#ParsedReport #CompletenessMedium
16-06-2026

Dozens of malicious wallpapers found on Steam Workshop: gamers’ accounts at risk

https://securelist.com/dozens-of-malicious-wallpapers-found-on-steam-workshop/120186/

Report completeness: Medium

Threats:
Darkcomet_rat
Lumma_stealer
Vidar_stealer
Renengine

Victims:
Gamers, Steam workshop users, Wallpaper engine users, Gaming

Industry:
Entertainment

Geo:
Russia, Germany, Vietnam, Hong kong, Singapore, India, China, Canada

ChatGPT TTPs:
do not use without manual check
T1027.013, T1036.005, T1071.001, T1078, T1204.002, T1486, T1496

IOCs:
File: 2
Url: 24
Hash: 13

Soft:
Steam, Android

Algorithms:
md5

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания, нацеленная на геймеров, особенно в Китае и России, использует приложение Wallpaper Engine для распространения вредоносных загрузок через скомпрометированные пакеты обоев. Злоумышленники эксплуатируют возможность этого программного обеспечения выполнять код, внедряя ВПО, такое как бэкдоры (например, Synaptics.exe) из семейства DarkKomet, которые захватывают и передают учетные данные Steam на свои серверы. Операция включает различные техники, включая исполняемые файлы и архивы, защищенные паролем, что указывает на сотрудничество между несколькими группами хакеров.
-----

Начиная с конца 2025 года волна ВПО распространяется через Steam Workshop, в частности, нацеленная на геймеров в Китае и России. Основной метод, используемый злоумышленниками, заключается в эксплуатации Wallpaper Engine — популярного приложения, позволяющего пользователям устанавливать анимированные обои на рабочем столе. Эта функциональность была изменена, при этом ВПО скрыто в пакетах обоев, которыми делятся пользователи. Когда люди применяют эти скомпрометированные обои, их учетные записи Steam могут быть перехвачены, а системы заражены бэкдорами или криптомайнерами.

Работа Wallpaper Engine представляет собой уязвимость безопасности из-за её способности выполнять сторонний код на машинах пользователей, что киберпреступники активно использовали для внедрения ВПО непосредственно в обои рабочего стола. Атакующие применяли различные техники для доставки ВПО. В наблюдавшихся случаях ВПО упаковывалось вместе с исполняемыми файлами или скрывалось в архивах, защищённых паролем. Жертв либо вынуждали вводить пароли, либо они извлекались автоматизированными скриптами. Вредоносная нагрузка обычно активируется сразу после того, как пользователь выбирает обои.

Анализированный вариант обоев, обнаруженный в декабре 2025 года, выглядит безобидно, но запускает серьезный процесс заражения после запуска. Пока игра на основе обоев работает как задумано, проявляется скрытая угроза: выполняется бэкдор Synaptics.exe, связанный с семейством ВПО DarkKomet. Одновременно другой исполняемый файл устанавливает модифицированную системную библиотеку AggregatorHost.dll, предназначенную для поиска и сбора учетных данных Steam с скомпрометированной системы. Эти данные затем передаются на сервер, контролируемый злоумышленниками, что дает им возможность эксплуатировать активную сессию Steam жертвы.

Масштаб кампании вызывает тревогу, поскольку злоумышленники эффективно используют функцию обоев приложения для распространения множества типов вредоносного ПО, включая инфостилеры, бэкдоры и криптомайнеры. Это указывает на коллективные усилия, в которых участвуют несколько хакерских групп, а не одна организация. Текущие расследования показывают, что основные жертвы сосредоточены в Китае, на которые приходится около 89% обнаруженных попыток загрузки вредоносных файлов, за которыми следуют меньшие показатели из России и различных других стран.

Несмотря на предпринятые командой Steam меры по удалению выявленного вредоносного контента с платформы, стремительное появление новых зараженных обоев требует от пользователей осторожности. Рекомендуется проводить антивирусные сканирования перед применением любых обоев из Steam Workshop для снижения потенциальных рисков. Текущая тенденция подчеркивает, что даже хорошо зарекомендовавшие себя платформы могут служить каналами для распространения ВПО, что требует постоянной бдительности и проактивных мер безопасности.

#ParsedReport #CompletenessMedium
17-06-2026

GitBait: Phishing the Mexican Financial Sector

https://www.group-ib.com/blog/gitbait-phishing-mexico-banking-finance/

Report completeness: Medium

Actors/Campaigns:
Gitbait (motivation: financially_motivated)

Threats:
Credential_harvesting_technique

Victims:
Financial institutions, Banking sector, Financial sector

Industry:
Financial

Geo:
Latin america, Mexico, Mexican

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1056.003, T1566.002, T1567, T1567.002, T1583.006

IOCs:
File: 3
IP: 2
Url: 5
Domain: 35

Soft:
SheetBest, Telegram, WhatsApp, iMessage

Functions:
fetch

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга «GitBait» нацелена на мексиканский финансовый сектор, используя GitHub-hosted Pages для сбора учетных записей у как минимум 12 банков в течение трех лет. Она использует модульную фишинговую инфраструктуру с обфусцированными скриптами, что позволяет осуществлять динамическую таргетинговую атаку и применять API SheetBest для централизованной эксфильтрации данных. Сложность кампании обусловлена ее последовательной HTML-структурой, захватом учетных данных в реальном времени с помощью JavaScript и возможностью избегать обнаружения за счет использования HTTPS-шифрования и множества доменов.
-----

Недавнее обнаружение фишинговой кампании, получившей название «GitBait», выявило передовую угрозу, нацеленную на мексиканский финансовый сектор, использующую GitHub-hosted Pages для организации масштабной и длительной фишинговой операции против как минимум 12 банков за последние три года. Эта модульная фишинговая инфраструктура использует обфусцированные скрипты и Бессерверная инфраструктура, централизуя эксфильтрация учетные данные через API SheetBest, что позволяет злоумышленникам собирать учетные данные пользователей без необходимости выделенных бэкенд-серверов.

Исследователи выявили сложность фишинговой операции благодаря её модульному набору инструментов, который позволяет осуществлять динамическую таргетинговую атаку на различные финансовые учреждения. Используемые фишинговые страницы разработаны для имитации легитимных банковских сайтов, предоставляя жертвам знакомый интерфейс, что повышает вероятность их взаимодействия. Эта деятельность усиливается распространением мошеннических URL-адресов через распространённые каналы, включая SMS и мессенджеры. Жертв заманивают на эти поддельные сайты для ввода конфиденциальной информации, такой как имена пользователей, пароли и данные банковских карт.

С точки зрения технической реализации кампания использует согласованную HTML-структуру для различных имитируемых брендов, в то время как её JavaScript-код перехватывает вводимые данные и отправляет их на указанный конечный пункт службы SheetBest, сохраняя похищенную информацию в таблицах Google Sheets, контролируемых злоумышленниками. Это устраняет необходимость в традиционной инфраструктуре управления и усложняет обнаружение автоматизированными системами, поскольку сетевой трафик выглядит легитимным. Кроме того, применяются альтернативные методы эксфильтрации данных, такие как отправка учетных данных в режиме реального времени в бот Телеграм.

Использование GitHub Pages представляет собой преимущество для злоумышленников; оно предлагает доверенный хостинг со встроенным шифрованием HTTPS, что снижает подозрения среди жертв и затрудняет усилия по обнаружению. Кампания оказалась устойчивой: создано несколько доменов и клонированных фишинговых страниц для обхода стратегий удаления, при этом поддерживается активное присутствие в различных репозиториях, а не опора на один домен.

#ParsedReport #CompletenessHigh
17-06-2026

FishMonger’s arsenal upgraded: SprySOCKS for Windows

https://www.welivesecurity.com/en/eset-research/fishmongers-arsenal-upgraded-sprysocks-windows/

Report completeness: High

Actors/Campaigns:
Earth_lusca (motivation: cyber_espionage)
I-soon_leak (motivation: cyber_espionage)
Winnti (motivation: cyber_espionage)

Threats:
Sprysock
Watering_hole_technique
Cobalt_strike_tool
Biopass_rat
Shadowpad
Funnyswitch_backdoor
Dll_sideloading_technique
Trochilus_rat
Redleaves
Driverloader_tool
Hideprocess_tool
Process_injection_technique

Victims:
Government organizations, Universities

Industry:
Education, Government

Geo:
China, Chinese, Taiwan, Thailand, Hong kong, Pakistan, Honduras

TTPs:
Tactics: 12
Technics: 38

IOCs:
File: 23
IP: 5
Command: 1
Path: 1
Hash: 11
Registry: 1

Soft:
Linux, Windows remote access, Windows kernel, indows kernel dr

Algorithms:
xor, aes-ecb, base64, aes, zip

Functions:
DeviceIoControl, GetErrorMessageModule, SetErrorMessageModule, CreateProcessAsUser

Win API:
CreateProcessAsUserW, NtLoadDriver, NtQuerySystemInformation, eviceIoControl fu, IoCompletionRoutine, CmRegisterCallbackEx, ControlService, KdDisableDebugger

Platforms:
cross-platform, x64

Links:
https://github.com/RamadhanAmizudin/malware/tree/master/Trochilus
have more...
https://github.com/ldcsaa/HP-Socket
https://github.com/killeven/DllToShellCode

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 2, windows: 1, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET обнаружили два не задокументированных варианта бэкдора FishMonger для Windows, идентифицированных как WIN_DRV и WIN_PLUS, которые нацелены на государственные организации в нескольких странах с 2023 по 2024 год. WIN_DRV использует драйверы ядра для сокрытия сетевой активности и коммуникаций, тогда как WIN_PLUS не имеет этой функции, что делает его менее скрытным. Оба варианта используют жёстко закодированную структуру C&C для выполнения команд и демонстрируют сходство с RAT с открытым исходным кодом, что указывает на продвинутые тактики уклонения и развивающийся ландшафт угроз.
-----

Исследователи ESET выявили две недокументированные версии бэкдора FishMonger для Windows, SprySOCKS, которая ранее была известна только в своей Linux-версии. Эти версии для Windows, обозначенные как WIN_DRV и WIN_PLUS, демонстрировали активное использование для атак на правительственные организации в Гондурасе, Тайване, Таиланде и Пакистане в период с 2023 по 2024 год. Обе версии работают с жестко заданной конфигурацией управления (C&C), которая поддерживает связь через протоколы TCP, UDP и WebSocket и может выполнять более 30 команд управления, включая управление файлами и получение системной информации.

Ключевой характеристикой варианта WIN_DRV является использование им драйверов ядра для повышения скрытности за счет сокрытия сетевых подключений, процессов и файлов. Этот вариант создает пассивный TCP-бэкдор, который осуществляет связь на случайно выбранном порту, избегая раскрытия своего порта прослушивания для сетевого мониторинга. Потенциал компонента UEFI-буткит был предположен в связи с CVE-2023-24932, что ознаменовало заметный сдвиг в тактиках атак группы.

Методы первоначального доступа для FishMonger часто включают эксплуатацию уязвимостей публичных серверов, хотя конкретные методы входа для этой кампании остаются неопределенными. Бэкдор SprySOCKS основан на открытом RAT под названием Trochilus и имеет общие черты с бэкдором RedLeaves. Эта архитектура включает общие форматы связи C&C и наборы команд между ее версиями для Linux и Windows, хотя и с улучшениями, специфичными для каждой операционной системы.

Версия WIN_DRV встраивает вредоносный бэкдор в DLL под названием PrcsServer.dll. Её рабочий процесс включает загрузчик, который выполняется в контексте легитимной службы печати, тем самым пытаясь избежать обнаружения. Эта версия использует драйвер под названием RawWNPF, способный скрывать не только сетевую активность путём перехвата системных вызовов, но и применять перенаправление TCP-пакетов для сокрытия коммуникаций. Напротив, вариант WIN_PLUS, будучи структурно схожим, не использует драйвер RawWNPF, что делает его менее эффективным в операциях по сокрытию.

Оба варианта используют структурированный подход для связи с C&C. Версия WIN_DRV может устанавливать командные сессии без необходимости обращения к заранее определённому адресу C&C, используя специально созданные данные, отправляемые на любой открытый TCP-порт на машине жертвы. Они также запрограммированы маскировать свою вредоносную активность, даже применяя пользовательские вызовы Windows API для манипуляции системными вызовами и избегания обнаружения стандартными сетевыми инструментами.

По мере того как FishMonger продолжает расширять свои возможности на различных платформах и применять всё более сложные тактики, мониторинг их активности и усиление защиты от эксплуатации публичных сервисов становится критически важным для затронутых организаций. Последствия эволюции этого бэкдора и его функциональности указывают на устойчивый ландшафт угроз, подкреплённый передовыми техниками уклонения и расширенным операционным охватом.

#ParsedReport #CompletenessHigh
15-06-2026

Operation Turb00: Analyzing and Hunting a Vidar Campaign

https://mrtiepolo.medium.com/operation-turb00-analyzing-and-hunting-a-vidar-campaign-b45481d8cd74

Report completeness: High

Actors/Campaigns:
Turb00

Threats:
Vidar_stealer
Goloader
Dead_drop_technique
Process_hacker_tool
Procmon_tool
Lolbin_technique

Victims:
Users

Geo:
Finland

TTPs:
Tactics: 4
Technics: 1

IOCs:
File: 19
Command: 5
Domain: 11
Url: 7
Path: 4
Registry: 6
IP: 6
Hash: 4

Soft:
WinHTTP, Firefox, Telegram, Steam, Windows service, Chrome, openssl, Linux

Algorithms:
fnv-1a, xor, base64, zip, sha256

Win API:
VirtualAlloc, WriteProcessMemory, LazyDLL, LazyProc, GetProcAddress, CryptUnprotectData, BitBlt, WinHttpSendRequest, CreateRemoteThread, NtCreateThreadEx, have more...

Languages:
python, golang

Platforms:
x64, amd64

YARA: Found
SIGMA: Found

Links:
https://github.com/tiepologian/signature-base/blob/main/rules/vidar\_turb00/vidar\_turb00\_hunting\_vt.yar
https://github.com/tiepologian/signature-base/blob/main/rules/vidar\_turb00/vidar\_turb00.yar
https://github.com/tiepologian/signature-base/tree/main/rules/vidar\_turb00
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя вредоносная кампания, получившая название «Operation Turb00», представляет собой многоэтапную атаку с использованием загрузчика на базе Go и стиллера Vidar, при этом первоначальное обнаружение было связано с поведением, характерным для стиллеров. Двухэтапное ВПО работает в памяти, используя пользовательский декодер строк для выполнения команд и применяя тактики уклонения. Стиллер Vidar собирает и эксфильтрует учетные данные через базы данных SQLite, использует «rundll32» для дополнительного выполнения полезной нагрузки и устанавливает постоянную Служба Windows для продолжения работы, а также опирается на согласованную инфраструктуру C2.
-----

Анализ недавней вредоносной кампании выявил многоэтапную операцию, включающую загрузчик на базе Go и стиллер Vidar, получившую название «Operation Turb00». Первоначальное обнаружение произошло благодаря предупреждению антивируса, указывающему на поведение стиллера без привязки к семейству. ВПО состоит из двухэтапной угрозы, где загрузчик расшифровывает и выполняет полезную нагрузку Vidar полностью в памяти. Проведенный детальный анализ позволил идентифицировать 55 связанных образцов и раскрыл информацию об операционной инфраструктуре вредоносного ПО.

Статический анализ подтвердил, что вредоносное ПО представляет собой исполняемый файл PE32+, написанный на языке программирования Go, с аномально высокой энтропией, указывающей на наличие упакованных компонентов. Детальный функциональный анализ выявил в загрузчике на Go пользовательский декодер строк, который динамически извлекает функции Windows API, что свидетельствует о применении изощренных техник уклонения. Данный загрузчик выдает ложные результаты для запутывания анализа, в то время как вредоносная нагрузка выполняется в памяти. Второй этап, после расшифровки, продемонстрировал типичную функциональность Vidar, включая сбор учетных записей из различных приложений и подготовку данных для эксфильтрации.

Динамический анализ подтвердил предсказанное поведение стилера Vidar. После запуска он собирал учетные данные и данные браузеров из зараженной среды, помещая эту информацию в базы данных SQLite перед ее эксфильтрацией через указанные каналы управления (управление). Примечательно, что вредоносное ПО использовало "rundll32" для запуска дополнительных полезной нагрузки, применяя техники living-off-the-land для избежания обнаружения. Кроме того, этот вариант реализовал механизмы закрепления, устанавливая замаскированную Служба Windows, которая сохраняется после последующих удалений вредоносного ПО.

В рамках кампании использовалась согласованная инфраструктура C2, в частности были выявлены домены, связанные с операцией, такие как "srv.turbo88ku.top". Анализ показал, что, несмотря на типичное для Vidar поведение, предполагающее эфемерные операции, данный вариант обеспечивал закрепление путем создания DLL в файловой системе. Расследование было расширено и включало методы кластеризации, которые выявили согласованные закономерности среди множества образцов, установив уникальные атрибуты и шаблоны загрузчика в использовании доменов и операционном поведении.

Продвинутые методы, такие как мониторинг создания поддоменов, помогли выявить предварительно подготовленную вредоносную инфраструктуру, что позволило проактивно обнаруживать операционные шаблоны этого актора. Серия выявленных данных привела к созданию нескольких правил обнаружения на основе результатов статического и динамического анализа, обеспечивая возможность идентификации новых образцов даже после того, как актор применяет иные тактики.

В заключение данное расследование продемонстрировало не только технические сложности ВПО, но и подчеркнуло важность создания повторно используемых инструментов и методологий обнаружения. Оно завершилось стратегиями для будущего мониторинга, выделив циклическую природу киберугроза как неотъемлемой части постоянных усилий по обеспечению кибербезопасности.

#ParsedReport #CompletenessLow
17-06-2026

I Accidentally Logged as Admin Into a Threat Actor Website

https://potato.id/en/posts/i-accidentally-logged-into-threat-actor-website/

Report completeness: Low

Threats:
Ngrok_tool

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.015, T1105

IOCs:
Domain: 2
Hash: 1
File: 1

Soft:
Twitter, MySQL, Docker, Firefox

Algorithms:
sha256

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование мошеннического портала загрузки программного обеспечения выявило его как платформу распространения ВПО, построенную на PHP-приложении с базой данных MySQL, которая перенаправляла посетителей на сайты загрузки вредоносного ПО. Благодаря случайному доступу к административной панели исследователь выявил серьезные недостатки безопасности, включая динамические конечные точки и слабую защиту базы данных, что подчеркивает, как простые ошибки при настройке могут приводить к уязвимостям. Результаты подчеркивают устойчивые риски, создаваемые такими недостаточно защищенными операциями по распространению вредоносного ПО в ландшафте киберугроз.
-----

Расследование подозрительного веб-сайта, изначально воспринимавшегося как портал для загрузки мошеннического программного обеспечения, выявило существенные детали о платформе распространения ВПО. Платформа представляла собой PHP-приложение с базой данных MySQL, основной целью которого было перенаправление посетителей на страницы загрузки, предоставляющие вредоносные payloads. Исследователь случайно получил доступ к административной панели этой инфраструктуры, настроив экземпляр MySQL через Docker и завершив установку приложения.

Начальный процесс установки включал создание учетной записи администратора и, в этот период, приложение настроило необходимую схему базы данных и таблицы. Однако исследователь столкнулся с проблемами подключения, что привело к остановке экземпляра MySQL. Несмотря на это, неожиданное обновление страницы привело к успешному доступу к панели управления, что указывает на уязвимости в настройках веб-сайта, позволяющие несанкционированный административный доступ.

Дальнейший анализ показал, что инфраструктура вредоносного ПО была слабо защищена. Она в значительной степени опиралась на динамические конечные точки для хранения файлов и обработки загрузок, что подвергало критические компоненты архитектуры риску. Интерфейс панели управления, изначально разработанный на русском языке, подтвердил операционные аспекты платформы, демонстрируя, как простые ошибки при развертывании могут открывать пути к административным системам для непредназначенных пользователей. Это выявило, что операции распространения вредоносного ПО часто зависели от недорогих и легко развертываемых PHP-приложений, которые, несмотря на внешнюю простоту, содержали серьезные уязвимости безопасности.

Инцидент демонстрирует хрупкость таких инфраструктур в ландшафте киберугроз, показывая, как случайный запрос мог перерасти в прямое взаимодействие с активной операцией ВПО. Хотя исследователю не удалось нейтрализовать инфраструктуру к концу расследования, этот опыт подчеркнул важность понимания тактик и техник, используемых злоумышленниками для создания и поддержания своих платформ. Непрерывная работа домена подчеркивала постоянную угрозу, исходящую от этих злоумышленников в среде киберпространства.

#ParsedReport #CompletenessHigh
17-06-2026

Ababil of Minab Exposed: LA Metro SCADA Backups and Israeli Victim Data Left Open on an Iranian Staging Server

https://hunt.io/blog/ababil-of-minab-iranian-hackers-exposed-la-metro-breach-open-directory

Report completeness: High

Actors/Campaigns:
Ababil_of_minab (motivation: information_theft)
Blackshadow

Threats:
Proxychains_tool

Victims:
La metro, South florida regional transportation authority, Unimac, Vyncs, Ruppin academic center, Bac.org.il, Adabroker.com.tr, Courier.co.il, Ifat media group, Taam tehara titan, have more...

Industry:
Aerospace, Ics, Maritime, Government, Healthcare, Foodtech, Transport

Geo:
Saudi, Los angeles, Israel, Israeli, Saudi arabia, Iranian, Middle east, San francisco, Turkish, Netherlands, Canadian, California, Turkey, United states

TTPs:
Tactics: 3
Technics: 12

IOCs:
IP: 3
Domain: 1
Url: 1
Hash: 3
File: 41
Coin: 1

Soft:
Flask, SimpleHTTP, Microsoft SQL Server, Outlook, Chrome, Telegram, OpenSSH, Linux, openssl, WordPress, have more...

Algorithms:
aes-cbc, sha256, md5, zip

Languages:
php, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ababil of Minab, проиранский злоумышленник, активен с марта 2026 года и атакует инфраструктуру США и Израиля, включая подтвержденные инциденты, такие как взлом LA County Metro. Группа использовала сложные методы эксфильтрации, включая собственный Flask-приемник, для сбора конфиденциальных данных, которые были обнаружены на открытом staging-сервере, содержащем 5 ГБ файлов от различных жертв. Анализ выявил несколько техник атаки, включая удаление данных в SQL Server и использование SCP для передачи данных, что подчеркивает уязвимости и представляет значительные риски для утечек данных.
-----

Ababil of Minab, проиранский злоумышленник, появился в марте 2026 года, нацеливаясь на различные организации в США, Израиле, Саудовской Аравии и Турции. Заметные заявления о взятии на себя ответственности включают подтвержденный взлом Метрополитенского транспортного управления округа Лос-Анджелес (LACMTA) и других значимых инфраструктурных организаций. После детального отчета Gambit Security от 26 мая 2026 года анализ выявил деструктивные действия, такие как удаление баз данных SQL Server и уничтожение резервных копий Veeam в нескольких средах жертв, хотя личности дополнительных целей не были раскрыты.

Критические находки появились, когда Hunt.io выявил основной сервер-накопитель группы, работающий на 5.255.127.55:8020. Этот сервер, размещенный в Нидерландах, был полностью открыт и содержал значительный объем конфиденциальных данных: 2 238 файлов общим объемом около 5 ГБ, которые включали данные, похищенные у подтвержденных жертв, таких как LA Metro, Ruppin Academic Center и несколько израильских организаций. Данные включали резервные копии баз данных Microsoft SQL Server, кадровые записи и конфигурации SCADA, что представляет собой значительный риск утечки данных.

Анализ сервера подтвердил наличие нескольких методов эксфильтрации, включая пользовательский приемник на базе Flask, который обеспечивал загрузку больших файлов через защищенный процесс, основанный на чанках. Этот метод демонстрировал признаки сложной обработки, при которой оператор использовал различные техники для сбора и сокрытия данных с веб-серверов жертв, применяя публичные каталоги для хранения сжатых архивов с скомпрометированных систем.

Данные LA Metro выявили обширные внутренние записи и операционные документы, в то время как другие жертвы включали турецкую брокерскую компанию по страхованию, израильскую платформу объявлений и различные базы данных, содержащие конфиденциальную личную информацию. Особенно тревожным фактом стало раскрытие учетных данных в открытом виде и конфигурационных файлов, что создало путь для потенциальной будущей эксплуатации.

Тщательный мониторинг Hunt.io позволил восстановить деятельность оператора, выявив рабочие процессы извлечения и передачи данных, часто с использованием таких устоявшихся протоколов, как SCP. Неправильная конфигурация сервера промежуточного хранения и отсутствие мер безопасности подчеркивали потенциальный вред кампании, что привело к составлению обширного списка индикаторов компрометации (IoCs), связанных с злоумышленником.

Были предложены стратегии смягчения последствий, сосредоточенные на усиленном мониторинге конечных точек на предмет подозрительной активности и защите файлов резервных копий баз данных от несанкционированного доступа. Эта кампания подчеркивает постоянную опасность, исходящую от злоумышленников, таких как Ababil of Minab, и указывает на необходимость надежных практик кибербезопасности для защиты как от кражи данных, так и от нарушения работы систем. Этот инцидент служит напоминанием о непрерывной эволюции в ландшафте киберугроз, особенно в регионах геополитической напряженности.

#ParsedReport #CompletenessLow
17-06-2026

Mastra Supply Chain Compromise: easy-day-js Dropper Pulls a Cross-Platform RAT Into @mastra Installs

https://www.upwind.io/feed/mastra-supply-chain-compromise-easy-day-js-dropper-pulls-a-cross-platform-rat-into-mastra-installs

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique

Victims:
Mastra, Developer workstations, Continuous integration environments

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1057, T1059.004, T1059.007, T1070.004, T1071.001, T1105, T1119, T1132.001, have more...

IOCs:
File: 9
IP: 2

Soft:
macOS, Linux, Chrome, Caddy

Wallets:
metamask, coinbase, keplr, tronlink

Algorithms:
ecc, base64

Win API:
Lockfile

Platforms:
cross-platform