#ParsedReport #CompletenessHigh
19-06-2026
Mastra Attack Targets Crypto, Password Managers, Authenticators, and Zapier
https://opensourcemalware.com/blog/mastra-npm-malware
Report completeness: High
Actors/Campaigns:
Axios_compromise
Lazarus
Mastra_compromise
Threats:
Supply_chain_technique
Typosquatting_technique
Clickfix_technique
Victims:
Cryptocurrency, Password management, Authentication, Software development, Automation
Industry:
Petroleum
Geo:
Dprk
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1005, T1008, T1012, T1027, T1033, T1036.005, T1057, T1059.001, T1059.007, T1070.004, have more...
IOCs:
File: 10
Email: 2
Url: 2
IP: 2
Path: 2
Command: 1
Registry: 1
Domain: 2
Hash: 2
BrowserExtension: 146
Coin: 20
Soft:
Mastra, LastPass, Bitwarden, 1Password, Dashlane, KeePass, NordPass, macOS, Linux, systemd, have more...
Wallets:
metamask, coinbase, keplr, rabby, coin98, math_wallet, core_wallet, exodus_wallet, solflare_wallet, auro_wallet, have more...
Crypto:
binance, casper, multiversx, aptos, bitcoin, dogecoin, solana, polkadot
Algorithms:
base64, prng, sha256
Functions:
Get-StartApps, Get-AppxPackage, Get-Process, Get-ItemProperty
Languages:
powershell
Platforms:
cross-platform
19-06-2026
Mastra Attack Targets Crypto, Password Managers, Authenticators, and Zapier
https://opensourcemalware.com/blog/mastra-npm-malware
Report completeness: High
Actors/Campaigns:
Axios_compromise
Lazarus
Mastra_compromise
Threats:
Supply_chain_technique
Typosquatting_technique
Clickfix_technique
Victims:
Cryptocurrency, Password management, Authentication, Software development, Automation
Industry:
Petroleum
Geo:
Dprk
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1008, T1012, T1027, T1033, T1036.005, T1057, T1059.001, T1059.007, T1070.004, have more...
IOCs:
File: 10
Email: 2
Url: 2
IP: 2
Path: 2
Command: 1
Registry: 1
Domain: 2
Hash: 2
BrowserExtension: 146
Coin: 20
Soft:
Mastra, LastPass, Bitwarden, 1Password, Dashlane, KeePass, NordPass, macOS, Linux, systemd, have more...
Wallets:
metamask, coinbase, keplr, rabby, coin98, math_wallet, core_wallet, exodus_wallet, solflare_wallet, auro_wallet, have more...
Crypto:
binance, casper, multiversx, aptos, bitcoin, dogecoin, solana, polkadot
Algorithms:
base64, prng, sha256
Functions:
Get-StartApps, Get-AppxPackage, Get-Process, Get-ItemProperty
Languages:
powershell
Platforms:
cross-platform
Opensourcemalware
OpenSourceMalware.com - Community Threat Intelligence
Community-driven threat intelligence. Human-verified supply chain threats from every major open source ecosystem.
CTT Report Hub
#ParsedReport #CompletenessHigh 19-06-2026 Mastra Attack Targets Crypto, Password Managers, Authenticators, and Zapier https://opensourcemalware.com/blog/mastra-npm-malware Report completeness: High Actors/Campaigns: Axios_compromise Lazarus Mastra_compromise…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Атака Malstra подчеркивает растущий тренд в киберугрозах, особенно в части эксплуатации уязвимостей в Цепочке поставок программного обеспечения. Скомпрометированная учетная запись разработчика в организации Mastro NPM привела к распространению более 140 вредоносных пакетов npm, включая версию библиотеки `dayjs`, зарегистрированную с использованием метода тайпсквоттинга, которая использовала хук postinstall для загрузки сложного кроссплатформенного бэкдора. Этот бэкдор позволял осуществлять эксфильтрацию данных из браузеров и атаковал различные расширения, выходящие за рамки криптовалютных кошельков, что указывает на сдвиг в фокусе атак.
-----
Недавняя атака Malstra подчеркивает значительные тенденции в киберугрозах, особенно направленные на уязвимости в цепочке поставок программного обеспечения. Этот инцидент включал компрометацию организации Mastro NPM, где злоумышленник захватил контроль над неаккаунтом разработчика и опубликовал более 140 вредоносных пакетов npm. Метод имитировал более раннюю атаку, приписываемую группе Lazarus Group, подчеркивая использование аналогичных методов работы.
В основе атаки лежало внедрение пакета с опечаткой в названии (`easy-day-js`), который являлся безобидной копией популярной библиотеки `dayjs`. Вредоносная версия этого пакета содержала хук postinstall, который запускал двухэтапную полезную нагрузку. Первый этап, выполняемый файлом `setup.cjs`, действовал как загрузчик, получая более сложную вторую стадию с сервера управления (C2). Этот имплант второй стадии представляет собой кроссплатформенный бэкдор, способный атаковать системы Windows, macOS и Linux, а также извлекать конфиденциальные данные из браузеров, включая историю и информацию из 166 различных идентификаторов расширений для криптовалютных кошельков и средств безопасности.
Выполнение атаки было облегчено путем обхода проверки доверенных издателей npm с использованием учетных данных старого сопровождающего. Вместо явных модификаций кода пакета злоумышленник добавил одну новую зависимость во множество манифестов. Такой скрытный подход обеспечил то, что при установке или обновлении `easy-day-js` вweaponized версия загружалась незаметно, поскольку разрешение версий по диапазону caret в npm не требовало от разработчиков подтверждения наличия вредоносного номера версии.
Кроме того, функциональность закладки позволяла ей проводить фэнгерпринтинг среды хоста, обеспечивать постоянство в системе, извлекать историю браузеров и выполнять произвольный код под контролем злоумышленника. Особого внимания заслуживает обширный список целевых расширений, который включает различные менеджеры паролей и MFA-аутентификаторы, что отличается от предыдущих кампаний, в основном ориентированных на криптовалютные кошельки.
Критическим фактором этой атаки стало отсутствие проверки происхождения вредоносных пакетов, что в корне позволило злоумышленникам обойти механизмы безопасности npm. Что касается паттернов, атака на Mastra демонстрирует растущую тенденцию расширения угроз за пределы традиционных целей с фокусом на более широкий спектр уязвимостей программного обеспечения, связанных с управлением учетными данными и интеграциями, такими как Zapier.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Атака Malstra подчеркивает растущий тренд в киберугрозах, особенно в части эксплуатации уязвимостей в Цепочке поставок программного обеспечения. Скомпрометированная учетная запись разработчика в организации Mastro NPM привела к распространению более 140 вредоносных пакетов npm, включая версию библиотеки `dayjs`, зарегистрированную с использованием метода тайпсквоттинга, которая использовала хук postinstall для загрузки сложного кроссплатформенного бэкдора. Этот бэкдор позволял осуществлять эксфильтрацию данных из браузеров и атаковал различные расширения, выходящие за рамки криптовалютных кошельков, что указывает на сдвиг в фокусе атак.
-----
Недавняя атака Malstra подчеркивает значительные тенденции в киберугрозах, особенно направленные на уязвимости в цепочке поставок программного обеспечения. Этот инцидент включал компрометацию организации Mastro NPM, где злоумышленник захватил контроль над неаккаунтом разработчика и опубликовал более 140 вредоносных пакетов npm. Метод имитировал более раннюю атаку, приписываемую группе Lazarus Group, подчеркивая использование аналогичных методов работы.
В основе атаки лежало внедрение пакета с опечаткой в названии (`easy-day-js`), который являлся безобидной копией популярной библиотеки `dayjs`. Вредоносная версия этого пакета содержала хук postinstall, который запускал двухэтапную полезную нагрузку. Первый этап, выполняемый файлом `setup.cjs`, действовал как загрузчик, получая более сложную вторую стадию с сервера управления (C2). Этот имплант второй стадии представляет собой кроссплатформенный бэкдор, способный атаковать системы Windows, macOS и Linux, а также извлекать конфиденциальные данные из браузеров, включая историю и информацию из 166 различных идентификаторов расширений для криптовалютных кошельков и средств безопасности.
Выполнение атаки было облегчено путем обхода проверки доверенных издателей npm с использованием учетных данных старого сопровождающего. Вместо явных модификаций кода пакета злоумышленник добавил одну новую зависимость во множество манифестов. Такой скрытный подход обеспечил то, что при установке или обновлении `easy-day-js` вweaponized версия загружалась незаметно, поскольку разрешение версий по диапазону caret в npm не требовало от разработчиков подтверждения наличия вредоносного номера версии.
Кроме того, функциональность закладки позволяла ей проводить фэнгерпринтинг среды хоста, обеспечивать постоянство в системе, извлекать историю браузеров и выполнять произвольный код под контролем злоумышленника. Особого внимания заслуживает обширный список целевых расширений, который включает различные менеджеры паролей и MFA-аутентификаторы, что отличается от предыдущих кампаний, в основном ориентированных на криптовалютные кошельки.
Критическим фактором этой атаки стало отсутствие проверки происхождения вредоносных пакетов, что в корне позволило злоумышленникам обойти механизмы безопасности npm. Что касается паттернов, атака на Mastra демонстрирует растущую тенденцию расширения угроз за пределы традиционных целей с фокусом на более широкий спектр уязвимостей программного обеспечения, связанных с управлением учетными данными и интеграциями, такими как Zapier.
#ParsedReport #CompletenessMedium
17-06-2026
Mastra npm Supply Chain Attack: 140+ Packages Backdoored via easy-day-js Typosquat
https://www.stepsecurity.io/blog/mastra-npm-packages-compromised-using-easy-day-js
Report completeness: Medium
Threats:
Supply_chain_technique
Typosquatting_technique
Miasma
Victims:
Mastra ecosystem, Software development environments, Artificial intelligence development environments, Cloud infrastructure environments
Industry:
Software_development
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1036.005, T1070.004, T1071.001, T1078, T1105, T1195.001
IOCs:
File: 9
IP: 4
Url: 1
Soft:
Mastra, OpenAI, Anthropic, Node.js
Algorithms:
xor, base64
Languages:
javascript, typescript
Links:
17-06-2026
Mastra npm Supply Chain Attack: 140+ Packages Backdoored via easy-day-js Typosquat
https://www.stepsecurity.io/blog/mastra-npm-packages-compromised-using-easy-day-js
Report completeness: Medium
Threats:
Supply_chain_technique
Typosquatting_technique
Miasma
Victims:
Mastra ecosystem, Software development environments, Artificial intelligence development environments, Cloud infrastructure environments
Industry:
Software_development
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036.005, T1070.004, T1071.001, T1078, T1105, T1195.001
IOCs:
File: 9
IP: 4
Url: 1
Soft:
Mastra, OpenAI, Anthropic, Node.js
Algorithms:
xor, base64
Languages:
javascript, typescript
Links:
https://github.com/mastra-ai/mastra/issues/18045www.stepsecurity.io
Mastra npm Supply Chain Attack: 140+ Packages Backdoored via easy-day-js Typosquat - StepSecurity
On June 17, 2026, an attacker compromised the @mastra npm organization and quietly added easy-day-js as a dependency across 140+ packages in the Mastra AI framework ecosystem. easy-day-js is a typosquat of the popular dayjs date library, and its latest version…
CTT Report Hub
#ParsedReport #CompletenessMedium 17-06-2026 Mastra npm Supply Chain Attack: 140+ Packages Backdoored via easy-day-js Typosquat https://www.stepsecurity.io/blog/mastra-npm-packages-compromised-using-easy-day-js Report completeness: Medium Threats: Sup…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
17 июня 2026 года организация @mastra в npm подверглась атаке на Цепочку поставок через вредоносный пакет easy-day-js, являющийся тайпсквотом библиотеки dayjs, что затронуло более 140 зависимостей с совокупным числом загрузок 1,1 миллиона. Обфусцированный дроппер выполнил второй этап полезной нагрузки с сервера C2, эксплуатируя механизм разрешения зависимостей npm для автоматического включения в новые установки, и применял техники уклонения для устранения следов криминалистический анализ. ВПО целенаправленно атаковало конфиденциальные переменные среды, подчеркивая уязвимости в безопасности Цепочка поставок внутри экосистемы npm.
-----
17 июня 2026 года организация @mastra в npm подверглась значительной атаке на цепочку поставок, связанной с внедрением вредоносного пакета easy-day-js в более чем 140 его зависимостей. Этот пакет является тайпсквотом широко используемой библиотеки для работы с датами dayjs, а его последняя версия содержала зашифрованный дроппер, запускаемый после установки. После установки этот дроппер выполнял вторую стадию полезной нагрузки, загружаемой с сервера управления, за которой следовало самоуничтожение для стирания любых следов своего присутствия. Затронутые пакеты имеют совокупную еженедельную загрузку более 1,1 миллиона, что представляет существенный риск для пользователей, установивших любые пакеты @mastra в то время.
Основная работа по подготовке атаки была проведена 16 июня, когда злоумышленник опубликовал пакет easy-day-js@1.11.21 — чистую версию легитимной библиотеки, чтобы придать себе достоверности. Эта версия, которая дублировала метаданные dayjs, затем была указана как зависимость в пакетах @mastra. Впоследствии была загружена вредоносная версия 1.11.22, использующая метод разрешения зависимостей npm для обеспечения того, чтобы любые новые установки автоматически включали скомпрометированную версию.
После того как злоумышленник реализовал свой план в 01:01 UTC, он использовал скомпрометированные учетные данные для повторной публикации затронутых пакетов @mastra, тем самым выполнив массовую инъекцию зависимости с бэкдором во всей экосистеме. Сам дроппер применял сложные техники уклонения, включая обход проверки TLS-сертификатов, что позволяло устанавливать связь с самоподписанными сертификатами. Он передавал карту затронутых установок в контролируемую злоумышленником директорию, отсоединялся от процесса и выполнялся без вывода информации, видимой пользователю. Кроме того, дроппер немедленно удалял свой основной скрипт после выполнения, устраняя первичные доказательства для криминалистический анализ.
Второй этап полезной нагрузки был настроен на загрузку исполняемых файлов с указанного C2-сервера во время выполнения, с целью захвата чувствительных переменных окружения, таких как API-ключи и другие учетные данные, распространенные в развертываниях Mastra. Первоначальные тесты этого ВПО показали, что инструменты анализа во время выполнения, такие как Harden Runner, используемый в GitHub Actions, успешно блокировали ожидаемую полезную нагрузку, запрещая исходящие вызовы к вредоносным IP-адресам C2, тем самым предотвращая любую утечку учетных данных.
Выбор библиотеки dayjs для тайпсквоттинга и обширная обфускация, применённая в коде дроппера, демонстрируют изощрённость атаки, что делает её особенно сложной для обнаружения и снижения рисков разработчиками при анализе зависимостей. Инцидент подчёркивает фундаментальные уязвимости в безопасности Цепочки поставок, расширяя дискуссию о превентивных мерах в экосистеме npm, таких как внедрение инструментов видимости в реальном времени и проактивных проверок для выявления скомпрометированных пакетов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
17 июня 2026 года организация @mastra в npm подверглась атаке на Цепочку поставок через вредоносный пакет easy-day-js, являющийся тайпсквотом библиотеки dayjs, что затронуло более 140 зависимостей с совокупным числом загрузок 1,1 миллиона. Обфусцированный дроппер выполнил второй этап полезной нагрузки с сервера C2, эксплуатируя механизм разрешения зависимостей npm для автоматического включения в новые установки, и применял техники уклонения для устранения следов криминалистический анализ. ВПО целенаправленно атаковало конфиденциальные переменные среды, подчеркивая уязвимости в безопасности Цепочка поставок внутри экосистемы npm.
-----
17 июня 2026 года организация @mastra в npm подверглась значительной атаке на цепочку поставок, связанной с внедрением вредоносного пакета easy-day-js в более чем 140 его зависимостей. Этот пакет является тайпсквотом широко используемой библиотеки для работы с датами dayjs, а его последняя версия содержала зашифрованный дроппер, запускаемый после установки. После установки этот дроппер выполнял вторую стадию полезной нагрузки, загружаемой с сервера управления, за которой следовало самоуничтожение для стирания любых следов своего присутствия. Затронутые пакеты имеют совокупную еженедельную загрузку более 1,1 миллиона, что представляет существенный риск для пользователей, установивших любые пакеты @mastra в то время.
Основная работа по подготовке атаки была проведена 16 июня, когда злоумышленник опубликовал пакет easy-day-js@1.11.21 — чистую версию легитимной библиотеки, чтобы придать себе достоверности. Эта версия, которая дублировала метаданные dayjs, затем была указана как зависимость в пакетах @mastra. Впоследствии была загружена вредоносная версия 1.11.22, использующая метод разрешения зависимостей npm для обеспечения того, чтобы любые новые установки автоматически включали скомпрометированную версию.
После того как злоумышленник реализовал свой план в 01:01 UTC, он использовал скомпрометированные учетные данные для повторной публикации затронутых пакетов @mastra, тем самым выполнив массовую инъекцию зависимости с бэкдором во всей экосистеме. Сам дроппер применял сложные техники уклонения, включая обход проверки TLS-сертификатов, что позволяло устанавливать связь с самоподписанными сертификатами. Он передавал карту затронутых установок в контролируемую злоумышленником директорию, отсоединялся от процесса и выполнялся без вывода информации, видимой пользователю. Кроме того, дроппер немедленно удалял свой основной скрипт после выполнения, устраняя первичные доказательства для криминалистический анализ.
Второй этап полезной нагрузки был настроен на загрузку исполняемых файлов с указанного C2-сервера во время выполнения, с целью захвата чувствительных переменных окружения, таких как API-ключи и другие учетные данные, распространенные в развертываниях Mastra. Первоначальные тесты этого ВПО показали, что инструменты анализа во время выполнения, такие как Harden Runner, используемый в GitHub Actions, успешно блокировали ожидаемую полезную нагрузку, запрещая исходящие вызовы к вредоносным IP-адресам C2, тем самым предотвращая любую утечку учетных данных.
Выбор библиотеки dayjs для тайпсквоттинга и обширная обфускация, применённая в коде дроппера, демонстрируют изощрённость атаки, что делает её особенно сложной для обнаружения и снижения рисков разработчиками при анализе зависимостей. Инцидент подчёркивает фундаментальные уязвимости в безопасности Цепочки поставок, расширяя дискуссию о превентивных мерах в экосистеме npm, таких как внедрение инструментов видимости в реальном времени и проактивных проверок для выявления скомпрометированных пакетов.
#ParsedReport #CompletenessLow
18-06-2026
Cybercrime Breaches Klue: Salesforce Data Impacted for Many Victims, including Huntress
https://www.huntress.com/blog/klue-breach-investigation
Report completeness: Low
Actors/Campaigns:
Klue_compromise
Threats:
Icarus
Supply_chain_technique
Dead_drop_technique
Victims:
Klue, Cybersecurity, Market intelligence, Customer relationship management
Industry:
Telco, Retail
Geo:
Netherlands, Ukraine, France, Australian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1195.002, T1199, T1213, T1528, T1567.002, T1584.004
IOCs:
IP: 4
Soft:
Salesforce, HubSpot, Zoom, Slack
Languages:
swift, python
18-06-2026
Cybercrime Breaches Klue: Salesforce Data Impacted for Many Victims, including Huntress
https://www.huntress.com/blog/klue-breach-investigation
Report completeness: Low
Actors/Campaigns:
Klue_compromise
Threats:
Icarus
Supply_chain_technique
Dead_drop_technique
Victims:
Klue, Cybersecurity, Market intelligence, Customer relationship management
Industry:
Telco, Retail
Geo:
Netherlands, Ukraine, France, Australian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1195.002, T1199, T1213, T1528, T1567.002, T1584.004
IOCs:
IP: 4
Soft:
Salesforce, HubSpot, Zoom, Slack
Languages:
swift, python
Huntress
Cybercrime Breaches Klue: Salesforce Data Impacted for Many Victims, including Huntress | Huntress
Huntress was one of many vendors impacted by a recent incident at Klue. We dug into the incident to figure out what happened.
CTT Report Hub
#ParsedReport #CompletenessLow 18-06-2026 Cybercrime Breaches Klue: Salesforce Data Impacted for Many Victims, including Huntress https://www.huntress.com/blog/klue-breach-investigation Report completeness: Low Actors/Campaigns: Klue_compromise Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Klue стал жертвой атаки на цепочку поставок, приписываемой злоумышленнику Icarus, что привело к несанкционированной эксфильтрации данных из экземпляров Salesforce, принадлежащих его клиентам. Атакующие использовали уязвимость в интеграциях с программным обеспечением сторонних производителей, развернув вредоносный код для захвата OAuth-токенов для доступа к данным. Атака была сложной, с использованием IP-адресов, связанных с предыдущими спам-кампаниями, и эксплуатацией инфраструктуры Global Retail Brands, с фокусом на конкретных конечных точках Salesforce.
-----
Klue, платформа рыночной аналитики, недавно стала жертвой атаки на цепочку поставок, приписываемой злоумышленнику, идентифицированному как Icarus. 11 июня в системах Klue было обнаружено аномальное поведение, что привело к несанкционированной эксфильтрации данных из нескольких экземпляров Salesforce, принадлежащих клиентам Klue, среди которых такие компании в области кибербезопасности, как Huntress. Злоумышленники использовали уязвимость в интеграциях между Klue и сторонним программным обеспечением, развернув вредоносное обновление кода, которое захватило OAuth-токены, используемые клиентами для подключения своих систем к Klue.
Извлеченные данные в основном включали бизнес-контакты, информацию о ценах и коммуникации, связанные с продажами. Важно отметить, что такие конфиденциальные данные, как пароли, платежная информация и инженерные детали, не пострадали. Инцидент не привел к компрометации продуктов или инфраструктуры Huntress, но затронул данные управления взаимоотношениями с клиентами (CRM).
В результате пострадавшим организациям было рекомендовано провести тщательные расследования, которые включали проверку журналов на наличие индикаторов компрометации (IOCs), отмену сеансов для уязвимых служб и анализ почтовых ящиков на предмет сообщений, которые могли исходить от злоумышленника. Журналы Salesforce и других интегрированных приложений предоставили важные сведения о характере вредоносной активности, указав, что почти все вредоносные запросы были направлены на конкретные конечные точки Salesforce. Большинство из них использовали уникальную строку User-Agent, которая вызвала подозрения в ходе расследования.
Инфраструктура угроз, используемая Icarus, включала IP-адреса, связанные с интернет-провайдерами в Нидерландах, Франции и Украине, с заметной связью с предыдущими спам-кампаниями. Huntress также обнаружила, что злоумышленники эксплуатировали почтовую инфраструктуру Global Retail Brands, австралийского ритейлера, владеющего затронутыми компаниями. Углубленный криминалистический анализ заголовков электронной почты подтвердил, что электронные сообщения от противника отправлялись с легитимных серверов, что дополнительно подтверждает сложность атаки.
Группа вымогателей Icarus появилась около 28 апреля 2026 года и связана с другими инцидентами взлома, которые могут включать данные Salesforce. В коммуникациях группы содержались идентификаторы Session Messenger, указывающие на их более ранние угрозы, что устанавливает прямую связь с текущим инцидентом Klue. Сообщения на сайте Icarus выражали уверенность в своих возможностях и намекали на дальнейшие раскрытия, связанные с более крупными корпоративными жертвами.
По мере того как последствия этого инцидента становятся очевидными, они подчеркивают уязвимости, присущие цепочке поставок программного обеспечения, и потенциальные каскадные эффекты для множества организаций, использующих взаимосвязанные системы. Компрометация Klue служит суровым напоминанием для компаний усилить свои позиции в области безопасности и подготовиться к растущей сложности киберугроз, нацеленных на экосистемы цепочки поставок.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Klue стал жертвой атаки на цепочку поставок, приписываемой злоумышленнику Icarus, что привело к несанкционированной эксфильтрации данных из экземпляров Salesforce, принадлежащих его клиентам. Атакующие использовали уязвимость в интеграциях с программным обеспечением сторонних производителей, развернув вредоносный код для захвата OAuth-токенов для доступа к данным. Атака была сложной, с использованием IP-адресов, связанных с предыдущими спам-кампаниями, и эксплуатацией инфраструктуры Global Retail Brands, с фокусом на конкретных конечных точках Salesforce.
-----
Klue, платформа рыночной аналитики, недавно стала жертвой атаки на цепочку поставок, приписываемой злоумышленнику, идентифицированному как Icarus. 11 июня в системах Klue было обнаружено аномальное поведение, что привело к несанкционированной эксфильтрации данных из нескольких экземпляров Salesforce, принадлежащих клиентам Klue, среди которых такие компании в области кибербезопасности, как Huntress. Злоумышленники использовали уязвимость в интеграциях между Klue и сторонним программным обеспечением, развернув вредоносное обновление кода, которое захватило OAuth-токены, используемые клиентами для подключения своих систем к Klue.
Извлеченные данные в основном включали бизнес-контакты, информацию о ценах и коммуникации, связанные с продажами. Важно отметить, что такие конфиденциальные данные, как пароли, платежная информация и инженерные детали, не пострадали. Инцидент не привел к компрометации продуктов или инфраструктуры Huntress, но затронул данные управления взаимоотношениями с клиентами (CRM).
В результате пострадавшим организациям было рекомендовано провести тщательные расследования, которые включали проверку журналов на наличие индикаторов компрометации (IOCs), отмену сеансов для уязвимых служб и анализ почтовых ящиков на предмет сообщений, которые могли исходить от злоумышленника. Журналы Salesforce и других интегрированных приложений предоставили важные сведения о характере вредоносной активности, указав, что почти все вредоносные запросы были направлены на конкретные конечные точки Salesforce. Большинство из них использовали уникальную строку User-Agent, которая вызвала подозрения в ходе расследования.
Инфраструктура угроз, используемая Icarus, включала IP-адреса, связанные с интернет-провайдерами в Нидерландах, Франции и Украине, с заметной связью с предыдущими спам-кампаниями. Huntress также обнаружила, что злоумышленники эксплуатировали почтовую инфраструктуру Global Retail Brands, австралийского ритейлера, владеющего затронутыми компаниями. Углубленный криминалистический анализ заголовков электронной почты подтвердил, что электронные сообщения от противника отправлялись с легитимных серверов, что дополнительно подтверждает сложность атаки.
Группа вымогателей Icarus появилась около 28 апреля 2026 года и связана с другими инцидентами взлома, которые могут включать данные Salesforce. В коммуникациях группы содержались идентификаторы Session Messenger, указывающие на их более ранние угрозы, что устанавливает прямую связь с текущим инцидентом Klue. Сообщения на сайте Icarus выражали уверенность в своих возможностях и намекали на дальнейшие раскрытия, связанные с более крупными корпоративными жертвами.
По мере того как последствия этого инцидента становятся очевидными, они подчеркивают уязвимости, присущие цепочке поставок программного обеспечения, и потенциальные каскадные эффекты для множества организаций, использующих взаимосвязанные системы. Компрометация Klue служит суровым напоминанием для компаний усилить свои позиции в области безопасности и подготовиться к растущей сложности киберугроз, нацеленных на экосистемы цепочки поставок.
#ParsedReport #CompletenessMedium
18-06-2026
Hot Take: Operation Endgame VS SocGholish
https://www.infoblox.com/blog/threat-intelligence/hot-take-operation-endgame-vs-socgholish/
Report completeness: Medium
Actors/Campaigns:
Evil_corp (motivation: cyber_criminal)
Ta569
Silverfish
Ta2726 (motivation: financially_motivated)
Threats:
Socgholish_loader
Icedid
Smokeloader
Pikabot
Bumblebee
Qakbot
Danabot
Trickbot
Rhadamanthys
Venomrat
Elysium_stealer
Doppelpaymer
Wastedlocker
Hades
Lockbit
Ransomhub
Parrot_tds_tool
Junkytds_tool
Victims:
Enterprises, Institutions, Government, Education, Banking, Healthcare, Non it services, Hospitality, Critical infrastructure
Industry:
Critical_infrastructure, Entertainment, Healthcare, Education, Financial, Petroleum, Government
Geo:
Russian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1059.007, T1105, T1132.001, T1189, T1204.002, T1497.001, T1584.001, T1659
IOCs:
Domain: 12
Soft:
WordPress, Keitaro, Firefox, Outlook
Algorithms:
base64
Languages:
jscript, javascript
Platforms:
intel
18-06-2026
Hot Take: Operation Endgame VS SocGholish
https://www.infoblox.com/blog/threat-intelligence/hot-take-operation-endgame-vs-socgholish/
Report completeness: Medium
Actors/Campaigns:
Evil_corp (motivation: cyber_criminal)
Ta569
Silverfish
Ta2726 (motivation: financially_motivated)
Threats:
Socgholish_loader
Icedid
Smokeloader
Pikabot
Bumblebee
Qakbot
Danabot
Trickbot
Rhadamanthys
Venomrat
Elysium_stealer
Doppelpaymer
Wastedlocker
Hades
Lockbit
Ransomhub
Parrot_tds_tool
Junkytds_tool
Victims:
Enterprises, Institutions, Government, Education, Banking, Healthcare, Non it services, Hospitality, Critical infrastructure
Industry:
Critical_infrastructure, Entertainment, Healthcare, Education, Financial, Petroleum, Government
Geo:
Russian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1059.007, T1105, T1132.001, T1189, T1204.002, T1497.001, T1584.001, T1659
IOCs:
Domain: 12
Soft:
WordPress, Keitaro, Firefox, Outlook
Algorithms:
base64
Languages:
jscript, javascript
Platforms:
intel
Infoblox Blog
Operation Endgame vs. SocGholish Fake Updates
Nearly 55% of enterprises were exposed to SocGholish through compromised websites before Operation Endgame disrupted the malware actor connected to EvilCorp.
CTT Report Hub
#ParsedReport #CompletenessMedium 18-06-2026 Hot Take: Operation Endgame VS SocGholish https://www.infoblox.com/blog/threat-intelligence/hot-take-operation-endgame-vs-socgholish/ Report completeness: Medium Actors/Campaigns: Evil_corp (motivation: cyber_criminal)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция Endgame сорвала работу фреймворка SocGholish, который использовался для первоначального доступа в киберкриминале, особенно группой EvilCorp. Злоумышленник TA569 применяет многоэтапный JavaScript-фреймворк для доставки вредоносных загрузок через скомпрометированные сайты WordPress, используя такие техники, как профилирование и теневое доменное пространство, чтобы избежать обнаружения. SocGholish служит плацдармом для дальнейших атак, включая развертывание программ-вымогателей, при этом его оперативное воздействие было значительным, несмотря на то что защита блокировала большинство соединений.
-----
Операция Endgame сорвала работу фреймворка SocGholish, используемого для доставки первоначального доступа, связанного с EvilCorp.
106 серверов и доменов, связанных с SocGholish, были выведены из строя, что затронуло почти 15 000 скомпрометированных сайтов WordPress.
SocGholish, активный почти десятилетие, часто является отправной точкой для утечек данных, обеспечивающих последующее развертывание ВПО.
Злоумышленник TA569, также известный как Mustard Tempest, специализируется на компрометации устройств в корпоративных сетях для продажи доступа с повышенными привилегиями.
SocGholish связан с семействами программ-вымогателей, такими как DoppelPaymer и LockBit, что подчеркивает его важность в киберкриминале.
ВПО использует многоэтапный фреймворк JavaScript для drive-by загрузок, нацеленных на пользователей с поддельными уведомлениями об обновлениях.
Трафик на скомпрометированные сайты фильтруется с использованием техник отпечатков для обхода обнаружения.
Многоуровневая инфраструктура маршрутизирует трафик через аффилиатов, чтобы скрыть источник атаки.
ВПО предоставляет шаблоны, имитирующие легитимные обновления браузеров, обманывая пользователей и заставляя их запускать вредоносные скрипты.
Шестистрочный скрипт-стагер подключается к серверу управления для оценки ценности зараженной системы на основе корпоративных сетевых подключений.
Теневое доменное имя используется для создания поддельных поддоменов в рамках легитимных доменов, что повышает операционную безопасность и позволяет избегать внимания.
Быстрая ротация теневых доменов усложняет обнаружение для защитников из-за ограниченного времени на реакцию.
Более половины проанализированных клиентских сетей пытались подключиться к инфраструктуре, связанной с SocGholish, за последние пять месяцев.
Большинство соединений были заблокированы существующими средствами защиты безопасности, однако единичное успешное использование уязвимости может привести к значительным утечкам данных.
Постоянный мониторинг будет иметь решающее значение для адаптации к меняющемуся ландшафту киберугроз после операции Endgame.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция Endgame сорвала работу фреймворка SocGholish, который использовался для первоначального доступа в киберкриминале, особенно группой EvilCorp. Злоумышленник TA569 применяет многоэтапный JavaScript-фреймворк для доставки вредоносных загрузок через скомпрометированные сайты WordPress, используя такие техники, как профилирование и теневое доменное пространство, чтобы избежать обнаружения. SocGholish служит плацдармом для дальнейших атак, включая развертывание программ-вымогателей, при этом его оперативное воздействие было значительным, несмотря на то что защита блокировала большинство соединений.
-----
Операция Endgame сорвала работу фреймворка SocGholish, используемого для доставки первоначального доступа, связанного с EvilCorp.
106 серверов и доменов, связанных с SocGholish, были выведены из строя, что затронуло почти 15 000 скомпрометированных сайтов WordPress.
SocGholish, активный почти десятилетие, часто является отправной точкой для утечек данных, обеспечивающих последующее развертывание ВПО.
Злоумышленник TA569, также известный как Mustard Tempest, специализируется на компрометации устройств в корпоративных сетях для продажи доступа с повышенными привилегиями.
SocGholish связан с семействами программ-вымогателей, такими как DoppelPaymer и LockBit, что подчеркивает его важность в киберкриминале.
ВПО использует многоэтапный фреймворк JavaScript для drive-by загрузок, нацеленных на пользователей с поддельными уведомлениями об обновлениях.
Трафик на скомпрометированные сайты фильтруется с использованием техник отпечатков для обхода обнаружения.
Многоуровневая инфраструктура маршрутизирует трафик через аффилиатов, чтобы скрыть источник атаки.
ВПО предоставляет шаблоны, имитирующие легитимные обновления браузеров, обманывая пользователей и заставляя их запускать вредоносные скрипты.
Шестистрочный скрипт-стагер подключается к серверу управления для оценки ценности зараженной системы на основе корпоративных сетевых подключений.
Теневое доменное имя используется для создания поддельных поддоменов в рамках легитимных доменов, что повышает операционную безопасность и позволяет избегать внимания.
Быстрая ротация теневых доменов усложняет обнаружение для защитников из-за ограниченного времени на реакцию.
Более половины проанализированных клиентских сетей пытались подключиться к инфраструктуре, связанной с SocGholish, за последние пять месяцев.
Большинство соединений были заблокированы существующими средствами защиты безопасности, однако единичное успешное использование уязвимости может привести к значительным утечкам данных.
Постоянный мониторинг будет иметь решающее значение для адаптации к меняющемуся ландшафту киберугроз после операции Endgame.
#ParsedReport #CompletenessLow
16-06-2026
From a VHDX File to a Remcos RAT
https://dshield.org/diary/From+a+VHDX+File+to+a+Remcos+RAT/33080/
Report completeness: Low
Threats:
Remcos_rat
Victims:
German speaking victims
Geo:
German
ChatGPT TTPs:
T1027, T1047, T1055, T1059.001, T1059.007, T1105, T1140, T1547.001, T1620
IOCs:
Hash: 3
File: 5
Url: 2
Domain: 1
Registry: 1
Path: 1
Algorithms:
sha256, base64, xor, zip
Functions:
ConnectServer
Languages:
powershell, javascript
16-06-2026
From a VHDX File to a Remcos RAT
https://dshield.org/diary/From+a+VHDX+File+to+a+Remcos+RAT/33080/
Report completeness: Low
Threats:
Remcos_rat
Victims:
German speaking victims
Geo:
German
ChatGPT TTPs:
do not use without manual checkT1027, T1047, T1055, T1059.001, T1059.007, T1105, T1140, T1547.001, T1620
IOCs:
Hash: 3
File: 5
Url: 2
Domain: 1
Registry: 1
Path: 1
Algorithms:
sha256, base64, xor, zip
Functions:
ConnectServer
Languages:
powershell, javascript
SANS Internet Storm Center
From a VHDX File to a Remcos RAT - SANS Internet Storm Center
From a VHDX File to a Remcos RAT, Author: Xavier Mertens
CTT Report Hub
#ParsedReport #CompletenessLow 16-06-2026 From a VHDX File to a Remcos RAT https://dshield.org/diary/From+a+VHDX+File+to+a+Remcos+RAT/33080/ Report completeness: Low Threats: Remcos_rat Victims: German speaking victims Geo: German ChatGPT TTPs: do not…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавний инцидент в области кибербезопасности связан с ZIP-архивом, содержащим VHDX-файл с вредоносным JavaScript-кодом, нацеленным на немецкоязычных жертв. ВПО использует трехэтапный процесс с применением WMI для запуска закодированного PowerShell-скрипта, который восстанавливает код из произвольных строк для избежания обнаружения и в конечном итоге внедряет полезную нагрузку, идентифицированную как Remcos — троянская программа для удаленного доступа (RAT). Этот подход включает методы обхода мер безопасности и закрепления через модификации системного реестра.
-----
Недавний инцидент в области кибербезопасности связан с вредоносным ZIP-архивом, который после извлечения содержит VHDX-файл, а при его монтировании обнаруживается вредоносный JavaScript-файл. ВПО использует продвинутые техники для обхода начальных мер безопасности, эксплуатируя формат VHDX — подход, который, хотя и встречался ранее, в последнее время стал менее распространенным. JavaScript-файл, идентифицированный как Partnerschaft_fur_neue_Angebotsanfrage.js, нацелен преимущественно на немецкоязычных жертв и содержит обфусцированный код вместе с избыточными комментариями для сокрытия его функциональности.
Вредоносный JavaScript работает в три этапа. На начальном этапе он использует WMI (Инструментарий управления Windows) для запуска скрипта PowerShell. Этот метод предназначен для обхода средств обнаружения и реагирования на конечных точках (EDR) путем создания менее контролируемого канала: от JavaScript к WMI, а затем к PowerShell, избегая более распространенной и обнаруживаемой прямой связи от JavaScript к PowerShell.
Скрипт PowerShell интригующе закодирован, поскольку он восстанавливает операционный код из различных конкатенированных строк, расположенных в каталоге %LOCALAPPDATA%, а именно в файле с именем Tamale. Этот процесс включает выбор каждого четвертого символа из группы произвольных строк, что дополнительно усложняет анализ. Кроме того, скрипт использует метод дешифрования, который применяет кодировку Base64 и ключ XOR "Identificational", остающийся неизменным для связанных скриптов.
После успешного извлечения скрипт PowerShell выполняет свой третий этап, который функционирует как отражательный загрузчик .NET на PowerShell. Этот этап характерен для поведения ВПО, использующего метод System.Reflection.Assembly.Load() для получения полезной нагрузки. Затем эта полезная нагрузка внедряется в запущенный процесс, обозначенный как backgroundTaskHost.exe, который устанавливает связь с сервером управления (C2).
Анализ показывает, что финальный полезный груз представляет собой Remcos, известную троянскую программу для удаленного доступа (RAT). Для закрепления вредоносная операция регистрирует ключ Run, который позволяет загрузчику PowerShell выполняться автоматически, обеспечивая сохранение активности ВПО даже после перезагрузки системы. Этот многогранный подход, использующий различные техники обфускации и продвинутые методы скриптования, демонстрирует текущие тенденции в киберугрозах, направленные на эксплуатацию уязвимостей в злонамеренных целях.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавний инцидент в области кибербезопасности связан с ZIP-архивом, содержащим VHDX-файл с вредоносным JavaScript-кодом, нацеленным на немецкоязычных жертв. ВПО использует трехэтапный процесс с применением WMI для запуска закодированного PowerShell-скрипта, который восстанавливает код из произвольных строк для избежания обнаружения и в конечном итоге внедряет полезную нагрузку, идентифицированную как Remcos — троянская программа для удаленного доступа (RAT). Этот подход включает методы обхода мер безопасности и закрепления через модификации системного реестра.
-----
Недавний инцидент в области кибербезопасности связан с вредоносным ZIP-архивом, который после извлечения содержит VHDX-файл, а при его монтировании обнаруживается вредоносный JavaScript-файл. ВПО использует продвинутые техники для обхода начальных мер безопасности, эксплуатируя формат VHDX — подход, который, хотя и встречался ранее, в последнее время стал менее распространенным. JavaScript-файл, идентифицированный как Partnerschaft_fur_neue_Angebotsanfrage.js, нацелен преимущественно на немецкоязычных жертв и содержит обфусцированный код вместе с избыточными комментариями для сокрытия его функциональности.
Вредоносный JavaScript работает в три этапа. На начальном этапе он использует WMI (Инструментарий управления Windows) для запуска скрипта PowerShell. Этот метод предназначен для обхода средств обнаружения и реагирования на конечных точках (EDR) путем создания менее контролируемого канала: от JavaScript к WMI, а затем к PowerShell, избегая более распространенной и обнаруживаемой прямой связи от JavaScript к PowerShell.
Скрипт PowerShell интригующе закодирован, поскольку он восстанавливает операционный код из различных конкатенированных строк, расположенных в каталоге %LOCALAPPDATA%, а именно в файле с именем Tamale. Этот процесс включает выбор каждого четвертого символа из группы произвольных строк, что дополнительно усложняет анализ. Кроме того, скрипт использует метод дешифрования, который применяет кодировку Base64 и ключ XOR "Identificational", остающийся неизменным для связанных скриптов.
После успешного извлечения скрипт PowerShell выполняет свой третий этап, который функционирует как отражательный загрузчик .NET на PowerShell. Этот этап характерен для поведения ВПО, использующего метод System.Reflection.Assembly.Load() для получения полезной нагрузки. Затем эта полезная нагрузка внедряется в запущенный процесс, обозначенный как backgroundTaskHost.exe, который устанавливает связь с сервером управления (C2).
Анализ показывает, что финальный полезный груз представляет собой Remcos, известную троянскую программу для удаленного доступа (RAT). Для закрепления вредоносная операция регистрирует ключ Run, который позволяет загрузчику PowerShell выполняться автоматически, обеспечивая сохранение активности ВПО даже после перезагрузки системы. Этот многогранный подход, использующий различные техники обфускации и продвинутые методы скриптования, демонстрирует текущие тенденции в киберугрозах, направленные на эксплуатацию уязвимостей в злонамеренных целях.
#ParsedReport #CompletenessLow
15-06-2026
Inside a malicious infrastructure delivering EtherRAT, phishing pages, and malicious software
https://securityboulevard.com/2026/06/inside-a-malicious-infrastructure-delivering-etherrat-phishing-pages-and-malicious-software/
Report completeness: Low
Threats:
Etherrat
Msi_loader
Industry:
Financial
ChatGPT TTPs:
T1027, T1056.003, T1059.001, T1059.003, T1059.007, T1102.001, T1105, T1112, T1140, T1204.001, have more...
IOCs:
File: 13
Command: 5
Path: 3
Coin: 2
Url: 1
Soft:
Node.js, curl
Wallets:
mainnet
Crypto:
ethereum
Algorithms:
xor
Languages:
jscript, powershell, php, javascript
15-06-2026
Inside a malicious infrastructure delivering EtherRAT, phishing pages, and malicious software
https://securityboulevard.com/2026/06/inside-a-malicious-infrastructure-delivering-etherrat-phishing-pages-and-malicious-software/
Report completeness: Low
Threats:
Etherrat
Msi_loader
Industry:
Financial
ChatGPT TTPs:
do not use without manual checkT1027, T1056.003, T1059.001, T1059.003, T1059.007, T1102.001, T1105, T1112, T1140, T1204.001, have more...
IOCs:
File: 13
Command: 5
Path: 3
Coin: 2
Url: 1
Soft:
Node.js, curl
Wallets:
mainnet
Crypto:
ethereum
Algorithms:
xor
Languages:
jscript, powershell, php, javascript
Security Boulevard
Inside a malicious infrastructure delivering EtherRAT, phishing pages, and malicious software
We found EtherRAT malware being distributed by a website with a strange homepage. Following the trail, we discovered a vast network of malicious infrastructures, distributing malware, malicious documents, remote desktop software, and phishing pages.
CTT Report Hub
#ParsedReport #CompletenessLow 15-06-2026 Inside a malicious infrastructure delivering EtherRAT, phishing pages, and malicious software https://securityboulevard.com/2026/06/inside-a-malicious-infrastructure-delivering-etherrat-phishing-pages-and-malicious…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В ходе недавних поисков угроз была выявлена инфраструктура, распространяющая EtherRAT — Троянская программа на базе Node.js, позволяющая злоумышленникам управлять зараженными машинами через сервер управления, используя блокчейн Ethereum для получения IP-адресов с целью предотвращения отключения. Распространение осуществляется через MSI-установщики и скрипты PowerShell, при этом ВПО способно выполнять произвольные команды, изменять систему и способствовать эксфильтрации данных, одновременно динамически маскируя себя для предотвращения обнаружения. Связанные кампании фишинг используют вредоносные документы для заманивания пользователей, раскрывая части фишинговых наборов для дальнейшего анализа их тактик.
-----
В ходе недавних операций по поиску угроз была обнаружена вредоносная инфраструктура, занимающаяся распространением вредоносного ПО EtherRAT, фишинговых страниц и различных типов вредоносного программного обеспечения. EtherRAT, Троянская программа (RAT), созданная на Node.js, позволяет злоумышленникам полностью контролировать зараженные машины и выполнять произвольные команды, полученные с сервера управления (C2). Отличительной особенностью EtherRAT является использование блокчейна Ethereum для получения адреса сервера управления, что повышает его устойчивость к попыткам отключения.
Обнаружение началось с открытой директории, которая распространяла MSI-установщики и скрипты PowerShell, предназначенные для загрузки EtherRAT. Эти инструменты имели последовательную нумерацию версий от v1 до v10, что указывало на эволюционирующую технику распространения. Злоумышленнические веб-сайты, связанные с этой инфраструктурой, часто имели хакерскую тематику и размещали несколько папок с ВПО и фишинг-контентом, что отражало более широкую экосистему злонамеренной деятельности.
Распространение EtherRAT в основном происходит через MSI-файлы или скрипты PowerShell, которые инициируют установку ВПО. Загрузчик MSI извлекает необходимые файлы в папку со случайным именем в %LOCALAPPDATA% пользователя. Затем он выполняет команды посредством серии шагов, включающих использование Node.js, который он загружает при отсутствии, и поиск полезной нагрузки EtherRAT для её выполнения. Этот RAT может выполнять произвольный JavaScript-код с сервера C2, что позволяет осуществлять операции с файлами, модификации реестра и эксфильтрацию данных.
Загрузчик PowerShell работает аналогичным образом, имея собственные варианты, которые изменяют имена функций и алгоритмы шифрования, но в конечном итоге следуют тому же потоку операций по установке и выполнению EtherRAT. После запуска вредоносное ПО связывается с сервером C2, отправляя свой исходный код и получая взамен новую зашифрованную версию, что гарантирует генерацию другого хеша файла при каждом выполнении, усложняя усилия по обнаружению.
Базовая архитектура этой вредоносной инфраструктуры выглядит интегрированной и динамичной, возможно, общей для нескольких злоумышленников. Ранее на ней размещались многочисленные фишинговые кампании, которые обычно начинались с писем, содержащих вредоносные документы, такие как PDF-файлы или файлы Excel. Эти документы побуждали пользователей переходить по ссылкам, ведущим на дополнительные фишинговые или вредоносные страницы. Кроме того, были обнаружены ошибки конфигурации, которые открывали доступ к частям фишинговых наборов, позволяя анализировать тактики, применяемые в этих кампаниях.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В ходе недавних поисков угроз была выявлена инфраструктура, распространяющая EtherRAT — Троянская программа на базе Node.js, позволяющая злоумышленникам управлять зараженными машинами через сервер управления, используя блокчейн Ethereum для получения IP-адресов с целью предотвращения отключения. Распространение осуществляется через MSI-установщики и скрипты PowerShell, при этом ВПО способно выполнять произвольные команды, изменять систему и способствовать эксфильтрации данных, одновременно динамически маскируя себя для предотвращения обнаружения. Связанные кампании фишинг используют вредоносные документы для заманивания пользователей, раскрывая части фишинговых наборов для дальнейшего анализа их тактик.
-----
В ходе недавних операций по поиску угроз была обнаружена вредоносная инфраструктура, занимающаяся распространением вредоносного ПО EtherRAT, фишинговых страниц и различных типов вредоносного программного обеспечения. EtherRAT, Троянская программа (RAT), созданная на Node.js, позволяет злоумышленникам полностью контролировать зараженные машины и выполнять произвольные команды, полученные с сервера управления (C2). Отличительной особенностью EtherRAT является использование блокчейна Ethereum для получения адреса сервера управления, что повышает его устойчивость к попыткам отключения.
Обнаружение началось с открытой директории, которая распространяла MSI-установщики и скрипты PowerShell, предназначенные для загрузки EtherRAT. Эти инструменты имели последовательную нумерацию версий от v1 до v10, что указывало на эволюционирующую технику распространения. Злоумышленнические веб-сайты, связанные с этой инфраструктурой, часто имели хакерскую тематику и размещали несколько папок с ВПО и фишинг-контентом, что отражало более широкую экосистему злонамеренной деятельности.
Распространение EtherRAT в основном происходит через MSI-файлы или скрипты PowerShell, которые инициируют установку ВПО. Загрузчик MSI извлекает необходимые файлы в папку со случайным именем в %LOCALAPPDATA% пользователя. Затем он выполняет команды посредством серии шагов, включающих использование Node.js, который он загружает при отсутствии, и поиск полезной нагрузки EtherRAT для её выполнения. Этот RAT может выполнять произвольный JavaScript-код с сервера C2, что позволяет осуществлять операции с файлами, модификации реестра и эксфильтрацию данных.
Загрузчик PowerShell работает аналогичным образом, имея собственные варианты, которые изменяют имена функций и алгоритмы шифрования, но в конечном итоге следуют тому же потоку операций по установке и выполнению EtherRAT. После запуска вредоносное ПО связывается с сервером C2, отправляя свой исходный код и получая взамен новую зашифрованную версию, что гарантирует генерацию другого хеша файла при каждом выполнении, усложняя усилия по обнаружению.
Базовая архитектура этой вредоносной инфраструктуры выглядит интегрированной и динамичной, возможно, общей для нескольких злоумышленников. Ранее на ней размещались многочисленные фишинговые кампании, которые обычно начинались с писем, содержащих вредоносные документы, такие как PDF-файлы или файлы Excel. Эти документы побуждали пользователей переходить по ссылкам, ведущим на дополнительные фишинговые или вредоносные страницы. Кроме того, были обнаружены ошибки конфигурации, которые открывали доступ к частям фишинговых наборов, позволяя анализировать тактики, применяемые в этих кампаниях.
🔥1
#ParsedReport #CompletenessLow
23-06-2026
PixelSmash – Critical FFmpeg Vulnerability Turns Media Files into Weapons
https://jfrog.com/blog/pixelsmash-critical-ffmpeg-vulnerability-turns-media-files-into-weapons/
Report completeness: Low
Threats:
Pixelsmash_vuln
Supply_chain_technique
Lumma_stealer
Victims:
Media processing applications, Media servers, Cloud storage platforms, Cloud transcoding services, Chat platforms, Network attached storage appliances, Smart televisions, Photo management platforms, Artificial intelligence and machine learning infrastructure, Linux desktop environments, have more...
Industry:
Media, Iot
CVEs:
CVE-2026-8461 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1036, T1059.004, T1190, T1203, T1204.002, T1499.004
IOCs:
File: 5
Soft:
MagicYUV, Linux, Jellyfin, Slack, Discord, Telegram, Ubuntu, Debian, Fedora, Alpine, have more...
Functions:
system, free
23-06-2026
PixelSmash – Critical FFmpeg Vulnerability Turns Media Files into Weapons
https://jfrog.com/blog/pixelsmash-critical-ffmpeg-vulnerability-turns-media-files-into-weapons/
Report completeness: Low
Threats:
Pixelsmash_vuln
Supply_chain_technique
Lumma_stealer
Victims:
Media processing applications, Media servers, Cloud storage platforms, Cloud transcoding services, Chat platforms, Network attached storage appliances, Smart televisions, Photo management platforms, Artificial intelligence and machine learning infrastructure, Linux desktop environments, have more...
Industry:
Media, Iot
CVEs:
CVE-2026-8461 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036, T1059.004, T1190, T1203, T1204.002, T1499.004
IOCs:
File: 5
Soft:
MagicYUV, Linux, Jellyfin, Slack, Discord, Telegram, Ubuntu, Debian, Fedora, Alpine, have more...
Functions:
system, free
JFrog
PixelSmash - Critical FFmpeg Vulnerability Turns Media Files into Weapons
PixelSmash (CVE-2026-8461) is a high-severity FFmpeg flaw discovered by JFrog that allows remote code execution via a malformed 50 KB media file. Upgrading is urged.