу учетных данных в апреле 2026 года.

Инцидент с Checkmarx KICS 22 апреля включал проникновение в Docker Hub, GitHub Actions и OpenVSX.

Легитимные образы Docker были заменены, а рабочие процессы GitHub модифицированы для внедрения вредоносных скриптов.

Украденные токены npm использовались для перехвата контроля над компонентами следующего уровня, такими как @bitwarden/cli, с целью проведения дальнейших атак.

Вредоносный код из Checkmarx KICS нацеливался на множество учетных данных, включая персональные токены доступа GitHub (PAT), учетные данные облачных провайдеров и SSH-ключи.

В инциденте с elementary-data 24 апреля инъекция скриптов была осуществлена через комментарий в pull request в GitHub Actions.

Атакующий обошел необходимость использования прямых учетных данных мейнтейнера; один комментарий запустил процесс CI для выпуска вредоносного пакета.

Этот вредоносный пакет был криптографически подписан, чтобы выглядеть легитимным, и использовал механизм файлов .pth Python для выполнения при запуске интерпретатора Python.

Архитектура атаки была спроектирована таким образом, чтобы избежать обнаружения традиционными антивирусами и обеспечить компрометацию множества систем без создания постоянных артефактов на диске.

Элементарный полезный груз запрашивал живые API Amazon Web Services (AWS) для сбора секретов из Secrets Manager и EC2 Metadata Service.

Угроза охватывала более 80 различных путей к файлам учётных данных, увеличивая потенциальную поверхность атаки.

Ключевыми индикаторами компрометации (IoC) являлись использование AES-256-GCM для шифрования полезной нагрузки и жёстко закодированный в вредоносный код открытый ключ.

Оба инцидента продемонстрировали гибкую инфраструктуру управления (C&C), которая быстро циклически переключалась между доменами и методами эксфильтрации.

Анализ подчеркивает необходимость строгого соблюдения практик безопасности в процессах CI/CD, особенно в отношении принципа наименьших привилегий.

#ParsedReport #CompletenessMedium
14-05-2026

OrBit (Re)turns: Tracking an open-source Linux rootkit across four years of forks and deployments

https://intezer.com/blog/orbit-returns/

Report completeness: Medium

Actors/Campaigns:
Blockade_spider (motivation: cyber_espionage)
Unc3886 (motivation: cyber_espionage)

Threats:
Orbit
Rhombus_ransomware
Medusa_ransomware
Credential_harvesting_technique
Embargo_ransomware
Seaelf

Victims:
Virtualization environments, Juniper infrastructure, Vmware infrastructure, Vps, Iot devices

Industry:
Iot

Geo:
Israel, Russia

ChatGPT TTPs:
do not use without manual check
T1014, T1021.004, T1027, T1027.008, T1027.009, T1040, T1053.003, T1083, T1105, T1556.003, have more...

IOCs:
Url: 1
File: 5
Hash: 28
IP: 2
Domain: 1

Soft:
Linux, ChatGPT, Claude, sudo, sshpass, SELinux

Algorithms:
base64, xor, sha256

Functions:
read, xread, xor_dump, build_root

Links:
https://github.com/ldpreload/Medusa
have more...
https://github.com/git/git/blob/master/wrapper.c#L228