#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная вредоносная кампания использует подписанный поддельный установщик, имитирующий утилиту RVTools, с низкой частотой обнаружения на VirusTotal, встроенный в отозванный MSI-файл. При запуске VBScript-загрузчик скачивает модульный Python Троянская программа (RAT) с Dropbox, применяя разведку через модуль, который извлекает подробные системные данные, оставаясь при этом скрытым. ВПО управляет операциями через управление с помощью зашифрованной связи и поддерживает закрепление с помощью записей в реестре и запланированных задач, представляя значительную угрозу для пользователей VMware и указывая на продвинутые тактики скрытности.
-----

Недавний анализ выявил сложную вредоносную кампанию, использующую подписанный поддельный установщик, выполняющий Маскировку под утилиту RVTools, широко применяемую администраторами VMware. Установщик был отмечен крайне низкими показателями обнаружения в VirusTotal, что указывает на то, что злоумышленник стратегически спроектировал его для обхода мер безопасности. Вредоносное ПО было встроено в MSI-файл, подписанный действительным сертификатом от Sectigo. Этот сертификат впоследствии был отозван, но изначально мог ввести потенциальных жертв в ложное чувство безопасности, особенно на системах, где не применяются проверки в реальном времени.

При запуске установщик следует многоэтапному потоку выполнения. Он начинается с загрузчика VBScript, который хитро спрятан в бинарных данных MSI. Этот скрипт обфусцирован для избежания обнаружения и отвечает за загрузку значительного полезного груза по ссылке Dropbox. Этот полезный груз, называемый winp.zip, содержит модульный Python Троянская программа (RAT) вместе с надежной средой разработки, включая такие инструменты, как VS Code и Jupyter Lab, маскируя вредоносные компоненты внутри легитимных файлов.

Начальный этап сосредоточен на разведке с использованием модуля collector.py. Этот скрипт собирает обширные данные о системе, такие как конфигурации Active Directory, оставаясь при этом незамеченным за счёт манипуляции флагами запуска Windows для выполнения операций скрытым образом. Собранная информация сохраняется в файле JSON, что позволяет злоумышленникам анализировать организационную структуру и уровни привилегий пользователей, что критически важно для планирования последующих атак или повышения привилегий.

Переходя к операциям управления, вредоносное ПО использует выделенный модуль Pmanager.py, отвечающий за поддержание постоянного доступа и контроль заражённой системы. Оно использует шифрование RC4 для безопасной связи с сервером атакующего, шифруя данные разведки перед эксфильтрацией и позволяя вредоносному ПО получать дальнейшие команды. Вредоносное ПО спроектировано так, чтобы иметь замаскированный цифровой след, выполняя задачи без предупреждения операционной системы, при этом используя различные жёстко закодированные IP-адреса для эффективной связи.

Кроме того, были внедрены механизмы для закрепления, при этом ВПО создавало записи в реестре и запланированные задачи для поддержания своего присутствия даже после перезагрузки системы. Операторы, стоящие за этой кампанией, эффективно спроектировали сложную фреймворк атаки, представляющий значительную угрозу для организаций, использующих VMware, особенно из-за потенциала получения полного административного доступа через скомпрометированные учетные данные. Использование легитимного сертификата вместе с систематическими техниками уклонения при выполнении скриптов иллюстрирует растущий тренд в разработке ВПО, делающий акцент на скрытности и закреплении.

#ParsedReport #CompletenessHigh
28-05-2026

Commit to Compromise: A New Threat Actor Targeting the Cryptocurrency Industry's Software Development Infrastructure

https://www.wiz.io/blog/threat-actors-target-crypto-orgs

Report completeness: High

Actors/Campaigns:
Jinx-0164 (motivation: financially_motivated)
Bluenoroff
Cryptocore

Threats:
Supply_chain_technique
Audiofix
Minirat

Victims:
Cryptocurrency industry, Software developers, Software development infrastructure, Code distribution systems, Development infrastructure

Industry:
Software_development

Geo:
North korean

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1020, T1036, T1036.005, T1041, T1059.002, T1059.004, T1059.006, T1070.002, T1070.004, have more...

IOCs:
Domain: 60
Url: 2
File: 4
Hash: 13
IP: 1

Soft:
macOS, Astrill VPN, Microsoft Teams, Discord, Slack, Telegram, Velora, curl, Dropbox, wolfSSL, have more...

Wallets:
metamask, coinbase

Crypto:
binance

Algorithms:
aes, aes-256-cbc, xor, sha256

Functions:
exec

Languages:
python, applescript

Platforms:
x64, x86, arm, intel, apple

Links:
https://github.com/synacktiv/nord-stream/blob/b2d5aab617de75328a8508b4cc83d632e90d64e5/nordstream/utils/constants.py
have more...
https://github.com/synacktiv/nord-stream
https://docs.github.com/en/authentication/managing-commit-signature-verification/displaying-verification-statuses-for-all-of-your-commits

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 10

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новоидентифицированный злоумышленник JINX-0164 нацелен на сектор криптовалют, используя социальную инженерию для компрометации инфраструктуры разработки программного обеспечения. Они применяют сложные тактики, включая создание правдоподобных профилей в LinkedIn, чтобы заманить жертв в вредоносные виртуальные встречи, где загружается специфичное для macOS ВПО AUDIOFIX. Этот инструмент удаленного доступа позволяет красть учетные данные из различных приложений, облегчая дальнейшие атаки путем модификации кода и потенциальной эксплуатации Цепочки поставок, одновременно применяя передовые техники уклонения для поддержания постоянного доступа.
-----

Команда CIRT и исследовательская группа Wiz выявили нового злоумышленника, обозначенного как JINX-0164, который нацелен на криптоиндустрию, в частности на инфраструктуру разработки программного обеспечения. Активен как минимум с середины 2025 года, этот актор использует сложные техники социальной инженерии, особенно путем создания правдоподобных профилей в LinkedIn, чтобы заманить жертв на кажущиеся легитимными виртуальные встречи. После установления контакта жертв перенаправляют на вредоносный домен, Маскировка которого имитирует реальную платформу для видеоконференций, где они невольно загружают вредоносное ПО, специфичное для macOS.

Вредоносное ПО, известное как AUDIOFIX, действует как инструмент удаленного доступа (RAT) и способно похищать широкий спектр учетных данных с зараженных систем, включая те, что хранятся в популярных Менеджерах паролей, расширениях браузера для криптокошельков и различных чат-приложениях, таких как Discord и Slack. Злоумышленники используют украденные учетные данные для облегчения перемещения внутри компании в среде разработки жертвы, получая доступ к внутренним системам распространения кода для выполнения дальнейших атак. Они были замечены в модификации внутреннего исходного кода с целью развертывания дополнительного ВПО для извлечения криптовалюты и другой конфиденциальной информации.

Одной из значимых особенностей вредоносного ПО является его способность подключаться к серверам управления (C2) через зашифрованные каналы связи. Оно использует домены резервного подключения для обеспечения постоянного доступа, а также применяет передовые методы для уклонения от обнаружения, такие как маршрутизация соединений через различные VPN-сервисы, включая Mullvad, Astrill и Express VPN. Кроме того, вредоносное ПО собирает не только информацию, связанную с криптовалютой, но и секреты облачной инфраструктуры, а также другие учетные данные разработчиков, такие как SSH-ключи и API-токены.

В своих шаблонах атак JINX-0164 продемонстрировали методичный подход к маскировке своей вредоносной деятельности в рамках легитимных операций. Они часто имперсонируют доверенных разработчиков, чтобы ввести в заблуждение коллег, изменяя информацию в коммитах Git для сокрытия своей личности и напрямую загружая вредоносный код в репозитории. Например, в одной из операций они внедрили вредоносный код в пакет npm, широко используемый в сфере криптовалют, что потенциально могло привести к более масштабной атаке на Цепочку поставок.

Обнаружение данной активности критически важно и должно начинаться с мониторинга конечных точек с использованием передовых решений для выявления необычного поведения или индикаторов компрометации в системных средах. Рекомендуемые практики включают тщательный анализ журналов выполнения, мониторинг непроверенных коммитов в репозиториях кода и наблюдение за аномальной активностью со стороны таких сервисов, как GitHub и облачные провайдеры.

JINX-0164 также развернул вторичное ВПО под названием MINIRAT, менее сложную бэкдор-программу, которая обеспечивает базовую разведку и закрепление на зараженных машинах. Инфраструктура этого актора имитирует легитимные сервисы, что отражает продуманную стратегию проникновения и эксплуатации финансово мотивированной цели, создавая тем самым значительную угрозу для организаций в секторе криптовалют.

#ParsedReport #CompletenessMedium
28-05-2026

Chinese APT Campaign Targets Entities with Updated FDMTP Backdoor

https://www.darktrace.com/blog/chinese-apt-campaign-targets-entities-with-updated-fdmtp-backdoor

Report completeness: Medium

Actors/Campaigns:
Red_delta
Typhoon

Threats:
Fdmtp
Dll_sideloading_technique
Spear-phishing_technique
Appdomain_hijacking_technique
Clickonce_tool

Victims:
Finance

Geo:
Asia-pacific, Chinese, Japan, China

TTPs:
Tactics: 3
Technics: 10

IOCs:
File: 29
Domain: 4
Path: 1
Hash: 9

Soft:
Visual Studio, Sogou, NET framework, TouchSocket, Component Object Model

Algorithms:
xor, gzip, aes, base64, zip

Functions:
GetBrowserManagerInstance, InitializeNewDomain

Win API:
LoadLibraryExW

Win Services:
bits

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Darktrace выявила продолжающуюся киберактивность китайской спонсируемой государством группы Twill Typhoon, нацеленную на страны Азиатско-Тихоокеанского региона и Японию с конца сентября 2025 года. Группа использует сложную стратегию подгрузки (sideloading), скачивая легитимные исполняемые файлы и связанные с ними DLL-библиотеки для развертывания троянской программы на базе .NET, которая устанавливает каналы управления для связи. Ключевыми компонентами атаки являются эксплуатация механизма Windows ClickOnce и сильно обфусцированные бэкдоры, такие как Client.TcpDmtp.dll, что обеспечивает постоянное взаимодействие и профилирование системы.
-----

В ходе недавнего анализа Darktrace выявила продолжающуюся киберактивность, связанную с китайской группой, спонсируемой государством, известной как Twill Typhoon, которая в первую очередь нацелена на регионы Азиатско-Тихоокеанского региона и Японии. Кампания, начавшаяся в конце сентября 2025 года, продемонстрировала различные клиентские среды, отправляющие запросы к доменам, маскирующимся под сети доставки контента (CDN). Эти домены были связаны с известными сервисами, включая Yahoo и Apple. Методология атаки включает загрузку легитимных исполняемых файлов вместе с вредоносными динамическими библиотеками (DLL) для обеспечения выполнения модульного фреймворка Троянской программы удаленного доступа (RAT) на базе .NET.

Обнаруженная во время кампании последовательная модель выполнения указывает на сложную стратегию подгрузки сторонних библиотек. Сначала загружается легитимный исполняемый файл, затем соответствующий файл конфигурации и, наконец, вредоносная DLL. Этот процесс наблюдался в нескольких инцидентах, когда одна и та же последовательность извлечения данных приводила к установлению связи с управлением (C2). Хотя методы первоначального доступа не были выявлены, исторические паттерны, связанные с Twill Typhoon, предполагают, что Целевой фишинг может предшествовать подобным действиям.

Один конкретный инцидент в финансовом секторе показал, что хосты отправляли множество HTTP GET-запросов на, казалось бы, безобидные домены, связанные с Yahoo, начиная с легитимных бинарных файлов и постепенно загружая связанные конфигурационные и DLL-компоненты. Возможность ВПО работать внутри доверенных процессов подчеркивается его методом именования вредоносной DLL так же, как легитимной, что позволяет ей выполняться при вызове базовым приложением.

Ключевые компоненты атаки включают механизм ClickOnce для Windows (dfsvc.exe) и процесс хостинга Visual Studio (vshost.exe). Вредоносные конфигурации заменяют легитимные файлы, манипулируя тем, как выполняются целевые процессы, и внедряя бэкдоры без немедленного вызова тревог. В качестве заметного примера процесс заменяет конфигурации и изменяет поведение приложения, чтобы обеспечить бесшовную загрузку вредоносной DLL (dnscfg.dll).

Основной полезный груз — сильно зашифрованный бэкдор под названием Client.TcpDmtp.dll, который работает по собственному протоколу TCP и обновленной версии протокола передачи сообщений Duplex Message Transport Protocol (FDMTP 3.2.5.1). Бэкдор поддерживает постоянное взаимодействие с сервером C2 и обладает возможностями профилирования системы и выполнения команд. Он глубоко интегрируется в систему, управляя жизненным циклом и обслуживанием с помощью различных компонентов, включая основную библиотеку и дополнительные плагины, способные выполнять постоянные изменения в реестре.

Выводы согласуются с установленными паттернами угроз, связанных с Китаем, подчеркивая поведенческую модель вместо конкретных индикаторов для обнаружения. Как отмечалось, хотя техники и инфраструктура могут эволюционировать, фундаментальные методологии выполнения выявляют стабильную и узнаваемую тактику. Этот вывод предполагает, что киберзащита должна сосредоточиться на мониторинге этих поведенческих паттернов для усиления усилий по обнаружению и предотвращению таких сложных кампаний.

#ParsedReport #CompletenessMedium
28-05-2026

Grandoreiro Malware Campaign Targets Europe and Latin America

https://www.watchguard.com/wgrd-security-hub/secplicity-blog/grandoreiro-malware-campaign-targets-europe-and-latin-america

Report completeness: Medium

Threats:
Grandoreiro
Dll_sideloading_technique

Victims:
Banking, Companies, Europe, Latin america

Industry:
Iot, Financial

Geo:
Argentina, Portugal, Spain, Latin america, Brazil, Mexico, Portuguese, Spanish, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1047, T1059.005, T1071.005, T1105, T1497.001, T1518, T1518.001, T1566.002, have more...

IOCs:
File: 13
Domain: 1
Url: 1
IP: 1

Soft:
WebRTC, Dropbox, Sysinternals, NetworkMiner, Google Chrome, Firefox, Microsoft Edge

Crypto:
binance

Algorithms:
zip

Languages:
delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Grandoreiro нацелена на банковские учреждения в Европе и Латинской Америке, используя DLL Side-Loading с библиотеками, созданными в Delphi 11, и техниками реального времени, такими как SGC WebSockets и WebRTC, что усложняет обнаружение. Начальным вектором атаки является фишинг, который побуждает пользователей загружать вредоносные ZIP-файлы из Dropbox. ВПО использует пиринговую связь через протоколы STUN и ICE, взаимодействует с Облачными сервисами и включает проверки на наличие средств защиты, что подчеркивает его адаптивность в избежании обнаружения.
-----

Вредоносная кампания Grandoreiro активно нацелена на банковские учреждения в Европе и Латинской Америке, в частности в Португалии и Испании, а также расширяет свое присутствие в Мексике. Злоумышленник использует технику DLL Side-Loading, применяя различные библиотеки программного обеспечения — включая libwebp.dll, mingw10.dll, libffi-6.dll и libpng15.dll, — созданные с помощью Delphi 11. Эти библиотеки интегрированы с файлами HTML, JavaScript и CSS, которые являются частью схемы связи, использующей SGC WebSockets и WebRTC. Такой подход обеспечивает связь в реальном времени между приложениями, что затрудняет обнаружение вредоносной активности, поскольку она функционирует в рамках легитимных шаблонов трафика.

Первоначальный вектор атаки для этой кампании — фишинг, который использует вредоносные ссылки, направляющие пользователей на Dropbox для загрузки ZIP-файлов, содержащих ВПО. Выявленные домены, используемые для этих ссылок, такие как uniaodownloadcnk.online и vmi.contaboserver.net, связаны с облачным хостингом и были недавно созданы для поддержки кампании.

Два конкретных случая дополнительно иллюстрируют операционные техники вредоносного ПО. Первый случай использует протокол STUN, позволяющий вредоносному ПО определить публичный IP-адрес жертвы и осуществлять связь по принципу «peer-to-peer». Вариант mingwn10.dll подключается к сервисам Google Cloud, тогда как libwebp.dll взаимодействует с Azure через протокол MQTT, потенциально нацеливаясь на устройства Интернета вещей (IoT). Использование шумного трафика веб-конференций усложняет усилия по мониторингу, делая злонамеренную деятельность менее заметной.

Во втором случае вредоносное ПО использует протокол ICE, также предназначенный для одноранговых коммуникаций, и взаимодействует с API Binance вместе с сервисами Amazon через MQTT. Эта вариация содержит ссылки как на португальские банки, так и на некоторые китайские строки, что указывает на разнообразный операционный охват. Дополнительные проверки в коде вредоносного ПО включают функциональность режима киоска, которая ограничивает доступ пользователя к другим приложениям, обеспечивая скрытые операции.

Помимо техник подгрузки DLL, задокументирована отдельная кампания, связанная с сильно обфусцированным скриптом Visual Basic (VBS), который устанавливает вредоносное ПО после выполнения. Скрипт VBS проверяет наличие различных средств защиты, таких как утилиты из набора Sysinternals и приложения для сетевого анализа, а также определяет, выполняется ли он в виртуальной среде. Кроме того, он использует WMI для запроса списка антивирусных продуктов, установленных в системе.

Продолжающаяся эволюция кампании Grandoreiro подчеркивает необходимость надежных мер кибербезопасности. Мотивированные финансовой выгодой злоумышленники быстро адаптируют свои стратегии, используя легитимные сервисы для сокрытия своей деятельности и эффективного уклонения от традиционных методов обнаружения. Организациям в затронутых регионах необходимо принять многоуровневую стратегию защиты, включающую поведенческое обнаружение и комплексный мониторинг для упреждающего выявления и снижения риска банковских троянов до того, как они нанесут ущерб.

#ParsedReport #CompletenessMedium
28-05-2026

GREYVIBE: A Rus

https://labs.withsecure.com/publications/greyvibe.html

Report completeness: Medium

Actors/Campaigns:
Greyvibe (motivation: cyber_criminal, information_theft)
Fin12

Threats:
Spear-phishing_technique
Legionrelay
Phantomrelay
Phantomclick_tool
Clickfix_technique
Fallspy
Zapixdesk
Lookvaljs
Teasoup
Kongtuke
Sawdust_tool
Crudedust_tool
Lookvalps
Trickbot
Xmrig_miner

Victims:
Military, Government, Civilian, Business, Ukrainian combatants, Ukraine related entities

Industry:
Energy, Military, Government

Geo:
Russia, Ukrainian, Ukraine, Latvian, Moscow, Rus, Russian

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1021.001, T1027, T1041, T1059.001, T1059.003, T1059.007, T1071.001, T1082, have more...

Soft:
Zoom, Android, Telegram, WireGuard, ChatGPT, Microsoft Teams, WhatsApp

Algorithms:
zip, exhibit

Languages:
powershell, javascript

Links:
https://github.com/WithSecureLabs/iocs/tree/master/GREYVIBE/

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GREYVIBE — это хакерская группировка, нацеленная на Украину, действующая в интересах российского государства с августа 2025 года, использующая такие методы, как Целевой фишинг, поддельные страницы captcha и мошеннические веб-сайты. Их арсенал ВПО включает инструменты собственной разработки, такие как RAT PhantomRelay на базе PowerShell, который имеет модульную архитектуру и использует WebSockets для управления, а также вредоносное ПО для Android FallSpy для слежки. Недавнее использование GREYVIBE генеративного искусственного интеллекта для улучшения операций указывает на изменяющийся ландшафт угроз, усложняя усилия по обнаружению и атрибуции.
-----

GREYVIBE — это хакерская группировка, выявленная WithSecure, которая с августа 2025 года преимущественно нацелена на Украину и организации, связанные с Украиной. Деятельность группы демонстрирует значительные пересечения в инфраструктуре атак и операционных методологиях, что указывает на устойчивую кампанию, согласованную с интересами российского государства, особенно в контексте российско-украинской войны. Операции GREYVIBE характеризуются использованием различных векторов атак, включая целевой фишинг, поддельные страницы captcha и мошеннические веб-сайты, имитирующие украинские организации. Эти методы способствовали распространению ВПО, преимущественно кастомных вариантов, таких как PhantomRelay, FallSpy и LegionRelay.

PhantomRelay, Троянская программа удалённого доступа (RAT) на базе PowerShell, использует двухэтапную цепочку выполнения и осуществляет связь с сервером управления через WebSockets. Её модульная архитектура позволяет расширять функциональность с помощью дополнительных скриптов. Группа выпустила несколько вариантов PhantomRelay, последним из которых является PhantomRelayV2, что демонстрирует явное развитие их возможностей по созданию вредоносного программного обеспечения (ВПО). FallSpy, доступная для Android, предназначена для слежки и тайного сбора разведывательных данных, осуществляя эксфильтрацию информации с заражённых устройств, при этом показывая пользователю поддельный контент.

Согласно недавним оперативным тенденциям, GREYVIBE экспериментирует с системами в стиле ClickFix для создания поддельных страниц для начального развертывания вредоносного ПО. Кроме того, их широкое использование генеративного искусственного интеллекта и больших языковых моделей на протяжении всего жизненного цикла атаки усилило их оперативные возможности. Это позволило GREYVIBE эффективно разрабатывать приманки, обфускаторы и загрузчики, быстро устраняя технические пробелы и усложняя традиционные методы атрибуции из-за динамичной природы их набора инструментов.

Их атрибуция дополнительно усложняется указаниями на то, что группа имеет связи с более широким экосистемой киберкриминал, с доказательствами их ВПО, появляющимися в несвязанных киберкриминал деятельности. Операторы, вероятно, русскоязычные, работающие в часовых поясах Москвы, и их деятельность сильно указывает на согласование с российскими целями сбора разведданных.

Хотя анализ WithSecure подтверждает мнение о том, что операции GREYVIBE связаны с российскими государственными интересами, они не демонстрируют зрелости, типичной для более продвинутых злоумышленников. Однако постоянная разработка и развертывание сложных инструментов, а также интеграция искусственного интеллекта в их стратегии указывают на то, что GREYVIBE может продолжать развиваться, что делает непрерывное обнаружение и атрибуцию все более сложными задачами для усилий в области кибербезопасности. Согласно последним отчетам, окончательных связей с другими известными группами злоумышленников не установлено, хотя мониторинг будет продолжаться для определения любых потенциальных пересечений с существующей кибердеятельностью.

#ParsedReport #CompletenessHigh
28-05-2026

Malicious NuGet Package Impersonates Sicoob SDK to Exfiltrate Banking Certificates and Passwords

https://socket.dev/blog/malicious-nuget-package-impersonates-sicoob-sdk

Report completeness: High

Actors/Campaigns:
Sicoob_impersonation

Threats:
Supply_chain_technique

Victims:
Financial services, Banking, Software developers

Industry:
Financial

Geo:
Brazilian, Brasil, Brazil

TTPs:
Tactics: 3
Technics: 5

IOCs:
File: 16
Url: 4
Domain: 1
Hash: 1

Soft:
NuGet, NuGet a

Algorithms:
base64

Languages:
powershell

Links:
https://github.com/Sicoob-Cooperativa/sicoob\_sdk\_csharp/blob/main/SicoobClient.cs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет NuGet, замаскированный под SDK Sicoob, был обнаружен выполняющим эксфильтрацию конфиденциальной банковской информации, включая идентификаторы клиентов и пароли PFX, путем инициализации объекта клиента и передачи данных на жестко закодированный конечный пункт. Версии с 2.0.0 по 2.0.4 содержали встроенную логику эксфильтрации, в то время как связанный репозиторий GitHub ложно характеризовал SDK как безвредный, не имея вредоносных компонентов. Эта атака использует методы Компрометации цепочки поставок и представляет риск несанкционированного доступа к чувствительным финансовым операциям, если учетные данные будут скомпрометированы.
-----

Недавно выявленный вредоносный пакет NuGet, использующий Маскировка под официальный SDK Sicoob (Sicoob.Sdk), оказался инструментом для эксфильтрации конфиденциальной банковской информации, включая идентификаторы клиентов, пароли PFX и банковские сертификаты. Этот пакет, ложно заявляющий о возможности интеграции с финансовыми системами Sicoob в Бразилии, был загружен в репозиторий NuGet без какого-либо законного отношения к банку.

Вредоносное поведение в основном происходит, когда пакет инициализирует объект клиента — с использованием предоставленного идентификатора клиента, пути к файлу PFX и пароля к файлу PFX. Пакет считывает содержимое сертификата PFX с диска, кодирует эти данные в base64 и затем передает как идентификатор клиента, так и пароль к PFX в открытом виде на жестко заданный конечный пункт телеметрии Sentry. Такое поведение вызывает серьезные опасения в плане безопасности, поскольку файл PFX часто содержит закрытый ключ клиента и сертификат, необходимые для аутентификации по взаимному TLS. Если эти учетные данные будут скомпрометированы, злонамеренный актор может потенциально имперсонировать легитимную интеграцию API Sicoob, что приведет к несанкционированному доступу к конфиденциальным финансовым данным.

Анализ пакета показывает, что версии 2.0.0–2.0.4 содержали встроенную логику эксфильтрации, что отличало их от других безвредных пакетов, выпущенных тем же хакером под тем же именем. Примечательно, что видимый исходный код в связанном репозитории GitHub демонстрировал безвредную функциональность SDK, но не содержал вредоносных компонентов эксфильтрации, присутствующих в распространяемых бинарных файлах NuGet. Это расхождение предполагает, что репозиторий GitHub мог быть создан как фасада для придания дополнительного уровня достоверности вредоносному коду.

Аккаунт NuGet, ответственный за распространение этой версии SDK, был отмечен как связанный с другими потенциально вредоносными пакетами, и после получения сообщения об злоупотреблении пакет был заблокирован для дальнейшего распространения. Кроме того, связанная организация GitHub не имеет никакой подтверждённой аффилированности с Sicoob и не демонстрирует признаков надёжности, таких как подписчики или история вкладов, которые могли бы придать ей авторитетность в качестве официального источника.

Угроза, создаваемая этим ВПО, усугубляется возможностью доступа к чувствительным операциям, включая мгновенные платежи Pix, транзакции boleto и управление другими финансовыми данными, в зависимости от разрешений, связанных с скомпрометированными учетными данными.

Атака соответствует устоявшимся техникам MITRE ATT&CK, связанным с компрометацией Цепочки поставок, эксфильтрацией через каналы управления (C2) и несанкционированным получением учетных данных, что отражает продуманную стратегию злоумышленника по эксплуатации относительно доверенных программных сред и манипулированию доверием разработчиков в корыстных целях. Инцидент служит критически важным напоминанием о важности обеспечения безопасности зависимостей программного обеспечения и бдительности в отношении атак на Цепочку поставок.

#ParsedReport #CompletenessLow
28-05-2026

The Mini Shai-Hulud Worm and the New Era of CI/CD Exploitation

https://flashpoint.io/blog/mini-shai-hulud-worm-new-era-ci-cd-exploitation/

Report completeness: Low

Actors/Campaigns:
Mini_shai-hulud (motivation: cyber_criminal)
Teampcp (motivation: cyber_criminal)

Threats:
Supply_chain_technique
Dead_drop_technique
Shai-hulud

Victims:
Developer ecosystem, Software supply chain, Ai developer tools, Enterprise data visualization, Code hosting platforms, Security tooling

Industry:
Software_development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1059.007, T1102.001, T1195.001, T1213, T1485, T1543.001, T1543.002, T1546, have more...

IOCs:
File: 2

Soft:
TanStack, Node.js, Kubernetes, Docker, HashiCorp Vault, 1Password, Bitwarden, systemd, Linux, macOS, have more...

Crypto:
bitcoin

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Червь Mini Shai-Hulud, развернутый TeamPCP, нацелен на конвейеры CI/CD, эксплуатируя уязвимости в инструментах разработчиков и крадя токены аутентификации с платформ, таких как npm и GitHub. Он выполняется в виде зашифрованного скрипта на Bun JavaScript, что позволяет ему избегать обнаружения, одновременно компрометируя учетные данные во множестве сред. К продвинутым тактикам относятся использование GitHub для связи с управлением и поддержание закрепления, а также эксфильтрация конфиденциальных данных из сеансов разработки.
-----

Червь Mini Shai-Hulud, развернутый хакерской группировкой TeamPCP, представляет собой серьезную угрозу для экосистемы разработчиков, фундаментально компрометируя целостность конвейеров непрерывной интеграции/непрерывного развертывания (CI/CD). Благодаря своей способности к самораспространению и воздействию на миллионы разработчиков и множество организаций, Mini Shai-Hulud может быстро эксплуатировать уязвимости в инструментах разработчиков и инфраструктурах идентификации. Операции быстро эскалировали, перейдя от оппортунистических краж учетных данных к автоматизированному процессу, способному компрометировать множество пакетов за считанные минуты.

Технически Mini Shai-Hulud функционирует как обфусцированный скрипт (498 КБ), выполняемый с использованием среды выполнения JavaScript Bun, что позволяет ему избегать обнаружения большинством решений безопасности конечных точек, настроенных для Node.js. Методика включает кражу токенов аутентификации npm и GitHub и их использование для публикации вредоносных версий пакетов, поддерживаемых скомпрометированными пользователями. Это достигается путем сканирования памяти для извлечения кратковременных токенов идентификации и их использования для получения токенов доверенного издателя npm без необходимости в долгосрочных секретных ключах.

Червь нацелен на широкий спектр учетных данных в более чем 130 путях к файлам, включая токены для npm, GitHub, AWS, Azure, Kubernetes, Docker и различных решений для управления секретами. Коммуникация command-and-control (C2) использует метод мертвой точки через публичный API поиска коммитов GitHub, что затрудняет обнаружение без нарушения легитимного использования платформы. Установленные демоны на машинах жертв позволяют червю опрашивать GitHub на наличие команд, встроенных в коммиты, выполняя их бесшовно и используя GitHub в качестве доверенного ретранслятора.

Кроме того, червь использует инновационные техники закрепления путем перехвата AI-агентов для написания кода. Он изменяет конфигурационные файлы таких инструментов, как Claude Code и Visual Studio Code, чтобы сохранить свое присутствие и выполнить эксфильтрацию конфиденциальной информации, обрабатываемой в будущих сессиях разработки. Это представляет собой новую поверхность атаки в средах разработки, ориентированных на ИИ.

За несколько волн атак в 2026 году TeamPCP нацелилась на значительные экосистемы, включая ряд пакетов библиотек, инструментов для разработчиков ИИ и даже внутренние корпоративные репозитории, похитив значительный объем проприетарных данных из организаций. Их методология включала эксплуатацию методов отравления кэша и использование поддельного авторства коммитов для дальнейшего проникновения в доверенные среды разработки.

В качестве ответа организациям рекомендуется провести аудит сред CI/CD, удалить зараженные пакеты, сменить учетные данные и заблокировать коммуникации с C2. Эта новая угроза подчеркивает критическую необходимость мониторинга конфигураций AI-агентов и внедрения строгих мер безопасности для инструментов разработки и цепочек поставок программного обеспечения. Эволюция Mini Shai-Hulud указывает на растущий тренд в стратегическом использовании атак на цепочку поставок, направленных на подрыв доверия и операционной целостности в экосистемах разработчиков.