#ParsedReport #CompletenessLow
15-05-2026

Attackers replaced JDownloader installer downloads with malware

https://www.malwarebytes.com/blog/news/2026/05/attackers-replaced-jdownloader-installer-downloads-with-malware

Report completeness: Low

Victims:
Jdownloader users

ChatGPT TTPs:
do not use without manual check
T1195.002

IOCs:
Domain: 1

Soft:
Linux, macOS

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сайт JDownloader подвергся инциденту безопасности 6-7 мая 2026 года, в результате которого установщики для Windows и Linux были скомпрометированы троянской программой удаленного доступа (RAT) на базе Python, предоставившей злоумышленникам несанкционированный доступ к системам жертв. Пользователи, загрузившие эти установщики в указанный период, находились в зоне риска, тогда как те, кто обновил свое программное обеспечение, по сообщениям, не пострадали. Этот инцидент подчеркивает опасность загрузки программного обеспечения из скомпрометированных источников.
-----

6–7 мая 2026 года на веб-сайте JDownloader произошла утечка безопасности, приведшая к компрометации его установщика для Windows (Windows Download Alternative Installer) и установщика для Linux (Linux shell installer). Хотя другие варианты загрузки, включая macOS, JAR-файлы, Flatpak, Winget и Snap-пакеты, остались без изменений, пользователи, скачавшие эти скомпрометированные установщики в ходе инцидента, оказались в зоне риска. Ключевым вредоносным компонентом, внедренным в эти установщики, стала троянская программа для удаленного доступа (RAT) на базе Python, которая позволяла злоумышленникам получать несанкционированный доступ к системам жертв.

Пользователи, которые применили обновления в течение этого периода, reportedly не пострадали от вредоносного ПО. Это подчеркивает важность своевременных обновлений, но также указывает на риски, связанные с загрузкой программного обеспечения из скомпрометированных источников. Для смягчения потенциальных угроз рекомендуется выполнять полное сканирование системы с помощью надежных решений по борьбе с вредоносным ПО, что может помочь в обнаружении и нейтрализации таких угроз. В ответ на этот инцидент Malwarebytes предпринял меры по блокировке доменов, связанных с RAT, тем самым обеспечив дополнительный уровень защиты для своих пользователей от этой конкретной угрозы.

#ParsedReport #CompletenessLow
15-05-2026

Sorry ransomware exploits cPanel authentication bypass

https://www.threatlocker.com/blog/sorry-ransomware-exploits-cpanel-authentication-bypass

Report completeness: Low

Victims:
Web servers, Linux servers, Web hosting

Industry:
Healthcare, Education

CVEs:
CVE-2026-41940 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cpanel (<86.0.41, <110.0.97, <118.0.63, <124.0.35, <126.0.54)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1018, T1021.004, T1033, T1046, T1070.004, T1082, T1083, T1105, T1110.001, have more...

IOCs:
File: 7
IP: 1

Soft:
cPanel, Linux, postgresql, mariadb, redis, mysql, onenote, outlook, steam, ubuntu, have more...

Algorithms:
aes, aes-gcm, md5, base64

Win Services:
dbeng50, dbsnmp, infopath, mydesktopqos, mydesktopservice, ocautoupds, ocomm, ocssd, powerpnt, sqbcoreservice, have more...

Languages:
golang

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогателей Sorry использует уязвимость CVE-2026-41940 в cPanel критического уровня, которая позволяет осуществлять атаки с внедрением символов возврата каретки и перевода строки (CRLF) для обхода аутентификации на определенных версиях серверов Linux. Злоумышленники формируют запросы авторизации с закодированными символами CRLF для манипуляции файлами сессий, получая доступ к учетной записи root и развертывая вымогатель, написанный на языке Golang, который нацелен на системы Linux. Вымогатель использует некорректный механизм мьютекса и применяет шифрование RSA и AES, распространяясь по локальным SSH-соединениям с помощью атак брутфорс на известные хосты.
-----

Группа вымогательского ПО Sorry стала значительной угрозой, эксплуатируя критическую уязвимость в cPanel, идентифицированную как CVE-2026-41940. Эта уязвимость позволяет злоумышленнику использовать атаку с инъекцией CRLF (Carriage Return Line Feed), что дает возможность обойти аутентификацию на серверах Linux, работающих под управлением определенных версий cPanel/WHM. В частности, уязвимыми являются версии начиная с выпуска 11.42 и последующих версий, исправленных 1 мая 2026 года, которые не обеспечивают надлежащую очистку входных данных.

Процесс эксплуатации начинается, когда злоумышленники отправляют специально сформированный запрос авторизации, содержащий закодированные символы CRLF. Эти символы не удаляются из полей ввода, что приводит к несанкционированной записи файлов сеанса, которыми можно манипулировать. С помощью сформированного запроса GET, не содержащего токен безопасности, злоумышленники могут активировать различные потоки управления, позволяющие внедрять вредоносные значения в файлы сеанса. Это приводит к обходу проверок аутентификации, предназначенных для защиты системы, и фактически предоставляет злоумышленникам доступ с правами root.

Получив доступ, злоумышленники развертывают ransomware Sorry, написанный на Golang и предназначенный для целевой атаки на системы Linux. Ransomware создает файл блокировки в директории /tmp в качестве мьютекса выполнения, который призван предотвращать одновременный запуск нескольких экземпляров. Однако механизм мьютекса работает некорректно, что позволяет запускать несколько экземпляров одновременно, что может привести к сбоям в процессе шифрования.

Шифровальщик инициирует создание уникального идентификатора жертвы и устанавливает связь с инфраструктурой управления. Он выполняет шифрование с использованием многоуровневого подхода — сначала генерирует пару ключей RSA, а затем применяет шифрование AES для целевых файлов. Шифровальщик целенаправленно воздействует на каталоги, начиная с корневых, отдавая приоритет определенным типам файлов, таким как документы и базы данных, прежде чем расширить область воздействия на другие типы файлов.

Более того, ransomware Sorry активно стремится распространяться через локальные SSH-соединения, используя систематическую методологию атаки. ВПО сканирует наличие SSH-сервисов и выполняет брутфорс-атаку по словарю против известных хостов, пытаясь получить доступ с использованием стандартных имен пользователей и паролей. Успешные подключения приводят к заражению этих хостов, позволяя ВПО размножаться и распространяться дальше.

Кампания подчеркивает критическую важность своевременного обновления патчей и бдительности в отношении уязвимостей. Быстрые темпы, с которыми ransomware Sorry использует вновь обнаруженные уязвимости, выделяют серьезную угрозу для организаций, которые могут не обеспечивать надлежащую защиту своих систем или своевременно обновлять уязвимое программное обеспечение, что приводит к потенциальному массовому шифрованию и потере данных.

#ParsedReport #CompletenessMedium
15-05-2026

INPS-themed smishing: fake fuel bonus

https://cert-agid.gov.it/news/smishing-a-tema-inps-falso-bonus-carburante/

Report completeness: Medium

Actors/Campaigns:
Fuel_bonus (motivation: information_theft)

Threats:
Smishing_technique
Darcula_tool

Victims:
Public administration, Social security

Industry:
Petroleum

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1056.003, T1132.001, T1566.002

IOCs:
Domain: 14
Url: 44

Algorithms:
base64, zip

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CERT-AGID выявил кампании смишинга с использованием бренда INPS для обмана жертв с целью получения информации об их кредитных картах под предлогом предоставления субсидий на топливо. Жертвы получают SMS-сообщения, в которых их призывают подать заявку на субсидию в размере 300 евро через мошеннический веб-сайт, имитирующий мобильный интерфейс INPS, при этом для многоэтапных фишинговых тактик используется платформа Фишинг как услуга Darcula. Вредоносный JavaScript был зашифрован, а украденные данные отправляются безопасно через зашифрованные POST-запросы, что указывает на продуманные усилия по защите информации от перехвата.
-----

CERT-AGID выявил новые кампании смишинга, использующие бренд INPS (Итальянский национальный институт социального обеспечения) для обмана жертв с целью заставить их перейти по ссылкам, предлагающим субсидии на топливо. Эти сообщения якобы предоставляют финансовую помощь из-за роста цен на топливо и в конечном итоге направлены на сбор информации о кредитных картах для несанкционированных транзакций.

Жертвы получают SMS-сообщение, имитирующее коммуникации от INPS, в котором ложно утверждается, что они имеют право на топливную субсидию в размере 300 евро. Сообщение создает ощущение срочности, указывая дату подачи заявки 16 мая 2026 года, что побуждает получателей перейти по вредоносной ссылке. При переходе пользователи направляются на мошеннический веб-сайт, который визуально напоминает официальный мобильный интерфейс INPS, специально разработанный для доступа со смартфонов и предназначенный для сбора персональных данных под видом заявки на компенсацию.

Анализ техник, использованных в этой смишинг-мошеннической схеме, указывает на участие платформы Фишинг как услуга (PHaaS), известной как Darcula. Этот фреймворк известен своими мобильно-ориентированными многоэтапными фишинг-комплектами, направленными на извлечение конфиденциальной личной и финансовой информации. Анализ показал, что компоненты JavaScript, связанные с мошеннической схемой, были зашифрованы, что является общей характеристикой, ассоциируемой с более сложным поведением ВПО. После дешифровки код показал элементы, относящиеся к экосистеме Darcula.

Кроме того, обработка данных, собранных с жертв, осуществляется по определённому методу: похищенная информация передаётся в POST-запросах и шифруется с использованием схемы на основе пароля и соли, после чего кодируется в Base64 перед отправкой. Такой уровень технической сложности свидетельствует о целенаправленных усилиях по сокрытию истинной природы данных и их защите от перехвата во время передачи.

В ответ на эти угрозы CERT-AGID предпринял проактивные меры, уведомив отдел ИТ-безопасности INPS, обратившись к регистраторам с требованием удалить вредоносные домены и распространив индикаторы компрометации, чтобы помочь организациям снизить риски, связанные с этой кампанией смишинг.

#ParsedReport #CompletenessMedium
15-05-2026

Welcome to BlackFile: Inside a Vishing Extortion Operation

https://cloud.google.com/blog/topics/threat-intelligence/blackfile-vishing-extortion-operation/

Report completeness: Medium

Actors/Campaigns:
Cordial_spider (motivation: information_theft)
Shinyhunters
Unc6240

Threats:
Aitm_technique
Credential_harvesting_technique

Industry:
Government

Geo:
America, Australia

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1020, T1036, T1059.001, T1059.006, T1078.004, T1083, T1087.004, T1090.002, T1114.002, T1119, have more...

IOCs:
IP: 1
File: 3

Soft:
Zendesk, Salesforce, Microsoft Office, Gmail, ServiceNow, Microsoft Teams, Microsoft Defender, Outlook

Functions:
as

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка UNC6671, также известная как BlackFile, использует голосовой фишинг (vishing) для атак на организации, использующие Microsoft 365 и Okta, применяя техники «противник посередине» (AiTM) для обхода таких мер безопасности, как многофакторная аутентификация. Первоначальный доступ осуществляется через телефонные звонки с социальной инженерией к сотрудникам, что приводит к сбору учетных записей и последующей эксфильтрации конфиденциальных данных с помощью автоматизированных скриптов. Группировка демонстрирует гибкое перемещение внутри компании по платформам SaaS и использует агрессивные тактики вымогательства, включая целевые сообщения с требованием выкупа и спам, что подчеркивает эволюционный характер угроз кибервымогательства.
-----

UNC6671, известный как BlackFile, атакует инфраструктуры Microsoft 365 и Okta, используя техники голосового фишинга (vishing).

Группа использует стратегии «злоумышленник посередине» (AiTM) для обхода многофакторной аутентификации (MFA) и мер безопасности.

Скрипты на Python и PowerShell используются для эффективной эксфильтрации конфиденциальных корпоративных данных из облачных сред.

Первоначальный доступ осуществляется посредством целевых фишинговых звонков, в ходе которых злоумышленники выдают себя за службу технической поддержки, чтобы обманом вынудить сотрудников раскрыть учетные данные.

Жертв перенаправляют на сайты для сбора учетных записей, которые выглядят достоверными благодаря использованию поддоменов.

После проникновения внутрь UNC6671 использует функции единого входа (SSO) для доступа к таким приложениям, как SharePoint и OneDrive.

Группа специализируется на перемещении внутри компании через платформы SaaS, фокусируясь на ценных данных, включая конфиденциальные документы и электронные письма.

Автоматизированные скрипты используются для эксфильтрации данных, с использованием легитимных сессионных файлов cookie, полученных в ходе фишинга по телефону (vishing).

Криминалистический анализ выявляет аномалии в журналах доступа, такие как несоответствия User-Agent, указывающие на скриптовую активность.

После кражи данных UNC6671 отправляет вымогательские записки со строгими сроками и эскалирует угрозы через целевые коммуникации.

Модель вымогательства включает агрессивные тактики последующего давления, такие как спам-кампании и угрожающие голосовые сообщения, с целью оказания давления на жертв.

Несмотря на закрытие своего сайта для утечки данных, тактика UNC6671 отражает эволюционирующие методы киберэкстремизма, делая акцент на краже данных из облачных сервисов.

Организациям рекомендуется усилить защитные меры, включая защиту учетных данных и решения многофакторной аутентификации (MFA), устойчивые к фишингу, для противодействия угрозам, ориентированным на идентификацию.

#ParsedReport #CompletenessLow
15-05-2026

Gremlin Stealer's Evolved Tactics: Hiding in Plain Sight With Resource Files

https://unit42.paloaltonetworks.com/gremlin-stealer-evolution/

Report completeness: Low

Threats:
Gremlin_stealer
Agent_tesla
Cloudeye
Loki_bot
Quasar_rat

Victims:
Financial services, Cryptocurrency users, Communication platforms, Web browser users

ChatGPT TTPs:
do not use without manual check
T1005, T1027.002, T1027.013, T1071.001, T1115, T1140, T1185, T1528, T1560

IOCs:
Hash: 11
File: 3
Url: 1

Soft:
Telegram, Discord

Algorithms:
sha256, zip, xor

Functions:
a, c

Languages:
csharp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ВПО-стилер Gremlin эволюционировал, получив улучшенные методы обфускации и скрытности, теперь он использует передовые утилиты упаковки и виртуализацию инструкций, что трансформирует его код для обхода инструментов статического анализа. Эта вариация нацелена на сбор конфиденциальной информации из веб-браузеров, буфера обмена и локального хранилища, эксфильтрация данных осуществляется через новые серверы управления (command-and-control) с использованием ZIP-архивов для передачи. Примечательно, что его возможности включают перехват сессий через WebSocket и функцию крипто-клиппера, которая манипулирует данными из буфера обмена (Clipboard Data) во время криптовалютных транзакций, что подчеркивает его сложную и многогранную природу угрозы.
-----

Вредоносное ПО Gremlin stealer значительно эволюционировало в тактиках, особенно в области обфускации и методов скрытности. Недавний анализ выявил, что новый вариант этого ВПО использует передовые утилиты упаковки, которые включают виртуализацию инструкций, преобразующую традиционный код в уникальный байт-код. Этот инновационный подход, в сочетании с внедрением вредоносной полезной нагрузки в раздел ресурсов .NET, позволяет ему избегать обнаружения инструментами статического анализа. Полезная нагрузка защищена через XOR-кодирование, что усложняет её распознавание методами обнаружения на основе сигнатур.

Этот последний вариант нацелен на конфиденциальную информацию на различных платформах, особенно на веб-браузеры, системный буфер обмена и локальное хранилище. Он установил связь с новым сервером управления, который в настоящее время не обнаружен на основных платформах разведки угроз. Stealer Gremlin компилирует похищенные данные в ZIP-архивы, названные в соответствии с публичным IP-адресом жертвы, и загружает эту информацию на сайт, контролируемый злоумышленником.

Сравнительно, недавние версии Gremlin stealer демонстрируют значительное усиление возможностей противодействия анализу. Более старые версии не обладали сложными стратегиями обфускации, которые применяются сейчас. ВПО превратилось в модульный набор инструментов с расширенными возможностями, такими как выделенный модуль для извлечения токенов Discord, что указывает на смещение фокуса на цифровые идентичности. Дальнейшие улучшения включают активный компонент финансового мошенничества, известный как криптоклиппер, который отслеживает системный буфер обмена на наличие адресов криптовалютных кошельков и заменяет их в реальном времени на кошелек атакующего во время транзакций.

Значительным улучшением является возможность перехвата сессий на основе WebSocket, позволяющая Gremlin stealer захватывать контроль над активными сессиями браузера и обходить текущие защиты на основе cookie. Такие усовершенствования подчеркивают сложные методы, применяемые для обхода современных мер безопасности.

Использование коммерческого упаковщика дополнительно демонстрирует сложность вредоносного ПО. Кодируя критические строки и применяя функцию декодирования, оно обеспечивает скрытие ключевых идентификаторов и URL-адресов, тем самым препятствуя простым попыткам статического анализа. Аналитики вынуждены применять динамический анализ для расшифровки реальных намерений ВПО.

В конечном итоге эволюция Gremlin stealer демонстрирует переход от простого инструмента кражи учетных данных к многогранной угрозе, которая активно занимается финансовым мошенничеством и перехватом сессий. Нацеливаясь на современные платформы связи и применяя передовые техники уклонения, Gremlin stealer представляет повышенный риск для пользователей, что требует бдительности и усиления защиты от таких развивающихся угроз.

#ParsedReport #CompletenessMedium
15-05-2026

TeamPCP supply chain attack hits TanStack

https://www.threatlocker.com/blog/teampcp-supply-chain-attack-hits-tanstack

Report completeness: Medium

Actors/Campaigns:
Teampcp
Mini_shai-hulud

Threats:
Supply_chain_technique
Credential_stealing_technique
Shai-hulud

Victims:
Tanstack, Npm, Pypi, Software development

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1027, T1036, T1059.007, T1071.001, T1195.001, T1195.002, T1485, T1528, T1543.001, have more...

IOCs:
File: 10
Hash: 4
Domain: 6
Url: 3
IP: 1

Soft:
TanStack, Anthropic, claude, Kubernetes, Linux, macOS, HashiCorp Vault

Algorithms:
sha256, pbkdf2

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
11 мая 2026 года атака на цепочку поставок со стороны TeamPCP на TanStack скомпрометировала 84 вредоносные версии пакетов npm через ряд уязвимостей в конвейере CI/CD, эксплуатируя GitHub Actions с использованием функции pull_request_target и отравления кэша. Атака включала подготовку вредоносного payloads для избежания обнаружения и выполнение червя, крадущего учетные данные, известного как Mini Shai-Hulud, который распространял свои копии через захваченные права публикации и захватывал конфиденциальную информацию разработчиков. Червь поддерживал закрепление с помощью различных системных методов, создавая серьезные риски для затронутых сред.
-----

11 мая 2026 года значительная атака на Цепочку поставок, приписываемая TeamPCP, затронула TanStack, скомпрометировав 84 вредоносных версии 42 пакетов npm. Эта атака использовала функцию pull_request_target в GitHub Actions без изменения рабочего процесса публикации или прямого кражи токенов npm. Вместо этого она выполнила сложную цепочку из трех уязвимостей в конвейере Continuous Integration/Continuous Deployment (CI/CD): злоупотребление триггером pull_request_target, отравление кэша в рамках GitHub Actions и извлечение токена OIDC из памяти исполнителя GitHub Actions.

Атака началась с размещения вредоносного кода в коммите внутри форка TanStack/router, созданного злоумышленником. Этот форк был разработан для обхода обнаружения, используя префикс "skip ci" для предотвращения выполнения автоматизированных процессов непрерывной интеграции при отправке изменений. Открывая запрос на слияние (pull request) в основной репозиторий, атакующий использовал контекст безопасности репозитория для выполнения вредоносного кода.

Следующий этап включал эксплуатацию кэша, где манипулированный кэш намеренно изменял pnpm-store. Этот кэш затем сохранялся и впоследствии восстанавливался во время следующего легитимного запуска рабочего процесса, что позволяло публиковать вредоносные пакеты с действительной провенансностью SLSA Build Level 3. Они передавались в реестр npm с использованием украденных OIDC-токенов, обходя регулярные проверки безопасности и выглядя как легитимные действия публикации.

Червь для кражи учетных данных Mini Shai-Hulud, являющийся эволюцией более ранних атак Shai-Hulud, стал основным полезным нагрузкой. Передача этого червя опиралась на использование перехваченных прав публикации для распространения дополнительных вредоносных версий пакетов, что способствовало его распространению в доверенных экосистемах. Он имеет продвинутый механизм захвата конфиденциальной информации — включая токены разработчиков и секреты рабочих процессов CI/CD — путем создания публичных репозиториев GitHub с вводящими в заблуждение описаниями.

Для поддержания закрепления червь использует различные техники, включая развертывание скриптов в определенных каталогах на затронутых системах и настройку macOS LaunchAgents и Linux systemd-сервисов. При обнаружении отзыва токенов эти скрипты могут запускать деструктивные действия, такие как удаление домашнего каталога пользователя. Затронутые системы следует считать полностью скомпрометированными; рекомендуется немедленный отзыв любых раскрытых секретов и удаление механизмов закрепления для снижения дальнейших рисков.

#ParsedReport #CompletenessLow
15-05-2026

Malicious Homebrew ads are spreading MacSync stealer

https://moonlock.com/homebrew-ads-spreading-macsync

Report completeness: Low

Threats:
Macc_stealer
Clickfix_technique

Victims:
Mac users, Cryptocurrency

ChatGPT TTPs:
do not use without manual check
T1036, T1059.004, T1105, T1204.001, T1204.004, T1548.004

IOCs:
Domain: 1
Url: 3

Soft:
Claude, macOS

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4