#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
1 июня 2026 года исследователи Wiz выявили атаку на цепочку поставок, затронувшую 32 пакета npm в пространстве имен @redhat-cloud-services, где несанкционированные изменения были внесены для внедрения вредоносного кода при установке с использованием скриптов preinstall. Вредоносный код представляет собой вариант ВПО Mini Shai-Hulud, адаптированный для захвата учетных данных облачных сервисов Google Cloud Platform и Azure, а также генерирующий уникальные зашифрованные payloads для каждого случая заражения, что усложняет усилия по обнаружению. Атака эксплуатировала скомпрометированную учетную запись GitHub сотрудника Red Hat для внесения вредоносных изменений, позволяя обойти стандартные процессы проверки кода.
-----

1 июня 2026 года исследователи Wiz Research сообщили об атаке на цепочку поставок, затронувшей несколько пакетов npm в пространстве имен @redhat-cloud-services, включая 32 затронутых релиза, которые содержали несанкционированные изменения, отклоняющиеся от их исходного кода. Эти скомпрометированные пакеты, в среднем получая около 80 000 загрузок в неделю, включали общий вредоносный код, предназначенный для выполнения на этапе установки. Это стало возможным благодаря недавно добавленным скриптам preinstall, которые вызывали вредоносный JavaScript-файл с именем index.js.

Вредоносная полезная нагрузка основана на варианте вредоносного ПО Mini Shai-Hulud, который был модифицирован по сравнению с оригинальной версией. Хотя косметические аспекты были изменены — ссылки из вселенной «Дюны» заменены на мифологию Древней Греции — основная функциональность осталась существенно схожей с предшественником. Заметным улучшением в этом варианте является внедрение сборщиков данных, предназначенных для сбора учетных данных облачных идентификаторов, с прицелом на Google Cloud Platform (GCP) и Azure. Это развитие сигнализирует о смене фокуса вредоносного ПО в сторону эксплуатации облачной инфраструктуры, помимо извлечения секретов из сред, в которые оно внедряется.

Более того, этот вариант вредоносного ПО генерирует уникальную зашифрованную полезную нагрузку для каждой компрометации, усложняя усилия по обнаружению и смягчению последствий. Это контрастирует с более ранними версиями, которые использовали статические методы, делая хэш-индикаторы компрометации (IOCs) менее надежными, поскольку они были бы применимы только к конкретным версиям затронутых пакетов.

Расследование показало, что компрометация произошла в результате эксплуатации учетной записи GitHub конкретного сотрудника Red Hat, которая была изменена для внесения вредоносных изменений через сиротские коммиты в два репозитория, успешно обойдя протоколы проверки кода. Этот инцидент соответствует наблюдаемым тактикам, техникам и процедурам (TTPs), связанным с операциями TeamPCP Mini Shai-Hulud, но, учитывая публичный релиз кода базового ВПО, существует риск того, что другие злоумышленники смогут адаптировать и воспроизвести эти стратегии, что указывает на необходимость осторожности при определении прямой ответственности.

Для смягчения последствий организациям рекомендуется провести немедленные расследования в соответствующих средах разработки, включая рабочие станции и конвейеры CI/CD, чтобы выявить любые признаки компрометации. Это включает проведение аудитов затронутых пакетов npm и тщательный анализ активности в GitHub на предмет несанкционированных действий или подозрительных токенов доступа. Учитывая потенциальное раскрытие конфиденциальных учетных данных разработчиков, организациям следует рассмотреть возможность ротации ключей и может извлечь выгоду из усиления защиты цепочки поставок программного обеспечения, включая разрешающий список зависимостей, генерацию программного билля о материалах (SBOM) и проактивный мониторинг рабочих процессов разработки и сборки.

#ParsedReport #CompletenessHigh
03-06-2026

TA4922: The Suspected Chinese Crime Group is Going Global

https://www.proofpoint.com/us/blog/threat-insight/ta4922-suspected-chinese-crime-group-going-global

Report completeness: High

Actors/Campaigns:
Ta4922 (motivation: cyber_espionage, financially_motivated, cyber_criminal, information_theft)
Silver_fox

Threats:
Atlas_rat
Romulusloader
Silentrunloader
Valleyrat
Winos
Gh0st_rat
Anydesk_tool
Syncfuture_tool
Holdinghands
Dll_sideloading_technique
Vulkan_loader
Process_hollowing_technique
Syswhispers_tool
Dll_injection_technique
Bloat_technique

Victims:
Organizations, Companies

Industry:
Financial, Government

Geo:
Chinese, South africa, India, Malaysia, German, Japan, Italy, Indonesia, Italian, Asia, Korea, Taiwan, Germany, Africa, Singapore, United kingdom

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.016, T1036, T1041, T1055, T1055.012, T1056.001, T1071.001, T1082, have more...

IOCs:
IP: 5
Domain: 1
File: 5
Hash: 14
Url: 3

Soft:
WhatsApp, Microsoft Teams, LimeWire, Google Chrome, Chrome, Microsoft Defender, Windows service, Hyper-V, Windows Defender, WeChat, have more...

Algorithms:
zip, sha256, ror13, chacha20, rc4, xor

Functions:
Send, AtlasInfo

Win API:
ZwAllocateVirtualMemory, OpenProcess, WSAStartup, GetLastInputInfo

Languages:
python

Platforms:
cross-platform

Links:
https://github.com/jthuraisamy/syswhispers
https://github.com/EmergingThreats/threatresearch/commit/f7721c28c9f30b905a3ec0c66a0eec0edffec8cb

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TA4922, группа китайскоязычных киберпреступников, расширила свою деятельность за пределы Восточной Азии в Европу и Африку, развернув различные семейства ВПО, включая Atlas RAT, RomulusLoader и SilentRunLoader. Их атаки часто используют тактики социальной инженерии, особенно сфокусированные на темах кадровых вопросов и выставления счетов, для распространения ВПО через вредоносные электронные письма со ссылками на ZIP-файлы. Наблюдаемые техники включают боковую загрузку DLL для Atlas RAT и использование легитимных исполняемых файлов с RomulusLoader, в то время как SilentRunLoader нацелен на эксфильтрацию данных веб-браузеров, демонстрируя продвинутые возможности и динамичный набор инструментов ВПО.
-----

TA4922 — китайскоязычная киберпреступная группа с передовыми оперативными возможностями и разнообразным набором ВПО.

Их атаки расширились на Европу и Африку, выйдя за пределы Восточной Азии.

Заметные семейства ВПО, используемые TA4922, включают Atlas RAT, RomulusLoader, SilentRunLoader и ValleyRAT (Winos4.0).

TA4922 использует локализованные тактики социальной инженерии, сфокусированные на таких темах, как HR, расчет заработной платы и выставление счетов.

Группа часто использует вредоносные электронные письма со ссылками на ZIP-файлы для начала атак.

Их основные цели включают несанкционированный доступ в целях финансовой выгоды посредством фишинга учетных данных и распространения ВПО.

Кампании с использованием RAT Atlas включали приманки, связанные с кадровыми вопросами, направленные на организации в Японии и Великобритании, с применением техник подгрузки DLL.

RomulusLoader распространяется в составе легитимных исполняемых файлов, что усложняет обнаружение, и разворачивает дополнительные полезную нагрузку.

SilentRunLoader собирает конфиденциальные данные из веб-браузеров, в частности нацеливаясь на Chrome для получения учетных данных и эксфильтрации на серверы C2.

SilentRunLoader разработан на Python, что отражает адаптацию в их процессе разработки вредоносного ПО.

Кампании TA4922 демонстрируют разнообразные методы доставки полезной нагрузки, но используют общие каналы связи и тактики уклонения.

Группа перешла с защищённых почтовых сервисов на более уязвимые платформы обмена сообщениями для фишинга с целью поддержания взаимодействия.

Их оперативные стратегии свидетельствуют о тщательном планировании, адаптированном к функциональным особенностям и культурным контекстам целевых организаций.

Сочетание финансовых мотивов и передовых методов использования ВПО позиционирует TA4922 как значимого злоумышленника.

#ParsedReport #CompletenessMedium
03-06-2026

Preinstall to persistence: Inside the Red Hat npm Miasma credential-stealing campaign

https://www.microsoft.com/en-us/security/blog/2026/06/02/preinstall-persistence-inside-red-hat-npm-miasma-credential-stealing-campaign/

Report completeness: Medium

Threats:
Miasma
Credential_stealing_technique
Supply_chain_technique
Blight_botnet
Obfusnpmjs
Shai-hulud

Victims:
Software development, Cloud services, Open source package ecosystem, Continuous integration and continuous delivery environments, Developer systems

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 12
Registry: 4
IP: 2
Hash: 6

Soft:
Microsoft Defender, HashiCorp Vault, Kubernetes, Linux, macOS, sudo, anthropic, claude, chrome, Microsoft Defender for Endpoint, have more...

Algorithms:
pbkdf2, zip, xor, sha256, aes

Functions:
eval

Languages:
javascript

Platforms:
arm, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака на цепочку поставок npm включала развертывание 32 вредоносных пакетов через скомпрометированный конвейер CI/CD с использованием легитимных GitHub Actions для аутентификации троянизированного программного обеспечения. Это ВПО, являющееся частью кампании Miasma, выполняет сложные стратегии обфускации для кражи конфиденциальных данных, таких как SSH-ключи, из сред, таких как GitHub и Облачные сервисы, нацеливаясь в основном на системы Linux, но также затрагивая macOS и Windows. Его цепочка атак включает получение учетных данных и самораспространение, эксплуатируя уязвимости экосистемы программного обеспечения и подрывая доверие к целостности цепочки поставок.
-----

Недавняя атака на цепочку поставок npm, направленная на область @redhat-cloud-services, включает 32 злонамеренно измененных пакета, которые были распространены через скомпрометированную конвейерную систему непрерывной интеграции/непрерывной доставки (CI/CD), связанную с RedHatInsights. Злоумышленникам удалось использовать легитимный рабочий процесс публикации GitHub Actions для внедрения троянизированных пакетов, имеющих подлинные подписи происхождения. ВПО, идентифицированное как часть кампании Miasma, применяет техники обфускации и выполняется через хук preinstall в процессе npm install, что обеспечивает автоматическое выполнение без взаимодействия с пользователем.

При установке выполняется зашифрованный скрипт-дроппер размером 4,29 МБ. Он проходит через несколько уровней декодирования — используя различные стратегии обфускации, включая преобразования ROT, за которыми следует расшифровка AES-128-GCM — для загрузки среды выполнения JavaScript Bun. Эта среда выполнения служит платформой для выполнения вторичной полезной нагрузки, предназначенной для извлечения конфиденциальной информации из различных сред, таких как GitHub, npm и основные Облачные сервисы — включая AWS, Azure и GCP. Примечательно, что ВПО в первую очередь нацелено на системы Linux, но также демонстрирует работоспособность в macOS и Windows. Оно оснащено возможностью кражи SSH-ключей и других учетных данных, извлечения секретов из памяти в средах CI/CD, а также использования различных методов повышения привилегий, включая установку правила sudo без пароля.

Вредоносное ПО запрограммировано на работу через детализированную цепочку атаки, включающую фазы проверки окружения, обход защиты, получение учетных данных, эксфильтрация и самораспространение путем повторной публикации скомпрометированных пакетов с поддельным происхождением. Эксфильтрация украденных данных использует несколько каналов управления, в частности, используя собственные репозитории GitHub жертвы в качестве средства передачи данных без привлечения немедленного внимания. Кроме того, вредоносное ПО обеспечивает распространение цели через перечисление репозиториев и может активировать механизмы самоуничтожения, если выполнены определенные условия — например, взаимодействие с токеном-приманкой.

Последствия атаки распространяются на более широкую экосистему программного обеспечения, позволяя зависимостям нижнего уровня становиться скомпрометированными через украденные токены и приводя к потенциальному дальнейшему отравлению пакетов. Это подрывает доверие к фреймворкам аттестации цепочки поставок, обнажая каскадный риск, который позволяет украденным учетным данным предоставлять несанкционированный доступ к облачным средам и другим конфиденциальным ресурсам. Microsoft предприняла шаги для решения проблемы, проинформировав команду npm, что привело к удалению затронутых пакетов и внедрению дополнительных защитных мер против будущей несанкционированной публикации.

#ParsedReport #CompletenessMedium
03-06-2026

Dark Web Profile: BlindEagle

https://socradar.io/blog/dark-web-profile-blindeagle/

Report completeness: Medium

Actors/Campaigns:
Blindeagle (motivation: cyber_espionage, financially_motivated)
Red_akodon

Threats:
Asyncrat
Quasar_rat
Blotchyquasar
Spear-phishing_technique
Process_hollowing_technique
Caminho
Dcrat
Remcos_rat
Njrat
Limerat
Ande_loader
Dll_sideloading_technique
Hijackloader
Imminentmonitor_rat
Avemaria_rat
Bitrat
Supply_chain_technique
Heartcrypt_tool
Steganography_technique
Junk_code_technique
Process_injection_technique

Victims:
Government, Judiciary, Financial services, Banking, Insurance, Manufacturing, Defense, Peace negotiation institutions, Latin america, North america, have more...

Industry:
Energy, Financial, Petroleum, Government, Telco, Education, Healthcare

Geo:
Ecuador, Russian, Portuguese, Colombia, Chile, America, American, Spanish, Brazilian, Spain, Panama, Colombian, Latin america

CVEs:
CVE-2024-43451 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20826)
- microsoft windows_10_1607 (<10.0.14393.7515)
- microsoft windows_10_1809 (<10.0.17763.6532)
- microsoft windows_10_21h2 (<10.0.19044.5131)
- microsoft windows_10_22h2 (<10.0.19045.5131)
have more...

TTPs:
Tactics: 8
Technics: 23

IOCs:
File: 1

Soft:
Discord, Pastebin, Windows shell

Algorithms:
base64, zip

Languages:
javascript, visual_basic, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BlindEagle, или APT-C-36, — это хакерская группировка из Латинской Америки, преимущественно из Колумбии, активная с 2018 года. Она использует модифицированные удаленные доступные трояны, такие как BlotchyQuasar, и применяет локализованные тактики фишинга для кражи учетных данных банковских систем, часто используя скомпрометированные учетные записи для доставки целевого фишинга с вредоносными вложениями. Группировка демонстрирует быструю адаптацию к новым уязвимостям, например, вооружившись CVE-2024-43451 вскоре после его публикации, что указывает на структурированный подход к кибершпионажу в сочетании с преступной деятельностью.
-----

BlindEagle, также известный как APT-C-36 или TAG-144, — это хакерская группировка, операции которой, как полагают, происходят из Латинской Америки, в частности из Колумбии или прилегающих регионов. Активна как минимум с 2018 года, эта группировка использует гибридную модель, сочетающую шпионаж и киберкриминал, и нацелена преимущественно на организации в Латинской Америке, особенно в Колумбии, а также периодически расширяет свои операции на США и другие испаноязычные страны.

Методы работы группы основаны на использовании взломанных коммерческих программ-троянов удаленного доступа (RAT), таких как модифицированные версии Quasar (называемые BlotchyQuasar) и других известных вариантов ВПО, таких как AsyncRAT и njRAT, что позволяет им выполнять различные вредоносные действия, особенно кражу учетных данных банковских систем. Они часто применяют фишинговые техники, адаптированные под культуру, создавая локализованные приманки, которые находят отклик у конкретной целевой аудитории, и используют механизмы доставки с географическим ограничением для ограничения доступа ВПО к песочницам за пределами Латинской Америки, эффективно избегая обнаружения.

Начальные векторы атак BlindEagle включают целевой фишинг с письмами, имитирующими легитимные организации, с вложениями, варьирующимися от PDF-файлов до архивов, защищённых паролем и содержащих обфусцированные скрипты. Фишинговые письма могут даже выглядеть так, будто они исходят из скомпрометированных учётных записей внутри сети цели, что затрудняет их идентификацию как вредоносных. Анализ их кампаний указывает на систематическую цепочку заражения, начинающуюся с начального дроппера, который загружает второй этап полезной нагрузки, обычно RAT, позволяющий осуществлять постоянный мониторинг и эксфильтрацию данных.

Группа продемонстрировала заметную квалификацию в интеграции недавних уязвимостей в свой инструментарий, например, эксплуатируя уязвимости в течение нескольких дней после их публичного раскрытия. В частности, они привели в боевую готовность CVE-2024-43451 вскоре после выхода исправления, внедрив его в свои операции. Такая маневренность подчеркивает оперативную дисциплину BlindEagle и способность быстро адаптироваться к новым эксплойтам.

Несмотря на масштабный сбор персональных идентифицируемых данных (PII) и учетных данных банковских счетов, отсутствует публичная информация, подтверждающая успешную монетизацию или перепродажу этих данных на подпольных рынках. Кроме того, их шпионские цели включают значимые учреждения, участвующие в судебной системе Колумбии и мирных переговорах, что указывает на возможное совпадение интересов с организованной преступностью в регионе, хотя никаких конкретных доказательств, напрямую связывающих их с определенными преступными организациями, не представлено.

#ParsedReport #CompletenessHigh
03-06-2026

Argamal: Malware hidden in hentai games

https://securelist.com/argamal-rat-distributed-with-hentai-games/119999/

Report completeness: High

Threats:
Argamal
Com_hijacking_technique
Trojan.win32.termixia
Trojan.win32.agent

Victims:
Gaming, Adult entertainment, Individuals, Russia, Brazil, Germany, Vietnam

Industry:
Entertainment

Geo:
Russia, Germany, Chinese, Vietnam, Spanish, Brazil

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1016, T1027, T1033, T1036, T1036.005, T1041, T1053.005, T1057, T1059.001, have more...

IOCs:
Hash: 20
File: 6
Registry: 2
Path: 1
Domain: 3
IP: 1
Url: 3

Soft:
RenPy, PixelDrain, Google Chrome, Microsoft Excel

Algorithms:
xor, sha1, aes-cbc, base64

Win API:
DllGetClassObject, ShellExecuteW, WinExec, CreateProcessW

Languages:
javascript, powershell, python

Links:
https://opentip.kaspersky.com/https%3a%2f%2fgithub.com%2fgmz159%2fu/?utm\_source=sl&utm\_medium=sl&utm\_campaign=sl&icid=gl\_sl\_opentip-lnk\_sm-team\_37a0b5b00eb4552b
have more...
https://opentip.kaspersky.com/https%3a%2f%2fgithub.com%2fdnyp%2ffiles/?utm\_source=sl&utm\_medium=sl&utm\_campaign=sl&icid=gl\_sl\_opentip-lnk\_sm-team\_f91a511412333a54
https://opentip.kaspersky.com/https%3a%2f%2fgithub.com%2fmgzv%2fp/?utm\_source=sl&utm\_medium=sl&utm\_campaign=sl&icid=gl\_sl\_opentip-lnk\_sm-team\_72477af80b581e26

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В апреле 2026 года началась вредоносная кампания Argamal, нацеленная на игроков в хентай-игры через скомпрометированные игры, которые устанавливают вредоносный имплантат, приводящий к компрометации системы. ВПО использует перехват COM для закрепления и обладает двухэтапной системой загрузки, которая скачивает Троянская программа (RAT), способную выполнять различные команды через динамический сервер управления. Методы доставки включают внедрение полезной нагрузки в библиотеки игр и маскировку вредоносных DLL под читы для игр, при этом жертвы в основном находятся в России, Бразилии, Германии и Вьетнаме.
-----

В апреле 2026 года появилась сложная вредоносная кампания под названием Argamal, нацеленная на игроков в хентай-игры. Эта кампания предполагает использование скомпрометированных игр, которые после запуска устанавливают вредоносный модуль, способный загружать и выполнять троян, что приводит к масштабной компрометации системы и удалённому контролю со стороны злоумышленников.

Технические механизмы работы Argamal включают метод COM hijacking, при котором вредоносное ПО изменяет запись InprocServer32 для DLL загрузчика калибровки системы цветов Windows, чтобы обеспечить закрепление на заражённой машине при входах пользователей. Вредоносное ПО обнаруживается различными решениями Kaspersky и классифицируется под несколькими идентификаторами троянов.

Анализ показал, что заражённые игры поступали из различных источников, преимущественно от разработчиков хентай-игр, использующих платформы RenPy и RPG Maker MV. Эти игры распространялись через веб-сайты и торрент-трекеры, перенаправляя пользователей на сервисы обмена файлами, такие как PixelDrain.

Критическим компонентом ВПО является файл natives2_blob.bin, который выполняет Base64-кодированный PowerShell-скрипт, называемый Stage1. Этот скрипт проводит проверку окружения, чтобы определить, находится ли он в песочнице, прежде чем осуществлять закрепление путем изменения ключей реестра и создания запланированной задачи для запуска второго этапа скрипта. Stage2 действует как загрузчик, получая зашифрованный полезный груз с GitHub и используя AES-CBC для расшифровки, после чего заполняет DLL-файл вредоносным полезным грузом, который предназначен для запуска в каждой пользовательской сессии.

Вредоносный код функционирует как Троянская программа (RAT) со стандартным сервером управления (C2), изначально расположенным на asper1.freeddns.org и впоследствии перемещённым на Winst0.kozow.com, оба адреса указывают на IP-адрес 186.158.223.35. Вредоносный код обеспечивает выполнение различных функций, позволяя злоумышленникам выполнять команды, варьирующиеся от управления системными операциями — такими как перезагрузка или выключение машины — до манипуляций с файлами и создания скриншотов. ВПО связывается с сервером управления по протоколу UDP, передавая «сердцебиения», содержащие критически важную информацию о системе, и ожидая дальнейших команд.

Более того, исследователи выявили альтернативные методы доставки, используемые злоумышленниками, такие как внедрение полезной нагрузки в игровые библиотеки или распространение вредоносной DLL, замаскированной под читы на игровых форумах, что указывает на определенный уровень изощренности в их тактиках распространения.

Жертвоприношение указывает на то, что вредоносное ПО в первую очередь затронуло лиц в России, Бразилии, Германии и Вьетнаме. Усилия по атрибуции предполагают, что злоумышленники потенциально говорят на испанском языке, о чем свидетельствует язык, используемый в комментариях кода и именах переменных.

#ParsedReport #CompletenessHigh
03-06-2026

Inside the Cross-Platform Propagation of a New Gafgyt Variant C0XMO

https://www.fortinet.com/blog/threat-research/inside-cross-platform-propagation-of-new-gafgyt-variant-c0xmo

Report completeness: High

Threats:
Bashlite
C0xmo
Tcpflood_technique
Udpflood_technique
Tcpsynflood_technique
Synflood_technique
Icmpflood_technique
Httpflood_technique

Victims:
Technology

Industry:
Iot

Geo:
Germany, Japanese

CVEs:
CVE-2015-2051 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-645_firmware (<1.05b01)

CVE-2025-34054 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2016-15047 [Vulners]
CVSS V3.1: 8.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-35914 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- glpi-project glpi (le10.0.2)

CVE-2021-27137 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 3
IP: 3
Url: 1
Hash: 15

Soft:
Linux, crontab, Discord, FiveM, Zyxel, Android

Algorithms:
exhibit

Languages:
python

Platforms:
arm, mips, intel, cross-platform, amd64

#ParsedReport #ExtractedSchema

Classified images:
code: 19, dump: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2023 года был обнаружен вариант ботнета Gafgyt под названием C0XMO, использующий уязвимость CVE-2021-27137 в маршрутизаторах DD-WRT для распространения на различные архитектуры Linux. ВПО применяет атаки брутфорс с использованием слабых учетных данных для Telnet и SSH, а также реализует стратегии обеспечения устойчивости, включая копирование самого себя в скрытые каталоги и настройку задач cron. C0XMO взаимодействует со своим C2-сервером для выполнения 19 методов DDoS-атак, а также может эксплуатировать уязвимости Android Debug Bridge для компрометации открытых устройств Android.
-----

В марте 2023 года новый вариант ботнета Gafgyt, получивший название C0XMO, был обнаружен лабораторией FortiGuard Labs. Он эффективно распространяется по множеству архитектур Linux, эксплуатируя уязвимость переполнения стекового буфера, обозначенную как CVE-2021-27137. Эта уязвимость безопасности существует в службе UPnP прошивки определенных маршрутизаторов DD-WRT, когда некорректно обрабатываются значения ST:uuid большого размера в сфабрикованных M-SEARCH запросах через UDP порт 1900. Примечательно, что первоначальная атака была направлена на компанию в Японии, но IP-адрес источника находился в Германии. После компрометации хост загружает ВПО и сохраняет его в директории /tmp/.cache, при этом доступны несколько сборок для различных системных архитектур, что демонстрирует адаптивность в охвате целей.

C0XMO характеризуется поведением, типичным для предыдущих вариантов Gafgyt, сочетая попытки брутфорса с использованием слабых учетных данных, направленные на интерфейсы Telnet и SSH, уязвимости внедрения команд и различные механизмы DDoS-атак. После запуска C0XMO реализует сложную стратегию закрепления, включающую копирование самого себя в скрытые каталоги, настройку задач cron для повторного выполнения и изменение основных профилей оболочки для обеспечения непрерывной работы. Вредоносное ПО также проверяет запущенные процессы для устранения конкурентов, завершая процессы, соответствующие внутренней черному списку, и удаляя соответствующие двоичные файлы и механизмы закрепления.

После установки локального закрепления C0XMO устанавливает связь с сервером управления (C2), расположенным по адресу 85.215.131.70, инициируя уникальное рукопожатие, включающее предопределенную строку и общий секрет. Это соединение позволяет C0XMO идентифицировать себя как часть ботнета, завершая рукопожатие подтверждением от сервера.

Обработчик команд вредоносного ПО обеспечивает выполнение различных команд, в частности для запуска 19 различных методов DDoS-атак. Примечательно, что C0XMO изолирует свой механизм сканирования в отдельном Python-скрипте, который он загружает с другого IP-адреса. Этот скрипт выполняет случайное сканирование IP-адресов и включает критерии для игнорирования известных honeypot-ов и ранее неэффективных целей. Кроме того, он может эксплуатировать уязвимости Android Debug Bridge (ADB) для захвата управления над открытыми Android-устройствами.

#ParsedReport #CompletenessHigh
03-06-2026

How attackers are gaining access to LLM inference

https://intezer.com/blog/how-attackers-access-llm-inference/

Report completeness: High

Actors/Campaigns:
Bizarre_bazaar

Threats:
Wormgpt_tool
Ghostgpt_tool
Kawaiigpt_tool
Xanthorox_tool
Lamehug_tool
Akira_ransomware
Mimikatz_tool
Credential_dumping_technique
Solarmarker
Seo_poisoning_technique
Llmjacking_technique
Nuclei_tool
Ni8mare_vuln
Malterminal_tool
Promptlock
Promptflux
Polymorphism_technique
Quietvault

Victims:
Ai service providers, Public llm hosting servers, Developers, Android applications, Windows systems, Personal machines, Servers, Industrial controllers

Industry:
Transport

Geo:
Israel, Italian

CVEs:
CVE-2025-3248 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.3.0)

CVE-2024-47084 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gradio_project gradio (<4.44.0)

CVE-2026-21858 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- n8n (<1.121.0)

CVE-2024-1561 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gradio_project gradio (<4.13.0)

CVE-2024-0964 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gradio_project gradio (-)

CVE-2026-33017 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.8.2)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.014, T1059.005, T1082, T1083, T1102, T1190, T1213.003, T1486, T1496, T1528, have more...

IOCs:
Hash: 6

Soft:
Claude, Groq, llama, llama3, Mistral, HuggingFace, GPT-5, GPT-4o, Qwen, penAI, have more...

Crypto:
bitcoin

Algorithms:
zip

Languages:
lua, python, java, javascript

Links:
https://github.com/cheahjs/free-llm-api-resources
https://github.com/Chocapikk/CVE-2026-21858
have more...
https://github.com/mnfst/awesome-free-llm-apis

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники все чаще используют большие языковые модели (LLM) для усиления возможностей своего ВПО, что позволяет динамически адаптировать поведение во время выполнения на скомпрометированных системах. Киберпреступники получают доступ к функциям LLM через подпольные форумы и бесплатные публичные API для вывода результатов, что позволяет им выполнять задачи, такие как разведка и кража данных, без внедрения учетных данных, усложняя усилия по обнаружению. Кроме того, уязвимости, связанные с раскрытыми ключами API в Репозитории кода, а также слабости в таких платформах, как LocalAI и Ollama, позволяют злоумышленникам эксплуатировать ИИ без надежной аутентификации.
-----

Злоумышленники всё чаще используют большие языковые модели (LLM) сложными способами, интегрируя их в свои наступательные стратегии, особенно для усиления возможностей ВПО. Коммерческие ИИ-модели, такие как Claude Opus 4.6 и Grok 4, продемонстрировали способность писать код эксплойтов и выполнять сложные задачи разведки, которые ранее требовали человеческого опыта. Такая интеграция позволяет ВПО динамически адаптировать своё поведение во время выполнения на скомпрометированных системах.

Киберпреступники получают доступ к функциям LLM различными способами, включая использование подпольных форумов, продающих кибер-ориентированные LLM, такие как WormGPT и GhostGPT. Хотя эти модели предлагают упрощенные возможности, подходящие для фишинга или создания базового ВПО, они не соответствуют уровню сложности ведущих коммерческих моделей по результатам бенчмарк-тестов, таких как Cybench.

Атакующие также используют публичные API вывода с моделями бесплатного уровня, которые предоставляют доступ без необходимости привязки кредитной карты, тем самым обходя платежные следы. Например, платформы вроде HuggingFace предоставляют бесплатный доступ, который многие семейства ВПО, включая LameHug, используют для разведки и кражи данных без прямой вставки учетных данных, что затрудняет обнаружение. Более тревожно, что вариант ВПО под названием PROMPTLOCK вызывает модели ИИ на зараженном хосте для генерации разнообразных операционных скриптов, работая полностью автономно и скрывая свою деятельность.

Кроме того, разработчики часто оставляют API-ключи в своих приложениях, либо путем хардкода, либо из-за неправильной конфигурации, что приводит к серьезным уязвимостям. Известный анализ показал, что многие из этих ключей, особенно те, которые связаны с Google и OpenAI, регулярно обнаруживаются в общедоступных Репозитории кода, что облегчает доступ злоумышленникам. Результаты сканирования выявили различные хосты, некоторые из которых уязвимы к серьезным недостаткам безопасности, позволяющим Удаленное Выполнение Кода, что может привести к раскрытию конфиденциальных рабочих процессов и учетные данные.

Исследования выявили несколько платформ, демонстрирующих критические уязвимости, позволяющие злоумышленникам извлекать возможности ИИ без аутентификации, включая LocalAI и Ollama, которые служат моделями для оперативной эксплуатации. Каждая отсканированная система показала процент открытых или скомпрометированных хостов, что указывает на четкую закономерность, при которой злоумышленники могут манипулировать этими сервисами без существенного сопротивления.

В целом, интеграция больших языковых моделей (LLM) в вредоносное программное обеспечение развивается по мере того, как злоумышленники находят инновационные методы доступа и эксплуатируют ранее установленные уязвимости. Этот сдвиг подчеркивает необходимость надежных практик безопасности, указывая на то, что традиционные ошибки конфигурации и утечки конфиденциальной информации остаются критическими уязвимостями независимо от используемой технологии. Меры кибербезопасности должны адаптироваться к этим меняющимся динамическим процессам, обеспечивая строгую аутентификацию и регулярное обновление экспонированных служб, а также защищаясь от злоупотребления мощными возможностями искусственного интеллекта.