#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix по вредоносной рекламе (Malvertising) использовала Google Ads, обманывая пользователей, искавших инструменты ИИ, и имитируя бренды, такие как Claude AI и ChatGPT. Злоумышленники использовали более 106 уникальных вредоносных имен хостов, перейдя к общей функции чата claude.ai для доставки вредоносного ПО, крадущего учетные данные, включая стиллер MacSync. Эта эволюция применяла сложную социальную инженерию, используя доверенные домены для уклонения от обнаружения и нацеливаясь преимущественно на регион Азиатско-Тихоокеанского региона, особенно Тайвань.
-----

Киберпреступники реализовали кампанию вредоносной рекламы ClickFix, используя Google Ads для нацеливания на пользователей, ищущих инструменты для разработчиков ИИ. Атакующие имитировали известные бренды, такие как Claude AI и ChatGPT. Более 2 000 человек были перенаправлены на вредоносные страницы загрузки. Кампания эволюционировала, начав использовать функцию общего чата на claude.ai для развертывания стиллера, крадущего учетные данные. Исследователи TrendAI выявили 106 уникальных вредоносных имен хостов за семинедельный период в рамках нескольких волн атак. Использование доверенного домена усложняет усилия по обнаружению, такие как предупреждения в браузере. Большинство жертв находились в регионе Азиатско-Тихоокеанского региона, особенно на Тайване. Социальная инженерия стала ключевой тактикой, заставляя жертв выполнять команды для запуска ВПО через PowerShell. Атакующие использовали 92 вредоносных имени хостов на GitLab Pages для повышения легитимности и обхода мер безопасности. Были внедрены поддомены в стиле Claude и мошеннические схемы с утилитами Mac для привлечения целевых пользователей, ищущих инструменты для обслуживания дисков. Переход на доверенные URL-адреса общего чата сделал вредоносный контент кажущимся легитимным. Развернутое ВПО, стиллер MacSync, нацеливалось на конфиденциальные данные, включая учетные данные браузеров и криптовалютные кошельки. Кампания демонстрирует использование доверенных платформ ИИ в стратегиях вредоносной рекламы. Организациям рекомендуется отслеживать подозрительные команды, а пользователям — избегать выполнения команд из непроверенных источников. Поставщикам платформ настоятельно рекомендуется улучшать механизмы обнаружения злоупотреблений для снижения рисков.

#ParsedReport #CompletenessMedium
17-06-2026

Operation Escaneo: Infrastructure Exposure, TTP Analysis, and Attribution Assessment of an Advanced Intrusion Campaign Against Mexican Federal Agencies and Financial Institutions

https://www.cloudsek.com/blog/operation-escaneo-mexican-government-financial-institutions-cyberattack

Report completeness: Medium

Actors/Campaigns:
Escaneo (motivation: information_theft, cyber_espionage)
Panchovilla

Threats:
Kimera_tool
Neo-regeorg
Chisel_tool
Proxychains_tool
Credential_harvesting_technique
Subfinder_tool
Naabu_tool
Nuclei_tool
Zipslip_technique
Zerologon_vuln
Eternalblue_vuln
Smbghost_tool
Ghostcat
Spear-phishing_technique
Metasploit_tool
Ysoserial_tool
Anydesk_tool
N-able_tool
Pwnkit_tool
Passthehash_technique
Impacket_tool
Credential_dumping_technique
Kerberoasting_technique
Password_spray_technique
Sambacry_vuln
Netcat_tool
Log4shell_vuln
Bloodhound_tool
Smbleed
Gowitness_tool
Wmiexec_tool
Smbexec_tool
Secretsdump_tool
Hashcat_tool
Ntlmrelayx_tool
Pkexec_tool
Mitm_technique

Victims:
Government, Law enforcement, Judiciary, Education, Financial services, Insurance, Oil and gas, Tax authorities, Utility providers, Telecommunications, have more...

Industry:
Transport, Government, E-commerce, Critical_infrastructure, Financial, Telco, Aerospace

Geo:
Latin america, Ecuador, Mexican, Portugal, Latam, Mexico

CVEs:
CVE-2020-1938 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache geode (1.12.0)
- apache tomcat (<7.0.100, <8.5.51, <9.0.31)

CVE-2020-0796 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1903 (-)
- microsoft windows_10_1909 (-)
- microsoft windows_server_1903 (-)
- microsoft windows_server_1909 (-)
have more...


TTPs:
Tactics: 13
Technics: 69

IOCs:
IP: 11
File: 31

Soft:
Ivanti, Linux, Active Directory, GeoServer, Fortinet FortiOS, Apache Tomcat, Unix, psexec, sudo, WebLogic, have more...

Algorithms:
3des, aes, gzip, sha256, aes-cbc, zip, base64, exhibit

Functions:
LinkFinder, GetUserSPNs, RFC

Languages:
java, python, javascript, php

Platforms:
amd64, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Escaneo — это сложная киберкампания, приписываемая злоумышленнику MexicanMafia, нацеленная на критическую инфраструктуру и финансовые учреждения в Латинской Америке. Кампания использует проприетарный движок разведки Kimera для проведения поиска уязвимостей и эксплуатации уязвимостей в корпоративных устройствах, таких как Fortinet и Cisco, особенно используя CVE-2022-42475 и другие. Атакующие поддерживают постоянный доступ с помощью веб-шеллов и инструментов, таких как Neo-reGeorg и Chisel, что способствует значительной эксфильтрации данных, включая конфиденциальную информацию от правительственных агентств и страховых компаний.
-----

Операция Escaneo представляет собой сложную и высоко скоординированную киберкампанию, направленную против критической инфраструктуры и финансовых учреждений в Латинской Америке, в основном приписываемую злоумышленнику, известному как MexicanMafia или Pancho Villa. Атакующий развернул передовой операционный инструментарий, который использует множество элементов из фреймворка MITRE ATT&CK, начиная от инструментов разведки и заканчивая эксфильтрацией конфиденциальных данных.

В основе кампании лежит проприетарный движок разведки под названием Kimera, предназначенный для распределенного картирования инфраструктуры, который выполняет параллелизованную перечисляцию поддоменов и автоматизированный поиск уязвимостей. Этот подход дополняется оперативной коллекцией эксплойтов, ориентированной на уязвимости в корпоративных устройствах, таких как системы Fortinet, Ivanti и Cisco. Кампания реализовала ряд эксплойтов, включая CVE-2022-42475, CVE-2023-27997 и CVE-2024-21762, нацеленных на устройства FortiGate SSL-VPN, а также набор эксплойтов прикладного уровня для систем, таких как SAP и Oracle.

Атакующие продемонстрировали способность поддерживать закрепление доступа как на платформах Windows, так и на Linux, используя веб-шеллы, обратные туннели и скомпрометированные маршрутизаторы для создания скрытых каналов управления. В качестве заметных инструментов применялись Neo-reGeorg для закрепления доступа через веб и Chisel для обеспечения связ

Несколько инцидентов взлома, приписываемых этому злоумышленнику, включают значительную кражу данных из мексиканских государственных агентств и страховых компаний, при этом наборы данных содержали учетные данные, персональные идентифицирующие данные (PII) и конфиденциальные юридические документы. Их операционная методология включает эксплуатацию устаревших систем и не исправленных уязвимостей для быстрого получения первоначального доступа, с задокументированными случаями перемещения внутри компании по скомпрометированным сетям с использованием как традиционных, так и продвинутых методов, таких как EternalBlue.

Киберугроза выявила целенаправленную модель атак, сфокусированную преимущественно на правительственных министерствах и поставщиках критической инфраструктуры стран Латинской Америки, демонстрируя тактическую изощренность злоумышленника и его региональную операционную направленность. Улики указывают на систематическое картирование сред Active Directory и процессов закупок, что свидетельствует о потенциале для значительной финансовой эксплуатации и стратегического шпионажа против целевых организаций. Детальный анализ подчеркивает необходимость надежных механизмов обнаружения в отношении выявленных TTPs, в частности, касающихся каналов управления, злоупотребления выполнением приложений и стратегий закрепления для смягчения последствий таких изощренных угроз.

#ParsedReport #CompletenessMedium
18-06-2026

Analysis Report on Recent Phishing Attacks by the APT-C-48 (CNC) Group

https://www.ctfiot.com/311249.html

Report completeness: Medium

Actors/Campaigns:
Cnc
Apt-c-48

Victims:
Government, Defense, Education, Scientific research, Healthcare, Media

Industry:
Healthcare, Education, Government

Geo:
Asian

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1036.007, T1059.005, T1105, T1204.002, T1566.001, T1573

IOCs:
Hash: 4
File: 5
Url: 3
IP: 2
Domain: 2

Soft:
OpenSSL, WeChat

Algorithms:
md5, base64, xor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-48, сложная целенаправленная угроза, связанная с правительством одной из стран Южной Азии, осуществила фишинговые атаки, нацеленные на такие сектора, как государственное управление, здравоохранение и СМИ, используя электронные письма со вредоносными вложениями, замаскированными под PDF-файлы. При открытии эти вложения инициируют подключение к удаленному серверу, позволяющее загрузить троян удаленного управления (примерно 4,24 МБ), который сохраняется по пути C:\Users\Public\Pictures\SearchIndex.exe. ВПО взаимодействует с сервером управления по IP-адресу 185.243.112.142 через порт 443, используя зашифрованный протокол TLS для передачи данных.
-----

APT-C-48 (CNC), сложная целенаправленная угроза, связанная с правительством одной из стран Южной Азии, недавно провела целевые фишинг-кампании, в первую очередь направленные на такие сектора, как государственное управление, оборона, образование, научные исследования, здравоохранение и СМИ. Эти атаки были выявлены 360 Security Brain, что подчеркивает зависимость группы от традиционных тактик социальной инженерии.

Атаки фишинг включали в себя электронные письма с вредоносными архивами, содержащими исполняемые файлы, замаскированные под PDF-документы и названные в стиле личных резюме. Эта стратегическая обманная тактика предназначена для снижения бдительности пользователя и побуждения его открыть файлы. После запуска вложения устанавливается соединение с удаленным сервером, с которого затем загружается поддельный документ и сценарий Visual Basic (VBS). Этот сценарий играет ключевую роль, так как обеспечивает загрузку и выполнение основного вредоносного кода, позволяющего осуществлять удаленное управление машиной жертвы.

Основное ВПО представляет собой троян удаленного управления, идентифицируемый по URL-адресу загрузки: https://klp.recume.ink/ldhifwdgfjdbcu/qbjhwgf/hfjfhruiefh.exe. После загрузки троян перемещается во временную директорию и, если процесс загрузки прошел успешно, копируется в определенное место на системе жертвы, а именно в C:\Users\Public\Pictures\SearchIndex.exe. Размер ВПО составляет примерно 4,24 МБ, что в основном обусловлено статически скомпилированной версией OpenSSL, используемой для зашифрованных коммуникаций.

Сервер управления (C2) осуществляет связь через адрес, изначально скрытый с помощью XOR-шифрования, что раскрывает IP-адрес 185.243.112.142. ВПО устанавливает сетевой сокет и подключается к этому серверу C2 через порт 443, где привязывает сокет к объекту SSL для завершения рукопожатия TLS, обеспечивая зашифрованную связь. После успешного подключения ВПО отправляет пакет регистрации, содержащий идентифицируемый текст «gem01ini».

Эта оценка подкреплена устойчивыми закономерностями, наблюдаемыми в различных цепочках доказательств, а также историческими данными, связывающими предыдущие кампании со схожими тактиками распространения вредоносных загрузок. Целевые отрасли, в сочетании с характеристиками атаки, убедительно указывают на участие группы APT-C-48 (CNC) в этих недавних фишинговых активностях.

#ParsedReport #CompletenessLow
18-06-2026

SmartApeSG Launches Okendo Reviews Supply Chain Attack

https://www.zscaler.com/blogs/security-research/smartapesg-launches-okendo-reviews-supply-chain-attack

Report completeness: Low

Actors/Campaigns:
Smartapesg

Threats:
Supply_chain_technique
Clickfix_technique
Netsupportmanager_rat
Remcos_rat
Stealc
Sectop_rat

Victims:
E commerce, Retail

Industry:
Retail, E-commerce

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1105, T1195.001, T1204.004

IOCs:
Url: 2

Algorithms:
xor

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник SmartApeSG осуществил атаку на Цепочку поставок виджета Okendo Reviews, широко используемого на многих сайтах электронной коммерции, что позволило внедрить вредоносный JavaScript. Этот код, применявший обфускацию и выборочный запуск для уклонения от обнаружения, обеспечил реализацию социальной инженерии в стиле ClickFix и был направлен на развертывание удаленных доступных троянов и программ для кражи информации. Атака эксплуатировала уязвимости в программной Цепочке поставок, создавая значительные риски для безопасности пользователей на высоконагруженных платформах электронной коммерции.
-----

14 мая 2026 года злоумышленник SmartApeSG был идентифицирован как осуществляющий атаку на Цепочку поставок, нацеленную на виджет Okendo Reviews, который широко используется на множестве интернет-магазинов. Эта компрометация позволила внедрить вредоносный JavaScript в виджет, затронув около 18 000 брендов и потенциально подвергнув огромное количество посетителей воздействию ВПО. Затронутые веб-сайты, часто представляющие собой высоконагруженные платформы электронной коммерции, столкнулись с всплеском вредоносной активности, поскольку виджет часто интегрируется в ключевые разделы, такие как витрины и страницы товаров.

Вредоносный JavaScript был разработан для ограничения собственного выполнения и проверки определённых условий перед загрузкой дополнительного контента. Он использовал продвинутые техники обфускации для сокрытия последующих компонентов инфраструктуры и обеспечивал социальную инженерию в стиле ClickFix для повышения эффективности. Анализ показал, что данный шаблон атаки характерен для предыдущих кампаний SmartApeSG, которые обычно приводят к развёртыванию троянов удалённого доступа (RAT), таких как NetSupport и Remcos, а также крадущих информацию программ, таких как StealC.

JavaScript действовал как многоэтапный загрузчик, тщательно контролируя своё выполнение для снижения вероятности обнаружения и оптимизации целевых сред, преимущественно отдавая предпочтение фильтрации по User-Agent для настольных систем и исключая мобильные устройства. Такое поведение соответствует операционным шаблонам, наблюдавшимся в предыдущих инцидентах SmartApeSG. Цепочка заражения потенциально могла включать этапы, такие как отображение поддельных запросов CAPTCHA, инструктирование пользователей выполнить команды через функцию «Выполнить» в Windows и, в конечном итоге, развертывание инструментов, обеспечивающих удалённый доступ или эксфильтрацию данных.

Учитывая значительный трафик скомпрометированных сайтов, которые варьировались от магазинов среднего размера до крупных платформ электронной коммерции с миллионами посетителей, внедрение вредоносного кода в виджет Okendo Reviews могло иметь серьезные последствия для безопасности пользователей. Хотя высокий трафик не гарантирует заражение пользователей, атака демонстрирует риски, связанные с уязвимостями в цепочке поставок программного обеспечения, подчеркивая более широкие риски воздействия, которые могут возникнуть из-за единой точки компрометации в широко используемом компоненте стороннего разработчика.

#ParsedReport #CompletenessHigh
18-06-2026

Honeypot: Investigating Attacks by the Hive0117 Group on Accountants at Companies in Russia and CIS Countries

https://www.f6.ru/blog/honey-trap-hive0117/

Report completeness: High

Actors/Campaigns:
Watch_wolf (motivation: cyber_criminal, financially_motivated)

Threats:
Darkwatchman
Lite_manager_tool
Bitrat
Hvnc_tool
Shadow_copies_delete_technique

Victims:
Accountants, Finance departments, Legal entities, Companies in russia, Organizations in the commonwealth of independent states

Industry:
Chemical, Financial, Telco, Retail

Geo:
Kazakhstan, Uzbekistan, Russia, Russian, Belarus

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1010, T1012, T1027, T1027.004, T1036, T1041, T1053.005, T1056.001, T1059.001, T1059.003, have more...

IOCs:
File: 9
Command: 1
Hash: 12
Domain: 30
IP: 2

Soft:
Telegram, VKontakte, Viber, WhatsApp, Android, Windows registry, Chrome, Firefox

Algorithms:
md5, sha256, sha1

Functions:
PowerShell, SetWindowsHookEx

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2026 году финансово мотивированная группа Hive0117 усилила свои атаки, в первую очередь нацеливаясь на бухгалтеров в России и странах СНГ с использованием сложных методов и безфайлового ВПО DarkWatchman. Их стратегия включает фишинговые письма со скрытым ВПО в архивах RAR, что обеспечивает доступ к конфиденциальной корпоративной банковской информации. После заражения ВПО перехватывает нажатия клавиш и Данные из буфера обмена, а также позволяет использовать ПО для удаленного доступа, что приводит к несанкционированным транзакциям, замаскированным под легитимные платежи.
-----

Атаки, проводимые финансово мотивированной группировкой Hive0117, усилились в 2026 году, в первую очередь нацеливаясь на бухгалтеров в компаниях по всей России и странам СНГ. Эта группировка, активная с конца 2021 года, использует ряд сложных техник и ВПО, наиболее известным из которых является безфайловое ВПО DarkWatchman. Основная цель этих атак — проникновение в системы онлайн-банкинга для перевода денег на счета, контролируемые злоумышленниками, часто маскируя транзакции под законные выплаты заработной платы.

Метод работы Hive0117 заключается в отправке фишинговых писем, которые выглядят как легитимные документы и скрывают ВПО DarkWatchman в архивах RAR. Эти письма содержат темы, призванные привлечь внимание бухгалтеров, такие как «Счет», «Товарная накладная» и «Неоплаченный счет». Для обхода обнаружения почтовыми фильтрами ВПО зашифровано и защищено паролем, при этом пароль включается в тело письма. Когда получатель распаковывает архив RAR, он случайно запускает вредоносный код, что позволяет злоумышленникам проникнуть в их устройства.

После установки DarkWatchman функционирует путем сбора конфиденциальной информации, такой как нажатия клавиш и содержимое буфера обмена, с особым акцентом на отслеживание любых криптографических токенов, используемых для доступа к корпоративным банковским системам. Как только злоумышленники устанавливают наличие токена на зараженном устройстве, они могут повысить уровень доступа, развернув дополнительные инструменты удаленного доступа, такие как LiteManager или BitRAT. Это позволяет им напрямую манипулировать скомпрометированными машинами, выполняя платежные транзакции, которые выглядят легитимно для систем противодействия мошенничеству, установленных для корпоративных счетов.

Стратегии атак Hive0117 не только используют DarkWatchman, но и интегрируют модуль кейлоггера, который компилирует C#-скрипты для мониторинга взаимодействия пользователей. Этот кейлоггер не только фиксирует нажатия клавиш, но и обнаруживает любые смарт-карты, подключенные к рабочей станции, что позволяет своевременно выполнять несанкционированные действия при обнаружении токена.

Дальнейшие тактики включают использование вредоносного ПО HVNC (Hidden Virtual Network Computing), которое позволяет злоумышленникам создавать невидимый виртуальный рабочий стол на машине жертвы, обеспечивая более плавный контроль над устройством при имперсонации пользователя. Это вредоносное ПО может манипулировать буфером обмена, выполнять скрипты и даже управлять сеансами браузера, которые получают доступ к банковским порталам, что демонстрирует сложность операций Hive0117.

Собранные доказательства подтверждают, что с начала 2026 года Hive0117 успешно выполнила около 400 атак на российские предприятия, при этом средние финансовые потери от их операций значительно возросли всего за пару месяцев. Комбинация группы передовых фишинговых техник, тонких функциональных возможностей ВПО и контролируемых стратегий развертывания является примером высокорискованной финансовой киберпреступной операции, требующей серьезного внимания и контрмер со стороны команд безопасности.

#ParsedReport #CompletenessHigh
18-06-2026

From package to postinstall payload: Inside the Mastra npm supply chain compromise

https://www.microsoft.com/en-us/security/blog/2026/06/17/postinstall-payload-inside-mastra-npm-supply-chain-compromise/

Report completeness: High

Threats:
Supply_chain_technique
Typosquatting_technique
Process_injection_technique
Trojan:js/npmstealz.z
Psexec_tool
Trojan:js/npmsteal.db

Victims:
Software development, Developers, Continuous integration and continuous delivery pipelines, Mastra ecosystem

TTPs:
Tactics: 6
Technics: 0

IOCs:
Email: 4
File: 10
Url: 1
Path: 1
IP: 2
Hash: 5

Soft:
Mastra, Microsoft Defender, Microsoft Defender for Endpoint, Node.js, ode.js pr, macOS, Linux, systemd, Chrome

Wallets:
metamask, coinbase, tronlink

Crypto:
binance

Algorithms:
xor, sha256, base64

Functions:
unref

Languages:
powershell, javascript

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя атака на цепочку поставок npm скомпрометировала более 140 пакетов, захватив аккаунт разработчика "ehindero", что позволило злоумышленнику опубликовать вредоносный пакет с опечаткой easy-day-js. Этот пакет выполняет хук postinstall, который отключает проверку TLS для подключения к инфраструктуре C2, развертывая второй этап полезной нагрузки, способной выполнять команды удаленно и похищать данные, включая системную и браузерную информацию. Атака использует техники обфускации и отражает внедрение .NET-сборок для уклонения от обнаружения и сохранения на зараженных системах.
-----

Microsoft Threat Intelligence недавно обнаружила значительную атаку на цепочку поставок npm, в результате которой было скомпрометировано более 140 пакетов в областях mastra и @mastra в реестре npm. Атака произошла из-за захвата учетной записи сопровождающего, связанной с именем пользователя "ehindero", что позволило злоумышленнику публиковать вредоносные версии пакетов. Вредоносный релиз под названием easy-day-js представляет собой тайпсквоттинг популярной библиотеки dayjs и распространялся как зависимость в отравленных версиях пакетов mastra.

При установке easy-day-js выполнил postinstall-хук, который вызвал обфусцированный скрипт-дроппер. Этот скрипт отключил проверку сертификатов Transport Layer Security (TLS), подключившись к инфраструктуре атакующего управления (C2). Затем дроппер загрузил второй этап полезной нагрузки, которая была выполнена как отсоединённый скрытый процесс. Эта многоэтапная доставка выполнила последовательность чистых и вооружённых вариантов, начиная с безобидной версии, за которой быстро следовала скомпрометированная, эксплуатируя CI/CD-конвейеры разработчиков путём автоматического запуска установок на затронутых системах.

Фаза выполнения атаки включала постинсталляционный хук, который запустил дроппер размером 4 572 байта, выполнивший несколько вредоносных действий, включая отключение проверки TLS для облегчения несанкционированной связи с сервером C2. Второстепенная полезная нагрузка, кроссплатформенный клиент Node.js, содержит постоянный клиент задач, который отправляет периодические маяки на C2 и может выполнять команды удаленно на зараженной системе. Кроме того, полезная нагрузка использует рефлексивную инъекцию .NET-сборки, что позволяет выполнять код в памяти без создания артефактов на диске, усиливая тактики уклонения от механизмов обнаружения.

Метод обфускации, примененный для дроппера, включал ротацию массивов строк и пользовательские декодеры base64. Это обеспечивало скрытие ключевой информации, такой как вторичные адреса C2 и критические ссылки на модули Node.js, от немедленного обнаружения. Впоследствии вредоносный скрипт мог выполнять эксфильтрацию конфиденциальных данных, включая информацию об установленных средствах защиты, расширениях криптокошельков и историях браузеров, по протоколу HTTPS с использованием пользовательских протоколов.

Атака была обнаружена благодаря необычному поведению при публикации: скомпрометированный аккаунт опубликовал новую версию пакета вскоре после ручной публикации, используя анонимную почтовую службу, что отклонялось от стандартного процесса CI/CD, установленного для пакетов mastra. Все зависимости, добавленные через последние версии, разрешались на вредоносную версию, тем самым подвергая все среды, выполнившие команды npm install или update после атаки.

В заключение, эта сложная компрометация цепочки поставок использовала как социальную инженерию через захват учетной записи, так и тактики технического уклонения, подчеркивая уязвимости в управлении пакетами npm и критическую необходимость бдительности в управлении программными зависимостями. Возможности обнаружения с помощью таких инструментов, как Microsoft Defender, необходимы для выявления подозрительной активности и сдерживания, связанных с такими угрозами.

#ParsedReport #CompletenessMedium
18-06-2026

Sayonara, SocGholish: Operation Endgame Disrupts Major Cybercrime Operation

https://www.proofpoint.com/us/blog/threat-insight/sayonara-socgholish-operation-endgame-disrupts-major-cybercrime-operation

Report completeness: Medium

Actors/Campaigns:
Ta569 (motivation: cyber_criminal)
Smartapesg
Ta2726
Evil_corp (motivation: cyber_criminal)
Ta2727
Kongtuke

Threats:
Socgholish_loader
Clearfake
Errtraffic
Password_spray_technique
Gholoader
Parrot_tds_tool
Wastedlocker
Lockbit
Ransomhub
Clickfix_technique
Frigidstealer
Blob_url_obfuscation_technique
Kongtuke

Victims:
Media, Retail, Nonprofits, Schools, Healthcare, Hospitals, Legal, Real estate, Wordpress websites, Websites worldwide, have more...

Industry:
Government, Healthcare, Retail

Geo:
Usa, Russian, United states, Netherlands, Germany, Canada

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.007, T1071.001, T1078, T1090, T1098, T1105, T1189, T1190, have more...

IOCs:
Domain: 2
File: 3

Soft:
WordPress, Keitaro, ive Directory envi, ctive Directory en, MacOS

Algorithms:
base64

Languages:
jscript, javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Endgame сорвала деятельность киберпреступной группы TA569, известной своим ВПО SocGholish и сложными техниками веб-инъекций, которые имитируют обновления браузеров, чтобы обманом заставить пользователей загружать вредоносное ПО. TA569 в основном перехватывает легитимные веб-сайты и использует уязвимости в системах управления контентом для доставки вредоносных загрузок через системы перенаправления трафика. Тактика группы включает передовую обфускацию и постоянную адаптацию, устанавливая соединения с серверами управления, что подчеркивает изменяющийся ландшафт киберугроз.
-----

Операция Endgame, совместное усилие, в котором участвовали глобальные правоохранительные органы, значительно подорвало деятельность TA569, известного киберпреступного объединения, известного своим ВПО SocGholish. С 2018 года TA569 признано за свои сложные техники веб-инъекций, которые имитируют обновления безопасности браузера, чтобы обмануть пользователей и заставить их загрузить вредоносное ПО. Эта стратегия распространения вредоносного ПО была связана с крупными операциями по вымогательству, такими как WastedLocker и LockBit, что позиционирует TA569 как критически важного злоумышленника в ландшафте киберкриминала.

Операции TA569 обычно используют системы направления трафика (TDS) для доставки вредоносных загрузок на основе атрибутов пользователя. Группа в основном перехватывает легитимные веб-сайты — часто через уязвимости в системах управления контентом, таких как WordPress, — что позволяет им внедрять вредоносный код, перенаправляющий посетителей в их собственные вредоносные среды. Эта компрометация может происходить различными способами, включая распыление пароля, эксплуатацию известных уязвимостей и использование утеченных учетных данных. Оказавшись внутри веб-сайта, TA569 не только доставляет свои вредоносные загрузки, но и может устанавливать бэкдоры для обеспечения постоянного доступа.

В ходе недавней зачистки правоохранительные органы ликвидировали более 100 серверов и 14 971 скомпрометированный веб-сайт, связанных с операциями TA569. В результате этой операции группе, как ожидается, предстоит столкнуться со значительными операционными трудностями, включая серьезный ущерб репутации и логистическим возможностям по доставке ВПО.

Схема фишинга SocGholish включает в себя сложную цепочку атак. После того как посетитель попадает на скомпрометированный сайт, вредоносный скрипт выполняет несколько проверок, чтобы подтвердить, что посетитель является реальным человеком, а не автоматизированным ботом. После успешного прохождения этих проверок сайт ведет себя так, как будто запрашивает легитимные обновления программного обеспечения, эффективно маскируя злонамеренные намерения до тех пор, пока пользователь не взаимодействует со ссылкой для загрузки, которая приводит к вредоносному ПО GhoLoader. Это вредоносное ПО, после выполнения, устанавливает обратное соединение с сервером управления актора (C2), тем самым закрепляясь в среде пользователя.

Разнообразные тактики, применяемые TA569, демонстрируют динамичную адаптацию для обхода обнаружения, опираясь на сочетание передовых методов обфускации и эксплуатации функциональности JavaScript. Хотя операция Endgame нанесла TA569 серьезный ущерб, растущая значимость различных злоумышленников, использующих веб-инъекции, и их техник указывает на продолжающуюся и развивающуюся киберугрозу. В частности, появление таких схем, как ClickFix, демонстрирует тенденцию к все более сложным и интерактивным методам вовлечения потенциальных жертв в установку ВПО, что свидетельствует о том, что, хотя одна угроза может ослабнуть, другие, вероятно, возникнут, чтобы заполнить образовавшуюся нишу.

#ParsedReport #CompletenessLow
17-06-2026

MetaStealer traffic, new DGAs and analyzing the “tracker” backdoor DGA with AI

https://medium.com/walmartglobaltech/metastealer-traffic-new-dgas-and-analyzing-the-tracker-backdoor-dga-with-ai-96ea63dc7c01?source=rss-36e34fe15919------2

Report completeness: Low

Threats:
Meta_stealer

Industry:
Petroleum

ChatGPT TTPs:
do not use without manual check
T1090, T1568.002

IOCs:
Hash: 4
Url: 2
IP: 2

Soft:
Claude

Languages:
python

Platforms:
arm