#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга «GitBait» нацелена на мексиканский финансовый сектор, используя GitHub-hosted Pages для сбора учетных записей у как минимум 12 банков в течение трех лет. Она использует модульную фишинговую инфраструктуру с обфусцированными скриптами, что позволяет осуществлять динамическую таргетинговую атаку и применять API SheetBest для централизованной эксфильтрации данных. Сложность кампании обусловлена ее последовательной HTML-структурой, захватом учетных данных в реальном времени с помощью JavaScript и возможностью избегать обнаружения за счет использования HTTPS-шифрования и множества доменов.
-----

Недавнее обнаружение фишинговой кампании, получившей название «GitBait», выявило передовую угрозу, нацеленную на мексиканский финансовый сектор, использующую GitHub-hosted Pages для организации масштабной и длительной фишинговой операции против как минимум 12 банков за последние три года. Эта модульная фишинговая инфраструктура использует обфусцированные скрипты и Бессерверная инфраструктура, централизуя эксфильтрация учетные данные через API SheetBest, что позволяет злоумышленникам собирать учетные данные пользователей без необходимости выделенных бэкенд-серверов.

Исследователи выявили сложность фишинговой операции благодаря её модульному набору инструментов, который позволяет осуществлять динамическую таргетинговую атаку на различные финансовые учреждения. Используемые фишинговые страницы разработаны для имитации легитимных банковских сайтов, предоставляя жертвам знакомый интерфейс, что повышает вероятность их взаимодействия. Эта деятельность усиливается распространением мошеннических URL-адресов через распространённые каналы, включая SMS и мессенджеры. Жертв заманивают на эти поддельные сайты для ввода конфиденциальной информации, такой как имена пользователей, пароли и данные банковских карт.

С точки зрения технической реализации кампания использует согласованную HTML-структуру для различных имитируемых брендов, в то время как её JavaScript-код перехватывает вводимые данные и отправляет их на указанный конечный пункт службы SheetBest, сохраняя похищенную информацию в таблицах Google Sheets, контролируемых злоумышленниками. Это устраняет необходимость в традиционной инфраструктуре управления и усложняет обнаружение автоматизированными системами, поскольку сетевой трафик выглядит легитимным. Кроме того, применяются альтернативные методы эксфильтрации данных, такие как отправка учетных данных в режиме реального времени в бот Телеграм.

Использование GitHub Pages представляет собой преимущество для злоумышленников; оно предлагает доверенный хостинг со встроенным шифрованием HTTPS, что снижает подозрения среди жертв и затрудняет усилия по обнаружению. Кампания оказалась устойчивой: создано несколько доменов и клонированных фишинговых страниц для обхода стратегий удаления, при этом поддерживается активное присутствие в различных репозиториях, а не опора на один домен.

#ParsedReport #CompletenessHigh
17-06-2026

FishMonger’s arsenal upgraded: SprySOCKS for Windows

https://www.welivesecurity.com/en/eset-research/fishmongers-arsenal-upgraded-sprysocks-windows/

Report completeness: High

Actors/Campaigns:
Earth_lusca (motivation: cyber_espionage)
I-soon_leak (motivation: cyber_espionage)
Winnti (motivation: cyber_espionage)

Threats:
Sprysock
Watering_hole_technique
Cobalt_strike_tool
Biopass_rat
Shadowpad
Funnyswitch_backdoor
Dll_sideloading_technique
Trochilus_rat
Redleaves
Driverloader_tool
Hideprocess_tool
Process_injection_technique

Victims:
Government organizations, Universities

Industry:
Education, Government

Geo:
China, Chinese, Taiwan, Thailand, Hong kong, Pakistan, Honduras

TTPs:
Tactics: 12
Technics: 38

IOCs:
File: 23
IP: 5
Command: 1
Path: 1
Hash: 11
Registry: 1

Soft:
Linux, Windows remote access, Windows kernel, indows kernel dr

Algorithms:
xor, aes-ecb, base64, aes, zip

Functions:
DeviceIoControl, GetErrorMessageModule, SetErrorMessageModule, CreateProcessAsUser

Win API:
CreateProcessAsUserW, NtLoadDriver, NtQuerySystemInformation, eviceIoControl fu, IoCompletionRoutine, CmRegisterCallbackEx, ControlService, KdDisableDebugger

Platforms:
cross-platform, x64

Links:
https://github.com/RamadhanAmizudin/malware/tree/master/Trochilus
have more...
https://github.com/ldcsaa/HP-Socket
https://github.com/killeven/DllToShellCode

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 2, windows: 1, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET обнаружили два не задокументированных варианта бэкдора FishMonger для Windows, идентифицированных как WIN_DRV и WIN_PLUS, которые нацелены на государственные организации в нескольких странах с 2023 по 2024 год. WIN_DRV использует драйверы ядра для сокрытия сетевой активности и коммуникаций, тогда как WIN_PLUS не имеет этой функции, что делает его менее скрытным. Оба варианта используют жёстко закодированную структуру C&C для выполнения команд и демонстрируют сходство с RAT с открытым исходным кодом, что указывает на продвинутые тактики уклонения и развивающийся ландшафт угроз.
-----

Исследователи ESET выявили две недокументированные версии бэкдора FishMonger для Windows, SprySOCKS, которая ранее была известна только в своей Linux-версии. Эти версии для Windows, обозначенные как WIN_DRV и WIN_PLUS, демонстрировали активное использование для атак на правительственные организации в Гондурасе, Тайване, Таиланде и Пакистане в период с 2023 по 2024 год. Обе версии работают с жестко заданной конфигурацией управления (C&C), которая поддерживает связь через протоколы TCP, UDP и WebSocket и может выполнять более 30 команд управления, включая управление файлами и получение системной информации.

Ключевой характеристикой варианта WIN_DRV является использование им драйверов ядра для повышения скрытности за счет сокрытия сетевых подключений, процессов и файлов. Этот вариант создает пассивный TCP-бэкдор, который осуществляет связь на случайно выбранном порту, избегая раскрытия своего порта прослушивания для сетевого мониторинга. Потенциал компонента UEFI-буткит был предположен в связи с CVE-2023-24932, что ознаменовало заметный сдвиг в тактиках атак группы.

Методы первоначального доступа для FishMonger часто включают эксплуатацию уязвимостей публичных серверов, хотя конкретные методы входа для этой кампании остаются неопределенными. Бэкдор SprySOCKS основан на открытом RAT под названием Trochilus и имеет общие черты с бэкдором RedLeaves. Эта архитектура включает общие форматы связи C&C и наборы команд между ее версиями для Linux и Windows, хотя и с улучшениями, специфичными для каждой операционной системы.

Версия WIN_DRV встраивает вредоносный бэкдор в DLL под названием PrcsServer.dll. Её рабочий процесс включает загрузчик, который выполняется в контексте легитимной службы печати, тем самым пытаясь избежать обнаружения. Эта версия использует драйвер под названием RawWNPF, способный скрывать не только сетевую активность путём перехвата системных вызовов, но и применять перенаправление TCP-пакетов для сокрытия коммуникаций. Напротив, вариант WIN_PLUS, будучи структурно схожим, не использует драйвер RawWNPF, что делает его менее эффективным в операциях по сокрытию.

Оба варианта используют структурированный подход для связи с C&C. Версия WIN_DRV может устанавливать командные сессии без необходимости обращения к заранее определённому адресу C&C, используя специально созданные данные, отправляемые на любой открытый TCP-порт на машине жертвы. Они также запрограммированы маскировать свою вредоносную активность, даже применяя пользовательские вызовы Windows API для манипуляции системными вызовами и избегания обнаружения стандартными сетевыми инструментами.

По мере того как FishMonger продолжает расширять свои возможности на различных платформах и применять всё более сложные тактики, мониторинг их активности и усиление защиты от эксплуатации публичных сервисов становится критически важным для затронутых организаций. Последствия эволюции этого бэкдора и его функциональности указывают на устойчивый ландшафт угроз, подкреплённый передовыми техниками уклонения и расширенным операционным охватом.

#ParsedReport #CompletenessHigh
15-06-2026

Operation Turb00: Analyzing and Hunting a Vidar Campaign

https://mrtiepolo.medium.com/operation-turb00-analyzing-and-hunting-a-vidar-campaign-b45481d8cd74

Report completeness: High

Actors/Campaigns:
Turb00

Threats:
Vidar_stealer
Goloader
Dead_drop_technique
Process_hacker_tool
Procmon_tool
Lolbin_technique

Victims:
Users

Geo:
Finland

TTPs:
Tactics: 4
Technics: 1

IOCs:
File: 19
Command: 5
Domain: 11
Url: 7
Path: 4
Registry: 6
IP: 6
Hash: 4

Soft:
WinHTTP, Firefox, Telegram, Steam, Windows service, Chrome, openssl, Linux

Algorithms:
fnv-1a, xor, base64, zip, sha256

Win API:
VirtualAlloc, WriteProcessMemory, LazyDLL, LazyProc, GetProcAddress, CryptUnprotectData, BitBlt, WinHttpSendRequest, CreateRemoteThread, NtCreateThreadEx, have more...

Languages:
python, golang

Platforms:
x64, amd64

YARA: Found
SIGMA: Found

Links:
https://github.com/tiepologian/signature-base/blob/main/rules/vidar\_turb00/vidar\_turb00\_hunting\_vt.yar
https://github.com/tiepologian/signature-base/blob/main/rules/vidar\_turb00/vidar\_turb00.yar
https://github.com/tiepologian/signature-base/tree/main/rules/vidar\_turb00
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя вредоносная кампания, получившая название «Operation Turb00», представляет собой многоэтапную атаку с использованием загрузчика на базе Go и стиллера Vidar, при этом первоначальное обнаружение было связано с поведением, характерным для стиллеров. Двухэтапное ВПО работает в памяти, используя пользовательский декодер строк для выполнения команд и применяя тактики уклонения. Стиллер Vidar собирает и эксфильтрует учетные данные через базы данных SQLite, использует «rundll32» для дополнительного выполнения полезной нагрузки и устанавливает постоянную Служба Windows для продолжения работы, а также опирается на согласованную инфраструктуру C2.
-----

Анализ недавней вредоносной кампании выявил многоэтапную операцию, включающую загрузчик на базе Go и стиллер Vidar, получившую название «Operation Turb00». Первоначальное обнаружение произошло благодаря предупреждению антивируса, указывающему на поведение стиллера без привязки к семейству. ВПО состоит из двухэтапной угрозы, где загрузчик расшифровывает и выполняет полезную нагрузку Vidar полностью в памяти. Проведенный детальный анализ позволил идентифицировать 55 связанных образцов и раскрыл информацию об операционной инфраструктуре вредоносного ПО.

Статический анализ подтвердил, что вредоносное ПО представляет собой исполняемый файл PE32+, написанный на языке программирования Go, с аномально высокой энтропией, указывающей на наличие упакованных компонентов. Детальный функциональный анализ выявил в загрузчике на Go пользовательский декодер строк, который динамически извлекает функции Windows API, что свидетельствует о применении изощренных техник уклонения. Данный загрузчик выдает ложные результаты для запутывания анализа, в то время как вредоносная нагрузка выполняется в памяти. Второй этап, после расшифровки, продемонстрировал типичную функциональность Vidar, включая сбор учетных записей из различных приложений и подготовку данных для эксфильтрации.

Динамический анализ подтвердил предсказанное поведение стилера Vidar. После запуска он собирал учетные данные и данные браузеров из зараженной среды, помещая эту информацию в базы данных SQLite перед ее эксфильтрацией через указанные каналы управления (управление). Примечательно, что вредоносное ПО использовало "rundll32" для запуска дополнительных полезной нагрузки, применяя техники living-off-the-land для избежания обнаружения. Кроме того, этот вариант реализовал механизмы закрепления, устанавливая замаскированную Служба Windows, которая сохраняется после последующих удалений вредоносного ПО.

В рамках кампании использовалась согласованная инфраструктура C2, в частности были выявлены домены, связанные с операцией, такие как "srv.turbo88ku.top". Анализ показал, что, несмотря на типичное для Vidar поведение, предполагающее эфемерные операции, данный вариант обеспечивал закрепление путем создания DLL в файловой системе. Расследование было расширено и включало методы кластеризации, которые выявили согласованные закономерности среди множества образцов, установив уникальные атрибуты и шаблоны загрузчика в использовании доменов и операционном поведении.

Продвинутые методы, такие как мониторинг создания поддоменов, помогли выявить предварительно подготовленную вредоносную инфраструктуру, что позволило проактивно обнаруживать операционные шаблоны этого актора. Серия выявленных данных привела к созданию нескольких правил обнаружения на основе результатов статического и динамического анализа, обеспечивая возможность идентификации новых образцов даже после того, как актор применяет иные тактики.

В заключение данное расследование продемонстрировало не только технические сложности ВПО, но и подчеркнуло важность создания повторно используемых инструментов и методологий обнаружения. Оно завершилось стратегиями для будущего мониторинга, выделив циклическую природу киберугроза как неотъемлемой части постоянных усилий по обеспечению кибербезопасности.

#ParsedReport #CompletenessLow
17-06-2026

I Accidentally Logged as Admin Into a Threat Actor Website

https://potato.id/en/posts/i-accidentally-logged-into-threat-actor-website/

Report completeness: Low

Threats:
Ngrok_tool

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.015, T1105

IOCs:
Domain: 2
Hash: 1
File: 1

Soft:
Twitter, MySQL, Docker, Firefox

Algorithms:
sha256

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование мошеннического портала загрузки программного обеспечения выявило его как платформу распространения ВПО, построенную на PHP-приложении с базой данных MySQL, которая перенаправляла посетителей на сайты загрузки вредоносного ПО. Благодаря случайному доступу к административной панели исследователь выявил серьезные недостатки безопасности, включая динамические конечные точки и слабую защиту базы данных, что подчеркивает, как простые ошибки при настройке могут приводить к уязвимостям. Результаты подчеркивают устойчивые риски, создаваемые такими недостаточно защищенными операциями по распространению вредоносного ПО в ландшафте киберугроз.
-----

Расследование подозрительного веб-сайта, изначально воспринимавшегося как портал для загрузки мошеннического программного обеспечения, выявило существенные детали о платформе распространения ВПО. Платформа представляла собой PHP-приложение с базой данных MySQL, основной целью которого было перенаправление посетителей на страницы загрузки, предоставляющие вредоносные payloads. Исследователь случайно получил доступ к административной панели этой инфраструктуры, настроив экземпляр MySQL через Docker и завершив установку приложения.

Начальный процесс установки включал создание учетной записи администратора и, в этот период, приложение настроило необходимую схему базы данных и таблицы. Однако исследователь столкнулся с проблемами подключения, что привело к остановке экземпляра MySQL. Несмотря на это, неожиданное обновление страницы привело к успешному доступу к панели управления, что указывает на уязвимости в настройках веб-сайта, позволяющие несанкционированный административный доступ.

Дальнейший анализ показал, что инфраструктура вредоносного ПО была слабо защищена. Она в значительной степени опиралась на динамические конечные точки для хранения файлов и обработки загрузок, что подвергало критические компоненты архитектуры риску. Интерфейс панели управления, изначально разработанный на русском языке, подтвердил операционные аспекты платформы, демонстрируя, как простые ошибки при развертывании могут открывать пути к административным системам для непредназначенных пользователей. Это выявило, что операции распространения вредоносного ПО часто зависели от недорогих и легко развертываемых PHP-приложений, которые, несмотря на внешнюю простоту, содержали серьезные уязвимости безопасности.

Инцидент демонстрирует хрупкость таких инфраструктур в ландшафте киберугроз, показывая, как случайный запрос мог перерасти в прямое взаимодействие с активной операцией ВПО. Хотя исследователю не удалось нейтрализовать инфраструктуру к концу расследования, этот опыт подчеркнул важность понимания тактик и техник, используемых злоумышленниками для создания и поддержания своих платформ. Непрерывная работа домена подчеркивала постоянную угрозу, исходящую от этих злоумышленников в среде киберпространства.

#ParsedReport #CompletenessHigh
17-06-2026

Ababil of Minab Exposed: LA Metro SCADA Backups and Israeli Victim Data Left Open on an Iranian Staging Server

https://hunt.io/blog/ababil-of-minab-iranian-hackers-exposed-la-metro-breach-open-directory

Report completeness: High

Actors/Campaigns:
Ababil_of_minab (motivation: information_theft)
Blackshadow

Threats:
Proxychains_tool

Victims:
La metro, South florida regional transportation authority, Unimac, Vyncs, Ruppin academic center, Bac.org.il, Adabroker.com.tr, Courier.co.il, Ifat media group, Taam tehara titan, have more...

Industry:
Aerospace, Ics, Maritime, Government, Healthcare, Foodtech, Transport

Geo:
Saudi, Los angeles, Israel, Israeli, Saudi arabia, Iranian, Middle east, San francisco, Turkish, Netherlands, Canadian, California, Turkey, United states

TTPs:
Tactics: 3
Technics: 12

IOCs:
IP: 3
Domain: 1
Url: 1
Hash: 3
File: 41
Coin: 1

Soft:
Flask, SimpleHTTP, Microsoft SQL Server, Outlook, Chrome, Telegram, OpenSSH, Linux, openssl, WordPress, have more...

Algorithms:
aes-cbc, sha256, md5, zip

Languages:
php, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ababil of Minab, проиранский злоумышленник, активен с марта 2026 года и атакует инфраструктуру США и Израиля, включая подтвержденные инциденты, такие как взлом LA County Metro. Группа использовала сложные методы эксфильтрации, включая собственный Flask-приемник, для сбора конфиденциальных данных, которые были обнаружены на открытом staging-сервере, содержащем 5 ГБ файлов от различных жертв. Анализ выявил несколько техник атаки, включая удаление данных в SQL Server и использование SCP для передачи данных, что подчеркивает уязвимости и представляет значительные риски для утечек данных.
-----

Ababil of Minab, проиранский злоумышленник, появился в марте 2026 года, нацеливаясь на различные организации в США, Израиле, Саудовской Аравии и Турции. Заметные заявления о взятии на себя ответственности включают подтвержденный взлом Метрополитенского транспортного управления округа Лос-Анджелес (LACMTA) и других значимых инфраструктурных организаций. После детального отчета Gambit Security от 26 мая 2026 года анализ выявил деструктивные действия, такие как удаление баз данных SQL Server и уничтожение резервных копий Veeam в нескольких средах жертв, хотя личности дополнительных целей не были раскрыты.

Критические находки появились, когда Hunt.io выявил основной сервер-накопитель группы, работающий на 5.255.127.55:8020. Этот сервер, размещенный в Нидерландах, был полностью открыт и содержал значительный объем конфиденциальных данных: 2 238 файлов общим объемом около 5 ГБ, которые включали данные, похищенные у подтвержденных жертв, таких как LA Metro, Ruppin Academic Center и несколько израильских организаций. Данные включали резервные копии баз данных Microsoft SQL Server, кадровые записи и конфигурации SCADA, что представляет собой значительный риск утечки данных.

Анализ сервера подтвердил наличие нескольких методов эксфильтрации, включая пользовательский приемник на базе Flask, который обеспечивал загрузку больших файлов через защищенный процесс, основанный на чанках. Этот метод демонстрировал признаки сложной обработки, при которой оператор использовал различные техники для сбора и сокрытия данных с веб-серверов жертв, применяя публичные каталоги для хранения сжатых архивов с скомпрометированных систем.

Данные LA Metro выявили обширные внутренние записи и операционные документы, в то время как другие жертвы включали турецкую брокерскую компанию по страхованию, израильскую платформу объявлений и различные базы данных, содержащие конфиденциальную личную информацию. Особенно тревожным фактом стало раскрытие учетных данных в открытом виде и конфигурационных файлов, что создало путь для потенциальной будущей эксплуатации.

Тщательный мониторинг Hunt.io позволил восстановить деятельность оператора, выявив рабочие процессы извлечения и передачи данных, часто с использованием таких устоявшихся протоколов, как SCP. Неправильная конфигурация сервера промежуточного хранения и отсутствие мер безопасности подчеркивали потенциальный вред кампании, что привело к составлению обширного списка индикаторов компрометации (IoCs), связанных с злоумышленником.

Были предложены стратегии смягчения последствий, сосредоточенные на усиленном мониторинге конечных точек на предмет подозрительной активности и защите файлов резервных копий баз данных от несанкционированного доступа. Эта кампания подчеркивает постоянную опасность, исходящую от злоумышленников, таких как Ababil of Minab, и указывает на необходимость надежных практик кибербезопасности для защиты как от кражи данных, так и от нарушения работы систем. Этот инцидент служит напоминанием о непрерывной эволюции в ландшафте киберугроз, особенно в регионах геополитической напряженности.

#ParsedReport #CompletenessLow
17-06-2026

Mastra Supply Chain Compromise: easy-day-js Dropper Pulls a Cross-Platform RAT Into @mastra Installs

https://www.upwind.io/feed/mastra-supply-chain-compromise-easy-day-js-dropper-pulls-a-cross-platform-rat-into-mastra-installs

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique

Victims:
Mastra, Developer workstations, Continuous integration environments

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1057, T1059.004, T1059.007, T1070.004, T1071.001, T1105, T1119, T1132.001, have more...

IOCs:
File: 9
IP: 2

Soft:
macOS, Linux, Chrome, Caddy

Wallets:
metamask, coinbase, keplr, tronlink

Algorithms:
ecc, base64

Win API:
Lockfile

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
17 июня 2026 года атака через Цепочку поставок была направлена на организацию @mastra/* в npm с внедрением вредоносного пакета easy-day-js@1.11.22, который функционировал как загрузчик для кроссплатформенной Троянской программы (RAT). Атака началась с версии библиотеки, использующей метод typosquatting, что позволило вредоносному пакету оставаться незамеченным в течение 18 часов, прежде чем он выполнил скрипт, обходящий SSL-сертификаты для загрузки RAT. Эта Троянская программа проводила разведку на зараженных системах, собирая конфиденциальную информацию, связанную с криптовалютами, и пересылая ее на удаленный сервер.
-----

17 июня 2026 года была осуществлена масштабная атака на цепочку поставок, в результате которой была скомпрометирована организация @mastra/* в npm путем внедрения вредоносного пакета easy-day-js@1.11.22. Этот пакет функционировал как загрузчик, который при установке запускал скрипт postinstall, приводящий к загрузке и установке кроссплатформенной Троянской программы удаленного доступа (RAT). Данная Троянская программа установила постоянные бэкдоры на системах macOS, Linux и Windows.

Атака произошла вскоре после публикации версии библиотеки dayjs с опечаткой в названии (typosquatted). Изначальный вредоносный пакет easy-day-js@1.11.21 имитировал dayjs, не содержа вредоносного кода, что позволило ему избежать обнаружения примерно в течение 18 часов. Вторая версия внедрила механизм дроппера; в частности, скрипт setup.cjs выполнялся при установке, инициируя различные вредоносные действия. Дроппер модифицировал среду Node.js для обхода проверки SSL-сертификатов и загрузил дополнительную полезную нагрузку с указанного сервера управления (C2).

После выполнения второй стадии полезной нагрузки, 41 КБ зашифрованного RAT, выполнил разведку на хост-системе, собирая информацию об установленных приложениях, запущенных процессах и потенциально прибыльных идентификаторах расширений браузера, связанных с криптокошельками. Эти данные были эксфильтрованы обратно на сервер C2 способом, разработанным для обхода обнаружения традиционными межсетевыми экранами веб-приложений (WAF).

Для тех систем, которые потенциально могли быть скомпрометированы, были описаны несколько индикаторов для проверки заражения. Это включает поиск ссылок на easy-day-js в lock-файлах, мониторинг специфических маркеров временных директорий, а также проверку механизмов закрепления во всех трех операционных системах, вместе с запросами на сетевую активность, связанную с C2-серверами.

Шаги по устранению уязвимости подчеркивают срочные действия, такие как фиксация затронутых пакетов на их предыдущих безопасных версиях, блокировка вредоносного пакета и рассмотрение любой среды разработки, которая выполнила скомпрометированные пакеты, как потенциально нарушенной. Организациям также рекомендуется ротировать учетные данные, которые могли быть раскрыты, особенно поскольку внедренный код использовал среду оболочки по умолчанию для доступа к чувствительным токенам.

В заключение, устранение последствий этой атаки на цепочку поставок требует немедленного обнаружения, изоляции и внедрения строгих мер сетевой безопасности для предотвращения дальнейших контактов с инфраструктурой выявленных злоумышленников.

#ParsedReport #CompletenessMedium
17-06-2026

Anatomy of a Deno-Based Proxy & RAT - InfoGuard Labs

https://labs.infoguard.ch/posts/anatomy_deno_rat/

Report completeness: Medium

Threats:
Deno_tool
Spear-phishing_technique

Victims:
Employees

TTPs:
Tactics: 5
Technics: 14

IOCs:
Path: 7
File: 12
Registry: 2
Command: 1
Coin: 1
Hash: 5
Domain: 1

Soft:
Microsoft Defender, Microsoft Teams, Node.js, ServiceNow

Algorithms:
base64, sha256, zip

Functions:
Teams, TextDecoder

Languages:
javascript, typescript

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Появилась новая угроза вредоносного ПО, использующая Deno в качестве Троянской программы (RAT) и прокси-фреймворка, которая следует за двухэтапной атакой, включающей фишинговые письма и имперсонацию звонков в Microsoft Teams. Модульная архитектура вредоносного ПО состоит из четырех файлов JavaScript, что повышает тактику уклонения за счет распределения функций по отдельным скриптам и подключения к конечной точке управления (command-and-control) через WebSocket на Amazon CloudFront для выполнения команд. Ключевые модули обеспечивают локальное выполнение команд и перемещение через скомпрометированный хост, усложняя усилия по обнаружению.
-----

Недавние расследования выявили новую угрозу вредоносного программного обеспечения, которая использует Deno, безопасную среду выполнения JavaScript и TypeScript, в качестве комбинированной Троянской программы для удаленного доступа (RAT) и фреймворка прокси. Это ВПО появилось в результате сложного двухэтапного процесса атаки, который начался с масштабной кампании спама по электронной почте, направленной на запутывание сотрудников, за которой быстро последовали звонки в имитаторе Microsoft Teams от актора, выдающего себя за службу технической поддержки. Пострадавшие пользователи были вынуждены загрузить и выполнить вредоносный файл с поддельного портала самообслуживания.

Архитектура ВПО отличается от традиционных скомпилированных загрузчиков за счёт модульного дизайна на базе Deno, включающего четыре основных JavaScript-файла. Такая архитектура обеспечивает большую гибкость и уклонение от обнаружения, поскольку разделяет функциональность между несколькими скриптами. Основной бэкдор подключается к WebSocket-конечной точке управления (C2), размещённой на Amazon CloudFront, что позволяет получать инструкции и выполнять локальные команды через вспомогательные сервисы. Использование характеристик Deno, обеспечивающих безопасность по умолчанию, способствует методичному запросу разрешений, распределяя необходимые возможности по различным модулям.

Заметными особенностями ВПО являются использование локальных HTTP-сервисов по протоколу loopback и несколько дочерних процессов, запускаемых основным скриптом-загрузчиком. Основной скрипт app.js координирует работу других модулей, обеспечивая выполнение каждого из них только с необходимыми правами доступа. Такая сегрегация усложняет усилия по обнаружению, поскольку базовые операции могут не вызывать срабатывания систем обнаружения и реагирования на конечных точках (EDR), даже если другие действия, такие как LDAP-запросы, могут их вызывать.

Отдельные модули играют ключевую роль в работе ВПО. Модуль back.js действует как мост C2, поддерживая соединение WebSocket для ретрансляции команд, в то время как helper.js обеспечивает выполнение локальных команд, не вызывая излишнего подозрения, за счет поддержания внутренних взаимодействий. Модуль webui.js имеет решающее значение, поскольку он превращает скомпрометированную хост-машину в сетевой пивот, предоставляя злоумышленникам возможности внутреннего доступа. Эта функция пивотирования позволяет перенаправлять трафик через зараженную машину, позволяя злоумышленникам использовать ее для более глубоких операций по проникновению в сеть.

Усилия по обнаружению не должны полагаться исключительно на выявление вредоносного кода, а вместо этого должны охватывать более широкий подход, включающий поведенческий мониторинг, особенно с акцентом на признаки Имперсонации, всплески спам-активности и подозрительное выполнение Deno с флагами разрешений высокого риска. Обеспечение корреляции между различными выходами телеметрии — такими как данные об идентификации, электронной почте, конечных точках и сети — будет иметь решающее значение для эффективного противодействия этому формирующемуся ландшафту угроз, где социальная инженерия переплетается с передовыми техниками ВПО.

#ParsedReport #CompletenessMedium
17-06-2026

Malware à la Mode: Tracking Dropping Elephant Tradecraft Through a China-Themed Loader Chain

https://www.rapid7.com/blog/post/tr-malware-tracking-dropping-elephant-tradecraft-china-themed-loader-chain

Report completeness: Medium

Actors/Campaigns:
Donot

Threats:
Dll_sideloading_technique
Donut
Sandbox_evasion_technique
Diaphora
Spear-phishing_technique

Victims:
Energy sector

Geo:
China

TTPs:
Tactics: 7
Technics: 15

IOCs:
File: 4
Domain: 2
Path: 3
Command: 1
Hash: 10

Soft:
BinDiff

Algorithms:
sha256, aes, chaskey, base64, aes-256-cbc, salsa20

Functions:
FreeConsole, sub_415750

Win API:
VirtualAlloc, EnumUILanguagesW, LoadLibrary, GetProcAddress, InternetReadFile, BitBlt, GetSystemMetrics

Languages:
powershell

Platforms:
x64