#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние атаки с использованием крадущего ПО MacSync эксплуатируют вредоносную рекламу и социальную инженерию для нацеливания на пользователей macOS. Киберпреступники используют Google Ads для перенаправления пользователей на поддельные сайты, имитирующие доверенные платформы, такие как Homebrew, где они могут загрузить ВПО, замаскированное под установочные скрипты. Эта уязвимость позволяет злоумышленникам получать конфиденциальные данные, такие как информация о кошельках криптовалют, путем введения пользователей в заблуждение с целью выполнения скриптов, запрашивающих пароль системы, без установки какого-либо легитимного программного обеспечения.
-----

Недавние киберугрозы, связанные со стиллером MacSync, подчеркивают постоянные риски, связанные с вредоносной рекламой и тактиками социальной инженерии, направленными на пользователей macOS. Киберпреступники используют Google Ads для продвижения поддельных веб-сайтов, которые имитируют доверенные платформы, в частности Homebrew, чтобы заманить пользователей на загрузку вредоносного ПО MacSync. Этот стиллер особенно опасен, так как его цель — извлечение конфиденциальных данных, включая информацию о криптографических кошельках, после успешного проникновения в систему Mac.

Атака начинается с того, что пользователи ищут Homebrew в Google и переходят по обманчивой рекламе, которая появляется в верхней части результатов поиска. Фейковый сайт обычно показывает якобы легитимные инструкции по установке, часто описывая методы ClickFix, но выполнение предоставленного скрипта в терминале Mac запускает установку стиллера MacSync. Этот процесс часто включает подозрительное всплывающее окно с запросом системного пароля пользователя — тактика, используемая для получения доступа к конфиденциальным данным. В отличие от традиционных установок программного обеспечения, эти вредоносные скрипты не устанавливают никакого легитимного ПО вместе со стиллером, что является критическим признаком злонамеренных действий.

Выявлены две конкретные кампании ClickFix MacSync. Одна из них включает скрипт, размещенный на домене nycaihong.com, а другая связана с glowmedaesthetics.com для загрузки вредоносного кода. Сообщается, что сайты-носители претерпели изменения, скрывая свое первоначальное злонамеренное назначение. Расследования показывают, что несколько аккаунтов Google Ads активно используются для распространения этих угроз, при этом наблюдаются постоянные изменения в доменной инфраструктуре и контенте, направленные на обход мер безопасности.

Для снижения рисков, связанных с такими типами киберугроз, пользователям рекомендуется проявлять бдительность в своем онлайн-поведении. К основным мерам предосторожности относятся скептическое отношение к рекламе в Google и воздержание от ввода системных паролей во время установки программного обеспечения, поскольку легитимные установки не должны требовать таких учетных данных. Хотя бдительность имеет решающее значение, рекомендуется внедрять решения безопасности, такие как Moonlock, которые, как утверждается, обеспечивают дополнительный уровень защиты за счет мониторинга терминальных скриптов и файлов на наличие потенциальных угроз. Оно может изолировать подозрительные действия, проводить регулярные сканирования и повышать общий уровень безопасности.

В заключение, эволюционирующие тактики преступных группировок, использующих стилер MacSync, подчеркивают необходимость повышения уровня безопасности и принятия проактивных мер среди пользователей macOS, особенно в контексте онлайн-взаимодействий и установки программного обеспечения.

#ParsedReport #CompletenessHigh
14-05-2026

How TeamPCP's Python Toolkit Survives a C2 Takedown: FIRESCALE, GitHub, and the Victim's Own Account

https://hunt.io/blog/teampcp-python-toolkit-firescale-github-c2-takedown

Report completeness: High

Actors/Campaigns:
Teampcp
Mini_shai-hulud
Voicproducoes

Threats:
Firescale
Dead_drop_technique
Adaptixc2_tool
Supply_chain_technique
Credential_harvesting_technique

Victims:
Software developers, United states government agencies, Defense contractors

Industry:
Government

Geo:
Luxembourg, Russian, Iran, Iranian, Israeli, Israel

TTPs:
Tactics: 10
Technics: 19

IOCs:
IP: 7
Url: 4
File: 1
Hash: 11

Soft:
Linux, 1Password, Bitwarden, Kubernetes, HashiCorp Vault, systemd, Xinference, TanStack, Docker, Ubuntu, have more...

Algorithms:
cbc, aes-gcm, aes-cbc, aes-256, sha256, aes-256-gcm, base64

Functions:
SSM, Store

Languages:
python

Links:
have more...
https://api.github.com/search/commits?q=FIRESCALE

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Комплект инструментов Python TeamPCP представляет собой сложную киберугрозу, нацеленную на настоящие среды разработки путем проверки наличия ОС Linux, русского локального окружения и количества ядер процессора перед выполнением. Он использует жестко закодированный основной сервер C2 (83.142.209.194) и механизм устойчивости под названием FIRESCALE для обеспечения непрерывности связи через методы резервирования, включая запрос к GitHub для получения URL-адресов серверов. Инструментарий является модульным, что позволяет одновременно извлекать данные из различных источников, и имеет «геополитический уничтожитель», который активируется на израильских или иранских системах для удаления файлов, демонстрируя продуманный операционный дизайн и фокус на учетных данных правительств США.
-----

Набор инструментов TeamPCP на Python развёртывается как вторичная полезная нагрузка после установки троянизированных пакетов npm и PyPI.

Набор инструментов проводит проверку окружения и завершает работу, если обнаружена операционная система, отличная от Linux, русская локаль или низкое количество ядер процессора.

Он использует жёстко заданный основной адрес сервера управления (83.142.209.194) для связи с каналом управления.

Механизм устойчивости под названием FIRESCALE активируется, если основной адрес C2 недоступен, и выполняет запрос к публичному GitHub для получения действительного URL-адреса резервного сервера.

Верификация FIRESCALE включает встроенный RSA-ключ для поддержания связи с затронутыми системами.

Эксфильтрация структурирована в три уровня: основной сервер C2, мёртвая точка FIRESCALE и прямая загрузка в собственный репозиторий GitHub жертвы.

Набор инструментов нацелен на регионы AWS GovCloud, фокусируясь на учетных данных правительственных структур США и оборонных подрядчиков.

Он собирает конфиденциальную информацию, включая переменные окружения, SSH-ключи и учетные данные из запущенных контейнеров Docker.

Функция «геополитического стиральщика» предназначена для активации на израильских или иранских системах, удаляя файлы и воспроизводя громкий звук.

Модульная структура позволяет параллельное выполнение до 13 модулей для одновременного сбора учетных записей с различных платформ.

Модули могут извлекать данные из таких источников, как 1Password, Bitwarden, AWS Secrets Manager и конфигурации Kubernetes.

Инфраструктура оператора подключена к более широкой сети контролируемых серверов, что указывает на устойчивую операционную способность.

Набор инструментов использует шифрование AES-GCM и обёртывание ключей RSA, что демонстрирует продвинутые криптографические знания при его разработке.

#ParsedReport #CompletenessMedium
14-05-2026

Backdoored node-ipc npm releases steal developer credentials through DNS queries

https://securitylabs.datadoghq.com/articles/node-ipc-npm-malware-analysis/

Report completeness: Medium

Actors/Campaigns:
Node-ipc_compromise

Threats:
Supply_chain_technique

Victims:
Software development, Cloud services, Continuous integration, Developer workstations, Build systems

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1030, T1041, T1059.007, T1071.004, T1082, T1132.001, T1132.002, T1140, T1195.001, have more...

IOCs:
File: 12
IP: 2
Hash: 4

Soft:
Kubernetes, node.js, macOS, Firefox, Linux, Microsoft Teams, twitter, K8s

Algorithms:
base64, sha256, gzip, xor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
14 мая 2026 года в репозитории npm были выпущены версии пакета node-ipc (9.1.6, 9.2.3, 12.0.1), содержащие бэкдоры и внедряющие ВПО, которое при загрузке выполняет сбор и эксфильтрацию учетных данных. Пейлоад, использующий технику эксфильтрации на основе DNS, отправляет конфиденциальную информацию на удаленную конечную точку посредством DNS TXT-запросов через порт 443, маскируя коммуникацию с помощью gzip-сжатия, base64-кодирования и операций XOR. После запуска ВПО порождает дочерние процессы для сбора конфиденциальных файлов и систематически передает данные, что затрудняет обнаружение.
-----

14 мая 2026 года в репозиторий npm были опубликованы три вредоносные версии пакета node-ipc, а именно 9.1.6, 9.2.3 и 12.0.1. Каждая из этих версий содержала поддельный файл node-ipc.cjs, который при загрузке пакета через точку входа CommonJS выполнял полезную нагрузку для сбора и эксфильтрации учетных данных. ВПО было разработано для сбора широкого спектра конфиденциальной информации, включая переменные окружения, данные о хосте и различные файлы учетных данных, связанные с разработчиками, облачными сервисами, системами контроля версий и базами данных. Примечательно, что полезная нагрузка не полагалась на сценарии жизненного цикла npm для выполнения, что вызывает опасения относительно ее скрытности.

Метод эксфильтрации использовал подход на основе DNS, который позволял ВПО отправлять собранные данные через DNS TXT-запросы на удаленный конечный узел, идентифицированный как sh.azurestaticprovider.net на порту 443. Этот порт не является стандартным для DNS-трафика, что указывает на попытку скрыть свои коммуникации. ВПО создает gzip-архив tar из захваченных данных, переименовывает его содержимое в соответствии с определенным шаблоном для компактности, а затем выполняет DNS-запросы с закодированными именами запросов, полученными из данных.

При запуске бэкдор создает отсоединенный дочерний процесс, систематически извлекает конфиденциальные файлы и инициирует процесс эксфильтрации. Пейлоад разрешает вышеупомянутую DNS-конечную точку через публичные DNS-резолверы и отправляет метаданные архива пакетами, хитро кодируя данные в процессе. Трансформация включает кодирование base64 и операции XOR для сокрытия фактического содержимого, что затрудняет обнаружение.

Обнаружение этой вредоносной активности может включать мониторинг процессов Node.js, которые загружают скомпрометированные версии node-ipc и проявляют необычное поведение, такое как создание дочерних процессов или выполнение неожиданных DNS-запросов. В частности, командам следует обращать внимание на DNS-разрешения к конечной точке бэкдора, операции с файлами, указывающие на доступ к файлам учетных данных, а также на любые аномальные шаблоны DNS-трафика, которые могут свидетельствовать о связи с известными вредоносными узлами.

Для смягчения угрозы немедленные шаги по сдерживанию должны включать sinkholing DNS для домена sh.azurestaticprovider.net и внедрение контроля исходящего трафика для предотвращения прямых DNS-запросов к неутвержденным резолверам. Все среды, загрузившие скомпрометированные версии, следует рассматривать как потенциальные нарушения, что приводит к таким действиям, как удаление затронутого пакета, ротация любых раскрытых учетных данных и тщательная проверка токенов безопасности, связанных с контролем исходного кода и облачной инфраструктурой.

#ParsedReport #CompletenessLow
15-05-2026

Mini Shai-Hulud: The Worm Returns and Goes Public

https://www.akamai.com/blog/security-research/2026/may/mini-shai-hulud-worm-returns-goes-public

Report completeness: Low

Actors/Campaigns:
Mini_shai-hulud
Teampcp

Threats:
Shai-hulud
Supply_chain_technique
Credential_harvesting_technique

Victims:
Npm ecosystem, Software supply chain, Developer organizations, Open source software projects

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1195.001, T1485, T1528, T1546, T1550.001, T1552, T1552.001, T1567.001

IOCs:
File: 8
Domain: 1

Soft:
TanStack, OpenSearch, Trivy, Claude, LINUX, CyberGhost, EarthVPN, Kubernetes, vscode

Crypto:
bitcoin

Algorithms:
ed25519

Functions:
getCA

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
11 мая 2026 года кампания червя Shai-Hulud нацелилась на экосистему npm, используя техники отравления кэша CI и уязвимости в конечной точке OpenID Connect npm, затронув зависимости, такие как TanStack и другие, связанные с Mistral AI, UiPath и OpenSearch. ВПО, приписываемое TeamPCP, применяет передовые тактики, такие как эксплуатация неправильных конфигураций GitHub Action для получения доступа на запись, постоянное кражу учетных записей и установление C2-коммуникаций через репозитории GitHub. Его функции включают агрессивный сбор учетных записей из AWS и Kubernetes, а также распространение путем вставки вредоносных файлов в ветки GitHub, что представляет значительные риски для цепочек поставок программного обеспечения.
-----

11 мая 2026 года новая волна кампании червя Shai-Hulud нацелилась на экосистему npm, в частности затронув дерево зависимостей TanStack. Атака характеризовалась техникой отравления кэша непрерывной интеграции (CI) и эксплуатацией конечной точки публикации npm на основе OpenID Connect (OIDC). Эта кампания быстро вышла за пределы TanStack, затронув несколько пакетов npm, связанных с Mistral AI, UiPath и OpenSearch. Вскоре после атаки вредоносный код, связанный с червем Shai-Hulud, стал общедоступным в новых репозиториях GitHub.

Злоумышленная деятельность приписывается группе TeamPCP, ранее связанной с различными инцидентами безопасности, включая инцидент с Trivy в марте 2026 года. Эта волна червя включает в себя передовые тактики, такие как эксплуатация неправильных конфигураций в рабочих процессах pull request в GitHub Actions, что позволило злоумышленникам получить доступ на запись к кэшу CI репозитория.

Функциональность ВПО распространяется на различные среды разработки, включая хуки сессий Claude Code и автоматизацию задач VS Code, что обеспечивает закрепление даже после выполнения команды npm uninstall. Червь Shai-Hulud выполняет набор структурированных фаз. Изначально, на фазе проверки «preflight», он определяет, работает ли он в контексте конкретных пакетов, таких как opensearch-js, внедряет бэкдоры и пытается украсть учетные данные, а также проверяет языковую настройку системы (завершает работу, если она установлена на русский язык).

На следующем этапе, называемом «Быстрые победы», червь активно собирает учетные данные из известных мест и пытается выполнить команды, которые могут раскрыть конфиденциальную информацию. Затем он устанавливает каналы управления (C2), сначала путем прямого контакта с основным сервером, а в случае неудачи — путем создания новых репозиториев GitHub для эксфильтрации данных.

ВПО усиливает фокус на сбор учетных записей на платформах, таких как AWS и Kubernetes, демонстрируя свою способность перебирать различные секреты и конфигурации. Оно даже ищет кошельки Bitcoin, конкретно нацеливаясь на файлы wallet.dat. Механизм распространения червя примечателен; он пытается распространяться, вставляя вредоносные файлы в несколько веток GitHub, особенно в папках, связанных с инструментами ИИ.

Отличительной особенностью ВПО является «переключатель мертвого человека», который каждую минуту проверяет ротацию токенов и удаляет определенные файлы из системы при обнаружении таких изменений. Эта текущая волна подчеркивает обширный и продвинутый подход TeamPCP к краже учетных данных и их решимость эксплуатировать рабочие процессы разработчиков, что имеет значительные последствия, особенно с учетом публичного выпуска кода червя. Эта уязвимость позволяет другим злоумышленникам потенциально перенимать и модифицировать эти тактики для дальнейшей злонамеренной деятельности, усиливая риск в средах цепочки поставок программного обеспечения.

#ParsedReport #CompletenessMedium
13-05-2026

Behind the Code: The Layered Defense-Evasion of VIP Keylogger

https://www.splunk.com/en_us/blog/security/behind-the-code-layered-defense-evasion-vip-keylogger.html

Report completeness: Medium

Threats:
Vipkeylogger
Steganography_technique
Process_injection_technique
Junk_code_technique
Snake_keylogger

Victims:
Finance, Procurement, Logistics

Industry:
Logistic, Financial

TTPs:
Tactics: 3
Technics: 17

IOCs:
Url: 2
File: 20
Command: 2
Hash: 17

Soft:
Chrome, Windows DNS Query, Telegram, Discord, Epic Privacy Browser, Blisk, Liebao, Nichrome, Chromium, Kometa, have more...

Crypto:
bitcoin, monero, ethereum, ripple, litecoin

Algorithms:
aes, base64, sha256, xor

Functions:
smethod_15

Languages:
visual_basic, javascript, jscript, powershell

Links:
https://github.com/splunk/attack\_data/

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1, code: 8, windows: 7, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ВПО VIP Keylogger представляет собой значительную угрозу с многоэтапным процессом заражения, который часто начинается со скриптов-загрузчиков (.vbs, .js, .bat), использующих социальную инженерию для доставки. Оно применяет сложные техники уклонения, включая обфускацию и Стеганографию, чтобы скрыть свой полезный груз в легитимных файлах изображений, и использует PowerShell для хранения и выполнения дальнейших скриптов ВПО. После активации оно систематически захватывает конфиденциальные данные, такие как учетные данные и нажатия клавиш, одновременно обеспечивая закрепление через манипуляции с реестром и используя несколько серверов управления для эксфильтрации данных.
-----

ВПО VIP Keylogger представляет собой значительную угрозу в меняющемся ландшафте киберкриминала. Оно часто развертывается с использованием тактик социальной инженерии, замаскированных под легитимные коммуникации, что приводит к тому, что жертвы неосознанно запускают вредоносное ПО. ВПО использует сложные техники уклонения для обхода обнаружения, включая обфускацию и Стеганографию. Исследования показывают, что ВПО доставляется с использованием различных загрузчиков скриптов (.vbs, .js и .bat), что повышает его способность избегать мер безопасности.

Анализ выявляет многоэтапный процесс заражения. Первый загрузчик, как правило, представляет собой .vbs-скрипт, содержащий мусор для затруднения обнаружения. Затем PowerShell используется для хранения и выполнения дополнительных вредоносных скриптов скрытым образом через переменную среды пользователя, что минимизирует его следы. Примечательно, что вредоносное ПО использует стеганографию для сокрытия своей полезной нагрузки в легитимных файлах изображений. Второй этап включает загрузку дополнительных скриптов для более глубокого проникновения в систему.

После установки VIP Keylogger систематически собирает конфиденциальную информацию. Он способен извлекать учетные данные, хранящиеся в различных веб-браузерах и приложениях, включая уникальные идентификаторы из Discord и других широко используемых сервисов. ВПО перехватывает нажатия клавиш, делает снимки экрана и извлекает сетевые учетные данные, используя такие методы, как запрос к утилитам Windows для получения сохраненных паролей Wi-Fi.

Для поддержания закрепления VIP Keylogger перехватывает определенные ключи реестра, чтобы обеспечить свое выполнение при входе пользователя в систему. Он также использует зашифрованные скрипты PowerShell для динамического выполнения дополнительных полезной нагрузки, усложняя усилия по анализу и обнаружению. Коммуникации вредоносного ПО с управлением (C2) используют несколько серверов, включая ботов Телеграм, для эксфильтрации собранных данных и поддержания видимости на скомпрометированных системах.

Полученные результаты подчеркивают необходимость для команд безопасности создавать надежные механизмы обнаружения для выявления различных этапов работы VIP Keylogger. Постоянная бдительность имеет решающее значение, поскольку этот класс вредоносного ПО меняет тактики для эффективного обхода развивающихся протоколов безопасности. В целом, стратегические знания, полученные при анализе VIP Keylogger, могут помочь в совершенствовании передовых практик обнаружения угроз и усилении проактивных усилий по поиску угроз.

#ParsedReport #CompletenessLow
16-05-2026

Fast16: Pre-Stuxnet Sabotage Tool Was Built to Subvert Nuclear Weapons Simulations

https://www.security.com/threat-intelligence/fast16-nuclear-sabotage

Report completeness: Low

Threats:
Fast16
Stuxnet

Victims:
Nuclear weapons research organizations, Defense research organizations

Industry:
Petroleum

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1021.002, T1059, T1070.006, T1134.001, T1135, T1480, T1480.002, T1518.001, T1543.003, have more...

IOCs:
File: 5

Soft:
Windows service

Win API:
beep

Languages:
lua

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Fast16 — это сложный фреймворк ВПО, предназначенный для манипуляции симуляциями ядерного оружия, в частности нацеленный на программное обеспечение LS-DYNA и AUTODYN, используемое для симуляций высокоэнергетических взрывов. Он активируется при моделировании плотных материалов, таких как уран, и использует различные механизмы для радикального изменения результатов симуляции, подрывая достоверность критических оценок безопасности. Fast16 обеспечивает закрепление в локальных сетях и избегает обнаружения, маскируясь под легитимную Служба Windows, а также сканируя наличие антивирусного программного обеспечения перед установкой.
-----

Fast16 — это сложный фреймворк для саботажа, предназначенный для манипуляции симуляциями ядерного оружия, в частности, нацеленный на симуляции высокоэнергетических взрывов в программном обеспечении LS-DYNA и AUTODYN. Его функциональность сосредоточена вокруг механизма хуков, который активируется на основе плотности моделируемого материала, конкретно активируясь, когда плотность превышает 30 г/см³ — что указывает на уран в условиях ударной компрессии, характерных для ядерных взрывов. Это ВПО обеспечивает закрепление в сети путем перечисления общих ресурсов и методов Имперсонация, при этом намеренно избегая распространения за пределы целевой среды.

Обнаружен в апреле 2026 года, архитектура Fast16 включает сервисный бинарный файл, содержащий раннюю версию виртуальной машины Lua, а также драйвер файловой системы, запускаемый при загрузке, который перехватывает исполняемый код. Он использует набор предопределенных правил — 101 правило по образцу байтов — для выполнения модификаций на лету целевых приложений, в частности LS-DYNA и AUTODYN, которые используются для симуляции поведения при высоком давлении и ударных нагрузках.

Фреймворк использует три различные атаки, обозначенные как Механизм A, B и C. Механизм A снижает значения выходных данных симуляции до 10% от их нормальных значений, если выполняются определенные диапазоны входных данных, тем самым искажая результаты симуляций, критически важных для проверки безопасности и функциональности взрывчатых веществ. Механизм B вносит манипуляции в выходные данные тензора напряжений Коши, радикально изменяя значения давления в зависимости от условий симуляции, особенно нацеливаясь на уникальные характеристики урана при моделировании под высокими плотностями. Механизм C аналогичным образом работает с AUTODYN, проверяя определенные атрибуты и корректируя выходные значения в зависимости от сжатия материала.

Fast16 предназначен для поддержания низкой заметности при распространении по локальной сети. Он устанавливается через процесс, замаскированный под легитимную Служба Windows, используя различные аргументы командной строки для выполнения разных функций, включая запуск скриптов Lua, которые управляют основными операциями. Важно отметить, что перед установкой он сканирует и избегает сред с антивирусным программным обеспечением, тем самым обеспечивая собственное выживание от обнаружения.

Значимое последствие Fast16 заключается в его целевом подходе к моделированию ядерных взрывов, демонстрирующем высокий уровень квалификации как в области программной инженерии, так и в физических науках, связанных с взрывчатыми веществами. Подобное специализированное ВПО может вызвать серьезные сбои в разработке и тестировании ядерных технологий, аналогично концепции червя Stuxnet, который был направлен на промышленные системы управления. В свете потенциальных будущих угроз стратегии устойчивости включают регулярную инвентаризацию загруженных драйверов, строгие контроль приложений и развертывание передовых решений безопасности конечных точек для снижения рисков.

#ParsedReport #CompletenessMedium
12-05-2026

Tycoon 2FA Operators Adopt OAuth Device Code Phishing

https://www.esentire.com/blog/tycoon-2fa-operators-adopt-oauth-device-code-phishing

Report completeness: Medium

Threats:
Device_code_phishing_technique
Tycoon_2fa
Barracuda_tool
Luminati_tool
Aitm_technique

Victims:
Microsoft 365 accounts

Industry:
Media, Telco

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1140, T1497.001, T1497.003, T1528, T1550.001, T1566.002, T1573.001, T1583.001, have more...

IOCs:
Url: 4
File: 9
IP: 2

Soft:
Alibaba Cloud, CryptoJS, Node.js, Unix, Selenium, PhantomJS, ChatGPT, OpenAI, Claude, Anthropic, have more...

Algorithms:
aes-gcm, aes-cbc, aes, base64, cbc, xor

Functions:
preventDefault, WPTKdZGTUf, encryptData, decryptData, count

Languages:
javascript

Links:
https://github.com/eSentire/iocs/tree/main/Tycoon2FA

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В апреле 2026 года фишинговая кампания использовала потоки OAuth Device Authorization Grant для компрометации учетных записей Microsoft 365 с помощью эволюционировавшего варианта набора инструментов Tycoon 2FA. Злоумышленники эксплуатировали легитимные процессы входа в Microsoft, используя URL-адреса отслеживания кликов Trustifi для получения OAuth-токенов от жертв, а также применяли техники антиотладки и фильтрации по User-Agent для уклонения от обнаружения. Такой подход демонстрирует злоупотребление легитимными клиентами OAuth при фишинге, позволяя злоумышленникам получать токены доступа во всей экосистеме Microsoft 365 без прямого обхода многофакторной аутентификации.
-----

В апреле 2026 года появилась фишинговая кампания, которая использовала потоки OAuth Device Authorization Grant для компрометации учетных записей Microsoft 365, применяя эволюционировавший вариант набора инструментов Tycoon 2FA. Эта кампания ознаменовала сдвиг в сторону наборов Phishing-as-a-Service (PhaaS) и включала метод атаки, который эксплуатирует легитимные механизмы входа Microsoft, в частности нацеливаясь на пользователей через приманки, содержащие URL-адреса отслеживания кликов Trustifi. Жертвы, взаимодействовавшие с этими URL-адресами, непреднамеренно предоставляли токены OAuth устройствам, контролируемым злоумышленниками, тем самым обходя традиционные проверки аутентификации.

Операторы Tycoon 2FA продолжали использовать свой устоявшийся набор PhaaS, адаптируя его для фишинга с использованием OAuth device-code без изменения основных элементов набора. Например, исходный код включает различные технические отпечатки, такие как архитектура Check Domain, зашифрованный слой AES-CBC с жестко закодированным ключом и шаблон обертки HTML с использованием Base64 XOR. В отличие от более ранних версий, этот вариант device-code защищает метаданные сеанса, а не учетные данные, не запрашивая у жертв их пароли, а вместо этого направляя их через серию законных шагов авторизации Microsoft.

Операторы преимущественно действовали из адресного пространства Alibaba Cloud (AS45102), при этом механизмы обнаружения были оптимизированы для обхода решений безопасности за счет расширения блэк-листа фильтрации на основе ASN, который включает различных поставщиков безопасности и облачных провайдеров. Они адаптировали инфраструктуру доставки, используя уникальный шаблон URL и легкую обфускацию для маскировки вредоносных полезной нагрузки, завершив четырехуровневую цепочку доставки в браузере.

Ключевыми техническими факторами в этой фишинг-технике стали меры антиотладки и фильтрация строк User-Agent для блокировки известных средств защиты. Например, фишинг-фреймворк проводил проверки против известных инструментов и сервисов, перенаправляя нежелательных посетителей на безвредные страницы. Кроме того, при успешном согласии жертв злоумышленники получали токены доступа не только к отдельным сервисам, но и комплексно во всей экосистеме Microsoft 365.

Эксплуатация OAuth 2.0 Device Authorization Grant представляет собой новый подход к обходу многофакторной аутентификации (MFA) без прямого его обхода, поскольку позволяет злоумышленникам убедить пользователей предоставить согласие на выдачу токенов для устройств, контролируемых злоумышленниками, под видом легитимных приложений. Эта особенность подчеркивает риск использования легитимных OAuth-клиентов в фишинговых кампаниях, как это было продемонстрировано при имперсонации Microsoft Authentication Broker, который выглядел как стандартное приложение Microsoft, собирающее телеметрию.