#ParsedReport #CompletenessMedium
22-05-2026

Help-Desk Lures Drop KongTuke's Evolved ModeloRAT

https://reliaquest.com/blog/threat-spotlight-help-desk-lures-drop-kongtukes-evolved-modelorat/

Report completeness: Medium

Threats:
Kongtuke
Modelorat
Clickfix_technique
Crashfix
Blackbasta
Pysoxy_tool
Winpython_tool

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1033, T1036.005, T1053.005, T1059.001, T1059.005, T1069.002, T1070.004, T1071.001, T1082, T1087.002, have more...

IOCs:
File: 6
Command: 3
Path: 2
Url: 2
Email: 1
IP: 6

Soft:
Microsoft Teams, WordPress, Slack, Zoom

Algorithms:
zip

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
KongTuke, брокер первоначального доступа, использует Microsoft Teams для первоначального доступа, отходя от методов, ориентированных на веб. Они развертывают эволюционировавшее ВПО ModeloRAT с повышенной устойчивостью благодаря нескольким каналам управления и надежным механизмам закрепления, таким как ключи реестра и задачи на уровне SYSTEM, что усложняет устранение последствий. Применяя тактики социальной инженерии для имитации сотрудников службы поддержки, они обманом заставляют пользователей загружать вредоносные диагностические инструменты, демонстрируя быстро развертываемую точку входа в целевых средах.
-----

KongTuke, брокер первоначального доступа (IAB), мотивированный финансовой выгодой, эволюционировал в тактиках, используя внешние чаты Microsoft Teams в качестве средства получения первоначального доступа, что знаменует собой отход от его предыдущих подходов, ориентированных на веб. Этот переход позволяет группе использовать доверенный интерфейс инструментов совместной работы, облегчая злоумышленникам обман пользователей для развертывания их эволюционировавшего вредоносного ПО ModeloRAT. Новая вариация ModeloRAT демонстрирует повышенную устойчивость, имея три независимых канала управления (C2), что усложняет усилия по сдерживанию; если один канал прерван, другие остаются работоспособными. Набор инструментов может установить постоянный доступ в течение пяти минут после того, как жертва выполнит одну команду PowerShell, демонстрируя быстрый переход от первоначального контакта к укреплению позиций.

Выдавая себя за сотрудников службы поддержки, злоумышленники используют тактики социальной инженерии, чтобы убедить пользователей загрузить вредоносные диагностические инструменты, размещенные в ZIP-архивах на легитимных облачных хранилищах. После запуска этот инструмент инициализирует портативную среду WinPython и активирует сборщик разведки для сбора информации о хосте. Эти данные критически важны для злоумышленников, чтобы определить приоритетность последующих действий. Что касается закрепления, ModeloRAT использует несколько триггеров, включая ключи реестра Run, записи в папке Автозагрузка и загрузчики VBScript, что гарантирует возможность сохранения после стандартных попыток устранения последствий и поддержания foothold даже после перезагрузок. Кроме того, запланированная задача на уровне SYSTEM добавляет дополнительную долговечность, указывая на то, что простое удаление видимых компонентов вторжения не будет достаточным для эффективного устранения последствий.

Переход к использованию Microsoft Teams для первоначального доступа отражает более широкие тенденции среди злоумышленников, поскольку он обеспечивает точку входа с низким уровнем трения, которая часто подвергается меньшему контролю, чем традиционные каналы электронной почты. Ожидается, что эта стратегия проявится и на других платформах для совместной работы, что повышает необходимость для организаций переоценить свои позиции в области безопасности для инструментов внешней коммуникации. Командам безопасности рекомендуется внедрить более строгие контроль над внешней федерацией Teams и проактивно мониторить индикаторы активности ModeloRAT, в частности, обращая внимание на портативные установки Python в директориях AppData пользователей, что напрямую коррелирует с индикаторами компрометации этой кампании. Кроме того, полные аудиты всех механизмов закрепления имеют решающее значение перед объявлением хостов безопасными, чтобы убедиться, что не осталось никаких следов компрометации, которые могли бы позволить злоумышленнику восстановить доступ.

В заключение, эволюция тактик KongTuke свидетельствует о переходе к активным методам социальной инженерии, использующим современные платформы для совместной работы, в сочетании с продвинутым набором ВПО, предназначенным для закрепления и устойчивости к традиционным методам обнаружения и реагирования.

#ParsedReport #CompletenessMedium
22-05-2026

Fast and Furious – Nimbus Manticore Operations During the Iranian Conflict

https://research.checkpoint.com/2026/fast-and-furious-nimbus-manticore-operations-during-the-iranian-conflict/

Report completeness: Medium

Actors/Campaigns:
Tortoiseshell
Irgc

Threats:
Minifast
Seo_poisoning_technique
Minijunk
Appdomain_hijacking_technique
Dll_sideloading_technique

Victims:
Aviation, Software, Defense, Telecommunications, Europe, Middle east, Africa, Israel, United arab emirates, United states, have more...

Industry:
Military, Telco, Software_development, Aerospace

Geo:
Israeli, Saudi arabia, Iran, United arab emirates, Australia, Arab emirates, Africa, Israel, Iranian, Middle east

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1033, T1036, T1041, T1053.005, T1057, T1059.003, T1071.001, T1082, T1083, have more...

IOCs:
Hash: 27
Domain: 25
File: 15
Path: 2
Command: 2

Soft:
Zoom, OnlyOffice, Chrome

Algorithms:
base64, zip, sha256

Functions:
TaskDescriptor, TaskRecord, taskId, taskIdLen, GetUserName

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 3, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Nimbus Manticore, иранский злоумышленник, расширил свои кибервозможности, в частности, путем развертывания ВПО через Отравление поисковой оптимизации (SEO) и внедрения нового бэкдора под названием MiniFast. Этот бэкдор функционирует как 64-битная Windows PE DLL для постоянного выполнения команд, взаимодействуя со своей инфраструктурой C2 с использованием JSON. Использование группой перехвата AppDomain с легитимными приложениями, такими как модифицированный установщик Zoom, демонстрирует тактическую изощренность и соответствие стратегическим целям IRGC на фоне продолжающихся геополитических напряжений.
-----

Nimbus Manticore, злоумышленник, связанный с Корпусом стражей исламской революции (IRGC), появился вновь на фоне геополитической напряженности, особенно во время военной операции США «Epic Fury», направленной против Ирана. Эта группа приняла передовые методы и расширила возможности, включая использование вредоносных приманок, имитирующих авторитетные организации в сфере авиации и программного обеспечения. Примечательно, что они впервые применили Отравление поисковой оптимизации (SEO) как метод доставки ВПО, стремясь повысить видимость и заманить жертв на вредоносные загрузки.

Значительным нововведением этой кампании стало появление ранее не документированного бэкдора под названием MiniFast. Данный бэкдор, по-видимому, использует практики разработки с поддержкой искусственного интеллекта, что указывает на то, что злоумышленник эволюционирует свой инструментарий, чтобы воспользоваться современными стратегиями разработки. Эта адаптивность позволяет осуществлять быструю разработку и обновление своего ВПО в ответ на изменение оперативной обстановки. В ходе операции Nimbus Manticore провела фишинговую кампанию с использованием троянизированных установщиков, включая модифицированный установщик Zoom. Тактика заключалась в злоупотреблении стандартным процессом установки оригинального приложения для создания бесшовной, но коварной цепочки заражения.

Оперативные техники, применяемые группировкой Nimbus Manticore, включали перехват AppDomain — метод, позволяющий злоумышленникам загружать вредоносный код через легитимные приложения. Размещая вредоносные конфигурационные файлы рядом с безобидным программным обеспечением, они инициировали выполнение ВПО, не вызывая немедленного подозрения. В частности, цепочка заражения начиналась с Setup.exe — легитимного исполняемого файла с подписью Microsoft, который в процессе перехвата выполнял загрузчик первого этапа (InitInstall.dll). Этот загрузчик затем переходил ко второму этапу (Updater.dll), который в конечном итоге развертывал финальный полезный груз, MiniFast.

MiniFast — это 64-битная Windows PE DLL, разработанная как комплексный бэкдор для длительного закрепления и выполнения команд. Он использует архитектуру на основе API для взаимодействия с инфраструктурой управления (C2), обмениваясь командами и ответами в формате JSON. Этот бэкдор структурирован так, чтобы сливаться с легальным сетевым трафиком, имитируя строку User-Agent браузера Chrome, тем самым снижая риск обнаружения.

В ходе операции Nimbus Manticore продемонстрировала впечатляющую устойчивость и адаптивность, показав способности поддерживать инфраструктуру и разрабатывать новое программное обеспечение, несмотря на возникшие трудности. Использование разработки с помощью ИИ стало все более очевидным, что отражается в системном подходе к проектированию и выполнению ВПО. Фокус актора на критических секторах, особенно в авиационной и оборонной отраслях, согласуется с более широкими разведывательными целями IRGC, что указывает на стратегический замысел, стоящий за их кибероперациями.

По мере развития конфликта на Ближнем Востоке Nimbus Manticore остаётся значимой угрозой благодаря своим сложным методологиям и манёвренности в развёртывании передовых кибертактик, что подчёркивает опасное пересечение геополитического конфликта и кибервойны.

#ParsedReport #CompletenessMedium
22-05-2026

ClickFix Evolves with PySoxy Proxying

https://reliaquest.com/blog/threat-spotlight-clickfix-evolves-with-pysoxy-proxying/

Report completeness: Medium

Threats:
Clickfix_technique
Pysoxy_tool
Ai-clickfix_technique
Socgholish_loader

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 4
Command: 1
IP: 4
Path: 2
Url: 2
Domain: 3

Soft:
curl, Node.js

Functions:
taskId

Languages:
perl, cscript, powershell, python, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники усовершенствовали киберугрозу ClickFix, используя запланированные задачи для закрепления и SOCKS5-прокси PySoxy для зашифрованного доступа, перейдя к модульной технике постэксплуатации. Внедрение начинается с команды PowerShell, запущенной в результате социальной инженерии, которая обеспечивает закрепление, позволяя осуществлять удаленный доступ и разведку с помощью встроенных инструментов Windows для оценки среды перед развертыванием прокси PySoxy. Этот прокси выполняется из нестандартного каталога, чтобы скрыть свою активность, что указывает на целенаправленную и организованную стратегию злоумышленников.
-----

Наблюдается новое развитие киберугрозы ClickFix, при котором злоумышленники используют комбинацию запланированных задач для закрепления и PySoxy — десятилетней давности открытого SOCKS5-прокси — для создания зашифрованного прокси-доступа. Этот новый подход знаменует собой отход от традиционного однократного события выполнения, характерного для тактик ClickFix, что позволяет реализовать то, что можно назвать модульной постэксплуатацией. Используя PySoxy, злоумышленники получают дополнительный метод доступа через зашифрованное управление, избегая зависимости от известных ВПО и инструментов удаленного мониторинга.

Внедрение начинается с того, что пользователь выполняет看似 безобидную команду PowerShell в результате социальной инженерии, что запускает цепочку событий, обеспечивающих закрепление через запланированные задачи. Эти запланированные задачи гарантируют, что даже если исходящие подключения к инфраструктуре злоумышленника заблокированы, атака может продолжаться за счет повторных попыток выполнения. Скрипт PowerShell функционирует не только как загрузчик, но и как легковесный инструмент удаленного доступа, способный опрашивать наличие команд и позволять злоумышленнику поддерживать активную сессию с скомпрометированным хостом.

Атака включает разведку после первоначального выполнения, где встроенные инструменты Windows используются для оценки скомпрометированной среды — сбора информации, такой как членство в группах, роли в домене и идентификация потенциальных целей. Эта разведка закладывает основу для развертывания прокси PySoxy, который повышает оперативную гибкость атакующего, создавая второй канал доступа.

При внедрении PySoxy он выполняется из нестандартного каталога, а его работа искусно маскируется под рутинную активность Python. Злоумышленники обеспечивают доступность необходимой инфраструктуры перед развертыванием этого дополнительного слоя. Выполнение происходит сразу после операций PowerShell и настройки запланированных задач, что указывает на тщательно спланированную стратегию, а не на оппортунистические действия.

Для защитников вызов, который представляет этот метод атаки, является значительным. Наличие запланированной задачи означает, что завершение действий по динамическому сдерживанию угроз не может опираться исключительно на обнаружение и блокировку первоначального обратного вызова. Защитные меры должны включать изоляцию скомпрометированных хостов, проверку запланированных задач и поиск аномальных выполнений команд Python, особенно тех, которые связаны с поведением, характерным для прокси. Фокус исключительно на заблокированных соединениях не решает проблему механизмов закрепления, которые поддерживают работу атаки.

#ParsedReport #CompletenessLow
22-05-2026

ShinyHunters Delivers Outsized Impact

https://reliaquest.com/blog/threat-spotlight-ransomware-and-cyber-extortion-in-q1-2026/

Report completeness: Low

Actors/Campaigns:
Shinyhunters (motivation: financially_motivated, information_theft)
Gentlemen_ransomware
Alp-001 (motivation: financially_motivated, information_theft)

Threats:
Aitm_technique
Akira_ransomware
Qilin_ransomware
0apt_syndicate
Supply_chain_technique
Ransomhub
Blackcat
Disabling_antivirus_technique
Inc_ransomware
Credential_harvesting_technique

Victims:
Large enterprises, Legal services, Law firms, Critical infrastructure, Health care, Finance, Banking, Manufacturing, United states, India, have more...

Industry:
Financial, Critical_infrastructure, Healthcare

Geo:
Thailand, India

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1021.002, T1078, T1078.004, T1098, T1133, T1190, T1213, T1484.001, T1557, have more...

Soft:
Salesforce, Linux, ESXi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShinyHunters стали одним из наиболее значимых акторов угроз в 2026 году, используя intrusion-операции, ориентированные на компрометацию цифровых идентичностей (identity-first intrusions), а также SaaS-native методы хищения данных. Основной фокус группы — кража данных и вымогательство без применения традиционных ransomware-тактик.

В качестве основных векторов первоначального доступа злоумышленники используют vishing-атаки с применением подмены Caller ID и фишинговых сайтов. В результате ими было развернуто около 500 фишинговых доменов, а учетные данные жертв похищались с использованием техник adversary-in-the-middle (AiTM).

Группа также эксплуатирует ошибки конфигурации в таких платформах, как Salesforce, компрометируя учетные записи и извлекая чувствительную информацию через API и механизмы массовой выгрузки данных. Активность ShinyHunters подчеркивает необходимость повышенной бдительности и адаптации защитных мер к их постоянно эволюционирующим тактикам.-----

ShinyHunters стал значимым злоумышленником в первом квартале 2026 года, используя атаки с первичным захватом учётных данных и методы кражи данных, характерные для SaaS-среды.

Группа сосредоточена на краже данных и вымогательстве, не развертывая вредоносные шифровальщики, и нацелена на среды с ограниченной видимостью безопасности.

Основные методы доступа включают атаки vishing, при которых злоумышленники выдают себя за сотрудников службы технической поддержки IT для получения учетных данных.

Они используют поддельные Caller ID и фишинг-сайты, имитирующие доверенные сервисы, что помогает им обходить корпоративные меры безопасности.

Обнаружено около 500 фишинг-доменов, связанных с ShinyHunters, что увеличивает их доступ к бизнес-данным.

Техники «злоумышленник посередине» (AiTM) используются для быстрого захвата учётных данных и доступа к устройствам многофакторной аутентификации (MFA).

Попав внутрь, они используют подключения единого входа (SSO) для доступа к таким платформам, как Salesforce и SharePoint, извлекая конфиденциальную информацию через API или массовые загрузки.

ShinyHunters неправильно настраивает Salesforce Experience Cloud с модифицированным инструментом AuraInspector для взлома сотен учетных записей без взаимодействия с пользователем.

Другие группировки вымогателей, такие как Akira и Qilin, продолжают свою деятельность, в то время как новые акторы, такие как хакерская группировка The Gentlemen, демонстрируют повышенную активность.

0APT и ALP-001 — сомнительные сайты утечек, оказывающие давление на предприятия с потенциально сфабрикованными утверждениями.

Организациям рекомендуется усилить киберзащиту от компрометации идентификации, эксплуатации внешних сервисов и латерального перемещения через административные протоколы.

Рекомендуется внедрение надежных политик доступа, повышение осведомленности о рисках, связанных с фишингом через голосовую связь (vishing), а также активный мониторинг журналов SaaS на предмет необычной активности.

Давление со стороны программ-вымогателей сместилось: организациям необходимо быстро проверять вымогательские требования, одновременно адаптируя защиту к эволюционирующим тактикам.

Проактивные меры должны быть сосредоточены на поведении, способствующем проникновению, а не только на выявлении злоумышленников, чтобы повысить устойчивость к постоянным угрозам программ-вымогателей.

#ParsedReport #CompletenessHigh
22-05-2026

Cloud Atlas activity in the second half of 2025 and early 2026: new tools and a new payload

https://securelist.com/cloud-atlas-2026/119895/

Report completeness: High

Actors/Campaigns:
Cloudatlas
Head_mare

Threats:
Revsocks_tool
Vbcloud_tool
Powershower_tool
Kerberoasting_technique
Shadow_copies_delete_technique
Uac_bypass_technique
Paexec_tool
Ps2exe_tool
Phantomheart
Reversesocks_tool

Victims:
Government agencies, Diplomatic entities, Commercial companies

Industry:
Government

Geo:
Belarus, Russia, Russian

CVEs:
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft office_compatibility_pack (-)
- microsoft word (2007, 2010, 2013, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.002, T1003.004, T1005, T1018, T1021.001, T1027, T1036, T1036.008, T1041, T1057, have more...

IOCs:
File: 50
Hash: 69
Domain: 26
IP: 19

Soft:
Microsoft Office, Active Directory, Remote Desktop Services, PsExec, OpenSSH, Tor Browser, Chrome, Firefox, Windows ime, Windows setup, have more...

Algorithms:
base64, rc4, md5, zip

Functions:
WriteToSchedulerKillSSH, WriteToSchedulerGenerateKey

Win Services:
BITS

Languages:
powershell, python, golang

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце 2025 и начале 2026 года хакерская группировка Cloud Atlas атаковала государственные и коммерческие организации в России и Беларуси, применяя сложный подход, включавший туннелирование SSH и новые инструменты. Их тактика заключалась в распространении ZIP-архивов, содержащих вредоносные LNK-файлы, которые выполняли скрипты PowerShell, что приводило к установке бэкдоров VBCloud и PowerShower, ориентированных на кражу данных и разведку в сети. Группировка также использовала техники перемещения внутри компании и новые инструменты, такие как PowerCloud, для сбора пользовательских данных, демонстрируя свои развивающиеся угрозы.
-----

Во второй половине 2025 года и начале 2026 года хакерская группировка Cloud Atlas APT group проводила масштабные операции по созданию SSH-туннелей, нацеленные на государственные организации и коммерческие структуры в России и Беларуси. Это расследование выявило новые инструменты и тактики, используемые группировкой, которая активна с 2014 года. Одна из значимых техник заключалась в распространении ZIP-архивов, содержащих вредоносные LNK-файлы, которые запускают скрипты PowerShell, что стало отходом от их предыдущей зависимости от вредоносных документов, эксплуатирующих уязвимость Microsoft Office (CVE-2018-0802).

Первоначальный вектор заражения, используемый Cloud Atlas, в основном опирался на фишинг, при этом злоумышленники отправляли ZIP-файл, содержащий LNK-файл, предназначенный для выполнения сценариев PowerShell из внешних источников. Сценарии PowerShell выполняли ряд действий, включая настройку механизмов закрепления, запуск документов-приманок для отвлечения пользователей и загрузку полезной нагрузки с удаленных серверов. Основной сценарий, называемый Fixed.ps1, обеспечивал установку двух ключевых компонентов ВПО: бэкдора VBCloud и бэкдора PowerShower.

Компонент VBCloud функционирует как дроппер, доставляющий основной модуль бэкдора, нацеленный на различные типы файлов для кражи, включая форматы документов и электронных таблиц. Бэкдор PowerShower сфокусирован на разведке внутри сети жертвы, позволяя выполнять такие действия, как сбор информации о запущенных процессах и выполнение атак Керберостинг для захвата паролей хэшей из учетных записей Active Directory.

В тактиках перемещения внутри компании Cloud Atlas использовал скрипты, предназначенные для разрешения нескольких RDP-сессий путем патчинга файла termsrv.dll. Они также создавали обратные SSH-туннели с использованием различных утилит, включая кастомные версии OpenSSH и инструмент на базе Golang под названием RevSocks, что усиливало их способность поддерживать контроль над скомпрометированными сетями. Эти функции позволяли им устанавливать дополнительные инструменты и получать доступ к конечным точкам, минимизируя риск обнаружения.

Помимо традиционных функций бэкдора, злоумышленники внедрили новый инструмент PowerCloud, который собирает пользовательские данные с повышенными привилегиями и передает эту информацию в Google Sheets в закодированном формате. Кроме того, был замечен скрипт проверки браузеров, который оценивает, работают ли распространенные браузеры, что позволяет злоумышленникам выбирать оптимальное время для своих вредоносных действий на основе паттернов активности пользователей.

Данные телеметрии указывают на то, что данная кампания в первую очередь нацеливалась на секторы в России и Беларуси, в частности на государственные и дипломатические организации, что соответствует историческому фокусу Cloud Atlas. Эволюционирующие тактики группы, включая сложное использование обратного SSH, туннелирования Tor и новых инструментов, подчеркивают их продолжающуюся угрозу для ландшафта угроз. Мониторинг их деятельности остается критически важным, поскольку их возможности указывают на постоянную и адаптивную угрозу.

#ParsedReport #CompletenessMedium
21-05-2026

Megalodon: Mass GitHub Repo Backdooring via CI Workflows

https://safedep.io/megalodon-mass-github-repo-backdooring-ci-workflows/

Report completeness: Medium

Actors/Campaigns:
Megalodon

Victims:
Github repositories, Tiledesk, Black iron project, Wise community, Npm

Industry:
Software_development, E-commerce, Healthcare

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1059.004, T1078, T1083, T1195.002, T1528, T1552, have more...

IOCs:
IP: 1
File: 2
Url: 1
Email: 2

Soft:
Docker, Kubernetes

Algorithms:
base64

Languages:
javascript, php, golang, python, java, csharp

Platforms:
apple

Links:
https://github.com/Tiledesk/tiledesk-server/commit/acac5a9854650c4ae2883c4740bf87d34120c038
have more...
https://github.com/Tiledesk/tiledesk-server

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
18 мая 2026 года киберкампания «Megalodon» быстро внедрила 5 718 вредоносных коммитов в 5 561 репозиторий GitHub, используя одноразовые аккаунты для маскировки злоумышленников. Два варианта полезной нагрузки, «SysDiag» и «Optimize-Build», эксплуатировали рабочие процессы GitHub Actions для эксфильтрации конфиденциальных секретов CI, ключей AWS, токенов GCP и SSH-ключей, используя base64-кодированные bash-скрипты. Атаки в значительной степени затронули репозитории Tiledesk и продемонстрировали потенциальные широкие последствия для организаций, использующих GitHub для CI/CD.
-----

18 мая 2026 года крупномасштабная автоматизированная киберкампания под названием «Megalodon» осуществила быструю инъекцию 5 718 вредоносных коммитов в 5 561 репозиторий GitHub в течение шести часов. Атакующие использовали одноразовые учетные записи и поддельные личности, применяя псевдонимы, такие как «build-bot» и «ci-bot», чтобы скрыть свои действия. Основной метод заключался в эксплуатации рабочих процессов GitHub Actions для развертывания base64-кодированных bash-скриптов, предназначенных для эксфильтрации конфиденциальных секретов непрерывной интеграции (CI) и различных учетных данных.

В ходе кампании были распространены два различных варианта полезной нагрузки. Первый, названный «SysDiag», функционировал как массовый вариант, настраивая рабочие процессы, которые активировались при каждом пуше кода и запросе на слияние (pull request), тем самым максимизируя возможности для выполнения. В отличие от него, целевой вариант, названный «Optimize-Build», заменял существующие рабочие процессы теми, которые выполнялись только по требованию через триггеры API GitHub. Примечательно, что этот целевой вариант был интегрирован в определенные версии (с 2.18.6 по 2.18.12) пакета npm @tiledesk/tiledesk-server, который был непреднамеренно распространён законным сопровождающим, опубликовавшим обновления из скомпрометированного репозитория.

Скомпрометированные рабочие процессы были разработаны для сбора обширного набора конфиденциальных данных, включая все переменные окружения, связанные с CI, ключи доступа AWS, токены GCP и даже закрытые ключи SSH. Вредоносные скрипты использовали команды для запроса метаданных служб AWS и GCP, а также сканирования исходного кода на наличие распространенных секретов, таких как ключи API, строки подключения к базам данных и облачные токены. Кроме того, полезная нагрузка была направлена на эксфильтрацию токенов OIDC GitHub Actions, персональных токенов доступа GitHub, токенов GitLab CI/CD и токенов Bitbucket, что фактически позволяло потенциальную имперсонацию в облачных средах.

Анализ выявил, что вредоносные коммиты были отправлены с адресов эл. почты, таких как "build-system@noreply.dev" и "ci-bot@automated.dev", что дополнительно подтверждает автоматизированный характер атак. После отслеживания вредоносного коммита было установлено, что он был создан автоматически сущностью 18 мая без использования стандартных pull-запросов, что указывает на прямую отправку в мастер-ветку, вероятно, через скомпрометированный персональный токен доступа (PAT) или ключ развертывания.

Серьезность кампании Megalodon подчеркивается ее масштабом, с широким охватом множества организаций, при этом Tiledesk оказался особенно затронут в девяти из своих репозиториев. В целом, поиск по API коммитов показал, что эти вредоносные активности затронули тысячи репозиториев, сгруппированных в короткий промежуток времени, что указывает на потенциальные широкие последствия для организаций, использующих GitHub для своих CI/CD практик.

#ParsedReport #CompletenessMedium
23-05-2026

Laravel Lang Compromised with RCE Backdoor Across 700+ Versions

https://socket.dev/blog/laravel-lang-compromise

Report completeness: Medium

Threats:
Credential_harvesting_technique
Awscollector_tool
Putty_tool
Supply_chain_technique

Victims:
Software development, Cloud services, Continuous integration and continuous delivery, Developer environments, Php applications, Laravel applications

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1005, T1027, T1041, T1059, T1059.005, T1071.001, T1083, T1105, T1119, have more...

IOCs:
File: 10
Domain: 1
Url: 2

Soft:
Laravel, Unix, Linux, macOS, Slack, Discord, Kubernetes, Helm, HashiCorp Vault, Jenkins, have more...

Wallets:
metamask

Crypto:
bitcoin, ethereum, monero

Algorithms:
xor, base64, md5

Languages:
cscript, php

Platforms:
cross-platform