#ParsedReport #CompletenessLow
15-05-2026

Hackers are using shared Claude chats to drop malware

https://moonlock.com/shared-claude-chats-drop-malware

Report completeness: Low

Threats:
Macc_stealer
Clickfix_technique

Victims:
Mac users

Geo:
Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1059.002, T1059.004, T1082, T1105, T1204.004, T1480.001, T1539, T1555.001, have more...

IOCs:
Url: 2
Domain: 1

Soft:
Claude, macOS, de Code, Anthropic

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кампании, нацеленные на пользователей Mac, включают вредоносное ПО MacSync, распространяемое обманными методами, такими как реклама в Google и поддельные загрузки Claude AI. Это вредоносное ПО предназначено для эксфильтрации личных данных, особенно информации о криптокошельках, и работает путем обмана пользователей с целью выполнения скриптов через Terminal, которые подключаются к вредоносным серверам. Вредоносное ПО использует такие языки скриптов, как osascript, чтобы избежать обнаружения, а некоторые версии содержат проверки для предотвращения выполнения на основе конфигурации клавиатуры пользователя, что указывает на адаптированный подход для избегания определенных демографических групп.
-----

В последнее время появились кампании, нацеленные на пользователей Mac с использованием вредоносного ПО MacSync, распространяемого через обманные каналы, такие как Google Ads и чаты Claude AI. Киберпреступники имитируют легальные загрузки Claude AI и используют Google Ads для размещения вредоносных ссылок, маскирующихся под поддержку Apple. Эта техника использует доверие к известным брендам для создания убедительных атак, которые могут легко ввести пользователей в заблуждение.

Вредоносное ПО MacSync нацелено на кражу личных данных и данных браузера, с особым акцентом на информацию из криптокошельков. Схема действий начинается с того, что пользователь ищет «Download Claude Mac», что приводит его к мошеннической ссылке, встроенной в рекламное объявление Google. Эта ссылка перенаправляет пользователей на страницу Claude AI, где содержатся вредоносные инструкции. Пользователям предлагается скопировать и вставить скрипт в терминал Mac под видом загрузки программного обеспечения, что в результате приводит к подключению к вредоносному домену, размещающему варианты MacSync.

После запуска вредоносное ПО устанавливает канал связи с сервером, контролируемым злоумышленниками. Затем оно систематически собирает конфиденциальную информацию, включая IP-адрес устройства, имя хоста, версию операционной системы и различные данные, хранящиеся в Связке ключей macOS. Вредоносное ПО использует родные языки скриптинга macOS, такие как osascript, чтобы избежать обнаружения средствами защиты. Интересно, что определенные версии MacSync содержат проверки, предотвращающие запуск при обнаружении русской раскладки клавиатуры, что подчеркивает практики целевого исключения на основе географических соображений.

Более того, недавние исследования показали, что создание вредоносных инструкций для обмена в чатах удивительно просто из-за отсутствия строгой проверки подлинности на платформах искусственного интеллекта, таких как Claude. Эта лазейка позволяет преступникам создавать аккаунты, имитирующие легитимные организации, и распространять вредоносные инструкции без контроля. Хотя такие чаты могут содержать предупреждения о мошенничестве, злоумышленники все же могут создавать ссылки, обходящие эти предостережения.

Для снижения рисков, связанных с такими типами киберугроз, пользователям Mac рекомендуется повысить осведомленность в области кибербезопасности и использовать профессиональные инструменты безопасности, способные проверять команды, выполняемые через терминал. Особую бдительность следует проявлять при взаимодействии с контентом, сгенерированным искусственным интеллектом, и спонсируемой рекламой — пользователям следует тщательно анализировать результаты поиска, так как киберпреступники могут обходить процессы проверки рекламы Google для продвижения своих схем. Эта тенденция подчеркивает сложную эволюцию тактик, применяемых злоумышленниками, и указывает на необходимость постоянной бдительности в онлайн-пространстве.

#ParsedReport #CompletenessMedium
15-05-2026

Inside The Gentlemen Ransomware Leak: When the Hunter Becomes the Hunted

https://socradar.io/blog/gentlemen-ransomware-leak/

Report completeness: Medium

Actors/Campaigns:
Gentlemen_ransomware (motivation: financially_motivated)
Hastalamuerte

Threats:
Gentlemen_ransomware
Qilin_ransomware
Edr-killer
Credential_harvesting_technique
Dumpbrowsersecrets_tool
Mimikatz_tool
Xenarmor_tool
Adaptixc2_tool
Uac_bypass_technique
Havoc
Zeropulse_tool
Sliver_c2_tool
Megacmd_tool
Robocopy_tool
Rclone_tool
Supply_chain_technique
Conti
Blackbasta

Victims:
Software consultancy, Hosting services, Organizations globally

Geo:
Germany, Russia, Apac, Brazil, United kingdom, Turkish, India, Thailand, Turkiye

CVEs:
CVE-2025-32433 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- erlang erlang\/otp (<25.3.2.20, <26.2.5.11, <27.3.3)

CVE-2025-33073 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.21034)
- microsoft windows_10_1607 (<10.0.14393.8148)
- microsoft windows_10_1809 (<10.0.17763.7434)
- microsoft windows_10_21h2 (<10.0.19044.5965)
- microsoft windows_10_22h2 (<10.0.19045.5965)
have more...
CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)


TTPs:
Tactics: 4
Technics: 0

IOCs:
Hash: 1
File: 1

Soft:
Linux, ESXi, Velociraptor, NetDrive, Active Directory

Crypto:
bitcoin

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале мая 2026 года хакерская группировка The Gentlemen, являющаяся операцией Программа-вымогатель как услуга, стала жертвой взлома, в результате которого были раскрыты внутренние данные, включая детали операций и стенограммы переговоров. Они используют написанный на Go вымогатель для различных систем и написанный на C блокировщик для гипервизоров ESXi, применяя тактику двойное вымогательство. Раскрытая информация раскрыла их организационную структуру, процессы выбора целей и использование таких инструментов, как Velociraptor и Mimikatz, для сбора учетных записей и управления командами.
-----

В начале мая 2026 года хакерская группировка The Gentlemen, операция Ransomware-as-a-Service (RaaS), появившаяся в середине 2025 года, подверглась значительному взлому, в результате которого была раскрыта важная внутренняя информация. Этот инцидент стал масштабным провалом в области операционной безопасности для группировки, что привело к непреднамеренной утечке внутренних данных, включая логи чатов, детали управления аффилиатами и стенограммы переговоров о выкупе. The Gentlemen, известные своим быстрым расширением и уникальной моделью аффилиатов, в основном служат операционным ядром, в то время как аффилиаты осуществляют атаки и получают 90% выплат по выкупу.

Группой руководит известный русскоязычный злоумышленник, действующий под псевдонимами, такими как hastalamuerte и zeta88. Их технический арсенал включает Go-версию ransomware, способную шифровать системы Windows, Linux, NAS и BSD, а также специализированный C-версию locker для гипервизоров ESXi. Они применяют технику двойного вымогательства, шифруя данные и угрожая публично раскрыть украденные файлы, если их требования не будут выполнены. Примечательно, что The Gentlemen нацелены на широкий спектр стран, при этом только 13% их жертв находятся в США, а основное внимание уделяется таким регионам, как Таиланд, Великобритания, Бразилия, Германия и Индия.

Хостинг-провайдер под названием 4VPS был связан с инцидентом; они раскрыли информацию об атаке, связанной с заменой прокси-серверов, которая, по утверждениям, привела к компрометации учетных данных из инфраструктуры The Gentlemen's. Эта связь привела к тому, что внутренние данные были выставлены на продажу на подпольных форумах, что позволило аналитикам получить представление об операциях группы. Утекшая информация включала учетные данные для доступа, журналы чатов о проникновениях, обсуждения уязвимостей, оперативные планы, пути эксплуатации и примеры систематической виктимизации, когда одна взломанная организация использовалась для доступа к другой и атаки на нее.

Внутренняя структура группы была раскрыта благодаря журналам чата, показавшим иерархическую модель, в которой zeta88 выступает в роли ведущего оператора, а такие аффилиаты, как Wick и Protagor, выполняют атаки. Инструменты, такие как Velociraptor, перепрофилированная платформа DFIR, использовались для управления, а также для различных методов сбора учетных записей и протоколов, таких как Rclone, для эксфильтрации данных. Их операции также включали набор инструментов, направленных на уклонение от обнаружения и восстановление учетных данных, включая программы, такие как Mimikatz и пользовательские сборщики данных.

Оперативный план Gentlemen указывает на хорошо организованную систему координации атак и распределения ресурсов, подчеркивая их стратегическую ориентацию на высокоценные цели при сохранении значительного объема операций. Утечка данных раскрывает, как они выбирают цели, управляют вторжениями и калибруют вымогательские требования, основываясь на понимании финансового положения жертв. По мере эволюции групп вымогателей такие утечки подчеркивают необходимость проактивных мер безопасности, особенно в отношении непропатченного программного обеспечения и мониторинга несанкционированного использования учетных данных, чтобы подготовиться к этим скоординированным операциям.

#ParsedReport #CompletenessHigh
14-05-2026

FrostyNeighbor: Fresh mischief and digital shenanigans

https://www.welivesecurity.com/en/eset-research/frostyneighbor-fresh-mischief-digital-shenanigans/

Report completeness: High

Actors/Campaigns:
Ghostwriter (motivation: cyber_espionage, disinformation)

Threats:
Spear-phishing_technique
Picassoloader
Cobalt_strike_tool
Credential_harvesting_technique

Victims:
Government, Military, Defense, Industrial and manufacturing, Healthcare and pharmaceuticals, Logistics, Private sector, Eastern europe

Industry:
Logistic, Telco, Healthcare, Military, Government

Geo:
Ukraine, Poland, Belarus, Polish, Lithuania, Ukrainian

TTPs:
Tactics: 8
Technics: 15

IOCs:
Url: 3
File: 7
Hash: 13
Domain: 8

Soft:
Slack, ndcube, whi

Algorithms:
base64

Languages:
visual_basic, javascript, powershell

Links:
https://github.com/eset/malware-ioc/tree/master/frostyneighbor

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
FrostyNeighbor, белорусская группа кибершпионажа, нацелена на правительственные организации Украины, используя передовое ВПО и сложные методы. Они эксплуатируют уязвимости, такие как уязвимость Windows RAR (CVE‑2023‑38831), и применяют тактики Целевой фишинг с оружиемизированными документами для доставки вредоносного PicassoLoader, который действует как загрузчик для Cobalt Strike beacons. Это ВПО собирает системную информацию для сервера управления, позволяя дальнейшую эксплуатацию и эксфильтрацию данных.
-----

FrostyNeighbor, давняя группа кибершпионажа, предположительно действующая из Беларуси, была выявлена как целенаправленно атакующая правительственные организации в Украине с марта 2026 года. Эта группа примечательна непрерывной эволюцией своих тактик атаки, используя широкий спектр сложного вредоносного программного обеспечения (ВПО) и методов эксплуатации для обеспечения того, чтобы её операции оставались незамеченными. Основной фокус FrostyNeighbor направлен на правительственные, военные и критически важные сектора в Восточной Европе, особенно в Украине, Польше и Литве.

Группа использует различные методы для компрометации своих целей, включая кампании целевого фишинга, которые развертывают оружие в форматах документов, таких как PDF, CHM, XLS, PPT и DOC. В последнее время они эксплуатировали уязвимость Windows RAR (CVE‑2023‑38831) и легитимные сервисы, такие как Slack, для доставки вредоносных загрузок. Кроме того, заметной техникой является серверная проверка на стороне сервера, чтобы убедиться, что жертва соответствует определенным критериям перед доставкой финальной загруз

Недавние технические разработки включают развертывание загрузчика под названием PicassoLoader, который является универсальным и написан на различных языках программирования, включая .NET, PowerShell, JavaScript и C++. Это ВПО предназначено для загрузки Cobalt Strike beacon — широко используемого фреймворка для пост-эксплуатации, — доставка которого маскируется под безобидные файлы или изображения.

Текущие атаки используют новую цепочку компрометации, инициируемую через Целевой фишинг-письма с вложением в виде PDF-файла с названием "53_7.03.2026_R.pdf". Этот PDF-файл, имитирующий украинскую телекоммуникационную компанию, предназначен для того, чтобы заставить жертв загрузить вредоносный архив RAR, содержащий загрузчик на JavaScript. Данный загрузчик выполняет различные этапы атаки с использованием дополнительных полезной нагрузки, предназначенных для получения постоянного доступа к системе жертвы. После запуска PicassoLoader собирает критически важную системную информацию, такую как учетные данные пользователей и запущенные процессы, и отправляет их на сервер управления (C&C) по протоколу HTTPS для дальнейшей эксплуатации.

Управление через каналы управления осуществляется с использованием HTTPS, что повышает скрытность ВПО, в то время как функциональность PicassoLoader позволяет проводить эксфильтрацию данных и выполнять дополнительные команды на основе ответов, получаемых от сервера управления. Примечательно, что решения оператора о доставке дополнительных полезной нагрузки принимаются на основе информации, собранной от жертв.

В заключение, адаптивные тактики FrostyNeighbor свидетельствуют о хорошо устоявшейся операционной зрелости, постоянном совершенствовании своих методов и использовании эволюционирующих вариантов ВПО для нацеливания на государственные и военные структуры Восточной Европы. Стойкая угроза, исходящая от этого актора, подчеркивает постоянную необходимость бдительности и продвинутых возможностей обнаружения в киберзащите.

#ParsedReport #CompletenessMedium
14-05-2026

Active Supply Chain Attack: Malicious node-ipc Versions Published to npm

https://www.stepsecurity.io/blog/node-ipc-npm-supply-chain-attack#indicators-of-compromise

Report completeness: Medium

Actors/Campaigns:
Node-ipc_compromise

Threats:
Supply_chain_technique
Credential_stealing_technique
Credential_harvesting_technique
Typosquatting_technique

Victims:
Software development, Devops, Cloud services, Code repositories, Developer machines, Build pipelines

Industry:
Transport

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1059.007, T1071.004, T1083, T1140, T1195.001, T1480.001, T1552.001, have more...

IOCs:
Email: 1
File: 28
IP: 3
Domain: 1
Hash: 10

Soft:
Node.js, Kubernetes, Claude, Alibaba Cloud, MinIO, macOS, Linux, Anthropic, PostgreSQL, MySQL, have more...

Algorithms:
md5, hmac, sha256, gzip, sha1

Functions:
setImmediate, statSync, readdirSync, _0x485bae

Win API:
lockfile

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
14 мая 2026 года в реестр npm были загружены вредоносные версии библиотеки node-ipc, содержащие 80 КБ вредоносного кода для кражи учетных данных. Этот код, эксплуатируя механизм загрузки модулей CommonJS, нацелен на чувствительные учетные данные, такие как ключи AWS и SSH, и осуществляет эксфильтрацию данных на сервер, замаскированный под инфраструктуру Azure. Самая последняя версия уникально реализует целевой фильтр для обеспечения активации только на определенных системах, а также использует манипуляции с DNS для скрытности при эксфильтрации данных.
-----

14 мая 2026 года в реестр npm были опубликованы три вредоносные версии библиотеки node-ipc — версии 9.1.6, 9.2.3 и 12.0.1 — каждая из которых содержала зашифрованный payload для кражи учетных данных. Атаку осуществил аккаунт maintainer atiertant, не имевший предыдущей истории, связанной с этим пакетом. Вредоносный payload размером около 80 КБ незаметно собирает более 90 категорий конфиденциальных учетных данных, включая учетные данные AWS, Azure, GCP, SSH-ключи и пароли баз данных. После загрузки скомпрометированной библиотеки с помощью функции require() payload выполняется и передает данные на сервер, контролируемый злоумышленником, который маскируется под инфраструктуру Azure.

Все скомпрометированные версии содержали идентичный CommonJS-пакет, что свидетельствовало об их принадлежности к скоординированной операции подготовки. Вредоносная нагрузка представляет собой немедленно вызываемое функциональное выражение (IIFE), которое активируется при загрузке модуля, обходя механизмы обнаружения, которые отслеживают только скрипты во время установки. В частности, это IIFE использует механизм загрузки модулей Node.js, что позволяет ему выполняться безупречно каждый раз, когда библиотека требуется, без дополнительных триггеров.

Версия 12.0.1 уникально реализует целевой фильтр, который выполняет проверку отпечатка SHA-256 пути модуля загрузчика. Эта мера гарантирует, что полезная нагрузка выполняется исключительно на системах, соответствующих предварительно вычисленному хешу, делая её неактивной во всех остальных средах. В отличие от этого, более ранние версии 9.x не имеют такого фильтра и выполняются независимо, что увеличивает потенциальное воздействие.

Полезная нагрузка является сложной и использует множество техник уклонения, таких как манипуляция с DNS-резолвером для обхода средств защиты и прямая эксфильтрация собранных данных. Атакующий использовал публичный DNS-резолвер и домен с опечаткой (sh.azurestaticprovider.net) для сокрытия своей активности, маскируя запросы на эксфильтрацию в рамках нормальных шаблонов трафика и предотвращая обнаружение с помощью стандартных методов DNS-логирования.

Последствия для безопасности значительны для разработчиков и сред CI/CD, в которых были установлены какие-либо из затронутых версий. Организациям рекомендуется немедленно ротировать любые учетные данные, которые могли присутствовать в течение периода использования скомпрометированных пакетов, особенно для сред, чувствительных к эксфильтрации учетных данных. Рекомендуется внедрить контроль исходящего трафика для ограничения исходящего трафика от CI/CD-раннеров к известным безопасным конечным точкам, а также провести аудит всех зарегистрированных действий на предмет необычного сетевого поведения или несанкционированного доступа.

Этот инцидент подчеркивает постоянную угрозу, исходящую от атак на Цепочка поставок, особенно тех, которые нацелены на спящие сторонние пакеты с высоким количеством загрузок. Он демонстрирует необходимость проактивных мер, таких как мониторинг вредоносных публикаций и строгие протоколы безопасности при управлении пакетами.

#ParsedReport #CompletenessLow
15-05-2026

Attackers replaced JDownloader installer downloads with malware

https://www.malwarebytes.com/blog/news/2026/05/attackers-replaced-jdownloader-installer-downloads-with-malware

Report completeness: Low

Victims:
Jdownloader users

ChatGPT TTPs:
do not use without manual check
T1195.002

IOCs:
Domain: 1

Soft:
Linux, macOS

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сайт JDownloader подвергся инциденту безопасности 6-7 мая 2026 года, в результате которого установщики для Windows и Linux были скомпрометированы троянской программой удаленного доступа (RAT) на базе Python, предоставившей злоумышленникам несанкционированный доступ к системам жертв. Пользователи, загрузившие эти установщики в указанный период, находились в зоне риска, тогда как те, кто обновил свое программное обеспечение, по сообщениям, не пострадали. Этот инцидент подчеркивает опасность загрузки программного обеспечения из скомпрометированных источников.
-----

6–7 мая 2026 года на веб-сайте JDownloader произошла утечка безопасности, приведшая к компрометации его установщика для Windows (Windows Download Alternative Installer) и установщика для Linux (Linux shell installer). Хотя другие варианты загрузки, включая macOS, JAR-файлы, Flatpak, Winget и Snap-пакеты, остались без изменений, пользователи, скачавшие эти скомпрометированные установщики в ходе инцидента, оказались в зоне риска. Ключевым вредоносным компонентом, внедренным в эти установщики, стала троянская программа для удаленного доступа (RAT) на базе Python, которая позволяла злоумышленникам получать несанкционированный доступ к системам жертв.

Пользователи, которые применили обновления в течение этого периода, reportedly не пострадали от вредоносного ПО. Это подчеркивает важность своевременных обновлений, но также указывает на риски, связанные с загрузкой программного обеспечения из скомпрометированных источников. Для смягчения потенциальных угроз рекомендуется выполнять полное сканирование системы с помощью надежных решений по борьбе с вредоносным ПО, что может помочь в обнаружении и нейтрализации таких угроз. В ответ на этот инцидент Malwarebytes предпринял меры по блокировке доменов, связанных с RAT, тем самым обеспечив дополнительный уровень защиты для своих пользователей от этой конкретной угрозы.

#ParsedReport #CompletenessLow
15-05-2026

Sorry ransomware exploits cPanel authentication bypass

https://www.threatlocker.com/blog/sorry-ransomware-exploits-cpanel-authentication-bypass

Report completeness: Low

Victims:
Web servers, Linux servers, Web hosting

Industry:
Healthcare, Education

CVEs:
CVE-2026-41940 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cpanel (<86.0.41, <110.0.97, <118.0.63, <124.0.35, <126.0.54)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1018, T1021.004, T1033, T1046, T1070.004, T1082, T1083, T1105, T1110.001, have more...

IOCs:
File: 7
IP: 1

Soft:
cPanel, Linux, postgresql, mariadb, redis, mysql, onenote, outlook, steam, ubuntu, have more...

Algorithms:
aes, aes-gcm, md5, base64

Win Services:
dbeng50, dbsnmp, infopath, mydesktopqos, mydesktopservice, ocautoupds, ocomm, ocssd, powerpnt, sqbcoreservice, have more...

Languages:
golang

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогателей Sorry использует уязвимость CVE-2026-41940 в cPanel критического уровня, которая позволяет осуществлять атаки с внедрением символов возврата каретки и перевода строки (CRLF) для обхода аутентификации на определенных версиях серверов Linux. Злоумышленники формируют запросы авторизации с закодированными символами CRLF для манипуляции файлами сессий, получая доступ к учетной записи root и развертывая вымогатель, написанный на языке Golang, который нацелен на системы Linux. Вымогатель использует некорректный механизм мьютекса и применяет шифрование RSA и AES, распространяясь по локальным SSH-соединениям с помощью атак брутфорс на известные хосты.
-----

Группа вымогательского ПО Sorry стала значительной угрозой, эксплуатируя критическую уязвимость в cPanel, идентифицированную как CVE-2026-41940. Эта уязвимость позволяет злоумышленнику использовать атаку с инъекцией CRLF (Carriage Return Line Feed), что дает возможность обойти аутентификацию на серверах Linux, работающих под управлением определенных версий cPanel/WHM. В частности, уязвимыми являются версии начиная с выпуска 11.42 и последующих версий, исправленных 1 мая 2026 года, которые не обеспечивают надлежащую очистку входных данных.

Процесс эксплуатации начинается, когда злоумышленники отправляют специально сформированный запрос авторизации, содержащий закодированные символы CRLF. Эти символы не удаляются из полей ввода, что приводит к несанкционированной записи файлов сеанса, которыми можно манипулировать. С помощью сформированного запроса GET, не содержащего токен безопасности, злоумышленники могут активировать различные потоки управления, позволяющие внедрять вредоносные значения в файлы сеанса. Это приводит к обходу проверок аутентификации, предназначенных для защиты системы, и фактически предоставляет злоумышленникам доступ с правами root.

Получив доступ, злоумышленники развертывают ransomware Sorry, написанный на Golang и предназначенный для целевой атаки на системы Linux. Ransomware создает файл блокировки в директории /tmp в качестве мьютекса выполнения, который призван предотвращать одновременный запуск нескольких экземпляров. Однако механизм мьютекса работает некорректно, что позволяет запускать несколько экземпляров одновременно, что может привести к сбоям в процессе шифрования.

Шифровальщик инициирует создание уникального идентификатора жертвы и устанавливает связь с инфраструктурой управления. Он выполняет шифрование с использованием многоуровневого подхода — сначала генерирует пару ключей RSA, а затем применяет шифрование AES для целевых файлов. Шифровальщик целенаправленно воздействует на каталоги, начиная с корневых, отдавая приоритет определенным типам файлов, таким как документы и базы данных, прежде чем расширить область воздействия на другие типы файлов.

Более того, ransomware Sorry активно стремится распространяться через локальные SSH-соединения, используя систематическую методологию атаки. ВПО сканирует наличие SSH-сервисов и выполняет брутфорс-атаку по словарю против известных хостов, пытаясь получить доступ с использованием стандартных имен пользователей и паролей. Успешные подключения приводят к заражению этих хостов, позволяя ВПО размножаться и распространяться дальше.

Кампания подчеркивает критическую важность своевременного обновления патчей и бдительности в отношении уязвимостей. Быстрые темпы, с которыми ransomware Sorry использует вновь обнаруженные уязвимости, выделяют серьезную угрозу для организаций, которые могут не обеспечивать надлежащую защиту своих систем или своевременно обновлять уязвимое программное обеспечение, что приводит к потенциальному массовому шифрованию и потере данных.