#ParsedReport #CompletenessHigh
08-06-2026

Old WinRAR Flaw Fuels Attacks on Ukraine: How Unmanaged Software Keeps the Door Open

https://www.trendmicro.com/en_us/research/26/f/old-winrar-flaw-fuels-attacks-on-ukraine.html

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage)
Uac-0226 (motivation: cyber_espionage)
Fancy_bear
Apt29
Sandworm
Turla
Void_rabisu

Threats:
Giftedcrook
Romcom_rat
Spear-phishing_technique
Antidebugging_technique
Gammasteel

Victims:
Ukrainian organizations, Military innovation centers, Military formations, Law enforcement agencies, Local self government bodies, Government entities, Military entities

Industry:
Government, Military

Geo:
Switzerland, Netherlands, Ukraine, France, Crimea, Germany, Ukrainian, Malaysian, Russia, Moscow

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)

CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)

CVE-2018-20250 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (le5.61)


TTPs:
Tactics: 8
Technics: 17

IOCs:
File: 13
Hash: 37
Command: 5
Path: 3
IP: 14
Url: 5
Domain: 2
Email: 1

Soft:
Telegram, Chrome, Firefox, Opera, Google Chrome, Microsoft Edge, Mozilla Firefox, KeePass, PDQ Deploy

Algorithms:
prng, exhibit, fnv-1a, base64, sha256, rc4

Functions:
Get-Content, flexibility_denominator_wiretap, Sleep

Win API:
NtProtectVirtualMemory, NtAllocateVirtualMemory, NtCreateThreadEx, CryptUnprotectData, CreateProcessW, DeleteFileW, CryptImportKey, VirtualAlloc

Languages:
powershell

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость WinRAR CVE-2025-8088 продолжает эксплуатироваться злоумышленниками, связанными с Россией, такими как SHADOW-EARTH-066 и Earth Dahu, против украинских целей. SHADOW-EARTH-066 сменил тактику, эксплуатируя эту уязвимость с помощью стиллера GIFTEDCROOK, который поддерживает загрузку в памяти и зашифрованный C2, тогда как Earth Dahu использует цепочку атак на основе HTA для развертывания инструментов шпионажа. Обе кампании подчеркивают риски, связанные с неуправляемым программным обеспечением, и постоянную угрозу киберэксплуатации, несмотря на наличие существующих исправлений.
-----

Продолжающаяся эксплуатация уязвимости WinRAR CVE-2025-8088, исправленной в июле 2025 года, по-прежнему представляет значительную киберугрозу для украинских организаций. Уязвимость, являющаяся ошибкой обхода ограничений пути (CVSS 8.4), позволяет злоумышленникам записывать файлы за пределами каталога извлечения с использованием альтернативных потоков данных NTFS. Эта уязвимость используется различными группами, лояльными России, включая SHADOW-EARTH-066 и Earth Dahu (Gamaredon), против украинских военных и государственных структур.

SHADOW-EARTH-066, обозначенный CERT-UA как UAC-0226, перешел от более ранней тактики использования макросов Excel для первоначального доступа к эксплуатации уязвимости CVE-2025-8088. Он развертывает стиллер GIFTEDCROOK, способный собирать пароли браузеров, сеансовые куки и определенные расширения файлов перед самоуничтожением. Эволюционировавшая версия этого стиллера, известная как result.dll, демонстрирует значительные улучшения, такие как загрузка DLL в памяти и зашифрованная инфраструктура управления. ВПО, скомпилированное на C++, использует двухслойное шифрование RC4 для эксфильтрации украденных данных, что указывает на преднамеренную попытку избежать обнаружения и анализа.

В отличие от этого, Earth Dahu использует ту же уязвимость, применяя цепочку атак на основе HTA. Группа размещает вредоносные HTA-файлы или обфусцированные VBS-скрипты в папке автозагрузки, выполняя их при входе пользователя для доставки инструментов шпионажа. Этот метод демонстрирует характерный сдвиг в тактике, отражающий необходимость обеспечения оперативной безопасности по мере снижения эффективности других методов.

Обе кампании демонстрируют, как неуправляемое программное обеспечение, такое как WinRAR, может создавать уязвимости, сохраняющиеся даже после выпуска исправлений. Отсутствие централизованных механизмов обновления для таких приложений оставляет организации уязвимыми, позволяя злоумышленникам поддерживать доступ через надежную точку входа. Академический анализ указывает на историю уязвимостей в аналогичных широко используемых утилитарных приложениях, подчеркивая необходимость надежного управления программным обеспечением и соблюдения правил безопасности.

Стратегии эксплуатации, применяемые как SHADOW-EARTH-066, так и Earth Dahu, подчеркивают существенные различия в разработке и методологии: одна из них отдает предпочтение скомпилированной цепочке ВПО на C++, тогда как другая полагается на механизмы скриптования. Однако обе группы используют одну и ту же уязвимость в WinRAR, что представляет собой значительный риск для инициатив по безопасности Украины и может повлиять на страны-союзники через скомпрометированные учетные данные и данные.

Организациям рекомендуется приоритизировать установку исправлений для WinRAR, проводить тщательные поиски индикаторов компрометации и обеспечивать строгие практики управления учетными данными для снижения текущих рисков, создаваемых этими злоумышленниками.

#ParsedReport #CompletenessMedium
12-06-2026

Active Exploitation of Oracle PeopleSoft Zero-Day (CVE-2026-35273)

https://www.rapid7.com/blog/post/etr-active-exploitation-of-oracle-peoplesoft-zero-day-cve-2026-35273

Report completeness: Medium

Actors/Campaigns:
Unc6240 (motivation: information_theft, cyber_criminal)
Shinyhunters (motivation: information_theft, cyber_criminal)

Threats:
Meshcentral_tool
Meshagent_tool

Victims:
Higher education, Universities and colleges

Industry:
Education, Telco

CVEs:
CVE-2017-3548 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle peoplesoft_enterprise_peopletools (8.54, 8.55)

CVE-2013-3821 [Vulners]
CVSS V3.1: 6.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle peoplesoft_products (8.51, 8.52, 8.53)

CVE-2026-35273 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1036.005, T1071.001, T1187, T1190, T1219, T1560.001

IOCs:
Url: 1
IP: 6
Domain: 1
Hash: 5
File: 1

Soft:
Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-35273 — критическая уязвимость SSRF в Oracle PeopleSoft Enterprise PeopleTools, позволяющая Удаленное Выполнение Кода без аутентификации, затрагивающая версии 8.61 и 8.62. Финансово мотивированная хакерская группировка UNC6240 (ShinyHunters) активно эксплуатировала эту нулевую уязвимость с 27 мая по 9 июня 2026 года, нацеливаясь на конечные точки, такие как /PSEMHUB/hub, и похищая данные, опубликованные на их сайте утечек. Цепочка эксплуатации включала развертывание агентов MeshCentral для поддержания доступа и выполнения латерального перемещения, при этом исходящие подключения SMB потенциально могли раскрывать хеши NetNTLM на TCP-порту 445.
-----

CVE-2026-35273 — критическая уязвимость, выявленная в компоненте Updates Environment Management корпоративной системы Oracle PeopleSoft PeopleTools, о которой Oracle публично объявила 10 июня 2026 года. Уязвимости присвоен балл CVSSv3.1 равный 9.8, и она представляет особую опасность, так как может быть эксплуатирована удаленно без аутентификации, что позволяет выполнить Удаленное Выполнение Кода (RCE). Уязвимость классифицируется как подделка запросов на стороне сервера (SSRF) и затрагивает версии PeopleTools 8.61 и 8.62. После выявления этой уязвимости Oracle выпустила внеплановый патч в тот же день.

До публикации рекомендации Oracle активная эксплуатация этой уязвимости нулевого дня была зафиксирована Mandiant, которая отслеживала инциденты с 27 мая по 9 июня 2026 года. Эта эксплуатация была приписана хакерской группировке, мотивированной финансовой выгодой и известной как UNC6240 или ShinyHunters, которая имеет историю краж данных и взломов, нацеленных на различные сектора, особенно высшее образование, где 68 процентов скомпрометированных организаций были университетами и колледжами. Эксплуатация в основном была сосредоточена вокруг конечных точек Environment Management Hub (PSEMHUB), а данные, украденные в ходе этой кампании, были опубликованы на ShinyHunters Data Leak Site вскоре после периода эксплуатации.

Технический анализ выявил две основные конечные точки, задействованные в эксплуатации, а именно /PSEMHUB/hub и /PSIGW/HttpListeningConnector. Цепочка эксплуатации потенциально могла приводить к исходящим SMB-соединениям на TCP-порту 445, предоставляя злоумышленникам возможность перехватывать хеши NetNTLM учетных записей машин Windows. Действия после начальной компрометации обычно включали развертывание агентов удаленного управления MeshCentral, замаскированных под сервисы Microsoft Azure, что позволяло злоумышленникам сохранять контроль и выполнять такие действия, как внутренняя разведка, латеральное перемещение и эксфильтрация данных с использованием методов сжатия zstd.

Для организаций, использующих инструменты оценки уязвимостей, такие как Rapid7, аутентифицированные проверки уязвимостей, связанные с CVE-2026-35273, стали доступны вскоре после раскрытия информации об уязвимости. Кроме того, команды безопасности могут использовать ресурсы из Intelligence Hub от Rapid7, чтобы оставаться в курсе последних событий, связанных с этой уязвимостью, включая соответствующие индикаторы компрометации. Сетевые индикаторы, связанные с кампанией, включали несколько IP-адресов, а также домен управления, azurenetfiles.net, который маскировался под легитимный сервис Microsoft Azure.

#ParsedReport #CompletenessLow
12-06-2026

astro.config.mjs Supply Chain Attack via Blockchain C2

https://safedep.io/astro-config-blockchain-c2-supply-chain/

Report completeness: Low

Threats:
Supply_chain_technique
Dead_drop_technique

Victims:
Open source software projects, Software development

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1008, T1027, T1041, T1059.007, T1071.001, T1102.001, T1105, T1140, T1195.002

IOCs:
File: 8
IP: 4

Soft:
Node.js, Chrome, trongrid

Wallets:
tron, mainnet

Crypto:
aptos, binance

Algorithms:
xor

Functions:
createRequire, eval, getJson

Languages:
javascript

Platforms:
x64

Links:
https://github.com/Egonex-AI/Understand-Anything/pull/206
https://github.com/Egonex-AI/Understand-Anything/issues/432
have more...
https://github.com/AsimRaza10/Understand-Anything/blob/8d30be36d2a0e22b848322902fce4085f5b0c0e6/homepage/astro.config.mjs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака через цепочку поставок, направленная на репозиторий Egonex-AI/Understand-Anything, использовала вредоносный pull request для внедрения полезной нагрузки в файл `astro.config.mjs`, который выполняется автоматически во время разработки. Атака включает процедуру связи с жестко закодированными серверами управления, продвинутые техники обфускации для манипуляции функцией `require` и использует блокчейн для ретрансляции команд второго этапа, усложняя усилия по обнаружению и смягчению последствий. Этот инцидент демонстрирует растущую сложность тактик киберугроз, объединяющих социальную инженерию, обфускацию кода и технологию блокчейн.
-----

Недавняя атака на Цепочку поставок с использованием вредоносного pull request (PR) выявила значительные уязвимости в жизненном цикле разработки программного обеспечения, особенно в проектах с открытым исходным кодом. В данном случае атака была направлена против репозитория Egonex-AI/Understand-Anything, где полезная нагрузка была хитро встроена в файл `astro.config.mjs`. Этот файл является ключевым в фреймворке Astro, так как он выполняется как модуль Node.js для каждой операции сборки и разработки, автоматически выполняя полезную нагрузку без взаимодействия с пользователем.

Вредоносный PR, замаскированный под безобидное название и описание, содержал сфабрикованные технические изменения, скрывающие истинную природу модификаций. Полезная нагрузка запускает процедуру связи с одним из трех жестко заданных серверов управления (C2). После установления первоначального соединения она использует маркер кампании для эксфильтрации и применяет продвинутые техники для загрузки бот-клиента. Примечательно, что она использует ретранслятор команд второго этапа через публичную блокчейн-инфраструктуру, что затрудняет ограничение атаки путем простой блокировки IP-адресов, используемых серверами управления.

Специфический механизм атаки включал обфускацию потока команд, что позволяло эффективно восстанавливать функцию `require` в контексте ES-модуля без привлечения немедленного внимания при проверке кода. Это было достигнуто путем добавления в код невидимых операторов импорта. Этап B атаки дополнительно включал тщательно скоординированное взаимодействие с блокчейн-системами для получения данных транзакций, которые затем декодировались и выполняли последующие вредоносные команды.

Переход к технологии блокчейн в качестве средства ретрансляции команд имеет особое значение. Это позволяет злоумышленнику изменять полезную нагрузку путем простых обновлений данных транзакции в блокчейне, тем самым избегая традиционных методов обнаружения, ориентированных на блокировку IP-адресов или доменов. Злоумышленник может изменять команду без изменения публичного репозитория, эксплуатируя зависимость от публичных API, что усложняет попытки смягчения последствий из-за их законного использования в легитимных приложениях.

Этот инцидент выявляет тревожную тенденцию в тактике киберугроз, сочетающую социальную инженерию, обфускацию кода и технологию блокчейн для создания сложных векторов атак. Многоуровневый подход этой атаки не только позволяет обойти традиционные меры безопасности, но и подчеркивает необходимость бдительных процессов рецензирования кода и повышенного внимания к рискам в Цепочке поставок в современных практиках разработки программного обеспечения.

#ParsedReport #CompletenessHigh
12-06-2026

OceanLotus: From external espionage to domestic targeting

https://www.welivesecurity.com/en/eset-research/oceanlotus-external-espionage-domestic-targeting/

Report completeness: High

Actors/Campaigns:
Oceanlotus (motivation: cyber_espionage)

Threats:
Spectralviper
Supply_chain_technique
Dns_tunneling_technique
Soundbite
Phoreal
Cuegoe
Watering_hole_technique
Process_injection_technique

Victims:
Stock investors, Financial services, Infrastructure and transport construction, Businesses, Human rights activists, Human rights defenders, Government

Industry:
Financial, Government

Geo:
Vietnam, Singapore, Asia, Germany, Vietnamese, China

TTPs:
Tactics: 8
Technics: 16

IOCs:
Url: 2
Domain: 6
File: 11
IP: 8
Hash: 20

Soft:
Linux, Microsoft SQL server, Microsoft SQL, curl

Languages:
python

Links:
https://github.com/eset/malware-ioc/tree/master/oceanlotus

#ParsedReport #ExtractedSchema

Classified images:
code: 2, windows: 2, schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
OceanLotus (APT32) сместила фокус с внешней разведки на внутренние цели во Вьетнаме, проводя кампании с использованием своего бэкдора SPECTRALVIPER. Она скомпрометировала вьетнамскую инфраструктурную компанию и осуществила атаку через цепочку поставок на платформе FireAnt MetaKit, используя уязвимости Удаленного Выполнения Кода и внедряясь в легитимные механизмы обновлений. SPECTRALVIPER обладает возможностями бэкдора и загрузчика, взаимодействует с серверами C&C по протоколу HTTPS и может координировать операции на нескольких зараженных хостах, демонстрируя продвинутые техники, соответствующие государственным целям в условиях антикоррупционных усилий во Вьетнаме.
-----

OceanLotus, также известная как APT32, продемонстрировала заметный сдвиг в своих операционных приоритетах от внешней разведки к усилению внутреннего таргетинга, особенно во Вьетнаме, что наблюдалось в период с 2024 по 2026 год. Группа участвовала в двух конкретных кампаниях, используя свой бэкдор-ВПО SPECTRALVIPER. Одна операция включала компрометацию вьетнамской компании, занимающейся строительством инфраструктуры и транспорта, а другая была атакой через цепочку поставок, направленной на программную платформу FireAnt MetaKit, инструмент, широко используемый биржевыми инвесторами во Вьетнаме.

По сообщениям, строительная компания была взломана в период с ноября 2024 года по февраль 2026 года, вероятно, через уязвимости удаленного выполнения кода (RCE), в частности в сервере Microsoft SQL. В сети использовались различные версии SPECTRALVIPER, что демонстрирует адаптированные модификации под конкретные среды скомпрометированных хостов. Тем временем, в рамках атаки через цепочку поставок на FireAnt MetaKit, начавшейся в октябре 2025 года, злоумышленники проникли в легитимный механизм обновлений платформы для распространения вредоносных версий, которые развертывали SPECTRALVIPER.

Архитектура SPECTRALVIPER включает возможности, позволяющие ей функционировать как бэкдор и как загрузчик, что облегчает манипуляцию процессами и внедрение вредоносного кода в целевые приложения. ВПО устанавливает контакт со своими серверами управления (управление) с использованием HTTPS, встраивая ключевые данные, такие как информация о профилировании хоста и уникальный заголовок User-Agent, в HTTP-запросы. Эта коммуникационная инфраструктура, по-видимому, предназначена для избежания обнаружения в обычном сетевом трафике.

Одной из заметных особенностей SPECTRALVIPER является модель оркестрации, при которой различные экземпляры могут обмениваться данными и активировать команды через именованные каналы, что позволяет осуществлять перемещение внутри компании в скомпрометированных сетях. Этот метод подчеркивает потенциал вредоносного ПО для распределенных операций, делая его способным эффективно управлять множеством зараженных хостов.

Время и фокус этих атак коррелируют с внутренними усилиями Вьетнама по борьбе с коррупцией, что предполагает, что OceanLotus может согласовывать свои кибероперации с государственными целями по противодействию финансовым преступлениям и коррупции. Ошибка в области оперативной безопасности (OPSEC), оставившая определенные детали программирования в SPECTRALVIPER, способствовала более глубокому пониманию работы вредоносного ПО, демонстрируя, как группа использует передовые техники для достижения своих шпионских целей в условиях меняющегося политического ландшафта Вьетнама.

#ParsedReport #CompletenessHigh
10-06-2026

SilabRAT, What’s Your Power?

https://www.group-ib.com/blog/silabrat-hijackloader-trojan-malware/

Report completeness: High

Actors/Campaigns:
O1oo1 (motivation: financially_motivated, cyber_criminal)

Threats:
Silabrat
Snappyclient
Hijackloader
Hvnc_tool
Asmcrypt
Clickfix_technique
Uac_bypass_technique
Icmluautil_tool
Lockbit
Blackmatter
Credential_harvesting_technique

Victims:
Finance, Cryptocurrency

Geo:
Russian

TTPs:
Tactics: 3
Technics: 32

IOCs:
File: 1
Hash: 4
IP: 1

Soft:
Chrome, Chromium, MinHook, TightVNC, Electron

Wallets:
ledger_wallet, trezor

Algorithms:
chacha20-poly1305, base58, lzma

Win API:
NtOpenFile, ZwQueryFullAttributesFile, AmsiScanBuffer, AmsiScanString

Win Services:
GoogleChromeElevationService

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SilabRAT, Троянская программа для удалённого доступа, разработанная злоумышленником o1oo1, предназначена для получения финансовой выгоды путём кражи учётных данных и продаётся как ВПО как услуга в Darkweb. Она использует скрытый протокол удалённого рабочего стола (HVNC) для скрытого удалённого управления и применяет такие техники, как перехват сессий, клонирование профилей браузера и обход шифрования, привязанного к приложениям в Chrome, для извлечения конфиденциальных данных. Её архитектура позволяет покупателям запускать собственные серверы управления, повышая операционную безопасность, и она реализует закрепление через ключи реестра Windows Run и запланированные задачи.
-----

SilabRAT, также известный как SnappyClient, — это продвинутая Троянская программа (RAT), ориентированная в первую очередь на финансовую выгоду через кражу учетных данных. Разработанная злоумышленником, известным как o1oo1, она продавалась на форумах Darkweb как ВПО как услуга (MaaS) с конца 2025 года. SilabRAT примечателен использованием скрытого удаленного рабочего стола (HVNC), что позволяет ему сохранять возможности удаленного контроля, избегая обнаружения пользователями и системами безопасности. Методы его развертывания включают спам по электронной почте и кампании ClickFix, где социальная инженерия используется для компрометации жертв.

Возможности SilabRAT обширны. Он может выполнять перехват сессий, клонирование профилей браузера и даже обходить шифрование App-Bound Encryption (ABE) в Chrome с помощью DLL для эксплуатации системных процессов. Это позволяет вредоносному ПО извлекать сохраненные в браузере пароли и файлы cookie без обнаружения. Кроме того, он обладает функциями, адаптированными для криптографических операций, такими как идентификация адресов кошельков и попытка взлома паролей, связанных с криптокошельками. Архитектура вредоносного ПО поддерживает управление и мониторинг зараженных машин в реальном времени, позволяя операторам удаленно выполнять команды, захватывать нажатия клавиш и управлять деятельностью по краже данных.

RAT построен на модели с размещением у оператора, где покупатели настраивают и запускают собственные серверы управления (C2), не разделяя инфраструктуру с другими. Такая конфигурация обеспечивает злоумышленникам более высокий уровень операционной безопасности и контроля над своими кампаниями. Подписка на SilabRAT оценивается примерно в 5 000 долларов в месяц, и она может быть объединена с AsmCrypt, инструментом обфускации, разработанным o1oo1, что способствует повышению скрытности ВПО.

Что касается методов установки и закрепления, SilabRAT может использовать ключи автозагрузки реестра Windows и запланированные задачи для обеспечения запуска при входе пользователя в систему или в заданные интервалы времени, что гарантирует его сохранность на зараженных машинах. Вредоносное ПО также включает простые методы обхода защиты, включая вмешательство в функции Интерфейса сканирования антивирусного программного обеспечения (AMSI). Учитывая эволюционную природу вредоносного ПО, вероятно появление дополнительных функций и улучшений, при этом в планах на будущее — настраиваемая инъекция кода, нацеленная на приложения на базе Electron на платформах, связанных с криптовалютой.

#ParsedReport #CompletenessMedium
09-06-2026

From Phishing Email to Process Injection: Inside a Multi-Stage Agent Tesla Infection Chain

https://www.pointwild.com/threat-intelligence/from-phishing-email-to-process-injection-inside-a-multi-stage-agent-tesla-infection-chain/

Report completeness: Medium

Threats:
Process_injection_technique
Agent_tesla
Process_hollowing_technique
Native_loader
Credential_harvesting_technique
Credential_dumping_technique
Spear-phishing_technique
Amsi_bypass_technique
Lolbin_technique

Victims:
Windows users

Industry:
Financial

TTPs:
Tactics: 11
Technics: 26

IOCs:
File: 23
Hash: 1
Email: 2

Soft:
Chromium, Internet Explorer, Microsoft Edge, Chrome, Opera, Vivaldi, Firefox, Pale Moon, SeaMonkey, Waterfox, have more...

Algorithms:
xor, md5, base64

Functions:
FromBase64String, GetWindowText, Grab, BXX

Win API:
CreateRemoteThread, VirtualAlloc, NET, GetForegroundWindow, GetKeyboardState, OpenProcess, VirtualAllocEx, WriteProcessMemory

Languages:
javascript, python, powershell, autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье описывается сложная цепочка заражения вредоносным ПО, связанная со стиллером Agent Tesla, инициируемая фишинговым письмом с зашифрованным Batch-скриптом. Вредоносное ПО достигает компрометации системы через многоэтапное выполнение, используя команды PowerShell и загрузку в память для уклонения от обнаружения, одновременно захватывая конфиденциальные данные из веб-браузеров и системных ресурсов. Ключевые техники включают внедрение в легитимные процессы, применение мер противодействия анализу и использование безфайлового выполнения для поддержания закрепления и уклонения от традиционных средств защиты безопасности.
-----

В статье подробно рассматривается сложная цепочка заражения вредоносным ПО, связанная со стиллером Agent Tesla, которая начинается с看似 безобидного фишингового письма, содержащего сильно запутанный пакетный скрипт. Процесс заражения многоэтапный: от первоначального доступа через вредоносное вложение до полной компрометации системы, при этом используются различные техники уклонения от обнаружения.

При открытии вложения выполняется пакетный скрипт, который запускает команду PowerShell, служащую загрузчиком для скачивания дополнительных вредоносных компонентов непосредственно в память, что минимизирует риск обнаружения за счет отсутствия традиционных артефактов на диске. Включает в себя выполнение загрузчика shellcode в памяти, который декодирует и запускает другой вредоносный код, используя такие техники, как кодирование Base64 и XOR-дешифрование, чтобы скрыть его истинное назначение. ВПО закрепляется на системе жертвы, оставляя остаточные компоненты в временной директории и создавая скрипт автозагрузки, что обеспечивает продолжение выполнения даже после перезагрузки.

Значительным аспектом атаки является использование скрипта на базе AutoIt в качестве загрузчика для внедрения. Этот загрузчик внедряет полезную нагрузку Agent Tesla в легитимный процесс Windows, а именно charmap.exe, используя техники удаленного выделения памяти и создания процесса, часто связанные с Внедрением в пустой процесс. После запуска вредоносное ПО занимается масштабным похищением данных, включая захват учетных данных браузеров, нажатий клавиш и скриншотов, которые затем эксфильтруются через SMTP-коммуникацию, замаскированную под обычный почтовый трафик.

Анализ выявляет сложную структуру вредоносного ПО, предназначенную для скрытого и устойчивого функционирования. Оно выполняет отпечаток системы для сбора подробной информации о скомпрометированной машине. Специфические функции нацелены на различные веб-браузеры для извлечения учетных данных, включая как браузеры на базе Chromium, так и на базе Mozilla, а также собирает конфиденциальные данные из хранилища учетных данных Windows. Компонент кейлоггера дополнительно подчеркивает его возможности для детального мониторинга активности пользователя.

Важно отметить, что вредоносное ПО включает меры противодействия анализу, такие как проверки отладки, песочниц и виртуальных машин, что повышает его способность избегать обнаружения во время анализа. Применение нескольких уровней обфускации и опора на безфайловое выполнение свидетельствуют о современных тактиках стиллера, которые маскируют скрытые операции под легитимные системные процессы.

Стратегии обнаружения, обсуждаемые в статье, подчеркивают необходимость проактивного мониторинга шаблонов выполнения PowerShell, использования AutoIt, безопасности вложений электронной почты и выявления аномалий дочерних процессов. Этот случай подчеркивает эволюцию атак стиллеров в комплексные фреймворки выполнения, предназначенные для максимизации скрытности, закрепления и эффективности при краже учетных данных и эксфильтрации данных, что указывает на растущую сложность киберугроз.

#ParsedReport #CompletenessMedium
08-06-2026

Pythagora-io/gpt-pilot Compromised on GitHub - Shai-Hulud Credential Stealer Blocked by Python Linter

https://www.stepsecurity.io/blog/pythagora-io-gpt-pilot-compromised-on-github-shai-hulud-credential-stealer-blocked-by-python-linter

Report completeness: Medium

Actors/Campaigns:
Teampcp
Mini_shai-hulud

Threats:
Shai-hulud
Credential_stealing_technique
Supply_chain_technique

Victims:
Open source software, Software development, Artificial intelligence development

Geo:
Russian

TTPs:
Tactics: 3
Technics: 8

IOCs:
File: 1
Hash: 2

Soft:
Mistral, Kubernetes, HashiCorp Vault, Claude, Linux, macOS, Node.js

Algorithms:
base64, aes-256-gcm, sha256, md5

Functions:
run, v3MNGJU, HJgj4ju, require, rMq3gu, eval, unref, GetSecretValue

Languages:
javascript, python, typescript

Platforms:
cross-platform, arm, x64

Links:
have more...
https://github.com/Pythagora-io/gpt-pilot/issues/1182
https://github.com/step-security/harden-runner
https://github.com/Pythagora-io/gpt-pilot