#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Silent Ransom Group (SRG), также известная как Luna Moth или UNC3753, фокусируется на краже данных и вымогательстве, а не на шифровании, нацеливаясь на чувствительные сектора, такие как юридические услуги и здравоохранение, по крайней мере с 2022 года. Их операции включают сложную социальную инженерию, включая имперсонацию и физическое проникновение, поддерживаемые инфраструктурой Fast Flux для поддержания анонимности через вращающуюся сеть скомпрометированных устройств, преимущественно IoT и CPE. SRG эксплуатирует уязвимости сторонних поставщиков для косвенного доступа к юридическим фирмам, применяя агрессивные тактики переговоров о выкупе.
-----

Группа Silent Ransom Group (SRG), также известная как Luna Moth и UNC3753, осуществляет схему кибершантажа как минимум с 2022 года, делая акцент на краже данных, а не на их шифровании. SRG нацелена на чувствительные сектора, такие как юридические фирмы, здравоохранение, финансы и страхование. Группа использует тактики социальной инженерии и физического проникновения для доступа к системам с конфиденциальными данными. SRG использует сайты утечек данных в Clearnet и передовую инфраструктуру DNS Fast Flux для обеспечения анонимности и устойчивости. Их техника Fast Flux скрывает вредоносные серверы за изменяющейся сетью скомпрометированных устройств, усложняя защитные меры. Инфраструктура включает ботнет, состоящий из скомпрометированных устройств Интернета вещей (IoT) и клиентского оборудования (CPE). Юридические фирмы нацелены специально из-за управления ими конфиденциальными данными клиентов. Тактики включают имперсонацию ИТ-персонала и использование стратегий обратного фишинга и голосового фишинга. Оперативники SRG могут физически проникать в юридические офисы для повышения успешности кражи данных. Они эксплуатируют уязвимости сторонних поставщиков для косвенного доступа к юридическим фирмам. SRG ведет упорные переговоры о выкупе, оказывая прямое давление на жертв. В отличие от многих киберпреступников, SRG использует хостинг Clearnet для своих сайтов утечек, делая их более доступными для жертв. Их сеть Fast Flux усложняет усилия по атрибуции и смягчению последствий из-за использования IP-адресов жилых помещений. Связь с другими подпольными проектами, такими как Spy Corporate, предполагает потенциальное расширение или сотрудничество в рамках их деятельности.

#ParsedReport #CompletenessLow
08-06-2026

2026 FIFA World Cup Threat Landscape: The Kickoff for Cybercriminals

https://socradar.io/blog/2026-fifa-world-cup-threat-landscape/

Report completeness: Low

Actors/Campaigns:
Cyberav3nger
Irgc
Handala-hacking-team
Sandworm
Fancy_bear
Noname057 (motivation: propaganda, hacktivism)
Storm-1679
Storm-1099
Doppelgnger

Threats:
Credential_harvesting_technique
Vidar_stealer
Lumma_stealer
Typosquatting_technique
Olympic_destroyer
Ddosia_botnet
Supply_chain_technique

Victims:
Fans, Travelers, Sponsors, Broadcasters, Hospitality providers, Businesses, Government services, Water and wastewater, Energy, Critical infrastructure, have more...

Industry:
Healthcare, Iot, Entertainment, Foodtech, Transport, E-commerce, Critical_infrastructure, Government, Ics, Energy, Telco, Financial, Aerospace, Military, Logistic

Geo:
Iranian, Korea, Ukrainian, Israel, Canada, North korea, United states, China, Mexico, Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1072, T1078, T1098, T1110.004, T1204, T1485, T1486, T1491.001, T1498, T1531, have more...

IOCs:
Domain: 3
File: 1

Algorithms:
cbc

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
По мере приближения Чемпионата мира по футболу 2026 года возникает несколько киберугроз, в частности кампании фишинга и мошеннические сайты по продаже билетов, использующие учетные данные пользователей. Акторы-государства, включая группы, связанные с Ираном, и структуры, выровненные с Россией, представляют угрозу через вторжения, нацеленные на критическую инфраструктуру, и деструктивные действия. Слияние хактивизма и киберкриминала очевидно: группы, такие как NoName057(16), применяют тактики DDoS, а угрозы социальной инженерии в гостиничном секторе, как ожидается, возрастут во время турнира.
-----

Кампании фишинга, направленные против участников и зрителей ФИФА, набирают обороты, при этом ФБР отмечает значительную активность, связанную с доменами мошеннической продажи билетов.

Злоумышленники используют клонированные порталы продажи билетов для перехвата учетных данных пользователей, что способствует краже учетных данных и мошеннической продаже билетов.

Акторы, связанные с государствами, особенно иранские группы, эксплуатируют уязвимости в программируемых логических контроллерах, доступных через интернет, в критической инфраструктуре США.

Группировка CyberAv3ngers, связанная с Корпусом стражей исламской революции (IRGC), нацелилась на муниципальные ресурсы, имеющие ключевое значение для городов-хозяев чемпионата мира по футболу.

Группы, лояльные России, имеют историю деструктивных кибердействий во время крупных мероприятий, что может привести к эскалации во время Чемпионата мира по футболу.

Пророссийская группа NoName057(16) проводит атаки типа «отказ в обслуживании» (DDoS) против государств — членов НАТО, используя Чемпионат мира в качестве платформы.

Риски социальной инженерии в гостиничном секторе возрастают, при этом взаимосвязанные системы уязвимы для угроз программ-вымогателей.

Наблюдается повышенный потенциал проведения операций по влиянию с использованием контента, сгенерированного искусственным интеллектом, включая применение технологии дипфейков для распространения дезинформации.

Организациям рекомендуется усиливать кибербезопасность посредством мониторинга доменов и обнаружения утечки учетных данных, уделяя особое внимание протоколам безопасности электронной почты для предотвращения компрометации бизнес-электронной почты.

Рекомендуется проводить подготовку к DDoS-атакам и проходить углублённое обучение для сотрудников с целью противодействия попыткам социальной инженерии, чтобы обеспечить непрерывность операционной деятельности.

#ParsedReport #CompletenessHigh
05-06-2026

Dark Web Profile: Vect Ransomware

https://socradar.io/blog/dark-web-profile-vect-ransomware/

Report completeness: High

Actors/Campaigns:
Vect (motivation: financially_motivated)
Teampcp
Dragonforce

Threats:
Supply_chain_technique
Conti
Lockbit
Qtox_tool
Devman
Credential_harvesting_technique
Shadow_copies_delete_technique
Winrm_tool
Rclone_tool
Canisterworm
Windows_locker

Victims:
Technology, Financial services, Healthcare, Manufacturing, Business services, Energy, Consumer services, Education, Agriculture & food production

Industry:
Energy, Foodtech, Healthcare, Education, E-commerce

Geo:
Israel, Russia, South africa, Brazil, Kazakhstan, Italy, Egypt, Africa, Ukraine, India, Spain, Belarus

TTPs:
Tactics: 10
Technics: 31

IOCs:
File: 3
Command: 1

Soft:
Trivy, LiteLLM, Linux, ESXi, Kubernetes, Microsoft Defender, MariaDB, MySQL, PostgreSQL, Redis, have more...

Crypto:
monero, bitcoin

Algorithms:
poly1305, chacha20, xor, chacha20-poly1305, base64

Functions:
randombytes, Set-MpPreference

Win API:
NtQueryInformationProcess, NetShareEnum, MoveFileExW

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ransomware Vect, запущенный в декабре 2025 года как финансово мотивированная модель двойного вымогательства RaaS, быстро создал широкую сеть аффилиатов благодаря низкой стоимости входа и партнерствам с группами, такими как TeamPCP. Он использует уязвимости в Цепочке поставок для получения первоначального доступа через CI/CD-конвейеры, что позволяет осуществлять масштабную эксфильтрацию данных и компрометацию систем. Шифрование Vect использует алгоритм ChaCha20, но не обеспечивает защиту целостности сообщений, что ведет к потенциальной потере данных, тогда как его операционные методы включают отключение мер безопасности и применение тактик перемещения внутри компании для повышения привилегий в целевых сетях.
-----

Ransomware Vect начал свою деятельность 31 декабря 2025 года как операция по модели программы двойного вымогательства как услуга (ransomware-as-a-service).

Он рекламируется на российском форуме киберкриминала и быстро создал широкую сеть аффилиатов.

Группа продемонстрировала своих первых 25 жертв в течение четырех месяцев и сформировала альянсы с другими акторами, такими как TeamPCP.

Они используют скомпрометированные учетные данные из инцидентов в цепочке поставок, в частности в Trivy и Checkmarx KICS.

Вступительный взнос для аффилированных лиц составляет 250 долларов в Monero, с освобождением от уплаты для заявителей из Содружества Независимых Государств (CIS).

Аффилиаты получают доступ к конструктору вредоносного ПО для различных операционных систем и платформе для ведения переговоров с жертвами.

К середине апреля 2026 года BreachForums начал распространять ключи аффилиации Vect среди своей пользовательской базы, расширяя рекрутинг без требований к навыкам.

Атаки обычно эксплуатируют уязвимости цепочки поставок, нацеленные в рамках кампании TeamPCP, компрометируя конвейеры CI/CD для первоначального доступа.

Метод шифрования Vect использует алгоритм ChaCha20, но не обеспечивает защиту целостности сообщений, что может привести к потере данных.

Процесс шифрования содержит уязвимости, которые могут сделать невозможным восстановление значительных частей зашифрованных файлов.

Vect отключает механизмы безопасности, завершает защитные службы и проводит разведку системы перед запуском программы-вымогателя.

Они осуществляют перемещение внутри компании через Маскировка под легитимные операции, используя запланированные задачи для повышения привилегий.

Жертвы в основном находятся в Соединенных Штатах и Бразилии, при этом технологический сектор подвергся наиболее значительным нарушениям.

Для защиты от Vect организациям следует ротировать скомпрометированные учетные данные и усиливать сетевую защиту от трафика Tor.

Мониторинг специфических действий, связанных с Vect, и ведение строгого журнала регистрации критически важны для обнаружения.

Внедрение неизменяемых резервных копий и соблюдение лучших практик управления исправлениями может снизить риски, связанные с вымогательским ПО Vect.

#ParsedReport #CompletenessLow
08-06-2026

You do surprise me.exe: An unexpected executable in Hola Browser

https://www.sophos.com/blog/you-do-surprise-me-exe-an-unexpected-executable-in-hola-browser

Report completeness: Low

Threats:
Supply_chain_technique
Xmrig_miner

Victims:
Hola browser users, Software

ChatGPT TTPs:
do not use without manual check
T1195.002, T1496, T1562.001

IOCs:
File: 2
Hash: 4

Soft:
Windows Defender

Algorithms:
sha1, sha256, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Браузер Hola был отмечен как содержащий исполняемый файл «Hola me.exe», который был идентифицирован как потенциально нежелательное приложение (PUA) во время тестирования безопасности, демонстрируя потенциальные риски для целостности программного обеспечения. Этот исполняемый файл ведет себя как криптомайнер, используя тактики, такие как инициация исключений в Windows Defender и включение строк, указывающих на функциональность майнера XMRig, что предполагает его цель — несанкционированную добычу Monero. Этот инцидент подчеркивает уязвимости в безопасности Цепочки поставок программного обеспечения и необходимость непрерывного мониторинга.
-----

Браузер Hola подвергся критике из-за неожиданного исполняемого файла, идентифицированного как «Hola me.exe», который был обнаружен в ходе независимых тестов безопасности. Компания AppEsteem, сертифицирующая программные продукты, провела тесты, в ходе которых браузер Hola был признан соответствующим требованиям; однако упомянутый исполняемый файл был помечен несколькими поставщиками решений безопасности как потенциально нежелательное приложение (PUA). Это вызывает опасения относительно целостности Цепочки поставок программного обеспечения, поскольку процесс сертификации, по-видимому, проверял только конкретный снимок браузера Hola, не учитывая дополнительные, потенциально вредоносные компоненты, которые были обнаружены позже.

Исполняемый файл «Hola me.exe» демонстрирует поведение, типичное для криптомайнера. Он добавляет исключение в Windows Defender, что позволяет ему функционировать без обнаружения средствами защиты. Наличие в бинарном файле строк, таких как «killed orphan miner pid %d user active» и «stopping miner m/cmd/xmrig-idle», указывает на то, что он основан на майнере XMRig, который обычно ассоциируется с майнингом Monero (XMR). Эти характеристики свидетельствуют о намерении исполняемого файла выполнять несанкционированный криптомайнинг на затронутых системах, что вызывает серьезные опасения относительно общего уровня безопасности Hola Browser и его связанных компонентов.

Обнаружение этого исполняемого файла подчеркивает не только потенциальные риски, связанные с процессами сертификации программного обеспечения, но и важность постоянной бдительности в отношении атак на цепочку поставок, которые могут внедрять неправомерное программное обеспечение в иначе легитимные приложения.

#ParsedReport #CompletenessLow
06-06-2026

PulseRAT - Google Sheets-based RAT Using UAE-India Partnership Lure

https://dmpdump.github.io/posts/PulseRAT/

Report completeness: Low

Threats:
Pulserat

Victims:
Defense, Government, Telecommunications

Industry:
Telco

Geo:
India, Afghanistan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.010, T1033, T1036.004, T1041, T1053.005, T1059.001, T1070.004, T1082, T1102.002, T1132.001, have more...

IOCs:
Path: 2
File: 5
Hash: 4

Soft:
Discord, Windows Task Scheduler

Algorithms:
base64, xor, sha256

Functions:
CreatePersistence

Win API:
NetBIOS

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PulseRAT, Троянская программа, обнаруженная в ISO-файле, связанном с оборонным партнерством между ОАЭ и Индией, использует .NET-дроппер для закрепления через запланированную задачу. Он использует Google Таблицы для связи по каналу управления, генерируя уникальный идентификатор для скомпрометированных хостов и применяя закодированные команды PowerShell для скрытой эксфильтрации данных. Его скрытные операции, включая сокрытие консоли и выполнение задач внутри runspace PowerShell, направлены на уклонение от обнаружения.
-----

19 мая 2026 года новая Троянская программа (RAT) под названием «PulseRAT» была обнаружена встроенной в ISO-файл с именем «UAE-India_Strategic_Partnership_Week.iso», который, по утверждениям, связан с оборонным партнерством между ОАЭ и Индией. Основной исполняемый файл, представляющий интерес, Document_11052026-03578240540350-93.exe, помечен как .NET-дроппер, изначально называвшийся FinalTool.exe и скомпилированный всего за несколько дней до его обнаружения.

После запуска этот дроппер проверяет наличие директории %LOCALAPPDATA%\Microsoft\Vault. Если директория отсутствует, он создает её и переходит к извлечению двух встроенных ресурсов. Дроппер обеспечивает закрепление через запланированную задачу под названием WindowsVaultSyncService с использованием COM-интерфейса Планировщика задач Windows. Эта задача настроена на выполнение двух действий: запуск через три минуты после создания и при входе пользователя в систему.

Сам RAT, доставляемый в виде vaultsvc.exe, использует Google Sheets для связи по каналу управления (C2). Изначально PulseRAT генерирует уникальный идентификатор (UID) для каждого скомпрометированного хоста, хешируя объединённые имя пользователя и имя машины алгоритмом SHA-256. RAT скрывает свою консоль и устанавливает необходимые свойства подключения через класс ServicePointManager перед вызовом своей основной функциональности через метод с именем Pulse.

Для обеспечения связи с C2-сервером PulseRAT расшифровывает идентификатор электронной таблицы и связанные учетные данные сервисного аккаунта с использованием уникального XOR-ключа посредством метода расшифровки, называемого JIT. Получив идентификатор электронной таблицы, он аутентифицируется в Google Sheets и проверяет наличие существующей записи для UID жертвы; если запись не найдена, создается новый лист.

RAT фиксирует системную информацию посредством выполнения PowerShell в процессе, выводя данные в контролируемую злоумышленником электронную таблицу. Он также способен читать и выполнять закодированные в base64 команды PowerShell из таблицы, возвращая результаты в том же закодированном формате, вместе с метками времени выполнения. Этот скрытный подход, использующий runspace PowerShell, направлен на избегание типичных методов обнаружения, которые возникли бы при запуске нового процесса PowerShell.

Дальнейшее расследование связанных артефактов привело к безобидному файлу Excel Compliance_Checklist.xlsx, связанному с пользователем Афганского регулятора телекоммуникаций. Хотя связь с RAT была слабой, она заслуживала внимания из-за совпадения имен машин и временных меток, что побудило продолжить анализ на предмет значимых связей между обнаруженными функциями PulseRAT и артефактом Excel. В целом, PulseRAT представляет собой сложный подход к установлению каналов C2 через легитимные облачные сервисы, используя учетные данные скрытным образом.

#ParsedReport #CompletenessLow
03-06-2026

Codex Discovered a Hidden HTTP/2 Bomb

https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb

Report completeness: Low

Threats:
Slowloris_technique

Victims:
Web servers, Apache httpd, Envoy, Nginx, Iis, Pingora

Industry:
Transport

CVEs:
CVE-2025-53020 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-49975 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2016-6581 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2016-1546 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2016-8740 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1499.002, T1499.003, T1499.004

Soft:
nginx, Docker

Links:
https://github.com/nginx/nginx/commit/365694160a85229a7cb006738de9260d49ff5fa2
have more...
https://github.com/apache/httpd/commit/47d3100b252dc6668a9e46ae885242be9eeca9cd
https://github.com/califio/publications/tree/main/MADBugs/http2-bomb

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
HTTP/2 Bomb — это сложное удалённое средство отказа в обслуживании (DoS), нацеленное на веб-серверы, использующие схему сжатия заголовков HPACK протокола HTTP/2. Атака использует техники из предыдущих уязвимостей, включая бомбу сжатия и удержание в стиле Slowloris, позволяя злоумышленникам перегружать серверы, отправляя большое количество 1-байтовых индексированных ссылок, требующих минимальной пропускной способности, но создающих значительные затраты на выделение памяти на стороне сервера. Кроме того, атака использует обработку заголовка cookie для обхода ограничений, достигая коэффициентов усиления до 4000:1 на некоторых серверах.
-----

Недавно раскрытая атака HTTP/2 Bomb представляет собой сложное удалённое средство отказа в обслуживании (DoS), направленное против множества широко используемых веб-серверов. Эта атака использует схему сжатия заголовков протокола HTTP/2, известную как HPACK. Комбинируя методы из предыдущих уязвимостей, в частности применяя бомбу сжатия и удержание в стиле Slowloris, атака способна быстро перегружать серверы.

Часть эксплойта HPACK Bomb заключается в заполнении динамической таблицы одним заголовком, а затем в рассылке тысяч однобайтовых индексированных ссылок на неё. Для атакующего эта операция обходится всего в один байт в сети, однако сервер несёт значительные затраты на выделение памяти, составляющие примерно 70 байт для nginx и IIS и почти 4 000 байт для таких серверов, как Apache httpd и Envoy. Вторая компонента, HTTP/2 Window Stall, заключается в установке нулевого окна управления потоком, что предотвращает завершение сервером формирования ответа. Одновременно атакующий отправляет однобайтовые фреймы WINDOW_UPDATE для постоянного сброса таймаута отправки, тем самым удерживая выделения памяти до тех пор, пока это позволяют настройки сервера.

Предыдущие итерации этих техник задокументированы, например, концепция HPACK Bomb, представленная Кори Бенфилдом в 2016 году, и связанные уязвимости типа HTTP/2 Slowloris, такие как CVE-2016-8740 и CVE-2016-1546. Однако недавняя реализация в HTTP/2 Bomb обеспечивает более мощный эффект усиления. Для серверов, ограничивающих количество заголовочных полей, эксплуатация может обойти эти проверки, используя заголовок Cookie, который может быть разделен, что позволяет достичь значительных коэффициентов усиления. Например, в Envoy существенный cookie может дать соотношение примерно 3800:1 между разрешенными логическими байтами cookie и байтами, отправленными по сети, а обработка в Apache httpd даже приводит к приближениям 4000:1.

Усилия по раскрытию информации об этой уязвимости были направлены в nginx и Apache, при этом nginx оперативно отреагировал на устранение проблемы. Последующий патч Apache изменил способ управления заголовками cookie в отношении ограничений, что привело к присвоению идентификатора CVE-2026-49975.

#ParsedReport #CompletenessLow
06-06-2026

The Blight Reaches Microsoft: 73 Repos Disabled in 105 Seconds

https://opensourcemalware.com/blog/miasma-reaches-azure

Report completeness: Low

Actors/Campaigns:
Teampcp
Mini_shai-hulud

Threats:
Miasma
Supply_chain_technique
Shai-hulud
Credential_harvesting_technique

Victims:
Microsoft, Azure functions, Durable task, Red hat

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1195.001, T1528, T1567.001

IOCs:
File: 1

Soft:
Azure Functions, Node.js, RabbitMQ, OpenAI, MSSQL

Algorithms:
zip

Languages:
powershell, python, java

Links:
https://github.com/Azure/functions-action

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
5 июня GitHub отключил 73 репозитория, связанных с Microsoft, из-за опасений, связанных с пакетом durabletask, который был связан с червем Miasma — сложным злоумышленником, эксплуатирующим украденные секреты GitHub Actions. Этот инцидент отразил уязвимости в критических компонентах экосистемы Microsoft Azure, вызвав тревогу за целостность Azure Functions и потенциальную возможность постоянной утечки учетных записей злоумышленником, способным манипулировать этими репозиториями. Червь Miasma использует методы сбора учетных записей и распространяется через вредоносные публичные репозитории, вызывая опасения по поводу безопасности Azure и GCP.
-----

5 июня GitHub в быстрой последовательности отключил 73 репозитория, связанных с Microsoft, сосредоточившись на критических компонентах экосистемы Microsoft Azure, включая всю организацию Azure Functions и связанные с ней библиотеки. В центре этого инцидента оказался пакет durabletask, который вновь появился как вектор компрометации, связанный с червем Miasma — эволюционировавшей угрозой, связанной с более ранними атаками TeamPCP.

Отключённые репозитории включали ключевые элементы среды выполнения и инструменты, такие как azure-functions-host и различные библиотеки языковых воркеров для Node.js, Python, Java и других сред. Предшествующие инциденты безопасности, связанные с пакетом durabletask из PyPI, выявили значительные уязвимости, поскольку вредоносные версии были загружены в течение короткого промежутка времени, что указывает на подход злоумышленника к эксплуатации украденных секретов GitHub Actions. Это свидетельствовало о потенциальной возможности постоянной утечки учётных данных, предполагая, что злоумышленник всё ещё может обладать способностью манипулировать этими репозиториями.

Объяснение Microsoft по поводу удаления было неясным: сначала они намекали на нарушение политик, связанных с ВПО, а затем указали на внутреннюю проблему управления, что вызвало сомнения в их подотчетности и надежности их защиты безопасности в таких ситуациях. Быстрое роспуск этих репозиториев подразумевал масштабное проникновение и вызывал опасения относительно целостности процесса развертывания Azure Function, особенно в части зависимости от GitHub Actions.

Связь с червем Miasma предоставляет дополнительный контекст этому инциденту. Miasma представляет собой эскалацию угроз, включающую техники сбора учетных записей, специально нацеленные на среды Azure и GCP. Червь распространяется путем создания вредоносных публичных репозиториев и внедрения украденных секретов, что согласуется с автоматическими действиями по принудительному выполнению правил GitHub против нарушений условий обслуживания. Последовательность событий, включая быстрое удаление репозиториев, сильно намекает на оппортунистическую эксплуатацию уязвимостей, недавно введенных в предыдущих атаках.

Для снижения рисков организациям, использующим Azure, следует обеспечить внедрение более строгих мер контроля над действиями в Azure, таких как привязка зависимостей к конкретным хешам коммитов (SHA) для предотвращения проблем, связанных с изменяемыми тегами. Командам безопасности рекомендуется активно ротировать конфиденциальные токены и учетные данные, включая токены Azure CLI и OIDC-токены GitHub Actions, а также проводить тщательные проверки на наличие несанкционированных публичных репозиториев. В частности, команды должны проявлять бдительность в отношении любых случаев фиксации секретов в непредназначенных для этого местах и изучать любые установочные хуки или скрипты, которые могут способствовать использованию ВПО, такого как Miasma. До тех пор, пока не будут устранены проблемы с функциями Azure functions-action и связанными репозиториями, в качестве меры предосторожности следует использовать альтернативные методы развертывания, такие как Azure CLI и Azure DevOps.