#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная атака на цепочку поставок npm включала пакет с опечаткой «crypto-javascri», предназначенный для сбора учетных данных npm и GitHub, что позволяло злоумышленникам переиздавать троянизированные пакеты, такие как модифицированный клиент Arti Tor. ВПО собирало учетные данные, распространялось через поддерживаемые пакеты и обладало возможностями управления через Tor для скрытой работы. Атака, связанная с злоумышленником Sukob, ассоциируемым с экосистемой вымогателя HellCat, демонстрирует сложную модель распространения, использующую небольшие опечатки в названиях пакетов для компрометации широкой сети.
-----

Был выявлен сложный атакующий сценарий в цепочке поставок npm, связанный с пакетом-омографом под названием "crypto-javascri", который был специально разработан для сбора учетных данных npm и GitHub. Это позволило злоумышленнику использовать скомпрометированные аккаунты разработчиков для скрытого переиздания троянизированных пакетов. Финальным полезным нагрузкой стала вооруженная версия клиента Arti Tor, оснащенная возможностями кражи учетных данных, закрепления и управления (C2) через Tor, что значительно усложняет обнаружение и пресечение атаки.

Атака использует огромный масштаб экосистемы npm, которая обрабатывает миллиарды установок пакетов еженедельно, где даже незначительные ошибки в названиях пакетов могут иметь широкие последствия. 11 мая 2026 года злоумышленник зарегистрировал вредоносный пакет с ошибкой в один символ по сравнению с широко используемой библиотекой "crypto-js", тем самым эксплуатируя распространенную опечатку, которую легко можно было пропустить. После установки пакет, содержавший бинарный файл на Rust, собирал учетные данные из npm и GitHub, а затем интегрировался в каждый пакет, который поддерживал жертва, позволяя ему распространяться без дальнейшей помощи со стороны атакующего.

Вредоносный бинарный файл на Rust представлял собой модифицированную сборку Arti, включающую дополнительный код для кражи учетных данных и криптомайнинга. Он содержал механизмы обеспечения выполнения на машине жертвы, проверял внутренние пути и обращался к конфигурационным файлам, которые запускали внедрение. Структура бинарного файла маскировала его под стандартное приложение, скрывая истинное назначение дополнительного кода. Примечательно, что он проверяет наличие облачной среды и корректно завершает работу, избегая обнаружения в песочницах.

Функция C2 вредоносного ПО была построена на базе сети Tor, обеспечивая как анонимность, так и устойчивость к усилиям по обнаружению. Выбранный метод позволяет оператору перемещать инфраструктуру, сохраняя тот же адрес скрытой службы. Эта возможность затрудняет защитникам блокировку связи, даже по мере эволюции атакующей инфраструктуры.

Операция демонстрирует черты, характерные для злоумышленника, известного как Sukob, который, по слухам, связан с экосистемой вымогательского ПО HellCat. Хотя прямая атрибуция остается неясной, метод работы отражает сходство с предыдущей агрессией, проявленной этой группой. Модель распространения, используемая в данной операции, зеркально отражает известные тактики, при которых одна скомпрометированная машина разработчика становится точкой Компрометации цепочки поставок, затрагивая более широкую сеть пользователей, находящихся на последующих этапах цепочки.

Для борьбы с такими угрозами организациям необходимо отслеживать подозрительные хуки установки npm, проводить аудит несанкционированных публикаций пакетов и обеспечивать безопасность учетных данных. Осведомленность о любой неожиданной активности, связанной с инфраструктурой Tor, имеет решающее значение для раннего обнаружения и реагирования на эти сложные угрозы.

#ParsedReport #CompletenessLow
14-05-2026

Why AMOS matters: The macOS malware stealing data at scale

https://www.sophos.com/en-us/blog/why-amos-matters-the-macos-malware-stealing-data-at-scale

Report completeness: Low

Threats:
Amos_stealer
Clickfix_technique
Macc_stealer
Credential_harvesting_technique
Mainhelper

Victims:
Macos users, Cryptocurrency wallet users

TTPs:
Tactics: 6
Technics: 9

IOCs:
Url: 5

Soft:
macOS, curl, sudo, acOS an, Firefox, Chrome, QEMU, IndexedDB, Unix, Gatekeeper, have more...

Wallets:
ledger_wallet, trezor

Algorithms:
zip, base64

Platforms:
apple

Links:
https://github.com/sophoslabs/IoCs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атомный macOS стиллер (AMOS) — это значимый стиллер, нацеленный на пользователей macOS, использующий тактики социальной инженерии для начальной компрометации, в частности через вводящие в заблуждение команды терминала. Он эксплуатирует уязвимости для извлечения конфиденциальных данных, включая детали Связки ключей и учетные данные браузеров, а также реализует меры противодействия анализу для уклонения от обнаружения. ВПО работает по модели ВПО как услуга, отправляя собранные данные на инфраструктуру, контролируемую злоумышленниками, через серверы управления, адаптируясь к конкретным целям.
-----

Atomic macOS Stealer (AMOS) представляет собой существенную угрозу для пользователей macOS, в первую очередь функционируя как стиллер, который использует техники социальной инженерии для начальной компрометации. Недавний инцидент выявил вариант AMOS, использующий уловку в стиле ClickFix, где пользователей вводят в заблуждение для выполнения команды терминала. Эта техника подчеркивает более широкую тенденцию, наблюдаемую за последний год, когда различные macOS стиллеры применяли подобные обманные методы для заражения.

AMOS приобрел дурную славу благодаря своим впечатляющим статистическим данным, составляя около 40% обновлений защиты macOS за короткий период и почти половину отчетов клиентов, связанных с macOS-стилерами. Это ВПО часто связано с моделью ВПО как услуга (MaaS) и специально разработано для извлечения конфиденциальной информации, включая данные Связки ключей, учетные данные браузеров, информацию автозаполнения и криптовалюты, что все это может использоваться для последующих атак на захват учетных записей.

Жизненный цикл заражения начинается с выполнения пользователем вредоносной команды в Terminal, что приводит к загрузке и выполнению начального скрипта. Последующие этапы включают проверку вредоносным ПО пароля пользователя macOS и запуск вторичной полезной нагрузки для повышения привилегий. Архитектура вредоносного ПО включает рутинные процедуры противодействия анализу, которые проверяют наличие виртуализованных сред для уклонения от обнаружения, а также сбор сельскохозяйственных данных из различных системных профилей. В конечном итоге оно извлекает широкий спектр конфиденциальных данных, которые затем сжимаются и выводятся на инфраструктуру, контролируемую злоумышленниками, часто используя серверы управления (C2) для получения дальнейших инструкций.

AMOS также включает различные конфигурации для расширения возможностей сбора данных, что указывает на его способность адаптироваться к конкретным целям, включая модули сбора конфиденциальной информации, такие как кошельки криптовалют. Эта адаптивность подтверждается повторяющимся поведением, например, постоянным запросом учетных данных, что эффективно принуждает жертв раскрывать свои пароли.

Для обнаружения и предотвращения инцидентов команды безопасности должны знать о характерных признаках активности AMOS, таких как необычные попытки аутентификации, создание временных каталогов и неожиданные исходящие сетевые запросы. Блокировка выполнения команд терминала, инициируемых пользователями, и внедрение надежных мер безопасности, таких как принудительное использование Gatekeeper и мониторинг несанкционированных изменений в LaunchDaemons, являются критически важными шагами для снижения рисков, связанных с данным ВПО.

#ParsedReport #CompletenessHigh
11-05-2026

TeamPCP's Mini Shai-Hulud Is Back: A Self-Spreading Supply Chain Attack Compromises TanStack npm Packages

https://www.stepsecurity.io/blog/mini-shai-hulud-is-back-a-self-spreading-supply-chain-attack-hits-the-npm-ecosystem

Report completeness: High

Actors/Campaigns:
Mini_shai-hulud
Teampcp
Double_tap

Threats:
Supply_chain_technique
Dead_drop_technique
Masscan_tool

Victims:
Tanstack, Uipath, Draftlab, Npm maintainers, Github repositories, Developer machines

Industry:
Aerospace

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1005, T1027, T1036, T1059.006, T1059.007, T1071.001, T1140, T1195.001, T1195.002, have more...

IOCs:
File: 39
Domain: 4
Hash: 3
Email: 1

Soft:
TanStack, Claude, mistralai, o pyth, sudo, HashiCorp Vault, CyberGhost, Kubernetes, macOS, Linux, have more...

Wallets:
electrum, atomicwallet

Algorithms:
sha256, gzip, aes-256-gcm, pbkdf2, aes, rsa-4096, base64

Functions:
beautify, w8, createDecipheriv, TextDecoder, get_pid, createCommitOnBranch

Languages:
python, javascript

Platforms:
intel

Links:
https://github.com/TanStack/router/issues/7383
https://github.com/opensearch-project/opensearch-js/issues/1116
have more...
https://github.com/mistralai/client-ts/issues/217

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группировка TeamPCP запустила атаки на цепочку поставок с самораспространением, используя червя Mini Shai-Hulud для компрометации пакетов npm в экосистеме TanStack, эксплуатируя перехваченные рабочие процессы GitHub Actions и украденные токены OIDC. Червь проникает в конвейеры CI/CD для кражи учетных данных и заражает других сопровождающих, публикуя вредоносные версии пакетов с действительными аттестациями. Заметные особенности включают обширное сканирование памяти на наличие секретов, методы обфускации и взаимодействие с серверами управления через зашифрованные каналы.
-----

Группировка TeamPCP осуществила сложную атаку на цепочку поставок с самораспространением, используя свой червь Mini Shai-Hulud для компрометации легитимных пакетов npm, особенно в экосистеме TanStack. Эта атака примечательна тем, что использует перехваченные рабочие процессы GitHub Actions, эксплуатируя украденные OIDC-токены для публикации вредоносных версий пакетов, которые содержат действительные аттестации происхождения SLSA Build Level 3, что позволяет зафиксировать первый документально подтвержденный случай, когда червь npm производит легитимно аттестованное вредоносное программное обеспечение.

Червь действует, проникая в конвейер CI/CD для кражи учетных данных, а затем автономно распространяется на других сопровождающих путем публикации зараженных версий пакетов. Вредоносная нагрузка размером около 2,3 МБ напрямую считывает память процесса GitHub Actions Runner для извлечения секретов и конфиденциальных данных из различных сервисов. Он нацелен на более чем 100 путей к файлам в облачных провайдерах, криптокошельках и платформах обмена сообщениями, а также устанавливает механизмы закрепления в инструментах разработчика, таких как Claude Code и VS Code.

Атака включает многоэтапный процесс: начиная с размещения вредоносного полезного груза в ответвлении GitHub, его внедрения в пакеты npm и последующего использования конвейера CI/CD для публикации скомпрометированных версий. Примечательно, что червь использует сложную функциональность для кражи учетных данных, которая не только извлекает секреты из исполнителя GitHub Actions, но и осуществляет целевую кражу учетных данных с облачных вычислительных инстансов и машин разработчиков.

В payload включены расширенные функции, такие как вторичный шифр для обфускации учетных данных, широкие возможности сканирования памяти для выявления маскированных секретов и стратегии уклонения от обнаружения путем запуска в среде выполнения JavaScript, которая менее контролируется, чем стандартная Node.js. Было отмечено, что скомпрометированные пакеты имели необычные размеры — около 900 КБ по сравнению с типичными 190 КБ, что сигнализирует о возможном заражении.

Целями в сети являются службы метаданных AWS EC2 и локальные конечные точки HashiCorp Vault, при этом червь устанавливает каналы управления для связи через зашифрованные каналы. Эксплуатация рабочих процессов GitHub CI/CD подчеркивает значительные уязвимости безопасности, связанные с моделью доверия по умолчанию операций CI/CD.

В ответ на инциденты подчеркивается необходимость усиления бдительности, включая ротацию учетных данных, проверку активности в репозиториях GitHub на предмет аномальных действий после компрометации и аудит токенов доступа npm. Рекомендуется проактивный подход, направленный на развертывание инструментов мониторинга, таких как решения StepSecurity, для более точного выявления вредоносной активности в реальном времени и защиты сред разработки.

#ParsedReport #CompletenessHigh
14-05-2026

Popular node-ipc npm Package Infected with Credential Stealer

https://socket.dev/blog/node-ipc-package-compromised

Report completeness: High

Actors/Campaigns:
Node-ipc_compromise

Threats:
Supply_chain_technique
Typosquatting_technique
Remmina_tool

Victims:
Software development, Cloud infrastructure, Developer environments, Npm users, Node.js applications, Russian federation, Belarus

Industry:
Transport

Geo:
Belarus, Russia

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 26
Domain: 2
IP: 1
Hash: 4

Soft:
Node.js, macOS, Alibaba Cloud, MinIO, Salesforce, Kubernetes, Docker, Helm, Firefox, Linux, have more...

Algorithms:
gzip, xor, base64, sha256

Functions:
setImmediate, unlinkSync, resolveTxt

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние угрозы нацелены на пакет npm node-ipc, при этом вредоносные версии (node-ipc@9.1.6, 9.2.3 и 12.0.1) содержат зашифрованное ВПО для кражи учетных данных и установления бэкдор доступа. ВПО обладает такими возможностями, как идентификация хоста, перечисление локальных файлов, шифрование данных и эксфильтрация информации через DNS TXT-запросы к домену, имитирующему Microsoft Azure. Оно эксплуатирует как среды macOS, так и Linux, используя передовые техники для уклонения от обнаружения при работе без механизмов персистентности.
-----

Недавние киберугрозы связаны с пакетом npm node-ipc, известным своим использованием для межпроцессного взаимодействия в приложениях Node.js. Злоумышленнические версии этого пакета, идентифицированные как node-ipc@9.1.6, node-ipc@9.2.3 и node-ipc@12.0.1, содержат зашифрованное ВПО, предназначенное для кражи учетных данных и создания бэкдор-доступа. Возможности ВПО включают профилирование среды хоста, перечисление локальных файлов, сжатие и шифрование собранных данных, а также их эксфильтрацию с помощью DNS TXT-запросов к домену, имитирующему легитимный домен Microsoft Azure.

Вредоносная нагрузка внедрена в виде зашифрованного немедленно вызываемого функционального выражения (IIFE) в версии CommonJS пакета node-ipc. Пакет не затрагивает обёртку ESM (ECMAScript Module), которая остаётся чистой. Предыдущие компрометации node-ipc включали версии, связанные с механизмами гео-таргетинга, которые уничтожали файлы на основе местоположения системы, а также несанкционированное поведение записи файлов.

Вредоносное ПО целенаправленно атакует конфиденциальные учетные данные, связанные с различными облачными провайдерами, инструментами разработки и конфигурационными файлами, имеющими отношение к управлению инфраструктурой. Его архитектура предусматривает различия между средами macOS и Linux, что указывает на тщательное планирование со стороны злоумышленников, а также на использование процедур динамического разрешения для эксфильтрации данных.

Все наблюдаемые вредоносные активности происходят через DNS TXT-запросы, а не с использованием традиционных методов HTTP или HTTPS, что позволяет передаче данных избегать типичных мер сетевой безопасности. Он подключается к заранее определённой доменной зоне, которая тесно напоминает Azure Static Web Apps, помогая ему маскироваться под легитимный трафик.

В ВПО не были обнаружены постоянные механизмы, что указывает на то, что его воздействие ограничивается начальной фазой выполнения, когда оно собирает и отправляет данные. Пользователям и командам безопасности рекомендуется удалить любые скомпрометированные версии node-ipc, проверить зависимости своих проектов и незамедлительно сменить раскрытые учетные данные. Кроме того, системы следует мониторить на предмет необычных DNS-запросов, указывающих на вредоносную активность, особенно связанных с доменом sh.azurestaticprovider.net.

В связи с ограниченными доказательствами атрибуции, лица, стоящие за этой операцией, остаются неустановленными. Однако постоянный мониторинг сетевого трафика и поведения DNS-запросов имеет решающее значение для защиты от подобных атак на Цепочку поставок и поддержания целостности зависимостей программного обеспечения.

#ParsedReport #CompletenessLow
14-05-2026

Ongoing exploitation of Cisco Catalyst SD-WAN vulnerabilities

https://blog.talosintelligence.com/sd-wan-ongoing-exploitation/

Report completeness: Low

Actors/Campaigns:
Uat-8616

Threats:
Xenshell
Godzilla_webshell
Behinder
Adaptixc2_tool
Mythic_c2_tool
Sliver_c2_tool
Xmrig_miner
Kscan_tool
Qscan_tool
Nimplant
Gsocket_tool

Victims:
Network infrastructure, Software and technology

Geo:
Hong kong

CVEs:
CVE-2026-20133 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)

CVE-2026-20128 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18, 20.12.6)

CVE-2026-20182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-20127 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)
- cisco sd-wan_vsmart_controller (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)

CVE-2026-20122 [Vulners]
CVSS V3.1: 5.4,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)


ChatGPT TTPs:
do not use without manual check
T1033, T1046, T1057, T1059.004, T1071.001, T1082, T1090, T1098.004, T1105, T1110, have more...

IOCs:
File: 6
IP: 17
Url: 3
Hash: 12

Soft:
Unix

Crypto:
monero

Algorithms:
aes, base64, base58

Links:
https://github.com/Tas9er/ByPassGodzilla
https://github.com/zerozenxlabs/CVE-2026-20127---Cisco-SD-WAN-Preauth-RCE/blob/main/cmd.jsp
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cisco Talos выявил активную эксплуатацию нескольких уязвимостей в продуктах Cisco Catalyst SD-WAN, в частности CVE-2026-20182, которая позволяет неаутентифицированным удаленным злоумышленникам получать административные привилегии. Злоумышленник UAT-8616 использовал аналогичные тактики с другими уязвимостями, развертывая веб-шеллы, такие как XenShell, и модифицированные фреймворки, такие как Behinder и Godzilla, а также механизмы управления через AdaptixC2. Разнообразное ВПО, включая Sliver для управления и XMRig для майнинга криптовалют, указывает на сложную и растущую угрозу, нацеленную на инфраструктуру Cisco.
-----

Cisco Talos выявила продолжающуюся эксплуатацию нескольких уязвимостей, затрагивающих продукты Cisco Catalyst SD-WAN, включая критическую CVE-2026-20182, которая обеспечивает несанкционированный доступ из-за уязвимости в механизме аутентификации. Успешная эксплуатация этой уязвимости позволяет удаленному злоумышленнику без аутентификации получить административные привилегии на затронутых системах. Активная эксплуатация CVE-2026-20182 была классифицирована под группой злоумышленников, обозначенной как UAT-8616. Эта группа ранее эксплуатировала связанную уязвимость (CVE-2026-20127), применяя схожие тактики после эксплуатации, такие как добавление SSH-ключей и попытка повышения привилегий.

Помимо CVE-2026-20182, другие уязвимости — CVE-2026-20133, CVE-2026-20128 и CVE-2026-20122 — также эксплуатируются в новых и отличных друг от друга шаблонах. Эти уязвимости, устранённые обновлениями Cisco в феврале 2026 года, могут быть использованы совместно для предоставления удалённого доступа к устройствам. После публичного выпуска доказательств концепции (PoC) кода лабораториями ZeroZenX Labs были зафиксированы увеличенные попытки эксплуатации с использованием веб-шеллов, таких как XenShell, а также вариантов на базе существующих киберинструментов.

Talos отметил несколько различных кластеров вредоносной активности, связанных с этими уязвимостями, при этом действия после компрометации включают развертывание различных веб-шеллов и широкий спектр ВПО. Например, в нескольких задокументированных кластерах злоумышленники использовали множество веб-шеллов, некоторые из которых использовали модифицированные версии известных фреймворков, таких как Behinder и Godzilla. Кластеры также использовали агенты из фреймворка AdaptixC2 для установления связи управления (C2), что указывает на сложную инфраструктуру, лежащую в основе этих эксплойтов.

Среди наблюдаемых активностей присутствие дополнительных инструментов, таких как Sliver и XMRig, указывает на то, что злоумышленники диверсифицируют свой арсенал. Sliver использовался вместе с новыми специфическими средами C2, в то время как программное обеспечение для майнинга XMRig применялось для генерации криптовалюты Monero с компрометированных устройств. Были отмечены различные конфигурации, включая одну, которая позволяет беспрепятственное соединение пиров внутри сети для уклонения от обнаружения и содействия выполнению дальнейших вредоносных задач.

Эти инциденты подчеркивают растущую тенденцию в эксплуатации инфраструктуры SD-WAN от Cisco, вызывая серьезную обеспокоенность у корпоративных пользователей, особенно с учетом уровня сложности, продемонстрированного вовлеченными злоумышленниками. Пользователям настоятельно рекомендуется незамедлительно применять обновления, предоставленные Cisco, чтобы снизить риски, связанные с этими уязвимостями и сопутствующей деятельностью угроз.

#ParsedReport #CompletenessLow
15-05-2026

Hackers are using shared Claude chats to drop malware

https://moonlock.com/shared-claude-chats-drop-malware

Report completeness: Low

Threats:
Macc_stealer
Clickfix_technique

Victims:
Mac users

Geo:
Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1059.002, T1059.004, T1082, T1105, T1204.004, T1480.001, T1539, T1555.001, have more...

IOCs:
Url: 2
Domain: 1

Soft:
Claude, macOS, de Code, Anthropic

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кампании, нацеленные на пользователей Mac, включают вредоносное ПО MacSync, распространяемое обманными методами, такими как реклама в Google и поддельные загрузки Claude AI. Это вредоносное ПО предназначено для эксфильтрации личных данных, особенно информации о криптокошельках, и работает путем обмана пользователей с целью выполнения скриптов через Terminal, которые подключаются к вредоносным серверам. Вредоносное ПО использует такие языки скриптов, как osascript, чтобы избежать обнаружения, а некоторые версии содержат проверки для предотвращения выполнения на основе конфигурации клавиатуры пользователя, что указывает на адаптированный подход для избегания определенных демографических групп.
-----

В последнее время появились кампании, нацеленные на пользователей Mac с использованием вредоносного ПО MacSync, распространяемого через обманные каналы, такие как Google Ads и чаты Claude AI. Киберпреступники имитируют легальные загрузки Claude AI и используют Google Ads для размещения вредоносных ссылок, маскирующихся под поддержку Apple. Эта техника использует доверие к известным брендам для создания убедительных атак, которые могут легко ввести пользователей в заблуждение.

Вредоносное ПО MacSync нацелено на кражу личных данных и данных браузера, с особым акцентом на информацию из криптокошельков. Схема действий начинается с того, что пользователь ищет «Download Claude Mac», что приводит его к мошеннической ссылке, встроенной в рекламное объявление Google. Эта ссылка перенаправляет пользователей на страницу Claude AI, где содержатся вредоносные инструкции. Пользователям предлагается скопировать и вставить скрипт в терминал Mac под видом загрузки программного обеспечения, что в результате приводит к подключению к вредоносному домену, размещающему варианты MacSync.

После запуска вредоносное ПО устанавливает канал связи с сервером, контролируемым злоумышленниками. Затем оно систематически собирает конфиденциальную информацию, включая IP-адрес устройства, имя хоста, версию операционной системы и различные данные, хранящиеся в Связке ключей macOS. Вредоносное ПО использует родные языки скриптинга macOS, такие как osascript, чтобы избежать обнаружения средствами защиты. Интересно, что определенные версии MacSync содержат проверки, предотвращающие запуск при обнаружении русской раскладки клавиатуры, что подчеркивает практики целевого исключения на основе географических соображений.

Более того, недавние исследования показали, что создание вредоносных инструкций для обмена в чатах удивительно просто из-за отсутствия строгой проверки подлинности на платформах искусственного интеллекта, таких как Claude. Эта лазейка позволяет преступникам создавать аккаунты, имитирующие легитимные организации, и распространять вредоносные инструкции без контроля. Хотя такие чаты могут содержать предупреждения о мошенничестве, злоумышленники все же могут создавать ссылки, обходящие эти предостережения.

Для снижения рисков, связанных с такими типами киберугроз, пользователям Mac рекомендуется повысить осведомленность в области кибербезопасности и использовать профессиональные инструменты безопасности, способные проверять команды, выполняемые через терминал. Особую бдительность следует проявлять при взаимодействии с контентом, сгенерированным искусственным интеллектом, и спонсируемой рекламой — пользователям следует тщательно анализировать результаты поиска, так как киберпреступники могут обходить процессы проверки рекламы Google для продвижения своих схем. Эта тенденция подчеркивает сложную эволюцию тактик, применяемых злоумышленниками, и указывает на необходимость постоянной бдительности в онлайн-пространстве.

#ParsedReport #CompletenessMedium
15-05-2026

Inside The Gentlemen Ransomware Leak: When the Hunter Becomes the Hunted

https://socradar.io/blog/gentlemen-ransomware-leak/

Report completeness: Medium

Actors/Campaigns:
Gentlemen_ransomware (motivation: financially_motivated)
Hastalamuerte

Threats:
Gentlemen_ransomware
Qilin_ransomware
Edr-killer
Credential_harvesting_technique
Dumpbrowsersecrets_tool
Mimikatz_tool
Xenarmor_tool
Adaptixc2_tool
Uac_bypass_technique
Havoc
Zeropulse_tool
Sliver_c2_tool
Megacmd_tool
Robocopy_tool
Rclone_tool
Supply_chain_technique
Conti
Blackbasta

Victims:
Software consultancy, Hosting services, Organizations globally

Geo:
Germany, Russia, Apac, Brazil, United kingdom, Turkish, India, Thailand, Turkiye

CVEs:
CVE-2025-32433 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- erlang erlang\/otp (<25.3.2.20, <26.2.5.11, <27.3.3)

CVE-2025-33073 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.21034)
- microsoft windows_10_1607 (<10.0.14393.8148)
- microsoft windows_10_1809 (<10.0.17763.7434)
- microsoft windows_10_21h2 (<10.0.19044.5965)
- microsoft windows_10_22h2 (<10.0.19045.5965)
have more...
CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)


TTPs:
Tactics: 4
Technics: 0

IOCs:
Hash: 1
File: 1

Soft:
Linux, ESXi, Velociraptor, NetDrive, Active Directory

Crypto:
bitcoin

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале мая 2026 года хакерская группировка The Gentlemen, являющаяся операцией Программа-вымогатель как услуга, стала жертвой взлома, в результате которого были раскрыты внутренние данные, включая детали операций и стенограммы переговоров. Они используют написанный на Go вымогатель для различных систем и написанный на C блокировщик для гипервизоров ESXi, применяя тактику двойное вымогательство. Раскрытая информация раскрыла их организационную структуру, процессы выбора целей и использование таких инструментов, как Velociraptor и Mimikatz, для сбора учетных записей и управления командами.
-----

В начале мая 2026 года хакерская группировка The Gentlemen, операция Ransomware-as-a-Service (RaaS), появившаяся в середине 2025 года, подверглась значительному взлому, в результате которого была раскрыта важная внутренняя информация. Этот инцидент стал масштабным провалом в области операционной безопасности для группировки, что привело к непреднамеренной утечке внутренних данных, включая логи чатов, детали управления аффилиатами и стенограммы переговоров о выкупе. The Gentlemen, известные своим быстрым расширением и уникальной моделью аффилиатов, в основном служат операционным ядром, в то время как аффилиаты осуществляют атаки и получают 90% выплат по выкупу.

Группой руководит известный русскоязычный злоумышленник, действующий под псевдонимами, такими как hastalamuerte и zeta88. Их технический арсенал включает Go-версию ransomware, способную шифровать системы Windows, Linux, NAS и BSD, а также специализированный C-версию locker для гипервизоров ESXi. Они применяют технику двойного вымогательства, шифруя данные и угрожая публично раскрыть украденные файлы, если их требования не будут выполнены. Примечательно, что The Gentlemen нацелены на широкий спектр стран, при этом только 13% их жертв находятся в США, а основное внимание уделяется таким регионам, как Таиланд, Великобритания, Бразилия, Германия и Индия.

Хостинг-провайдер под названием 4VPS был связан с инцидентом; они раскрыли информацию об атаке, связанной с заменой прокси-серверов, которая, по утверждениям, привела к компрометации учетных данных из инфраструктуры The Gentlemen's. Эта связь привела к тому, что внутренние данные были выставлены на продажу на подпольных форумах, что позволило аналитикам получить представление об операциях группы. Утекшая информация включала учетные данные для доступа, журналы чатов о проникновениях, обсуждения уязвимостей, оперативные планы, пути эксплуатации и примеры систематической виктимизации, когда одна взломанная организация использовалась для доступа к другой и атаки на нее.

Внутренняя структура группы была раскрыта благодаря журналам чата, показавшим иерархическую модель, в которой zeta88 выступает в роли ведущего оператора, а такие аффилиаты, как Wick и Protagor, выполняют атаки. Инструменты, такие как Velociraptor, перепрофилированная платформа DFIR, использовались для управления, а также для различных методов сбора учетных записей и протоколов, таких как Rclone, для эксфильтрации данных. Их операции также включали набор инструментов, направленных на уклонение от обнаружения и восстановление учетных данных, включая программы, такие как Mimikatz и пользовательские сборщики данных.

Оперативный план Gentlemen указывает на хорошо организованную систему координации атак и распределения ресурсов, подчеркивая их стратегическую ориентацию на высокоценные цели при сохранении значительного объема операций. Утечка данных раскрывает, как они выбирают цели, управляют вторжениями и калибруют вымогательские требования, основываясь на понимании финансового положения жертв. По мере эволюции групп вымогателей такие утечки подчеркивают необходимость проактивных мер безопасности, особенно в отношении непропатченного программного обеспечения и мониторинга несанкционированного использования учетных данных, чтобы подготовиться к этим скоординированным операциям.

#ParsedReport #CompletenessHigh
14-05-2026

FrostyNeighbor: Fresh mischief and digital shenanigans

https://www.welivesecurity.com/en/eset-research/frostyneighbor-fresh-mischief-digital-shenanigans/

Report completeness: High

Actors/Campaigns:
Ghostwriter (motivation: cyber_espionage, disinformation)

Threats:
Spear-phishing_technique
Picassoloader
Cobalt_strike_tool
Credential_harvesting_technique

Victims:
Government, Military, Defense, Industrial and manufacturing, Healthcare and pharmaceuticals, Logistics, Private sector, Eastern europe

Industry:
Logistic, Telco, Healthcare, Military, Government

Geo:
Ukraine, Poland, Belarus, Polish, Lithuania, Ukrainian

TTPs:
Tactics: 8
Technics: 15

IOCs:
Url: 3
File: 7
Hash: 13
Domain: 8

Soft:
Slack, ndcube, whi

Algorithms:
base64

Languages:
visual_basic, javascript, powershell

Links:
https://github.com/eset/malware-ioc/tree/master/frostyneighbor