#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Выявлен всплеск атак смишингом, нацеленных на пользователей Телеграм, при этом злоумышленники применяют фишинговые тактики, эксплуатирующие ложные заявления о проблемах безопасности. Пользователей обманом заставляют вводить свои номера телефонов и коды входа на поддельных страницах авторизации, что позволяет злоумышленникам перехватывать учетные записи и похищать личную информацию и переписки. Фишинговая инфраструктура спроектирована так, чтобы избегать обнаружения путем перенаправления пользователей в зависимости от значения User-Agent их браузера, что дополнительно усложняет усилия по реагированию.
-----

Наблюдается возрождение атак смишингом, нацеленных на пользователей Телеграм, напоминающее тактики, применявшиеся два года назад. Злоумышленники используют методы фишинга, утверждая, что они призваны решить проблемы безопасности в Телеграм, и обманом заставляют пользователей предоставлять свои номера телефонов и коды входа на поддельных сайтах. Такой подход позволяет им перехватывать учетные записи, что ведет к потенциальной краже личной информации и переписки.

Текущая волна смишинг-атак использует сообщения, в которых ложно утверждается о проблемах, связанных с безопасностью, защитой аккаунта или проверкой входа. Когда пользователи переходят по ссылкам в этих сообщениях, они перенаправляются на фишинговый сайт, имитирующий легитимную страницу входа в Телеграм. Эти поддельные сайты тщательно разработаны, что позволяет жертвам легко принять их за подлинные процессы безопасности.

Заметной особенностью этой фишинговой инфраструктуры является её способность к уклонению. Фишинговый сайт анализирует User-Agent посещающего браузера и перенаправляет пользователей на реальные страницы Телеграм, если обнаруживает автоматизированные инструменты или средства защиты, тем самым обходя обнаружение сотрудниками служб безопасности. Когда пользователь вводит свой номер телефона, он получает код входа через приложение Телеграм, после чего ему предлагается ввести этот код на фишинговой странице. При успешном выполнении этого сценария злоумышленники получают доступ к аккаунтам Телеграм жертв.

Следовательно, скомпрометированные аккаунты могут привести к эксфильтрации личных переписок и повышению рисков для контактов, поскольку злоумышленники могут отправлять дальнейшие попытки смишинга на эти сохраненные номера. Учитывая, что Телеграм часто используется как для личных, так и для профессиональных коммуникаций, последствия захвата аккаунтов могут быть масштабными, включая раскрытие конфиденциальной рабочей или финансовой информации.

Для снижения риска пользователям рекомендуется проявлять осторожность при получении сообщений, побуждающих проверить безопасность аккаунта или перейти по ссылкам для верификации. Крайне важно не вводить учетные данные или коды авторизации на незнакомых страницах и включать двухфакторную аутентификацию для аккаунтов в Телеграм. Этот дополнительный уровень безопасности может существенно затруднить способность злоумышленника получить доступ к аккаунту, даже если ему удастся перехватить код входа.

#ParsedReport #CompletenessLow
20-05-2026

GhostTree: Unveiling Path Manipulation Techniques to Bypass Windows Security

https://www.varonis.com/blog/ghosttree-ntfs-trick

Report completeness: Low

Threats:
Ghosttree_technique
Ghostbranch_tool

ChatGPT TTPs:
do not use without manual check
T1564

IOCs:
Path: 18
File: 1

Soft:
Windows Security, Windows Defender, Twitter

Functions:
LinkToFolder

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostTree использует NTFS-ссылки и символические ссылки для создания рекурсивных циклов, позволяющих избегать обнаружения средствами безопасности, особенно теми, которые сканируют каталоги на наличие вредоносного содержимого. Создавая ссылки, указывающие обратно на родительский каталог, он может генерировать фактически бесконечные пути к файлам, перегружая решения для обнаружения и реагирования на конечных точках (EDR), такие как Windows Defender, которые попадают в бесконечные циклы. Этот метод опирается на GhostBranch, усложняя обнаружение ВПО, скрытого в каталогах.
-----

Техника, известная как GhostTree, использует NTFS-ссылки и символические ссылки для создания рекурсивных циклов, которые могут оставаться незамеченными средствами защиты, особенно теми, которые сканируют каталоги на наличие вредоносного содержимого. В отличие от обычных функций файловой системы, которые часто остаются без внимания, NTFS-ссылки позволяют любому пользователю с правами записи создавать связь между одним каталогом и другим, не требуя административных привилегий.

GhostTree работает путём создания ссылок-переходов (junctions), указывающих обратно на родительский каталог, что приводит к формированию фактически бесконечных путей к файлам. Эта бесконечная рекурсия может перегрузить средства сканирования, включая продукты обнаружения и реагирования на конечных точках (EDR), заставляя их застревать в бесконечном цикле. Поскольку эти инструменты не могут завершить сканирование, вредоносные файлы, размещённые в исходном каталоге, остаются без проверки.

Структура GhostTree основана на более простом методе под названием GhostBranch, где злоумышленник создает папковые соединения (junctions) с заданными именами и пунктами назначения. GhostTree улучшает этот подход, вводя несколько дочерних папок, что позволяет организовать более сложную структуру непрерывных путей. Эта вариация расширяет диапазон возможных путей, создавая дополнительные трудности для механизмов обнаружения.

Тестирование подтвердило, что известные решения безопасности, такие как Windows Defender, действительно могут быть обойдены с помощью этой техники, поскольку непрерывная генерация путей делает содержащую папку несканируемой. Следовательно, злоумышленники могут эффективно скрывать ВПО в каталогах, которые остаются незамеченными при использовании обычных методов сканирования.

Для защитников техника GhostTree демонстрирует ограничения, связанные с полаганием исключительно на сканирование конечных точек для обеспечения безопасности. Она подчеркивает необходимость более продвинутого мониторинга активности файловой системы на уровне данных. Внедрение надежных инструментов мониторинга, способных обнаруживать аномалии, такие как необычное создание точек соединения (junction) или рекурсивные структуры каталогов, имеет решающее значение для выявления и нейтрализации этих уклончивых тактик.

#ParsedReport #CompletenessHigh
20-05-2026

Inside SHADOW-WATER-063's Banana RAT: From Build Server to Banking Fraud

https://www.trendmicro.com/en_us/research/26/e/banana-rat.html

Report completeness: High

Actors/Campaigns:
Shadow-water-063 (motivation: information_theft, financially_motivated, cyber_espionage)
Fluxroot
Ta2725
Unc5176

Threats:
Banana_rat
Polymorphism_technique
Bancos
Junk_code_technique
Process_injection_technique
Qshing_technique
Typosquatting_technique
Grandoreiro
Mekotio
Metamorfo
Astaroth
Chavecloak
Javali

Victims:
Brazilian financial institutions, Brazilian localized cryptocurrency exchanges, Customers in brazil

Industry:
Financial, Retail, Telco

Geo:
Portuguese, Brasil, Spain, Ita, Brazil, Mexican, Brazilian, Portugal, Chilean

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 13
Domain: 3
Url: 5
Command: 1
IP: 4
Hash: 4

Soft:
WhatsApp, FastAPI, NET Framework, Windows GDI, Task Scheduler

Algorithms:
aes-256, aes-256-cbc, sha256, hmac, aes, xor

Functions:
Add-Type

Win API:
ShowWindow, BitBlt, GetAsyncKeyState, GetForegroundWindow, BlockInput

Win Services:
WebClient

Languages:
delphi, powershell, php, python

#ParsedReport #ExtractedSchema

Classified images:
windows: 13, schema: 2, code: 14

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Banana RAT от SHADOW-WATER-063, банковское ВПО, нацеленное на бразильские финансовые учреждения, использует передовые техники уклонения, включая полезную нагрузку, обернутую алгоритмом AES, и выполнение PowerShell без файлов, для обеспечения мошенничества в реальном времени. Оно использует тактики социальной инженерии для доставки вредоносных полезной нагрузки, что позволяет осуществлять регистрацию нажатий клавиш, потоковую передачу экрана и манипуляцию транзакциями, особенно затрагивая систему Pix Центрального банка Бразилии. Работа ВПО характеризуется полиморфной системой доставки, что усложняет обнаружение и подчеркивает растущую угрозу, исходящую от локализованных киберпреступных сетей.
-----

Banana RAT от SHADOW-WATER-063 — это банковское ВПО, нацеленное на бразильские финансовые учреждения.

ВПО использует сложные техники уклонения для выполнения мошенничества в реальном времени.

Оно использует методы многослойной обфускации, такие как полезная нагрузка, обернутая алгоритмом AES, и выполнение PowerShell без создания файлов.

Banana RAT поддерживает постоянное управление через запланированные задачи и TCP-соединения по порту 443.

Жертв заманивают загрузить вредоносные пакетные файлы через WhatsApp или фишинговые URL-адреса.

Первоначальный пакетный файл запускает команду PowerShell, которая загружает вторую стадию полезной нагрузки, работающую полностью в памяти.

Компонент второго этапа обеспечивает потоковую передачу экрана в реальном времени, регистрацию нажатий клавиш, контроль ввода и перехват QR-кодов, направленный на мошеннические транзакции.

ВПО использует тактики социальной инженерии, маскируясь под легитимные документы, такие как электронные счета-фактуры.

Его PowerShell-клиент поддерживает мониторинг системы в реальном времени, эксфильтрацию файлов и создание поддельных оверлеев легитимных банковских приложений.

ВПО может манипулировать транзакциями через систему Pix Бразильского центрального банка.

Атрибуция указывает на бразильских злоумышленников на основе конвенций кодирования и целевой аудитории жертв.

RAT Banana нацелен исключительно на бразильские учреждения, что указывает на локализованную операционную направленность.

В ней используется полиморфная система доставки полезной нагрузки, которая генерирует уникальные варианты для каждого жертвы, усложняя обнаружение.

Заражённые хосты могут оставаться функциональными, даже если инфраструктура доставки скомпрометирована.

Операция знаменует собой стратегическую эволюцию в киберкриминале, использующую передовые услуги ВПО и представляющую значительные риски для финансового сектора.

#ParsedReport #CompletenessHigh
20-05-2026

Microsoft's MSHTA Legacy Tool Still Powers Malware Campaigns on Windows

https://www.bitdefender.com/en-us/blog/labs/microsofts-mshta-legacy-malware-windows

Report completeness: High

Threats:
Lolbin_technique
Clickfix_technique
Lumma_stealer
Castleloader
Emmenhtal
Amatera_stealer
Countloader
Clipbanker
Purplefox
Seo_poisoning_technique
Amsi_bypass_technique
Procmon_tool
Xworm_rat
Danabot
Lalala_stealer

Victims:
Windows users, Enterprise environments, Cryptocurrency users

Industry:
Financial, Education

ChatGPT TTPs:
do not use without manual check
T1027, T1027.010, T1036.003, T1036.008, T1059.001, T1059.006, T1059.007, T1070.004, T1105, T1140, have more...

IOCs:
File: 25
Domain: 71
Url: 40
Coin: 1
Hash: 7
Command: 2
IP: 30

Soft:
macOS, Claude, Internet Explorer, Microsoft Edge, Discord, Windows Defender

Algorithms:
base64, sha256

Win Services:
WebClient

Languages:
php, javascript, powershell, python

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют Microsoft HTML Application Host (MSHTA) для содействия кампаниям ВПО из-за встроенного доверия в системах Windows. Техники включают многоэтапное выполнение без файлов с использованием HTA-скриптов и PowerShell, а злоумышленники часто применяют тактики социальной инженерии для распространения приманок. Известное ВПО, связанное с MSHTA, включает LummaStealer, Amatera, PurpleFox и CountLoader, при этом недавние тенденции показывают сдвиг в использовании вредоносных доменов для доставки HTA-вредоносных программ.
-----

Исследование Bitdefender подчеркивает продолжающуюся эксплуатацию Microsoft HTML Application Host (MSHTA) — устаревшего инструмента в системах Windows, который обеспечивает выполнение VBScript и JavaScript как из локальных, так и из удаленных файлов. Несмотря на то, что MSHTA был выведен из эксплуатации в рамках экосистемы Internet Explorer, он остается популярным выбором для злоумышленников из-за встроенного доверия и интеграции в операционную систему. Киберпреступники используют эту утилиту, часто в тактиках living-off-the-land (LOLBIN), для содействия широкому спектру кампаний ВПО, охватывающих от простых крадильщиков паролей до более сложных угроз.

Злоумышленники часто используют многоэтапные последовательности выполнения без файлов, которые задействуют HTA-скрипты и PowerShell вместе с MSHTA. Эти кампании, как правило, включают методы социальной инженерии, такие как поддельные загрузки программного обеспечения или приманки в стиле ClickFix, подчеркивая важность обучения пользователей и применения многоуровневых мер безопасности.

В спектр вредоносного ПО, выявленного в деятельности, связанной с MSHTA, входят такие массовые крадильщики, как LummaStealer и Amatera, а также более продвинутые угрозы, такие как PurpleFox и ClipBanker. Использование MSHTA в качестве вектора выполнения часто является частью более широкой цепочки атаки, при которой оно напрямую загружает и выполняет дополнительные вредоносные компоненты, хранящиеся на внешних серверах. Например, CountLoader представляет собой загрузчик на основе HTA, используемый для каскадного распространения различных ВПО, обычно эксплуатируя подозрительные URL-адреса, замаскированные под легитимные сервисы.

Последние тенденции указывают на смену доменной структуры злоумышленниками, которые переходят от использования доменов верхнего уровня .cc к доменам .vg и .gl для создания вредоносной инфраструктуры. Эти домены, часто выглядящие безобидно, служат механизмами доставки вредоносного контента HTA, который после выполнения извлекает дополнительные вредоносные компоненты, такие как зашифрованные скрипты PowerShell.

Кампания Emmenhtal Loader демонстрирует слаженность использования MSHTA и PowerShell в скоординированных атаках. В данном случае злоумышленники применяют MSHTA для запуска HTA-документа, который активирует вредоносный JavaScript, позволяя ему загружать дополнительные полез нагрузки через PowerShell, одновременно скрывая операции от жертвы. Аналогичным образом ClipBanker использует MSHTA для манипуляции содержимым буфера обмена, стремясь заменить адреса криптовалютных кошельков для эксплуатации.

Кроме того, MSHTA была замечена в операциях, связанных с PurpleFox, устойчивым вариантом вредоносного ПО, который адаптировался с течением времени, часто используя MSHTA для скрытой установки и процессов выполнения команд.

Хотя не каждое использование MSHTA свидетельствует о злонамеренных намерениях — что видно из его легитимных применений, таких как DriverPack, — его роль во множестве успешных атак является значительной. Поэтому организациям рекомендуется внедрять комплексные стратегии безопасности, которые должны включать обучение пользователей потенциальным рискам, надежные механизмы обнаружения аномалий выполнения скриптов, а также непрерывный мониторинг сетевой активности для снижения угроз, связанных с устаревшими утилитами, такими как MSHTA.

#ParsedReport #CompletenessLow
20-05-2026

The World Cup Fraud Infrastructure is Nearly Three Times Larger Than We First Reported

https://flare.io/learn/resources/blog/world-cup-fraud-infrastructure-three-times-larger-than-original-reporting

Report completeness: Low

Threats:
Typosquatting_technique

Victims:
Fifa, World cup fans, Sports, Ticketing, Retail, Streaming, Betting

Geo:
Mexico, Canada, China

ChatGPT TTPs:
do not use without manual check
T1090.002, T1583.001, T1588.002, T1656

IOCs:
Email: 1
IP: 5

Soft:
GoDaddy, Alibaba Cloud, HiChina, Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование фишинговой инфраструктуры, связанной с Чемпионатом мира по футболу, выявило как минимум 222 мошеннических домена, связанных с четырьмя различными кластерами операторов, что значительно расширяет масштаб угрозы. Эти кластеры занимаются различными мошенническими действиями, включая тайпсквоттинг официального сайта ФИФА, и отражают распределенную сеть киберпреступников, использующих общие наборы для мошенничества. Текущий мониторинг выявляет тенденции, такие как увеличение регистраций доменов и потенциальные миграции в ответ на блокировки, что подчеркивает растущую сложность этого фишингового ландшафта.
-----

Расширенное расследование фишинговой инфраструктуры, связанной с Чемпионатом мира по футболу, выявило значительно более широкую и сложную сеть мошеннических доменов, чем сообщалось ранее. Изначально было выявлено 79 доменов, однако дальнейшие исследования увеличили это число до как минимум 222 доменов, работающих на 203 уникальных IP-адресах, что представляет собой рост количества доменов примерно в 2,8 раза и увеличение хостингового следа более чем в 14 раз. Кампания характеризуется наличием как минимум четырех отдельных кластеров операторов, что указывает на распределенную сеть киберпреступников, а не на одного централизованного злоумышленника.

Анализ показывает, что регистрации продолжают расти, при этом с начала апреля по середину апреля 2026 года было зарегистрировано еще 52 домена, что отражает резкий рост по мере приближения Чемпионата мира по футболу 2026 года. Расширенный набор данных выявляет различные паттерны регистрации, варианты размещения и отпечатки WHOIS среди кластеров, что указывает на независимых операторов, использующих общие мошеннические наборы инструментов. Примечательно, что около 10% набора данных включает идентифицируемую информацию об операторах, которые не применяли скрытие конфиденциальных данных, предоставляя основу для постоянного отслеживания этих субъектов.

Детальный анализ инфраструктуры выявляет конкретные кластеры. Кластер A в основном включает домены, напрямую использующие тайпсквоттинг официального сайта ФИФА (fifa.com), и насчитывает 86 доменов, которые обычно служат посадочными страницами для мошеннических схем продажи билетов на матчи ФИФА. Кластер B состоит из доменов, которые изначально казались предназначенными для универсального дропшиппинга, но теперь связаны с мошенничеством в рамках Чемпионата мира, при этом один из заметных доменов был зарегистрирован еще в 2015 году. Это демонстрирует операционную сложность, включающую повторное использование старых доменов для современных мошеннических схем.

Кластер C включает три домена, зарегистрированных у китайского регистратора, что указывает на то, что актор, базирующийся в Китае, функционирует параллельно с другими кластерами, тогда как кластер D связан с устоявшейся организацией под названием «888 World Cup Management Co Ltd.» Структурное разнообразие между этими кластерами подчеркивает сложность текущей фишинговой среды, где общие шаблоны могут эксплуатироваться несколькими децентрализованными акторами.

Cloudflare выделил определенные домены в этой сети как связанные с фишинговой деятельностью, подчеркивая масштаб проблемы для провайдеров CDN и команд по защите брендов. Постоянный мониторинг указывает на потенциальные тенденции, на которые следует обратить внимание перед турниром, включая дальнейшую регистрацию доменов, синхронизированную с официальными продажами билетов, и потенциальные миграции по мере того, как инфраструктура подвергается отключениям. Индикаторы компрометации, такие как домены и отпечатки операторов в этой обширной мошеннической экосистеме, предоставляются для дальнейшего анализа и мониторинга специалистами по кибербезопасности.

#ParsedReport #CompletenessLow
20-05-2026

WantToCry ransomware remotely encrypts files

https://www.sophos.com/en-us/blog/wanttocry-ransomware-remotely-encrypts-files

Report completeness: Low

Threats:
Wanttocry
Wannacry
Wannacryptor
Qtox_tool
Netsupportmanager_rat
Lockbit
Qilin_ransomware
Blackcat

Victims:
Organizations with internet exposed smb services

Geo:
Russian federation, America, Russia, Singapore, Germany

ChatGPT TTPs:
do not use without manual check
T1021.002, T1078, T1110.001, T1486, T1595.001

IOCs:
Url: 1
IP: 6

Soft:
Telegram

Crypto:
bitcoin

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ransomware WantToCry нацелено на службы SMB, эксплуатируя слабую аутентификацию на TCP-портах 139 и 445 для получения доступа и выполнения эксфильтрации файлов и удаленного шифрования без локального выполнения ВПО. Злоумышленники используют методы брутфорса для кражи учетных данных и хранят зашифрованные файлы на своей инфраструктуре. Хотя кампания не демонстрирует тактики двойного вымогательства, обнаружение затруднено из-за отсутствия локального выполнения кода, что усложняет традиционные средства защиты безопасности.
-----

Ransomware WantToCry выдвинулся на роль критической киберугрозы, используя службы Server Message Block (SMB) для получения первоначального доступа, эксфильтрации файлов и удаленного шифрования данных жертв без необходимости локального выполнения ВПО. Аналитики SophosLabs сообщают, что атаки применяют автоматизированные методы брутфорса, направленные на службы SMB, подверженные слабому аутентифицированию, особенно через TCP-порты 139 и 445. Сканируя интернет на предмет уязвимых портов SMB, злоумышленники могут выявлять потенциальные цели с помощью сервисов разведки, таких как Shodan и Censys.

После успешной аутентификации злоумышленники инициируют эксфильтрацию файлов через аутентифицированные сеансы SMB, что является значительным отклонением от традиционных методов развертывания ВПО. Зашифрованные файлы хранятся на инфраструктуре, контролируемой злоумышленниками, прежде чем записываются обратно в исходные расположения на системах жертв. Заметки с вымогательством, оставленные под именем !Want_To_Cry.txt, предоставляют каналы связи через qTox или Телеграм для того, чтобы жертвы могли договориться о выплатах выкупа, которые обычно устанавливаются на уровне около 600 долларов США, но могут варьироваться в зависимости от инцидента. В отличие от многих кампаний с использованием ransomware, которые применяют тактику двойного вымогательства, в настоящее время нет никаких доказательств того, что WantToCry использует украденные данные для дальнейшего принуждения.

Инфраструктура атаки, используемая WantToCry, разделена на различные фазы, при этом разведка и аутентификация связаны с конкретными IP-адресами, некоторые из которых соответствуют российскому хостинг-провайдеру. Примечательно, что в этих операциях выявлены два устройства на базе Windows Server, также связанные с другой деятельностью ВПО; однако легитимность этих серверов усложняет атрибуцию атак. Использование виртуальных машин усложняет обнаружение, поскольку они могут быть перепрофилированы различными злоумышленниками.

Обнаружение представляет собой значительную сложность из-за характера операций WantToCry, которые не включают локальное выполнение кода, оставляя решения по безопасности зависимыми от индикаторов на основе процессов, с малым количеством артефактов для анализа. Системы обнаружения и реагирования на конечных точках (EDR) часто ошибочно классифицируют операции с файлами через SMB как нормальное поведение, что делает традиционные механизмы защиты менее эффективными. SophosCryptoGuard упоминается как полезный инструмент для мониторинга изменений содержимого файлов и обнаружения вредоносной активности шифрования независимо от источника.

Для снижения угрозы, связанной с WantToCry, организациям рекомендуется отключить SMBv1, удалить анонимный доступ к SMB и заблокировать входящий трафик SMB через интернет. Расширенные стратегии обнаружения, такие как расширенное обнаружение и реагирование (XDR), могут помочь выявить разведку и брутфорс-попытки, тем самым обеспечивая ранние предупреждения о потенциальных операциях WannaCry и подчеркивая важность надежных превентивных мер в области кибербезопасности.

#ParsedReport #CompletenessMedium
20-05-2026

Reverse Shai-Hulud: Supply chain compromise impacts @antv packages

https://www.threatlocker.com/blog/reverse-shai-hulud-supply-chain-compromise-impacts-antv-packages

Report completeness: Medium

Actors/Campaigns:
Mini_shai-hulud

Threats:
Supply_chain_technique
Shai-hulud

Victims:
Software, Open source developers, Npm ecosystem

Industry:
Education, Healthcare

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1027, T1041, T1059.007, T1140, T1195.001, T1485, T1528, T1546, T1550.001, have more...

IOCs:
File: 1
Url: 6
Domain: 1
Hash: 1

Soft:
Docker, Linux

Algorithms:
sha256, aes-256-gcm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Червь Mini Shai-Hulud атакует экосистему npm @antv в рамках атаки на Цепочку поставок, компрометируя учетные данные администраторов и публикуя вредоносные версии пакетов, что затрагивает более 300 пакетов и влияет на тысячи пользователей. Зашифрованный полезный нагрузка червя захватывает конфиденциальные секреты CI/CD, такие как токены и учетные данные, во время установки npm, используя прямое HTTPS-соединение и публичные репозитории GitHub для эксфильтрации, шифруя данные с помощью AES-256-GCM и RSA. Кроме того, он использует механизмы закрепления и «мертвую кнопку» для удаления данных при определенных условиях, что указывает на тревожную тенденцию в распространении вредоносного ПО в цепочках поставок.
-----

Червь Mini Shai-Hulud возродился в рамках масштабной атаки на Цепочка поставок, затронувшей экосистему npm @antv. Эта кампания включала компрометацию учетных записей разработчиков, в частности, аккаунта atool, который опубликовал вредоносные версии нескольких пакетов с 5:19 до 5:06 UTC 19 мая 2026 года. Этот инцидент привел к компрометации более 300 пакетов, при этом ожидается, что более 600 затронутых версий окажут воздействие на тысячи пользователей, использующих эти пакеты в качестве зависимостей.

Вредоносная нагрузка встроена в обфусцированный файл `index.js`, который активируется во время действий prepare или preinstall в файле `package.json`. Это раннее выполнение позволяет червю работать незамеченным, поскольку пользователи получают ожидаемый пакет, неосознанно устанавливая вредоносный код. Функциональность червя в основном сосредоточена на краже и эксфильтрации конфиденциальных секретов CI/CD, включая токены npm и GitHub, учетные данные AWS, SSH-ключи и файлы .env. Метод захвата секретов GitHub Actions включает чтение секретов в открытом виде из памяти локального процесса Runner.

Эксфильтрация осуществляется двумя способами: через прямые HTTPS-соединения и, в качестве резервного варианта, через публичные репозитории GitHub. Собранные данные шифруются с использованием алгоритмов AES-256-GCM и RSA перед отправкой на вредоносные конечные точки. Примечательно, что для эксфильтрации используется новый публичный репозиторий GitHub, когда накоплено достаточное количество секретов GitHub, при этом названия репозиториев отражают номенклатуру, основанную на тематике «Дюны». Червь также установил механизмы закрепления, включая добавление хуков выполнения в файлы, такие как `.vscode/tasks.json`, и использование механизма «мертвой руки» для стирания данных при выполнении определенных условий.

Такие атаки на цепочку поставок подчеркивают тревожную тенденцию, при которой злоумышленники переходят от эксплуатации устаревшего программного обеспечения к распространению ВПО через доверенные источники пакетов. Следовательно, разработчики и пользователи сталкиваются с рисками, связанными с автоматическими обновлениями, поскольку целостность зависимостей больше нельзя считать гарантированной. Смена тактик не только увеличивает потенциальное воздействие кибератак, но и усложняет ландшафт безопасности для организаций, требуя тщательного и контролируемого подхода к обновлениям пакетов для снижения риска компрометации.