#ParsedReport #CompletenessMedium
08-06-2026

Pythagora-io/gpt-pilot Compromised on GitHub - Shai-Hulud Credential Stealer Blocked by Python Linter

https://www.stepsecurity.io/blog/pythagora-io-gpt-pilot-compromised-on-github-shai-hulud-credential-stealer-blocked-by-python-linter

Report completeness: Medium

Actors/Campaigns:
Teampcp
Mini_shai-hulud

Threats:
Shai-hulud
Credential_stealing_technique
Supply_chain_technique

Victims:
Open source software, Software development, Artificial intelligence development

Geo:
Russian

TTPs:
Tactics: 3
Technics: 8

IOCs:
File: 1
Hash: 2

Soft:
Mistral, Kubernetes, HashiCorp Vault, Claude, Linux, macOS, Node.js

Algorithms:
base64, aes-256-gcm, sha256, md5

Functions:
run, v3MNGJU, HJgj4ju, require, rMq3gu, eval, unref, GetSecretValue

Languages:
javascript, python, typescript

Platforms:
cross-platform, arm, x64

Links:
have more...
https://github.com/Pythagora-io/gpt-pilot/issues/1182
https://github.com/step-security/harden-runner
https://github.com/Pythagora-io/gpt-pilot

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
8 июня 2026 года аккаунт GitHub, связанный с сооснователем открытого ИИ-инструмента Pythagora-io, был скомпрометирован, что привело к развертыванию 758-килобайтного обфусцированного варианта вредоносного ПО для кражи учетных данных на языке JavaScript, являющегося вариантом червя Shai-Hulud. Это ВПО использует сообщения коммитов GitHub в качестве скрытого канала управления, выгружая конфиденциальные учетные данные через вновь созданные репозитории, при этом применяя передовые методы обфускации, кроссплатформенные возможности и стратегии противодействия анализу. Инцидент связан с группой TeamPCP/UNC6780 и подчеркивает уязвимости в механизмах безопасности цепочки поставок программного обеспечения.
-----

8 июня 2026 года аккаунт GitHub одного из сооснователей популярного инструмента для разработчиков на базе ИИ с открытым исходным кодом Pythagora-io/gpt-pilot был скомпрометирован, что привело к принудительному обновлению (force-push) вредоносного кода, крадущего учетные данные. Этот вредоносный код представляет собой вариант червя Shai-Hulud, специально разработанный как 758-килобайтный обфусцированный JavaScript-стиллер, нацеленный на кражу конфиденциальных учетных данных, таких как ключи AWS, секреты GitHub и SSH-ключи. ВПО использует сообщения коммитов GitHub в качестве скрытого канала управления (C2), выгружая украденные данные путем создания и фиксации изменений в новых репозиториях GitHub, что затрудняет обнаружение его операций.

Атака продемонстрировала сложный метод сокрытия, поскольку злоумышленник задним числом установил дату вредоносного коммита на август 2025 года. Это было сделано для того, чтобы скрыть его присутствие в истории проекта. Примечательно, что ВПО использует систему импорта модулей Python для активации, демонстрируя кроссплатформенные возможности для Linux, macOS и Windows. Оно предотвращает дублирование выполнения через файл блокировки и подавляет вывод, что дополнительно способствует его скрытности.

Основой вредоносного ПО является полезная нагрузка _runtime.bin, которая предназначена для работы в среде выполнения Bun и использует несколько уровней обфускации для уклонения от анализа. Вредоносное ПО устанавливает новый канал C2 через API коммитов GitHub, где оно ищет определенную строку-маркер. Команды извлекаются с помощью регулярных выражений, что позволяет атакующему управлять зараженными машинами, просто создавая публичные коммиты, содержащие этот маркер, тем самым маскируя вредоносную активность под рутинные операции разработчика.

Эксфильтрация происходит преимущественно через новые репозитории GitHub с использованием украденных токенов, при этом злоумышленники имитируют обычного автора коммитов для снижения заметности, тогда как вторичный метод включает зашифрованные вызовы DNS. Закрепление достигается за счет файлов настроек для Claude Code и VS Code, которые повторно запускают ВПО во время сеансов работы с кодом. ВПО также демонстрирует продвинутые техники противодействия анализу, включая стратегии уклонения на основе локали и мониторинг новых созданных токенов.

Это событие согласуется с другими инцидентами, приписываемыми кампании Shai-Hulud, которая, как считается, связана с хакерской группировкой TeamPCP/UNC6780. Высокий уровень сложности методов, использованных в атаке, включая значительное сокрытие следов и эксплуатацию Sigstore для публикации вредоносных пакетов с вводящими в заблуждение сигналами подлинности, указывает на тщательно спланированный подход к атакам на цепочку поставок программного обеспечения. В свою очередь, это подчеркивает необходимость усиления мер безопасности, таких как защита веток в основных ветках (main branches), для предотвращения несанкционированных изменений в репозиториях. Инцидент также показывает, что традиционные инструменты контроля качества кода могут непреднамеренно обеспечивать защиту безопасности, отклоняя код, не соответствующий установленным стандартам, что указывает на наличие пробелов в механизмах защиты цепочки поставок.

#ParsedReport #CompletenessHigh
12-06-2026

The Package That Never Shipped: Following a USPS Smishing Kit Through Censys DNS Data

https://censys.com/blog/following-a-usps-smishing-kit-through-censys-dns-data/

Report completeness: High

Actors/Campaigns:
Smishing_triad (motivation: information_theft)

Threats:
Smishing_technique
Regre_ssh_ion_vuln
Lighthouse_tool

Victims:
Postal services, Package delivery, Logistics, United states citizens

Industry:
Financial

Geo:
United states, China, Singapore, Spanish, United kingdom, Chinese, Brazil, California, Asia

CVEs:
CVE-2024-6387 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sma_6200_firmware (-)


ChatGPT TTPs:
do not use without manual check
T1041, T1056.003, T1071.001, T1090, T1566.002, T1583.001, T1583.003

IOCs:
Url: 2
Domain: 4
File: 4
IP: 7
Hash: 2

Soft:
Caddy, OpenSSH, Linux

Functions:
JSONP

Win API:
LTD, ARC

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ фишинговой кампании, имитирующей USPS, выявил передовые тактики, используемые киберпреступниками, включая генерацию множества поддоменов, связанных с одним доменом, для фишинга. Злоумышленники использовали легитимную инфраструктуру, чтобы обмануть жертв и заставить их предоставить конфиденциальные данные, захватывая нажатия клавиш через соединение WebSocket для извлечения данных в реальном времени. Эта кампания приписывается более широкой экосистеме, часто связанной с контентом на китайском языке, что указывает на системную операционную модель с характерными структурными особенностями.
-----

Недавний анализ смишинговой кампании, имитирующей Почтовую службу США (USPS), выявил сложные технические методы, используемые киберпреступниками. Фишинговый набор работает через SMS-сообщения, которые заманивают жертв поддельным уведомлением о доставке посылки USPS. Злоумышленники использовали легитимные ресурсы USPS, включая HTML, CSS, изображения и теги Google Analytics, которые взаимодействуют с реальной маркетинговой инфраструктурой USPS. Такая архитектура позволяет им захватывать конфиденциальные данные в реальном времени путем открытия WebSocket-соединения обратно на их сервер, что обеспечивает мгновенную потоковую передачу нажатий клавиш с деталями кредитной карты. Кроме того, бэкенд выполняет серверную валидацию Bank Identification Number (BIN) для введенной информации о карте, оптимизируя шансы на захват действительных данных.

Фреймворк, лежащий в основе операции смишинга, включает один домен, который сгенерировал более сотни поддоменов. Пассивные данные DNS из Censys выделили структурный характер этой кампании, при этом основной хост разрешается в 682 уникальных похожих имени хоста. Каждый из этих доменов, как правило, разделяет такие характеристики, как имена файлов cookie, которые включают тему «us_post_ups», что указывает на единый операционный фреймворк за этими несколькими кампаниями. Примечательно, что это исследование также выявило параллельные кампании, нацеленные на UPS с использованием другой технологии бэкенда (Java/Spring Boot), но применяющие ту же базовую схему, демонстрируя последовательную операционную модель от одного злоумышленника.

Процесс фишинга начинается с обманной страницы проверки Cloudflare, представленной на нескольких языках для повышения доверия и вовлечения потенциальных жертв. После того как цель вводит информацию, набор сохраняет историю попыток ввода карт, чтобы побудить жертву ввести дополнительные данные карты под предлогом сообщений об отказе. Это приводит к сложному извлечению данных через постоянное соединение с сервером киберпреступника.

Атрибуция данной активности указывает на более широкую экосистему, которая часто ассоциируется с китайским языковым контентом и стилями операций в кампаниях смишинг, и имеет характеристики, типичные для того, что было названо «Smishing Triad». Хотя прямых доказательств, связывающих этот кластер с конкретными предыдущими инцидентами, нет, такие индикаторы, как двуязычные внутренние конфигурации и инфраструктура, размещенная через Tencent, свидетельствуют о хорошо налаженной и организованной реализации. Кампании демонстрируют стратегию, при которой оперативная инфраструктура быстро выводится из эксплуатации, в то время как структурные особенности, такие как номенклатура файлов cookie и пути к ресурсам, остаются неизменными, что делает их уязвимыми для защиты со стороны защитников.

В данном анализе подчеркивается необходимость улучшения защитных мер против подобных одноразовых фишинговых схем. Рекомендуется применять методы обнаружения, ориентированные на структурные элементы наборов инструментов, а не на конкретные домены или IP-адреса, поскольку эти угрозы предназначены для частого изменения. Непрерывный мониторинг истории DNS явно служит жизненно важным инструментом для отслеживания жизненного цикла таких операций, раскрывая масштаб инфраструктуры, лежащей в основе этой злонамеренной деятельности.

#ParsedReport #CompletenessMedium
10-06-2026

Device Code Lab - Infrastructure Expansion & New Capability Analysis

https://newtonpaul.com/blog/dcl-infrastructure-update/

Report completeness: Medium

Threats:
Device_code_lab_tool
Evilginx_tool
Device_code_phishing_technique
Credential_harvesting_technique

Victims:
Microsoft 365 tenants, Exchange online users, Onedrive users

Industry:
Telco

Geo:
Brazilian, London

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1069.003, T1078.004, T1087.004, T1098, T1098.002, T1114.002, T1114.003, T1136.003, T1213, T1528, have more...

IOCs:
IP: 14
Domain: 28
Url: 1
File: 4

Soft:
MSSQL, nginx, Outlook, Azure AD, Graph API, chrome, Gmail, protonmail, Microsoft Defender for Endpoint, Microsoft Exchange, have more...

Algorithms:
zip

Functions:
Set-Mailbox, Get-MessageTrace, mbBase, Set-InboxRule, Set-TransportRule

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инфраструктура Device Code Lab (DCL) способствует проведению сложных фишинговых атак, предоставляя модули инструментов, которые позволяют операторам похищать электронные письма и манипулировать скомпрометированными учетными записями. Ключевые возможности модуля почтового ящика позволяют выполнять такие операции, как поиск и управление правилами входящих сообщений, а генератор SVG-вложений может внедрять JavaScript для обхода обнаружения. Такой подход не только придает фишинговым письмам легитимность, но и поддерживает гибридные рабочие процессы атак, демонстрируя скоординированные усилия по эксплуатации уязвимостей корпоративной среды.
-----

Инфраструктура Device Code Lab (DCL) заметно расширилась, что выявило несколько открытых модулей инструментов, облегчающих различные вредоносные действия. Ключевые возможности включают модуль почтового ящика, позволяющий операторам выполнять эксфильтрацию электронных писем с использованием захваченных токенов жертв. Этот модуль напоминает Outlook Web App и поддерживает расширенные функции, такие как навигация по папкам, массовые операции, создание правил входящих сообщений и даже перечисление ролей Azure AD. Подобная глубина функциональности указывает на сложную методологию, применяемую операторами для манипуляции скомпрометированными учетными записями.

Среда DCL связана через несколько доменов с использованием общих сертификатов TLS, что указывает на централизованный подход к управлению их операциями. Постоянное обновление индикаторов компрометации (IOCs) подчеркивает изменчивый характер этой инфраструктуры по мере выявления новых уязвимостей и инструментов.

Важно отметить, что открытый пользовательский интерфейс почтового ящика по определенным путям позволяет операторам беспрепятственно взаимодействовать с электронной почтой жертв, выполняя такие действия, как поиск, составление и удаление сообщений. Кроме того, были выявлены инструменты для управления списками адресов электронной почты и их проверки на предмет использования в фишинге, что повышает эффективность их кампаний за счет обеспечения лучшей доставляемости и точности таргетинга. Инфраструктура DCL поддерживает гибридные рабочие процессы атак, использующие фишинг с кодом устройства для первоначального доступа, за которым следует рассылка фишинговых писем непосредственно с скомпрометированных учетных записей, добавляя дополнительный уровень легитимности последующим атакам.

Кроме того, генератор SVG-вложений DCL известен своей способностью обходить механизмы обнаружения Microsoft Defender for Endpoint. Этот инструмент позволяет создавать SVG-файлы, которые могут встраивать JavaScript, что позволяет злоумышленникам эксплуатировать контексты браузера, избегая при этом распространенных методов обнаружения.

Операционный ландшафт DCL также включает различные фишинговые страницы, предназначенные для сбора учетных данных по множеству тем, с использованием скомпрометированной инфраструктуры для обмана жертв. Такое разнообразие тактик и инструментов указывает на скоординированные усилия по эксплуатации уязвимостей в корпоративных средах и уклонению от обнаружения благодаря тщательному проектированию и инструментам с богатым функционалом.

#ParsedReport #CompletenessMedium
11-06-2026

Solana FakeFix: 25 Malicious npm and PyPI Packages Lure Developers With Fake Stable Builds

https://research.jfrog.com/post/solana-fakefix/

Report completeness: Medium

Actors/Campaigns:
Solana_fakefix

Threats:
Typosquatting_technique
Deno_loader

Victims:
Solana developers, Developers, Ci pipelines, Software development, Cryptocurrency

Industry:
Healthcare, Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1033, T1036, T1053.003, T1053.005, T1059.001, T1059.006, T1059.007, T1070.004, T1071.001, have more...

IOCs:
File: 24
Url: 17
IP: 1
Path: 3

Soft:
Telegram, ETHERSCAN, Unix crontab, macOS, Windows scheduled task, Windows Registry

Crypto:
solana

Algorithms:
base58

Functions:
Set-ExecutionPolicy, setTimeout, Set-ItemProperty

Languages:
javascript, typescript, python, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Solana FakeFix нацелена на разработчиков Solana посредством распространения 25 вредоносных пакетов npm и PyPI, использующих тайпсквоттинг и поддельное брендинг. Атакующие выполняют JavaScript-код во время установки npm для создания канала C2 в Телеграм, тогда как пакеты Python запускают ВПО при импорте; обе техники предназначены для кражи конфиденциальной информации, такой как ключи кошельков и учетные данные облачных сервисов. Кампания сочетает прямую эксплуатацию уязвимостей пакетов с фишинговыми тактиками, чтобы заманить жертв на раскрытие учетных данных.
-----

Кампания Solana FakeFix, выявленная исследовательской группой JFrog Security, связана с распространением 25 вредоносных пакетов npm и PyPI, нацеленных конкретно на разработчиков Solana. В рамках кампании используются тактики, такие как тайпсквоттинг, поддельное брендинг для SDK Solana и хуки выполнения жизненного цикла, что способствует краже данных. Эти пакеты призваны извлекать конфиденциальную информацию, включая ключи кошельков, учетные данные облачных сервисов, токены систем контроля версий и различные секреты среды.

Основным обманным подходом, использованным в этой кампании, была реклама этих опасных пакетов в качестве исправлений совместимости для проблем сборки Solana. Кампания осуществлялась путем спама в вопросах GitHub от имени пользователя PassWord1337, который выдавал себя за участника сообщества, эффективно нацеливаясь на разработчиков, испытывающих проблемы с зависимостями. Первый этап атаки требовал выполнения JavaScript-кода, контролируемого злоумышленником, во время установки npm-пакета. Этот исполняемый полезный код немедленно настраивал канал управления (C2) через Телеграм и инициировал поиск секретов разработчика.

Для пакетов Python вредоносное ПО активировалось в ходе стандартного процесса импорта, что подчеркивает различия в методах выполнения между npm и PyPI. Каждый тип пакетов имел общие характеристики полезной нагрузки, что указывает на скоординированные усилия по проникновению в системы. Более поздние варианты npm эволюционировали, изменив вектор атаки путем внедрения вредоносного кода в JavaScript-библиотеки Solana, имитирующие функциональность, что позволяло им действовать незамеченными при сканировании конфиденциальной информации, такой как ключевые пары Solana и учетные данные AWS.

В другом аспекте кампании загрузчик с тематикой CMS использовал пакеты npm, загруженные пользователем по имени thermonuclear. Хотя они не были напрямую связаны с Solana, эти пакеты содержали механизмы для выполнения удаленных Windows-загрузчиков с помощью сценариев PowerShell и JavaScript, выполняемых в контексте среды выполнения Deno. Эти методы включали скрытые установки, динамическое получение загрузчиков второго этапа и попытки закрепления с использованием различных функций Windows, таких как запланированные задачи и изменения реестра.

Злоумышленники также использовали концепцию ботов MEV (извлекаемая майнерами ценность) для того, чтобы заманить жертв предоставить конфиденциальные учетные данные под ложным обещанием пассивного дохода. Это представляет собой сочетание эксплуатации технических пакетов и классических тактик фишинга.

Шаги по устранению включают удаление затронутых пакетов, ротацию всех конфиденциальных учетных данных и аудит на наличие потенциальных индикаторов закрепления, которые могут позволить злоумышленникам сохранить доступ. Расследование должно сосредоточиться на признаках трафика Telegram API и других конкретных IoC, связанных с кампанией. Сложность использованных методов, переход от простых бэкдоров к сложным троянизированным библиотекам, подчеркивает быструю эволюцию и растущую сложность таких киберугроз, нацеленных на экосистемы разработчиков.

#ParsedReport #CompletenessLow
13-06-2026

152 Chrome Live Wallpaper Extensions Hid Ad Tracking and Faked Google Search Traffic

https://socket.dev/blog/152-chrome-live-wallpaper-extensions-hid-ad-tracking

Report completeness: Low

Threats:
Bumblebee

Victims:
Advertising, Ad technology, Affiliate marketing, Chrome users

Industry:
Transport, Education, Telco

Geo:
Turkey, Turkish, Tokyo, Ankara

TTPs:
Tactics: 1
Technics: 5

IOCs:
Domain: 4
File: 9
Email: 6
IP: 2
Coin: 11
BrowserExtension: 141

Soft:
Chrome, IndexedDB, Outlook, WordPress, Kitty, Minecraft

Functions:
setUninstallURL, deleteDatabase

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сеть из 152 расширений Chrome Web Store, в основном приложений с живыми обоями для нового вкладки, занимается мошеннической деятельностью, связанной с рекламой. Эти расширения были установлены примерно 105 000 раз через 38 аккаунтов издателей. Они используют техники фальсификации трафика для искажения статистики взаимодействия пользователей и сбора данных в нарушение своих политик конфиденциальности. Их инфраструктура спроектирована для уклонения от обнаружения: применяется множественная регистрация для распространения идентичного кода, что усложняет выявление и удаление, одновременно увеличивая рекламные доходы за счет мошеннической деятельности.
-----

Существует сеть из 152 расширений Chrome Web Store, в основном приложений с живыми обоями для нового вкладки, связанных с мошенничеством с рекламой.

Эти расширения распространяются через 38 аккаунтов издателей и имеют общую кодовую базу.

В совокупности эти расширения имеют около 105 000 установок.

Несмотря на заявления об отсутствии сбора данных, политика конфиденциальности допускает ведение журналов IP-адресов, данных провайдера (ISP), количества кликов и информации о рефералах для рекламных платформ, таких как Google AdSense и DoubleClick.

54 расширения используют отмывку трафика, манипулируя URL-адресами, чтобы замаскировать трафик, генерируемый расширениями, под настоящие веб-поисковые запросы.

Эта манипуляция завышает показатели вовлеченности пользователей, повышая прибыльность за счет рекламных доходов.

Служебный воркер отправляет поддельные сигналы органической атрибуции при установке и маскирует процесс удаления, чтобы отправлять ложные данные аналитики.

Установленные расширения занимаются перечислением и удалением баз данных IndexedDB, нацеливаясь только на свои незначительные базы данных.

Инфраструктура спроектирована для уклонения от обнаружения, используя несколько аккаунтов издателей для распространения идентичного кода через различные расширения.

Если один аккаунт удалён, остальные остаются незамеченными из-за этой стратегии распределения.

Монетизация за счёт рекламы опирается на увеличение трафика с этих вредоносных расширений для повышения доходов на связанных веб-сайтах.

В исследовании подчеркиваются проблемы неточного сбора пользовательских данных и атрибуции в экосистеме Chrome.

Неточные раскрытия информации о конфиденциальности нарушают политики Chrome Web Store, требующие предоставления правдивой информации.

Пользователям следует удалить расширения, связанные с доменами, такими как tabplugins.com, yowgames.com или chromewallpaper.com.

Специалистам по безопасности рекомендуется выявлять коллективные характеристики этих семейств расширений, а не фокусироваться на отдельных случаях.

#ParsedReport #CompletenessHigh
14-06-2026

Dark Web Profile: Tengu Ransomware (Shisa)

https://socradar.io/blog/dark-web-profile-tengu-ransomware-shisa/

Report completeness: High

Threats:
Tengu_ransomware
Stealtengu_tool
Stealtg_tool
Rclone_tool
Edr-killer
Salatstealer
Residential_proxy_technique
Spear-phishing_technique
Fortirdp_tool
Shadow_copies_delete_technique
Zerologon_vuln
Netexec_tool
Wevtutil_tool
Lolbin_technique
Screenconnect_tool
Credential_dumping_technique
Password_spray_technique

Victims:
Technology, Manufacturing, Construction and real estate, Automotive, Hospital sector, Agriculture and food production

Industry:
Transport, Foodtech, Entertainment

Geo:
Russia, Thailand, Africa, United states, Brazil, Middle east, Asia, Iran, India, Morocco, Japanese, Italy, Poland, Iranian, America, Indonesia, Mexico, African, Qatar, Spain

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_server_1903 (*)
- microsoft windows_server_1909 (*)
- microsoft windows_server_2004 (-)
- microsoft windows_server_2008 (r2)
- microsoft windows_server_2012 (-, r2)
have more...

TTPs:
Tactics: 13
Technics: 26

IOCs:
File: 13
Hash: 1
Email: 1
IP: 8

Soft:
Linux, ESXi, WinSCP, PixelDrain, Active Directory, Windows Defender, Windows Security Center, Windows Update service, wuauserv

Algorithms:
sha256

Win API:
README

Win Services:
wscsvc, wuauserv

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Tengu Ransomware, ребрендированный как Shisa Ransomware, работает как Программа-вымогатель как услуга (RaaS), используя тактику двойного вымогательства, которая шифрует файлы и эксфильтрует данные для оказания давления на жертв с целью получения выкупа. Группа применяет такие техники, как эксплуатация учетных данных и брутфорс-атаки, используя уязвимости, такие как ZeroLogon (CVE-2020-1472), для получения сетевого доступа. Их ВПО, эффективно шифрующее данные, избегает обнаружения путем отключения мер безопасности и маскировки своей деятельности среди легитимного трафика.
-----

Tengu Ransomware, сменивший название на Shisa Ransomware в марте 2026 года, является финансово мотивированной организацией Ransomware-as-a-Service (RaaS), впервые выявленной в конце 2025 года. Эта группа использует стратегию двойного вымогательства, похищая конфиденциальные данные и шифруя системные файлы, тем самым оказывая давление на жертв для выполнения требований выкупа. Tengu, как правило, нацелен на организации в широком географическом диапазоне, изначально сосредоточившись на Ближнем Востоке и Северной Африке, а затем расширив географию, включив жертв в Северной Америке, Европе и Азии.

Программа RaaS работает по структурированной модели, предусматривающей разделение доходов 80/20 в пользу аффилированных лиц, использование зашифрованной связи через TOX и предоставление сборок, совместимых с системами Windows, Linux и ESXi. Их ВПО функционирует с применением прерывистой техники шифрования, которая нацелена на заголовки файлов, что позволяет осуществлять быстрое шифрование больших массивов данных. Заметный инцидент включал шифрование 22,9 ТБ данных всего за 14 часов, что демонстрирует их эффективность.

Для эксфильтрации данных Tengu использует собственные инструменты, такие как StealTENGU и StealTG, а также приложения общего назначения, такие как Rclone и WinSCP. Кроме того, они используют MEGA для основного хранения и различные другие сервисы для вторичного использования. Злоумышленники спроектировали свой операционный фреймворк для поддержания низкой заметности, используя распространенные инструменты и методы для имитации легитимной деятельности, тем самым усложняя усилия по обнаружению.

Методы первоначального доступа Tengu в значительной степени сосредоточены на эксплуатации учетных данных, проведении брутфорс-атак против слабо защищенных интерфейсов RDP и SMB, а также на кампаниях Целевой фишинг. Они также используют известные уязвимости, такие как ZeroLogon (CVE-2020-1472), для повышения привилегий. После этого они осуществляют перемещение внутри компании в скомпрометированных сетях с использованием таких инструментов, как NetExec через SMB и RDP, маскируя свою деятельность под нормальный административный трафик.

Важным аспектом методологии Tengu являются тактики обхода защиты, при которых они отключают средства безопасности, такие как Windows Defender, и очищают журналы событий, чтобы избежать обнаружения перед выполнением своего шифровальщика. Эта стратегия обеспечивает эксфильтрацию данных без обнаружения перед началом полного шифрования системы, при этом затронутые файлы помечаются расширением .tengu.

Для снижения угроз со стороны Tengu Ransomware организациям рекомендуется внедрять многофакторную аутентификацию для служб удаленного доступа, устранять известные уязвимости и усиливать мониторинг подозрительных попыток аутентификации. Командам безопасности также следует отслеживать инфраструктуру, связанную с Tengu, и общие индикаторы в базах данных разведки угроз, настраивая оповещения о необычных шаблонах использования инструментов, указывающих на активность программ-вымогателей. Сосредоточив внимание на этих направлениях, организации могут эффективнее защищаться от этой новой угрозы.

#ParsedReport #CompletenessLow
12-06-2026

Fake verification pages are stealing Steam accounts from players

https://www.malwarebytes.com/blog/threat-intel/2026/06/fake-verification-pages-are-stealing-steam-accounts-from-players

Report completeness: Low

Threats:
Bitm_technique

Victims:
Online gamers, Faceit players, Steam users

Industry:
E-commerce, Entertainment

ChatGPT TTPs:
do not use without manual check
T1036, T1056.003

IOCs:
Domain: 3

Soft:
Steam, Discord