#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 8, code: 30, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Две шпионские кампании, Khmer Shadow, нацелены на камбоджийские государственные структуры с использованием пользовательского C++ загрузчика под названием NIGHTFORGE, доставляемого через самораспаковывающиеся архивы. После запуска он загружает в память полезную нагрузку под названием Havoc Demon, применяя продвинутые техники, такие как развязывание NTDLL, для уклонения от обнаружения, а также подгружает вредоносную DLL через доверенные процессы. Загрузчик и полезная нагрузка обмениваются данными через HTTP-трафик, имитирующий легитимную активность браузера, при этом выявленная инфраструктура C2 указывает на sharingfile.cloud.
-----

Подразделение Acronis по исследованию угроз (TRU) выявило две шпионские кампании, идентифицированные как Khmer Shadow, направленные против камбоджийских государственных структур, особенно в секторах обороны и общественных работ. Эти кампании использовали собственный загрузчик на C++, известный как NIGHTFORGE, который доставлялся через самораспаковывающиеся (SFX) архивы с приманками на тему встреч. После запуска NIGHTFORGE расшифровывает и выполняет полезную нагрузку под названием Havoc Demon непосредственно в памяти.

NIGHTFORGE продемонстрировал продвинутые техники для обхода обнаружения, такие как развязывание NTDLL и разрешение системных вызовов через Hell's Gate, что позволяет ему выполнять прямые системные вызовы без срабатывания мониторинга в пользовательском режиме. Этот загрузчик работает путем подгрузки вредоносной DLL (vmtools.dll) с использованием легитимного исполняемого файла (VMwareNamespaceCmd.exe), обеспечивая его выполнение под видом доверенного процесса. Различные этапы атаки включают закрепление через COM API и создание запланированной задачи для периодического запуска загрузчика.

Начальная цепочка атаки начинается с письма, содержащего поддельный SFX-архив, выданного за PDF-документ, в котором вредоносный загрузчик размещён вместе с легитимными файлами. При выполнении этого архива пользователем происходит подгрузка (sideloading) библиотеки vmtools.dll, что приводит к развёртыванию вредоносного полезного груза. Последующий анализ показал, что загрузчик использует сложные техники, такие как комбинация вызовов API для сокрытия своих действий и закрепления (persistence) через запланированные задачи, сливаясь с легитимными процессами для уклонения от обнаружения.

Полезная нагрузка, идентифицированная как Havoc Demon, характеризуется использованием HTTP-трафика, имитирующего нормальное взаимодействие веб-браузера, включая заголовки, маскирующие её активность для избежания внимания. Havoc Demon взаимодействует со своим сервером управления (C2), который был прослежен до домена sharingfile.cloud, зарегистрированного через NameSilo и скрытого за CloudFlare для сокрытия его истинного происхождения.

Анализ также показывает, что, хотя кампании использовали передовые тактики уклонения, они продемонстрировали слабость в области операционной безопасности (OPSEC) за счет повторного использования инфраструктуры и полезной нагрузки (payloads) для различных целей. Acronis не приписывает эти действия конкретному известному злоумышленнику из-за уникальной комбинации наблюдаемых инструментов и техник, однако паттерны целеполагания и операционные характеристики соответствуют шпионской деятельности региональных акторов в Юго-Восточной Азии. TRU продолжит отслеживание этой группы для потенциальной будущей идентификации и атрибуции.

#ParsedReport #CompletenessLow
11-06-2026

Adult Spam PDFs on Official EU Infrastructure: Trusted Domain, Dirty Search Results

https://blog.synapticsystems.de/spam-pdfs-on-official-eu-infrastructure-trusted-domain-dirty-search-results/

Report completeness: Low

Threats:
Clickbait_technique

Victims:
Public eu infrastructure, European union institutions

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1584.004, T1608.006

IOCs:
Url: 1

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В последнее время в индексе под официальным доменом ЕС были обнаружены спам-файлы PDF с вводящими в заблуждение названиями и содержанием, не имеющим отношения к законным инициативам ЕС. Хотя эти PDF-файлы кажутся безобидными и в первую очередь направлены на манипуляции с поисковой оптимизацией (SEO), они представляют риск из-за своего присутствия на доверенном домене, что потенциально может способствовать фишингу или вредоносным кампаниям. Эта ситуация выявляет слабости в мониторинге и целостности контента, позволяя злоумышленникам эксплуатировать авторитетные платформы в обманчивых целях.
-----

Недавние наблюдения выявили наличие спам-файлов PDF, проиндексированных Google под официальным доменом Европейского союза (ЕС), а именно в каталоге, предназначенном для публичного хранения файлов (/sites/default/files/). Эти PDF-файлы содержат заголовки и фрагменты текста, которые резко отличаются от ожидаемого контента, связанного с инициативами ЕС, такими как программа Erasmus+ или законные образовательные ресурсы. Вместо этого в результатах индексации отображаются заголовки на взрослую тематику, язык кликбейта, упоминания Телеграм и общие стили вирусных видео, характерные для SEO-спама.

Первоначальный анализ этих PDF-файлов показывает, что они, вероятно, не содержат ВПО и выглядят безобидно на первый взгляд; однако их наличие на доверенной официальной инфраструктуре вызывает обеспокоенность. Эти документы оставались на домене ЕС почти месяц без устранения проблемы, что указывает на значительный пробел в мониторинге и реагировании на целостность контента. Доверенные домены выгодны для злоумышленников и спамеров, поскольку пользователи обычно воспринимают их как безопасные и заслуживающие доверия. Следовательно, наличие такого спам-контента может вводить пользователей в заблуждение, манипулировать восприятием поисковых систем и избегать внимания защитников, которые, как правило, не ожидают столкнуться с неуместным материалом на репутационных сайтах.

Хотя текущие PDF-файлы, по-видимому, в первую очередь предназначены для манипуляций с поисковой оптимизацией (SEO), а не для распространения вредоносного программного обеспечения (ВПО), потенциал для злоупотреблений сохраняется. Злоумышленники могут использовать аналогичные пути загрузки для распространения фишинговых документов, создания цепочек перенаправлений или использования репутации домена для повышения легитимности своих кампаний. Этот сценарий подчеркивает необходимость бдительного надзора за публичной инфраструктурой, где злоупотребления могут подорвать доверие и безопасность в каналах цифровой коммуникации.

#ParsedReport #CompletenessHigh
11-06-2026

Velvet Ant’s Operation Highland: How a China-Nexus Actor Infiltrated an Internal Network Undetected

https://www.sygnia.co/blog/operation-highland-velvet-ant/

Report completeness: High

Actors/Campaigns:
Velvet_ant
Operation_highland

Threats:
Velvetshell
Gs-netcat
Credential_harvesting_technique
Credential_dumping_technique
Timestomp_technique
Logcleaner_tool
Pnscan_tool
Pscan_tool

Victims:
Major organization, Critical infrastructure

Industry:
Healthcare, Critical_infrastructure

Geo:
China

TTPs:
Tactics: 4
Technics: 0

IOCs:
Domain: 9
IP: 5
Hash: 276
Coin: 1

Soft:
OpenSSH, systemd, Chrome, Nginx, FastCGI, SELinux, ELinux di, Linux

Algorithms:
md5, sha1

Functions:
Internet-Facing

Languages:
perl

Links:
https://github.com/hackerschoice/gsocket
https://github.com/gnosek/fcgiwrap

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Operation Highland злоумышленника, связанного с Китаем, продемонстрировала сложную атаку, в ходе которой использовались уязвимости в модулях аутентификации Pluggable Authentication Module (PAM) и бинарных файлах OpenSSH, что позволило почти десятилетие, начиная с 2016 года, оставаться незамеченным и получать доступ к сети критической инфраструктуры. Атака включала использование модифицированных модулей PAM и бинарных файлов OpenSSH для обхода аутентификации и захвата учетных данных пользователей, а также применение скрытой обратной оболочки и пользовательского моста выполнения для удаленного выполнения команд. Эта операция подчеркивает сложности обнаружения глубоко интегрированных угроз, которые манипулируют доверенными компонентами в средах с высоким уровнем безопасности.
-----

Velvet Ant приписывается злоумышленнику, связанному с Китаем, который почти десятилетие оставался незамеченным в сетях критической инфраструктуры.

Первоначальная компрометация произошла в 2016 году с использованием передовых стратегий закрепления, нацеленных на стек аутентификации.

Атака использовала многоэтапную стратегию, начиная с доступа к системам, открытым для интернета, перед проникновением в изолированные сегменты критической инфраструктуры.

Среди ключевых уязвимостей, использованных злоумышленниками, были бинарные файлы модуля аутентификации (PAM) и OpenSSH, что позволило осуществлять контроль над процессами аутентификации.

Злоумышленные модификации позволили манипулировать использованием учётных данных, обеспечивая постоянный доступ, несмотря на смену пароля.

Скомпрометированные версии модулей PAM, таких как pam_unix.so, использовались для обхода аутентификации и сбора учетных данных.

Выявлено девять вариантов pam_unix.so, каждый из которых содержал встроенные бэкдор-пароли.

Измененные бинарные файлы OpenSSH перехватывали учетные данные пользователей и регистрировали команды оболочки, с функциональностью для отключения ведения журнала.

Модифицированная версия GS-Netcat использовалась в качестве скрытой обратной оболочки, зашифрованной для обеспечения скрытности, при этом имена процессов изменялись для маскировки под системные процессы.

Специализированный мост выполнения на базе Nginx и FastCGI обеспечивал удалённое выполнение команд через HTTP-запросы.

Устранение последствий атаки потребовало тщательных стратегий по замене скомпрометированных элементов без нарушения доступа для администраторов.

Обнаружение таких угроз требует проактивной охоты на угрозы и аналитических подходов, а не полаганиясь на обнаружение на основе сигнатур.

#ParsedReport #CompletenessMedium
11-06-2026

APT28, an evolution of tradecraft

https://blog.sekoia.io/apt28-an-evolution-of-tradecraft/

Report completeness: Medium

Actors/Campaigns:
Fancy_bear (motivation: hacktivism, sabotage)
Phantom_net_voxel
Cyberberkut (motivation: sabotage)
Roundpress
Frostarmada
Cybercaliphate
Apt29
Double_tap

Threats:
Polyglot_ransomware
Credential_harvesting_technique
Spypress
Moobot
Aitm_technique
Xagent
Spear-phishing_technique
Sedkit_tool
Sedup_loader
Sedreco
Xtunnel
Screen_shotting_technique
Mimikatz_tool
Zebrocy
Gooseegg_tool
Headlace
Credomap
Masepie_tool
Oceanmap
Steelhook
Dns_hijacking_technique
Incontroller_tool
Bitm_technique
Covenant_c2_tool
Beardshell_tool
Slimagent_tool
Lamehug_tool

Victims:
Government, Defense, Diplomatic entities, Critical infrastructure, Political organizations, Civil society, Military, Foreign ministries, Embassies, Law enforcement, have more...

Industry:
Energy, Ngo, Government, Critical_infrastructure, Transport, Military, Education, Healthcare, Logistic

Geo:
America, Germany, American, Ukraine, Romania, Asia, Bulgaria, Polish, German, Russia, Crimea, Russian, Africa, Ukrainian, French

CVEs:
CVE-2022-38028 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19507)
- microsoft windows_10_1607 (<10.0.14393.5427)
- microsoft windows_10_1809 (<10.0.17763.3532)
- microsoft windows_10_20h2 (<10.0.19042.2130)
- microsoft windows_10_21h1 (<10.0.19043.2130)
have more...
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2019)
- microsoft office_long_term_servicing_channel (2021)
- microsoft outlook (2013, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1005, T1041, T1056.001, T1059.001, T1059.003, T1059.005, T1059.006, T1059.007, T1068, have more...

Soft:
Outlook, Mistral, Windows Print Spooler, Microsoft Exchange, Roundcube, MDaemon, Zimbra, icedrive, Qwen, Hugging Face, have more...

Algorithms:
base64

Win API:
NET

Languages:
powershell, javascript, python

Links:
https://github.com/cobbr/Covenant

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT28, также известная как Fancy Bear, эволюционировала в своих кибероперациях, сосредоточившись на целях, связанных с НАТО, правительственных и инфраструктурных объектах, используя кампании целевого фишинга с инструментами, такими как Seduploader и X-Agent, для обеспечения устойчивости. В недавних активностях группа развернула собственный инструмент повышения привилегий GooseEgg, эксплуатирующий уязвимость CVE-2022-38028, а также использовала эксплойты с нулевым кликом и другие уязвимости, такие как CVE-2023-23397, для сбора учетных записей. Теперь группа применяет передовые техники, включая потенциальную интеграцию искусственного интеллекта в вариант вредоносного ПО, а также сместила тактику инфраструктуры на скомпрометированные маршрутизаторы и периферийные устройства, что указывает на значительную адаптацию к ландшафту угроз.
-----

APT28, также известная как Fancy Bear, нацелена на государственные, оборонные структуры и критическую инфраструктуру, связанную с НАТО и Украиной.

Группа провела заметные операции, включая саботаж TV5Monde и взломы Демократической партии в 2016 году.

Кампании целевого фишинга изначально развертывали вредоносное ПО Seduploader, а затем перешли на бэкдор X-Agent.

APT28 использует стратегию взлома и утечки для публикации похищенных документов с целью политического воздействия.

После доклада Мюллера 2019 года публично отслеживаемая деятельность APT28 сократилась, но группа продолжала оставаться активной.

Они развернули пользовательский инструмент повышения привилегий под названием GooseEgg, используя эксплойт CVE-2022-38028 для выполнения на уровне системы.

Недавние атаки включают эксплойты с нулевым кликом против Microsoft Outlook для сбора учетных записей.

Уязвимости, такие как CVE-2023-23397, были использованы для ретрансляции захваченных хешей в целях сбора учетных записей.

APT28 часто нацеливается на гражданское общество и военные сектора Украины.

Операционная инфраструктура переместилась на периферийные устройства, отходя от традиционных конфигураций виртуальных частных серверов (VPS).

Скомпрометированные маршрутизаторы используются для ретрансляции учетных данных и размещения фишинговых сайтов.

Сообщается о масштабной утечке учетных данных пользователей украинской веб-почты UKR.NET.

Используются как фишинг на стороне клиента, так и серверные эксплойты веб-почты, основанные на межсайтовом скриптинге (XSS).

APT28 продемонстрировала инновационный подход, интегрировав возможности искусственного интеллекта в ВПО, включая вариант под названием LameHug.

В ходе недавних операций наблюдается возврат к традиционным методам внедрения, включающим использование устаревших систем, таких как X-Agent.

Адаптация различных техник отражает реакцию APT28 на изменяющийся ландшафт киберугроз.

#ParsedReport #CompletenessLow
11-06-2026

What Recent Reporting Gets Right About The Gentlemen RaaS and What Silent Push Learned Months Earlier

https://www.silentpush.com/blog/the-gentlemen-raas/

Report completeness: Low

Actors/Campaigns:
Gentlemen_ransomware

Threats:
Gentlemen_ransomware
Countloader
Cobalt_strike_tool
Blackbasta
Lockbit
Qilin_ransomware

ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.007, T1190

IOCs:
IP: 1

Languages:
powershell, jscript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Gentlemen, классифицируемая как группа Ransomware-as-a-Service (RaaS), связана с загрузчиком CountLoader, обеспечивающим работу её инфраструктуры. CountLoader также ассоциируется с другими программами-вымогателями, такими как Black Basta, LockBit и Qilin, а его варианты встречаются на нескольких языках программирования. Группа известна использованием уязвимостей в VPN- и межсетевых экранах, доступных из интернета, для первоначального проникновения в сеть, при этом в рамках их операций выявлен IP-адрес сервера управления Cobalt Strike.
-----

Недавние публикации об операции The Gentlemen привлекли внимание к методам и связям этой группировки Ransomware-as-a-Service (RaaS), которая активна с середины 2025 года. В частности, расследование выявило связи между загрузчиком вредоносного ПО под названием CountLoader и тремя известными операциями по вымогательству: Black Basta, LockBit и Qilin. CountLoader, обнаруженный в версиях на .NET, PowerShell и JScript, сыграл ключевую роль в операционной инфраструктуре The Gentlemen.

Аналитики Silent Push в ходе своего исследования отметили, что CountLoader привел к обнаружению водяных знаков Cobalt Strike, а именно 1473793097 и 1357776117, которые являются уникальными идентификаторами, связанными с одним и тем же аффилированным лицом в рамках различных групп программ-вымогателей. Использование лицензированных экземпляров Cobalt Strike, которые несут уникальные идентификаторы, позволило осуществлять постоянный мониторинг злоумышленников, несмотря на изменения в их аффилированности с сервисами RaaS. Этот метод отслеживания оказался эффективным, позволив Silent Push поддерживать непрерывное наблюдение за деятельностью аффилированного лица на протяжении трех лет.

Важным элементом разведданных от Silent Push стало выявление IP-адреса 91.107.247.163 как сервера управления (C2) Cobalt Strike. Это было отмечено в феврале 2026 года, и к апрелю того же года подтверждено Check Point в связи с вторжением, связанным с операцией хакерской группировки The Gentlemen. Система раннего предупреждения Silent Push позволила клиентам заранее внедрить блокировки против этого IP-адреса.

Анализ операционной инфраструктуры, используемой хакерской группировкой The Gentlemen, позволяет получить представление об их тактике. Аффилиаты этой программы-вымогателя предпочитают эксплуатировать интернет-ориентированные устройства VPN и межсетевые экраны для первоначального доступа к целевым сетям. Для организаций это подчеркивает необходимость аудита и обновления этих точек входа для снижения рисков.

Для усиления защиты от таких передовых угроз рекомендуется предприятиям использовать потоки Индикаторов Будущих Атак (IOFA) Cobalt Strike, доступные через Silent Push, которые могут быть напрямую интегрированы в системы безопасности, такие как межсетевые экраны, Security Information and Event Management (SIEM) или платформы Endpoint Detection and Response (EDR). Эта интеграция позволила внедрить проактивные меры, которые ставили клиентов на несколько недель впереди вторжений, демонстрируя важность своевременной разведданных в противодействии сложным киберугрозам.

#ParsedReport #CompletenessHigh
11-06-2026

ShinyHunters Targets Education Sector with Oracle PeopleSoft Exploit

https://cloud.google.com/blog/topics/threat-intelligence/shinyhunters-targets-education-sector-oracle-exploit/

Report completeness: High

Actors/Campaigns:
Shinyhunters
Unc6240

Threats:
Meshcentral_tool
Meshagent_tool

Victims:
Higher education, Academic institutions, Universities, Colleges, Organizations in the united states, Global organizations

Industry:
Education

Geo:
United states

CVEs:
CVE-2026-35273 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 4
Technics: 0

IOCs:
IP: 5
Url: 1
Domain: 1
File: 5
Hash: 5

Soft:
WebLogic, SimpleHTTP, Linux, macOS, sshpass

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа хакерских группировок UNC6240, также известная как ShinyHunters, провела кампанию по вымогательству, нацеленную на приложения Oracle PeopleSoft через уязвимость критического уровня CVE-2026-35273, позволяющую осуществлять Удаленное Выполнение Кода. Эксплуатация произошла до публикации рекомендаций Oracle, что позволило злоумышленникам развернуть кастомные агенты MeshCentral для выполнения административных команд и перемещение внутри компании. Инфраструктура управления кампаний имитировала легитимные сервисы, что привело к компрометации систем и раскрытию конфиденциальных данных в секторе высшего образования.
-----

Выявлена активная кампания по компрометации и вымогательству, связанная с хакерской группировкой UNC6240, также известной как ShinyHunters, которая нацелена на приложения Oracle PeopleSoft. Кампания использовала уязвимость Удаленное Выполнение Кода CVE-2026-35273 критического уровня со счетом CVSS 9.8 в компоненте Environment Management, конкретно атакуя Environment Management Hub (PSEMHUB). Эта эксплуатация происходила с 27 мая по 9 июня 2026 года, до выхода рекомендации Oracle, что классифицирует её как уязвимость нулевого дня. Значительное большинство затронутых организаций относятся к сектору высшего образования.

Атакующие использовали кастомные агенты MeshCentral, замаскированные под легитимные Облачные сервисы, для выполнения административных команд и запуска скрипта перемещения внутри компании с именем "victim_abbreviation_fanout.sh". Этот скрипт был разработан для облегчения распыления учетных данных против внутренних хостов, используя жестко закодированный список имен пользователей и паролей для получения доступа по SSH. После получения доступа атакующие вставили сообщение о дефейсе в ключевые каталоги скомпрометированных систем.

Кроме того, инфраструктура управления (C2) кампании включала предварительно настроенные бинарные файлы Windows MeshCentral, которые отправляли данные на сервер с доменом, имитирующим легитимные сервисы Microsoft Azure. Среда подготовки оказалась размещена на серверах Python SimpleHTTP, предоставляющих доступ к файлам злоумышленников и истории команд. Атакующие продемонстрировали свои возможности, выполнив разведку внутренней сети и нацелившись на конфигурации Oracle PeopleSoft.

Организации были предупреждены о текущих угрозах, при этом более 100 учреждений получили уведомления, преимущественно в сфере высшего образования. Некоторые успешно нейтрализовали риски, но другие столкнулись с утечками данных, в результате которых конфиденциальная информация была опубликована на сайте утечек данных ShinyHunters.

Для снижения описанных рисков организациям, использующим Oracle PeopleSoft, необходимо отключить Environment Management Hub или ограничить его внешний доступ. Следует провести тщательную проверку файловой системы на наличие несанкционированных файлов, особенно файлов .jsp и неожиданного содержимого в каталогах путей PSEMHUB. Мониторинг исходящего трафика и обнаружение веб-шеллов в указанных каталогах также имеют критическое значение для предотвращения подобных нарушений в будущем.

#ParsedReport #CompletenessMedium
10-06-2026

Inside a WooCommerce Payment Skimmer: How Carders Moved From Phishing Pages to Checkout Backdoors

https://www.cloudsek.com/blog/woocommerce-payment-skimmer-card-data-theft-checkout-backdoor

Report completeness: Medium

Actors/Campaigns:
Magecart

Victims:
E commerce, Online retail, Merchants, Hosting providers

Industry:
E-commerce, Financial

TTPs:
Tactics: 6
Technics: 8

IOCs:
File: 2

Soft:
Razorpay, Telegram

Algorithms:
base64

Functions:
tokenize

Languages:
javascript

Platforms:
apple

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кардеры всё чаще взламывают легитимные интернет-магазины, вместо того чтобы полагаться на фишинг, используя продвинутые веб-скиммеры, которые целенаправленно нацелены на платежные системы WooCommerce и Stripe. Эти скиммеры интегрируются в легитимный процесс оплаты, развертывая поддельные формы для перехвата данных карт во время транзакций, одновременно уклоняясь от обнаружения. Первоначальный доступ часто возникает из-за уязвимостей в устаревших плагинах или слабых учетных данных, что позволяет злоумышленникам устанавливать бэкдоры и бесшумно собирать конфиденциальные данные клиентов.
-----

Кардеры переходят от фишинговых схем к прямому компрометированию легитимных интернет-магазинов.

Разрабатываются продвинутые веб-скиммеры, нацеленные на платёжные системы WooCommerce и Stripe.

Скомпрометированные сайты позволяют злоумышленникам собирать реальные данные карт во время настоящих транзакций.

Был проанализирован высокообфусцированный JavaScript-скиммер, интегрированный в реальный процесс оплаты.

Скимминг-скрипт внедряет поддельную форму ввода, имитирующую легитимный платежный интерфейс.

Этот подход отражает модель Magecart, эксплуатируя доверие клиентов для уклонения от обнаружения.

Скиммер проверяет информацию о карте в реальном времени с использованием определения бренда карты и проверки по алгоритму Луна.

Он собирает конфиденциальные данные, такие как номера карт, даты истечения срока действия и коды CVV.

Собранная информация кодируется для уклонения от обнаружения и выгружается на контролируемую злоумышленником конечную точку.

Первоначальный доступ осуществляется через уязвимости в устаревших плагинах, слабые учетные данные администратора или известные недостатки CMS.

Злоумышленники обычно устанавливают веб-шелл для размещения бэкдоров с целью выполнения кода скиммера.

Скиммар собирает данные во время легитимных транзакций, что затрудняет выявление аномалий.

Меры защиты включают внедрение политик безопасности контента (Content Security Policies) и целостности подресурсов (Subresource Integrity) для ограничения источников скриптов.

Мониторинг целостности на стороне клиента может обнаруживать несанкционированные изменения страниц оформления заказа.

Регулярные проверки баз данных и аналитические проверки необходимы для выявления скомпрометированного кода.

Принципы атак на первоначальный доступ, закрепление и эксфильтрацию согласованы между платежными процессорами.

Онлайн-продавцам следует усилить свои среды оформления заказа против эволюционирующих техник скиммеров.

Это включает удаление вредоносного кода, усиление мер безопасности, обновление систем и обеспечение соответствия требованиям PCI DSS.