#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Katz Stealer — это продвинутое ВПО, ориентированное на кражу информации, которое уклоняется от обнаружения, избегая своей страны происхождения и профилируя пользователей перед кражей данных. Оно устанавливает C2-связь по протоколу TCP с конкретным IP-адресом и выполняет цикл загрузки для получения дополнительных полезной нагрузки. Нацеливаясь на веб-браузеры, такие как Chrome и Edge, оно перехватывает сеансы для эксфильтрации конфиденциальной информации, такой как файлы cookie, учетные данные для входа и учетные данные Wi-Fi, а также собирает данные из мессенджеров и игровых клиентов.
-----

Katz Stealer — это сложное ВПО, предназначенное для кражи информации, которое использует несколько ключевых техник в своей работе. Изначально ВПО проводит географическую проверку, жестко запрограммированную на избегание заражения систем в стране своего происхождения, что снижает риск обнаружения местными правоохранительными органами. После этого оно профилирует пользователя, оценивая его потенциальную ценность как цели, прежде чем переходить к краже.

Связь с сервером управления (управление) (C2) устанавливается через протокол TCP, конкретно к IP-адресу 185.107.74.40 на порту 3131. Перед кражей данных Katz запускает цикл загрузки, получая дополнительные полез

Katz целенаправленно атакует популярные веб-браузеры, такие как Chrome, Edge и Brave, где он перехватывает процессы для внедрения сессий с целью кражи конфиденциальной информации непосредственно из пользовательских сессий. Он проводит методичный процесс эксфильтрации, систематически загружая ценные данные на свой C2-сервер. ВПО запрограммировано на извлечение и загрузку файлов cookie, что позволяет последующий перехват сессий без необходимости использования паролей.

Дальнейший анализ показывает, что Katz ищет определенные папки и файлы, связанные с Discord и Firefox, извлекая учетные данные и токены сессий. Вредоносное ПО также исследует различные мессенджеры, в частности Телеграм, где оно собирает данные из папок tdata пользователей, что критически важно для доступа к конфиденциальной информации и кодам 2FA.

Кроме того, Katz собирает системную информацию, идентифицируя устройство и извлекая сохраненные учетные данные Wi-Fi в открытом виде. Он также нацелен на конфигурации ngrok для получения токенов туннелирования и перехватывает учетные данные из множества игровых клиентов, обеспечивая охват широкого спектра потенциальных целей.

В заключение, Katz Stealer демонстрирует комплексный подход к краже информации, используя различные методы для обхода географического обнаружения, эксфильтрации конфиденциальных данных через различные платформы и максимизации объема похищенной информации с скомпрометированных систем.

#ParsedReport #CompletenessHigh
12-06-2026

Borrowed Trust – Systematic Exploitation of Abandoned Cloud DNS Delegations to serve Thai Gambling SEO Content

https://cyble.com/blog/borrowed-trust-cloud-dns-takeover-thai-gambling-seo-poisoning/

Report completeness: High

Threats:
Seo_poisoning_technique

Victims:
Federal government agencies, Healthcare organizations, Financial institutions, Critical infrastructure operators, Universities, Telecommunications, Pharmaceutical sector, Electronics sector, Retail sector, Energy sector, have more...

Industry:
Critical_infrastructure, Energy, Retail, Healthcare, Financial, Government, Iot, Education

Geo:
Guangdong, Chinese, Thailand, Indian, Hong kong, China

TTPs:
Tactics: 7
Technics: 8

IOCs:
File: 2
Domain: 6
IP: 4
Url: 1
Hash: 1

Soft:
ThinkPHP, MySQL, Cloudflare R2

Algorithms:
md5, sha1

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Выявлена широкомасштабная кампания по отравлению поисковой оптимизации (SEO), использующая заброшенные делегирования зон облачного DNS для распространения тайскоязычного контента азартных игр, затронувшая 163 организации по всему миру. Злоумышленники осуществляют захват зон Azure DNS, выявляя «сиротские» зоны, развертывая приложения для азартных игр под легитимными доменами и получая действительные сертификаты TLS. Операция включает сложную инфраструктуру с автоматизированной эксплуатацией уязвимостей DNS, массовым созданием поддоменов и широким использованием партнерского маркетинга для монетизации, что подчеркивает уязвимости в неправильной настройке DNS в облачных средах.
-----

Labs CRIL (Cyble Research & Intelligence) раскрыли масштабную кампанию отравления поисковой оптимизации (SEO), которая использует заброшенные делегирования зон облачной DNS для распространения тайского контента азартных игр, затрагивая 163 организации в более чем 30 странах. Эта операция использует захват зон Azure DNS, эксплуатируя распространенную практику не удаления делегирований NS, связанных с выведенной из эксплуатации облачной инфраструктурой. Злоумышленники выявляют эти осиротевшие зоны, захватывают их через новые подписки Azure и развертывают приложения для азартных игр под видом легитимных корпоративных доменов, используя действительные сертификаты TLS от Let's Encrypt.

Выполнение атаки включает несколько механизмов, главным образом захват зоны DNS Azure, который затрагивает более 150 организаций. Атакующий использует ошибку разрешения имен, развертывая подстановочные A-записи, которые перенаправляют все поддомены скомпрометированной организации на конкретные IP-адреса доставки, получая сертификат в процессе. CRIL выявила сложную инфраструктуру, поддерживающую эту кампанию, которая включает не только автоматизированную эксплуатацию DNS, но и систематическую стратегию монетизации через структуры аффилированного маркетинга. Индикаторы компрометации включали широкое использование идентичных приложений Next.js и последовательные исходящие аффилированные перенаправления через скомпрометированные домены, обеспечивая направление трафика на регистрацию в азартных играх.

Примечательно обнаружение более 1 000 поддоменов с уникальными именами, связанных с доменом Verizon, каждый из которых обслуживал контент для азартных игр и указывал на массовое создание записей, вероятно, из автоматизированных DNS-скриптов или скомпрометированных учетных данных DNS. Эта эксплуатация в двух случаях распространяется дальше на зоны DNS DigitalOcean, что подтверждает способность актора к оперативной работе по нацеливанию на несколько облачных провайдеров.

CRIL подчеркнула присущие уязвимости, связанные с неправильной настройкой DNS в облачных средах, в частности закрепление делегирований NS после отмены проектов. В отчете указано, что заброшенные зоны могут часто захватываться новыми абонентами, что позволяет злоумышленникам получать доступ к легитимному авторитету домена без необходимости проникновения через какие-либо периметры безопасности.

Стратегии устранения последствий сосредоточены на удалении делегирований NS для скомпрометированных зон и аудите всех DNS-записей для обеспечения отсутствия подобных уязвимостей. Эффективное обнаружение зависит от мониторинга на уровне DNS, а не от традиционных средств защиты, поскольку настройка атаки остается незамеченной за действительными сертификатами и доверенными доменами. Организациям рекомендуется оценивать свои DNS-конфигурации, чтобы избежать лазеек, которые могут быть использованы аналогичным образом в будущем, уделяя особое внимание ясности и управлению настройками облачного DNS. Кампания подчеркивает критический пробел в безопасности, при котором остаточные DNS-артефакты от выведенных из эксплуатации проектов могут быть присвоены в злонамеренных целях без какого-либо прямого проникновения в системы предприятия.

#ParsedReport #CompletenessLow
11-06-2026

Arctic Wolf Observes an Increase in Palo Alto Networks GlobalProtect Authentication Bypass Exploitation via CVE-2026-0257

https://arcticwolf.com/resources/blog/arctic-wolf-observes-increase-in-palo-alto-networks-globalprotect-authentication-bypass-exploitation-via-cve-2026-0257/

Report completeness: Low

Threats:
Impacket_tool

Victims:
Insurance, Finance, Manufacturing, Education, Engineering, Healthcare, Europe, North america, United states

Industry:
Financial, Education, Healthcare

Geo:
America, United states

CVEs:
CVE-2026-0257 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.7, 10.2.8, 10.2.9, 10.2.10, 10.2.11)


ChatGPT TTPs:
do not use without manual check
T1046, T1087.002, T1133, T1135, T1190, T1550.004

IOCs:
IP: 2

Soft:
PAN-OS, Linux

Links:
https://github.com/rtkwlf/wolf-tools/tree/main/threat-intelligence/globalprotect-cve-2026-0257-increase

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Arctic Wolf сообщил о росте эксплуатации уязвимости обхода аутентификации CVE-2026-0257 в PAN-OS от Palo Alto Networks, позволяющей удаленным злоумышленникам подделывать cookies аутентификации для несанкционированного доступа к VPN. Этот всплеск последовал за публикацией кода эксплойта, при этом активность характеризовалась попытками входа с виртуальных частных серверов (VPS), приводящими к установлению IPSec-туннелей и внутренней разведке с использованием инструмента Impacket. Хотя многие попытки завершились неудачей, некоторые оказались успешными, позволив злоумышленникам выполнять SMB-разведку и обнаружение пользователей домена внутри затронутых сетей.
-----

Arctic Wolf сообщил о всплеске эксплуатации уязвимости обхода аутентификации CVE-2026-0257, затрагивающей PAN-OS GlobalProtect и Prisma Access от Palo Alto Networks. Этот рост был зафиксирован с конца мая по начало июня 2026 года и был вызван публикацией кода эксплойта и подробных описаний уязвимости. Успешная эксплуатация зависит от конкретных конфигураций: портал или шлюз GlobalProtect должны быть доступны извне, а файлы cookie обхода аутентификации должны повторно использоваться или быть раскрыты вместе с сертификатом, на который они опираются. Изначально вредоносная активность характеризовалась подозрительными попытками входа с виртуальных частных серверов, что приводило к созданию туннелей IPSec и последующим внутренним разведывательным действиям, указывающим на использование инструментов Impacket.

CVE-2026-0257 позволяет удалённым неаутентифицированным злоумышленникам подделывать cookies аутентификации, обеспечивая несанкционированный доступ к VPN при определённых условиях конфигурации. Её уровень серьёзности был пересмотрен с показателя CVSS 4.7 до 7.8 в связи с растущей осведомлённостью и публикацией методов эксплуатации. Эта уязвимость затронула различные сектора, включая финансы, здравоохранение и образование, преимущественно в организациях Европы и Северной Америки.

Выявленные шаблоны эксплуатации продемонстрировали значительные попытки входа в учетные записи администраторов GlobalProtect с использованием, в частности, аутентификации на основе cookie с инфраструктуры VPS. Хотя большинство вторжений сопровождалось повторяющимися отказами в аутентификации, некоторые из них привели к установлению авторизованных сессий, что повлекло за собой автоматизированную SMB-разведку и перечисление сетевых ресурсов. Такое поведение указывает на то, что злоумышленники использовали несанкционированный доступ по VPN для облегчения дальнейших действий во внутренней сети.

Наблюдаемая активность последовательно демонстрировала паттерны немедленных действий после аутентификации, включающих запросы сессий SMB и обнаружение доменных пользователей, при этом злоумышленники быстро переходили от успешного установления соединения по VPN к разведке. Несмотря на очевидные возможности, указываемые этими действиями, большинство эксплуатаций не выходило за рамки начальных вторжений.

Рекомендации по защите сосредоточены на мониторинге подозрительных событий аутентификации, особенно с IP-адресов узлов выхода VPS или Tor, аномальных шаблонов входа и признаков активности Impacket после сессий VPN. Организациям, использующим GlobalProtect, рекомендуется тщательно анализировать попытки входа и последующее поведение сессий для выявления и предотвращения потенциальной эксплуатации.

#ParsedReport #CompletenessLow
12-06-2026

UNC1151/Ghostwriter phishing campaign targeting Gmail accounts

https://cert.pl/en/posts/2026/06/UNC1151-gmail-campaign/

Report completeness: Low

Actors/Campaigns:
Ghostwriter

Threats:
Credential_harvesting_technique

Victims:
Gmail users, Polish citizens, Public administration, Law enforcement, Researchers, Journalists, Political and public life, Translators, Court experts, Polish organizations, have more...

Geo:
Polish

ChatGPT TTPs:
do not use without manual check
T1056.003, T1078, T1111, T1114.002, T1190, T1566.002, T1583.001, T1583.006, T1584, T1585.002, have more...

IOCs:
Email: 7
Domain: 6

Soft:
Gmail

Win API:
ellipse

Win Services:
CVD

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа UNC1151/Ghostwriter — это APT, специализирующаяся на фишинговых кампаниях для компрометации учетных данных Gmail аккаунтов польских граждан. Эти кампании включают в себя письма, имитирующие официальные коммуникации Gmail, созданные для создания срочности и захвата учетных данных пользователей вместе с кодами 2FA через поддельные страницы входа. Тактика группы эволюционировала, чтобы включать недавно зарегистрированные обманные домены и повторное нацеливание на аккаунты, что свидетельствует об эскалации их стратегии атак, при этом все еще частично преследуя предыдущие цели.
-----

Группа UNC1151/Ghostwriter — это сложная целенаправленная угроза (APT), которая активно проводит фишинговые кампании, направленные на компрометацию учетных записей Gmail польских граждан. Исторически их фокус был сосредоточен преимущественно на пользователях польских почтовых сервисов, но с марта 2026 года наблюдается заметный сдвиг в сторону нацеливания на пользователей Gmail, при этом атаки преимущественно происходят в будние дни. Эти кампании предназначены для сбора учетных данных для входа, включая коды двухфакторной аутентификации (2FA), что повышает их способность к полному доступу к учетным записям целей.

Фишинговые кампании обычно включают письма, имитирующие официальные сообщения администраторов Gmail, часто отправляемые с поддельных или скомпрометированных аккаунтов Gmail. Эти сообщения, написанные на польском языке и тщательно выверенные, чтобы избежать очевидных грамматических ошибок, создают ощущение срочности, предупреждая получателей о якобы подозрительной активности или нарушении условий использования. Эта тактика давления побуждает жертв проверять свои аккаунты через вредоносные ссылки, ведущие на поддельные страницы входа в Gmail. Атакующие используют функцию BCC, чтобы скрыть идентичность получателей, тем самым увеличивая охват кампании.

Поддельные страницы входа эволюционировали и теперь способны захватывать как учетные данные для входа, так и коды 2FA, что фундаментально повышает шансы злоумышленников на получение доступа. После ввода этой информации злоумышленники могут немедленно попытаться войти в учетные записи жертв. В сценариях, требующих дополнительной проверки, отображаются последующие запросы для захвата SMS-кодов и кодов, генерируемых приложениями для аутентификации. Группа часто нацеливается на одни и те же учетные записи повторно и использует быстрые последующие кампании для максимизации давления на жертв, увеличивая вероятность взаимодействия с их фишинговыми усилиями.

Инфраструктура, поддерживающая операции UNC1151, является как динамичной, так и обманчивой, включая недавно зарегистрированные фишинговые домены и поддомены, созданные на легитимных платформах. Эти домены адаптированы для того, чтобы сливаться с содержанием фишинговых сообщений и учетными записями эл. почты, используемыми для связи. В некоторых случаях они используют скомпрометированные веб-сайты польских организаций для размещения поддельных панелей входа, позволяя им действовать незамеченными, пока пользователи остаются в неведении о взломе.

Сдвиг UNC1151 в сторону атак на учетные записи Gmail представляет собой эскалацию их стратегии атак. Хотя предыдущие кампании против польских почтовых провайдеров, таких как Onet и Wirtualna Polska, пошли на спад, группа не полностью отказалась от этих усилий, продолжая адаптироваться и совершенствовать свои тактики для эксплуатации уязвимостей и доставки сложных фишинговых сообщений. Эта постоянная угроза подчеркивает необходимость бдительности среди потенциальных целей, учитывая настойчивый и развивающийся характер этих фишинговых кампаний.

#ParsedReport #CompletenessMedium
09-06-2026

Home-Field Disadvantage: AiTM, QR-Code Phishing, and Infostealers at the 2026 FIFA World Cup

https://arcticwolf.com/resources/blog/aitm-qr-code-phishing-and-infostealers-at-the-2026-fifa-world-cup/

Report completeness: Medium

Threats:
Qshing_technique
Aitm_technique
Supply_chain_technique
Putty_tool

Victims:
Football fans, Event organizers, Host city staff, Vendors, Tourism organization staff, Organizations using google workspace

Industry:
Government, Financial

Geo:
Canada, India, Brazil, Asian, Mexico

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1036, T1056.003, T1059.003, T1078, T1098, T1111, T1113, T1115, have more...

IOCs:
Domain: 5
File: 4
Url: 1

Soft:
WhatsApp, Telegram, Discord, Steam, WinSCP, KeePass, Android

Languages:
javascript

Platforms:
x64

Links:
have more...
https://github.com/rtkwlf/wolf-tools/tree/main/threat-intelligence/aitm-qr-code-phishing-infostealers-at-the-2026-fifa-world-cup

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
По мере приближения чемпионата мира по футболу 2026 года угрозы усиливаются: зарегистрировано более 10 000 доменов, связанных с чемпионатом мира, в основном для атак на мобильные устройства через социальные сети. В частности, применяются техники фишинга в режиме реального времени с использованием атаки «злоумышленник посередине» для обхода многофакторной аутентификации, а также целевые фишинговые кампании включают вредоносные PDF-файлы и мобильное ВПО, замаскированное под приложения для покупки билетов. Злоумышленники используют срочность и привязку к событию, чтобы эксплуатировать энтузиазм болельщиков, повышая эффективность своих злонамеренных действий.
-----

С января 2026 года зарегистрировано более 10 000 доменов, тематически связанных с Чемпионатом мира по футболу, многие из которых созданы с использованием генеративного искусственного интеллекта.

Мобильные устройства стали основной поверхностью атаки, при этом злоумышленники используют социальные сети для направления жертв на платформы обмена сообщениями, такие как WhatsApp, Телеграм или Discord.

Методы фишинга в режиме реального времени с атакующим посередине (AiTM) могут обходить многофакторную аутентификацию (MFA), перехватывая коды аутентификации во время входа в систему.

Злоумышленники используют фишинг-наборы, которые делают традиционные механизмы многофакторной аутентификации (MFA) неэффективными для организаций, связанных с Чемпионатом мира по футболу, затрагивая пользователей учетных записей Google Workspace.

Целенаправленные фишинговые кампании против организаторов мероприятий и персонала используют вредоносные PDF-файлы, которые применяют фишинг с помощью QR-кодов («quishing») для перенаправления пользователей на вредоносные ресурсы.

Мобильное ВПО маскировалось под легитимные приложения, связанные с покупкой билетов, при этом одно APK-приложение было выявлено для майнинга криптовалюты и эксфильтрации данных.

Тактика срочности используется в атаках, при этом мошеннические сообщения предлагают доступ к бесплатным трансляциям незадолго до матчей, чтобы эксплуатировать возбуждение болельщиков.

Инфостилеры, маскирующиеся под приложения для продажи билетов, похищают конфиденциальные данные в каналы, такие как Телеграм и Discord.

Объем угроз растет благодаря автоматизированным инструментам, что усложняет для организаций разработку целевых стратегий защиты.

Ожидается, что будущие угрозы усилятся в период проведения турнира, особенно в часы матчей, когда количество атак может возрасти.

Защитникам рекомендуется отслеживать появляющиеся домены и сохранять бдительность в отношении атак с таймерами, нацеленных на фанатов и персонал мероприятий.

#ParsedReport #CompletenessMedium
09-06-2026

Miasma worm targets Microsoft, compromises 73 GitHub repositories

https://www.threatlocker.com/blog/miasma-worm-targets-microsoft-compromises-73-github-repositories

Report completeness: Medium

Actors/Campaigns:
Teampcp

Threats:
Miasma
Supply_chain_technique
Shai-hulud
Hades

Victims:
Technology, Software development, Cloud services, Github repositories, Microsoft

Industry:
Healthcare, Education

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1071.001, T1105, T1195, T1204.002, T1518.001, T1543.002, T1564.001, T1567.001, have more...

IOCs:
File: 2
Domain: 2
Hash: 7
IP: 1
Url: 3

Soft:
Claude, Visual Studio Code, systemd, Kubernetes

Algorithms:
gzip, sha256, aes-256-gcm, base64, aes

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
5 июня 2026 года червь Miasma выполнил атаку на Цепочку поставок репозитория Azure/durabletask, развернув вредоносный коммит, который содержал зашифрованный JavaScript-файл, обеспечивающий немедленное выполнение полезной нагрузки. Червь определяет цели для эксфильтрации данных через уникальные маркеры, нацеливаясь на определенные компоненты StepSecurity's Harden-Runner для уклонения от обнаружения. Его полезная нагрузка разработана для отбора конфиденциальной информации с таких платформ, как GitHub и AWS, структурируя захваченные данные в узнаваемом формате, помеченном «Hades * The End for the Damned».
-----

5 июня 2026 года червь Miasma осуществил значительную Компрометацию цепочки поставок, атаковав репозиторий Microsoft-owned Azure/durabletask на GitHub. Эта атака использовала вредоносный коммит с заголовком "Switched DataConverter to OrchestrationContext skip ci", который изменил метаданные коммита, чтобы он выглядел так, будто был создан 9 марта 2020 года. Коммит содержал зашифрованный JavaScript-файл (setup.js) и дополнительные файлы настроек, содержащие хуки для AI-моделей Claude и Gemini. Техника атаки позволяла выполнять полезную нагрузку немедленно при открытии репозитория, отклоняясь от предыдущих тактик, которые требовали установки вредоносных пакетов, что приводило к немедленному риску для разработчиков.

Заметной особенностью этой кампании является её отточенный метод выявления целей для эксфильтрации. В отличие от предыдущих итераций, которые использовали узнаваемые фразы, этот вариант применяет уникальные маркеры для указания скомпрометированных репозиториев. Кроме того, кампания ищет конкретные компоненты StepSecurity's Harden-Runner, вероятно, чтобы избежать обнаружения средствами защиты в средах разработки. Такая целевая направленность указывает на намерение обойти механизмы логирования и оповещения, что повышает шансы червя на выполнение своей вредоносной задачи без обнаружения.

Вредоносный код червя Miasma предназначен для масштабной эксфильтрации данных, эффективно переманивая конфиденциальную информацию с платформ GitHub, AWS, Azure и Google Cloud. Эксфильтрация данных использует методологию, которая захватывает содержимое репозитория, структурированное в виде файла README.md, и приводит к формату, обозначенному специфическим маркером: «Hades * The End for the Damned». ВПО также создает папку результатов, содержащую JSON-файлы, инкапсулирующие извлеченные данные, что дополнительно подтверждает его злонамеренные намерения.

Стратегии смягчения последствий для организаций, затронутых червем Miasma, включают выявление и завершение любых активных процессов systemd, которые могли быть задействованы в ходе атаки. Необходим тщательный анализ системных журналов для обнаружения следов выполнения артефактов, таких как файлы, расположенные в /tmp/, а также для ротации учетные данные для критических компонентов инфраструктуры, включая учетные записи облачных сервисов и ключи SSH. Мониторинг необычного поведения в облачных ресурсах, а также перекрестная проверка сетевого трафика на конкретные домены и IP-адреса, связанные с инфраструктурой управления червя, является важным для усилий по сдерживанию.

#ParsedReport #CompletenessHigh
12-06-2026

Shai-Hulud Campaign Evolution: Miasma, Hades, and AI Scanner Evasion

https://www.zscaler.com/blogs/security-research/shai-hulud-campaign-evolution-miasma-hades-and-ai-scanner-evasion

Report completeness: High

Actors/Campaigns:
Teampcp

Threats:
Shai-hulud
Miasma
Hades
Supply_chain_technique
Aitm_technique
Dead_drop_technique

Victims:
Software, Cybersecurity, Artificial intelligence, Automation, Open source projects, Aqua security, Litellm, Tanstack, Mistral ai, Guardrails ai, have more...

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001.003, T1027, T1078, T1102.003, T1195.001, T1195.002, T1528, T1546, T1550.001, T1562.001, have more...

IOCs:
File: 8
Domain: 1
Url: 1
Hash: 3

Soft:
Anthropic, Trivy, LiteLLM, jupyter notebook, TanStack, Mistral, OpenSearch, Claude

Crypto:
monero

Algorithms:
sha256, pbkdf2, aes-256-gcm

Win API:
In

Languages:
python, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Shai-Hulud, возглавляемая злоумышленником TeamPCP (UNC6780), эволюционировала от традиционных атак на Цепочку поставок к эксплуатации Индекса пакетов Python (PyPI) и рабочих процессов CI/CD. Ключевые показатели включают компрометацию через GitHub Actions, позволяющую устанавливать вредоносные двоичные файлы и извлекать токены OpenID Connect для публикации вредоносных пакетов, выглядящих доверенными. Такие техники, как инъекция промптов для обхода сканирования безопасности на базе ИИ и публичный выпуск исходного кода червя, свидетельствуют о критическом сдвиге в динамике угроз, усиливая риски в области безопасности цепочки поставок программного обеспечения.
-----

Кампания Shai-Hulud связана с злоумышленником TeamPCP (UNC6780).

Кампания эволюционировала от традиционных атак на цепочку поставок программного обеспечения к нацеливанию на Python Package Index (PyPI) и эксплуатации рабочих процессов CI/CD.

В марте 2026 года TeamPCP скомпрометировал сканер уязвимостей Trivy компании Aqua Security с помощью отравления кэша GitHub Actions.

Вредоносные бинарные файлы были установлены в рабочих процессах управления зависимостями, затронув библиотеку LiteLLM для Python.

ВПО использовало механизм закрепления с помощью файлов .pth, что позволяло выполнять код при запуске Python без действий пользователя.

В мае 2026 года TeamPCP использовал неправильную настройку pull_request_target для извлечения токенов OpenID Connect из памяти CI-агента.

Эти токены позволили опубликовать вредоносные пакеты с действительным происхождением, выявив уязвимости в процессах автоматической публикации.

В рамках кампании применялись техники инъекции промптов для обхода систем безопасности на базе искусственного интеллекта, что позволяло вредоносным пакетам избегать обнаружения.

Публичная публикация исходного кода червя 12 мая 2026 года сделала закрытые методы атак доступными для внешних акторов.

В июне 2026 года кампания эволюционировала, начав внедрять вредоносные рабочие процессы и файлы конфигурации в среды инструментов разработки, что привело к приостановке работы нескольких репозиториев Microsoft.

Кампания Shai-Hulud выявляет уязвимости в аутентификации сопровождающих, выполнении установки, надежности средств защиты и анализе кода с помощью ИИ.