#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогателей Sorry использует уязвимость CVE-2026-41940 в cPanel критического уровня, которая позволяет осуществлять атаки с внедрением символов возврата каретки и перевода строки (CRLF) для обхода аутентификации на определенных версиях серверов Linux. Злоумышленники формируют запросы авторизации с закодированными символами CRLF для манипуляции файлами сессий, получая доступ к учетной записи root и развертывая вымогатель, написанный на языке Golang, который нацелен на системы Linux. Вымогатель использует некорректный механизм мьютекса и применяет шифрование RSA и AES, распространяясь по локальным SSH-соединениям с помощью атак брутфорс на известные хосты.
-----

Группа вымогательского ПО Sorry стала значительной угрозой, эксплуатируя критическую уязвимость в cPanel, идентифицированную как CVE-2026-41940. Эта уязвимость позволяет злоумышленнику использовать атаку с инъекцией CRLF (Carriage Return Line Feed), что дает возможность обойти аутентификацию на серверах Linux, работающих под управлением определенных версий cPanel/WHM. В частности, уязвимыми являются версии начиная с выпуска 11.42 и последующих версий, исправленных 1 мая 2026 года, которые не обеспечивают надлежащую очистку входных данных.

Процесс эксплуатации начинается, когда злоумышленники отправляют специально сформированный запрос авторизации, содержащий закодированные символы CRLF. Эти символы не удаляются из полей ввода, что приводит к несанкционированной записи файлов сеанса, которыми можно манипулировать. С помощью сформированного запроса GET, не содержащего токен безопасности, злоумышленники могут активировать различные потоки управления, позволяющие внедрять вредоносные значения в файлы сеанса. Это приводит к обходу проверок аутентификации, предназначенных для защиты системы, и фактически предоставляет злоумышленникам доступ с правами root.

Получив доступ, злоумышленники развертывают ransomware Sorry, написанный на Golang и предназначенный для целевой атаки на системы Linux. Ransomware создает файл блокировки в директории /tmp в качестве мьютекса выполнения, который призван предотвращать одновременный запуск нескольких экземпляров. Однако механизм мьютекса работает некорректно, что позволяет запускать несколько экземпляров одновременно, что может привести к сбоям в процессе шифрования.

Шифровальщик инициирует создание уникального идентификатора жертвы и устанавливает связь с инфраструктурой управления. Он выполняет шифрование с использованием многоуровневого подхода — сначала генерирует пару ключей RSA, а затем применяет шифрование AES для целевых файлов. Шифровальщик целенаправленно воздействует на каталоги, начиная с корневых, отдавая приоритет определенным типам файлов, таким как документы и базы данных, прежде чем расширить область воздействия на другие типы файлов.

Более того, ransomware Sorry активно стремится распространяться через локальные SSH-соединения, используя систематическую методологию атаки. ВПО сканирует наличие SSH-сервисов и выполняет брутфорс-атаку по словарю против известных хостов, пытаясь получить доступ с использованием стандартных имен пользователей и паролей. Успешные подключения приводят к заражению этих хостов, позволяя ВПО размножаться и распространяться дальше.

Кампания подчеркивает критическую важность своевременного обновления патчей и бдительности в отношении уязвимостей. Быстрые темпы, с которыми ransomware Sorry использует вновь обнаруженные уязвимости, выделяют серьезную угрозу для организаций, которые могут не обеспечивать надлежащую защиту своих систем или своевременно обновлять уязвимое программное обеспечение, что приводит к потенциальному массовому шифрованию и потере данных.

#ParsedReport #CompletenessMedium
15-05-2026

INPS-themed smishing: fake fuel bonus

https://cert-agid.gov.it/news/smishing-a-tema-inps-falso-bonus-carburante/

Report completeness: Medium

Actors/Campaigns:
Fuel_bonus (motivation: information_theft)

Threats:
Smishing_technique
Darcula_tool

Victims:
Public administration, Social security

Industry:
Petroleum

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1056.003, T1132.001, T1566.002

IOCs:
Domain: 14
Url: 44

Algorithms:
base64, zip

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CERT-AGID выявил кампании смишинга с использованием бренда INPS для обмана жертв с целью получения информации об их кредитных картах под предлогом предоставления субсидий на топливо. Жертвы получают SMS-сообщения, в которых их призывают подать заявку на субсидию в размере 300 евро через мошеннический веб-сайт, имитирующий мобильный интерфейс INPS, при этом для многоэтапных фишинговых тактик используется платформа Фишинг как услуга Darcula. Вредоносный JavaScript был зашифрован, а украденные данные отправляются безопасно через зашифрованные POST-запросы, что указывает на продуманные усилия по защите информации от перехвата.
-----

CERT-AGID выявил новые кампании смишинга, использующие бренд INPS (Итальянский национальный институт социального обеспечения) для обмана жертв с целью заставить их перейти по ссылкам, предлагающим субсидии на топливо. Эти сообщения якобы предоставляют финансовую помощь из-за роста цен на топливо и в конечном итоге направлены на сбор информации о кредитных картах для несанкционированных транзакций.

Жертвы получают SMS-сообщение, имитирующее коммуникации от INPS, в котором ложно утверждается, что они имеют право на топливную субсидию в размере 300 евро. Сообщение создает ощущение срочности, указывая дату подачи заявки 16 мая 2026 года, что побуждает получателей перейти по вредоносной ссылке. При переходе пользователи направляются на мошеннический веб-сайт, который визуально напоминает официальный мобильный интерфейс INPS, специально разработанный для доступа со смартфонов и предназначенный для сбора персональных данных под видом заявки на компенсацию.

Анализ техник, использованных в этой смишинг-мошеннической схеме, указывает на участие платформы Фишинг как услуга (PHaaS), известной как Darcula. Этот фреймворк известен своими мобильно-ориентированными многоэтапными фишинг-комплектами, направленными на извлечение конфиденциальной личной и финансовой информации. Анализ показал, что компоненты JavaScript, связанные с мошеннической схемой, были зашифрованы, что является общей характеристикой, ассоциируемой с более сложным поведением ВПО. После дешифровки код показал элементы, относящиеся к экосистеме Darcula.

Кроме того, обработка данных, собранных с жертв, осуществляется по определённому методу: похищенная информация передаётся в POST-запросах и шифруется с использованием схемы на основе пароля и соли, после чего кодируется в Base64 перед отправкой. Такой уровень технической сложности свидетельствует о целенаправленных усилиях по сокрытию истинной природы данных и их защите от перехвата во время передачи.

В ответ на эти угрозы CERT-AGID предпринял проактивные меры, уведомив отдел ИТ-безопасности INPS, обратившись к регистраторам с требованием удалить вредоносные домены и распространив индикаторы компрометации, чтобы помочь организациям снизить риски, связанные с этой кампанией смишинг.

#ParsedReport #CompletenessMedium
15-05-2026

Welcome to BlackFile: Inside a Vishing Extortion Operation

https://cloud.google.com/blog/topics/threat-intelligence/blackfile-vishing-extortion-operation/

Report completeness: Medium

Actors/Campaigns:
Cordial_spider (motivation: information_theft)
Shinyhunters
Unc6240

Threats:
Aitm_technique
Credential_harvesting_technique

Industry:
Government

Geo:
America, Australia

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1020, T1036, T1059.001, T1059.006, T1078.004, T1083, T1087.004, T1090.002, T1114.002, T1119, have more...

IOCs:
IP: 1
File: 3

Soft:
Zendesk, Salesforce, Microsoft Office, Gmail, ServiceNow, Microsoft Teams, Microsoft Defender, Outlook

Functions:
as

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка UNC6671, также известная как BlackFile, использует голосовой фишинг (vishing) для атак на организации, использующие Microsoft 365 и Okta, применяя техники «противник посередине» (AiTM) для обхода таких мер безопасности, как многофакторная аутентификация. Первоначальный доступ осуществляется через телефонные звонки с социальной инженерией к сотрудникам, что приводит к сбору учетных записей и последующей эксфильтрации конфиденциальных данных с помощью автоматизированных скриптов. Группировка демонстрирует гибкое перемещение внутри компании по платформам SaaS и использует агрессивные тактики вымогательства, включая целевые сообщения с требованием выкупа и спам, что подчеркивает эволюционный характер угроз кибервымогательства.
-----

UNC6671, известный как BlackFile, атакует инфраструктуры Microsoft 365 и Okta, используя техники голосового фишинга (vishing).

Группа использует стратегии «злоумышленник посередине» (AiTM) для обхода многофакторной аутентификации (MFA) и мер безопасности.

Скрипты на Python и PowerShell используются для эффективной эксфильтрации конфиденциальных корпоративных данных из облачных сред.

Первоначальный доступ осуществляется посредством целевых фишинговых звонков, в ходе которых злоумышленники выдают себя за службу технической поддержки, чтобы обманом вынудить сотрудников раскрыть учетные данные.

Жертв перенаправляют на сайты для сбора учетных записей, которые выглядят достоверными благодаря использованию поддоменов.

После проникновения внутрь UNC6671 использует функции единого входа (SSO) для доступа к таким приложениям, как SharePoint и OneDrive.

Группа специализируется на перемещении внутри компании через платформы SaaS, фокусируясь на ценных данных, включая конфиденциальные документы и электронные письма.

Автоматизированные скрипты используются для эксфильтрации данных, с использованием легитимных сессионных файлов cookie, полученных в ходе фишинга по телефону (vishing).

Криминалистический анализ выявляет аномалии в журналах доступа, такие как несоответствия User-Agent, указывающие на скриптовую активность.

После кражи данных UNC6671 отправляет вымогательские записки со строгими сроками и эскалирует угрозы через целевые коммуникации.

Модель вымогательства включает агрессивные тактики последующего давления, такие как спам-кампании и угрожающие голосовые сообщения, с целью оказания давления на жертв.

Несмотря на закрытие своего сайта для утечки данных, тактика UNC6671 отражает эволюционирующие методы киберэкстремизма, делая акцент на краже данных из облачных сервисов.

Организациям рекомендуется усилить защитные меры, включая защиту учетных данных и решения многофакторной аутентификации (MFA), устойчивые к фишингу, для противодействия угрозам, ориентированным на идентификацию.

#ParsedReport #CompletenessLow
15-05-2026

Gremlin Stealer's Evolved Tactics: Hiding in Plain Sight With Resource Files

https://unit42.paloaltonetworks.com/gremlin-stealer-evolution/

Report completeness: Low

Threats:
Gremlin_stealer
Agent_tesla
Cloudeye
Loki_bot
Quasar_rat

Victims:
Financial services, Cryptocurrency users, Communication platforms, Web browser users

ChatGPT TTPs:
do not use without manual check
T1005, T1027.002, T1027.013, T1071.001, T1115, T1140, T1185, T1528, T1560

IOCs:
Hash: 11
File: 3
Url: 1

Soft:
Telegram, Discord

Algorithms:
sha256, zip, xor

Functions:
a, c

Languages:
csharp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ВПО-стилер Gremlin эволюционировал, получив улучшенные методы обфускации и скрытности, теперь он использует передовые утилиты упаковки и виртуализацию инструкций, что трансформирует его код для обхода инструментов статического анализа. Эта вариация нацелена на сбор конфиденциальной информации из веб-браузеров, буфера обмена и локального хранилища, эксфильтрация данных осуществляется через новые серверы управления (command-and-control) с использованием ZIP-архивов для передачи. Примечательно, что его возможности включают перехват сессий через WebSocket и функцию крипто-клиппера, которая манипулирует данными из буфера обмена (Clipboard Data) во время криптовалютных транзакций, что подчеркивает его сложную и многогранную природу угрозы.
-----

Вредоносное ПО Gremlin stealer значительно эволюционировало в тактиках, особенно в области обфускации и методов скрытности. Недавний анализ выявил, что новый вариант этого ВПО использует передовые утилиты упаковки, которые включают виртуализацию инструкций, преобразующую традиционный код в уникальный байт-код. Этот инновационный подход, в сочетании с внедрением вредоносной полезной нагрузки в раздел ресурсов .NET, позволяет ему избегать обнаружения инструментами статического анализа. Полезная нагрузка защищена через XOR-кодирование, что усложняет её распознавание методами обнаружения на основе сигнатур.

Этот последний вариант нацелен на конфиденциальную информацию на различных платформах, особенно на веб-браузеры, системный буфер обмена и локальное хранилище. Он установил связь с новым сервером управления, который в настоящее время не обнаружен на основных платформах разведки угроз. Stealer Gremlin компилирует похищенные данные в ZIP-архивы, названные в соответствии с публичным IP-адресом жертвы, и загружает эту информацию на сайт, контролируемый злоумышленником.

Сравнительно, недавние версии Gremlin stealer демонстрируют значительное усиление возможностей противодействия анализу. Более старые версии не обладали сложными стратегиями обфускации, которые применяются сейчас. ВПО превратилось в модульный набор инструментов с расширенными возможностями, такими как выделенный модуль для извлечения токенов Discord, что указывает на смещение фокуса на цифровые идентичности. Дальнейшие улучшения включают активный компонент финансового мошенничества, известный как криптоклиппер, который отслеживает системный буфер обмена на наличие адресов криптовалютных кошельков и заменяет их в реальном времени на кошелек атакующего во время транзакций.

Значительным улучшением является возможность перехвата сессий на основе WebSocket, позволяющая Gremlin stealer захватывать контроль над активными сессиями браузера и обходить текущие защиты на основе cookie. Такие усовершенствования подчеркивают сложные методы, применяемые для обхода современных мер безопасности.

Использование коммерческого упаковщика дополнительно демонстрирует сложность вредоносного ПО. Кодируя критические строки и применяя функцию декодирования, оно обеспечивает скрытие ключевых идентификаторов и URL-адресов, тем самым препятствуя простым попыткам статического анализа. Аналитики вынуждены применять динамический анализ для расшифровки реальных намерений ВПО.

В конечном итоге эволюция Gremlin stealer демонстрирует переход от простого инструмента кражи учетных данных к многогранной угрозе, которая активно занимается финансовым мошенничеством и перехватом сессий. Нацеливаясь на современные платформы связи и применяя передовые техники уклонения, Gremlin stealer представляет повышенный риск для пользователей, что требует бдительности и усиления защиты от таких развивающихся угроз.

#ParsedReport #CompletenessMedium
15-05-2026

TeamPCP supply chain attack hits TanStack

https://www.threatlocker.com/blog/teampcp-supply-chain-attack-hits-tanstack

Report completeness: Medium

Actors/Campaigns:
Teampcp
Mini_shai-hulud

Threats:
Supply_chain_technique
Credential_stealing_technique
Shai-hulud

Victims:
Tanstack, Npm, Pypi, Software development

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1027, T1036, T1059.007, T1071.001, T1195.001, T1195.002, T1485, T1528, T1543.001, have more...

IOCs:
File: 10
Hash: 4
Domain: 6
Url: 3
IP: 1

Soft:
TanStack, Anthropic, claude, Kubernetes, Linux, macOS, HashiCorp Vault

Algorithms:
sha256, pbkdf2

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
11 мая 2026 года атака на цепочку поставок со стороны TeamPCP на TanStack скомпрометировала 84 вредоносные версии пакетов npm через ряд уязвимостей в конвейере CI/CD, эксплуатируя GitHub Actions с использованием функции pull_request_target и отравления кэша. Атака включала подготовку вредоносного payloads для избежания обнаружения и выполнение червя, крадущего учетные данные, известного как Mini Shai-Hulud, который распространял свои копии через захваченные права публикации и захватывал конфиденциальную информацию разработчиков. Червь поддерживал закрепление с помощью различных системных методов, создавая серьезные риски для затронутых сред.
-----

11 мая 2026 года значительная атака на Цепочку поставок, приписываемая TeamPCP, затронула TanStack, скомпрометировав 84 вредоносных версии 42 пакетов npm. Эта атака использовала функцию pull_request_target в GitHub Actions без изменения рабочего процесса публикации или прямого кражи токенов npm. Вместо этого она выполнила сложную цепочку из трех уязвимостей в конвейере Continuous Integration/Continuous Deployment (CI/CD): злоупотребление триггером pull_request_target, отравление кэша в рамках GitHub Actions и извлечение токена OIDC из памяти исполнителя GitHub Actions.

Атака началась с размещения вредоносного кода в коммите внутри форка TanStack/router, созданного злоумышленником. Этот форк был разработан для обхода обнаружения, используя префикс "skip ci" для предотвращения выполнения автоматизированных процессов непрерывной интеграции при отправке изменений. Открывая запрос на слияние (pull request) в основной репозиторий, атакующий использовал контекст безопасности репозитория для выполнения вредоносного кода.

Следующий этап включал эксплуатацию кэша, где манипулированный кэш намеренно изменял pnpm-store. Этот кэш затем сохранялся и впоследствии восстанавливался во время следующего легитимного запуска рабочего процесса, что позволяло публиковать вредоносные пакеты с действительной провенансностью SLSA Build Level 3. Они передавались в реестр npm с использованием украденных OIDC-токенов, обходя регулярные проверки безопасности и выглядя как легитимные действия публикации.

Червь для кражи учетных данных Mini Shai-Hulud, являющийся эволюцией более ранних атак Shai-Hulud, стал основным полезным нагрузкой. Передача этого червя опиралась на использование перехваченных прав публикации для распространения дополнительных вредоносных версий пакетов, что способствовало его распространению в доверенных экосистемах. Он имеет продвинутый механизм захвата конфиденциальной информации — включая токены разработчиков и секреты рабочих процессов CI/CD — путем создания публичных репозиториев GitHub с вводящими в заблуждение описаниями.

Для поддержания закрепления червь использует различные техники, включая развертывание скриптов в определенных каталогах на затронутых системах и настройку macOS LaunchAgents и Linux systemd-сервисов. При обнаружении отзыва токенов эти скрипты могут запускать деструктивные действия, такие как удаление домашнего каталога пользователя. Затронутые системы следует считать полностью скомпрометированными; рекомендуется немедленный отзыв любых раскрытых секретов и удаление механизмов закрепления для снижения дальнейших рисков.

#ParsedReport #CompletenessLow
15-05-2026

Malicious Homebrew ads are spreading MacSync stealer

https://moonlock.com/homebrew-ads-spreading-macsync

Report completeness: Low

Threats:
Macc_stealer
Clickfix_technique

Victims:
Mac users, Cryptocurrency

ChatGPT TTPs:
do not use without manual check
T1036, T1059.004, T1105, T1204.001, T1204.004, T1548.004

IOCs:
Domain: 1
Url: 3

Soft:
Claude, macOS

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние атаки с использованием крадущего ПО MacSync эксплуатируют вредоносную рекламу и социальную инженерию для нацеливания на пользователей macOS. Киберпреступники используют Google Ads для перенаправления пользователей на поддельные сайты, имитирующие доверенные платформы, такие как Homebrew, где они могут загрузить ВПО, замаскированное под установочные скрипты. Эта уязвимость позволяет злоумышленникам получать конфиденциальные данные, такие как информация о кошельках криптовалют, путем введения пользователей в заблуждение с целью выполнения скриптов, запрашивающих пароль системы, без установки какого-либо легитимного программного обеспечения.
-----

Недавние киберугрозы, связанные со стиллером MacSync, подчеркивают постоянные риски, связанные с вредоносной рекламой и тактиками социальной инженерии, направленными на пользователей macOS. Киберпреступники используют Google Ads для продвижения поддельных веб-сайтов, которые имитируют доверенные платформы, в частности Homebrew, чтобы заманить пользователей на загрузку вредоносного ПО MacSync. Этот стиллер особенно опасен, так как его цель — извлечение конфиденциальных данных, включая информацию о криптографических кошельках, после успешного проникновения в систему Mac.

Атака начинается с того, что пользователи ищут Homebrew в Google и переходят по обманчивой рекламе, которая появляется в верхней части результатов поиска. Фейковый сайт обычно показывает якобы легитимные инструкции по установке, часто описывая методы ClickFix, но выполнение предоставленного скрипта в терминале Mac запускает установку стиллера MacSync. Этот процесс часто включает подозрительное всплывающее окно с запросом системного пароля пользователя — тактика, используемая для получения доступа к конфиденциальным данным. В отличие от традиционных установок программного обеспечения, эти вредоносные скрипты не устанавливают никакого легитимного ПО вместе со стиллером, что является критическим признаком злонамеренных действий.

Выявлены две конкретные кампании ClickFix MacSync. Одна из них включает скрипт, размещенный на домене nycaihong.com, а другая связана с glowmedaesthetics.com для загрузки вредоносного кода. Сообщается, что сайты-носители претерпели изменения, скрывая свое первоначальное злонамеренное назначение. Расследования показывают, что несколько аккаунтов Google Ads активно используются для распространения этих угроз, при этом наблюдаются постоянные изменения в доменной инфраструктуре и контенте, направленные на обход мер безопасности.

Для снижения рисков, связанных с такими типами киберугроз, пользователям рекомендуется проявлять бдительность в своем онлайн-поведении. К основным мерам предосторожности относятся скептическое отношение к рекламе в Google и воздержание от ввода системных паролей во время установки программного обеспечения, поскольку легитимные установки не должны требовать таких учетных данных. Хотя бдительность имеет решающее значение, рекомендуется внедрять решения безопасности, такие как Moonlock, которые, как утверждается, обеспечивают дополнительный уровень защиты за счет мониторинга терминальных скриптов и файлов на наличие потенциальных угроз. Оно может изолировать подозрительные действия, проводить регулярные сканирования и повышать общий уровень безопасности.

В заключение, эволюционирующие тактики преступных группировок, использующих стилер MacSync, подчеркивают необходимость повышения уровня безопасности и принятия проактивных мер среди пользователей macOS, особенно в контексте онлайн-взаимодействий и установки программного обеспечения.

#ParsedReport #CompletenessHigh
14-05-2026

How TeamPCP's Python Toolkit Survives a C2 Takedown: FIRESCALE, GitHub, and the Victim's Own Account

https://hunt.io/blog/teampcp-python-toolkit-firescale-github-c2-takedown

Report completeness: High

Actors/Campaigns:
Teampcp
Mini_shai-hulud
Voicproducoes

Threats:
Firescale
Dead_drop_technique
Adaptixc2_tool
Supply_chain_technique
Credential_harvesting_technique

Victims:
Software developers, United states government agencies, Defense contractors

Industry:
Government

Geo:
Luxembourg, Russian, Iran, Iranian, Israeli, Israel

TTPs:
Tactics: 10
Technics: 19

IOCs:
IP: 7
Url: 4
File: 1
Hash: 11

Soft:
Linux, 1Password, Bitwarden, Kubernetes, HashiCorp Vault, systemd, Xinference, TanStack, Docker, Ubuntu, have more...

Algorithms:
cbc, aes-gcm, aes-cbc, aes-256, sha256, aes-256-gcm, base64

Functions:
SSM, Store

Languages:
python

Links:
have more...
https://api.github.com/search/commits?q=FIRESCALE

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Комплект инструментов Python TeamPCP представляет собой сложную киберугрозу, нацеленную на настоящие среды разработки путем проверки наличия ОС Linux, русского локального окружения и количества ядер процессора перед выполнением. Он использует жестко закодированный основной сервер C2 (83.142.209.194) и механизм устойчивости под названием FIRESCALE для обеспечения непрерывности связи через методы резервирования, включая запрос к GitHub для получения URL-адресов серверов. Инструментарий является модульным, что позволяет одновременно извлекать данные из различных источников, и имеет «геополитический уничтожитель», который активируется на израильских или иранских системах для удаления файлов, демонстрируя продуманный операционный дизайн и фокус на учетных данных правительств США.
-----

Набор инструментов TeamPCP на Python развёртывается как вторичная полезная нагрузка после установки троянизированных пакетов npm и PyPI.

Набор инструментов проводит проверку окружения и завершает работу, если обнаружена операционная система, отличная от Linux, русская локаль или низкое количество ядер процессора.

Он использует жёстко заданный основной адрес сервера управления (83.142.209.194) для связи с каналом управления.

Механизм устойчивости под названием FIRESCALE активируется, если основной адрес C2 недоступен, и выполняет запрос к публичному GitHub для получения действительного URL-адреса резервного сервера.

Верификация FIRESCALE включает встроенный RSA-ключ для поддержания связи с затронутыми системами.

Эксфильтрация структурирована в три уровня: основной сервер C2, мёртвая точка FIRESCALE и прямая загрузка в собственный репозиторий GitHub жертвы.

Набор инструментов нацелен на регионы AWS GovCloud, фокусируясь на учетных данных правительственных структур США и оборонных подрядчиков.

Он собирает конфиденциальную информацию, включая переменные окружения, SSH-ключи и учетные данные из запущенных контейнеров Docker.

Функция «геополитического стиральщика» предназначена для активации на израильских или иранских системах, удаляя файлы и воспроизводя громкий звук.

Модульная структура позволяет параллельное выполнение до 13 модулей для одновременного сбора учетных записей с различных платформ.

Модули могут извлекать данные из таких источников, как 1Password, Bitwarden, AWS Secrets Manager и конфигурации Kubernetes.

Инфраструктура оператора подключена к более широкой сети контролируемых серверов, что указывает на устойчивую операционную способность.

Набор инструментов использует шифрование AES-GCM и обёртывание ключей RSA, что демонстрирует продвинутые криптографические знания при его разработке.