CTT Report Hub
#ParsedReport #CompletenessLow 23-06-2026 PixelSmash – Critical FFmpeg Vulnerability Turns Media Files into Weapons https://jfrog.com/blog/pixelsmash-critical-ffmpeg-vulnerability-turns-media-files-into-weapons/ Report completeness: Low Threats: Pixelsmash_vuln…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Критическая уязвимость CVE-2026-8461 в декодере MagicYUV FFmpeg позволяет выполнять Удаленное Выполнение Кода с помощью специально созданных медиафайлов, затрагивая такие приложения, как Kodi и Jellyfin. Ошибка возникает из-за записи за пределами кучи (heap out-of-bounds write) вследствие неправильной проверки высоты среза (slice height), что позволяет злоумышленникам эксплуатировать её, просто доставляя вредоносные файлы для обработки. Эта уязвимость представляет значительные риски, так как может быть активирована без взаимодействия с пользователем, приводя к сбоям приложений и потенциальному произвольному выполнению кода в различном программном обеспечении, использующем FFmpeg.
-----
Критическая уязвимость в декодере MagicYUV FFmpeg, обозначенная как CVE-2026-8461, позволяет осуществлять Удаленное Выполнение Кода через созданные медиафайлы.
Уязвимость возникает из-за записи за пределами кучи с оценкой CVSS 8.8.
Затронутые приложения включают Kodi, Jellyfin и Nextcloud, которые используют FFmpeg.
Для эксплуатации злоумышленник должен доставить вредоносный файл AVI, MKV или MOV в программное обеспечение, декодирующее видео с использованием libavcodec от FFmpeg.
Атака может произойти через открытие пользователем вредоносных файлов или автоматическую обработку на медиа-серверах.
Для выполнения задачи не требуются расширенные права или дальнейшее взаимодействие с пользователем, помимо первоначальной доставки файла.
Уязвимость вызвана несоответствием округления в коде обработки срезов декодера MagicYUV.
Некорректная проверка высоты среза позволяет злоумышленникам манипулировать памятью буфера.
Успешные эксплойты в Jellyfin продемонстрировали произвольное выполнение команд через обычное сканирование медиатеки.
Уязвимость классифицируется как риск цепочки поставок из-за широкого внедрения FFmpeg в различные приложения.
Многие разработчики пренебрегают тщательной проверкой реализаций кодеков FFmpeg, что позволяет скрыто распространять уязвимости.
Автоматическое извлечение метаданных при загрузке медиафайлов может привести к скрытой эксплуатации без уведомления администраторов.
Скомпрометированные системы могут оставаться незамеченными, создавая значительные операционные риски и потенциал для неэффективной с точки зрения затрат эксплуатации.
Новые поверхности атак в инфраструктурах ИИ/МО, обрабатывающих видеовход, указывают на необходимость расследования аналогичных уязвимостей.
Для систем, использующих FFmpeg, критически важно обновиться до исправленных версий или отключить уязвимый декодер MagicYUV для снижения рисков.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Критическая уязвимость CVE-2026-8461 в декодере MagicYUV FFmpeg позволяет выполнять Удаленное Выполнение Кода с помощью специально созданных медиафайлов, затрагивая такие приложения, как Kodi и Jellyfin. Ошибка возникает из-за записи за пределами кучи (heap out-of-bounds write) вследствие неправильной проверки высоты среза (slice height), что позволяет злоумышленникам эксплуатировать её, просто доставляя вредоносные файлы для обработки. Эта уязвимость представляет значительные риски, так как может быть активирована без взаимодействия с пользователем, приводя к сбоям приложений и потенциальному произвольному выполнению кода в различном программном обеспечении, использующем FFmpeg.
-----
Критическая уязвимость в декодере MagicYUV FFmpeg, обозначенная как CVE-2026-8461, позволяет осуществлять Удаленное Выполнение Кода через созданные медиафайлы.
Уязвимость возникает из-за записи за пределами кучи с оценкой CVSS 8.8.
Затронутые приложения включают Kodi, Jellyfin и Nextcloud, которые используют FFmpeg.
Для эксплуатации злоумышленник должен доставить вредоносный файл AVI, MKV или MOV в программное обеспечение, декодирующее видео с использованием libavcodec от FFmpeg.
Атака может произойти через открытие пользователем вредоносных файлов или автоматическую обработку на медиа-серверах.
Для выполнения задачи не требуются расширенные права или дальнейшее взаимодействие с пользователем, помимо первоначальной доставки файла.
Уязвимость вызвана несоответствием округления в коде обработки срезов декодера MagicYUV.
Некорректная проверка высоты среза позволяет злоумышленникам манипулировать памятью буфера.
Успешные эксплойты в Jellyfin продемонстрировали произвольное выполнение команд через обычное сканирование медиатеки.
Уязвимость классифицируется как риск цепочки поставок из-за широкого внедрения FFmpeg в различные приложения.
Многие разработчики пренебрегают тщательной проверкой реализаций кодеков FFmpeg, что позволяет скрыто распространять уязвимости.
Автоматическое извлечение метаданных при загрузке медиафайлов может привести к скрытой эксплуатации без уведомления администраторов.
Скомпрометированные системы могут оставаться незамеченными, создавая значительные операционные риски и потенциал для неэффективной с точки зрения затрат эксплуатации.
Новые поверхности атак в инфраструктурах ИИ/МО, обрабатывающих видеовход, указывают на необходимость расследования аналогичных уязвимостей.
Для систем, использующих FFmpeg, критически важно обновиться до исправленных версий или отключить уязвимый декодер MagicYUV для снижения рисков.
#ParsedReport #CompletenessHigh
22-06-2026
GhostShell (MB-0009): Targeting Ukraine’s UAV Operations and Defense Supply Chain
https://blog.synapticsystems.de/ghostshell-mb-0009-targeting-ukraines-uav-operations-and-defense-supply-chain/
Report completeness: High
Actors/Campaigns:
Uac-0244
Gamaredon
Threats:
Supply_chain_technique
Ghostshell
Kraken_cryptor
Mantis_botnet
Metasploit_tool
Process_injection_technique
Xray_tool
Native_loader
Vidar_stealer
Dead_drop_technique
Antidebugging_technique
Spear-phishing_technique
Victims:
Ukraine, Uav operations, Drone supply chain, Military units, Technical personnel, Procurement staff, Volunteer organizations, Defense sector partners
Industry:
Military, Healthcare
Geo:
Spain, Ukrainian, Russia, German, Ukraine, Moldova, Kazakhstan, Germany, Ukraines
CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)
TTPs:
Tactics: 7
Technics: 14
IOCs:
File: 15
Domain: 2
Url: 7
Hash: 17
IP: 6
Path: 1
Soft:
WinHTTP, Windows Security, Telegram, Discord, Steam, Outlook, curl, nginx
Algorithms:
base64, gzip, ecdsa, xor, sha256, md5, aes-256-cbc, ecdh, aes-256-gcm
Functions:
GetComputerName, GetUserName, CreateFile, GetTempPath
Win API:
VirtualAlloc, VirtualProtect, LoadLibrary, GetProcAddress, WinHttpSetOption, GdiplusStartup, GetDC, CreateCompatibleBitmap, BitBlt, CreateProcess, have more...
Win Services:
bits
Languages:
golang, visual_basic, python
Platforms:
x64
22-06-2026
GhostShell (MB-0009): Targeting Ukraine’s UAV Operations and Defense Supply Chain
https://blog.synapticsystems.de/ghostshell-mb-0009-targeting-ukraines-uav-operations-and-defense-supply-chain/
Report completeness: High
Actors/Campaigns:
Uac-0244
Gamaredon
Threats:
Supply_chain_technique
Ghostshell
Kraken_cryptor
Mantis_botnet
Metasploit_tool
Process_injection_technique
Xray_tool
Native_loader
Vidar_stealer
Dead_drop_technique
Antidebugging_technique
Spear-phishing_technique
Victims:
Ukraine, Uav operations, Drone supply chain, Military units, Technical personnel, Procurement staff, Volunteer organizations, Defense sector partners
Industry:
Military, Healthcare
Geo:
Spain, Ukrainian, Russia, German, Ukraine, Moldova, Kazakhstan, Germany, Ukraines
CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)
TTPs:
Tactics: 7
Technics: 14
IOCs:
File: 15
Domain: 2
Url: 7
Hash: 17
IP: 6
Path: 1
Soft:
WinHTTP, Windows Security, Telegram, Discord, Steam, Outlook, curl, nginx
Algorithms:
base64, gzip, ecdsa, xor, sha256, md5, aes-256-cbc, ecdh, aes-256-gcm
Functions:
GetComputerName, GetUserName, CreateFile, GetTempPath
Win API:
VirtualAlloc, VirtualProtect, LoadLibrary, GetProcAddress, WinHttpSetOption, GdiplusStartup, GetDC, CreateCompatibleBitmap, BitBlt, CreateProcess, have more...
Win Services:
bits
Languages:
golang, visual_basic, python
Platforms:
x64
Synaptic Security Blog
GhostShell (MB-0009): Targeting Ukraine’s UAV Operations and Defense Supply Chain - Synaptic Security Blog
by Robin Dost Today, we are taking a look at malware linked to yet another threat actor, one that has been active since at least February 2026. Since I could not associate the malware with any previously attributed threat actor, I am naming the actor GhostShell…
CTT Report Hub
#ParsedReport #CompletenessHigh 22-06-2026 GhostShell (MB-0009): Targeting Ukraine’s UAV Operations and Defense Supply Chain https://blog.synapticsystems.de/ghostshell-mb-0009-targeting-ukraines-uav-operations-and-defense-supply-chain/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная кампания GhostShell (MB-0009) нацелена на операции беспилотных летательных аппаратов (БПЛА) и цепочки поставок обороны Украины, используя уязвимости CVE-2025-8088 и CVE-2025-6218 для доставки полезной нагрузки, скрытой в архиве RAR. Она включает многоэтапный процесс заражения, инициируемый сценарием Visual Basic Script (VBS), который обеспечивает закрепление и загрузку исполняемых файлов, включая 122.exe и update.exe, каждый из которых использует передовые методы обхода обнаружения и криптографические меры. Кроме того, компонент под названием 22.exe доставляет стиллер Vidar v2, предназначенный для эксфильтрации конфиденциальных пользовательских данных, что указывает на сложную и стратегическую угрозу для операционных и разведывательных структур в секторе обороны Украины.
-----
Вредоносная кампания GhostShell (MB-0009) нацелена на операции беспилотных летательных аппаратов и Цепочку поставок обороны Украины с февраля 2026 года.
Этот злоумышленник действует с уникальной атакованной инфраструктурой и методологиями, не связанными с известными группами.
ВПО использует уязвимости CVE-2025-8088 и CVE-2025-6218.
Вредоносные полезная нагрузка доставляется в архиве RAR с именем «Besomar_documentation.rar», имитируя легитимную документацию украинского производителя дронов Besomar.
Основные цели включают военные подразделения и персонал оборонного сектора.
ВПО имеет многоэтапный процесс заражения, использующий Visual Basic Script (VBS) для закрепления через папку автозагрузки Windows.
Файл VBS загружает исполняемые файлы 122.exe и update.exe с домена управления (C2) cloudaxis.cc.
Векторы атак используют техники уклонения, такие как обнаружение песочницы и взаимная TLS (mTLS) связь с сервером C2.
Исполняемый файл 122.exe действует как загрузчик, использующий механизм наложения CRPT XOR для выполнения имплантата второго этапа в памяти.
Второй этап внедрения проходит аутентификацию с помощью встроенного клиентского сертификата mTLS на основе эллиптической кривой.
update.exe функционирует как загрузчик в памяти, выполняя маскировку под Службу Windows, проводя проверки на антианализ и загружая полезную нагрузку.
Ещё один компонент, 22.exe, работает как многоступенчатый загрузчик, использующий шифрование AES-256-GCM для своей конфигурации, и действует как скрытый транспортный слой.
exe доставляет Vidar v2, стиллер, нацеленный на конфиденциальные пользовательские данные, включая пароли и информацию о криптовалюте.
Кампания указывает на стратегическую направленность на эксплуатацию уязвимостей цепочки поставок высокого уровня, связанных с обороной Украины.
Использование Телеграм для разрешения C2-хоста демонстрирует современную адаптивность угроз и усложняет усилия по атрибуции.
Идентификаторы, такие как "GhostShell Implant CA", могут помочь в будущей детекции и анализе этой угрозы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная кампания GhostShell (MB-0009) нацелена на операции беспилотных летательных аппаратов (БПЛА) и цепочки поставок обороны Украины, используя уязвимости CVE-2025-8088 и CVE-2025-6218 для доставки полезной нагрузки, скрытой в архиве RAR. Она включает многоэтапный процесс заражения, инициируемый сценарием Visual Basic Script (VBS), который обеспечивает закрепление и загрузку исполняемых файлов, включая 122.exe и update.exe, каждый из которых использует передовые методы обхода обнаружения и криптографические меры. Кроме того, компонент под названием 22.exe доставляет стиллер Vidar v2, предназначенный для эксфильтрации конфиденциальных пользовательских данных, что указывает на сложную и стратегическую угрозу для операционных и разведывательных структур в секторе обороны Украины.
-----
Вредоносная кампания GhostShell (MB-0009) нацелена на операции беспилотных летательных аппаратов и Цепочку поставок обороны Украины с февраля 2026 года.
Этот злоумышленник действует с уникальной атакованной инфраструктурой и методологиями, не связанными с известными группами.
ВПО использует уязвимости CVE-2025-8088 и CVE-2025-6218.
Вредоносные полезная нагрузка доставляется в архиве RAR с именем «Besomar_documentation.rar», имитируя легитимную документацию украинского производителя дронов Besomar.
Основные цели включают военные подразделения и персонал оборонного сектора.
ВПО имеет многоэтапный процесс заражения, использующий Visual Basic Script (VBS) для закрепления через папку автозагрузки Windows.
Файл VBS загружает исполняемые файлы 122.exe и update.exe с домена управления (C2) cloudaxis.cc.
Векторы атак используют техники уклонения, такие как обнаружение песочницы и взаимная TLS (mTLS) связь с сервером C2.
Исполняемый файл 122.exe действует как загрузчик, использующий механизм наложения CRPT XOR для выполнения имплантата второго этапа в памяти.
Второй этап внедрения проходит аутентификацию с помощью встроенного клиентского сертификата mTLS на основе эллиптической кривой.
update.exe функционирует как загрузчик в памяти, выполняя маскировку под Службу Windows, проводя проверки на антианализ и загружая полезную нагрузку.
Ещё один компонент, 22.exe, работает как многоступенчатый загрузчик, использующий шифрование AES-256-GCM для своей конфигурации, и действует как скрытый транспортный слой.
exe доставляет Vidar v2, стиллер, нацеленный на конфиденциальные пользовательские данные, включая пароли и информацию о криптовалюте.
Кампания указывает на стратегическую направленность на эксплуатацию уязвимостей цепочки поставок высокого уровня, связанных с обороной Украины.
Использование Телеграм для разрешения C2-хоста демонстрирует современную адаптивность угроз и усложняет усилия по атрибуции.
Идентификаторы, такие как "GhostShell Implant CA", могут помочь в будущей детекции и анализе этой угрозы.
#ParsedReport #CompletenessHigh
23-06-2026
An Income Tax Assessment Notice Phishing Campaign Delivering Malware
https://www.cyfirma.com/research/an-income-tax-assessment-notice-phishing-campaign-delivering-malware/
Report completeness: High
Threats:
Confuserex_tool
Dll_sideloading_technique
Xworm_rat
Spear-phishing_technique
Victims:
Users in india, Organizations in india
Industry:
Government
Geo:
India, Indian, Hong kong, China
TTPs:
Tactics: 8
Technics: 22
IOCs:
Domain: 1
File: 2
IP: 3
Hash: 8
Algorithms:
sha256, zip, md5
Functions:
SetAutoRun, GetWindowsVersion, GetIdleTime
Win API:
DllEntry, GetSecurityInfo
YARA: Found
23-06-2026
An Income Tax Assessment Notice Phishing Campaign Delivering Malware
https://www.cyfirma.com/research/an-income-tax-assessment-notice-phishing-campaign-delivering-malware/
Report completeness: High
Threats:
Confuserex_tool
Dll_sideloading_technique
Xworm_rat
Spear-phishing_technique
Victims:
Users in india, Organizations in india
Industry:
Government
Geo:
India, Indian, Hong kong, China
TTPs:
Tactics: 8
Technics: 22
IOCs:
Domain: 1
File: 2
IP: 3
Hash: 8
Algorithms:
sha256, zip, md5
Functions:
SetAutoRun, GetWindowsVersion, GetIdleTime
Win API:
DllEntry, GetSecurityInfo
YARA: Found
CYFIRMA
An Income Tax Assessment Notice Phishing Campaign Delivering Malware - CYFIRMA
EXECUTIVE SUMMARY CYFIRMA has identified a malware distribution campaign leveraging a fraudulent Indian Income Tax Department-themed lure to deliver a...
CTT Report Hub
#ParsedReport #CompletenessHigh 23-06-2026 An Income Tax Assessment Notice Phishing Campaign Delivering Malware https://www.cyfirma.com/research/an-income-tax-assessment-notice-phishing-campaign-delivering-malware/ Report completeness: High Threats: Confuserex_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавняя вредоносная кампания использует фишинговую приманку на тему индийской налоговой службы доходов для доставки Троянской программы (RAT) через фишинговый веб-сайт harivo.vip. Жертв обманом заставляют загрузить ZIP-архив, содержащий вредоносный образ диска с исполняемым файлом Portable Executable и DLL, оба из которых зашифрованы для уклонения от обнаружения. RAT создает бэкдор для удаленного выполнения команд, взаимодействуя с жестко закодированным C2-сервером, в то время как злоумышленники применяют тактики социальной инженерии для максимизации уровня заражения.
-----
Недавняя вредоносная кампания, выявленная CYFIRMA, использует фишинговую приманку на тему индийского Департамента доходов с целью доставки сложного вредоносного кода, похожего на Троянскую программу. Атака в основном использует фишинговый веб-сайт, размещенный на домене harivo.vip, который имитирует подлинную правительственную коммуникацию, тем самым побуждая жертв загрузить вредоносное программное обеспечение, выполняющее Маскировка под официальное уведомление о налоговой оценке. Приманка включает юридический язык и срочность соблюдения требований для повышения достоверности, побуждая пользователей загрузить ZIP-архив с названием Tax_Assessment_0609.zip.
После извлечения этот архив содержит вредоносный образ диска с именем Tax_Assessment.img, в котором находятся несколько компонентов ВПО, включая исполняемый файл (PE) Tax_Assessment.exe, выступающий в роли загрузчика, и библиотеку (DLL) libsvcs.dll. Технический анализ показывает, что Tax_Assessment.exe использует рефлексию .NET для динамической загрузки DLL, тем самым скрывая свои вредоносные намерения и усложняя попытки статического анализа. Оба компонента были обфусцированы с помощью ConfuserEx, что дополнительно усложняет обнаружение и делает обратную разработку сложной задачей.
Вредоносный модуль libsvcs.dll демонстрирует типичные функции RAT, включая методы обеспечения постоянного доступа через бэкдор, сбора системной информации и включения удаленного выполнения команд посредством зашифрованных каналов связи. Бинарный файл настроен на подключение к жестко заданному серверу Command-and-Control (C2) по адресу 103.231.12.27:4444, используя встроенный 32-байтовый ключ шифрования для безопасной коммуникации.
Злоумышленники, стоящие за этой кампанией, оцениваются как мотивированные финансовой выгодой, использующие тактики социальной инженерии для обмана целей. Оперативный дизайн отражает структурированную методологию заражения с несколькими этапами доставки полезной нагрузки, максимизируя гибкость при одновременном минимизировании рисков обнаружения. Это включает использование вводящих в заблуждение документов, а также техник, скрывающих поведение выполнения и модифицирующих системные реестры.
Хотя инфраструктура C2 указывает на географическое положение в Гонконге, важно отметить, что такая информация не является окончательным указанием на происхождение злоумышленников, поскольку противники часто используют скомпрометированные системы и сторонний хостинг для сокрытия своих следов. Несмотря на соблазнительные региональные индикаторы, полная атрибуция остается неопределенной.
Организациям настоятельно рекомендуется усилить возможности мониторинга в отношении фишинговых атак на тему налогов, укрепить меры безопасности вокруг исполняемых файлов и улучшить механизмы обнаружения подозрительного поведения, связанного с операциями загрузчиков и DLL, особенно в ответ на недавно наблюдаемые коммуникации и потенциально вредоносную инфраструктуру.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавняя вредоносная кампания использует фишинговую приманку на тему индийской налоговой службы доходов для доставки Троянской программы (RAT) через фишинговый веб-сайт harivo.vip. Жертв обманом заставляют загрузить ZIP-архив, содержащий вредоносный образ диска с исполняемым файлом Portable Executable и DLL, оба из которых зашифрованы для уклонения от обнаружения. RAT создает бэкдор для удаленного выполнения команд, взаимодействуя с жестко закодированным C2-сервером, в то время как злоумышленники применяют тактики социальной инженерии для максимизации уровня заражения.
-----
Недавняя вредоносная кампания, выявленная CYFIRMA, использует фишинговую приманку на тему индийского Департамента доходов с целью доставки сложного вредоносного кода, похожего на Троянскую программу. Атака в основном использует фишинговый веб-сайт, размещенный на домене harivo.vip, который имитирует подлинную правительственную коммуникацию, тем самым побуждая жертв загрузить вредоносное программное обеспечение, выполняющее Маскировка под официальное уведомление о налоговой оценке. Приманка включает юридический язык и срочность соблюдения требований для повышения достоверности, побуждая пользователей загрузить ZIP-архив с названием Tax_Assessment_0609.zip.
После извлечения этот архив содержит вредоносный образ диска с именем Tax_Assessment.img, в котором находятся несколько компонентов ВПО, включая исполняемый файл (PE) Tax_Assessment.exe, выступающий в роли загрузчика, и библиотеку (DLL) libsvcs.dll. Технический анализ показывает, что Tax_Assessment.exe использует рефлексию .NET для динамической загрузки DLL, тем самым скрывая свои вредоносные намерения и усложняя попытки статического анализа. Оба компонента были обфусцированы с помощью ConfuserEx, что дополнительно усложняет обнаружение и делает обратную разработку сложной задачей.
Вредоносный модуль libsvcs.dll демонстрирует типичные функции RAT, включая методы обеспечения постоянного доступа через бэкдор, сбора системной информации и включения удаленного выполнения команд посредством зашифрованных каналов связи. Бинарный файл настроен на подключение к жестко заданному серверу Command-and-Control (C2) по адресу 103.231.12.27:4444, используя встроенный 32-байтовый ключ шифрования для безопасной коммуникации.
Злоумышленники, стоящие за этой кампанией, оцениваются как мотивированные финансовой выгодой, использующие тактики социальной инженерии для обмана целей. Оперативный дизайн отражает структурированную методологию заражения с несколькими этапами доставки полезной нагрузки, максимизируя гибкость при одновременном минимизировании рисков обнаружения. Это включает использование вводящих в заблуждение документов, а также техник, скрывающих поведение выполнения и модифицирующих системные реестры.
Хотя инфраструктура C2 указывает на географическое положение в Гонконге, важно отметить, что такая информация не является окончательным указанием на происхождение злоумышленников, поскольку противники часто используют скомпрометированные системы и сторонний хостинг для сокрытия своих следов. Несмотря на соблазнительные региональные индикаторы, полная атрибуция остается неопределенной.
Организациям настоятельно рекомендуется усилить возможности мониторинга в отношении фишинговых атак на тему налогов, укрепить меры безопасности вокруг исполняемых файлов и улучшить механизмы обнаружения подозрительного поведения, связанного с операциями загрузчиков и DLL, особенно в ответ на недавно наблюдаемые коммуникации и потенциально вредоносную инфраструктуру.
#ParsedReport #CompletenessMedium
22-06-2026
A VBScript campaign distributed through WhatsApp deploying RMM software
https://securelist.com/whatsapp-vbs-rmm-campaign/120290/
Report completeness: Medium
Threats:
Bitsadmin_tool
Gh0st_rat
Valleyrat
Victims:
Individual users, Whatsapp users, Consumers
Industry:
Financial
Geo:
Portuguese, Australia, French, India, Spain, Malaysia, Taiwan, Russia, Vietnam, Singapore, German, Mexico, Chinese, Brazil
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1036, T1036.003, T1059.001, T1059.005, T1105, T1204.002, T1219, T1553.005, T1564.001, T1566.003, have more...
IOCs:
File: 41
Path: 1
IP: 6
Hash: 41
Domain: 8
Soft:
WhatsApp, curl
Algorithms:
zip
Languages:
powershell
22-06-2026
A VBScript campaign distributed through WhatsApp deploying RMM software
https://securelist.com/whatsapp-vbs-rmm-campaign/120290/
Report completeness: Medium
Threats:
Bitsadmin_tool
Gh0st_rat
Valleyrat
Victims:
Individual users, Whatsapp users, Consumers
Industry:
Financial
Geo:
Portuguese, Australia, French, India, Spain, Malaysia, Taiwan, Russia, Vietnam, Singapore, German, Mexico, Chinese, Brazil
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036, T1036.003, T1059.001, T1059.005, T1105, T1204.002, T1219, T1553.005, T1564.001, T1566.003, have more...
IOCs:
File: 41
Path: 1
IP: 6
Hash: 41
Domain: 8
Soft:
WhatsApp, curl
Algorithms:
zip
Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessMedium 22-06-2026 A VBScript campaign distributed through WhatsApp deploying RMM software https://securelist.com/whatsapp-vbs-rmm-campaign/120290/ Report completeness: Medium Threats: Bitsadmin_tool Gh0st_rat Valleyrat Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В июне 2026 года вредоносная кампания преимущественно затронула пользователей в Малайзии и других странах, эксплуатируя вредоносные VBScript-файлы, распространяемые через сообщения WhatsApp. Вектором заражения выступали WhatsApp Desktop и Web, где использовались обманные имена файлов, побуждающие пользователей выполнять вложения, что приводило к многоэтапному заражению, завершающемуся установкой программного обеспечения для удаленного мониторинга и управления (RMM). Злоумышленники использовали скомпрометированные аккаунты для распространения, применяя тактики социальной инженерии и демонстрируя потенциальные связи с вредоносным ПО, таким как ValleyRAT и Gh0st RAT, что указывает на возможное участие актора, говорящего на китайском языке.
-----
В июне 2026 года появилась вредоносная кампания, использующая вредоносные файлы VBScript, распространяемые через прямые сообщения в WhatsApp. Кампания преимущественно затронула пользователей в Малайзии, среди других затронутых регионов — Бразилия, Индия, Мексика, Сингапур, Великобритания, Испания, Тайвань, Австралия, Россия и Вьетнам. Основным вектором заражения были WhatsApp Desktop и WhatsApp Web, где обманные имена файлов, имитирующие легитимные бизнес-документы, побуждали пользователей выполнять вложения. VBScript запускает многоэтапный процесс заражения, завершающийся установкой программного обеспечения для удаленного мониторинга и управления (RMM), что позволяет злоумышленникам получать удаленный доступ к системе жертвы.
Анализ показал, что злоумышленники скомпрометировали несколько аккаунтов WhatsApp, используя эти украденные учетные данные для распространения ВПО через контакты. Вредоносные вложения отправлялись без дополнительного контекста, что повышало вероятность взаимодействия пользователя. Имена файлов часто имели финансовый характер и были предназначены для эксплуатации уязвимостей социальной инженерии — в примерах встречались такие термины, как счета, выписки по счетам и уведомления о задолженности, локализованные на различные языки.
Начальный этап атаки включает VBScript, который при запуске через Windows Script Host (WScript.exe) создает рабочую директорию в C:\Users\Public\Documents. Он загружает дополнительные вредоносные компоненты из источников, контролируемых злоумышленниками. Ранние варианты ВПО использовали утилиты Windows, такие как curl.exe и bitsadmin.exe, при этом файлы переименовывались для имитации DLL с целью минимизации обнаружения пользователем. На дополнительных этапах начальный скрипт загружает еще два VBScript-файла; один из них пытается изменить настройки контроля учетных записей (UAC), а другой загружает ZIP-архив, содержащий установочный пакет программного обеспечения для удаленного управления (RMM). Каждый загрузчик создает свою директорию со случайными именами и часто применяет скрытые атрибуты для сокрытия содержимого от пользователя.
Процесс установки использует административные привилегии для обеспечения успешного развертывания агента RMM, что указывает на высокий уровень планирования со стороны злоумышленников. Примечательно, что инфраструктура кампании продемонстрировала потенциальные связи с ранее выявленными ВПО, такими как ValleyRAT и Gh0st RAT, хотя окончательная атрибуция остается неопределенной. В ходе анализа были замечены последовательные комментарии на китайском языке в скриптах, что предполагает участие возможного китайскоязычного злоумышленника; однако доказательства недостаточно надежны для окончательной атрибуции.
Данные о жертвах указывают на то, что кампания преимущественно нацелена на отдельных пользователей, а не на организации, с проявлением широкого и оппортунистического подхода. Пользователям рекомендуется проявлять осторожность с неожиданными вложениями, даже от известных контактов, особенно с типами файлов скриптов или исполняемых файлов, которые следует открывать только после проверки их подлинности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В июне 2026 года вредоносная кампания преимущественно затронула пользователей в Малайзии и других странах, эксплуатируя вредоносные VBScript-файлы, распространяемые через сообщения WhatsApp. Вектором заражения выступали WhatsApp Desktop и Web, где использовались обманные имена файлов, побуждающие пользователей выполнять вложения, что приводило к многоэтапному заражению, завершающемуся установкой программного обеспечения для удаленного мониторинга и управления (RMM). Злоумышленники использовали скомпрометированные аккаунты для распространения, применяя тактики социальной инженерии и демонстрируя потенциальные связи с вредоносным ПО, таким как ValleyRAT и Gh0st RAT, что указывает на возможное участие актора, говорящего на китайском языке.
-----
В июне 2026 года появилась вредоносная кампания, использующая вредоносные файлы VBScript, распространяемые через прямые сообщения в WhatsApp. Кампания преимущественно затронула пользователей в Малайзии, среди других затронутых регионов — Бразилия, Индия, Мексика, Сингапур, Великобритания, Испания, Тайвань, Австралия, Россия и Вьетнам. Основным вектором заражения были WhatsApp Desktop и WhatsApp Web, где обманные имена файлов, имитирующие легитимные бизнес-документы, побуждали пользователей выполнять вложения. VBScript запускает многоэтапный процесс заражения, завершающийся установкой программного обеспечения для удаленного мониторинга и управления (RMM), что позволяет злоумышленникам получать удаленный доступ к системе жертвы.
Анализ показал, что злоумышленники скомпрометировали несколько аккаунтов WhatsApp, используя эти украденные учетные данные для распространения ВПО через контакты. Вредоносные вложения отправлялись без дополнительного контекста, что повышало вероятность взаимодействия пользователя. Имена файлов часто имели финансовый характер и были предназначены для эксплуатации уязвимостей социальной инженерии — в примерах встречались такие термины, как счета, выписки по счетам и уведомления о задолженности, локализованные на различные языки.
Начальный этап атаки включает VBScript, который при запуске через Windows Script Host (WScript.exe) создает рабочую директорию в C:\Users\Public\Documents. Он загружает дополнительные вредоносные компоненты из источников, контролируемых злоумышленниками. Ранние варианты ВПО использовали утилиты Windows, такие как curl.exe и bitsadmin.exe, при этом файлы переименовывались для имитации DLL с целью минимизации обнаружения пользователем. На дополнительных этапах начальный скрипт загружает еще два VBScript-файла; один из них пытается изменить настройки контроля учетных записей (UAC), а другой загружает ZIP-архив, содержащий установочный пакет программного обеспечения для удаленного управления (RMM). Каждый загрузчик создает свою директорию со случайными именами и часто применяет скрытые атрибуты для сокрытия содержимого от пользователя.
Процесс установки использует административные привилегии для обеспечения успешного развертывания агента RMM, что указывает на высокий уровень планирования со стороны злоумышленников. Примечательно, что инфраструктура кампании продемонстрировала потенциальные связи с ранее выявленными ВПО, такими как ValleyRAT и Gh0st RAT, хотя окончательная атрибуция остается неопределенной. В ходе анализа были замечены последовательные комментарии на китайском языке в скриптах, что предполагает участие возможного китайскоязычного злоумышленника; однако доказательства недостаточно надежны для окончательной атрибуции.
Данные о жертвах указывают на то, что кампания преимущественно нацелена на отдельных пользователей, а не на организации, с проявлением широкого и оппортунистического подхода. Пользователям рекомендуется проявлять осторожность с неожиданными вложениями, даже от известных контактов, особенно с типами файлов скриптов или исполняемых файлов, которые следует открывать только после проверки их подлинности.
#ParsedReport #CompletenessMedium
23-06-2026
WhatsApp VBScript Campaign Installs ManageEngine Endpoint Central for Persistent Remote Access
https://socradar.io/blog/whatsapp-vbscript-campaign-manageengine-endpoint/
Report completeness: Medium
Threats:
Bitsadmin_tool
Motw_bypass_technique
Gh0st_rat
Valleyrat
Victims:
Consumers, Organizations
Geo:
Vietnam, Australia, German, Portuguese, Brazil, French, Mexico, Russia, Spain, India, Taiwan, Chinese, Singapore, Malaysia
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1036.008, T1059.005, T1105, T1112, T1218.007, T1219, T1548.002, T1553.005, have more...
IOCs:
File: 12
IP: 6
Soft:
WhatsApp, curl
Algorithms:
zip
Languages:
powershell, vbscript
23-06-2026
WhatsApp VBScript Campaign Installs ManageEngine Endpoint Central for Persistent Remote Access
https://socradar.io/blog/whatsapp-vbscript-campaign-manageengine-endpoint/
Report completeness: Medium
Threats:
Bitsadmin_tool
Motw_bypass_technique
Gh0st_rat
Valleyrat
Victims:
Consumers, Organizations
Geo:
Vietnam, Australia, German, Portuguese, Brazil, French, Mexico, Russia, Spain, India, Taiwan, Chinese, Singapore, Malaysia
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1036.008, T1059.005, T1105, T1112, T1218.007, T1219, T1548.002, T1553.005, have more...
IOCs:
File: 12
IP: 6
Soft:
WhatsApp, curl
Algorithms:
zip
Languages:
powershell, vbscript
SOCRadar® Cyber Intelligence Inc.
WhatsApp VBScript Campaign Installs ManageEngine Endpoint Central for Persistent Remote Access
The WhatsApp VBScript Campaign was reported as active as of June 22, 2026, and it appears opportunistic rather than tied to a single industry...
CTT Report Hub
#ParsedReport #CompletenessMedium 23-06-2026 WhatsApp VBScript Campaign Installs ManageEngine Endpoint Central for Persistent Remote Access https://socradar.io/blog/whatsapp-vbscript-campaign-manageengine-endpoint/ Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания WhatsApp VBScript предполагает, что злоумышленники распространяют вредоносные VBScript-пакеты через захваченные аккаунты WhatsApp, преимущественно затрагивая жертв в Малайзии. Изначально атака использует техники обфускации для маскировки пакета, за которыми следует рандомизация скрытых директорий для загрузки дополнительных скриптов. В конечном итоге устанавливается агент ManageEngine Endpoint Central для постоянного контроля над скомпрометированными системами, при этом применяются такие техники, как PowerShell для выполнения и манипуляции файлами, имеющими легитимный вид, чтобы избежать обнаружения.
-----
Кампания WhatsApp VBScript представляет собой кибератаку с социальной инженерией, в ходе которой злоумышленники распространяют вредоносный скрипт VBScript через захваченные аккаунты WhatsApp. Эта кампания нацелена на широкий круг жертв в нескольких странах, при этом наблюдается заметная концентрация в Малайзии, на которую приходится около 80% зарегистрированных инцидентов. Злоумышленники стремятся установить ManageEngine Endpoint Central — легитимный корпоративный инструмент удаленного управления — чтобы поддерживать постоянный контроль над скомпрометированными системами, эксплуатируя широкое использование WhatsApp для коммуникации в корпоративных средах.
Начальный этап атаки включает использование техник обфускации, чтобы сделать VBScript-полезную нагрузку безобидной на вид. Злоумышленники применяют локализованные имена файлов и комментарии в стиле обновлений Windows, чтобы обмануть пользователей и заставить их выполнить скрипты. VBScript может обфусцировать свои операции с помощью таких методов, как конкатенация строк, закодированное содержимое и имитация легитимных утилит Windows, таких как curl или bitsadmin, которые переименовываются и используются для загрузки дополнительных вредоносных компонентов.
На втором этапе атака усиливается: скрипт создает случайную скрытую директорию в системе, что позволяет загрузить ZIP-архив с дополнительными скриптами. Используя различные методы, включая PowerShell и curl, злоумышленник извлекает и выполняет эти скрипты, одновременно пытаясь удалить метаданные, которые могут вызвать предупреждения систем безопасности.
Финальный этап включает скрытую установку агента ManageEngine Endpoint Central, что позволяет злоумышленникам выполнять удаленное администрирование, не вызывая типичных тревожных сигналов, связанных с вредоносными бинарными файлами. Хотя кампания демонстрирует определенные характеристики, которые могут указывать на участие китайскоязычного злоумышленника, окончательная атрибуция не установлена. Наличие определенных IP-адресов, ранее связанных с другими семействами ВПО, не позволяет однозначно идентифицировать единственного оператора.
Эта кампания создает новые вызовы для команд кибербезопасности, поскольку стирает границы между легитимным программным обеспечением и вредоносной активностью, усложняя усилия по обнаружению и реагированию. Стратегии обнаружения должны сосредоточиваться на необычных выполнениях wscript.exe, подозрительных созданиях каталогов и мониторинге записей в реестр, связанных с повышением привилегий. Крайне важно внедрить сетевые ограничения для блокировки известных вредоносных доменов и тщательно проверять неожиданные исходящие подключения к сервисам хранения, которые часто используются для размещения полезной нагрузки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания WhatsApp VBScript предполагает, что злоумышленники распространяют вредоносные VBScript-пакеты через захваченные аккаунты WhatsApp, преимущественно затрагивая жертв в Малайзии. Изначально атака использует техники обфускации для маскировки пакета, за которыми следует рандомизация скрытых директорий для загрузки дополнительных скриптов. В конечном итоге устанавливается агент ManageEngine Endpoint Central для постоянного контроля над скомпрометированными системами, при этом применяются такие техники, как PowerShell для выполнения и манипуляции файлами, имеющими легитимный вид, чтобы избежать обнаружения.
-----
Кампания WhatsApp VBScript представляет собой кибератаку с социальной инженерией, в ходе которой злоумышленники распространяют вредоносный скрипт VBScript через захваченные аккаунты WhatsApp. Эта кампания нацелена на широкий круг жертв в нескольких странах, при этом наблюдается заметная концентрация в Малайзии, на которую приходится около 80% зарегистрированных инцидентов. Злоумышленники стремятся установить ManageEngine Endpoint Central — легитимный корпоративный инструмент удаленного управления — чтобы поддерживать постоянный контроль над скомпрометированными системами, эксплуатируя широкое использование WhatsApp для коммуникации в корпоративных средах.
Начальный этап атаки включает использование техник обфускации, чтобы сделать VBScript-полезную нагрузку безобидной на вид. Злоумышленники применяют локализованные имена файлов и комментарии в стиле обновлений Windows, чтобы обмануть пользователей и заставить их выполнить скрипты. VBScript может обфусцировать свои операции с помощью таких методов, как конкатенация строк, закодированное содержимое и имитация легитимных утилит Windows, таких как curl или bitsadmin, которые переименовываются и используются для загрузки дополнительных вредоносных компонентов.
На втором этапе атака усиливается: скрипт создает случайную скрытую директорию в системе, что позволяет загрузить ZIP-архив с дополнительными скриптами. Используя различные методы, включая PowerShell и curl, злоумышленник извлекает и выполняет эти скрипты, одновременно пытаясь удалить метаданные, которые могут вызвать предупреждения систем безопасности.
Финальный этап включает скрытую установку агента ManageEngine Endpoint Central, что позволяет злоумышленникам выполнять удаленное администрирование, не вызывая типичных тревожных сигналов, связанных с вредоносными бинарными файлами. Хотя кампания демонстрирует определенные характеристики, которые могут указывать на участие китайскоязычного злоумышленника, окончательная атрибуция не установлена. Наличие определенных IP-адресов, ранее связанных с другими семействами ВПО, не позволяет однозначно идентифицировать единственного оператора.
Эта кампания создает новые вызовы для команд кибербезопасности, поскольку стирает границы между легитимным программным обеспечением и вредоносной активностью, усложняя усилия по обнаружению и реагированию. Стратегии обнаружения должны сосредоточиваться на необычных выполнениях wscript.exe, подозрительных созданиях каталогов и мониторинге записей в реестр, связанных с повышением привилегий. Крайне важно внедрить сетевые ограничения для блокировки известных вредоносных доменов и тщательно проверять неожиданные исходящие подключения к сервисам хранения, которые часто используются для размещения полезной нагрузки.
#ParsedReport #CompletenessMedium
23-06-2026
MYRA: A Full Linux RAT Distributed via npm
https://safedep.io/malicious-apintergrationpost-npm-myra-rat
Report completeness: Medium
Threats:
Myra
Supply_chain_technique
Process_injection_technique
Nop_sled_technique
Victims:
Software development, Linux systems, Npm users
Geo:
Polish
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1014, T1036.005, T1053.003, T1055.008, T1059.004, T1095, T1113, T1195.001, T1548.003, T1564.001, have more...
IOCs:
IP: 2
Email: 1
File: 12
Soft:
Linux, Node.js, systemd, curl, Ubuntu, sudo
Algorithms:
base64, sha256
Functions:
readFileSync, createHmac, persistStealthPreload, writeFileSync, persistStealthCron, persistStealthProfile, findDesktopProcessEnv, readProcEnviron
Languages:
javascript, python
Links:
23-06-2026
MYRA: A Full Linux RAT Distributed via npm
https://safedep.io/malicious-apintergrationpost-npm-myra-rat
Report completeness: Medium
Threats:
Myra
Supply_chain_technique
Process_injection_technique
Nop_sled_technique
Victims:
Software development, Linux systems, Npm users
Geo:
Polish
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1014, T1036.005, T1053.003, T1055.008, T1059.004, T1095, T1113, T1195.001, T1548.003, T1564.001, have more...
IOCs:
IP: 2
Email: 1
File: 12
Soft:
Linux, Node.js, systemd, curl, Ubuntu, sudo
Algorithms:
base64, sha256
Functions:
readFileSync, createHmac, persistStealthPreload, writeFileSync, persistStealthCron, persistStealthProfile, findDesktopProcessEnv, readProcEnviron
Languages:
javascript, python
Links:
https://github.com/safedep/pmgSafeDep - Real-time Open Source Software Supply Chain Security
MYRA: A Full Linux RAT Distributed via npm
The npm package apintergrationpost is a red team RAT called MYRA with native C rootkit, triple persistence, fileless execution, live screen streaming, and process masquerade. This analysis documents its full capability set so defenders can detect and respond…
CTT Report Hub
#ParsedReport #CompletenessMedium 23-06-2026 MYRA: A Full Linux RAT Distributed via npm https://safedep.io/malicious-apintergrationpost-npm-myra-rat Report completeness: Medium Threats: Myra Supply_chain_technique Process_injection_technique Nop_sled_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Троянская программа удалённого доступа (RAT) MYRA для Linux, распространяемая через пакет npm под названием "apintergrationpost", обладает расширенными вредоносными возможностями, включая встроенный руткит на языке C и выполнение без файлов. Она использует три механизма закрепления и предоставляет интерактивный доступ к оболочке, а также функциональность захвата потоков, при этом взаимодействуя через закрытый IP-адрес для целевых операций. RAT использует архитектуру с несколькими модулями для управления, включая сложные техники уклонения, которые представляют угрозу для систем, использующих пакеты npm.
-----
Полнофункциональная троянская программа удаленного доступа (RAT) для Linux под названием MYRA была распространена через пакет npm с названием "apintergrationpost". Несмотря на заявленную автором цель — содействие санкционированным упражнениям красной команды и проверке EDR, MYRA обладает значительными вредоносными возможностями. После установки она компилирует нативный руткит на C, устанавливает три механизма закрепления, маскируется под легитимную системную службу и обеспечивает выполнение без файлов. RAT также предоставляет интерактивный доступ к оболочке и захват потоков с зараженной системы. По умолчанию конфигурация управления (C2) указывает на закрытый IP-адрес (192.168.54.1), что указывает на сфокусированную стратегию целеполагания.
Процесс установки инициируется через три скрипта жизненного цикла npm. Скрипт 'prepare' компилирует руткит, генерируя C-бинарные файлы и разделяемые библиотеки, необходимые для тактик уклонения и закрепления RAT. Скрипт 'preinstall' принудительно устанавливает привилегии root, гарантируя, что атакующий имеет полный доступ к системным ресурсам и может установить необходимые системные зависимости. После успешной установки скрипт 'postinstall' запускает RAT в отсоединенном фоновом процессе, делая её независимой от npm.
MYRA RAT использует архитектуру плагинов с 13 модулями для своего C2-фреймворка, применяя TCP для связи и требуя аутентификацию HMAC-SHA256. Примечательно, что использование частного IP-адреса для C2-сервера указывает на его развертывание в определенной сетевой среде, а не на использование общих публичных доменов, встречающихся в типичных дистрибутивах ВПО. Нативный руткит содержит сложные компоненты, такие как 'libcache.so' для скрытия файлов через LD_PRELOAD, 'proc_hide' для маскировки процессов, а также 'memfd_exec' и 'memfd_loader' для выполнения RAT полностью из памяти, тем самым не оставляя следов на диске.
Закрепление достигается с помощью трёх различных механизмов: руткита для скрытия файлов через LD_PRELOAD, задачи cron, которая запускает RAT каждые 13 минут, и хука входа через profile.d, который выполняет обёрточный скрипт, использующий наиболее скрытный метод выполнения. Эти векторы в совокупности обеспечивают, что RAT остаётся активным даже после перезагрузок системы или попыток вмешательства пользователя.
Поскольку RAT был разработан в среде VMware, кодовая база MYRA включает телеметрию и различные техники MITRE ATT&CK, что указывает на сценарий тестирования красной команды, а не на реальное развертывание в дикой природе. Однако публикация MYRA в общедоступном реестре npm создает серьезные риски, так как она позволяет несанкционированным пользователям получить доступ к мощному набору инструментов, который агрегирует хорошо известные техники уклонения. Комбинация этих сложных тактик в одном пакете представляет собой тревожный ландшафт угроз для защитников, подтверждая необходимость осторожной оценки пакетов npm перед установкой.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Троянская программа удалённого доступа (RAT) MYRA для Linux, распространяемая через пакет npm под названием "apintergrationpost", обладает расширенными вредоносными возможностями, включая встроенный руткит на языке C и выполнение без файлов. Она использует три механизма закрепления и предоставляет интерактивный доступ к оболочке, а также функциональность захвата потоков, при этом взаимодействуя через закрытый IP-адрес для целевых операций. RAT использует архитектуру с несколькими модулями для управления, включая сложные техники уклонения, которые представляют угрозу для систем, использующих пакеты npm.
-----
Полнофункциональная троянская программа удаленного доступа (RAT) для Linux под названием MYRA была распространена через пакет npm с названием "apintergrationpost". Несмотря на заявленную автором цель — содействие санкционированным упражнениям красной команды и проверке EDR, MYRA обладает значительными вредоносными возможностями. После установки она компилирует нативный руткит на C, устанавливает три механизма закрепления, маскируется под легитимную системную службу и обеспечивает выполнение без файлов. RAT также предоставляет интерактивный доступ к оболочке и захват потоков с зараженной системы. По умолчанию конфигурация управления (C2) указывает на закрытый IP-адрес (192.168.54.1), что указывает на сфокусированную стратегию целеполагания.
Процесс установки инициируется через три скрипта жизненного цикла npm. Скрипт 'prepare' компилирует руткит, генерируя C-бинарные файлы и разделяемые библиотеки, необходимые для тактик уклонения и закрепления RAT. Скрипт 'preinstall' принудительно устанавливает привилегии root, гарантируя, что атакующий имеет полный доступ к системным ресурсам и может установить необходимые системные зависимости. После успешной установки скрипт 'postinstall' запускает RAT в отсоединенном фоновом процессе, делая её независимой от npm.
MYRA RAT использует архитектуру плагинов с 13 модулями для своего C2-фреймворка, применяя TCP для связи и требуя аутентификацию HMAC-SHA256. Примечательно, что использование частного IP-адреса для C2-сервера указывает на его развертывание в определенной сетевой среде, а не на использование общих публичных доменов, встречающихся в типичных дистрибутивах ВПО. Нативный руткит содержит сложные компоненты, такие как 'libcache.so' для скрытия файлов через LD_PRELOAD, 'proc_hide' для маскировки процессов, а также 'memfd_exec' и 'memfd_loader' для выполнения RAT полностью из памяти, тем самым не оставляя следов на диске.
Закрепление достигается с помощью трёх различных механизмов: руткита для скрытия файлов через LD_PRELOAD, задачи cron, которая запускает RAT каждые 13 минут, и хука входа через profile.d, который выполняет обёрточный скрипт, использующий наиболее скрытный метод выполнения. Эти векторы в совокупности обеспечивают, что RAT остаётся активным даже после перезагрузок системы или попыток вмешательства пользователя.
Поскольку RAT был разработан в среде VMware, кодовая база MYRA включает телеметрию и различные техники MITRE ATT&CK, что указывает на сценарий тестирования красной команды, а не на реальное развертывание в дикой природе. Однако публикация MYRA в общедоступном реестре npm создает серьезные риски, так как она позволяет несанкционированным пользователям получить доступ к мощному набору инструментов, который агрегирует хорошо известные техники уклонения. Комбинация этих сложных тактик в одном пакете представляет собой тревожный ландшафт угроз для защитников, подтверждая необходимость осторожной оценки пакетов npm перед установкой.
#ParsedReport #CompletenessMedium
23-06-2026
Operation FlutterBridge: The FlutterShell macOS Backdoor
https://www.levelblue.com/blogs/spiderlabs-blog/operation-flutterbridge-the-fluttershell-macos-backdoor
Report completeness: Medium
Actors/Campaigns:
Cl-cri-1089
Threats:
Flutterbridge
Fluttershell
Sparkle_tool
Typosquatting_technique
Victims:
Macos users, Google chrome users
TTPs:
Tactics: 7
Technics: 12
IOCs:
File: 6
Domain: 1
Hash: 9
Soft:
macOS, Flutter, Chrome, Google Chrome, flutter.flutter, Gatekeeper, Unix
Algorithms:
sha256
Functions:
setSparkleDelay
Languages:
javascript, objective_c
Platforms:
arm, apple, x86
23-06-2026
Operation FlutterBridge: The FlutterShell macOS Backdoor
https://www.levelblue.com/blogs/spiderlabs-blog/operation-flutterbridge-the-fluttershell-macos-backdoor
Report completeness: Medium
Actors/Campaigns:
Cl-cri-1089
Threats:
Flutterbridge
Fluttershell
Sparkle_tool
Typosquatting_technique
Victims:
Macos users, Google chrome users
TTPs:
Tactics: 7
Technics: 12
IOCs:
File: 6
Domain: 1
Hash: 9
Soft:
macOS, Flutter, Chrome, Google Chrome, flutter.flutter, Gatekeeper, Unix
Algorithms:
sha256
Functions:
setSparkleDelay
Languages:
javascript, objective_c
Platforms:
arm, apple, x86
Levelblue
Operation FlutterBridge: The FlutterShell macOS Backdoor
The CL-CRI-1089 cluster demonstrates a misuse of the Flutter framework. This report treats the recovered FlutterShell artifacts as a technical detection case study.