#ParsedReport #CompletenessMedium
14-05-2026

Kazuar: Anatomy of a nation-state botnet

https://www.microsoft.com/en-us/security/blog/2026/05/14/kazuar-anatomy-of-a-nation-state-botnet/

Report completeness: Medium

Actors/Campaigns:
Turla (motivation: cyber_espionage)
Gamaredon

Threats:
Kazuar
Lolbin_technique
Process_injection_technique
Amsi_bypass_technique
Shadowloader

Victims:
Government, Diplomatic sector, Ministries of foreign affairs, Embassies, Government offices, Defense departments, Defense related companies, Ukraine

Industry:
Military, Government

Geo:
Russia, Russian, Asia, Ukraine

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1007, T1008, T1010, T1016, T1027, T1029, T1041, T1049, T1055, have more...

IOCs:
File: 2
Hash: 4

Soft:
Microsoft Defender, Event Tracing for Windows, Outlook, Microsoft Defender for Endpoint, Twitter

Algorithms:
md5, aes, sha256

Functions:
TaskKill, taskIssue

Win API:
GetMailslotInfo

Languages:
python, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Kazuar, разработанный российским злоумышленником Secret Blizzard, представляет собой продвинутое модульное P2P ВПО для ботнета, предназначенное для шпионажа и нацеленное на государственные секторы Европы и Центральной Азии, а также на Украину. Его архитектура включает три основных модуля: Kernel, Bridge и Worker, при этом Kernel управляет операциями и техниками уклонения от безопасности. Kazuar использует различные методы доставки, включая загрузчик Pelmeni, и применяет эффективные протоколы связи через Google Protocol Buffers, что позволяет осуществлять обновления в реальном времени и скрытую эксфильтрацию данных.
-----

Kazuar — это сложное ВПО, разработанное российским злоумышленником Secret Blizzard, которое эволюционировало из стандартного бэкдора в модульный пиринговый (P2P) фреймворк ботнета, в первую очередь предназначенный для шпионажа. Это ВПО представляет собой значительное улучшение, направленное на обеспечение постоянного и скрытого доступа к целевым системам, особенно в правительственных и дипломатических секторах Европы и Центральной Азии, а также в Украине. Операционная структура Kazuar включает комбинацию различных модулей, что обеспечивает устойчивость и скрытность благодаря его дизайну.

Архитектура ВПО состоит из трёх основных типов модулей: Kernel, Bridge и Worker. Модуль Kernel служит основным координатором, выдаёт команды и ведёт журналы, а также управляет межмодульной коммуникацией. Он выполняет обширные проверки для обхода мер анализа и песочницы перед созданием рабочей среды со сложным набором конфигурации, включающим более 150 типов, которые определяют возможности коммуникации, выполнения, техник обхода безопасности, timing эксфильтрации данных и управления задачами.

Kazuar использует различные механизмы доставки, включая загрузчик Pelmeni, который связывает зашифрованный полезный груз с целевой средой, обеспечивая выполнение исключительно на предназначенном хосте. Управление конфигурацией осуществляется динамически через сервер C2, что позволяет обновлять его операционные параметры в реальном времени. Модуль Bridge обеспечивает внешнюю связь, выступая в качестве прокси между ядром (Kernel) и инфраструктурой C2, в то время как модули Worker выполняют назначенные задачи, такие как сбор данных и выполнение команд, агрегируя и подготавливая данные для эксфильтрации.

Взаимодействие между модулями структурировано и использует такие механизмы, как именованные каналы и Windows Messaging. Kazuar использует Google Protocol Buffers для эффективного обмена сообщениями и взаимодействия с C2, при этом поддерживаются настраиваемые методы транспорта, включая HTTP и Exchange Web Services. Такая модульная архитектура не только повышает оперативную скрытность, но и применяет техники запланированной эксфильтрации данных, маскируя вредоносную активность под нормальное сетевое поведение.

Общая цель Secret Blizzard — сбор разведывательной информации, с фокусом на системы, способные предоставить данные, релевантные для внешней политики России, особенно через сбор и эксфильтрацию конфиденциальных документов и коммуникаций. Детальный архитектурный дизайн Kazuar и адаптивные стратегии коммуникации иллюстрируют сложную и изощренную угрозу ВПО, отражающую растущие возможности акторов-государств в киберпространстве.

#ParsedReport #CompletenessLow
14-05-2026

Inside a Tor Backed Supply Chain Worm

https://www.cloudsek.com/blog/inside-a-tor-backed-supply-chain-worm

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique
Xmrig_miner
Hellcat
Shai-hulud

Victims:
Npm ecosystem, Linux developer systems, Ci cd environments, Software supply chain

ChatGPT TTPs:
do not use without manual check
T1027.009, T1036.005, T1059.006, T1078, T1083, T1090.003, T1195.001, T1496, T1497.001, T1543.002, have more...

IOCs:
File: 2

Soft:
systemd, Outlook, Claude, Travis, CircleCI, ledger-live, Linux

Wallets:
atomicwallet

Algorithms:
hmac, aes-cbc, pbkdf2, base64, sha256

Functions:
sendmsg

Win API:
lockfile

Languages:
javascript, rust, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная атака на цепочку поставок npm включала пакет с опечаткой «crypto-javascri», предназначенный для сбора учетных данных npm и GitHub, что позволяло злоумышленникам переиздавать троянизированные пакеты, такие как модифицированный клиент Arti Tor. ВПО собирало учетные данные, распространялось через поддерживаемые пакеты и обладало возможностями управления через Tor для скрытой работы. Атака, связанная с злоумышленником Sukob, ассоциируемым с экосистемой вымогателя HellCat, демонстрирует сложную модель распространения, использующую небольшие опечатки в названиях пакетов для компрометации широкой сети.
-----

Был выявлен сложный атакующий сценарий в цепочке поставок npm, связанный с пакетом-омографом под названием "crypto-javascri", который был специально разработан для сбора учетных данных npm и GitHub. Это позволило злоумышленнику использовать скомпрометированные аккаунты разработчиков для скрытого переиздания троянизированных пакетов. Финальным полезным нагрузкой стала вооруженная версия клиента Arti Tor, оснащенная возможностями кражи учетных данных, закрепления и управления (C2) через Tor, что значительно усложняет обнаружение и пресечение атаки.

Атака использует огромный масштаб экосистемы npm, которая обрабатывает миллиарды установок пакетов еженедельно, где даже незначительные ошибки в названиях пакетов могут иметь широкие последствия. 11 мая 2026 года злоумышленник зарегистрировал вредоносный пакет с ошибкой в один символ по сравнению с широко используемой библиотекой "crypto-js", тем самым эксплуатируя распространенную опечатку, которую легко можно было пропустить. После установки пакет, содержавший бинарный файл на Rust, собирал учетные данные из npm и GitHub, а затем интегрировался в каждый пакет, который поддерживал жертва, позволяя ему распространяться без дальнейшей помощи со стороны атакующего.

Вредоносный бинарный файл на Rust представлял собой модифицированную сборку Arti, включающую дополнительный код для кражи учетных данных и криптомайнинга. Он содержал механизмы обеспечения выполнения на машине жертвы, проверял внутренние пути и обращался к конфигурационным файлам, которые запускали внедрение. Структура бинарного файла маскировала его под стандартное приложение, скрывая истинное назначение дополнительного кода. Примечательно, что он проверяет наличие облачной среды и корректно завершает работу, избегая обнаружения в песочницах.

Функция C2 вредоносного ПО была построена на базе сети Tor, обеспечивая как анонимность, так и устойчивость к усилиям по обнаружению. Выбранный метод позволяет оператору перемещать инфраструктуру, сохраняя тот же адрес скрытой службы. Эта возможность затрудняет защитникам блокировку связи, даже по мере эволюции атакующей инфраструктуры.

Операция демонстрирует черты, характерные для злоумышленника, известного как Sukob, который, по слухам, связан с экосистемой вымогательского ПО HellCat. Хотя прямая атрибуция остается неясной, метод работы отражает сходство с предыдущей агрессией, проявленной этой группой. Модель распространения, используемая в данной операции, зеркально отражает известные тактики, при которых одна скомпрометированная машина разработчика становится точкой Компрометации цепочки поставок, затрагивая более широкую сеть пользователей, находящихся на последующих этапах цепочки.

Для борьбы с такими угрозами организациям необходимо отслеживать подозрительные хуки установки npm, проводить аудит несанкционированных публикаций пакетов и обеспечивать безопасность учетных данных. Осведомленность о любой неожиданной активности, связанной с инфраструктурой Tor, имеет решающее значение для раннего обнаружения и реагирования на эти сложные угрозы.

#ParsedReport #CompletenessLow
14-05-2026

Why AMOS matters: The macOS malware stealing data at scale

https://www.sophos.com/en-us/blog/why-amos-matters-the-macos-malware-stealing-data-at-scale

Report completeness: Low

Threats:
Amos_stealer
Clickfix_technique
Macc_stealer
Credential_harvesting_technique
Mainhelper

Victims:
Macos users, Cryptocurrency wallet users

TTPs:
Tactics: 6
Technics: 9

IOCs:
Url: 5

Soft:
macOS, curl, sudo, acOS an, Firefox, Chrome, QEMU, IndexedDB, Unix, Gatekeeper, have more...

Wallets:
ledger_wallet, trezor

Algorithms:
zip, base64

Platforms:
apple

Links:
https://github.com/sophoslabs/IoCs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атомный macOS стиллер (AMOS) — это значимый стиллер, нацеленный на пользователей macOS, использующий тактики социальной инженерии для начальной компрометации, в частности через вводящие в заблуждение команды терминала. Он эксплуатирует уязвимости для извлечения конфиденциальных данных, включая детали Связки ключей и учетные данные браузеров, а также реализует меры противодействия анализу для уклонения от обнаружения. ВПО работает по модели ВПО как услуга, отправляя собранные данные на инфраструктуру, контролируемую злоумышленниками, через серверы управления, адаптируясь к конкретным целям.
-----

Atomic macOS Stealer (AMOS) представляет собой существенную угрозу для пользователей macOS, в первую очередь функционируя как стиллер, который использует техники социальной инженерии для начальной компрометации. Недавний инцидент выявил вариант AMOS, использующий уловку в стиле ClickFix, где пользователей вводят в заблуждение для выполнения команды терминала. Эта техника подчеркивает более широкую тенденцию, наблюдаемую за последний год, когда различные macOS стиллеры применяли подобные обманные методы для заражения.

AMOS приобрел дурную славу благодаря своим впечатляющим статистическим данным, составляя около 40% обновлений защиты macOS за короткий период и почти половину отчетов клиентов, связанных с macOS-стилерами. Это ВПО часто связано с моделью ВПО как услуга (MaaS) и специально разработано для извлечения конфиденциальной информации, включая данные Связки ключей, учетные данные браузеров, информацию автозаполнения и криптовалюты, что все это может использоваться для последующих атак на захват учетных записей.

Жизненный цикл заражения начинается с выполнения пользователем вредоносной команды в Terminal, что приводит к загрузке и выполнению начального скрипта. Последующие этапы включают проверку вредоносным ПО пароля пользователя macOS и запуск вторичной полезной нагрузки для повышения привилегий. Архитектура вредоносного ПО включает рутинные процедуры противодействия анализу, которые проверяют наличие виртуализованных сред для уклонения от обнаружения, а также сбор сельскохозяйственных данных из различных системных профилей. В конечном итоге оно извлекает широкий спектр конфиденциальных данных, которые затем сжимаются и выводятся на инфраструктуру, контролируемую злоумышленниками, часто используя серверы управления (C2) для получения дальнейших инструкций.

AMOS также включает различные конфигурации для расширения возможностей сбора данных, что указывает на его способность адаптироваться к конкретным целям, включая модули сбора конфиденциальной информации, такие как кошельки криптовалют. Эта адаптивность подтверждается повторяющимся поведением, например, постоянным запросом учетных данных, что эффективно принуждает жертв раскрывать свои пароли.

Для обнаружения и предотвращения инцидентов команды безопасности должны знать о характерных признаках активности AMOS, таких как необычные попытки аутентификации, создание временных каталогов и неожиданные исходящие сетевые запросы. Блокировка выполнения команд терминала, инициируемых пользователями, и внедрение надежных мер безопасности, таких как принудительное использование Gatekeeper и мониторинг несанкционированных изменений в LaunchDaemons, являются критически важными шагами для снижения рисков, связанных с данным ВПО.

#ParsedReport #CompletenessHigh
11-05-2026

TeamPCP's Mini Shai-Hulud Is Back: A Self-Spreading Supply Chain Attack Compromises TanStack npm Packages

https://www.stepsecurity.io/blog/mini-shai-hulud-is-back-a-self-spreading-supply-chain-attack-hits-the-npm-ecosystem

Report completeness: High

Actors/Campaigns:
Mini_shai-hulud
Teampcp
Double_tap

Threats:
Supply_chain_technique
Dead_drop_technique
Masscan_tool

Victims:
Tanstack, Uipath, Draftlab, Npm maintainers, Github repositories, Developer machines

Industry:
Aerospace

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1005, T1027, T1036, T1059.006, T1059.007, T1071.001, T1140, T1195.001, T1195.002, have more...

IOCs:
File: 39
Domain: 4
Hash: 3
Email: 1

Soft:
TanStack, Claude, mistralai, o pyth, sudo, HashiCorp Vault, CyberGhost, Kubernetes, macOS, Linux, have more...

Wallets:
electrum, atomicwallet

Algorithms:
sha256, gzip, aes-256-gcm, pbkdf2, aes, rsa-4096, base64

Functions:
beautify, w8, createDecipheriv, TextDecoder, get_pid, createCommitOnBranch

Languages:
python, javascript

Platforms:
intel

Links:
https://github.com/TanStack/router/issues/7383
https://github.com/opensearch-project/opensearch-js/issues/1116
have more...
https://github.com/mistralai/client-ts/issues/217

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группировка TeamPCP запустила атаки на цепочку поставок с самораспространением, используя червя Mini Shai-Hulud для компрометации пакетов npm в экосистеме TanStack, эксплуатируя перехваченные рабочие процессы GitHub Actions и украденные токены OIDC. Червь проникает в конвейеры CI/CD для кражи учетных данных и заражает других сопровождающих, публикуя вредоносные версии пакетов с действительными аттестациями. Заметные особенности включают обширное сканирование памяти на наличие секретов, методы обфускации и взаимодействие с серверами управления через зашифрованные каналы.
-----

Группировка TeamPCP осуществила сложную атаку на цепочку поставок с самораспространением, используя свой червь Mini Shai-Hulud для компрометации легитимных пакетов npm, особенно в экосистеме TanStack. Эта атака примечательна тем, что использует перехваченные рабочие процессы GitHub Actions, эксплуатируя украденные OIDC-токены для публикации вредоносных версий пакетов, которые содержат действительные аттестации происхождения SLSA Build Level 3, что позволяет зафиксировать первый документально подтвержденный случай, когда червь npm производит легитимно аттестованное вредоносное программное обеспечение.

Червь действует, проникая в конвейер CI/CD для кражи учетных данных, а затем автономно распространяется на других сопровождающих путем публикации зараженных версий пакетов. Вредоносная нагрузка размером около 2,3 МБ напрямую считывает память процесса GitHub Actions Runner для извлечения секретов и конфиденциальных данных из различных сервисов. Он нацелен на более чем 100 путей к файлам в облачных провайдерах, криптокошельках и платформах обмена сообщениями, а также устанавливает механизмы закрепления в инструментах разработчика, таких как Claude Code и VS Code.

Атака включает многоэтапный процесс: начиная с размещения вредоносного полезного груза в ответвлении GitHub, его внедрения в пакеты npm и последующего использования конвейера CI/CD для публикации скомпрометированных версий. Примечательно, что червь использует сложную функциональность для кражи учетных данных, которая не только извлекает секреты из исполнителя GitHub Actions, но и осуществляет целевую кражу учетных данных с облачных вычислительных инстансов и машин разработчиков.

В payload включены расширенные функции, такие как вторичный шифр для обфускации учетных данных, широкие возможности сканирования памяти для выявления маскированных секретов и стратегии уклонения от обнаружения путем запуска в среде выполнения JavaScript, которая менее контролируется, чем стандартная Node.js. Было отмечено, что скомпрометированные пакеты имели необычные размеры — около 900 КБ по сравнению с типичными 190 КБ, что сигнализирует о возможном заражении.

Целями в сети являются службы метаданных AWS EC2 и локальные конечные точки HashiCorp Vault, при этом червь устанавливает каналы управления для связи через зашифрованные каналы. Эксплуатация рабочих процессов GitHub CI/CD подчеркивает значительные уязвимости безопасности, связанные с моделью доверия по умолчанию операций CI/CD.

В ответ на инциденты подчеркивается необходимость усиления бдительности, включая ротацию учетных данных, проверку активности в репозиториях GitHub на предмет аномальных действий после компрометации и аудит токенов доступа npm. Рекомендуется проактивный подход, направленный на развертывание инструментов мониторинга, таких как решения StepSecurity, для более точного выявления вредоносной активности в реальном времени и защиты сред разработки.

#ParsedReport #CompletenessHigh
14-05-2026

Popular node-ipc npm Package Infected with Credential Stealer

https://socket.dev/blog/node-ipc-package-compromised

Report completeness: High

Actors/Campaigns:
Node-ipc_compromise

Threats:
Supply_chain_technique
Typosquatting_technique
Remmina_tool

Victims:
Software development, Cloud infrastructure, Developer environments, Npm users, Node.js applications, Russian federation, Belarus

Industry:
Transport

Geo:
Belarus, Russia

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 26
Domain: 2
IP: 1
Hash: 4

Soft:
Node.js, macOS, Alibaba Cloud, MinIO, Salesforce, Kubernetes, Docker, Helm, Firefox, Linux, have more...

Algorithms:
gzip, xor, base64, sha256

Functions:
setImmediate, unlinkSync, resolveTxt

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние угрозы нацелены на пакет npm node-ipc, при этом вредоносные версии (node-ipc@9.1.6, 9.2.3 и 12.0.1) содержат зашифрованное ВПО для кражи учетных данных и установления бэкдор доступа. ВПО обладает такими возможностями, как идентификация хоста, перечисление локальных файлов, шифрование данных и эксфильтрация информации через DNS TXT-запросы к домену, имитирующему Microsoft Azure. Оно эксплуатирует как среды macOS, так и Linux, используя передовые техники для уклонения от обнаружения при работе без механизмов персистентности.
-----

Недавние киберугрозы связаны с пакетом npm node-ipc, известным своим использованием для межпроцессного взаимодействия в приложениях Node.js. Злоумышленнические версии этого пакета, идентифицированные как node-ipc@9.1.6, node-ipc@9.2.3 и node-ipc@12.0.1, содержат зашифрованное ВПО, предназначенное для кражи учетных данных и создания бэкдор-доступа. Возможности ВПО включают профилирование среды хоста, перечисление локальных файлов, сжатие и шифрование собранных данных, а также их эксфильтрацию с помощью DNS TXT-запросов к домену, имитирующему легитимный домен Microsoft Azure.

Вредоносная нагрузка внедрена в виде зашифрованного немедленно вызываемого функционального выражения (IIFE) в версии CommonJS пакета node-ipc. Пакет не затрагивает обёртку ESM (ECMAScript Module), которая остаётся чистой. Предыдущие компрометации node-ipc включали версии, связанные с механизмами гео-таргетинга, которые уничтожали файлы на основе местоположения системы, а также несанкционированное поведение записи файлов.

Вредоносное ПО целенаправленно атакует конфиденциальные учетные данные, связанные с различными облачными провайдерами, инструментами разработки и конфигурационными файлами, имеющими отношение к управлению инфраструктурой. Его архитектура предусматривает различия между средами macOS и Linux, что указывает на тщательное планирование со стороны злоумышленников, а также на использование процедур динамического разрешения для эксфильтрации данных.

Все наблюдаемые вредоносные активности происходят через DNS TXT-запросы, а не с использованием традиционных методов HTTP или HTTPS, что позволяет передаче данных избегать типичных мер сетевой безопасности. Он подключается к заранее определённой доменной зоне, которая тесно напоминает Azure Static Web Apps, помогая ему маскироваться под легитимный трафик.

В ВПО не были обнаружены постоянные механизмы, что указывает на то, что его воздействие ограничивается начальной фазой выполнения, когда оно собирает и отправляет данные. Пользователям и командам безопасности рекомендуется удалить любые скомпрометированные версии node-ipc, проверить зависимости своих проектов и незамедлительно сменить раскрытые учетные данные. Кроме того, системы следует мониторить на предмет необычных DNS-запросов, указывающих на вредоносную активность, особенно связанных с доменом sh.azurestaticprovider.net.

В связи с ограниченными доказательствами атрибуции, лица, стоящие за этой операцией, остаются неустановленными. Однако постоянный мониторинг сетевого трафика и поведения DNS-запросов имеет решающее значение для защиты от подобных атак на Цепочку поставок и поддержания целостности зависимостей программного обеспечения.

#ParsedReport #CompletenessLow
14-05-2026

Ongoing exploitation of Cisco Catalyst SD-WAN vulnerabilities

https://blog.talosintelligence.com/sd-wan-ongoing-exploitation/

Report completeness: Low

Actors/Campaigns:
Uat-8616

Threats:
Xenshell
Godzilla_webshell
Behinder
Adaptixc2_tool
Mythic_c2_tool
Sliver_c2_tool
Xmrig_miner
Kscan_tool
Qscan_tool
Nimplant
Gsocket_tool

Victims:
Network infrastructure, Software and technology

Geo:
Hong kong

CVEs:
CVE-2026-20133 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)

CVE-2026-20128 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18, 20.12.6)

CVE-2026-20182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-20127 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)
- cisco sd-wan_vsmart_controller (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)

CVE-2026-20122 [Vulners]
CVSS V3.1: 5.4,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)


ChatGPT TTPs:
do not use without manual check
T1033, T1046, T1057, T1059.004, T1071.001, T1082, T1090, T1098.004, T1105, T1110, have more...

IOCs:
File: 6
IP: 17
Url: 3
Hash: 12

Soft:
Unix

Crypto:
monero

Algorithms:
aes, base64, base58

Links:
https://github.com/Tas9er/ByPassGodzilla
https://github.com/zerozenxlabs/CVE-2026-20127---Cisco-SD-WAN-Preauth-RCE/blob/main/cmd.jsp
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cisco Talos выявил активную эксплуатацию нескольких уязвимостей в продуктах Cisco Catalyst SD-WAN, в частности CVE-2026-20182, которая позволяет неаутентифицированным удаленным злоумышленникам получать административные привилегии. Злоумышленник UAT-8616 использовал аналогичные тактики с другими уязвимостями, развертывая веб-шеллы, такие как XenShell, и модифицированные фреймворки, такие как Behinder и Godzilla, а также механизмы управления через AdaptixC2. Разнообразное ВПО, включая Sliver для управления и XMRig для майнинга криптовалют, указывает на сложную и растущую угрозу, нацеленную на инфраструктуру Cisco.
-----

Cisco Talos выявила продолжающуюся эксплуатацию нескольких уязвимостей, затрагивающих продукты Cisco Catalyst SD-WAN, включая критическую CVE-2026-20182, которая обеспечивает несанкционированный доступ из-за уязвимости в механизме аутентификации. Успешная эксплуатация этой уязвимости позволяет удаленному злоумышленнику без аутентификации получить административные привилегии на затронутых системах. Активная эксплуатация CVE-2026-20182 была классифицирована под группой злоумышленников, обозначенной как UAT-8616. Эта группа ранее эксплуатировала связанную уязвимость (CVE-2026-20127), применяя схожие тактики после эксплуатации, такие как добавление SSH-ключей и попытка повышения привилегий.

Помимо CVE-2026-20182, другие уязвимости — CVE-2026-20133, CVE-2026-20128 и CVE-2026-20122 — также эксплуатируются в новых и отличных друг от друга шаблонах. Эти уязвимости, устранённые обновлениями Cisco в феврале 2026 года, могут быть использованы совместно для предоставления удалённого доступа к устройствам. После публичного выпуска доказательств концепции (PoC) кода лабораториями ZeroZenX Labs были зафиксированы увеличенные попытки эксплуатации с использованием веб-шеллов, таких как XenShell, а также вариантов на базе существующих киберинструментов.

Talos отметил несколько различных кластеров вредоносной активности, связанных с этими уязвимостями, при этом действия после компрометации включают развертывание различных веб-шеллов и широкий спектр ВПО. Например, в нескольких задокументированных кластерах злоумышленники использовали множество веб-шеллов, некоторые из которых использовали модифицированные версии известных фреймворков, таких как Behinder и Godzilla. Кластеры также использовали агенты из фреймворка AdaptixC2 для установления связи управления (C2), что указывает на сложную инфраструктуру, лежащую в основе этих эксплойтов.

Среди наблюдаемых активностей присутствие дополнительных инструментов, таких как Sliver и XMRig, указывает на то, что злоумышленники диверсифицируют свой арсенал. Sliver использовался вместе с новыми специфическими средами C2, в то время как программное обеспечение для майнинга XMRig применялось для генерации криптовалюты Monero с компрометированных устройств. Были отмечены различные конфигурации, включая одну, которая позволяет беспрепятственное соединение пиров внутри сети для уклонения от обнаружения и содействия выполнению дальнейших вредоносных задач.

Эти инциденты подчеркивают растущую тенденцию в эксплуатации инфраструктуры SD-WAN от Cisco, вызывая серьезную обеспокоенность у корпоративных пользователей, особенно с учетом уровня сложности, продемонстрированного вовлеченными злоумышленниками. Пользователям настоятельно рекомендуется незамедлительно применять обновления, предоставленные Cisco, чтобы снизить риски, связанные с этими уязвимостями и сопутствующей деятельностью угроз.

#ParsedReport #CompletenessLow
15-05-2026

Hackers are using shared Claude chats to drop malware

https://moonlock.com/shared-claude-chats-drop-malware

Report completeness: Low

Threats:
Macc_stealer
Clickfix_technique

Victims:
Mac users

Geo:
Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1059.002, T1059.004, T1082, T1105, T1204.004, T1480.001, T1539, T1555.001, have more...

IOCs:
Url: 2
Domain: 1

Soft:
Claude, macOS, de Code, Anthropic

Platforms:
apple