#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
По мере приближения чемпионата мира по футболу 2026 года угрозы усиливаются: зарегистрировано более 10 000 доменов, связанных с чемпионатом мира, в основном для атак на мобильные устройства через социальные сети. В частности, применяются техники фишинга в режиме реального времени с использованием атаки «злоумышленник посередине» для обхода многофакторной аутентификации, а также целевые фишинговые кампании включают вредоносные PDF-файлы и мобильное ВПО, замаскированное под приложения для покупки билетов. Злоумышленники используют срочность и привязку к событию, чтобы эксплуатировать энтузиазм болельщиков, повышая эффективность своих злонамеренных действий.
-----

С января 2026 года зарегистрировано более 10 000 доменов, тематически связанных с Чемпионатом мира по футболу, многие из которых созданы с использованием генеративного искусственного интеллекта.

Мобильные устройства стали основной поверхностью атаки, при этом злоумышленники используют социальные сети для направления жертв на платформы обмена сообщениями, такие как WhatsApp, Телеграм или Discord.

Методы фишинга в режиме реального времени с атакующим посередине (AiTM) могут обходить многофакторную аутентификацию (MFA), перехватывая коды аутентификации во время входа в систему.

Злоумышленники используют фишинг-наборы, которые делают традиционные механизмы многофакторной аутентификации (MFA) неэффективными для организаций, связанных с Чемпионатом мира по футболу, затрагивая пользователей учетных записей Google Workspace.

Целенаправленные фишинговые кампании против организаторов мероприятий и персонала используют вредоносные PDF-файлы, которые применяют фишинг с помощью QR-кодов («quishing») для перенаправления пользователей на вредоносные ресурсы.

Мобильное ВПО маскировалось под легитимные приложения, связанные с покупкой билетов, при этом одно APK-приложение было выявлено для майнинга криптовалюты и эксфильтрации данных.

Тактика срочности используется в атаках, при этом мошеннические сообщения предлагают доступ к бесплатным трансляциям незадолго до матчей, чтобы эксплуатировать возбуждение болельщиков.

Инфостилеры, маскирующиеся под приложения для продажи билетов, похищают конфиденциальные данные в каналы, такие как Телеграм и Discord.

Объем угроз растет благодаря автоматизированным инструментам, что усложняет для организаций разработку целевых стратегий защиты.

Ожидается, что будущие угрозы усилятся в период проведения турнира, особенно в часы матчей, когда количество атак может возрасти.

Защитникам рекомендуется отслеживать появляющиеся домены и сохранять бдительность в отношении атак с таймерами, нацеленных на фанатов и персонал мероприятий.

#ParsedReport #CompletenessMedium
09-06-2026

Miasma worm targets Microsoft, compromises 73 GitHub repositories

https://www.threatlocker.com/blog/miasma-worm-targets-microsoft-compromises-73-github-repositories

Report completeness: Medium

Actors/Campaigns:
Teampcp

Threats:
Miasma
Supply_chain_technique
Shai-hulud
Hades

Victims:
Technology, Software development, Cloud services, Github repositories, Microsoft

Industry:
Healthcare, Education

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1071.001, T1105, T1195, T1204.002, T1518.001, T1543.002, T1564.001, T1567.001, have more...

IOCs:
File: 2
Domain: 2
Hash: 7
IP: 1
Url: 3

Soft:
Claude, Visual Studio Code, systemd, Kubernetes

Algorithms:
gzip, sha256, aes-256-gcm, base64, aes

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
5 июня 2026 года червь Miasma выполнил атаку на Цепочку поставок репозитория Azure/durabletask, развернув вредоносный коммит, который содержал зашифрованный JavaScript-файл, обеспечивающий немедленное выполнение полезной нагрузки. Червь определяет цели для эксфильтрации данных через уникальные маркеры, нацеливаясь на определенные компоненты StepSecurity's Harden-Runner для уклонения от обнаружения. Его полезная нагрузка разработана для отбора конфиденциальной информации с таких платформ, как GitHub и AWS, структурируя захваченные данные в узнаваемом формате, помеченном «Hades * The End for the Damned».
-----

5 июня 2026 года червь Miasma осуществил значительную Компрометацию цепочки поставок, атаковав репозиторий Microsoft-owned Azure/durabletask на GitHub. Эта атака использовала вредоносный коммит с заголовком "Switched DataConverter to OrchestrationContext skip ci", который изменил метаданные коммита, чтобы он выглядел так, будто был создан 9 марта 2020 года. Коммит содержал зашифрованный JavaScript-файл (setup.js) и дополнительные файлы настроек, содержащие хуки для AI-моделей Claude и Gemini. Техника атаки позволяла выполнять полезную нагрузку немедленно при открытии репозитория, отклоняясь от предыдущих тактик, которые требовали установки вредоносных пакетов, что приводило к немедленному риску для разработчиков.

Заметной особенностью этой кампании является её отточенный метод выявления целей для эксфильтрации. В отличие от предыдущих итераций, которые использовали узнаваемые фразы, этот вариант применяет уникальные маркеры для указания скомпрометированных репозиториев. Кроме того, кампания ищет конкретные компоненты StepSecurity's Harden-Runner, вероятно, чтобы избежать обнаружения средствами защиты в средах разработки. Такая целевая направленность указывает на намерение обойти механизмы логирования и оповещения, что повышает шансы червя на выполнение своей вредоносной задачи без обнаружения.

Вредоносный код червя Miasma предназначен для масштабной эксфильтрации данных, эффективно переманивая конфиденциальную информацию с платформ GitHub, AWS, Azure и Google Cloud. Эксфильтрация данных использует методологию, которая захватывает содержимое репозитория, структурированное в виде файла README.md, и приводит к формату, обозначенному специфическим маркером: «Hades * The End for the Damned». ВПО также создает папку результатов, содержащую JSON-файлы, инкапсулирующие извлеченные данные, что дополнительно подтверждает его злонамеренные намерения.

Стратегии смягчения последствий для организаций, затронутых червем Miasma, включают выявление и завершение любых активных процессов systemd, которые могли быть задействованы в ходе атаки. Необходим тщательный анализ системных журналов для обнаружения следов выполнения артефактов, таких как файлы, расположенные в /tmp/, а также для ротации учетные данные для критических компонентов инфраструктуры, включая учетные записи облачных сервисов и ключи SSH. Мониторинг необычного поведения в облачных ресурсах, а также перекрестная проверка сетевого трафика на конкретные домены и IP-адреса, связанные с инфраструктурой управления червя, является важным для усилий по сдерживанию.

#ParsedReport #CompletenessHigh
12-06-2026

Shai-Hulud Campaign Evolution: Miasma, Hades, and AI Scanner Evasion

https://www.zscaler.com/blogs/security-research/shai-hulud-campaign-evolution-miasma-hades-and-ai-scanner-evasion

Report completeness: High

Actors/Campaigns:
Teampcp

Threats:
Shai-hulud
Miasma
Hades
Supply_chain_technique
Aitm_technique
Dead_drop_technique

Victims:
Software, Cybersecurity, Artificial intelligence, Automation, Open source projects, Aqua security, Litellm, Tanstack, Mistral ai, Guardrails ai, have more...

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001.003, T1027, T1078, T1102.003, T1195.001, T1195.002, T1528, T1546, T1550.001, T1562.001, have more...

IOCs:
File: 8
Domain: 1
Url: 1
Hash: 3

Soft:
Anthropic, Trivy, LiteLLM, jupyter notebook, TanStack, Mistral, OpenSearch, Claude

Crypto:
monero

Algorithms:
sha256, pbkdf2, aes-256-gcm

Win API:
In

Languages:
python, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Shai-Hulud, возглавляемая злоумышленником TeamPCP (UNC6780), эволюционировала от традиционных атак на Цепочку поставок к эксплуатации Индекса пакетов Python (PyPI) и рабочих процессов CI/CD. Ключевые показатели включают компрометацию через GitHub Actions, позволяющую устанавливать вредоносные двоичные файлы и извлекать токены OpenID Connect для публикации вредоносных пакетов, выглядящих доверенными. Такие техники, как инъекция промптов для обхода сканирования безопасности на базе ИИ и публичный выпуск исходного кода червя, свидетельствуют о критическом сдвиге в динамике угроз, усиливая риски в области безопасности цепочки поставок программного обеспечения.
-----

Кампания Shai-Hulud связана с злоумышленником TeamPCP (UNC6780).

Кампания эволюционировала от традиционных атак на цепочку поставок программного обеспечения к нацеливанию на Python Package Index (PyPI) и эксплуатации рабочих процессов CI/CD.

В марте 2026 года TeamPCP скомпрометировал сканер уязвимостей Trivy компании Aqua Security с помощью отравления кэша GitHub Actions.

Вредоносные бинарные файлы были установлены в рабочих процессах управления зависимостями, затронув библиотеку LiteLLM для Python.

ВПО использовало механизм закрепления с помощью файлов .pth, что позволяло выполнять код при запуске Python без действий пользователя.

В мае 2026 года TeamPCP использовал неправильную настройку pull_request_target для извлечения токенов OpenID Connect из памяти CI-агента.

Эти токены позволили опубликовать вредоносные пакеты с действительным происхождением, выявив уязвимости в процессах автоматической публикации.

В рамках кампании применялись техники инъекции промптов для обхода систем безопасности на базе искусственного интеллекта, что позволяло вредоносным пакетам избегать обнаружения.

Публичная публикация исходного кода червя 12 мая 2026 года сделала закрытые методы атак доступными для внешних акторов.

В июне 2026 года кампания эволюционировала, начав внедрять вредоносные рабочие процессы и файлы конфигурации в среды инструментов разработки, что привело к приостановке работы нескольких репозиториев Microsoft.

Кампания Shai-Hulud выявляет уязвимости в аутентификации сопровождающих, выполнении установки, надежности средств защиты и анализе кода с помощью ИИ.

#ParsedReport #CompletenessLow
11-06-2026

World Cup 2026 Mobile Targeted Phishing: The Global Social Engineering Threat

https://zimperium.com/blog/world-cup-2026-mobile-targeted-phishing-the-global-social-engineering-threat

Report completeness: Low

Actors/Campaigns:
Ghost_stadium
Retailphish
Offsidehire_phishing

Threats:
Typosquatting_technique
Aitm_technique
Mishing_technique
Credential_harvesting_technique

Victims:
Consumers, Sports retail, Corporate google workspace accounts, Job seekers

Industry:
Transport, Entertainment, Retail

Geo:
New york, Qatar, German, French, Spain, Croatia, Chinese, Colombia, Ecuador, Portugal, Germany, Spanish, France, England, Portuguese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1078, T1111, T1557, T1566.002, T1566.003, T1583.001, T1583.006, T1656

IOCs:
Domain: 6
File: 3

Soft:
WhatsApp, Telegram, TikTok, Chrome

Languages:
javascript

Links:
https://github.com/Zimperium/IOC

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники запускают масштабные фишинговые кампании, связанные с Чемпионатом мира по футболу 2026 года, нацеленные на мобильных пользователей на фоне растущего спроса на билеты и мерчандайз. Используя такие техники, как Typosquatting и институциональный спуфинг, злоумышленники создают обманные сайты, имитирующие официальные платформы, такие как fifa-tickets.vip, для сбора конфиденциальной информации. Кампании включают мошенничество с продажей билетов, фишинг мерчандайза под меткой RetailPhish и мошенничество с наймом под названием OffsideHire, которые используют срочные сообщения для манипуляции жертвами с целью получения учетных данных или финансовых данных.
-----

Всплеск фишинговых кампаний, связанных с Чемпионатом мира по футболу 2026 года, создает значительные риски для мобильных пользователей, поскольку киберпреступники используют высокий спрос на билеты и мерчандайз. Масштаб мероприятия, включающего 48 команд и 104 матча, создает идеальную среду для атак социальной инженерии, направленных на различные аудитории, в частности на покупателей билетов и соискателей работы. Злоумышленники применяют такие техники, как Typosquatting и институциональный спуфинг, развертывая поддельные домены, такие как fifa-tickets.vip, чтобы ввести в заблуждение пользователей, отчаянно нуждающихся в билетах. Кроме того, сложные розничные кампании используют сайты, имитирующие легитимные бренды, такие как Nike и Adidas, часто скрывая свое происхождение за Cloudflare, чтобы избежать обнаружения.

Выделены три основные кампании: первая направлена на продажу билетов, вторая — на продажу мерча, а последняя — на мошенничество с вербовкой. Эти кампании используют срочные сообщения через SMS и социальные сети, чтобы вызвать эмоциональную панику у читателей, побуждая их переходить по вредоносным ссылкам. В рамках схемы с билетами злоумышленники создали обманные сайты, которые внешне почти не отличаются от официальных платформ, эффективно заставляя пользователей предоставлять конфиденциальные личные и финансовые данные. Использование продвинутых фишинговых наборов позволяет вести тщательное взаимодействие на протяжении всего процесса мошеннической покупки билетов, гарантируя, что жертвы проходят реалистичный путь покупки.

Кампания фишинга с использованием товаров, известная как RetailPhish, использует стремление фанатов приобрести атрибутику команды после того, как количество доступных билетов сокращается. Используя вредоносные домены, зарегистрированные через прокси-сервис конфиденциальности, злоумышленники скрывают свои личности, применяя шаблонные URL-адреса, ориентированные на несколько языков и регионов. Быстрая регистрация доменов позволяет эффективно масштабировать их операции.

Мошенничество с наймом, получившее название OffsideHire, особенно тревожно, поскольку оно сосредоточено на возможностях временной занятости, связанных с Чемпионатом мира по футболу. Это включает создание фишинговых сайтов, предназначенных для сбора учетных записей из корпоративных учетных записей Google Workspace под видом законных усилий по найму. Структура сайта подрывает безопасность организаций, облегчая форму атаки «Противник посередине» (AiTM), что позволяет осуществлять сбор учетных данных в реальном времени, что может привести к более глубоким нарушениям в корпоративных сетях.

Все эти кампании стратегически выполняются для работы за пределами обычных корпоративных мер безопасности, таких как межсетевые экраны, часто с использованием личных устройств, которые связываются с ресурсами компании. Их сложные конструкции подчеркивают необходимость надежных решений для обнаружения и предотвращения мобильных угроз, способных выявлять подозрительную активность в реальном времени, тем самым защищая конфиденциальные данные организации от компрометации.

#ParsedReport #CompletenessMedium
11-06-2026

Threat Actors Weaponize AI Hype to Deliver AsyncRAT

https://www.fortinet.com/blog/threat-research/threat-actors-weaponize-ai-hype-to-deliver-asyncrat

Report completeness: Medium

Threats:
Asyncrat
Process_hollowing_technique
Runpe_tool

Victims:
Users seeking ai related learning resources

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1033, T1036.004, T1036.005, T1036.008, T1041, T1053.005, T1055.012, T1059.001, have more...

IOCs:
File: 31
Domain: 3
IP: 1
Hash: 3

Soft:
PostgreSQL, Claude, AutoHotkey, NET Framework, Microsoft Defender, Task Scheduler

Algorithms:
zip, gzip, exhibit, aes-cbc, pbkdf2, md5, xor, base64

Functions:
Execute

Win API:
Run

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, code: 26, dump: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют популярность ИИ, распространяя ВПО, замаскированное под легитимные документы ИИ, и инициируя атаки через сжатые архивы, скрывающие вредоносные скрипты. Цепочка заражения использует скрипты PowerShell для декодирования полезной нагрузки и закрепления через Планировщик задач Windows. ВПО, известное как AsyncRAT, использует AutoHotkey для выполнения, применяет техники обфускации и включает продвинутые методы, такие как Внедрение в пустой процесс, для снижения обнаружения, а также поддерживает связь с серверами управления для эксфильтрации данных.
-----

Злоумышленники используют текущие тенденции в области искусственного интеллекта для распространения ВПО, замаскированного под легитимные документы, связанные с ИИ. Недавняя кампания, зафиксированная лабораторией FortiGuard Labs, включала файлы с названиями, относящимися к учебным ресурсам по ИИ, которые были созданы для того, чтобы заманить пользователей, ищущих такой контент. Начальный этап этой атаки включает сжатый архив, который кажется безобидным, но на самом деле скрывает вредоносные скрипты, предназначенные для выполнения сложной многоэтапной цепочки заражения, в конечном итоге доставляя AsyncRAT — троянскую программу удаленного доступа на базе .NET.

ВПО начинает свое выполнение с ZIP-архива, содержащего ярлык и скрытые файлы. Срабатывает скрипт PowerShell, использующий криптографические методы для декодирования полезной нагрузки, скрытой в исходных документах. Этот скрипт создает другие скрипты и обеспечивает закрепление через Планировщик задач Windows, маскируя свою активность под службу аудио Realtek. Скрипты применяют техники обфускации, включая использование переменных на упрощенном китайском языке и нестандартных идентификаторов, заимствованных из культурных отсылок, что усложняет анализ и обнаружение.

Особого внимания заслуживает использование скриптов AutoHotkey, которые служат движком выполнения для ВПО, позволяя загружать и выполнять дополнительные компоненты без опоры исключительно на скомпилированные бинарные файлы. Последние этапы атаки включают сложные техники, такие как Внедрение в пустой процесс и отражательная загрузка, для выполнения .NET-загрузчиков скрытным образом, одновременно минимизируя видимость для криминалистический анализ за счет очистки следов выполнения.

Основной полезный груз, идентифицированный как модульный RAT, устанавливает связь с серверами управления (управление) (C2), собирая и выгружая подробную информацию о системе об окружении жертвы. ВПО использует передовые методы связи, включая шифрование исходящих данных и пользовательскую сериализацию, обеспечивая постоянное взаимодействие с инфраструктурой C2.

#ParsedReport #CompletenessHigh
08-06-2026

Old WinRAR Flaw Fuels Attacks on Ukraine: How Unmanaged Software Keeps the Door Open

https://www.trendmicro.com/en_us/research/26/f/old-winrar-flaw-fuels-attacks-on-ukraine.html

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage)
Uac-0226 (motivation: cyber_espionage)
Fancy_bear
Apt29
Sandworm
Turla
Void_rabisu

Threats:
Giftedcrook
Romcom_rat
Spear-phishing_technique
Antidebugging_technique
Gammasteel

Victims:
Ukrainian organizations, Military innovation centers, Military formations, Law enforcement agencies, Local self government bodies, Government entities, Military entities

Industry:
Government, Military

Geo:
Switzerland, Netherlands, Ukraine, France, Crimea, Germany, Ukrainian, Malaysian, Russia, Moscow

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)

CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)

CVE-2018-20250 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (le5.61)


TTPs:
Tactics: 8
Technics: 17

IOCs:
File: 13
Hash: 37
Command: 5
Path: 3
IP: 14
Url: 5
Domain: 2
Email: 1

Soft:
Telegram, Chrome, Firefox, Opera, Google Chrome, Microsoft Edge, Mozilla Firefox, KeePass, PDQ Deploy

Algorithms:
prng, exhibit, fnv-1a, base64, sha256, rc4

Functions:
Get-Content, flexibility_denominator_wiretap, Sleep

Win API:
NtProtectVirtualMemory, NtAllocateVirtualMemory, NtCreateThreadEx, CryptUnprotectData, CreateProcessW, DeleteFileW, CryptImportKey, VirtualAlloc

Languages:
powershell

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость WinRAR CVE-2025-8088 продолжает эксплуатироваться злоумышленниками, связанными с Россией, такими как SHADOW-EARTH-066 и Earth Dahu, против украинских целей. SHADOW-EARTH-066 сменил тактику, эксплуатируя эту уязвимость с помощью стиллера GIFTEDCROOK, который поддерживает загрузку в памяти и зашифрованный C2, тогда как Earth Dahu использует цепочку атак на основе HTA для развертывания инструментов шпионажа. Обе кампании подчеркивают риски, связанные с неуправляемым программным обеспечением, и постоянную угрозу киберэксплуатации, несмотря на наличие существующих исправлений.
-----

Продолжающаяся эксплуатация уязвимости WinRAR CVE-2025-8088, исправленной в июле 2025 года, по-прежнему представляет значительную киберугрозу для украинских организаций. Уязвимость, являющаяся ошибкой обхода ограничений пути (CVSS 8.4), позволяет злоумышленникам записывать файлы за пределами каталога извлечения с использованием альтернативных потоков данных NTFS. Эта уязвимость используется различными группами, лояльными России, включая SHADOW-EARTH-066 и Earth Dahu (Gamaredon), против украинских военных и государственных структур.

SHADOW-EARTH-066, обозначенный CERT-UA как UAC-0226, перешел от более ранней тактики использования макросов Excel для первоначального доступа к эксплуатации уязвимости CVE-2025-8088. Он развертывает стиллер GIFTEDCROOK, способный собирать пароли браузеров, сеансовые куки и определенные расширения файлов перед самоуничтожением. Эволюционировавшая версия этого стиллера, известная как result.dll, демонстрирует значительные улучшения, такие как загрузка DLL в памяти и зашифрованная инфраструктура управления. ВПО, скомпилированное на C++, использует двухслойное шифрование RC4 для эксфильтрации украденных данных, что указывает на преднамеренную попытку избежать обнаружения и анализа.

В отличие от этого, Earth Dahu использует ту же уязвимость, применяя цепочку атак на основе HTA. Группа размещает вредоносные HTA-файлы или обфусцированные VBS-скрипты в папке автозагрузки, выполняя их при входе пользователя для доставки инструментов шпионажа. Этот метод демонстрирует характерный сдвиг в тактике, отражающий необходимость обеспечения оперативной безопасности по мере снижения эффективности других методов.

Обе кампании демонстрируют, как неуправляемое программное обеспечение, такое как WinRAR, может создавать уязвимости, сохраняющиеся даже после выпуска исправлений. Отсутствие централизованных механизмов обновления для таких приложений оставляет организации уязвимыми, позволяя злоумышленникам поддерживать доступ через надежную точку входа. Академический анализ указывает на историю уязвимостей в аналогичных широко используемых утилитарных приложениях, подчеркивая необходимость надежного управления программным обеспечением и соблюдения правил безопасности.

Стратегии эксплуатации, применяемые как SHADOW-EARTH-066, так и Earth Dahu, подчеркивают существенные различия в разработке и методологии: одна из них отдает предпочтение скомпилированной цепочке ВПО на C++, тогда как другая полагается на механизмы скриптования. Однако обе группы используют одну и ту же уязвимость в WinRAR, что представляет собой значительный риск для инициатив по безопасности Украины и может повлиять на страны-союзники через скомпрометированные учетные данные и данные.

Организациям рекомендуется приоритизировать установку исправлений для WinRAR, проводить тщательные поиски индикаторов компрометации и обеспечивать строгие практики управления учетными данными для снижения текущих рисков, создаваемых этими злоумышленниками.

#ParsedReport #CompletenessMedium
12-06-2026

Active Exploitation of Oracle PeopleSoft Zero-Day (CVE-2026-35273)

https://www.rapid7.com/blog/post/etr-active-exploitation-of-oracle-peoplesoft-zero-day-cve-2026-35273

Report completeness: Medium

Actors/Campaigns:
Unc6240 (motivation: information_theft, cyber_criminal)
Shinyhunters (motivation: information_theft, cyber_criminal)

Threats:
Meshcentral_tool
Meshagent_tool

Victims:
Higher education, Universities and colleges

Industry:
Education, Telco

CVEs:
CVE-2017-3548 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle peoplesoft_enterprise_peopletools (8.54, 8.55)

CVE-2013-3821 [Vulners]
CVSS V3.1: 6.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle peoplesoft_products (8.51, 8.52, 8.53)

CVE-2026-35273 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1036.005, T1071.001, T1187, T1190, T1219, T1560.001

IOCs:
Url: 1
IP: 6
Domain: 1
Hash: 5
File: 1

Soft:
Linux