#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют QEMU, эмулятор машин с открытым исходным кодом, для проведения операций с целью уклонения от обнаружения традиционными средствами защиты. В одном из инцидентов они получили доступ через скомпрометированный аккаунт, установив канал управления через виртуальную машину QEMU, которая использовала скрипты для закрепления и скрытой коммуникации по SSH на TCP-порту 443. Этот метод усложняет криминалистический анализ, подчеркивая сложность современных методов атак и необходимость усиленного мониторинга легитимных инструментов для выявления необычных паттернов выполнения.
-----

Злоумышленники используют легитимные инструменты для обхода обнаружения, в частности применяя QEMU — эмулятор машин с открытым исходным кодом.

QEMU использовался для развертывания виртуальных машин, размещающих вредоносные payloads, что позволяло обходить традиционные антивирусные системы и системы обнаружения на конечных точках.

Первоначальный доступ был получен через скомпрометированный аккаунт до установления канала управления (C2) через виртуальную машину QEMU, запущенную из образа диска Linux с именем vault.db.

Закрепление обеспечивалось скриптами, запускаемыми при загрузке из root-кrontab, при этом один из скриптов поддерживал постоянное SSH-соединение с C2-сервером через TCP-порт 443.

Связь осуществлялась скрытно посредством локального перенаправления трафика в рамках SSH-туннеля, что маскировало вредоносную активность в зашифрованном трафике.

Бэкон Adaptix Gopher также был запущен через SSH-туннель для взаимодействия с C2-сервером без прямой экспозиции.

Использование виртуальной машины изолировало операции от хост-системы, значительно снижая риски обнаружения.

Скрипты были настроены на автоматический перезапуск в случае прерывания, что обеспечивало постоянное взаимодействие с инфраструктурой C2.

QEMU имеет историю использования в скрытых операциях, включая туннелирование сетевого трафика и обеспечение прямой связи с системами, контролируемыми противником.

Обнаружение злоупотреблений QEMU включает мониторинг конкретных аргументов командной строки и необычных шаблонов выполнения.

Язык запросов Kusto (KQL) может помочь в выявлении подозрительной активности виртуализации QEMU, включая выполнение из нетипичных мест.

Защитникам следует анализировать контекст развертывания инструментов, уделяя особое внимание необычным запускам QEMU и аналогичного программного обеспечения для повышения возможностей обнаружения.

#ParsedReport #CompletenessLow
05-06-2026

Threat Brief: Active Exploitation of PAN-OS CVE-2026-0257

https://unit42.paloaltonetworks.com/active-exploitation-of-pan-os-cve-2026-0257/

Report completeness: Low

Victims:
Organizations using pan os globalprotect

Geo:
Australia, Middle east, India, Korea, Japan, Asia

CVEs:
CVE-2026-0257 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1133, T1190

IOCs:
IP: 9
File: 1

Soft:
PAN-OS

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-0257 — критическая уязвимость в PAN-OS, затрагивающая компоненты GlobalProtect, позволяющая несанкционированное обход аутентификации для доступа по VPN. Хотя попытки эксплуатации продолжаются, успешные взломы были минимальными, без сообщений о перемещении по сети после эксплуатации. Уязвимость включена в каталог известных эксплуатируемых уязвимостей с 29 мая, что указывает на активную угрозу, несмотря на ограниченную успешность эксплуатации.
-----

Недавняя активность выявила эксплуатацию уязвимости CVE-2026-0257, критической уязвимости, затрагивающей программное обеспечение PAN-OS, особенно в компонентах портала и шлюза GlobalProtect. Эта уязвимость позволяет несанкционированным злоумышленникам обходить механизмы аутентификации, тем самым устанавливая VPN-соединения без надлежащего разрешения. Проблема была отмечена в каталоге Известно Эксплуатируемых Уязвимостей (KEV) по состоянию на 29 мая, что указывает на признанный и подтвержденный риск в ландшафте угроз.

Текущие наблюдения показывают, что, хотя попытки эксплуатации этой уязвимости продолжаются, масштаб успешной эксплуатации, по-видимому, ограничен, и лишь незначительное количество устройств подключается к VPN-сессиям в результате попыток обхода. На сегодняшний день не зафиксировано случаев выполнения действий после получения доступа или перемещения по сети (lateral movements) после этих попыток первоначального доступа, что указывает на возможную сосредоточенность на немедленной эксплуатации самой уязвимости, а не на последующих действиях.

Учитывая активную угрозу, связанную с этой уязвимостью, организациям необходимо внедрить проактивные меры. Это включает поиск конкретных индикаторов, связанных с CVE-2026-0257, и активацию процессов реагирования на инциденты в случае обнаружения любой несанкционированной активности, связанной с шлюзом. Командам безопасности также следует приоритизировать обзор соответствующих рекомендаций по безопасности, включая рекомендуемые обходные решения и меры по смягчению последствий, или рассмотреть возможность обновления своих систем до версии PAN-OS с исправлением.

Кроме того, было отмечено, что служба Cortex Xpanse от Palo Alto Networks может помочь в выявлении уязвимостей, связанных с публично доступными шлюзами PAN-OS и порталами GlobalProtect, обеспечивая дополнительный уровень информационной безопасности. Разведданные, полученные в результате этой ситуации, были переданы партнерам Cyber Threat Alliance (CTA) для усиления коллективных стратегий защиты от этой и подобных киберугроз в рамках сообщества информационной безопасности. Организациям рекомендуется использовать доступные продукты и меры защиты, специфичные для данной уязвимости, чтобы укрепить свою защиту от продолжающихся попыток эксплуатации, направленных на PAN-OS.

#ParsedReport #CompletenessMedium
05-06-2026

Miasma Worm Targets AI Coding Agents via GitHub Repos

https://safedep.io/miasma-worm-ai-coding-agent-config-injection/

Report completeness: Medium

Threats:
Miasma
Shai-hulud
Dead_drop_technique
Supply_chain_technique

Victims:
Software development, Microsoft azure, Github repositories, Ai coding agents

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1036.005, T1059, T1059.007, T1078, T1105, T1195.001, T1195.002, T1204, have more...

IOCs:
File: 4
Hash: 4
Url: 1

Soft:
Claude, ubernetes, n

Algorithms:
aes, sha256

Functions:
getBunPath

Languages:
typescript, ruby

Platforms:
arm, intel

Links:
https://github.com/icflorescu/mantine-datatable/commit/f72462d9e5fa90a483062a83e9ffcb2edc57bf7e
https://github.com/Azure/durabletask
have more...
https://github.com/icflorescu/mantine-datatable/discussions/813

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Червь Miasma, запущенный 3 июня 2026 года, нацелен на репозитории GitHub и реестр npm, внедряя полезную нагрузку размером 4,3 МБ в коммиты, которые манипулируют средами программирования с использованием ИИ. Злоумышленники использовали украшенный персональный токен доступа для изменения даты вредоносных коммитов более чем в 120 репозиториях, что активировало полезную нагрузку при клонировании и открытии затронутых репозиториев разработчиками. Это ВПО действует как многооблачный сборщик учетных данных, обходя традиционные средства защиты за счет прямой эксплуатации редакторов кода для выполнения без взаимодействия с пользователем.
-----

Червь Miasma эволюционировал для эксплуатации уязвимостей в исходных репозиториях GitHub, используя функциональность ИИ-агентов для написания кода. Этот новый вектор атаки был запущен 3 июня 2026 года с применением двойного подхода, нацеленного как на реестр npm, так и на репозитории GitHub. В частности, атака на GitHub заключалась в том, что злоумышленник отправлял коммит с заголовком "chore: update dependencies skip ci" в несколько репозиториев, не изменяя существующие зависимости, но внедряя полезную нагрузку размером 4,3 МБ, которая выполнялась через ряд инструментов разработчика — а именно Claude Code, Gemini CLI, Cursor, VS Code и скрипт npm test.

Вредоносный код запускается аккуратно, когда разработчик клонирует скомпрометированный репозиторий и затем открывает его в среде программирования с ИИ, активируя вредоносный код без какого-либо дальнейшего взаимодействия с пользователем. Дроппер, используемый в этой атаке, является модифицированной версией загрузчика Bun, предназначенной для закрепления в репозиториях GitHub, а не через традиционные методы реестра. Примечательно, что тот же вредоносный отпечаток появился более чем в 120 репозиториях, включая известные аккаунты, такие как официальный репозиторий Microsoft Azure durabletask. Атакующий использовал украшенный персональный токен доступа (PAT) для проникновения в эти репозитории и датировал вредоносные коммиты задним числом, чтобы скрыть свою активность в спящих ветках.

Злоумышленнический коммит не был подписан, был выпущен от имени «github-actions» и содержал шесть файлов, из которых пять служили триггерами для выполнения. Как Claude Code, так и Gemini CLI использовали хуки, которые инициировали выполнение команд оболочки при запуске сессии в рамках проекта. После того как JavaScript-код начинает выполняться, он работает независимо от установки Node.js жертвы, используя собственное время выполнения и зависимости. ВПО функционирует как многооблачный сборщик учетных данных, сканируя наличие секретов в различных средах облачных сервисов и впоследствии выгружая эти конфиденциальные данные в публичные репозитории, контролируемые злоумышленниками.

Механизм доставки значительно изменился; ранее ВПО, распространяемое через Цепочку поставок, полагалось на хуки установки пакетов, тогда как эта волна полностью обходит реестр и нацелена непосредственно на редактор кода. Быстрое выполнение атаки, в ходе которой было совершено несколько вредоносных коммитов в течение 49-секундного окна, подчеркивает уровень сложности автоматизации, используемой злоумышленниками.

Стратегии обнаружения и устранения последствий рекомендуют избегать открытия клонированных репозиториев в затронутых инструментах разработки и обращать внимание на потенциальные индикаторы компрометации в неожиданных директориях, созданных ВПО. Поскольку траектория этих атак начинает творчески эксплуатировать функциональные возможности сред разработки с дополнением на базе ИИ, постоянная бдительность и обновленные меры безопасности необходимы для смягчения этих рисков. Адаптация червя Miasma к использованию манипуляций с репозиториями означает значительный сдвиг в ландшафте атак на Цепочку поставок.

#ParsedReport #CompletenessLow
05-06-2026

Malicious Python Package Mimics Parsimonious Parser

https://gbhackers.com/python-package-mimics-parsimonious/

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique
Pyronut

Victims:
Python developers, Open source software ecosystem

ChatGPT TTPs:
do not use without manual check
T1005, T1036.005, T1059, T1083, T1102.002, T1195.001, T1552.001

IOCs:
Hash: 1

Soft:
Telegram

Algorithms:
sha1

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака с использованием тайпсквоттинга эксплуатировала доверие разработчиков Python, выпустив вредоносный пакет с названием "parsimonius", имитирующий легитимную библиотеку "parsimonious" с незначительным изменением имени. Этот пакет, прошедший базовые тесты импорта, развернул бэкдор на базе Телеграм для операций управления, обеспечивая удаленный доступ и кражу конфиденциальных файлов и токенов аутентификации. Эта атака подчеркивает постоянные риски подобных компрометаций цепочки поставок в экосистеме Python.
-----

Недавняя сложная атака с использованием тайпсквоттинга нацелилась на разработчиков Python через вредоносный пакет под названием "parsimonius", который стремился имитировать легитимную библиотеку парсинга "parsimonious" в Индексе пакетов Python (PyPI). Пакет-мошенник изменил название всего на один символ, чтобы обмануть пользователей. Этот подход является частью более широкой тенденции компрометации Цепочки поставок, когда злоумышленники используют доверие разработчиков к известным библиотекам с открытым исходным кодом. Вредоносный пакет получил намеренно более высокий номер версии, чем подлинный релиз, создавая ложное ощущение устаревания, что повышало вероятность случайной установки.

После выпуска вредоносный пакет parsimonius быстро набрал 2,474 загрузки, прежде чем был удалён администраторами PyPI. Пакет успешно внедрил основную функциональность легитимной библиотеки, что позволило пройти базовым тестам импорта и позволило типичным рабочим процессам разработки продолжаться без немедленного обнаружения. Этот метод, известный как living off the land, помогает ВПО маскироваться под легитимное поведение программного обеспечения при первоначальных оценках и статическом анализе.

Под этой фасадом пакет развернул бэкдор на базе Телеграм для связи через управление. Этот бэкдор использовал API Телеграм для установления канала связи, что отражает тревожную тенденцию атакующих, использующих популярные мессенджеры из-за их легитимных шаблонов трафика и зашифрованных коммуникаций. Через этот механизм бэкдор предоставлял атакующим возможности удаленного доступа, включая выполнение команд, навигацию по файловой системе и наблюдение за скомпрометированными системами.

Основными целями кражи данных в этой атаке были конфиденциальные файлы, такие как файлы .env, содержащие учетные данные базы данных, ключи API и секретные конфигурации, а также токены аутентификации ботов, представляющие высокую ценность для дальнейших эксплойтов против инфраструктуры Телеграм и других интегрированных служб. Эти токены часто имеют повышенные права доступа, что увеличивает их потенциальное воздействие.

Аналитики безопасности могут идентифицировать вредоносный пакет по его хешу SHA1: a01c2a21f24db63cb01a67016519aebeca438089. Организациям рекомендуется сканировать свои репозитории артефактов, конвейеры CI/CD и среды разработки на наличие этого хеша для оценки потенциальных компрометаций. Этот инцидент подчеркивает постоянную угрозу тайпсквоттинга в экосистеме Python, способствуя тревожной тенденции, включающей прошлые кампании, нацеленные на аналогичные библиотеки, которые распространяли различные формы ВПО. Разработчикам рекомендуется внедрить проверку подписей пакетов, поддерживать разрешающие списки для зависимостей и использовать такие инструменты, как Snyk или Phylum, для проактивного обнаружения паттернов тайпсквоттинга.

#ParsedReport #CompletenessMedium
04-06-2026

How 56 npm packages used binding.gyp to steal CI/CD secrets

https://www.reversinglabs.com/blog/npm-bindinggyp-cicd-secrets

Report completeness: Medium

Threats:
Supply_chain_technique
Miasma

Victims:
Developer tooling, Apm frameworks, Voice ai sdks, Ci and cd environments, Github actions workflows, Npm ecosystem

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.009, T1027.013, T1059.006, T1059.007, T1070.004, T1102.001, T1105, T1140, have more...

IOCs:
File: 10
Hash: 4

Soft:
PostgreSQL, Node.js, TRAVIS, CIRCLECI, Kubernetes, HashiCorp Vault, Telegram, Discord, Slack, Claude, have more...

Algorithms:
base64, pbkdf2, aes-256-gcm, bcrypt

Functions:
eval

Languages:
typescript, javascript, python

Links:
https://api.github.com/user

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака через цепочку поставок нацелилась на экосистему npm с выпуском 286 вредоносных версий в 56 пакетах, используя файл binding.gyp для выполнения произвольного кода и обхода проверок безопасности. Атака включала обфускацию и несколько уровней шифрования, что позволяло осуществлять эксфильтрацию учетных данных через API GitHub. Выпуская эти вредоносные обновления как незначительные изменения, злоумышленник стремился проникнуть в среды CI/CD и скомпрометировать учетные данные разработчиков, внедряясь в цепочку поставок программного обеспечения.
-----

В ходе масштабной атаки на цепочку поставок злоумышленник эксплуатировал экосистему npm, выпустив 286 вредоносных версий 56 пакетов, которые использовали файл binding.gyp для компрометации безопасности CI/CD. В отличие от стандартных практик, ни один из пакетов не выполнял хуки жизненного цикла, которые обычно проверяются на предмет безопасности. Вместо этого они применяли файл binding.gyp — конфигурацию сборки, используемую преимущественно для нативных интеграций C/C++, для запуска произвольного кода. Этот подход позволил обойти обычные меры безопасности, поскольку разработчики часто игнорируют этот конкретный файл, который обычно не ассоциируется с пакетами, написанными исключительно на JavaScript.

Атака развернулась в течение стремительных десяти часов, начавшись с первоначального кластера из 16 пакетов, опубликованных в течение нескольких секунд, за которыми вскоре последовали остальные. Все затронутые пакеты содержали файл binding.gyp, который не был необходим для их функционирования, что указывает на компрометацию учетной записи, поскольку злоумышленник использовал токены npm publish для прямой загрузки. Полезная нагрузка пакета была намеренно зашифрована и хранилась внутри чрезвычайно большого файла JavaScript, загружаемого через binding.gyp.

Скрипт загрузки (index.js) инициировал этот вредоносный код, который включал трехуровневый процесс шифрования, приводящий к процедуре расшифровки, способной получать доступ к конфиденциальным хранимым данным и выполнять их. Каждая из вредоносных версий содержала уникальные ключи AES-128-GCM, обеспечивая изоляцию кода между различными версиями. Выполняемый код использовал такие техники, как проверка наличия среды выполнения JavaScript Bun, запуск подпроцессов, наследующих окружение — включая секреты CI/CD — с использованием глобального метода eval, а также реализацию анти-форензики путем удаления временных файлов после выполнения.

После расшифровки модуль открывал еще один слой шифрования, использующий собственный потоковый шифр, защищенный мастер-ключом PBKDF2, в конечном итоге раскрывая скрипты, которые включали механизмы эксфильтрации учетных данных через API GitHub. Собранная учетная информация разработчиков тайно коммитилась в контролируемые злоумышленниками репозитории, маскируя трафик под легитимные автоматические запросы. Кроме того, злоумышленник использовал токены OpenID Connect GitHub Actions для повторной публикации скомпрометированных пакетов и внедрения себя глубже в Цепочку поставок.

Вредоносные версии были стратегически выбраны в качестве незначительных или патчных обновлений по отношению к легитимным релизам, что минимизировало подозрения и облегчало автоматическую установку в рамках гибких ограничений версионирования. Систематический характер этой кампании, характеризующийся агрессивным выпуском версий, был направлен на значительное проникновение в среды разработчиков, расширяя границы, которые могли поставить под угрозу целые кодовые базы и интеграции в различных проектах.

#ParsedReport #CompletenessLow
07-06-2026

Miasma Worm Hits Microsoft Again: Azure Functions Action and 72 Other Repositories Disabled After Supply Chain Attack Targeting AI Coding Agents

https://www.stepsecurity.io/blog/miasma-worm-hits-microsoft-again-azure-functions-action-and-72-other-repositories-disabled-after-supply-chain-attack-targeting-ai-coding-agents

Report completeness: Low

Actors/Campaigns:
Teampcp

Threats:
Supply_chain_technique
Miasma
Credential_harvesting_technique

Victims:
Microsoft, Github, Software development, Cloud computing

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1195.001, T1546, T1550.001, T1552.001

IOCs:
File: 3
Domain: 3

Soft:
Azure Functions, Claude, Kubernetes, CosmosDB, Redis, Node.js, Docker, Visual Studio, RabbitMQ, OpenAI, have more...

Algorithms:
zip

Languages:
typescript, javascript, python, powershell, java

Platforms:
apple, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
5 июня 2026 года организации Azure GitHub подверглись взлому в ходе кампании червя Miasma, инициированной скомпрометированной учетной записью контрибьютора, которая отключила 73 репозитория с помощью вредоносного коммита в репозиторий Azure/durabletask. Коммит добавил конфигурационные файлы, которые выполняли payload для сбора учетных записей в средах ИИ-кодинга при их открытии, что ознаменовало сдвиг от предыдущей атаки, эксплуатировавшей установку пакетов. Эти атаки продемонстрировали сложное обход традиционных средств защиты и были связаны с хакерской группировкой TeamPCP.
-----

5 июня 2026 года организации Microsoft Azure GitHub подверглись значительному нарушению безопасности, когда кампания червя Miasma использовала скомпрометированную учетную запись контрибьютора. Атака привела к отключению 73 репозиториев в четырех организациях Microsoft GitHub после того, как в репозиторий Azure/durabletask был внесен вредоносный коммит. Этот коммит добавил конфигурационные файлы, предназначенные для выполнения payload для сбора учетных записей каждый раз, когда разработчики открывали репозиторий с использованием определенных AI-сред разработки, таких как Claude Code, Gemini CLI, Cursor или Visual Studio Code.

Этот инцидент следует за предыдущей компрометацией 19 мая, когда вредоносные версии пакета durabletask из PyPI были загружены с внедрением полезной нагрузки, способной красть учетные данные из различных облачных платформ и инструментов разработки. Изначальная компрометация обошла конвейер CI/CD путем использования украденного токена публикации для прямой загрузки в PyPI. Однако атака 5 июня ознаменовала стратегический сдвиг; выполнение атаки переместилось с эксплуатации установки пакетов на использование действий открытия в инструментах разработки, эффективно обходя традиционные защиты цепочки поставок. Механизм срабатывания полезной нагрузки включал специальные хуки, размещенные в конфигурационных файлах этих редакторов, в частности .claude/settings.json и .gemini/settings.json, которые выполняли полезную нагрузку в начале сессии.

Злоумышленнический коммит скрыл свои истинные намерения, представив свои изменения как улучшение кода. Однако при проверке выяснилось, что коммит не изменял исходный код, а вместо этого добавил файлы, все из которых указывали на зашифрованный JavaScript- payload объемом 4,6 МБ, предназначенный для сбора учетных записей. После внесения скомпрометированного коммита автоматическая система обнаружения GitHub оперативно отключила затронутые репозитории, подтвердив, что эти действия были направлены и не являлись частью более широкой кампании.

Эта атака критически повлияла на Azure/functions-action, нарушив работу официального GitHub Action, отвечающего за развертывание Azure Functions, что немедленно создало операционные проблемы для рабочих процессов, ссылающихся на него. Расследования связали этот инцидент с текущей кампанией червя Miasma, которая нацелена на множество учетных записей и репозиториев, потенциально связанных с хакерской группировкой TeamPCP.

Разработчикам и организациям, взаимодействовавшим с затронутыми репозиториями, рекомендуются немедленные меры по устранению уязвимостей. Это включает в себя рассмотрение любых систем, к которым был получен доступ после 2 июня 2026 года, как скомпрометированных, поскольку полезная нагрузка активируется при открытии репозитория, что требует тщательной ротации учетных данных и проверки любого репозитория на наличие несанкционированных коммитов с определенными шаблонами файлов.

Профилактические меры на будущее включают тщательную проверку клонированных репозиториев на наличие подозрительных конфигурационных файлов перед их открытием в редакторе, установление правил защиты веток, использование доверенных методов публикации в реестрах пакетов и внедрение надежных ограничений сетевого доступа для обнаружения и блокировки соединений с известными доменами управления.

#ParsedReport #CompletenessLow
05-06-2026

Silent Ransom Group (SRG): Uncovering DNS Fast Flux Infrastructure

https://www.resecurity.com/blog/article/silent-ransom-group-srg-uncovering-dns-fast-flux-infrastructure

Report completeness: Low

Actors/Campaigns:
Luna_moth (motivation: cyber_criminal, information_theft)
Nokoyawa
Gamaredon (motivation: cyber_criminal)

Threats:
Fastflux_technique
Supply_chain_technique

Victims:
Law firms, Healthcare, Hotels, Finance, Insurance

Industry:
Telco, Financial, Healthcare, Iot

Geo:
London, Canadian, Latin america, Sydney, Dominican, New zealand, Egypt, Spanish, America, Russian, North macedonia, Costa rica, Tokyo, Colombia, Africa, Latin american, Middle east, Ecuador, Saudi arabia, Singapore, New york, South korea, Brazil, Dominican republic, Kyrgyzstan, Korea, Argentina, Saudi, Macedonia, Panama, Mexico, Croatia, Tunisia, Jamaica, Uzbekistan, Australian, Moscow, Riyadh, American, Asia, Gyeonggi-do, Bulgaria, Bolivia, Peru

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1090, T1199, T1566.004, T1568.001, T1583.001, T1583.002, T1584.005, T1656

IOCs:
Domain: 305
Url: 2
IP: 29

Soft:
TOR browser

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Silent Ransom Group (SRG), также известная как Luna Moth или UNC3753, фокусируется на краже данных и вымогательстве, а не на шифровании, нацеливаясь на чувствительные сектора, такие как юридические услуги и здравоохранение, по крайней мере с 2022 года. Их операции включают сложную социальную инженерию, включая имперсонацию и физическое проникновение, поддерживаемые инфраструктурой Fast Flux для поддержания анонимности через вращающуюся сеть скомпрометированных устройств, преимущественно IoT и CPE. SRG эксплуатирует уязвимости сторонних поставщиков для косвенного доступа к юридическим фирмам, применяя агрессивные тактики переговоров о выкупе.
-----

Группа Silent Ransom Group (SRG), также известная как Luna Moth и UNC3753, осуществляет схему кибершантажа как минимум с 2022 года, делая акцент на краже данных, а не на их шифровании. SRG нацелена на чувствительные сектора, такие как юридические фирмы, здравоохранение, финансы и страхование. Группа использует тактики социальной инженерии и физического проникновения для доступа к системам с конфиденциальными данными. SRG использует сайты утечек данных в Clearnet и передовую инфраструктуру DNS Fast Flux для обеспечения анонимности и устойчивости. Их техника Fast Flux скрывает вредоносные серверы за изменяющейся сетью скомпрометированных устройств, усложняя защитные меры. Инфраструктура включает ботнет, состоящий из скомпрометированных устройств Интернета вещей (IoT) и клиентского оборудования (CPE). Юридические фирмы нацелены специально из-за управления ими конфиденциальными данными клиентов. Тактики включают имперсонацию ИТ-персонала и использование стратегий обратного фишинга и голосового фишинга. Оперативники SRG могут физически проникать в юридические офисы для повышения успешности кражи данных. Они эксплуатируют уязвимости сторонних поставщиков для косвенного доступа к юридическим фирмам. SRG ведет упорные переговоры о выкупе, оказывая прямое давление на жертв. В отличие от многих киберпреступников, SRG использует хостинг Clearnet для своих сайтов утечек, делая их более доступными для жертв. Их сеть Fast Flux усложняет усилия по атрибуции и смягчению последствий из-за использования IP-адресов жилых помещений. Связь с другими подпольными проектами, такими как Spy Corporate, предполагает потенциальное расширение или сотрудничество в рамках их деятельности.

#ParsedReport #CompletenessLow
08-06-2026

2026 FIFA World Cup Threat Landscape: The Kickoff for Cybercriminals

https://socradar.io/blog/2026-fifa-world-cup-threat-landscape/

Report completeness: Low

Actors/Campaigns:
Cyberav3nger
Irgc
Handala-hacking-team
Sandworm
Fancy_bear
Noname057 (motivation: propaganda, hacktivism)
Storm-1679
Storm-1099
Doppelgnger

Threats:
Credential_harvesting_technique
Vidar_stealer
Lumma_stealer
Typosquatting_technique
Olympic_destroyer
Ddosia_botnet
Supply_chain_technique

Victims:
Fans, Travelers, Sponsors, Broadcasters, Hospitality providers, Businesses, Government services, Water and wastewater, Energy, Critical infrastructure, have more...

Industry:
Healthcare, Iot, Entertainment, Foodtech, Transport, E-commerce, Critical_infrastructure, Government, Ics, Energy, Telco, Financial, Aerospace, Military, Logistic

Geo:
Iranian, Korea, Ukrainian, Israel, Canada, North korea, United states, China, Mexico, Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1072, T1078, T1098, T1110.004, T1204, T1485, T1486, T1491.001, T1498, T1531, have more...

IOCs:
Domain: 3
File: 1

Algorithms:
cbc

#ParsedReport #ExtractedSchema

Classified images:
schema: 2