#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинг с использованием кода устройства стал сложной угрозой, поскольку злоумышленники меняют тактику, чтобы эксплуатировать потоки авторизации устройств в таких платформах, как Microsoft 365, в основном используя фреймворк OAuth 2.0. Эти кампании часто применяют «прыжки при перехвате учетной записи», компрометируя первоначальную учетную запись эл. почты для распространения фишинговых ссылок, динамически генерируя коды устройств, что повышает эффективность атак и позволяет злоумышленникам захватывать токены аутентификации. Текущие злоумышленники, такие как TA4903, перешли от традиционных методов фишинга к этой технике, при этом кампании нацелены на глобальную аудиторию на нескольких языках.
-----

Фишинг с использованием кода устройства быстро стал значимой киберугрозой, развиваясь из традиционных методов фишинга учетных данных по мере того, как организации усиливают механизмы защиты от более распространенных техник, таких как фишинг с многофакторной аутентификацией (MFA). Эта эволюция отражает более широкий сдвиг в тактике среди злоумышленников, которые теперь используют потоки авторизации устройств, особенно нацеливаясь на платформы Microsoft 365 и, в меньшей степени, на учетные записи Google через фреймворк OAuth 2.0.

Недавний всплеск активности, связанной с фишингом с использованием кода устройства, коррелирует с публичным выпуском криминальных наборов инструментов и ростом предложений фишинга как услуга (PhaaS), таких как EvilTokens и Tycoon. Эти инструменты были разработаны для упрощения и масштабирования атак фишинга за счет упрощения создания и управления вредоносными приложениями, которые могут запрашивать доступ к учетным записям пользователей. В настоящее время кампании фишинга с использованием кода устройства в основном используют технику, известную как «прыжок при компрометации учетной записи», при которой злоумышленники осуществляют компрометацию начальной учетной записи электронной почты и используют ее для распространения ссылок фишинга на широкую аудиторию.

Заметный сдвиг в оперативном подходе этих атак заключается в динамической генерации кодов устройств в момент взаимодействия пользователя с фишинговой ссылкой, что позволяет обойти предыдущее ограничение, связанное с ограниченным временем действия кода. Это изменение повышает эффективность кампаний, позволяя злоумышленникам захватывать аутентификационные токены, когда пользователь вводит код на доверенных платформах, таких как легитимный портал аутентификации Microsoft.

Недавние кампании продемонстрировали различные методы заманивания жертв, включая электронные письма с вложениями и QR-коды, ведущие на фишинговые целевые страницы. На этих страницах обычно отображается уникальный код устройства, который пользователи должны ввести в интерфейс аутентификации устройств Microsoft. Успешное применение этих тактик может привести к серьезным последствиям, таким как захват учетных записей, кража конфиденциальной информации и компрометация в корпоративных средах.

Исследования выявили несколько вариантов наборов для фишинга с использованием кода устройства, которые демонстрируют сходство с существующими платформами PhaaS, а также обладают уникальными характеристиками, связанными с их операционной настройкой. Одним из примеров является актор TA4903, который перешел от традиционных методов компрометации деловой электронной почты к преимущественному использованию фишинга с кодом устройства, отправляя кажущиеся легитимными сообщения, которые обманом заставляют пользователей вводить свои учетные данные.

Более того, распространение фишинга с использованием кода устройства не ограничивается англоязычными целями, поскольку кампании наблюдались на различных языках, нацеленных на глобальную аудиторию. Эта адаптивность подчеркивает растущую эффективность и привлекательность метода среди киберпреступников.

#ParsedReport #CompletenessMedium
14-05-2026

Kazuar: Anatomy of a nation-state botnet

https://www.microsoft.com/en-us/security/blog/2026/05/14/kazuar-anatomy-of-a-nation-state-botnet/

Report completeness: Medium

Actors/Campaigns:
Turla (motivation: cyber_espionage)
Gamaredon

Threats:
Kazuar
Lolbin_technique
Process_injection_technique
Amsi_bypass_technique
Shadowloader

Victims:
Government, Diplomatic sector, Ministries of foreign affairs, Embassies, Government offices, Defense departments, Defense related companies, Ukraine

Industry:
Military, Government

Geo:
Russia, Russian, Asia, Ukraine

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1007, T1008, T1010, T1016, T1027, T1029, T1041, T1049, T1055, have more...

IOCs:
File: 2
Hash: 4

Soft:
Microsoft Defender, Event Tracing for Windows, Outlook, Microsoft Defender for Endpoint, Twitter

Algorithms:
md5, aes, sha256

Functions:
TaskKill, taskIssue

Win API:
GetMailslotInfo

Languages:
python, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Kazuar, разработанный российским злоумышленником Secret Blizzard, представляет собой продвинутое модульное P2P ВПО для ботнета, предназначенное для шпионажа и нацеленное на государственные секторы Европы и Центральной Азии, а также на Украину. Его архитектура включает три основных модуля: Kernel, Bridge и Worker, при этом Kernel управляет операциями и техниками уклонения от безопасности. Kazuar использует различные методы доставки, включая загрузчик Pelmeni, и применяет эффективные протоколы связи через Google Protocol Buffers, что позволяет осуществлять обновления в реальном времени и скрытую эксфильтрацию данных.
-----

Kazuar — это сложное ВПО, разработанное российским злоумышленником Secret Blizzard, которое эволюционировало из стандартного бэкдора в модульный пиринговый (P2P) фреймворк ботнета, в первую очередь предназначенный для шпионажа. Это ВПО представляет собой значительное улучшение, направленное на обеспечение постоянного и скрытого доступа к целевым системам, особенно в правительственных и дипломатических секторах Европы и Центральной Азии, а также в Украине. Операционная структура Kazuar включает комбинацию различных модулей, что обеспечивает устойчивость и скрытность благодаря его дизайну.

Архитектура ВПО состоит из трёх основных типов модулей: Kernel, Bridge и Worker. Модуль Kernel служит основным координатором, выдаёт команды и ведёт журналы, а также управляет межмодульной коммуникацией. Он выполняет обширные проверки для обхода мер анализа и песочницы перед созданием рабочей среды со сложным набором конфигурации, включающим более 150 типов, которые определяют возможности коммуникации, выполнения, техник обхода безопасности, timing эксфильтрации данных и управления задачами.

Kazuar использует различные механизмы доставки, включая загрузчик Pelmeni, который связывает зашифрованный полезный груз с целевой средой, обеспечивая выполнение исключительно на предназначенном хосте. Управление конфигурацией осуществляется динамически через сервер C2, что позволяет обновлять его операционные параметры в реальном времени. Модуль Bridge обеспечивает внешнюю связь, выступая в качестве прокси между ядром (Kernel) и инфраструктурой C2, в то время как модули Worker выполняют назначенные задачи, такие как сбор данных и выполнение команд, агрегируя и подготавливая данные для эксфильтрации.

Взаимодействие между модулями структурировано и использует такие механизмы, как именованные каналы и Windows Messaging. Kazuar использует Google Protocol Buffers для эффективного обмена сообщениями и взаимодействия с C2, при этом поддерживаются настраиваемые методы транспорта, включая HTTP и Exchange Web Services. Такая модульная архитектура не только повышает оперативную скрытность, но и применяет техники запланированной эксфильтрации данных, маскируя вредоносную активность под нормальное сетевое поведение.

Общая цель Secret Blizzard — сбор разведывательной информации, с фокусом на системы, способные предоставить данные, релевантные для внешней политики России, особенно через сбор и эксфильтрацию конфиденциальных документов и коммуникаций. Детальный архитектурный дизайн Kazuar и адаптивные стратегии коммуникации иллюстрируют сложную и изощренную угрозу ВПО, отражающую растущие возможности акторов-государств в киберпространстве.

#ParsedReport #CompletenessLow
14-05-2026

Inside a Tor Backed Supply Chain Worm

https://www.cloudsek.com/blog/inside-a-tor-backed-supply-chain-worm

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique
Xmrig_miner
Hellcat
Shai-hulud

Victims:
Npm ecosystem, Linux developer systems, Ci cd environments, Software supply chain

ChatGPT TTPs:
do not use without manual check
T1027.009, T1036.005, T1059.006, T1078, T1083, T1090.003, T1195.001, T1496, T1497.001, T1543.002, have more...

IOCs:
File: 2

Soft:
systemd, Outlook, Claude, Travis, CircleCI, ledger-live, Linux

Wallets:
atomicwallet

Algorithms:
hmac, aes-cbc, pbkdf2, base64, sha256

Functions:
sendmsg

Win API:
lockfile

Languages:
javascript, rust, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная атака на цепочку поставок npm включала пакет с опечаткой «crypto-javascri», предназначенный для сбора учетных данных npm и GitHub, что позволяло злоумышленникам переиздавать троянизированные пакеты, такие как модифицированный клиент Arti Tor. ВПО собирало учетные данные, распространялось через поддерживаемые пакеты и обладало возможностями управления через Tor для скрытой работы. Атака, связанная с злоумышленником Sukob, ассоциируемым с экосистемой вымогателя HellCat, демонстрирует сложную модель распространения, использующую небольшие опечатки в названиях пакетов для компрометации широкой сети.
-----

Был выявлен сложный атакующий сценарий в цепочке поставок npm, связанный с пакетом-омографом под названием "crypto-javascri", который был специально разработан для сбора учетных данных npm и GitHub. Это позволило злоумышленнику использовать скомпрометированные аккаунты разработчиков для скрытого переиздания троянизированных пакетов. Финальным полезным нагрузкой стала вооруженная версия клиента Arti Tor, оснащенная возможностями кражи учетных данных, закрепления и управления (C2) через Tor, что значительно усложняет обнаружение и пресечение атаки.

Атака использует огромный масштаб экосистемы npm, которая обрабатывает миллиарды установок пакетов еженедельно, где даже незначительные ошибки в названиях пакетов могут иметь широкие последствия. 11 мая 2026 года злоумышленник зарегистрировал вредоносный пакет с ошибкой в один символ по сравнению с широко используемой библиотекой "crypto-js", тем самым эксплуатируя распространенную опечатку, которую легко можно было пропустить. После установки пакет, содержавший бинарный файл на Rust, собирал учетные данные из npm и GitHub, а затем интегрировался в каждый пакет, который поддерживал жертва, позволяя ему распространяться без дальнейшей помощи со стороны атакующего.

Вредоносный бинарный файл на Rust представлял собой модифицированную сборку Arti, включающую дополнительный код для кражи учетных данных и криптомайнинга. Он содержал механизмы обеспечения выполнения на машине жертвы, проверял внутренние пути и обращался к конфигурационным файлам, которые запускали внедрение. Структура бинарного файла маскировала его под стандартное приложение, скрывая истинное назначение дополнительного кода. Примечательно, что он проверяет наличие облачной среды и корректно завершает работу, избегая обнаружения в песочницах.

Функция C2 вредоносного ПО была построена на базе сети Tor, обеспечивая как анонимность, так и устойчивость к усилиям по обнаружению. Выбранный метод позволяет оператору перемещать инфраструктуру, сохраняя тот же адрес скрытой службы. Эта возможность затрудняет защитникам блокировку связи, даже по мере эволюции атакующей инфраструктуры.

Операция демонстрирует черты, характерные для злоумышленника, известного как Sukob, который, по слухам, связан с экосистемой вымогательского ПО HellCat. Хотя прямая атрибуция остается неясной, метод работы отражает сходство с предыдущей агрессией, проявленной этой группой. Модель распространения, используемая в данной операции, зеркально отражает известные тактики, при которых одна скомпрометированная машина разработчика становится точкой Компрометации цепочки поставок, затрагивая более широкую сеть пользователей, находящихся на последующих этапах цепочки.

Для борьбы с такими угрозами организациям необходимо отслеживать подозрительные хуки установки npm, проводить аудит несанкционированных публикаций пакетов и обеспечивать безопасность учетных данных. Осведомленность о любой неожиданной активности, связанной с инфраструктурой Tor, имеет решающее значение для раннего обнаружения и реагирования на эти сложные угрозы.

#ParsedReport #CompletenessLow
14-05-2026

Why AMOS matters: The macOS malware stealing data at scale

https://www.sophos.com/en-us/blog/why-amos-matters-the-macos-malware-stealing-data-at-scale

Report completeness: Low

Threats:
Amos_stealer
Clickfix_technique
Macc_stealer
Credential_harvesting_technique
Mainhelper

Victims:
Macos users, Cryptocurrency wallet users

TTPs:
Tactics: 6
Technics: 9

IOCs:
Url: 5

Soft:
macOS, curl, sudo, acOS an, Firefox, Chrome, QEMU, IndexedDB, Unix, Gatekeeper, have more...

Wallets:
ledger_wallet, trezor

Algorithms:
zip, base64

Platforms:
apple

Links:
https://github.com/sophoslabs/IoCs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атомный macOS стиллер (AMOS) — это значимый стиллер, нацеленный на пользователей macOS, использующий тактики социальной инженерии для начальной компрометации, в частности через вводящие в заблуждение команды терминала. Он эксплуатирует уязвимости для извлечения конфиденциальных данных, включая детали Связки ключей и учетные данные браузеров, а также реализует меры противодействия анализу для уклонения от обнаружения. ВПО работает по модели ВПО как услуга, отправляя собранные данные на инфраструктуру, контролируемую злоумышленниками, через серверы управления, адаптируясь к конкретным целям.
-----

Atomic macOS Stealer (AMOS) представляет собой существенную угрозу для пользователей macOS, в первую очередь функционируя как стиллер, который использует техники социальной инженерии для начальной компрометации. Недавний инцидент выявил вариант AMOS, использующий уловку в стиле ClickFix, где пользователей вводят в заблуждение для выполнения команды терминала. Эта техника подчеркивает более широкую тенденцию, наблюдаемую за последний год, когда различные macOS стиллеры применяли подобные обманные методы для заражения.

AMOS приобрел дурную славу благодаря своим впечатляющим статистическим данным, составляя около 40% обновлений защиты macOS за короткий период и почти половину отчетов клиентов, связанных с macOS-стилерами. Это ВПО часто связано с моделью ВПО как услуга (MaaS) и специально разработано для извлечения конфиденциальной информации, включая данные Связки ключей, учетные данные браузеров, информацию автозаполнения и криптовалюты, что все это может использоваться для последующих атак на захват учетных записей.

Жизненный цикл заражения начинается с выполнения пользователем вредоносной команды в Terminal, что приводит к загрузке и выполнению начального скрипта. Последующие этапы включают проверку вредоносным ПО пароля пользователя macOS и запуск вторичной полезной нагрузки для повышения привилегий. Архитектура вредоносного ПО включает рутинные процедуры противодействия анализу, которые проверяют наличие виртуализованных сред для уклонения от обнаружения, а также сбор сельскохозяйственных данных из различных системных профилей. В конечном итоге оно извлекает широкий спектр конфиденциальных данных, которые затем сжимаются и выводятся на инфраструктуру, контролируемую злоумышленниками, часто используя серверы управления (C2) для получения дальнейших инструкций.

AMOS также включает различные конфигурации для расширения возможностей сбора данных, что указывает на его способность адаптироваться к конкретным целям, включая модули сбора конфиденциальной информации, такие как кошельки криптовалют. Эта адаптивность подтверждается повторяющимся поведением, например, постоянным запросом учетных данных, что эффективно принуждает жертв раскрывать свои пароли.

Для обнаружения и предотвращения инцидентов команды безопасности должны знать о характерных признаках активности AMOS, таких как необычные попытки аутентификации, создание временных каталогов и неожиданные исходящие сетевые запросы. Блокировка выполнения команд терминала, инициируемых пользователями, и внедрение надежных мер безопасности, таких как принудительное использование Gatekeeper и мониторинг несанкционированных изменений в LaunchDaemons, являются критически важными шагами для снижения рисков, связанных с данным ВПО.

#ParsedReport #CompletenessHigh
11-05-2026

TeamPCP's Mini Shai-Hulud Is Back: A Self-Spreading Supply Chain Attack Compromises TanStack npm Packages

https://www.stepsecurity.io/blog/mini-shai-hulud-is-back-a-self-spreading-supply-chain-attack-hits-the-npm-ecosystem

Report completeness: High

Actors/Campaigns:
Mini_shai-hulud
Teampcp
Double_tap

Threats:
Supply_chain_technique
Dead_drop_technique
Masscan_tool

Victims:
Tanstack, Uipath, Draftlab, Npm maintainers, Github repositories, Developer machines

Industry:
Aerospace

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1005, T1027, T1036, T1059.006, T1059.007, T1071.001, T1140, T1195.001, T1195.002, have more...

IOCs:
File: 39
Domain: 4
Hash: 3
Email: 1

Soft:
TanStack, Claude, mistralai, o pyth, sudo, HashiCorp Vault, CyberGhost, Kubernetes, macOS, Linux, have more...

Wallets:
electrum, atomicwallet

Algorithms:
sha256, gzip, aes-256-gcm, pbkdf2, aes, rsa-4096, base64

Functions:
beautify, w8, createDecipheriv, TextDecoder, get_pid, createCommitOnBranch

Languages:
python, javascript

Platforms:
intel

Links:
https://github.com/TanStack/router/issues/7383
https://github.com/opensearch-project/opensearch-js/issues/1116
have more...
https://github.com/mistralai/client-ts/issues/217

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группировка TeamPCP запустила атаки на цепочку поставок с самораспространением, используя червя Mini Shai-Hulud для компрометации пакетов npm в экосистеме TanStack, эксплуатируя перехваченные рабочие процессы GitHub Actions и украденные токены OIDC. Червь проникает в конвейеры CI/CD для кражи учетных данных и заражает других сопровождающих, публикуя вредоносные версии пакетов с действительными аттестациями. Заметные особенности включают обширное сканирование памяти на наличие секретов, методы обфускации и взаимодействие с серверами управления через зашифрованные каналы.
-----

Группировка TeamPCP осуществила сложную атаку на цепочку поставок с самораспространением, используя свой червь Mini Shai-Hulud для компрометации легитимных пакетов npm, особенно в экосистеме TanStack. Эта атака примечательна тем, что использует перехваченные рабочие процессы GitHub Actions, эксплуатируя украденные OIDC-токены для публикации вредоносных версий пакетов, которые содержат действительные аттестации происхождения SLSA Build Level 3, что позволяет зафиксировать первый документально подтвержденный случай, когда червь npm производит легитимно аттестованное вредоносное программное обеспечение.

Червь действует, проникая в конвейер CI/CD для кражи учетных данных, а затем автономно распространяется на других сопровождающих путем публикации зараженных версий пакетов. Вредоносная нагрузка размером около 2,3 МБ напрямую считывает память процесса GitHub Actions Runner для извлечения секретов и конфиденциальных данных из различных сервисов. Он нацелен на более чем 100 путей к файлам в облачных провайдерах, криптокошельках и платформах обмена сообщениями, а также устанавливает механизмы закрепления в инструментах разработчика, таких как Claude Code и VS Code.

Атака включает многоэтапный процесс: начиная с размещения вредоносного полезного груза в ответвлении GitHub, его внедрения в пакеты npm и последующего использования конвейера CI/CD для публикации скомпрометированных версий. Примечательно, что червь использует сложную функциональность для кражи учетных данных, которая не только извлекает секреты из исполнителя GitHub Actions, но и осуществляет целевую кражу учетных данных с облачных вычислительных инстансов и машин разработчиков.

В payload включены расширенные функции, такие как вторичный шифр для обфускации учетных данных, широкие возможности сканирования памяти для выявления маскированных секретов и стратегии уклонения от обнаружения путем запуска в среде выполнения JavaScript, которая менее контролируется, чем стандартная Node.js. Было отмечено, что скомпрометированные пакеты имели необычные размеры — около 900 КБ по сравнению с типичными 190 КБ, что сигнализирует о возможном заражении.

Целями в сети являются службы метаданных AWS EC2 и локальные конечные точки HashiCorp Vault, при этом червь устанавливает каналы управления для связи через зашифрованные каналы. Эксплуатация рабочих процессов GitHub CI/CD подчеркивает значительные уязвимости безопасности, связанные с моделью доверия по умолчанию операций CI/CD.

В ответ на инциденты подчеркивается необходимость усиления бдительности, включая ротацию учетных данных, проверку активности в репозиториях GitHub на предмет аномальных действий после компрометации и аудит токенов доступа npm. Рекомендуется проактивный подход, направленный на развертывание инструментов мониторинга, таких как решения StepSecurity, для более точного выявления вредоносной активности в реальном времени и защиты сред разработки.

#ParsedReport #CompletenessHigh
14-05-2026

Popular node-ipc npm Package Infected with Credential Stealer

https://socket.dev/blog/node-ipc-package-compromised

Report completeness: High

Actors/Campaigns:
Node-ipc_compromise

Threats:
Supply_chain_technique
Typosquatting_technique
Remmina_tool

Victims:
Software development, Cloud infrastructure, Developer environments, Npm users, Node.js applications, Russian federation, Belarus

Industry:
Transport

Geo:
Belarus, Russia

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 26
Domain: 2
IP: 1
Hash: 4

Soft:
Node.js, macOS, Alibaba Cloud, MinIO, Salesforce, Kubernetes, Docker, Helm, Firefox, Linux, have more...

Algorithms:
gzip, xor, base64, sha256

Functions:
setImmediate, unlinkSync, resolveTxt

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние угрозы нацелены на пакет npm node-ipc, при этом вредоносные версии (node-ipc@9.1.6, 9.2.3 и 12.0.1) содержат зашифрованное ВПО для кражи учетных данных и установления бэкдор доступа. ВПО обладает такими возможностями, как идентификация хоста, перечисление локальных файлов, шифрование данных и эксфильтрация информации через DNS TXT-запросы к домену, имитирующему Microsoft Azure. Оно эксплуатирует как среды macOS, так и Linux, используя передовые техники для уклонения от обнаружения при работе без механизмов персистентности.
-----

Недавние киберугрозы связаны с пакетом npm node-ipc, известным своим использованием для межпроцессного взаимодействия в приложениях Node.js. Злоумышленнические версии этого пакета, идентифицированные как node-ipc@9.1.6, node-ipc@9.2.3 и node-ipc@12.0.1, содержат зашифрованное ВПО, предназначенное для кражи учетных данных и создания бэкдор-доступа. Возможности ВПО включают профилирование среды хоста, перечисление локальных файлов, сжатие и шифрование собранных данных, а также их эксфильтрацию с помощью DNS TXT-запросов к домену, имитирующему легитимный домен Microsoft Azure.

Вредоносная нагрузка внедрена в виде зашифрованного немедленно вызываемого функционального выражения (IIFE) в версии CommonJS пакета node-ipc. Пакет не затрагивает обёртку ESM (ECMAScript Module), которая остаётся чистой. Предыдущие компрометации node-ipc включали версии, связанные с механизмами гео-таргетинга, которые уничтожали файлы на основе местоположения системы, а также несанкционированное поведение записи файлов.

Вредоносное ПО целенаправленно атакует конфиденциальные учетные данные, связанные с различными облачными провайдерами, инструментами разработки и конфигурационными файлами, имеющими отношение к управлению инфраструктурой. Его архитектура предусматривает различия между средами macOS и Linux, что указывает на тщательное планирование со стороны злоумышленников, а также на использование процедур динамического разрешения для эксфильтрации данных.

Все наблюдаемые вредоносные активности происходят через DNS TXT-запросы, а не с использованием традиционных методов HTTP или HTTPS, что позволяет передаче данных избегать типичных мер сетевой безопасности. Он подключается к заранее определённой доменной зоне, которая тесно напоминает Azure Static Web Apps, помогая ему маскироваться под легитимный трафик.

В ВПО не были обнаружены постоянные механизмы, что указывает на то, что его воздействие ограничивается начальной фазой выполнения, когда оно собирает и отправляет данные. Пользователям и командам безопасности рекомендуется удалить любые скомпрометированные версии node-ipc, проверить зависимости своих проектов и незамедлительно сменить раскрытые учетные данные. Кроме того, системы следует мониторить на предмет необычных DNS-запросов, указывающих на вредоносную активность, особенно связанных с доменом sh.azurestaticprovider.net.

В связи с ограниченными доказательствами атрибуции, лица, стоящие за этой операцией, остаются неустановленными. Однако постоянный мониторинг сетевого трафика и поведения DNS-запросов имеет решающее значение для защиты от подобных атак на Цепочку поставок и поддержания целостности зависимостей программного обеспечения.

#ParsedReport #CompletenessLow
14-05-2026

Ongoing exploitation of Cisco Catalyst SD-WAN vulnerabilities

https://blog.talosintelligence.com/sd-wan-ongoing-exploitation/

Report completeness: Low

Actors/Campaigns:
Uat-8616

Threats:
Xenshell
Godzilla_webshell
Behinder
Adaptixc2_tool
Mythic_c2_tool
Sliver_c2_tool
Xmrig_miner
Kscan_tool
Qscan_tool
Nimplant
Gsocket_tool

Victims:
Network infrastructure, Software and technology

Geo:
Hong kong

CVEs:
CVE-2026-20133 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)

CVE-2026-20128 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18, 20.12.6)

CVE-2026-20182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-20127 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)
- cisco sd-wan_vsmart_controller (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)

CVE-2026-20122 [Vulners]
CVSS V3.1: 5.4,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)


ChatGPT TTPs:
do not use without manual check
T1033, T1046, T1057, T1059.004, T1071.001, T1082, T1090, T1098.004, T1105, T1110, have more...

IOCs:
File: 6
IP: 17
Url: 3
Hash: 12

Soft:
Unix

Crypto:
monero

Algorithms:
aes, base64, base58

Links:
https://github.com/Tas9er/ByPassGodzilla
https://github.com/zerozenxlabs/CVE-2026-20127---Cisco-SD-WAN-Preauth-RCE/blob/main/cmd.jsp
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4