#ParsedReport #CompletenessMedium
21-05-2026

Megalodon: Mass GitHub Repo Backdooring via CI Workflows

https://safedep.io/megalodon-mass-github-repo-backdooring-ci-workflows/

Report completeness: Medium

Actors/Campaigns:
Megalodon

Victims:
Github repositories, Tiledesk, Black iron project, Wise community, Npm

Industry:
Software_development, E-commerce, Healthcare

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1059.004, T1078, T1083, T1195.002, T1528, T1552, have more...

IOCs:
IP: 1
File: 2
Url: 1
Email: 2

Soft:
Docker, Kubernetes

Algorithms:
base64

Languages:
javascript, php, golang, python, java, csharp

Platforms:
apple

Links:
https://github.com/Tiledesk/tiledesk-server/commit/acac5a9854650c4ae2883c4740bf87d34120c038
have more...
https://github.com/Tiledesk/tiledesk-server

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
18 мая 2026 года киберкампания «Megalodon» быстро внедрила 5 718 вредоносных коммитов в 5 561 репозиторий GitHub, используя одноразовые аккаунты для маскировки злоумышленников. Два варианта полезной нагрузки, «SysDiag» и «Optimize-Build», эксплуатировали рабочие процессы GitHub Actions для эксфильтрации конфиденциальных секретов CI, ключей AWS, токенов GCP и SSH-ключей, используя base64-кодированные bash-скрипты. Атаки в значительной степени затронули репозитории Tiledesk и продемонстрировали потенциальные широкие последствия для организаций, использующих GitHub для CI/CD.
-----

18 мая 2026 года крупномасштабная автоматизированная киберкампания под названием «Megalodon» осуществила быструю инъекцию 5 718 вредоносных коммитов в 5 561 репозиторий GitHub в течение шести часов. Атакующие использовали одноразовые учетные записи и поддельные личности, применяя псевдонимы, такие как «build-bot» и «ci-bot», чтобы скрыть свои действия. Основной метод заключался в эксплуатации рабочих процессов GitHub Actions для развертывания base64-кодированных bash-скриптов, предназначенных для эксфильтрации конфиденциальных секретов непрерывной интеграции (CI) и различных учетных данных.

В ходе кампании были распространены два различных варианта полезной нагрузки. Первый, названный «SysDiag», функционировал как массовый вариант, настраивая рабочие процессы, которые активировались при каждом пуше кода и запросе на слияние (pull request), тем самым максимизируя возможности для выполнения. В отличие от него, целевой вариант, названный «Optimize-Build», заменял существующие рабочие процессы теми, которые выполнялись только по требованию через триггеры API GitHub. Примечательно, что этот целевой вариант был интегрирован в определенные версии (с 2.18.6 по 2.18.12) пакета npm @tiledesk/tiledesk-server, который был непреднамеренно распространён законным сопровождающим, опубликовавшим обновления из скомпрометированного репозитория.

Скомпрометированные рабочие процессы были разработаны для сбора обширного набора конфиденциальных данных, включая все переменные окружения, связанные с CI, ключи доступа AWS, токены GCP и даже закрытые ключи SSH. Вредоносные скрипты использовали команды для запроса метаданных служб AWS и GCP, а также сканирования исходного кода на наличие распространенных секретов, таких как ключи API, строки подключения к базам данных и облачные токены. Кроме того, полезная нагрузка была направлена на эксфильтрацию токенов OIDC GitHub Actions, персональных токенов доступа GitHub, токенов GitLab CI/CD и токенов Bitbucket, что фактически позволяло потенциальную имперсонацию в облачных средах.

Анализ выявил, что вредоносные коммиты были отправлены с адресов эл. почты, таких как "build-system@noreply.dev" и "ci-bot@automated.dev", что дополнительно подтверждает автоматизированный характер атак. После отслеживания вредоносного коммита было установлено, что он был создан автоматически сущностью 18 мая без использования стандартных pull-запросов, что указывает на прямую отправку в мастер-ветку, вероятно, через скомпрометированный персональный токен доступа (PAT) или ключ развертывания.

Серьезность кампании Megalodon подчеркивается ее масштабом, с широким охватом множества организаций, при этом Tiledesk оказался особенно затронут в девяти из своих репозиториев. В целом, поиск по API коммитов показал, что эти вредоносные активности затронули тысячи репозиториев, сгруппированных в короткий промежуток времени, что указывает на потенциальные широкие последствия для организаций, использующих GitHub для своих CI/CD практик.

#ParsedReport #CompletenessMedium
23-05-2026

Laravel Lang Compromised with RCE Backdoor Across 700+ Versions

https://socket.dev/blog/laravel-lang-compromise

Report completeness: Medium

Threats:
Credential_harvesting_technique
Awscollector_tool
Putty_tool
Supply_chain_technique

Victims:
Software development, Cloud services, Continuous integration and continuous delivery, Developer environments, Php applications, Laravel applications

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1005, T1027, T1041, T1059, T1059.005, T1071.001, T1083, T1105, T1119, have more...

IOCs:
File: 10
Domain: 1
Url: 2

Soft:
Laravel, Unix, Linux, macOS, Slack, Discord, Kubernetes, Helm, HashiCorp Vault, Jenkins, have more...

Wallets:
metamask

Crypto:
bitcoin, ethereum, monero

Algorithms:
xor, base64, md5

Languages:
cscript, php

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Проект Laravel Lang подвергся серьезному нарушению безопасности, в результате которого были скомпрометированы более 700 версий пакетов локализации с бэкдорами, обеспечивающими Удаленное Выполнение Кода (RCE). Атака эксплуатировала автозагрузчик Composer, позволяя вредоносному коду из конкретного PHP-файла выполняться автоматически, что инициировало сложную операцию сбора учетных записей на различных платформах. ВПО использует методы динамической генерации имени хоста C2 и шифрования данных, нацеливаясь на конфиденциальную информацию из различных источников, включая облачные среды и конвейеры CI/CD.
-----

Проект Laravel Lang столкнулся с серьезным нарушением безопасности: более 700 версий его пакетов локализации были скомпрометированы через бэкдоры Удаленного Выполнения Кода (RCE). Среди затронутых пакетов — laravel-lang/lang и laravel-lang/http-statuses. Эти пакеты, хотя и не являются частью официального фреймворка Laravel, широко используются в приложениях на Laravel и подверглись воздействию, когда скомпрометированные версии были автоматически выполнены автозагрузчиком Composer во время стандартного времени выполнения приложения.

Компрометация носит масштабный характер, так как почти одновременно 22 и 23 мая 2026 года в рамках организации Laravel Lang на GitHub произошла вспышка создания новых тегов в нескольких репозиториях. Быстрая публикация этих тегов указывает на организованную атаку, что, вероятно, свидетельствует о том, что злоумышленник получил доступ к учетным данным на уровне организации или использовал автоматизацию репозиториев.

Основной вредоносный код содержится в конкретном файле PHP src/helpers.php, который зарегистрирован в composer.json в разделе autoload.files. Эта регистрация обеспечивает срабатывание бэкдора при каждой обработке PHP-запроса. ВПО использует сложные техники уклонения, такие как динамическая генерация имени хоста для управления (C2) в целях избежания обнаружения и отключение проверки TLS при получении полезной нагрузки.

Вредоносный скрипт демонстрирует расширенные возможности, функционируя как полезная нагрузка второго этапа, предназначенная для кражи конфиденциальных данных с затронутых систем. Это ВПО на базе PHP работает на различных платформах, включая Linux, macOS и Windows. После активации оно запускает процесс сбора учетных записей, который систематически извлекает конфиденциальную информацию из широкого спектра источников — облачных сред, конвейеров CI/CD, Менеджеров паролей и локальных конфигураций. Оно использует множество сборщиков, нацеленных на конкретные категории данных, такие как ключи AWS, токены Kubernetes, учетные данные Git и сохраненные конфигурации VPN.

Несколько тревожных характеристик подчеркивают сложность ВПО. Например, оно создано для генерации уникального идентификатора для каждого хоста, тем самым предотвращая избыточное выполнение его полезной нагрузки после первого запуска. ВПО также содержит жестко закодированный ключ шифрования, который оно использует для XOR-шифрования собранных данных перед их эксфильтрацией на сервер C2.

Организациям, использующим затронутые пакеты Laravel Lang, рекомендуется рассматривать затронутые системы как потенциально скомпрометированные, что требует немедленной проверки файлов composer.lock для выявления и блокировки затронутых пакетов. Рекомендуется сменить учетные данные и секреты, которые могли быть раскрыты. Наконец, организациям следует сохранить соответствующие журналы и артефакты для потенциального криминалистического анализа, а также рассмотреть возможность полной пересборки любой затронутой среды для защиты от дальнейших уязвимостей.

#ParsedReport #CompletenessLow
22-05-2026

Malicious Postinstall Hook Found Across 700+ GitHub Repositories, Including Packagist and Node.js Projects

https://socket.dev/blog/malicious-postinstall-hook-found-across-700-github-repos

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Github repositories, Packagist packages, Php projects, Node.js projects, Ci cd workflows

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059.004, T1105, T1195.001, T1564.001

IOCs:
File: 2

Soft:
Node.js, Linux, curl, Laravel, Alpine, Livewire

Languages:
javascript, php

Links:
https://github.com/moritz-sauer-13/silverstripe-cms-theme/commit/7825479
https://github.com/thedevdojo/wave/commit/8f9127a
https://github.com/crosiersource/crosierlib-base/commit/551c319
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Координированная атака на цепочку поставок привела к компрометации более 700 репозиториев GitHub, включая проекты на PHP и Node.js, путем внедрения вредоносного postinstall-хука в затронутые пакеты Composer. Этот скрипт, обнаруженный в файлах `package.json`, загружает несанкционированный бинарный файл, обходя меры безопасности HTTPS, и потенциально нацелен на рабочие процессы CI/CD. Инцидент подчеркивает необходимость комплексного сканирования всех файлов репозитория, поскольку вредоносные изменения могут легко распространяться вместе с новыми версиями пакетов, особенно в широко используемых фреймворках и стартовых комплектах.
-----

Исследователи выявили скоординированную атаку на Цепочка поставок, затронувшую более 700 репозиториев GitHub, включая пакеты PHP на Packagist и проекты Node.js, в которые был встроен вредоносный postinstall-хук. Эта атака нацелилась на восемь пакетов Composer, модифицировав их исходные репозитории для включения вредоносного скрипта, который пытался загрузить и выполнить бинарный файл с URL релизов GitHub, сохраняя его в скрытый файл в директории `/tmp/.sshd`.

Вредоносный скрипт систематически добавлялся в файлы `package.json` этих проектов, а не в ожидаемый `composer.json`. Такое размещение в другой экосистеме имеет значение, поскольку позволяет вредоносному ПО избегать обнаружения командами по безопасности, которые фокусируются преимущественно на метаданных Composer, тем самым потенциально оставляя уязвимости без проверки в хуках жизненного цикла, связанных с JavaScript.

Работа скрипта вызывает обеспокоенность: он использует `curl -k` для загрузки бинарного файла с именем `gvfsd-network`, отключая при этом проверку TLS-сертификатов — подход, который подрывает безопасность, обычно обеспечиваемую HTTPS. Затем скрипт делает загруженный файл исполняемым и запускает его в фоновом режиме. Хотя вторую стадию вредоносного кода не удалось извлечь из-за его недоступности по исходному адресу, поведение первой стадии достаточно тревожно, чтобы классифицировать пакеты как вредоносные. Этот метод установки загружает и выполняет непроверенный удалённый бинарный файл без проверки целостности, что представляет собой серьёзную угрозу.

Анализ репозиториев GitHub позволил выявить вредоносные коммиты, содержащие вредоносный postinstall-скрипт. В некоторых случаях было обнаружено, что этот скрипт также включён в CI/CD-процессы в рамках GitHub Actions, что указывает на возможность расширения атаки на автоматизированные конвейеры развертывания.

Компрометация этих репозиториев напрямую связана с изменениями в цепочке поставок, которые были отражены в Packagist в момент совершения вредоносных коммитов. При выпуске новых версий затронутых пакетов в них непреднамеренно включался вредоносный код. Хотя многие сопровождающие в конечном итоге откатили вредоносные изменения, это продемонстрировало, насколько легко можно упустить из виду вредоносные скрипты, встроенные во вспомогательные файлы.

Среди затронутых пакетов такие, как `devdojo/wave`, популярный стартовый набор для SaaS на Laravel, представляют значительный риск из-за их широкого распространения и характера процессов установки. Такие стартовые наборы, будучи скомпрометированными, позволяют вредоносному скрипту запускаться автоматически при инициализации проекта, что значительно усиливает потенциальное воздействие атаки. Другие затронутые библиотеки, которые функционируют исключительно как зависимости, могут не запускать скрипт postinstall аналогичным образом, снижая их непосредственный риск. Это подчеркивает необходимость тщательного сканирования всех файлов в репозиториях проектов, а не полагаться исключительно на основные менеджеры пакетов для обеспечения безопасности.

#ParsedReport #CompletenessMedium
23-05-2026

Supply Chain Attack Targets Laravel-Lang Packages with Credential Stealer

https://www.aikido.dev/blog/supply-chain-attack-targets-laravel-lang-packages-with-credential-stealer

Report completeness: Medium

Actors/Campaigns:
Laravel_lang_compromise

Threats:
Supply_chain_technique
Credential_stealing_technique
Putty_tool

Victims:
Software, Open source package ecosystem

Industry:
Transport

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1012, T1027, T1036, T1041, T1059, T1059.005, T1070.004, T1071.001, T1082, have more...

IOCs:
Domain: 1
Url: 2
File: 6

Soft:
Laravel, curl, Linux, macOS, HashiCorp Vault, Helm, Docker, mysql, Chrome, Opera, have more...

Wallets:
zcash, electrum, exodus_wallet, trezor, wassabi, metamask, keplr, solflare, rabby

Crypto:
bitcoin, ethereum, monero, litecoin, dogecoin

Algorithms:
aes-256

Functions:
laravel_lang_locale, laravel_lang_fallback, exec

Languages:
cscript, php, python

Platforms:
intel

Links:
https://github.com/Laravel-Lang/common/issues/257
https://github.com/AikidoSec/safe-chain

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака на цепочку поставок 22 мая 2026 года нацелилась на пакеты Laravel-Lang, внедряя код стиллера учетных данных в репозитории через вредоносные теги версий, связанные с форком. ВПО, представляющее собой 5900-строчный PHP-стиллер учетных данных, использовало файл-дропер для запуска своего полезного груза, который варьировался в зависимости от операционной системы, с целью сбора конфиденциальных данных, таких как ключи AWS, закрытые ключи SSH и пароли браузеров. Эта атака демонстрирует передовые тактики, использующие зависимости программного обеспечения, и подчеркивает риски для широко используемых пакетов.
-----

22 мая 2026 года была обнаружена атака на Цепочку поставок, направленная на пакеты Laravel-Lang, в ходе которой в три популярных репозитория был внедрен код для кражи учетных данных. Атакующий хитро развернул вредоносные теги версий, которые указывали на форк, содержащий опасный код, без его фиксации в официальных репозиториях. Этот подход эксплуатировал функциональность GitHub, позволяющую связывать теги версий с различными коммитами, что обеспечивало выполнение вредоносного кода через функцию автозагрузчика Composer.

Злоумышленник внедрил файл-дропер src/helpers.php, замаскированный под локализационный помощник. Этот файл содержал блок кода, который выполнялся при заражении, определял среду хоста и обеспечивал активацию полезной нагрузки только один раз на системе путем создания маркерного файла. Домен управления (управление) (C2) был скрыт внутри целочисленного массива, что затрудняло обнаружение, и разрешался в flipboxstudio.info. Дропер загружал полезную нагрузку с этого домена управления (управление) (C2), используя file_get_contents с отключенной проверкой SSL. Способ выполнения полезной нагрузки варьировался в зависимости от операционной системы: в системах Windows запускался файл .vbs, а в системах macOS и Linux полезная нагрузка выполнялась в фоновом режиме.

Полезная нагрузка, представляющая собой масштабный PHP-стиллер учетных данных, состоящий примерно из 5900 строк, был структурирован в пятнадцать специализированных модулей для похищения конфиденциальной информации. После сбора данных он шифровал найденные сведения с использованием AES-256 и передавал их на тот же домен C2, после чего стирал себя, чтобы минимизировать следы атаки.

Похищенные данные включали широкий спектр конфиденциальных учетных данных: ключи доступа и токены AWS, учетные данные приложений GCP, различные токены провайдеров услуг, закрытые ключи SSH и множество конфигурационных файлов (таких как .git-credentials и .env). Кроме того, он нацеливался на специфичные для браузеров данные, собирая сохраненные пароли из нескольких браузеров на базе Chromium и Firefox, а также информацию об учетных данных из менеджеров паролей. ВПО было способно извлекать файлы криптографических кошельков, записи из Диспетчера учетных данных Windows и конфигурационные данные для различных VPN.

Этот инцидент подчеркивает эволюцию тактик, используемых злоумышленниками в уязвимостях цепочки поставок, акцентируя внимание на значительном риске, который представляют пакеты программного обеспечения, на которые разработчики регулярно полагаются. Оперативное информирование таких платформ, как Packagist, позволило быстро провести работы по устранению последствий, включая удаление вредоносных версий для предотвращения дальнейших установок и эксплуатации.

#ParsedReport #CompletenessMedium
20-05-2026

DRAGONFORCE

https://ccb.belgium.be/open-media/1275/download?inline&file=pdf

Report completeness: Medium

Actors/Campaigns:
Dragonforce (motivation: sabotage, hacktivism, cyber_criminal, financially_motivated)
Dragonforce_malaysia (motivation: hacktivism)
0ktapus

Threats:
Ransomhub
Lockbit
Conti
Byovd_technique
Qilin_ransomware
Eldorado_ransomware
Ransombay_raas
Dragonforce_ransomware
Supply_chain_technique
Log4shell_vuln
Cobalt_strike_tool
Lolbin_technique
Dll_hijacking_technique
Rentdrv2_tool
Passview_tool
Mimikatz_tool
Lazagne_tool
Adfind_tool
Simplehelp_tool
Systembc
Timestomp_technique
Credential_dumping_technique
Pchunter_tool
Process_hacker_tool

Victims:
Manufacturing, Business services, Technology, Construction, Healthcare, Government

Industry:
Financial, Healthcare, E-commerce, Transport, Telco, Government, Critical_infrastructure

Geo:
Hong kong, Malaysia, Belgium, German, Australia, Germany, Latin america, France, Asia-pacific, Palau, Dutch, French, Israel, United kingdom, Russian, Russia

CVEs:
CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-40766 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (<5.9.2.14-13o)

CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1809 (<10.0.17763.5458)
- microsoft windows_10_21h2 (<10.0.19044.4046)
- microsoft windows_10_22h2 (<10.0.19045.4046)
- microsoft windows_11_21h2 (<10.0.22000.2777)
- microsoft windows_11_22h2 (<10.0.22621.3155)
have more...
CVE-2024-21762 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<2.0.14, <7.0.15, <7.2.9, <7.4.3)
- fortinet fortios (<6.0.18, <6.2.16, <6.4.15, <7.0.14, <7.2.7)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)

CVE-2024-57726 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- simple-help simplehelp (<5.5.8)

CVE-2024-57728 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- simple-help simplehelp (<5.5.8)

CVE-2024-57727 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- simple-help simplehelp (<5.5.8)

CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)


TTPs:
Tactics: 13
Technics: 60

IOCs:
File: 2

Soft:
Outlook, Ivanti, PsExec, Linux, ESXi, gatekeepers, SonicOS, Fortinet FortiOS, Tor Browser, Windows Service, have more...

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DragonForce — оператор RaaS с двойным вымогательством, появившийся в конце декабря 2023 года, нацеленный на более чем 400 жертв, преимущественно в странах Запада с высоким ВВП. Группа использует фишинг, эксплуатацию уязвимостей и атаки брутфорс, особенно против RDP и VPN, применяя собственное программное обеспечение-вымогатель, такое как LockBit и Conti. Их тактика включает шифрование данных и эксфильтрацию конфиденциальной информации для оказания давления на жертв, а также партнерскую программу для управления атаками, что указывает на переход к картелю программ-вымогателей, связанному с российскими структурами.
-----

DragonForce — это оператор программы двойного вымогательства Ransomware-as-a-Service (RaaS), появившийся в конце декабря 2023 года и быстро закрепившийся в качестве заметной и развивающейся киберугрозы. Ориентируясь исключительно на финансовую выгоду, группа атаковала более 400 жертв, преимущественно в странах Запада с высоким ВВП, особенно в Соединенных Штатах, а также в таких секторах, как производство, бизнес-услуги, технологии, строительство и здравоохранение. Их метод работы включает компрометацию сетей через фишинговые кампании, эксплуатацию известных уязвимостей и брутфорс-атаки, особенно против Протокола удаленного рабочего стола (RDP) и VPN-сервисов. DragonForce использует техники living-off-the-land наряду с вредоносными загрузками, такими как кастомные версии программ-вымогателей LockBit и Conti для выполнения задач.

Методология двойного вымогательства, применяемая DragonForce, не только шифрует данные, но и похищает конфиденциационную информацию, угрожая раскрыть эти данные, если выкуп не будет выплачен. Эта стратегия усложняет процесс восстановления для жертв и усиливает финансовое давление для соблюдения требований. Группа работает с использованием сложной партнерской программы, позволяющей участникам управлять своими атаками через Панель управления, что способствует расширению операционного темпа группы и увеличению числа жертв. Ransomware DragonForce, способная затрагивать различные платформы, включая Windows и Linux, использует современные методы шифрования для защиты своих полезной нагрузки, делая восстановление без оплаты маловероятным.

Ключевые тактики, используемые DragonForce, могут быть сопоставлены с фреймворком MITRE ATT&CK, что подчеркивает методы получения первоначального доступа, выполнения команд, закрепления в скомпрометированных средах, перемещения внутри компании и уклонения от защитных механизмов. Группа продемонстрировала квалификацию в отключении служб безопасности и эксплуатации уязвимостей в системах, доступных через интернет, и ПО для удаленного доступа, уделяя особое внимание продуктам от Ivanti и Fortinet, что делает их критическими точками для потенциальных защитных мер.

Кроме того, имеются указания на то, что операции DragonForce могут находиться под влиянием связей с организациями из СНГ или российскими структурами, о чём свидетельствует их использование российских онлайн-форумов для коммуникации и поддержка инфраструктуры европейскими интернет-провайдерами. Их эволюционирующая структура перешла к формированию картеля вымогателей, что дополнительно консолидирует власть в подпольной экосистеме. Поскольку они разрабатывают стратегии по поглощению или кооптации конкурирующих групп, ландшафт угроз остаётся динамичным и требует непрерывного мониторинга.

Для усиления защиты от DragonForce и аналогичных угроз организациям рекомендуется внедрять надежные меры кибербезопасности, включая регулярное обучение по безопасности, управление уязвимостями и использование решений разведки угроз, адаптированных для обнаружения активности DragonForce. В целом, расширение группы и ее операционная сложность подчеркивают критическую необходимость повышения осведомленности и протоколов кибербезопасности в целевых секторах.

#ParsedReport #CompletenessHigh
24-05-2026

Analyzing Void Dokkaebi's Cython-Compiled InvisibleFerret Malware

https://www.trendmicro.com/en_us/research/26/e/analyzing-void-dokkaebi-invisibleferret-malware.html

Report completeness: High

Actors/Campaigns:
Famous_chollima (motivation: information_theft)

Threats:
Invisibleferret
Beavertail
Credential_harvesting_technique
Anydesk_tool

Victims:
Software developers, Cryptocurrency users, Organizations with developer access to wallet credentials signing keys and ci cd pipelines, Cryptocurrency sector, Software development sector, Artificial intelligence sector

Geo:
North korea

TTPs:
Tactics: 3
Technics: 20

IOCs:
File: 6
IP: 1
Hash: 23
Url: 45

Soft:
macOS, Chrome, vscode

Wallets:
metamask, coinbase

Algorithms:
exhibit, base64, xor

Functions:
_rum, dnp_m, dnp, PyMemoryView_FromMemory, PyRun_StringFlags

Win API:
decompress

Languages:
python, cpython, javascript, cython

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 2, code: 10

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Void Dokkaebi, хакерская группировка из Северной Кореи, усовершенствовала свое ВПО для кражи информации InvisibleFerret, переведя его с Python-скриптов на бинарные файлы, скомпилированные с помощью Cython, в формате файлов .pyd и .so, что повышает устойчивость к обнаружению. ВПО продолжает фокусироваться на бэкдор-доступе, краже учетных записей и мониторинге активности, при этом компонент BeaverTail эволюционировал, включив сбор учетных записей и троянизацию кошельков. Применение сложных методов обфускации и продвинутых методов сетевой коммуникации указывает на отточенную стратегию эффективной эксплуатации криптографических активов.
-----

Void Dokkaebi, хакерская группировка из Северной Кореи, усилила свое ВПО для кражи информации InvisibleFerret, переведя его с Python-скриптов на бинарные файлы, скомпилированные с помощью Cython. Эта стратегическая смена предполагает распространение ВПО в виде файлов .pyd для Windows и .so для macOS, что добавляет новый уровень уклонения от традиционных методов обнаружения на основе скриптов. InvisibleFerret сохраняет свои основные функции, такие как доступ через бэкдор, кража учетных записей, мониторинг буфера обмена, Регистрация нажатий клавиш и нацеливание на криптокошельки, а также расширяет свои возможности за счет BeaverTail, который теперь выполняет многогранную роль, включающую сбор учетных записей и троянизацию кошельков.

Процесс заражения обычно нацелен на программных разработчиков через поддельные рабочие места, что делает вредоносное ПО особенно актуальным для тех, кто управляет учетными данными криптовалюты и производственными системами. Адаптация к Cython означает, что защитникам необходимо перейти от полагания исключительно на методы обнаружения скриптов к использованию стратегий обнаружения, учитывающих бинарные файлы, которые могут анализировать модули расширения и встроенные артефакты. Эволюция BeaverTail примечательна тем, что она стала многоэтапным компонентом, способным загружать конкретные версии InvisibleFerret и избегать обнаружения с помощью сложных методов обфускации.

В процессе обфускации Cython код Python преобразуется в нативные бинарные файлы, что делает их зависимыми от скрипта выполнения Python или интерпретатора для запуска. Примечательно, что эти бинарные файлы могут сохранять значительную часть артефактов исходного программирования, таких как имена функций инициализации и встроенные пути к файлам, что может способствовать криминалистический анализ. Процесс деобфускации остается аналогичным предыдущим версиям, позволяя аналитикам угроз восстанавливать исходный полезный груз из бинарных файлов, несмотря на обфускацию Cython.

Кроме того, вредоносное ПО использует передовые методы сетевой коммуникации, включая кодирование IP-адресов с разделением и обменом (split-and-swap), что дополнительно усложняет усилия по обнаружению. Хотя кампания демонстрирует признакиongoщего развития, такие как незавершенные функции в отдельных компонентах, использование Cython указывает на приверженность группы совершенствованию методов уклонения от обнаружения. Нацеленность вредоносного ПО на криптокошельки — включая понижение версии Chrome на macOS для обхода современной безопасности браузера — демонстрирует намерение группы эффективнее эксплуатировать криптоактивы.

#ParsedReport #CompletenessHigh
22-05-2026

Tracking Iranian APT Screening Serpens’ 2026 Espionage Campaigns

https://unit42.paloaltonetworks.com/tracking-iran-apt-screening-serpens/

Report completeness: High

Actors/Campaigns:
Tortoiseshell (motivation: cyber_espionage)
Iranian_dream_job
Dream_job

Threats:
Miniupdate
Minijunk
Spear-phishing_technique
Dll_sideloading_technique
Lolbin_technique
Junk_code_technique
Dll_hijacking_technique

Victims:
Technology, Aerospace, Defense manufacturing, Telecommunications, Middle east

Industry:
Healthcare, Aerospace, Telco

Geo:
Middle east, Iran, Israeli, Australia, Iranian, United arab emirates, India, Korea, Asia, Japan, Arab emirates, Israel

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.001, T1036.004, T1036.005, T1041, T1053.005, T1057, T1059.003, T1071.001, T1132.001, T1140, have more...

IOCs:
File: 17
Hash: 13
Url: 7
Domain: 23
Command: 1

Soft:
ONLYOFFICE, event tracing for Windows, Windows Task Scheduler, Task Scheduler, gatekeeper, Windows service, Microsoft Edge

Algorithms:
xor, zip, sha256

Functions:
Pre-Main

Languages:
java, javascript, python

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4