#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Rock — индивидуальный киберпреступник, продающий фишинговый и удалённый доступный набор инструментов под названием The Quarry по модели ВПО как услуга, преимущественно используя фишинговые приманки на тему налогов для имперсонации правительственных агентств США. Его набор инструментов включает развертывание легитимных инструментов удалённого мониторинга и управления, включая ScreenConnect, вместе с продвинутыми каплями на базе Visual Basic Script и настраиваемыми фишинговыми комплектами, использующими технологию маскировки. В основном нацелен на жертв в США в различных секторах, операции Rock включают аффилированных лиц, которые проводят фишинговые кампании, эксплуатируя скомпрометированные учетные данные для установки RMM-загрузчиков, что способствует краже данных и перемещению внутри компании в организациях.
-----

Rock управляет фишинговой кампанией и набором инструментов для удаленного доступа под названием The Quarry, работая по модели Malware-as-a-Service (MaaS) и Phishing-as-a-Service (PhaaS). Операция активна как минимум с апреля 2025 года, используя фишинговые приманки на тему налогов, имитирующие государственные агентства США. Основными инструментами для развертывания полезной нагрузки являются легитимные инструменты удаленного мониторинга и управления (RMM), в частности ScreenConnect. Более 90% зафиксированных жертв базируются в США, при этом атакуются платформы SSA, IRS, Adobe, Dropbox и DocuSign.

Rock, также известный как RockyBelling или Rockky, продвигает свои услуги в Телеграм и продает доступ к своему инструментарию аффилиатам для их собственных фишинговых кампаний, что позволяет вносить значительные изменения, усложняющие атрибуцию. Инструментарий включает компоненты для всего жизненного цикла атаки, используя самохостинговый RMM и продвинутые капкалы на Visual Basic Script (VBS) для улучшения доставки и уклонения от обнаружения.

Фишинговые наборы (kits) содержат модульные страницы-приманки с интегрированными механизмами маскировки для фильтрации нетаргетного трафика и используют технологию Adspect. Такие инструменты, как Rocky Gmail Sender и Rock VPS Mailer, предназначены для массовых операций по рассылке писем и оснащены функциями антиобнаружения и рандомизации тем.

Аффилиаты собирают адреса эл. почты и рассылают фишинговые письма, маскируя вредоносную активность ссылками на легальное аппаратное обеспечение и программное обеспечение. Жертв вводят в заблуждение, заставляя скачивать программное обеспечение для налоговых целей, что приводит к установке RMM-загрузчиков, собирающих конфиденциальные данные и облегчающих перемещение внутри компании в организациях.

Профили жертв в основном сосредоточены в США, где атакуются сотрудники секторов SaaS, здравоохранения и финансов. Операция Rock включает проактивную разведку для выявления раскрытых учетных данных и подчеркивает изменяющийся ландшафт угроз, что требует бдительных мер кибербезопасности. Появление новых доменов, связанных с операциями Rock, подчеркивает необходимость постоянного мониторинга.

#ParsedReport #CompletenessMedium
14-06-2026

Supply chain ransomware: TeamPCP weaponizes worms to fuel partnerships and $95K data sales

https://flare.io/learn/resources/blog/supply-chain-ransomware-teampcp-weaponizes-worms-to-fuel-partnerships-and-95k-da

Report completeness: Medium

Actors/Campaigns:
Teampcp (motivation: financially_motivated)
Lapsus (motivation: financially_motivated)
Vect (motivation: financially_motivated)
Mini_shai-hulud

Threats:
Supply_chain_technique
Shai-hulud
Pcpjack_tool
Hackerbot-claw_tool
Miasma
Trufflehog_tool

Victims:
Software development, Open source ecosystems, Developer toolchains, Cybersecurity tools, Government, Saas, Artificial intelligence developer tools, Medical software

Industry:
Petroleum, Healthcare

Geo:
Russian, Chinese

TTPs:
Tactics: 8
Technics: 7

IOCs:
Domain: 3

Soft:
Trivy, LiteLLM, Mastodon, LimeWire, Claude, Outlook, Docker, Kubernetes, Redis, OpenVSX, have more...

Functions:
CreateEvent, DeleteEvent

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TeamPCP зарекомендовала себя как заметный злоумышленник, занимающийся атаками с использованием программ-вымогателей в Цепочке поставок, эксплуатируя неправильные настройки GitHub Actions для перехвата учетных данных разработчиков и распространения червя Shai-Hulud, заразившего более 170 пакетов в npm и PyPI. Эта автоматизированная кампания развивалась через несколько волн, используя украденные персональные токены доступа для нанесения масштабного ущерба, а также формируя партнерства с группами программ-вымогателей для монетизации своего несанкционированного доступа. Открытие исходного кода Shai-Hulud привело к росту кампаний-подражателей, что свидетельствует об усложнении ландшафта угроз.
-----

TeamPCP выделилась как заметный актор в ландшафте киберугроз, специализируясь на атаках с использованием программ-вымогателей через Цепочку поставок посредством серии автоматизированных кампаний, начавшихся в сентябре 2025 года. Группа эксплуатирует неправильные конфигурации в GitHub Actions для перехвата учетных данных разработчиков и распространения червя под названием Shai-Hulud, который способствует быстрому заражению множества пакетов программного обеспечения. Этот метод эффективно превращает скомпрометированные токены в точки массового доступа, позволяя злоумышленнику отравлять более 170 пакетов на npm и PyPI, а также проникать в репозитории GitHub, содержащие конфиденциальные данные.

Червь Shai-Hulud успешно проник в тысячи пакетов в течение трех волн, каждая из которых была более масштабной, чем предыдущая. Изначально заражение произошло через отравленный пакет от легитимного поставщика программного обеспечения. Последующие волны адаптировались к мерам защиты, внедренным после первоначальных атак. Эксплуатация определенного рабочего процесса GitHub Actions позволила извлечь персональные токены доступа, что в дальнейшем обеспечило автоматическое распространение вредоносных пакетов и позволило избежать протоколов обнаружения. Этот сложный подход демонстрирует сдвиг в динамике угроз, при котором один скомпрометированный аккаунт может привести к масштабным разрушениям в нескольких средах.

Операционная модель TeamPCP предусматривает партнерство с группами вымогателей, такими как Vect и LAPSUS$, превращая похищенный доступ в прибыльные каналы продажи данных и шантажа. Их подход эффективно объединяет роли брокера первоначального доступа и оператора вымогательского ПО, направленный на монетизацию доступа через массовую операцию, встроенную в форумы даркнета. Однако, несмотря на амбициозную структуру, имеются признаки операционных недостатков, при этом сообщения указывают на нехватку подтвержденных данных жертв, связанных с их сервисом вымогательского ПО.

Открытие исходного кода червя Shai-Hulud спровоцировало всплеск кампаний-подражателей, что указывает на потенциальную возможность более широкого круга субъектов участвовать в аналогичных атаках на Цепочку поставок. Примечательно, что уже выявляются такие варианты, как Miasma, способные использовать те же базовые технологии, одновременно расширяя свой контроль за счет латерального перемещения в различных облачных средах.

Для снижения рисков, связанных с такими атаками, эксперты по безопасности рекомендуют проводить аудит рабочих процессов GitHub Actions на наличие потенциальных уязвимостей, переносить процессы публикации пакетов на более безопасные методологии и применять более строгие меры контроля в средах разработки. Постоянная динамика в ландшафте угроз, характеризующаяся быстрой адаптацией к средствам защиты и растущей конкуренцией среди злоумышленников, подчеркивает стойкую проблему обеспечения защиты цепочек поставок программного обеспечения от сложных операций программ-вымогателей, таких как те, которые применяются TeamPCP.

#ParsedReport #CompletenessHigh
17-06-2026

140+ Mastra npm Packages Compromised in Coordinated Supply Chain Attack

https://socket.dev/blog/mastra-npm-packages-compromised

Report completeness: High

Threats:
Supply_chain_technique
Typosquatting_technique

Industry:
Transport

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 15
Email: 1
Url: 2
IP: 3
Registry: 1
Path: 1
Domain: 2
Hash: 5

Soft:
Mastra, macOS, Linux, Node.js, systemd, Chrome, Linux systemd

Wallets:
metamask, coinbase, tronlink

Crypto:
binance

Algorithms:
sha256

Win API:
lockfile

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #CompletenessMedium
16-06-2026

What Is the BabaDeda Loader? Analysis of a New ClickFix Malware Campaign

https://www.morphisec.com/blog/what-is-the-babadeda-loader-analysis-of-a-new-clickfix-malware-campaign/

Report completeness: Medium

Threats:
Babadeda
Clickfix_technique
Dll_sideloading_technique
Donut
Pe2shc
Danabot
Sectop_rat

Victims:
Education, Financial

Industry:
Education

Geo:
Russian, Belarusian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1055, T1059.001, T1105, T1106, T1140, T1204.004, T1518.001, have more...

IOCs:
File: 3

Algorithms:
xor

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Загрузчик BabaDeda эволюционировал в плане скрытности и доставки полезной нагрузки, используя методы социальной инженерии, такие как ClickFix, чтобы побудить жертв выполнять команды через доверенные утилиты. Этот многоэтапный загрузчик применяет тактики, такие как скрытые команды PowerShell, шеллкод в памяти и подгрузка DLL, что усложняет усилия по обнаружению. Активные кампании доставляют .NET бэкдор и информационный стиллер через безобидные файлы, скрытые от традиционных методов обнаружения, тем самым подчеркивая адаптивную природу и техники уклонения фреймворка.
-----

Семейство загрузчиков BabaDeda претерпело значительные улучшения в своих возможностях, особенно в области скрытности, обхода обнаружения и гибкости полезной нагрузки. Обнаруженное в апреле 2026 года, этот эволюционировавший фреймворк продолжает скрывать вредоносные полез

Исследователи Morphisec установили прямую связь между вредоносной активностью и инфраструктурой BabaDeda с помощью анализа генома кода. Загрузчик содержит отличительные идентификаторы внутри своего кода, такие как внутренний рабочий процесс обработчика задач, помеченный BABADEDA, и константа 0xBABADEDA, что подтверждает его операционный статус в активных кампаниях, а не теоретический фреймворк в контролируемой среде.

Цепочка атаки функционирует через модульные компоненты, отвечающие за доставку, выполнение и развертывание полезной нагрузки, где каждая часть сама по себе выглядит безобидно. Истинная полезная нагрузка, например, хранится в безобидных файлах, таких как List.Control.dat, тем самым скрывая свое присутствие от стандартных средств видимости. Используя такие техники, как отражательная загрузка и загрузка шеллкода, заражение не оставляет значительных следов на диске, тем самым усложняя усилия по обнаружению. Процесс начинается, когда жертвы посещают вредоносный веб-сайт и получают предложение выполнить команду PowerShell под видом проверки. Затем команда вызывает скрипт, который выполняется в памяти, обходя типичные механизмы обнаружения, и устанавливает дальнейшие действия.

После первоначального заражения загрузчик проверяет географическое местоположение жертвы и завершает работу на системах из России или Беларуси. Затем он загружает последующие компоненты через незашифрованный HTTP и внедряет их в доверенные процессы, такие как svchost.exe. Среди доставляемых компонентов — .NET бэкдор и стиллер информации, способный профилировать хост, устанавливать зашифрованный канал связи с сервером управления и собирать конфиденциальные данные, такие как куки браузера и сохраненные учетные данные. Другой путь атаки доставляет пакет, имитирующий легитимное программное обеспечение, содержащий файлы, которые в конечном итоге подгружают вредоносную DLL. Эта DLL извлекает и декодирует реальный компонент из внешнего хранилища, выполняя его в памяти с помощью легитимных функций обратного вызова Windows.

Структура данной атаки делает традиционные методы обнаружения неэффективными. Поскольку вредоносный код хранится внутри легитимных файлов и выполняется только в памяти, сканирование на основе сигнатур часто не позволяет выявить угрозы. Кроме того, обманный характер операции включает различные проверки для уклонения от анализа, что делает противостояние со стороны средств защиты, ориентированных на обнаружение, маловероятным.

Для противодействия таким адаптивным угрозам становится необходимым подход к безопасности, ориентированный на предотвращение. Morphisec подчеркивает необходимость блокировки выполнения ВПО до того, как оно произойдет, используя техники, которые скрывают среду выполнения памяти для предотвращения успешного развертывания уклоняющихся полезной нагрузки. Таким образом, обеспечение более раннего вмешательства является первостепенной задачей, поскольку ожидание обнаружения позволяет ВПО закрепиться в системе.

#ParsedReport #CompletenessLow
15-06-2026

Inside a malicious infrastructure delivering EtherRAT, phishing pages, and malicious software

https://www.malwarebytes.com/blog/threat-intel/2026/06/inside-a-malicious-infrastructure-delivering-etherrat-phishing-pages-and-malicious-software

Report completeness: Low

Threats:
Etherrat
Msi_loader

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1027.014, T1059.001, T1059.003, T1059.007, T1102.001, T1105, T1140, T1204.001, T1518, T1566.001, have more...

IOCs:
File: 13
Command: 5
Path: 3
Coin: 2
Url: 1

Soft:
Node.js, curl

Wallets:
mainnet

Crypto:
ethereum

Algorithms:
xor

Languages:
php, javascript, jscript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ выявляет вредоносную инфраструктуру, ориентированную на распространение Троянской программы EtherRAT (RAT) различными методами, включая MSI-установщики и скрипты PowerShell. EtherRAT извлекает информацию о сервере управления (C2) из блокчейна Ethereum, что позволяет злоумышленникам осуществлять контроль над зараженными устройствами. ВПО использует уникальные методы извлечения и выполнения, а также способствует формированию более широкой сети фишинга и распространения ВПО, что указывает на активную деятельность киберпреступников.
-----

Анализ выявляет вредоносную инфраструктуру, в первую очередь ориентированную на распространение Троянской программы EtherRAT (RAT) наряду с фишинговыми страницами и другим ВПО. Расследование началось с открытой директории, которая предоставляла MSI-установщики и скрипты PowerShell, способные развернуть EtherRAT, при этом версии прогрессировали от v1 до v10. Эта инфраструктура характеризуется множеством доменов, имеющих общую хакерскую эстетику, что указывает на то, что они могут формировать часть более широкой сети для распространения ВПО, включая программное обеспечение для удаленного управления и фишинговый контент.

EtherRAT сам по себе примечателен своей простотой и использованием блокчейна Ethereum для получения информации о сервере управления (C2), что повышает его устойчивость к захвату инфраструктуры. RAT, написанный на Node.js, позволяет злоумышленникам полный контроль над зараженными машинами, позволяя им выполнять произвольный код, предоставленный сервером управления. Методы распространения EtherRAT часто включают использование MSI-пакетов, скриптов PowerShell или файлов JavaScript. Примечательно, что загрузчик MSI извлекает дополнительные файлы, хранящиеся в случайной локальной директории, и использует процесс Windows conhost.exe для выполнения команд, включая загрузку Node.js, если он еще не установлен.

Финальный этап установки EtherRAT включает использование метода JSON-RPC eth_call Ethereum для получения активного URL-адреса C2 из смарт-контракта в блокчейне. После запуска EtherRAT передает свой исходный код на C2, который затем возвращает обфусцированную версию скрипта для предотвращения обнаружения при последующих выполнениях, обеспечивая уникальность хеша файла для каждого экземпляра.

Помимо загрузчиков MSI и PowerShell, вариации скриптов PowerShell демонстрируют схожее поведение, включая необходимость загрузки Node.js, создания необходимых каталогов и выполнения полезной нагрузки EtherRAT после её декодирования с помощью пользовательского алгоритма шифрования. Повторяющаяся тема в этих скриптах указывает на определенный уровень модульности среди вариантов ВПО.

Более широкая вредоносная инфраструктура демонстрирует признаки использования различными злоумышленниками, при этом многие домены, ранее обнаруженные, размещали фишинговые страницы. Фишинговые кампании часто инициируются через вредоносные электронные письма, содержащие документы, которые побуждают пользователей переходить по ссылкам для получения дополнительного контента, что приводит к дальнейшему заражению через фишинг или распространение ВПО.

Неправильные конфигурации также раскрыли элементы фишинговых наборов, используемых в этих кампаниях, что указывает на уязвимости, которые могут быть дополнительно использованы. В целом, это исследование проливает свет на сложную и динамичную угрожающую среду, где EtherRAT играет значительную роль в более широкой схеме киберпреступной деятельности.

#ParsedReport #CompletenessHigh
16-06-2026

Cato CTRL™ Threat Research: Operation Poisson – Analyzing a Cybercriminal’s Entire Operation

https://www.catonetworks.com/blog/cato-ctrl-operation-poisson-analyzing-a-cybercriminals-entire-operation/

Report completeness: High

Actors/Campaigns:
Poisson (motivation: cyber_criminal)

Threats:
Tailscale_tool
Havoc
Rustdesk_tool
Uac_bypass_technique

Victims:
Automotive, Individuals

Industry:
Transport, Telco, Government, Financial

Geo:
Berlin, French, France

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1021.004, T1027, T1041, T1053.005, T1055, T1056.001, T1059.001, T1059.005, T1059.006, have more...

IOCs:
File: 13
IP: 2
Domain: 4
Hash: 7

Soft:
OpenSSH, Linux

Algorithms:
aes, xor

Languages:
powershell, python

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Poisson включала французскоязычного киберпреступника, применявшего сложные тактики против небольшого автомобильного бизнеса, используя фреймворк C2 Havoc для выдачи 339 команд для сбора данных. Атакующий реализовал многоэтапную атаку без файлов, внедрив shellcode, и использовал Python-кейлоггер для захвата учетных данных без выделенного сервера эксфильтрации. Значительной частью операции стала установка OpenSSH и VPN Tailscale для постоянного доступа, что позволило злоумышленнику возобновить деятельность несмотря на сбои в работе сервера C2, что указывает на растущую сложность киберугроз.
-----

Poisson, киберпреступник, говорящий по-французски, атаковал небольшой автомобильный бизнес и четырех человек в ходе 33-дневной атаки с 30 марта по 1 мая 2026 года.

Атака использовала фреймворк Havoc C2 для выдачи 339 команд для компрометации данных, сфокусировавшись на учетных данных банковских и почтовых сервисов.

Первоначальный доступ осуществлялся с помощью многоэтапной атаки без файлов, при которой шеллкод внедрялся в системные процессы.

Poisson развернул 70-строчный Python-кейлоггер для перехвата нажатий клавиш без сервера эксфильтрации, извлекая данные вручную.

Он установил OpenSSH и Tailscale VPN на машину жертвы, создав постоянный доступ, который сохранялся даже при простое сервера C2 Havoc.

Это закрепление позволило Poisson возвращаться на скомпрометированные системы без повторного использования уязвимостей после того, как канал C2 отключался и затем возобновлял работу.

Наблюдались недостатки в области операционной безопасности, включая зависимость от бесплатных сервисов, таких как DuckDNS и Backblaze B2, что приводило к перебоям в пропускной способности.

Он раскрыл SSH-ключи и операционную документацию из-за плохого управления публичным хранилищем.

Тактика Пуассона была сосредоточена на краже учетных данных, а не на более широкой компрометации данных или развертывании программ-вымогателей.

Он выполнил обход контроля учётных записей (UAC) для получения административного доступа и использовал запланированные задачи для поддержания контроля.

Внесены изменения в настройки питания системы для обеспечения работы устройств в активном режиме для целей логирования, что указывает на стратегию долгосрочного доступа.

Операция подчеркивает недостаточность традиционных мер защиты, которые полагаются исключительно на отключение серверов C2.

Организациям необходимы надежные стратегии для обнаружения и удаления устойчивых механизмов доступа, установленных злоумышленниками.

Рекомендуется мониторинг несанкционированного ПО для удаленного доступа или конфигураций VPN для противодействия устойчивым угрозам.

#ParsedReport #CompletenessMedium
16-06-2026

Inside Amos Stealer: How This Threat Targets macOS Credentials and Keychains

https://www.cyberproof.com/blog/inside-amos-stealer-how-this-threat-targets-macos-credentials-and-keychains/

Report completeness: Medium

Threats:
Amos_stealer
Credential_harvesting_technique

Victims:
Macos users, Enterprises, Developers

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1030, T1041, T1059.002, T1059.004, T1070.004, T1071.001, T1074.001, T1083, T1105, have more...

IOCs:
Url: 2
File: 1

Soft:
macOS, curl, OpenSSL, Google Chrome, Microsoft Edge

Algorithms:
zip

Languages:
applescript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Amos Stealer — это стиллер информации, нацеленный на macOS, который в первую очередь сосредоточен на сборе учетных данных пользователей, данных браузеров и различных конфиденциальных файлов с помощью обманных загрузок и социальной инженерии. Он использует команду curl для скрытой доставки полезной нагрузки, выполняя скрипты, которые извлекают конфиденциальную информацию из высокоценных каталогов и Связки ключей macOS, консолидируя данные в zip-файл для эксфильтрации через HTTP PUT-запросы. Вредоносное ПО применяет техники для обхода проверки TLS и стирает следы своей активности после эксфильтрации, что указывает на значительную угрозу для пользователей macOS.
-----

Amos Stealer — вредоносное программное обеспечение, специально нацеленное на пользователей macOS для извлечения конфиденциальной информации. Обычно оно распространяется через обманные загрузки программного обеспечения, вредоносные веб-сайты и тактики социальной инженерии. Основная цель этого стиллера — сбор учетных данных пользователей, данных браузера, конфигураций криптовалютных кошельков и различных проприетарных файлов. Этот сдвиг в сторону сред macOS подчеркивает растущий тренд среди злоумышленников, сосредоточенных на кампаниях, мотивированных финансовой выгодой.

Первоначальный доступ к системам часто осуществляется с помощью команды curl, которая позволяет скрытно загружать удаленные полезную нагрузку с серверов, контролируемых злоумышленниками. Этот метод позволяет противникам выполнять скрипты оболочки или AppleScripts с минимальной заметностью. В ходе недавних расследований аномальные выполнения команды curl выявили активные заражения Amos Stealer, при этом злоумышленники специально использовали флаги -fsSL для оптимальной доставки и выполнения полезной нагрузки.

После загрузки полезной нагрузки скрипт инициализируется с использованием жестко закодированных переменных, включающих домен, ключ API и токен аутентификации. Криминалистический анализ выявил, что после выполнения команды AppleScript через оболочку zsh вредоносное ПО проводит автоматические проверки для обеспечения успешного выполнения скрипта. Если скрипт работает корректно и находит целевые файлы, он готовится к эксфильтрации данных. Этот процесс включает разделение данных на сегменты по 10 МБ для обхода потенциальных сетевых аномалий, генерацию уникальных идентификаторов сеансов для загрузки и возможность повторных попыток при сбое передачи.

Amos Stealer агрессивно нацелен на высокоценные директории с конфиденциальной информацией, в частности извлекая артефакты браузеров из таких браузеров, как Google Chrome и Microsoft Edge. Он также компрометирует macOS Связка ключей, предоставляя доступ к корпоративным учетным данным. Кроме того, он собирает конфиденциальные файлы из домашней директории пользователя, включая директории .kube, .ssh, .zshrc и .gitconfig. Собранная информация консолидируется в архив osalogging.zip в директории /tmp, а затем эксфильтруется через HTTP PUT-запрос на домен управления злоумышленника. Процесс эксфильтрации включает флаг -k для обхода проверки TLS и использует замаскированную строку User-Agent браузера для сокрытия.

После успешной отправки данных Amos Stealer пытается стереть любые следы своей активности, выполняя команды очистки на скомпрометированной системе. Это ВПО иллюстрирует изменяющийся ландшафт угроз, показывая, что macOS не застрахована от агрессивных операций по краже информации. Для снижения этих рисков команды безопасности должны внедрять продвинутые методы охоты на угрозы на основе поведения и применять строгие практики усиления защиты конечных точек.

#ParsedReport #CompletenessMedium
16-06-2026

GlassWASM: WebAssembly Malware Found in Trojanized Open VSX Extensions

https://socket.dev/blog/glasswasm-malware-open-vsx-extensions

Report completeness: Medium

Threats:
Glassworm
Dead_drop_technique
Typosquatting_technique
Supply_chain_technique

Victims:
Software developers, Cryptocurrency developers, Open vsx users, Visual studio code fork users

Industry:
Transport, E-commerce, Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.008, T1036.005, T1059.001, T1059.004, T1071.001, T1082, T1102.001, T1105, T1140, have more...

IOCs:
File: 15
Url: 7
Hash: 9
Command: 3
Coin: 1
Domain: 1
IP: 2

Soft:
Open VSX, Visual Studio Code, Node.js, pen VSX ex, url -f, inux, curl, linux, macOS, Unix, have more...

Wallets:
mainnet

Crypto:
solana

Algorithms:
sha256, exhibit, md5, sha1, chacha20

Functions:
JS, getSignaturesForAddress, getTransaction, RPC

Languages:
typescript, javascript, golang, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Обнаружение вредоносного ПО, использующего скомпилированный WebAssembly (WASM) в поддельных расширениях Visual Studio Code, вызвало обеспокоенность, особенно тех, что найдены на маркетплейсе Open VSX. ВПО, идентифицированное как snqpkebiwrxmoivl.wasm, активируется с помощью процесса загрузки и взаимодействует с блокчейном Solana для функций управления, избегая традиционных методов обнаружения благодаря зашифрованному содержимому. Связанное с группой GlassWorm, его архитектура позволяет динамические обновления и установку вторичных компонентов через кроссплатформенные команды, подчеркивая необходимость бдительности в отношении включений WASM в программные пакеты.
-----

Обнаружение скомпилированного вредоносного ПО WebAssembly (WASM) в троянизированных расширениях Visual Studio Code (VS Code) задокументировано командой Socket по исследованию угроз. Эти вредоносные расширения существуют на маркетплейсе Open VSX и используют payload WebAssembly, встроенный в загрузчик TinyGo. Вредоносное ПО, идентифицированное как snqpkebiwrxmoivl.wasm, выполняется при активации расширений через процесс загрузки, который вызывает модуль с помощью go.run(). Цель вредоносных расширений, по-видимому, сосредоточена на криптовалюте, что иллюстрируется пользовательским интерфейсом, имитирующим отладчик хешей транзакций блокчейна.

Стратегия обфускации, применяемая в ВПО, заслуживает внимания: модуль WASM шифрует все значимые строки с помощью шифра ChaCha20, что предотвращает обнаружение с помощью традиционных сигнатурных методов. Во время выполнения деобфусцированный модуль взаимодействует с блокчейном Solana, опрашивая API JSON-RPC на предмет транзакций, направленных на кошелек, контролируемый злоумышленником. Извлеченные команды, детализированные в поле SPL Memo этих транзакций, позволяют ВПО конструировать и выполнять платформозависимые команды загрузки и выполнения через утилиту child_process Node.

Атака использует сложную инфраструктуру управления (C2), применяя блокчейн Solana в качестве мёртвой точки для предотвращения изъятия или прерывания работы традиционными методами. Каждый полезный груз может быть динамически обновлён путём публикации новых транзакций в блокчейне. Ссылаясь на фиксированный адрес кошелька, вредоносное ПО получает свои операционные инструкции напрямую из блокчейна, избегая жёстко закодированных серверов управления, которые могли бы стать целью.

С точки зрения распространения, троянизированные расширения имитируют легитимные инструменты VS Code, воспроизводя точные идентификаторы издателей и элементы описания, чтобы эксплуатировать доверие, связанное с проверенными сущностями на других реестрах. Конкретные образцы, такие как ExarGD/vsblack и noellee-doc/flint-debug, были повторно опубликованы недавно созданным аккаунтом, что указывает на заранее спланированную стратегию Имперсонация.

Вредоносное ПО в основном использует кроссплатформенные команды, направленные на выполнение HTTP-запросов с помощью cURL или PowerShell в зависимости от операционной системы, для загрузки и выполнения вторичных полезной нагрузки, размещенных на динамически назначенных доменах. Архитектура вредоносного ПО подчеркивает важность тщательного анализа включений WebAssembly в пакетах npm, поскольку они представляют собой уникальные сигнатуры обхода.

Атрибуция этой вредоносной кампании, как полагают, связана с группой разработчиков GlassWorm, известной схожими техниками уклонения и использованием блокчейна Solana для целей C2. Учитывая общую инфраструктуру и методологии, включая извлечение метаданных из блокчейна и динамическую генерацию команд, этот вариант вредоносного ПО демонстрирует прогресс в тактиках обфускации по сравнению с предыдущими действиями GlassWorm. Для снижения рисков организациям рекомендуется отслеживать определенные шаблоны команд и улучшать свои возможности обнаружения угроз на основе WASM в программных пакетах, особенно тех, которые интегрируют JavaScript и WebAssembly.