CTT Report Hub
#ParsedReport #CompletenessMedium 23-06-2026 WhatsApp VBScript Campaign Installs ManageEngine Endpoint Central for Persistent Remote Access https://socradar.io/blog/whatsapp-vbscript-campaign-manageengine-endpoint/ Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания WhatsApp VBScript предполагает, что злоумышленники распространяют вредоносные VBScript-пакеты через захваченные аккаунты WhatsApp, преимущественно затрагивая жертв в Малайзии. Изначально атака использует техники обфускации для маскировки пакета, за которыми следует рандомизация скрытых директорий для загрузки дополнительных скриптов. В конечном итоге устанавливается агент ManageEngine Endpoint Central для постоянного контроля над скомпрометированными системами, при этом применяются такие техники, как PowerShell для выполнения и манипуляции файлами, имеющими легитимный вид, чтобы избежать обнаружения.
-----
Кампания WhatsApp VBScript представляет собой кибератаку с социальной инженерией, в ходе которой злоумышленники распространяют вредоносный скрипт VBScript через захваченные аккаунты WhatsApp. Эта кампания нацелена на широкий круг жертв в нескольких странах, при этом наблюдается заметная концентрация в Малайзии, на которую приходится около 80% зарегистрированных инцидентов. Злоумышленники стремятся установить ManageEngine Endpoint Central — легитимный корпоративный инструмент удаленного управления — чтобы поддерживать постоянный контроль над скомпрометированными системами, эксплуатируя широкое использование WhatsApp для коммуникации в корпоративных средах.
Начальный этап атаки включает использование техник обфускации, чтобы сделать VBScript-полезную нагрузку безобидной на вид. Злоумышленники применяют локализованные имена файлов и комментарии в стиле обновлений Windows, чтобы обмануть пользователей и заставить их выполнить скрипты. VBScript может обфусцировать свои операции с помощью таких методов, как конкатенация строк, закодированное содержимое и имитация легитимных утилит Windows, таких как curl или bitsadmin, которые переименовываются и используются для загрузки дополнительных вредоносных компонентов.
На втором этапе атака усиливается: скрипт создает случайную скрытую директорию в системе, что позволяет загрузить ZIP-архив с дополнительными скриптами. Используя различные методы, включая PowerShell и curl, злоумышленник извлекает и выполняет эти скрипты, одновременно пытаясь удалить метаданные, которые могут вызвать предупреждения систем безопасности.
Финальный этап включает скрытую установку агента ManageEngine Endpoint Central, что позволяет злоумышленникам выполнять удаленное администрирование, не вызывая типичных тревожных сигналов, связанных с вредоносными бинарными файлами. Хотя кампания демонстрирует определенные характеристики, которые могут указывать на участие китайскоязычного злоумышленника, окончательная атрибуция не установлена. Наличие определенных IP-адресов, ранее связанных с другими семействами ВПО, не позволяет однозначно идентифицировать единственного оператора.
Эта кампания создает новые вызовы для команд кибербезопасности, поскольку стирает границы между легитимным программным обеспечением и вредоносной активностью, усложняя усилия по обнаружению и реагированию. Стратегии обнаружения должны сосредоточиваться на необычных выполнениях wscript.exe, подозрительных созданиях каталогов и мониторинге записей в реестр, связанных с повышением привилегий. Крайне важно внедрить сетевые ограничения для блокировки известных вредоносных доменов и тщательно проверять неожиданные исходящие подключения к сервисам хранения, которые часто используются для размещения полезной нагрузки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания WhatsApp VBScript предполагает, что злоумышленники распространяют вредоносные VBScript-пакеты через захваченные аккаунты WhatsApp, преимущественно затрагивая жертв в Малайзии. Изначально атака использует техники обфускации для маскировки пакета, за которыми следует рандомизация скрытых директорий для загрузки дополнительных скриптов. В конечном итоге устанавливается агент ManageEngine Endpoint Central для постоянного контроля над скомпрометированными системами, при этом применяются такие техники, как PowerShell для выполнения и манипуляции файлами, имеющими легитимный вид, чтобы избежать обнаружения.
-----
Кампания WhatsApp VBScript представляет собой кибератаку с социальной инженерией, в ходе которой злоумышленники распространяют вредоносный скрипт VBScript через захваченные аккаунты WhatsApp. Эта кампания нацелена на широкий круг жертв в нескольких странах, при этом наблюдается заметная концентрация в Малайзии, на которую приходится около 80% зарегистрированных инцидентов. Злоумышленники стремятся установить ManageEngine Endpoint Central — легитимный корпоративный инструмент удаленного управления — чтобы поддерживать постоянный контроль над скомпрометированными системами, эксплуатируя широкое использование WhatsApp для коммуникации в корпоративных средах.
Начальный этап атаки включает использование техник обфускации, чтобы сделать VBScript-полезную нагрузку безобидной на вид. Злоумышленники применяют локализованные имена файлов и комментарии в стиле обновлений Windows, чтобы обмануть пользователей и заставить их выполнить скрипты. VBScript может обфусцировать свои операции с помощью таких методов, как конкатенация строк, закодированное содержимое и имитация легитимных утилит Windows, таких как curl или bitsadmin, которые переименовываются и используются для загрузки дополнительных вредоносных компонентов.
На втором этапе атака усиливается: скрипт создает случайную скрытую директорию в системе, что позволяет загрузить ZIP-архив с дополнительными скриптами. Используя различные методы, включая PowerShell и curl, злоумышленник извлекает и выполняет эти скрипты, одновременно пытаясь удалить метаданные, которые могут вызвать предупреждения систем безопасности.
Финальный этап включает скрытую установку агента ManageEngine Endpoint Central, что позволяет злоумышленникам выполнять удаленное администрирование, не вызывая типичных тревожных сигналов, связанных с вредоносными бинарными файлами. Хотя кампания демонстрирует определенные характеристики, которые могут указывать на участие китайскоязычного злоумышленника, окончательная атрибуция не установлена. Наличие определенных IP-адресов, ранее связанных с другими семействами ВПО, не позволяет однозначно идентифицировать единственного оператора.
Эта кампания создает новые вызовы для команд кибербезопасности, поскольку стирает границы между легитимным программным обеспечением и вредоносной активностью, усложняя усилия по обнаружению и реагированию. Стратегии обнаружения должны сосредоточиваться на необычных выполнениях wscript.exe, подозрительных созданиях каталогов и мониторинге записей в реестр, связанных с повышением привилегий. Крайне важно внедрить сетевые ограничения для блокировки известных вредоносных доменов и тщательно проверять неожиданные исходящие подключения к сервисам хранения, которые часто используются для размещения полезной нагрузки.
#ParsedReport #CompletenessMedium
23-06-2026
MYRA: A Full Linux RAT Distributed via npm
https://safedep.io/malicious-apintergrationpost-npm-myra-rat
Report completeness: Medium
Threats:
Myra
Supply_chain_technique
Process_injection_technique
Nop_sled_technique
Victims:
Software development, Linux systems, Npm users
Geo:
Polish
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1014, T1036.005, T1053.003, T1055.008, T1059.004, T1095, T1113, T1195.001, T1548.003, T1564.001, have more...
IOCs:
IP: 2
Email: 1
File: 12
Soft:
Linux, Node.js, systemd, curl, Ubuntu, sudo
Algorithms:
base64, sha256
Functions:
readFileSync, createHmac, persistStealthPreload, writeFileSync, persistStealthCron, persistStealthProfile, findDesktopProcessEnv, readProcEnviron
Languages:
javascript, python
Links:
23-06-2026
MYRA: A Full Linux RAT Distributed via npm
https://safedep.io/malicious-apintergrationpost-npm-myra-rat
Report completeness: Medium
Threats:
Myra
Supply_chain_technique
Process_injection_technique
Nop_sled_technique
Victims:
Software development, Linux systems, Npm users
Geo:
Polish
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1014, T1036.005, T1053.003, T1055.008, T1059.004, T1095, T1113, T1195.001, T1548.003, T1564.001, have more...
IOCs:
IP: 2
Email: 1
File: 12
Soft:
Linux, Node.js, systemd, curl, Ubuntu, sudo
Algorithms:
base64, sha256
Functions:
readFileSync, createHmac, persistStealthPreload, writeFileSync, persistStealthCron, persistStealthProfile, findDesktopProcessEnv, readProcEnviron
Languages:
javascript, python
Links:
https://github.com/safedep/pmgSafeDep - Real-time Open Source Software Supply Chain Security
MYRA: A Full Linux RAT Distributed via npm
The npm package apintergrationpost is a red team RAT called MYRA with native C rootkit, triple persistence, fileless execution, live screen streaming, and process masquerade. This analysis documents its full capability set so defenders can detect and respond…
CTT Report Hub
#ParsedReport #CompletenessMedium 23-06-2026 MYRA: A Full Linux RAT Distributed via npm https://safedep.io/malicious-apintergrationpost-npm-myra-rat Report completeness: Medium Threats: Myra Supply_chain_technique Process_injection_technique Nop_sled_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Троянская программа удалённого доступа (RAT) MYRA для Linux, распространяемая через пакет npm под названием "apintergrationpost", обладает расширенными вредоносными возможностями, включая встроенный руткит на языке C и выполнение без файлов. Она использует три механизма закрепления и предоставляет интерактивный доступ к оболочке, а также функциональность захвата потоков, при этом взаимодействуя через закрытый IP-адрес для целевых операций. RAT использует архитектуру с несколькими модулями для управления, включая сложные техники уклонения, которые представляют угрозу для систем, использующих пакеты npm.
-----
Полнофункциональная троянская программа удаленного доступа (RAT) для Linux под названием MYRA была распространена через пакет npm с названием "apintergrationpost". Несмотря на заявленную автором цель — содействие санкционированным упражнениям красной команды и проверке EDR, MYRA обладает значительными вредоносными возможностями. После установки она компилирует нативный руткит на C, устанавливает три механизма закрепления, маскируется под легитимную системную службу и обеспечивает выполнение без файлов. RAT также предоставляет интерактивный доступ к оболочке и захват потоков с зараженной системы. По умолчанию конфигурация управления (C2) указывает на закрытый IP-адрес (192.168.54.1), что указывает на сфокусированную стратегию целеполагания.
Процесс установки инициируется через три скрипта жизненного цикла npm. Скрипт 'prepare' компилирует руткит, генерируя C-бинарные файлы и разделяемые библиотеки, необходимые для тактик уклонения и закрепления RAT. Скрипт 'preinstall' принудительно устанавливает привилегии root, гарантируя, что атакующий имеет полный доступ к системным ресурсам и может установить необходимые системные зависимости. После успешной установки скрипт 'postinstall' запускает RAT в отсоединенном фоновом процессе, делая её независимой от npm.
MYRA RAT использует архитектуру плагинов с 13 модулями для своего C2-фреймворка, применяя TCP для связи и требуя аутентификацию HMAC-SHA256. Примечательно, что использование частного IP-адреса для C2-сервера указывает на его развертывание в определенной сетевой среде, а не на использование общих публичных доменов, встречающихся в типичных дистрибутивах ВПО. Нативный руткит содержит сложные компоненты, такие как 'libcache.so' для скрытия файлов через LD_PRELOAD, 'proc_hide' для маскировки процессов, а также 'memfd_exec' и 'memfd_loader' для выполнения RAT полностью из памяти, тем самым не оставляя следов на диске.
Закрепление достигается с помощью трёх различных механизмов: руткита для скрытия файлов через LD_PRELOAD, задачи cron, которая запускает RAT каждые 13 минут, и хука входа через profile.d, который выполняет обёрточный скрипт, использующий наиболее скрытный метод выполнения. Эти векторы в совокупности обеспечивают, что RAT остаётся активным даже после перезагрузок системы или попыток вмешательства пользователя.
Поскольку RAT был разработан в среде VMware, кодовая база MYRA включает телеметрию и различные техники MITRE ATT&CK, что указывает на сценарий тестирования красной команды, а не на реальное развертывание в дикой природе. Однако публикация MYRA в общедоступном реестре npm создает серьезные риски, так как она позволяет несанкционированным пользователям получить доступ к мощному набору инструментов, который агрегирует хорошо известные техники уклонения. Комбинация этих сложных тактик в одном пакете представляет собой тревожный ландшафт угроз для защитников, подтверждая необходимость осторожной оценки пакетов npm перед установкой.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Троянская программа удалённого доступа (RAT) MYRA для Linux, распространяемая через пакет npm под названием "apintergrationpost", обладает расширенными вредоносными возможностями, включая встроенный руткит на языке C и выполнение без файлов. Она использует три механизма закрепления и предоставляет интерактивный доступ к оболочке, а также функциональность захвата потоков, при этом взаимодействуя через закрытый IP-адрес для целевых операций. RAT использует архитектуру с несколькими модулями для управления, включая сложные техники уклонения, которые представляют угрозу для систем, использующих пакеты npm.
-----
Полнофункциональная троянская программа удаленного доступа (RAT) для Linux под названием MYRA была распространена через пакет npm с названием "apintergrationpost". Несмотря на заявленную автором цель — содействие санкционированным упражнениям красной команды и проверке EDR, MYRA обладает значительными вредоносными возможностями. После установки она компилирует нативный руткит на C, устанавливает три механизма закрепления, маскируется под легитимную системную службу и обеспечивает выполнение без файлов. RAT также предоставляет интерактивный доступ к оболочке и захват потоков с зараженной системы. По умолчанию конфигурация управления (C2) указывает на закрытый IP-адрес (192.168.54.1), что указывает на сфокусированную стратегию целеполагания.
Процесс установки инициируется через три скрипта жизненного цикла npm. Скрипт 'prepare' компилирует руткит, генерируя C-бинарные файлы и разделяемые библиотеки, необходимые для тактик уклонения и закрепления RAT. Скрипт 'preinstall' принудительно устанавливает привилегии root, гарантируя, что атакующий имеет полный доступ к системным ресурсам и может установить необходимые системные зависимости. После успешной установки скрипт 'postinstall' запускает RAT в отсоединенном фоновом процессе, делая её независимой от npm.
MYRA RAT использует архитектуру плагинов с 13 модулями для своего C2-фреймворка, применяя TCP для связи и требуя аутентификацию HMAC-SHA256. Примечательно, что использование частного IP-адреса для C2-сервера указывает на его развертывание в определенной сетевой среде, а не на использование общих публичных доменов, встречающихся в типичных дистрибутивах ВПО. Нативный руткит содержит сложные компоненты, такие как 'libcache.so' для скрытия файлов через LD_PRELOAD, 'proc_hide' для маскировки процессов, а также 'memfd_exec' и 'memfd_loader' для выполнения RAT полностью из памяти, тем самым не оставляя следов на диске.
Закрепление достигается с помощью трёх различных механизмов: руткита для скрытия файлов через LD_PRELOAD, задачи cron, которая запускает RAT каждые 13 минут, и хука входа через profile.d, который выполняет обёрточный скрипт, использующий наиболее скрытный метод выполнения. Эти векторы в совокупности обеспечивают, что RAT остаётся активным даже после перезагрузок системы или попыток вмешательства пользователя.
Поскольку RAT был разработан в среде VMware, кодовая база MYRA включает телеметрию и различные техники MITRE ATT&CK, что указывает на сценарий тестирования красной команды, а не на реальное развертывание в дикой природе. Однако публикация MYRA в общедоступном реестре npm создает серьезные риски, так как она позволяет несанкционированным пользователям получить доступ к мощному набору инструментов, который агрегирует хорошо известные техники уклонения. Комбинация этих сложных тактик в одном пакете представляет собой тревожный ландшафт угроз для защитников, подтверждая необходимость осторожной оценки пакетов npm перед установкой.
#ParsedReport #CompletenessMedium
23-06-2026
Operation FlutterBridge: The FlutterShell macOS Backdoor
https://www.levelblue.com/blogs/spiderlabs-blog/operation-flutterbridge-the-fluttershell-macos-backdoor
Report completeness: Medium
Actors/Campaigns:
Cl-cri-1089
Threats:
Flutterbridge
Fluttershell
Sparkle_tool
Typosquatting_technique
Victims:
Macos users, Google chrome users
TTPs:
Tactics: 7
Technics: 12
IOCs:
File: 6
Domain: 1
Hash: 9
Soft:
macOS, Flutter, Chrome, Google Chrome, flutter.flutter, Gatekeeper, Unix
Algorithms:
sha256
Functions:
setSparkleDelay
Languages:
javascript, objective_c
Platforms:
arm, apple, x86
23-06-2026
Operation FlutterBridge: The FlutterShell macOS Backdoor
https://www.levelblue.com/blogs/spiderlabs-blog/operation-flutterbridge-the-fluttershell-macos-backdoor
Report completeness: Medium
Actors/Campaigns:
Cl-cri-1089
Threats:
Flutterbridge
Fluttershell
Sparkle_tool
Typosquatting_technique
Victims:
Macos users, Google chrome users
TTPs:
Tactics: 7
Technics: 12
IOCs:
File: 6
Domain: 1
Hash: 9
Soft:
macOS, Flutter, Chrome, Google Chrome, flutter.flutter, Gatekeeper, Unix
Algorithms:
sha256
Functions:
setSparkleDelay
Languages:
javascript, objective_c
Platforms:
arm, apple, x86
Levelblue
Operation FlutterBridge: The FlutterShell macOS Backdoor
The CL-CRI-1089 cluster demonstrates a misuse of the Flutter framework. This report treats the recovered FlutterShell artifacts as a technical detection case study.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-06-2026 Operation FlutterBridge: The FlutterShell macOS Backdoor https://www.levelblue.com/blogs/spiderlabs-blog/operation-flutterbridge-the-fluttershell-macos-backdoor Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция FlutterBridge нацелена на пользователей macOS через рекламу, перенаправляющую на домены с опечатками (typosquatted), доставляя бэкдор FlutterShell. Это ВПО, эволюционирующее через несколько поколений, выполняет команды через WebView и канал JavaScript, полагаясь на условное подключение к серверу управления. Оно использует такие техники, как ротация сертификатов, и применяет двухкомпонентную архитектуру для избежания обнаружения, демонстрируя сложные тактики уклонения путем разделения статических бинарных файлов от вредоносных загрузок.
-----
Операция FlutterBridge была идентифицирована как сложная киберкампания, использующая фреймворк Flutter для развертывания вредоносного ПО macOS, в частности бэкдора FlutterShell. Вредоносное ПО функционирует за счет использования нескольких образцов Mach-O, демонстрируя эволюцию в рамках трех различных поколений. Ключевые технические особенности включают его способность сохранять возможности обнаружения несмотря на изменения в именах команд и других идентификаторах, путем разделения статического бинарного файла и полезной нагрузки команды. Во время выполнения WebView загружает содержимое, контролируемое злоумышленником, что позволяет отправлять команды через канал сообщений JavaScript, известный как FlutterInvoke.
Замечательно, что вредоносное ПО демонстрирует условную модель выполнения, зависящую от сервера управления (C2). Отсутствие какого-либо видимого вредоносного поведения в песочнице указывает на то, что вредоносное ПО остается неактивным без живого ответа C2. Такое поведение подчеркивает необходимость телеметрии на уровне конечных точек в качестве основного метода обнаружения, учитывая, что обычные поведенческие песочницы не могут имитировать живые взаимодействия C2.
Дальнейший анализ выявляет общие структурные свойства для нескольких полезной нагрузки, такие как идентичные отпечатки экспортируемых символов и согласованная архитектура. Развертывания используют двухкомпонентную архитектуру, где загрузчик-заглушка инициирует большую динамически связанную библиотеку полезной нагрузки, содержащую среду выполнения Dart и вредоносную логику. Каждая полезная нагрузка связывается исключительно с системными библиотеками, такими как libSystem.B.dylib, обходя стандартные фреймворки Apple, что помогает отличить её от легитимных приложений macOS.
Операционная стратегия злоумышленника включает такие техники, как ротация сертификатов, для обхода защитных механизмов Apple Gatekeeper. Более ранние поколения использовали действительные сертификаты Apple для прохождения первоначальной проверки, но последующие варианты перешли на самоподписанные артефакты для повышения возможностей уклонения. Такой подход позволяет злоумышленнику эффективно обходить механизмы отзыва.
Вектор атаки обычно предполагает нацеливание на пользователей через рекламу в Google/YouTube с использованием ключевых слов, связанных с популярными приложениями, такими как приложения для подкастов или конвертеры PDF. Жертв перенаправляют на домены с опечатками (typosquatted), где они скачивают подписанные пакеты приложений, выглядящие легитимно. После установки приложение обманным образом демонстрирует функциональный интерфейс, одновременно устанавливая соединение с доменом злоумышленника для выполнения команд.
Специфические данные также подчеркивают поведение полезной нагрузки, такое как попытки изменить поставщика поиска по умолчанию в Chrome и подавить предупреждения браузера, а также тихую замену пакетов приложений во время циклов обновления. Уникальные атрибуты и операционное поведение, наблюдаемое во вредоносном ПО FlutterShell, создают отличительные защитные маркеры, которые можно мониторить для обнаружения аномальной активности, связанной с этой злонамеренной кампанией.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция FlutterBridge нацелена на пользователей macOS через рекламу, перенаправляющую на домены с опечатками (typosquatted), доставляя бэкдор FlutterShell. Это ВПО, эволюционирующее через несколько поколений, выполняет команды через WebView и канал JavaScript, полагаясь на условное подключение к серверу управления. Оно использует такие техники, как ротация сертификатов, и применяет двухкомпонентную архитектуру для избежания обнаружения, демонстрируя сложные тактики уклонения путем разделения статических бинарных файлов от вредоносных загрузок.
-----
Операция FlutterBridge была идентифицирована как сложная киберкампания, использующая фреймворк Flutter для развертывания вредоносного ПО macOS, в частности бэкдора FlutterShell. Вредоносное ПО функционирует за счет использования нескольких образцов Mach-O, демонстрируя эволюцию в рамках трех различных поколений. Ключевые технические особенности включают его способность сохранять возможности обнаружения несмотря на изменения в именах команд и других идентификаторах, путем разделения статического бинарного файла и полезной нагрузки команды. Во время выполнения WebView загружает содержимое, контролируемое злоумышленником, что позволяет отправлять команды через канал сообщений JavaScript, известный как FlutterInvoke.
Замечательно, что вредоносное ПО демонстрирует условную модель выполнения, зависящую от сервера управления (C2). Отсутствие какого-либо видимого вредоносного поведения в песочнице указывает на то, что вредоносное ПО остается неактивным без живого ответа C2. Такое поведение подчеркивает необходимость телеметрии на уровне конечных точек в качестве основного метода обнаружения, учитывая, что обычные поведенческие песочницы не могут имитировать живые взаимодействия C2.
Дальнейший анализ выявляет общие структурные свойства для нескольких полезной нагрузки, такие как идентичные отпечатки экспортируемых символов и согласованная архитектура. Развертывания используют двухкомпонентную архитектуру, где загрузчик-заглушка инициирует большую динамически связанную библиотеку полезной нагрузки, содержащую среду выполнения Dart и вредоносную логику. Каждая полезная нагрузка связывается исключительно с системными библиотеками, такими как libSystem.B.dylib, обходя стандартные фреймворки Apple, что помогает отличить её от легитимных приложений macOS.
Операционная стратегия злоумышленника включает такие техники, как ротация сертификатов, для обхода защитных механизмов Apple Gatekeeper. Более ранние поколения использовали действительные сертификаты Apple для прохождения первоначальной проверки, но последующие варианты перешли на самоподписанные артефакты для повышения возможностей уклонения. Такой подход позволяет злоумышленнику эффективно обходить механизмы отзыва.
Вектор атаки обычно предполагает нацеливание на пользователей через рекламу в Google/YouTube с использованием ключевых слов, связанных с популярными приложениями, такими как приложения для подкастов или конвертеры PDF. Жертв перенаправляют на домены с опечатками (typosquatted), где они скачивают подписанные пакеты приложений, выглядящие легитимно. После установки приложение обманным образом демонстрирует функциональный интерфейс, одновременно устанавливая соединение с доменом злоумышленника для выполнения команд.
Специфические данные также подчеркивают поведение полезной нагрузки, такое как попытки изменить поставщика поиска по умолчанию в Chrome и подавить предупреждения браузера, а также тихую замену пакетов приложений во время циклов обновления. Уникальные атрибуты и операционное поведение, наблюдаемое во вредоносном ПО FlutterShell, создают отличительные защитные маркеры, которые можно мониторить для обнаружения аномальной активности, связанной с этой злонамеренной кампанией.
#ParsedReport #CompletenessLow
23-06-2026
Extended Rapid Response: Zimperium's On-Device Coverage of the EvilTokens Multi-Brand Phishing Campaign
https://zimperium.com/blog/extended-rapid-response-zimperiums-on-device-coverage-of-the-eviltokens-multi-brand-phishing-campaign
Report completeness: Low
Threats:
Eviltokens_tool
Device_code_phishing_technique
Victims:
Microsoft 365 users, Mobile users
ChatGPT TTPs:
T1528, T1550.001, T1566.002, T1583.006
Algorithms:
aes-gcm
Links:
23-06-2026
Extended Rapid Response: Zimperium's On-Device Coverage of the EvilTokens Multi-Brand Phishing Campaign
https://zimperium.com/blog/extended-rapid-response-zimperiums-on-device-coverage-of-the-eviltokens-multi-brand-phishing-campaign
Report completeness: Low
Threats:
Eviltokens_tool
Device_code_phishing_technique
Victims:
Microsoft 365 users, Mobile users
ChatGPT TTPs:
do not use without manual checkT1528, T1550.001, T1566.002, T1583.006
Algorithms:
aes-gcm
Links:
https://github.com/Zimperium/IOC/tree/master/2026-06-EvilTokensZimperium
Extended Rapid Response: Zimperium's On-Device Coverage of the EvilTokens Multi-Brand Phishing Campaign
true
CTT Report Hub
#ParsedReport #CompletenessLow 23-06-2026 Extended Rapid Response: Zimperium's On-Device Coverage of the EvilTokens Multi-Brand Phishing Campaign https://zimperium.com/blog/extended-rapid-response-zimperiums-on-device-coverage-of-the-eviltokens-multi-brand…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания EvilTokens использует модель Фишинг как услуга, нацеленную на пользователей Microsoft 365, применяя техники фишинга через код устройства при этом имитируя доверенные бренды, такие как DocuSign и Adobe. Она обходит парольную и Многофакторная аутентификация за счет эксплуатации легитимной страницы одобрения устройств Microsoft, что позволяет получать постоянный доступ через украшенные токены обновления. Эта кампания особенно эффективна против мобильных устройств из-за более слабой защиты, при этом индикаторы компрометация связаны с недавно выявленными вредоносными доменами.
-----
Кампания EvilTokens представляет собой заметную эволюцию тактик фишинга, использующую модель Фишинг как услуга (PhaaS), которая целенаправленно атакует пользователей Microsoft 365. Этот вектор атаки характеризуется сложной интеграцией фишинга с использованием кода устройства, что позволяет ему действовать под прикрытием доверенных брендов, таких как DocuSign и Adobe. Используя временную инфраструктуру Cloudflare Workers, кампания эффективно обходит стандартные меры безопасности, делая традиционные подходы статического блэклистинга менее эффективными против нее.
Критической характеристикой кампании EvilTokens является её способность обходить как парольную, так и многофакторную аутентификацию (MFA). Злоумышленники используют легитимную страницу Microsoft для одобрения устройства, позволяя жертвам неосознанно одобрять вредоносное устройство. Этот подход особенно тревожен, поскольку он использует украшенные токены обновления, предоставляя злоумышленникам постоянный доступ, который остаётся действительным даже после того, как жертвы сбрасывают свои пароли. Воздействие кампании усиливается её фокусом на мобильных устройствах, которые всё чаще используются для открытия фишинговых ссылок. Мобильные устройства, как правило, имеют более слабые средства защиты конечных точек, что делает их более уязвимыми для подобных атак.
В ответ на эти угрозы решение Zimperium Mobile Threat Defense (MTD) оказалось эффективным в обнаружении и блокировке вредоносных URL-адресов, связанных с EvilTokens, на уровне мобильного устройства. Эта упреждающая мера предотвращает достижение пользователями критического этапа фишинга, на котором вводятся коды устройства. Кроме того, текущие исследования привели к выявлению множества новых доменов, связанных с набором для фишинга EvilTokens, что указывает на более широкую картину компрометации. Индикаторы компрометации (IOCs), связанные с этими доменами, доступны публично для дальнейшего расследования, что позволяет организациям укреплять свою защиту от таких сложных фишинговых угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания EvilTokens использует модель Фишинг как услуга, нацеленную на пользователей Microsoft 365, применяя техники фишинга через код устройства при этом имитируя доверенные бренды, такие как DocuSign и Adobe. Она обходит парольную и Многофакторная аутентификация за счет эксплуатации легитимной страницы одобрения устройств Microsoft, что позволяет получать постоянный доступ через украшенные токены обновления. Эта кампания особенно эффективна против мобильных устройств из-за более слабой защиты, при этом индикаторы компрометация связаны с недавно выявленными вредоносными доменами.
-----
Кампания EvilTokens представляет собой заметную эволюцию тактик фишинга, использующую модель Фишинг как услуга (PhaaS), которая целенаправленно атакует пользователей Microsoft 365. Этот вектор атаки характеризуется сложной интеграцией фишинга с использованием кода устройства, что позволяет ему действовать под прикрытием доверенных брендов, таких как DocuSign и Adobe. Используя временную инфраструктуру Cloudflare Workers, кампания эффективно обходит стандартные меры безопасности, делая традиционные подходы статического блэклистинга менее эффективными против нее.
Критической характеристикой кампании EvilTokens является её способность обходить как парольную, так и многофакторную аутентификацию (MFA). Злоумышленники используют легитимную страницу Microsoft для одобрения устройства, позволяя жертвам неосознанно одобрять вредоносное устройство. Этот подход особенно тревожен, поскольку он использует украшенные токены обновления, предоставляя злоумышленникам постоянный доступ, который остаётся действительным даже после того, как жертвы сбрасывают свои пароли. Воздействие кампании усиливается её фокусом на мобильных устройствах, которые всё чаще используются для открытия фишинговых ссылок. Мобильные устройства, как правило, имеют более слабые средства защиты конечных точек, что делает их более уязвимыми для подобных атак.
В ответ на эти угрозы решение Zimperium Mobile Threat Defense (MTD) оказалось эффективным в обнаружении и блокировке вредоносных URL-адресов, связанных с EvilTokens, на уровне мобильного устройства. Эта упреждающая мера предотвращает достижение пользователями критического этапа фишинга, на котором вводятся коды устройства. Кроме того, текущие исследования привели к выявлению множества новых доменов, связанных с набором для фишинга EvilTokens, что указывает на более широкую картину компрометации. Индикаторы компрометации (IOCs), связанные с этими доменами, доступны публично для дальнейшего расследования, что позволяет организациям укреплять свою защиту от таких сложных фишинговых угроз.
#ParsedReport #CompletenessMedium
23-06-2026
From PostCSS Masquerading to Windows RAT
https://research.jfrog.com/post/from-postcss-typosquat-to-windows-rat/
Report completeness: Medium
Victims:
Javascript build ecosystem, Software development, Open source software ecosystem
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1005, T1047, T1057, T1059, T1059.001, T1059.005, T1059.007, T1071.001, T1082, T1105, have more...
IOCs:
File: 18
Command: 1
Domain: 1
Url: 2
IP: 1
Hash: 6
Soft:
Chrome, curl, Nuitka, virtualbox, qemu, hyper-v, vmwaretray
Algorithms:
aes, zip, rc4, aes-256-gcm, md5, chacha20-poly1305, gzip
Win API:
COMMAND0825INFORMATION, COMMAND0825AUTO, MSG0825LOG, NCryptOpenStorageProvider, NCryptOpenKey, NCryptDecrypt, SeDebugPrivilege
Languages:
python, powershell, javascript
23-06-2026
From PostCSS Masquerading to Windows RAT
https://research.jfrog.com/post/from-postcss-typosquat-to-windows-rat/
Report completeness: Medium
Victims:
Javascript build ecosystem, Software development, Open source software ecosystem
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1047, T1057, T1059, T1059.001, T1059.005, T1059.007, T1071.001, T1082, T1105, have more...
IOCs:
File: 18
Command: 1
Domain: 1
Url: 2
IP: 1
Hash: 6
Soft:
Chrome, curl, Nuitka, virtualbox, qemu, hyper-v, vmwaretray
Algorithms:
aes, zip, rc4, aes-256-gcm, md5, chacha20-poly1305, gzip
Win API:
COMMAND0825INFORMATION, COMMAND0825AUTO, MSG0825LOG, NCryptOpenStorageProvider, NCryptOpenKey, NCryptDecrypt, SeDebugPrivilege
Languages:
python, powershell, javascript
Jfrog
From PostCSS Masquerading to Windows RAT | JFrog
JFrog Security Research analyzed a suspicious npm package named postcss-minify-selector-parser. The package impersonates the popular PostCSS selector-parser ecosystem and hides a multi-stage payload that downloads a Windows Python/Nuitka RAT.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-06-2026 From PostCSS Masquerading to Windows RAT https://research.jfrog.com/post/from-postcss-typosquat-to-windows-rat/ Report completeness: Medium Victims: Javascript build ecosystem, Software development, Open source…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В экосистеме пакетов JavaScript выявлена сложная атака, в ходе которой вредоносный пакет, маскирующийся под postcss-selector-parser, разворачивает троянскую программу удаленного доступа Windows (RAT) с возможностями, такими как удаленный доступ к оболочке, передача файлов и кража учетных данных Chrome. ВПО использует многоуровневую архитектуру с зависимостями от легитимных пакетов, в конечном итоге применяя загрузчик PowerShell, который извлекает дополнительные вредоносные компоненты из инфраструктуры управления. Примечательно, что он проводит профилирование хоста для уклонения от обнаружения, используя Инструментарий управления Windows и другие проверки окружения.
-----
Расследование вредоносного пакета, маскирующегося под легитимный postcss-selector-parser, выявляет сложную атаку, использующую экосистему пакетов JavaScript. Эта атака способствует развертыванию Windows Троянской программы удаленного доступа (RAT), способной выполнять различные вредоносные действия, включая возможности удаленной оболочки, передачу файлов, механизмы закрепления, профилирование хоста и кражу учетных данных Chrome. Такая обфускация опирается на популярность пакета postcss-selector-parser, который сообщает о более чем 150 миллионах загрузок в неделю, чтобы социальная инженерия воздействовала на неосведомленных пользователей.
Вредоносное ПО использует многоуровневую архитектуру с зависимостями от кажущихся безобидными пакетов, таких как aes-decode-runner-pro и postcss-minify-selector-parser. Эти пакеты после декодирования приводят к загрузчику PowerShell, который запускает цепочку полезной нагрузки. Итогом становится загрузчик, который извлекает дополнительные вредоносные компоненты из инфраструктуры command-and-control (C2). Скрипт PowerShell загружает Windows-полезную нагрузку с домена nvidiadriver.net, извлекает её в каталог %TEMP% и выполняет VBS-загрузчик, тем самым дополнительно развертывая ВПО.
Анализ полезной нагрузки показывает, что она функционирует через HTTP-коммуникации C2, используя зашифрованные POST-пакеты. Для транспортировки пакетов применяется шифрование RC4/ARC4, а для обеспечения целостности интегрируются контрольные суммы MD5. Закрепление осуществляется через реестр Windows, при этом динамически собираются UUID жертв и мониторятся действия хоста, включая проверку машины для определения того, работает ли ВПО в виртуальной машине или в физической среде.
Вредоносное ПО разделено на несколько модулей, таких как config.pyd, api.pyd и audiodriver.pyd, каждый из которых отвечает за различные функциональные возможности. Диспетчер команд критически важен для координации операций, управления зашифрованным обменом сообщениями с сервером C2 и выполнения запрошенных команд. Особую обеспокоенность вызывает модуль auto.pyd, поскольку он отвечает за кражу учетных данных Chrome, обращаясь к важным файлам профилей Chrome и используя API расшифровки Windows для обеспечения доступа к сохраненным логинам.
Кроме того, модуль command.pyd не только выполняет команды, но и проводит профилирование среды хоста для уклонения от обнаружения. Он реализует проверки через Инструментарий управления Windows (WMI), списки процессов и другие индикаторы, чтобы определить, находится ли он в песочнице внутри виртуализированной среды.
В заключение, этот инцидент демонстрирует целевую атаку с имперсонацией пакета, направленную на эксплуатацию доверия в экосистеме npm. Реальная угроза материализуется после декодирования начального полезного груза, что приводит к созданию мощных вредоносных возможностей, включая масштабное хищение данных и компрометацию системы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В экосистеме пакетов JavaScript выявлена сложная атака, в ходе которой вредоносный пакет, маскирующийся под postcss-selector-parser, разворачивает троянскую программу удаленного доступа Windows (RAT) с возможностями, такими как удаленный доступ к оболочке, передача файлов и кража учетных данных Chrome. ВПО использует многоуровневую архитектуру с зависимостями от легитимных пакетов, в конечном итоге применяя загрузчик PowerShell, который извлекает дополнительные вредоносные компоненты из инфраструктуры управления. Примечательно, что он проводит профилирование хоста для уклонения от обнаружения, используя Инструментарий управления Windows и другие проверки окружения.
-----
Расследование вредоносного пакета, маскирующегося под легитимный postcss-selector-parser, выявляет сложную атаку, использующую экосистему пакетов JavaScript. Эта атака способствует развертыванию Windows Троянской программы удаленного доступа (RAT), способной выполнять различные вредоносные действия, включая возможности удаленной оболочки, передачу файлов, механизмы закрепления, профилирование хоста и кражу учетных данных Chrome. Такая обфускация опирается на популярность пакета postcss-selector-parser, который сообщает о более чем 150 миллионах загрузок в неделю, чтобы социальная инженерия воздействовала на неосведомленных пользователей.
Вредоносное ПО использует многоуровневую архитектуру с зависимостями от кажущихся безобидными пакетов, таких как aes-decode-runner-pro и postcss-minify-selector-parser. Эти пакеты после декодирования приводят к загрузчику PowerShell, который запускает цепочку полезной нагрузки. Итогом становится загрузчик, который извлекает дополнительные вредоносные компоненты из инфраструктуры command-and-control (C2). Скрипт PowerShell загружает Windows-полезную нагрузку с домена nvidiadriver.net, извлекает её в каталог %TEMP% и выполняет VBS-загрузчик, тем самым дополнительно развертывая ВПО.
Анализ полезной нагрузки показывает, что она функционирует через HTTP-коммуникации C2, используя зашифрованные POST-пакеты. Для транспортировки пакетов применяется шифрование RC4/ARC4, а для обеспечения целостности интегрируются контрольные суммы MD5. Закрепление осуществляется через реестр Windows, при этом динамически собираются UUID жертв и мониторятся действия хоста, включая проверку машины для определения того, работает ли ВПО в виртуальной машине или в физической среде.
Вредоносное ПО разделено на несколько модулей, таких как config.pyd, api.pyd и audiodriver.pyd, каждый из которых отвечает за различные функциональные возможности. Диспетчер команд критически важен для координации операций, управления зашифрованным обменом сообщениями с сервером C2 и выполнения запрошенных команд. Особую обеспокоенность вызывает модуль auto.pyd, поскольку он отвечает за кражу учетных данных Chrome, обращаясь к важным файлам профилей Chrome и используя API расшифровки Windows для обеспечения доступа к сохраненным логинам.
Кроме того, модуль command.pyd не только выполняет команды, но и проводит профилирование среды хоста для уклонения от обнаружения. Он реализует проверки через Инструментарий управления Windows (WMI), списки процессов и другие индикаторы, чтобы определить, находится ли он в песочнице внутри виртуализированной среды.
В заключение, этот инцидент демонстрирует целевую атаку с имперсонацией пакета, направленную на эксплуатацию доверия в экосистеме npm. Реальная угроза материализуется после декодирования начального полезного груза, что приводит к созданию мощных вредоносных возможностей, включая масштабное хищение данных и компрометацию системы.
#ParsedReport #CompletenessLow
23-06-2026
macOS.Gaslight \| Rust Backdoor Turns Prompt Injection on the Analyst, Not the Sandbox
https://www.sentinelone.com/labs/macos-gaslight-rust-backdoor-turns-prompt-injection-on-the-analyst-not-the-sandbox/
Report completeness: Low
Threats:
Bonzai
Supply_chain_technique
Amos_stealer
Hades
Shai-hulud
Victims:
Macos users
Geo:
North korean, Dprk
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1005, T1016, T1036.005, T1041, T1057, T1059.004, T1059.006, T1071.001, T1082, T1102.002, have more...
IOCs:
Hash: 4
Soft:
macOS, Telegram, Linux, Chrome, Firefox, PyInstaller, Nuitka, Anthropic, Claude
Algorithms:
aes-gcm, aes, zip, base64
Functions:
getUpdates
Languages:
python, cpython, rust
Platforms:
apple, cross-platform, arm
23-06-2026
macOS.Gaslight \| Rust Backdoor Turns Prompt Injection on the Analyst, Not the Sandbox
https://www.sentinelone.com/labs/macos-gaslight-rust-backdoor-turns-prompt-injection-on-the-analyst-not-the-sandbox/
Report completeness: Low
Threats:
Bonzai
Supply_chain_technique
Amos_stealer
Hades
Shai-hulud
Victims:
Macos users
Geo:
North korean, Dprk
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1016, T1036.005, T1041, T1057, T1059.004, T1059.006, T1071.001, T1082, T1102.002, have more...
IOCs:
Hash: 4
Soft:
macOS, Telegram, Linux, Chrome, Firefox, PyInstaller, Nuitka, Anthropic, Claude
Algorithms:
aes-gcm, aes, zip, base64
Functions:
getUpdates
Languages:
python, cpython, rust
Platforms:
apple, cross-platform, arm
SentinelOne
macOS.Gaslight | Rust Backdoor Turns Prompt Injection on the Analyst, Not the Sandbox
DPRK-linked implant embeds 38 fabricated system messages that spoof an LLM triage harness, hiding a credential stealer and Telegram C2 underneath.
CTT Report Hub
#ParsedReport #CompletenessLow 23-06-2026 macOS.Gaslight \| Rust Backdoor Turns Prompt Injection on the Analyst, Not the Sandbox https://www.sentinelone.com/labs/macos-gaslight-rust-backdoor-turns-prompt-injection-on-the-analyst-not-the-sandbox/ Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО macOS.Gaslight, связанное с деятельностью Северной Кореи, представляет собой бэкдор на базе Rust, который вводит аналитиков в заблуждение, внедряя 38 сфабрикованных системных сообщений вместо того, чтобы уклоняться от обнаружения. Оно использует Telegram Bot API для связи через управление с шифрованием AES-GCM и содержит полезную нагрузку, нацеленную на конфиденциальные данные, включая историю браузеров и учетные данные. Благодаря продвинутым методам закрепления и самоудалению своего токена бота оно представляет значительную угрозу, усложняя анализ вредоносного ПО с использованием искусственного интеллекта.
-----
Встроенная программа macOS.Gaslight, связанная с деятельностью, связанной с Северной Кореей, представляет собой сложный бэкдор на базе Rust, который использует уникальный подход для введения в заблуждение аналитиков во время анализа ВПО, а не для попытки избежать обнаружения в песочнице. Она внедряет полезную нагрузку, состоящую из 38 сфабрикованных системных сообщений, направленных на то, чтобы вызвать сомнения в результатах процессов триажа с помощью LLM. Этот механизм управления (C2) использует Telegram Bot API для связи, применяя метод опроса, который активируется при отсутствии зарегистрированного вебхука, и соблюдает строгие требования безопасности транспорта, используя шифрование AES-GCM поверх TLS-соединений с привязкой сертификата. Встроенная программа автоматически удаляет токен своего бота Telegram из вывода во время выполнения, предотвращая потенциальное восстановление данных аналитиками безопасности.
Распространение macOS.Gaslight было первоначально обнаружено после обновления Apple XProtect в июне 2023 года, хотя на момент этого обновления оно оставалось незамеченным при статическом анализе. Оно предназначено для предотвращения перехода системы в спящий режим с помощью утверждения управления питанием, обеспечивая непрерывное опрос и сбор данных даже в периоды бездействия. В Implant содержатся компоненты для кражи данных, особенно нацеленные на конфиденциальную информацию, такую как истории браузеров и учетные данные, хранящиеся в Связке ключей macOS, что обеспечивается закодированным Python-скриптом, который собирает полную среду сбора данных, используя автономный CPython-рантайм, загружаемый при выполнении.
Механизмы закрепления интегрируются через LaunchAgent, настроенный на маскировку под системные службы, что обеспечивает скрытность в экосистеме macOS. Этот метод часто наблюдается у семейств ВПО, связанных с КНДР. Кроме того, реализация саморазрушения токена бота представляет собой проактивную меру операционной безопасности (OPSEC), значительно повышающую устойчивость внедрения против анализа.
Дизайн вредоносного ПО подчеркивает инновационную тактику инъекции промптов, которая служит для компрометации эффективности анализа на основе ИИ за счет введения сложности в процесс оценки. Эта характеристика отличает macOS.Gaslight от предыдущих примеров вредоносного ПО, которые либо использовали ИИ для оперативных задач, либо применяли более простые формы обфускации. Благодаря сочетанию надежных возможностей сбора данных, строгой безопасности C2 и стратегий, нацеленных на аналитиков, macOS.Gaslight является примером формирующегося ландшафта угроз, где злоумышленники все чаще стремятся эксплуатировать инструменты ИИ, являющиеся фундаментальными для усилий в области кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО macOS.Gaslight, связанное с деятельностью Северной Кореи, представляет собой бэкдор на базе Rust, который вводит аналитиков в заблуждение, внедряя 38 сфабрикованных системных сообщений вместо того, чтобы уклоняться от обнаружения. Оно использует Telegram Bot API для связи через управление с шифрованием AES-GCM и содержит полезную нагрузку, нацеленную на конфиденциальные данные, включая историю браузеров и учетные данные. Благодаря продвинутым методам закрепления и самоудалению своего токена бота оно представляет значительную угрозу, усложняя анализ вредоносного ПО с использованием искусственного интеллекта.
-----
Встроенная программа macOS.Gaslight, связанная с деятельностью, связанной с Северной Кореей, представляет собой сложный бэкдор на базе Rust, который использует уникальный подход для введения в заблуждение аналитиков во время анализа ВПО, а не для попытки избежать обнаружения в песочнице. Она внедряет полезную нагрузку, состоящую из 38 сфабрикованных системных сообщений, направленных на то, чтобы вызвать сомнения в результатах процессов триажа с помощью LLM. Этот механизм управления (C2) использует Telegram Bot API для связи, применяя метод опроса, который активируется при отсутствии зарегистрированного вебхука, и соблюдает строгие требования безопасности транспорта, используя шифрование AES-GCM поверх TLS-соединений с привязкой сертификата. Встроенная программа автоматически удаляет токен своего бота Telegram из вывода во время выполнения, предотвращая потенциальное восстановление данных аналитиками безопасности.
Распространение macOS.Gaslight было первоначально обнаружено после обновления Apple XProtect в июне 2023 года, хотя на момент этого обновления оно оставалось незамеченным при статическом анализе. Оно предназначено для предотвращения перехода системы в спящий режим с помощью утверждения управления питанием, обеспечивая непрерывное опрос и сбор данных даже в периоды бездействия. В Implant содержатся компоненты для кражи данных, особенно нацеленные на конфиденциальную информацию, такую как истории браузеров и учетные данные, хранящиеся в Связке ключей macOS, что обеспечивается закодированным Python-скриптом, который собирает полную среду сбора данных, используя автономный CPython-рантайм, загружаемый при выполнении.
Механизмы закрепления интегрируются через LaunchAgent, настроенный на маскировку под системные службы, что обеспечивает скрытность в экосистеме macOS. Этот метод часто наблюдается у семейств ВПО, связанных с КНДР. Кроме того, реализация саморазрушения токена бота представляет собой проактивную меру операционной безопасности (OPSEC), значительно повышающую устойчивость внедрения против анализа.
Дизайн вредоносного ПО подчеркивает инновационную тактику инъекции промптов, которая служит для компрометации эффективности анализа на основе ИИ за счет введения сложности в процесс оценки. Эта характеристика отличает macOS.Gaslight от предыдущих примеров вредоносного ПО, которые либо использовали ИИ для оперативных задач, либо применяли более простые формы обфускации. Благодаря сочетанию надежных возможностей сбора данных, строгой безопасности C2 и стратегий, нацеленных на аналитиков, macOS.Gaslight является примером формирующегося ландшафта угроз, где злоумышленники все чаще стремятся эксплуатировать инструменты ИИ, являющиеся фундаментальными для усилий в области кибербезопасности.
#ParsedReport #CompletenessMedium
23-06-2026
CVE-2025-54068 Laravel Livewire Credential Theft Campaign: 6,000+ Applications Compromised
https://www.imperva.com/blog/cve-2025-54068-laravel-livewire-credential-theft-campaign-6000-applications-compromised/
Report completeness: Medium
Victims:
E commerce, Healthcare, Financial services, Education, Government, Online gambling and betting, Logistics
Industry:
Logistic, Education, Healthcare, Government, E-commerce
Geo:
Asian, Indonesian, Brazilian, Asia
CVEs:
CVE-2025-54068 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- laravel livewire (<3.6.4)
TTPs:
Tactics: 4
Technics: 11
IOCs:
Url: 1
File: 2
Hash: 1
IP: 1
Domain: 1
Email: 1
Soft:
Laravel Livewire, Livewire, Laravel, telegram, Unix, curl
Algorithms:
sha256, zip
Languages:
php
23-06-2026
CVE-2025-54068 Laravel Livewire Credential Theft Campaign: 6,000+ Applications Compromised
https://www.imperva.com/blog/cve-2025-54068-laravel-livewire-credential-theft-campaign-6000-applications-compromised/
Report completeness: Medium
Victims:
E commerce, Healthcare, Financial services, Education, Government, Online gambling and betting, Logistics
Industry:
Logistic, Education, Healthcare, Government, E-commerce
Geo:
Asian, Indonesian, Brazilian, Asia
CVEs:
CVE-2025-54068 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- laravel livewire (<3.6.4)
TTPs:
Tactics: 4
Technics: 11
IOCs:
Url: 1
File: 2
Hash: 1
IP: 1
Domain: 1
Email: 1
Soft:
Laravel Livewire, Livewire, Laravel, telegram, Unix, curl
Algorithms:
sha256, zip
Languages:
php
Blog
CVE-2025-54068 Laravel Livewire Credential Theft Campaign: 6,000+ Applications Compromised | Imperva
Introduction On May 24, 2026, Imperva observed exploitation attempts against Laravel Livewire applications, blocked by the Imperva Cloud WAF. What initially appeared to be unremarkable deserialization attack traffic turned out to be part of a large-scale…
CTT Report Hub
#ParsedReport #CompletenessMedium 23-06-2026 CVE-2025-54068 Laravel Livewire Credential Theft Campaign: 6,000+ Applications Compromised https://www.imperva.com/blog/cve-2025-54068-laravel-livewire-credential-theft-campaign-6000-applications-compromised/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Наблюдается кампания по краже учетных данных, использующая уязвимость CVE-2025-54068, затрагивающая приложения Laravel Livewire вплоть до версии v3.6.3. Уязвимость позволяет неаутентифицированным злоумышленникам выполнять код посредством вредоносной десериализации PHP-объектов, развертывая Bash-скрипт (shoc.enz), который крадет конфиденциальные конфигурационные файлы из более чем 6 167 целевых приложений в различных секторах. Атака приписывается индонезийскому злоумышленнику, имеющему связи с предыдущими подпольными взломами, что подчеркивает серьезные риски, связанные с непропатченными развертываниями Laravel.
-----
24 мая 2026 года была зафиксирована масштабная кампания по краже учетных данных, использующая уязвимость CVE-2025-54068, направленная на приложения Laravel Livewire, в основном затрагивающая версии вплоть до v3.6.3. Эта критическая уязвимость возникает из-за недостаточной проверки обновлений свойств компонентов в процессе гидратации, что позволяет неаутентифицированным злоумышленникам внедрять вредоносные сериализованные объекты PHP, приводящие к выполнению произвольного кода при десериализации. Атакующий использовал эту ошибку для выполнения полезной нагрузки, которая загружала и выполняла Bash-скрипт с их сервера управления (управление).
Захваченный полезный груз указывал на то, что атакующий использовал цепочки гаджетов PHPGGC, которые эксплуатируют существующие легитимные классы PHP в приложениях Laravel. Вредоносный скрипт оболочки Bash, идентифицированный как shoc.enz, имел небольшой размер 5 269 байт и служил в качестве credential stealer. После выполнения он создавал временный рабочий каталог, обеспечивал отсутствие других запущенных экземпляров, искал конфиденциальные файлы .env, содержащие критически важные конфигурационные данные, архивировал эти файлы и впоследствии эксфильтровал их по нескольким каналам C2, одновременно очищая следы для удаления криминалистический анализ.
Анализ показал, что более 6167 приложений в различных секторах, включая электронную коммерцию, здравоохранение, финансовые услуги и даже государственные органы, подверглись компрометации учетных данных. В наличии находились более 1850 дампов баз данных и обширные списки электронных адресов, что указывает на активное использование украденных учетных данных. Индикаторы, связывающие кампанию с индонезийским злоумышленником, включали лингвистические элементы в коде ВПО и метаданные, связанные с инфраструктурой C2, включая учетные записи в Телеграм и адрес электронной почты, связанный с несколькими предыдущими утечками на подпольных форумах.
Целевые приложения охватывали широкий спектр развертываний Laravel, включая платформы, связанные с онлайн-гемблингом, образованием и логистикой, что подчеркивает безразборчивый характер сканирования. Любая организация, использующая неподготовленные версии Laravel Livewire v3, могла стать потенциальной жертвой этой масштабной кампании. В целом, операция выявляет значительные уязвимости в широко используемых фреймворках и серьезные последствия их эксплуатации в киберпространстве.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Наблюдается кампания по краже учетных данных, использующая уязвимость CVE-2025-54068, затрагивающая приложения Laravel Livewire вплоть до версии v3.6.3. Уязвимость позволяет неаутентифицированным злоумышленникам выполнять код посредством вредоносной десериализации PHP-объектов, развертывая Bash-скрипт (shoc.enz), который крадет конфиденциальные конфигурационные файлы из более чем 6 167 целевых приложений в различных секторах. Атака приписывается индонезийскому злоумышленнику, имеющему связи с предыдущими подпольными взломами, что подчеркивает серьезные риски, связанные с непропатченными развертываниями Laravel.
-----
24 мая 2026 года была зафиксирована масштабная кампания по краже учетных данных, использующая уязвимость CVE-2025-54068, направленная на приложения Laravel Livewire, в основном затрагивающая версии вплоть до v3.6.3. Эта критическая уязвимость возникает из-за недостаточной проверки обновлений свойств компонентов в процессе гидратации, что позволяет неаутентифицированным злоумышленникам внедрять вредоносные сериализованные объекты PHP, приводящие к выполнению произвольного кода при десериализации. Атакующий использовал эту ошибку для выполнения полезной нагрузки, которая загружала и выполняла Bash-скрипт с их сервера управления (управление).
Захваченный полезный груз указывал на то, что атакующий использовал цепочки гаджетов PHPGGC, которые эксплуатируют существующие легитимные классы PHP в приложениях Laravel. Вредоносный скрипт оболочки Bash, идентифицированный как shoc.enz, имел небольшой размер 5 269 байт и служил в качестве credential stealer. После выполнения он создавал временный рабочий каталог, обеспечивал отсутствие других запущенных экземпляров, искал конфиденциальные файлы .env, содержащие критически важные конфигурационные данные, архивировал эти файлы и впоследствии эксфильтровал их по нескольким каналам C2, одновременно очищая следы для удаления криминалистический анализ.
Анализ показал, что более 6167 приложений в различных секторах, включая электронную коммерцию, здравоохранение, финансовые услуги и даже государственные органы, подверглись компрометации учетных данных. В наличии находились более 1850 дампов баз данных и обширные списки электронных адресов, что указывает на активное использование украденных учетных данных. Индикаторы, связывающие кампанию с индонезийским злоумышленником, включали лингвистические элементы в коде ВПО и метаданные, связанные с инфраструктурой C2, включая учетные записи в Телеграм и адрес электронной почты, связанный с несколькими предыдущими утечками на подпольных форумах.
Целевые приложения охватывали широкий спектр развертываний Laravel, включая платформы, связанные с онлайн-гемблингом, образованием и логистикой, что подчеркивает безразборчивый характер сканирования. Любая организация, использующая неподготовленные версии Laravel Livewire v3, могла стать потенциальной жертвой этой масштабной кампании. В целом, операция выявляет значительные уязвимости в широко используемых фреймворках и серьезные последствия их эксплуатации в киберпространстве.