#ParsedReport #CompletenessHigh
08-06-2026

Don't Fear the Repo: UNK_DeadDrop Phishing Campaign Targets Developers to Steal Cryptocurrency

https://www.proofpoint.com/us/blog/threat-insight/dont-fear-repo-unkdeaddrop-phishing-campaign-targets-developers-steal

Report completeness: High

Actors/Campaigns:
Unk_deaddrop (motivation: financially_motivated)
Contagious_interview
Tradertraitor
Applejeus

Threats:
Overlord_tool
Tradertraitor_downloader
Clickfix_technique
Zenity_tool
Credential_stealing_technique
Shadow_copies_delete_technique
Invisibleferret
Ottercookie
Flexibleferret

Victims:
Cryptocurrency, Finance, Education, Technology, Business services, Financial services, United states, Global

Industry:
Financial, Healthcare, Education

Geo:
North-korea, Korean, Korea, Dprk, North korean, North korea

TTPs:
Tactics: 5
Technics: 0

IOCs:
Url: 16
File: 12
IP: 4
Domain: 48
Email: 44
Hash: 16

Soft:
macOS, Linux, Visual Studio Code, Visual Studio, Slack, Telegram, vscode, Node.js, Electron, Chrome, have more...

Wallets:
bybit, metamask, rabby, keplr, electrum

Crypto:
ethereum, solana, monero, bitcoin

Algorithms:
zip, aes-256-gcm, sha256, base64

Functions:
backup

Win API:
Arc

Languages:
javascript, python

Platforms:
apple, cross-platform, amd64, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В рамках целевой фишинговой кампании под названием UNK_DeadDrop северокорейский злоумышленник атаковал разработчиков в сферах финансов, криптовалют, образования и технологий в период с апреля по май 2026 года. Более 250 фишинговых писем направляли пользователей на вредоносные репозитории GitHub, что приводило к скрытой установке основанного на Go ВПО Overlord, которое функционировало как RAT на macOS и Linux, а также использовало JavaScript на Windows для эксфильтрации конфиденциальной информации, такой как данные кошельков браузеров и учетные данные. Атака продемонстрировала эволюцию тактик, применяя различные методы кражи учетных данных, специфичные для операционных систем, и переходя от менее репутационных доменов на начальном этапе к более устоявшимся почтовым сервисам для проведения outreach-кампаний.
-----

Злоумышленник из Северной Кореи был выявлен в рамках фишинговой кампании под названием UNK_DeadDrop, направленной на разработчиков в сфере финансов, криптовалют, образования и технологий.

Кампания включала более 250 фишинговых писем, направленных почти на 100 организаций, преимущественно в Соединенных Штатах.

Злоумышленники использовали электронные письма, маскирующиеся под предложения о работе и запросы на рецензирование кода, применяя контролируемые актором репозитории GitHub для распространения вредоносных скриптов.

Цели получали ссылки на эти репозитории, которые выглядели как легитимные технические проекты.

Процесс заражения начался, когда пользователи клонировали и открывали репозитории, что запускало предварительно настроенную задачу, устанавливающую вредоносные расширения Visual Studio (VSIX).

Эта установка требовала минимального взаимодействия с пользователем, позволяя ВПО для macOS, Linux и Windows функционировать незамеченным.

Основным ВПО, использовавшимся в атаке, был фреймворк на базе Go под названием Overlord, предназначенный для удаленного доступа и эксфильтрации конфиденциальной информации.

На Linux и macOS Overlord функционировал как Троянская программа (RAT), устанавливая постоянные WebSocket-соединения с сервером управления.

Фреймворк собирал информацию из кошельков браузера и учетные данные пользователей с помощью скрытых процессов, таких как поддельные диалоговые окна для перехвата паролей.

Вариант для Windows, выполняемый в среде редактора, использующий JavaScript для извлечения данных и избегающий создания бинарных файлов для снижения рисков обнаружения.

Методы кражи учетных данных варьировались: вредоносное ПО для macOS изменяло контроль доступа к Связке ключей, тогда как вредоносное ПО для Linux использовало GNOME Keyring для извлечения паролей.

В рамках кампании использовались домены фиктивных корпораций и различные методы доставки писем, изначально применялись сомнительные веб-сайты, а затем такие устоявшиеся сервисы, как Mailgun.

Хотя UNK_DeadDrop имеет сходство с прошлыми операциями северокорейских хакеров, он знаменует собой эволюцию тактик, демонстрируя повышенную сложность и целенаправленное воздействие на уязвимые рабочие процессы разработчиков.

#ParsedReport #CompletenessLow
08-06-2026

Critical Check Point VPN Zero-Day Exploited in the Wild (CVE-2026-50751)

https://www.rapid7.com/blog/post/etr-critical-check-point-vpn-zero-day-exploited-in-the-wild-cve-2026-50751

Report completeness: Low

Threats:
Qilin_ransomware
Mitm_technique

Victims:
Organizations

CVEs:
CVE-2026-50751 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-50752 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-24919 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1557

IOCs:
IP: 9
Hash: 2

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
8 июня 2026 года была раскрыта критическая уязвимость обхода аутентификации CVE-2026-50751 в продуктах Check Point Remote Access VPN, Mobile Access и Spark Firewall, позволяющая неаутентифицированным злоумышленникам устанавливать сеанс VPN без действительных учетных данных. Уязвимость эксплуатирует недостаток в протоколе обмена ключами IKEv1, что привело к подтвержденной эксплуатации в дикой природе, связанной с киберпреступной деятельностью, включая аффилированное лицо вымогательского ПО Qilin. Связанная уязвимость CVE-2026-50752 представляет потенциальный риск для атак типа «человек посередине», но пока не была использована.
-----

8 июня 2026 года Check Point раскрыла критическую уязвимость обхода аутентификации, CVE-2026-50751, затрагивающую продукты Remote Access VPN, Mobile Access и Spark Firewall. Эта уязвимость, имеющая оценку CVSS 9.3, представляет особую значимость, поскольку связана со старым протоколом обмена ключами IKEv1. Она позволяет неаутентифицированным злоумышленникам устанавливать сеанс VPN без действительных учетных данных из-за ошибки в проверке сертификатов в процессе обмена ключами IKEv1. Организации, использующие конфигурации, которые все еще принимают этих устаревших клиентов Remote Access, находятся в зоне высокого риска. Хотя злоумышленники могут инициировать сеанс VPN, им потребуются дополнительные действия после аутентификации для доступа к внутренним ресурсам или повышения привилегий.

Эксплуатация уязвимости CVE-2026-50751 уже наблюдалась в реальных условиях, при этом сообщения об атаках датируются 7 мая 2026 года, а в начале июня было отмечено увеличение активности. Эта кампания в первую очередь нацелена на десятки организаций, при этом выявлены заметные связи с киберпреступными группировками, включая аффилиата шифровальщика Qilin. Компания Rapid7 подтвердила как минимум один инцидент, связанный с данной уязвимостью, с высоким уровнем достоверности.

В дополнение к CVE-2026-50751, Check Point выявил связанную уязвимость CVE-2026-50752, имеющую оценку CVSS 7.4. Эта уязвимость может позволить атаки «человек посередине» на конфигурациях VPN между сайтами, однако на данный момент случаев эксплуатации этой проблемы не зафиксировано.

В свете этих уязвимостей организациям, использующим продукты Check Point, необходимо оперативно применить исправления, выпущенные для CVE-2026-50751, учитывая активную эксплуатацию. Check Point рекомендует затронутым субъектам устранить поддержку устаревших клиентов удаленного доступа, настроить глобальные свойства для требования аутентификации IKEv2 исключительно, обязать аутентификацию по машинному сертификату и включить функции Системы предотвращения вторжений (IPS), обеспечивая при этом загрузку последних сигнатур. Организации не должны откладывать применение этих обновлений и должны приоритизировать их внедрение для защиты от возникающих угроз.

#ParsedReport #CompletenessMedium
08-06-2026

Mini Shai-Hulud, Miasma, and Hades Worms Target Bioinformatics and MCP Developers via Malicious PyPI Wheels

https://socket.dev/blog/mini-shai-hulud-miasma-and-hades-worms-target-bioinformatics-and-mcp-developers-via-malicious

Report completeness: Medium

Actors/Campaigns:
Mini_shai-hulud

Threats:
Shai-hulud
Miasma
Hades
Supply_chain_technique
Typosquatting_technique
Dead_drop_technique

Victims:
Bioinformatics, Ai developers, Mcp developers, Developer environments, Ci/cd environments, Scientific research

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1036.005, T1059.006, T1059.007, T1102.001, T1105, T1129, T1195.001, T1528, have more...

IOCs:
File: 5
Hash: 2

Soft:
Kubernetes, Docker, Flask, LangChain, OpenAI

Algorithms:
sha256

Functions:
dlopen

Languages:
cpython, javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние данные свидетельствуют о появлении вредоносных пакетов PyPI, связанных с атаками на Цепочка поставок Mini Shai-Hulud, Miasma и Hades, при этом выявлено 23 новые версии, нацеленные на среды разработки, особенно в биоинформатике и ИИ. Техники атак включают выполнение встроенного вредоносного JavaScript через скомпилированные нативные расширения и использование механизма поиска загрузчика для уклонения от обнаружения. JavaScript- payload, нацеленный на конфиденциальную информацию в средах CI/CD, использует техники обфускации, напоминающие ВПО Hades, для уклонения от обнаружения.
-----

Ландшафт угроз, связанный с вредоносными пакетами Индекса пакетов Python (PyPI), недавно эволюционировал, о чем свидетельствуют новые данные, представленные исследовательской группой Socket Threat Research. В их число входит волна вредоносных пакетов PyPI, связанных с более масштабными атаками на Цепочка поставок Mini Shai-Hulud, Miasma и Hades. Эта новая волна выявляет 23 новые вредоносные версии пакетов, которые добавляются к ранее упомянутым 37, теперь затрагивая среды разработчиков через целевые темы, такие как биоинформатика, искусственный интеллект и пакеты конфигурации ВПО.

Техники атак существенно различаются среди вновь выявленных пакетов. Некоторые используют скомпилированные нативные расширения (в частности, файлы .abi3.so) для выполнения вредоносного JavaScript в момент импорта, обходя обнаружение, которое обычно проверяет исходный код Python. Заметные вариации включают пакет langchain-core-mcp, который проводит более сложный поиск своего вредоносного payload (_index.js) по пути поиска модулей Python (sys.path), в отличие от простого включения его в состав пакета.

JavaScript-код вредоносного payloads следует специфическому шаблону обфускации, связанному с вредоносным ПО Hades, и добавляет заголовок, содержащий вводящие в заблуждение комментарии, предназначенные для запутывания инструментов автоматического анализа, особенно тех, которые используют модели искусственного интеллекта. Payload нацелен на высокоценные секреты на рабочих станциях разработчиков и в средах непрерывной интеграции и развертывания (CI/CD), стремясь получить чувствительную информацию, такую как учетные данные облачных сервисов, SSH-ключи и токены реестров пакетов. Риск особенно высок в средах сборки и выпуска, где скомпрометированный токен может оказать серьезное воздействие на производственную инфраструктуру.

В рамках этой кампании выявлено три различных механизма доставки. Первый использует вредоносный установочный файл, который запускает JavaScript-код при запуске Python через .pth-хук. Второй метод предполагает выполнение функциональности, скрытой в скомпилированных нативных расширениях, что затрудняет обнаружение. Наконец, вариант langchain-core-mcp применяет подход поиска загрузчика: он ищет свой JavaScript-код, а не встраивает его напрямую, что может лучше обходить традиционные системы обнаружения.

Для снижения рисков, связанных с этими угрозами, организациям следует сосредоточиться на мониторинге своих сред на предмет таких проблем, как неожиданные исполняемые файлы .pth, нераспознанные JavaScript-полезные нагрузки и загрузки сред выполнения, таких как Bun. Кроме того, все открытые токены должны быть немедленно заменены, чтобы предотвратить несанкционированный доступ и атаки, консолидирующие оперативный контроль.

По мере того как кампания продолжает развиваться, поддержание бдительности и тщательной проверки зависимостей пакетов, особенно тех, которые связаны с биоинформатикой и искусственным интеллектом, является необходимым. Регулярные проверки сред CI/CD на предмет подозрительных изменений в рабочих процессах и доступности сокета Docker будут иметь решающее значение для смягчения потенциальных угроз, исходящих от этой продолжающейся атаки на Цепочку поставок.

#ParsedReport #CompletenessHigh
08-06-2026

AI brands as bait: How threat actors are using the AI hype in social engineering

https://www.microsoft.com/en-us/security/blog/2026/06/08/ai-brands-as-bait-how-threat-actors-are-using-the-ai-hype-in-social-engineering/

Report completeness: High

Actors/Campaigns:
Fox_tempest (motivation: financially_motivated)
Storm-3075 (motivation: financially_motivated)

Threats:
Aitm_technique
Credential_harvesting_technique
Vidar_stealer
Lumma_stealer
Hijackloader
Oyster
Fraudgpt_tool
Ghostsocks

Victims:
Higher education, Professional services, Information technology, Business entities, Financial services, Consumer endpoints

Industry:
Education

Geo:
France, United states, United kingdom, Switzerland, Africa, India, South africa, Japan, Austria

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.006, T1105, T1189, T1204.002, T1497.002, T1553.002, T1557, T1566.001, T1566.002, have more...

IOCs:
Domain: 6
File: 12
Hash: 8
Url: 3

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Microsoft Entra, ChatGPT, DeepSeek, Anthropic, Claude, GPT-5, Hugging Face, PT-5.5, have more...

Algorithms:
sha256, exhibit

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 5, code: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Microsoft Threat Intelligence зафиксировала рост атак социальной инженерии с использованием искусственного интеллекта, при этом злоумышленники имитируют популярные платформы, такие как ChatGPT и Claude. Известные фишинговые схемы использовали поддельные уведомления и скомпрометированные легитимные URL-адреса для сбора конфиденциальной информации, в то время как кампании вредоносной рекламы применяли убедительные всплывающие окна для распространения ВПО, таких как Vidar Stealer, что затронуло множество конечных точек. Атакующие также создавали мошеннические репозитории, чтобы эксплуатировать интерес к искусственному интеллекту для распространения вредоносных загрузок, демонстрируя эволюцию их тактик.
-----

Согласно недавним наблюдениям Microsoft Threat Intelligence, злоумышленники демонстрируют стратегический сдвиг, всё чаще используя повышенный глобальный интерес к искусственному интеллекту (ИИ) в качестве средства социальной инженерии. Атаки в основном направлены на физических лиц и организации через кампании, имитирующие популярные платформы ИИ, такие как ChatGPT и Claude. Эти вредоносные активности включают широкий спектр тактик, включая фишинг, вредоносную рекламу и атаки с использованием поисковой оптимизации, направленные на кражу учетных данных, совершение финансовых мошенничеств или развертывание ВПО.

Заметная фишинговая схема, обнаруженная 5 мая 2026 года, использовала приманку на тему ChatGPT, нацеленную на пользователей путем отправки писем, маскирующихся под срочные уведомления, связанные с обновлениями оплаты подписки. Злоумышленники отправили примерно 4 500 писем в Южную Африку и до 100 000 за один день, направляя получателей через серию легитимных URL-адресов для последующего перехода на скомпрометированный сайт, где им предлагалось ввести конфиденциальные личные и финансовые данные. Использование легитимных перенаправляющих звеньев было тактикой для обхода обнаружения почтовыми фильтрами и отслеживания взаимодействия с жертвами.

Более того, с 20 по 22 апреля 2026 года отдельная кампания эксплуатировала процессы аутентификации путем имперсонации сервисов, связанных с платформой Anthropic Claude. Письма, отправленные более чем 2 000 организациям, утверждали о нарушениях учетных записей, побуждая пользователей нажимать на вложения, которые инициировали процесс сбора учетных записей, приводящий к компрометации учетных записей и утечке токенов доступа. Подобно предыдущим атакам, эта кампания опиралась на поддельные коммуникации, чтобы ввести пользователей в заблуждение и заставить их предоставить конфиденциальные учетные данные.

Кампании вредоносной рекламы также были зафиксированы под псевдонимом Storm-3075, где в всплывающих окнах и установках ВПО, затронувших десятки тысяч конечных точек, использовались такие термины, как "Awesome AI Windows Plugin". Vidar Stealer, среди других полезной нагрузки, распространялся через хорошо подписанное ВПО, что придавало ему видимость легитимности, обеспечивая более широкое распространение до обнаружения. Эта кампания продемонстрировала тактическую эволюцию в развертывании ВПО с использованием категоризированных имен исполняемых файлов и вредоносной рекламы.

В другом случае в апреле 2026 года была выявлена атака с использованием поддельных установщиков DeepSeek V4. Злоумышленники создали мошеннический репозиторий на GitHub, который использовал ажиотаж вокруг недавнего выпуска DeepSeek AI. Этот репозиторий содержал вредоносные payloads, замаскированные под легитимные ссылки для загрузки, что в конечном итоге приводило к установке Vidar Stealer. Инфраструктура репозитория была спроектирована для повышения обнаруживаемости с помощью тактик SEO, демонстрируя скоординированную атаку, обеспечивающую быстрое заражение жертв.

#ParsedReport #CompletenessMedium
08-06-2026

From Fake Amazon Security Alert to HarborWatch Agent: ClickFix Delivery of a Custom Monitoring RAT

https://cofense.com/blog/from-fake-amazon-security-alert-to-harborwatch-agent-clickfix-delivery-of-a-custom-monitoring-rat

Report completeness: Medium

Threats:
Harborwatch
Clickfix_technique

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.001, T1071.001, T1082, T1105, T1140, T1204.004, T1564.003, T1566.002, have more...

IOCs:
Email: 1
Domain: 2
Command: 1
Url: 5
IP: 3
Hash: 3

Soft:
mysql

Algorithms:
base64, sha256, md5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания использовала домен-омофон amazonattention.com для распространения пользовательской Троянской программы (RAT) под названием HarborWatch Agent. Атака включала социальную инженерию для обмана пользователей с целью выполнения вредоносных команд PowerShell, которые загружали ВПО с сервера управления. HarborWatch Agent способен собирать конфиденциальную информацию о системе и отправлять её обратно на сервер управления, что демонстрирует сдвиг в сторону тактик, эксплуатирующих действия пользователей, а не традиционные вложения.
-----

В ходе недавней фишинговой кампании злоумышленники использовали доверие, связанное с Amazon, применяя тактики социальной инженерии и домен-двойник amazonattention.com для распространения пользовательской Троянской программы для удаленного доступа (RAT) под названием HarborWatch Agent. Атака использовала сфабрикованное предупреждение безопасности, которое побуждало пользователей участвовать в том, что выглядело как стандартный процесс проверки учетной записи, что в конечном итоге привело к их самоинфицированию.

При нажатии кнопки «Verify Account Information» пользователи перенаправлялись на страницу, имитирующую проверку CAPTCHA. Однако вместо стандартного CAPTCHA-задания сайт инструктировал жертв выполнить вредоносные команды на их локальных системах. Вредоносные команды были хитро замаскированы под безобидный текст, вводя пользователей в заблуждение и заставляя их вставлять команду PowerShell из буфера обмена в диалоговое окно «Выполнить» (Run) в Windows. Эта команда, скрытая под фразой «I am not a robot», активировала PowerShell в скрытом режиме и запускала вредоносный скрипт.

Данный скрипт впоследствии загрузил файл с именем mysql.exe с сервера управления (C2), расположенного по адресу hxps://zoomupdate.b-cdn.net/mysql.exe, в папку App Data Local Temp для удобства сокрытия. Процесс mysql.exe был идентифицирован как HarborWatch Agent после анализа, который выявил его сетевые коммуникации с IP-адресом (185.193.127.44), выступающим в роли сервера управления. Этот сервер использовался для выдачи команд и эксфильтрации системной информации. Вредоносное ПО использовало конечные точки API, такие как /api/agent/tasks/ и /api/heartbeat, для получения команд и сбора данных об зараженной системе.

Анализ памяти показал, что агент HarborWatch собирал конфиденциальные данные, такие как версия операционной системы, имя хоста, количество процессоров и использование памяти, передавая эту информацию обратно на сервер C2. Дальнейшее исследование инфраструктуры C2 выявило панель входа администратора, доступную через веб-браузер, которая была оформлена с элементами китайского языка, напоминающими «Harbor Sentinel». Этот веб-интерфейс был предназначен для злоумышленников, чтобы они могли отслеживать зараженные системы, что отражает двойную функциональность ВПО.

Агент HarborWatch демонстрирует сдвиг в тактиках фишинга, переходя от традиционных методов доставки с использованием вложений к стратегиям, которые заставляют пользователей самостоятельно выполнять вредоносные команды. Этот метод усложняет усилия по обнаружению, поскольку характер заражения, вызванного самим пользователем, может скрыть его присутствие от решений безопасности. В связи с этим организациям рекомендуется усилить свою защиту от этих эволюционирующих техник фишинга.