CTT Report Hub
#ParsedReport #CompletenessLow 23-06-2026 EvilTokens: How “Ghost” Code Threatens US and European Businesses https://any.run/cybersecurity-blog/eviltokens-ghost-code-analysis/ Report completeness: Low Threats: Eviltokens_tool Device_code_phishing_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
EvilTokens — это сложный фишинговый набор, нацеленный на организации в США и Европе, использующий аутентификацию Device Code от Microsoft для сокрытия своих злонамеренных намерений. Он использует дешифровку на стороне браузера с шифрованием AES-GCM, что усложняет обнаружение при статическом анализе URL и позволяет пользователям неосознанно авторизовывать доступ к учетной записи вместо прямого кражи учетных данных. Исследование доказательств на уровне браузера и отслеживание изменений в HTML DOM может помочь выявить связанную фишинговую инфраструктуру и улучшить методы обнаружения таких угроз.
-----
EvilTokens представляет собой серьезную киберугрозу благодаря своему сложному механизму фишинговых атак, в первую очередь нацеленному на организации в Соединенных Штатах и Европе. Этот фишинговый набор использует процесс аутентификации кода устройства Microsoft и работает таким образом, чтобы скрыть свои злонамеренные намерения, что затрудняет обнаружение командами центра безопасности (SOC). Вместо прямого кражи учетных данных пользователей EvilTokens побуждает жертв неосознанно авторизовать доступ к их учетным записям через легитимные потоки входа.
Набор инструментов использует дешифровку на стороне браузера, где ключевые элементы фишинговой схемы скрыты за шифрованием AES-GCM и становятся видимыми только после того, как браузер расшифровывает и отображает содержимое. Это создает значительный пробел в видимости при статическом анализе URL и усложняет расследование инцидентов. Команды SOC могут извлечь пользу из изучения доказательств на уровне браузера, которые могут привести к более быстрым решениям по изоляции. Такие доказательства включают отслеживание изменений в модели документа HTML (DOM), мониторинг HTTP-запросов и анализ деталей URL для понимания сетевой активности и конечных пунктов назначения, вовлеченных в фишинговую атаку.
Более того, детальный анализ одной сессии EvilTokens может выявить связанную фишинговую инфраструктуру, поскольку выявленные шаблоны и сигнатуры могут быть связаны с другой фишинговой активностью. Это позволяет командам SOC выходить за рамки изолированных инцидентов и обнаруживать более широкие кампании, которые могут использовать аналогичные тактики. Создавая разведданные об угрозах на основе наблюдаемого поведения и шаблонов кода, команды получают возможность улучшить фишинговые сигнатуры, внедрить эффективные методы обнаружения на заказ и выполнять проактивный поиск угроз.
Встроенная природа «призрачного кода» EvilTokens делает атаку сложной, но также подчеркивает важность мониторинга браузера. Восстанавливая фишинговую логику через расшифрованное содержимое DOM и сопоставляя её с сетевым трафиком, специалисты по безопасности могут выявлять паттерны вредоносного кода, конечные точки и поведения, которые могут способствовать будущим усилиям по обнаружению. Этот многогранный подход позволяет командам SOC эффективно реагировать на EvilTokens, а также на аналогичные угрозы, тем самым улучшая их общую безопасность против эволюционирующих тактик фишинга.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
EvilTokens — это сложный фишинговый набор, нацеленный на организации в США и Европе, использующий аутентификацию Device Code от Microsoft для сокрытия своих злонамеренных намерений. Он использует дешифровку на стороне браузера с шифрованием AES-GCM, что усложняет обнаружение при статическом анализе URL и позволяет пользователям неосознанно авторизовывать доступ к учетной записи вместо прямого кражи учетных данных. Исследование доказательств на уровне браузера и отслеживание изменений в HTML DOM может помочь выявить связанную фишинговую инфраструктуру и улучшить методы обнаружения таких угроз.
-----
EvilTokens представляет собой серьезную киберугрозу благодаря своему сложному механизму фишинговых атак, в первую очередь нацеленному на организации в Соединенных Штатах и Европе. Этот фишинговый набор использует процесс аутентификации кода устройства Microsoft и работает таким образом, чтобы скрыть свои злонамеренные намерения, что затрудняет обнаружение командами центра безопасности (SOC). Вместо прямого кражи учетных данных пользователей EvilTokens побуждает жертв неосознанно авторизовать доступ к их учетным записям через легитимные потоки входа.
Набор инструментов использует дешифровку на стороне браузера, где ключевые элементы фишинговой схемы скрыты за шифрованием AES-GCM и становятся видимыми только после того, как браузер расшифровывает и отображает содержимое. Это создает значительный пробел в видимости при статическом анализе URL и усложняет расследование инцидентов. Команды SOC могут извлечь пользу из изучения доказательств на уровне браузера, которые могут привести к более быстрым решениям по изоляции. Такие доказательства включают отслеживание изменений в модели документа HTML (DOM), мониторинг HTTP-запросов и анализ деталей URL для понимания сетевой активности и конечных пунктов назначения, вовлеченных в фишинговую атаку.
Более того, детальный анализ одной сессии EvilTokens может выявить связанную фишинговую инфраструктуру, поскольку выявленные шаблоны и сигнатуры могут быть связаны с другой фишинговой активностью. Это позволяет командам SOC выходить за рамки изолированных инцидентов и обнаруживать более широкие кампании, которые могут использовать аналогичные тактики. Создавая разведданные об угрозах на основе наблюдаемого поведения и шаблонов кода, команды получают возможность улучшить фишинговые сигнатуры, внедрить эффективные методы обнаружения на заказ и выполнять проактивный поиск угроз.
Встроенная природа «призрачного кода» EvilTokens делает атаку сложной, но также подчеркивает важность мониторинга браузера. Восстанавливая фишинговую логику через расшифрованное содержимое DOM и сопоставляя её с сетевым трафиком, специалисты по безопасности могут выявлять паттерны вредоносного кода, конечные точки и поведения, которые могут способствовать будущим усилиям по обнаружению. Этот многогранный подход позволяет командам SOC эффективно реагировать на EvilTokens, а также на аналогичные угрозы, тем самым улучшая их общую безопасность против эволюционирующих тактик фишинга.
#ParsedReport #CompletenessHigh
23-06-2026
Chinese actor compromises thousands of Wordpress sites
http://ctrlaltintel.com/research/Wordpress/
Report completeness: High
Threats:
Godzilla_webshell
Bestshell
Meterpreter_tool
Vshell
Snowlight
Victims:
Wordpress sites, Joomla sites, Prestashop sites, Metinfo sites, Craft cms sites, Magento sites, Nacos sites, Internet facing sites
Geo:
Chinese
CVEs:
CVE-2025-5394 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2026-3300 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-6648 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apollotheme ap_pagebuilder (<4.0.0)
CVE-2024-34102 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ad
23-06-2026
Chinese actor compromises thousands of Wordpress sites
http://ctrlaltintel.com/research/Wordpress/
Report completeness: High
Threats:
Godzilla_webshell
Bestshell
Meterpreter_tool
Vshell
Snowlight
Victims:
Wordpress sites, Joomla sites, Prestashop sites, Metinfo sites, Craft cms sites, Magento sites, Nacos sites, Internet facing sites
Geo:
Chinese
CVEs:
CVE-2025-5394 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2026-3300 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-6648 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apollotheme ap_pagebuilder (<4.0.0)
CVE-2024-34102 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ad
Ctrl-Alt-Intel
Chinese actor compromises thousands of Wordpress sites
Open-directories exposes mass exploitation of web-applications globally
CTT Report Hub
#ParsedReport #CompletenessHigh 23-06-2026 Chinese actor compromises thousands of Wordpress sites http://ctrlaltintel.com/research/Wordpress/ Report completeness: High Threats: Godzilla_webshell Bestshell Meterpreter_tool Vshell Snowlight Victims: Wordpress…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В июне 2026 года массовая кампания по эксплуатации веб-уязвимостей, приписываемая китайскому злоумышленнику, привела к компрометации тысяч сайтов на WordPress путем эксплуатации уязвимостей в популярных плагинах, при этом использовались такие техники, как произвольная загрузка файлов и Удаленное Выполнение Кода, связанные с уязвимостями, такими как CVE-2026-48907 и CVE-2025-7852. Атакующие использовали вредоносные PHP-файлы, замаскированные под легитимный контент, для получения первоначального доступа, развертывая продвинутые веб-оболочки, такие как «down.php», для управления системой. Их операция включала масштабное сканирование, пользовательские скрипты для эксплуатации уязвимостей и детальное логирование действий, что отражает высокий уровень их профессионализма.
-----
Массовая операция по эксплуатации веб-уязвимостей, приписываемая китайскому актору, привела к компрометации тысяч сайтов WordPress в июне 2026 года, что стало известно благодаря данным, раскрытым на платформе Hunt.io. Эта операция включала тщательный сбор целей, зафиксировав более 850 000 попыток против более чем 442 000 пар «уязвимость-сайт», в результате чего было выявлено 25 195 уникальных сайтов, имеющих подтвержденные или проверенные доказательства компрометации.
Атака была в первую очередь направлена на веб-приложения, в частности на плагины WordPress, с использованием выявленных уязвимостей и экспозиций (CVE) для получения первоначального доступа. Ключевыми эксплуатированными уязвимостями были произвольная загрузка файлов и возможности Удаленное Выполнение Кода в широко используемых плагинах, таких как Breeze Cache, ThemeREX Addons и Gravity Forms, а также в различных системах управления контентом, таких как Joomla и PrestaShop. Заметными CVE были CVE-2026-48907 (Joomla JCE), CVE-2026-31843 (Pay-UZ) и CVE-2025-7852 (WPBookit), которые позволили несанкционированную эксплуатацию этих платформ.
Злоумышленник применил сложные методы для первоначальной компрометации, используя шаблоны проектирования в своих эксплойтах, которые включали загрузку вредоносных PHP-файлов, замаскированных под легитимный контент (например, изображения), выполнение удаленных команд через функции обработки файлов и развертывание пользовательских инструментов эксплуатации для автоматизации процесса. Были задействованы различные техники пост-эксплуатации, включая установку Веб-шеллов и получение файлов, контролируемых злоумышленником. Основной выявленный Веб-шелл, названный "down.php", продемонстрировал расширенные возможности для полного контроля над системой, выполнения произвольных команд и обширных функций управления файлами.
Используемое актором программное обеспечение включало пользовательские скрипты для настройки параметров в различных фреймворках разработки эксплойтов и процедурах эксплуатации с целью максимизации эффективности процессов сканирования. Это включало модификации для улучшения параметров потоков и уточнения шаблонов поиска для обнаружения уязвимостей. Акторы также вели подробные журналы своей деятельности, предоставляя информацию об их оперативном темпе и методологиях.
Атрибуция кампании основана на лингвистическом анализе содержащихся скриптов, которые демонстрировали свободное владение упрощенным китайским языком, что указывает на участие китайскоязычного актора. Операционные методы и наборы инструментов предполагают принадлежность к группам, известным применением аналогичных тактик. Использование FOFA для разведки и внедрение веб-шелла Godzilla для обеспечения постоянного доступа подчеркивают сложную природу данной атаки.
В заключение, данная кибероперация демонстрирует эксплуатацию широко известных уязвимостей на нескольких веб-платформах, с четким акцентом на плагины WordPress и популярные системы управления контентом, что выявляет устойчивые угрозы веб-безопасности и необходимость бдительности в отношении аналогичных попыток массовой эксплуатации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В июне 2026 года массовая кампания по эксплуатации веб-уязвимостей, приписываемая китайскому злоумышленнику, привела к компрометации тысяч сайтов на WordPress путем эксплуатации уязвимостей в популярных плагинах, при этом использовались такие техники, как произвольная загрузка файлов и Удаленное Выполнение Кода, связанные с уязвимостями, такими как CVE-2026-48907 и CVE-2025-7852. Атакующие использовали вредоносные PHP-файлы, замаскированные под легитимный контент, для получения первоначального доступа, развертывая продвинутые веб-оболочки, такие как «down.php», для управления системой. Их операция включала масштабное сканирование, пользовательские скрипты для эксплуатации уязвимостей и детальное логирование действий, что отражает высокий уровень их профессионализма.
-----
Массовая операция по эксплуатации веб-уязвимостей, приписываемая китайскому актору, привела к компрометации тысяч сайтов WordPress в июне 2026 года, что стало известно благодаря данным, раскрытым на платформе Hunt.io. Эта операция включала тщательный сбор целей, зафиксировав более 850 000 попыток против более чем 442 000 пар «уязвимость-сайт», в результате чего было выявлено 25 195 уникальных сайтов, имеющих подтвержденные или проверенные доказательства компрометации.
Атака была в первую очередь направлена на веб-приложения, в частности на плагины WordPress, с использованием выявленных уязвимостей и экспозиций (CVE) для получения первоначального доступа. Ключевыми эксплуатированными уязвимостями были произвольная загрузка файлов и возможности Удаленное Выполнение Кода в широко используемых плагинах, таких как Breeze Cache, ThemeREX Addons и Gravity Forms, а также в различных системах управления контентом, таких как Joomla и PrestaShop. Заметными CVE были CVE-2026-48907 (Joomla JCE), CVE-2026-31843 (Pay-UZ) и CVE-2025-7852 (WPBookit), которые позволили несанкционированную эксплуатацию этих платформ.
Злоумышленник применил сложные методы для первоначальной компрометации, используя шаблоны проектирования в своих эксплойтах, которые включали загрузку вредоносных PHP-файлов, замаскированных под легитимный контент (например, изображения), выполнение удаленных команд через функции обработки файлов и развертывание пользовательских инструментов эксплуатации для автоматизации процесса. Были задействованы различные техники пост-эксплуатации, включая установку Веб-шеллов и получение файлов, контролируемых злоумышленником. Основной выявленный Веб-шелл, названный "down.php", продемонстрировал расширенные возможности для полного контроля над системой, выполнения произвольных команд и обширных функций управления файлами.
Используемое актором программное обеспечение включало пользовательские скрипты для настройки параметров в различных фреймворках разработки эксплойтов и процедурах эксплуатации с целью максимизации эффективности процессов сканирования. Это включало модификации для улучшения параметров потоков и уточнения шаблонов поиска для обнаружения уязвимостей. Акторы также вели подробные журналы своей деятельности, предоставляя информацию об их оперативном темпе и методологиях.
Атрибуция кампании основана на лингвистическом анализе содержащихся скриптов, которые демонстрировали свободное владение упрощенным китайским языком, что указывает на участие китайскоязычного актора. Операционные методы и наборы инструментов предполагают принадлежность к группам, известным применением аналогичных тактик. Использование FOFA для разведки и внедрение веб-шелла Godzilla для обеспечения постоянного доступа подчеркивают сложную природу данной атаки.
В заключение, данная кибероперация демонстрирует эксплуатацию широко известных уязвимостей на нескольких веб-платформах, с четким акцентом на плагины WordPress и популярные системы управления контентом, что выявляет устойчивые угрозы веб-безопасности и необходимость бдительности в отношении аналогичных попыток массовой эксплуатации.
#ParsedReport #CompletenessHigh
24-06-2026
StrikeShark: investigating a new campaign delivering Cobalt Strike through SharkLoader
https://securelist.com/strikeshark-campaign/120326/
Report completeness: High
Actors/Campaigns:
Strikeshark (motivation: cyber_espionage)
Threats:
Cobalt_strike_tool
Sharkloader
Proxylogon_exploit
Dll_sideloading_technique
Dll_hijacking_technique
Fscan_tool
Searchall_tool
Pillager_tool
Sharpgpoabuse_tool
Credential_dumping_technique
Victims:
Diplomatic organizations, Government organizations, Software development companies
Industry:
Software_development, Government
Geo:
North macedonia, Macedonia, Nepal, Lebanon, Syria, Chinese, Taiwan, Colombian, Indonesia, Colombia, Serbia, Hong kong, Indonesian
CVEs:
CVE-2022-41082 [Vulners]
CVSS V3.1: 8.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)
CVE-2021-36260 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- hikvision ds-2cd2026g2-iu\/sl_firmware (-)
CVE-2022-27925 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- synacor zimbra_collaboration_suite (8.8.15, 9.0.0)
CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip_access_policy_manager (le13.1.5, le14.1.5, le15.1.10, le16.1.4, le17.1.1)
CVE-2022-40684 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.7, 7.2.0)
- fortinet fortiswitchmanager (7.0.0, 7.2.0)
24-06-2026
StrikeShark: investigating a new campaign delivering Cobalt Strike through SharkLoader
https://securelist.com/strikeshark-campaign/120326/
Report completeness: High
Actors/Campaigns:
Strikeshark (motivation: cyber_espionage)
Threats:
Cobalt_strike_tool
Sharkloader
Proxylogon_exploit
Dll_sideloading_technique
Dll_hijacking_technique
Fscan_tool
Searchall_tool
Pillager_tool
Sharpgpoabuse_tool
Credential_dumping_technique
Victims:
Diplomatic organizations, Government organizations, Software development companies
Industry:
Software_development, Government
Geo:
North macedonia, Macedonia, Nepal, Lebanon, Syria, Chinese, Taiwan, Colombian, Indonesia, Colombia, Serbia, Hong kong, Indonesian
CVEs:
CVE-2022-41082 [Vulners]
CVSS V3.1: 8.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)
CVE-2021-36260 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- hikvision ds-2cd2026g2-iu\/sl_firmware (-)
CVE-2022-27925 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- synacor zimbra_collaboration_suite (8.8.15, 9.0.0)
CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip_access_policy_manager (le13.1.5, le14.1.5, le15.1.10, le16.1.4, le17.1.1)
CVE-2022-40684 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.7, 7.2.0)
- fortinet fortiswitchmanager (7.0.0, 7.2.0)
Vulners Database
CVE-2022-41082 - vulnerability database | Vulners.com
CVE-2022-41082 is the RCE component of Microsoft Exchange’s ProxyNotShell chain. It relies on a deserialization gadget in the PSRP backend that an authenticated attacker can reach after exploiting CVE-2022-41040 SSRF. Successful exploitation yield...
CTT Report Hub
#ParsedReport #CompletenessHigh 24-06-2026 StrikeShark: investigating a new campaign delivering Cobalt Strike through SharkLoader https://securelist.com/strikeshark-campaign/120326/ Report completeness: High Actors/Campaigns: Strikeshark (motivation: …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания StrikeShark использует загрузчик вредоносного ПО SharkLoader для развертывания Cobalt Strike Beacon, эксплуатируя уязвимости в приложениях, доступных через интернет, таких как Microsoft Exchange и Openfire Server, в частности CVE-2021-26855 и CVE-2023-32315. SharkLoader использует приманки в виде легитимных приложений, таких как Cisco AnyConnect, и выполняет полезную нагрузку с помощью продвинутых техник, таких как Perfect DLL Hijacking. Хотя кампания связана как с государственным сектором, так и с сектором разработки программного обеспечения, идентификация конкретных злоумышленников остается неподтвержденной, несмотря на указания на то, что за инструментами стоят разработчики, говорящие на китайском языке.
-----
Кампания StrikeShark была идентифицирована как сложная угроза, включающая новый загрузчик ВПО под названием SharkLoader, предназначенный для развертывания Cobalt Strike Beacon на скомпрометированных системах. Эта кампания, по-видимому, использует несколько векторов заражения, в первую очередь путем эксплуатации уязвимостей в приложениях, доступных через интернет, таких как Microsoft Exchange, Openfire Server и GeoServer. Среди выявленных уязвимостей notable являются CVE-2021-26855 (ProxyLogon) и CVE-2023-32315, которые использовались в атаках в различных странах, что указывает на широкий диапазон целей, охватывающий правительственные и секторы разработки программного обеспечения по всему миру.
Атакующие используют как методы эксплуатации, так и пользовательские дропперы, причем последние часто имитируют легитимные установки программного обеспечения. Например, в качестве приманки использовался установщик Cisco AnyConnect, который извлекал и выполнял вредоносные компоненты, оставаясь незаметным для пользователей. Дроппер SharkLoader выполняет эти компоненты скрытно, сохраняя их в общих каталогах, таких как %APPDATA%, и применяет техники для закрепления, включая запланированные задачи и модификации реестра.
После загрузки SharkLoader использует технику идеальной подмены DLL для выполнения вредоносного кода без вызова взаимоблокировок из-за блокировки загрузчика Windows, что свидетельствует о высоком уровне технической изощренности. Вредоносное ПО также реализует надежные техники уклонения, такие как перехват API и использование обработчиков векторных исключений для обманных манипуляций с защитой памяти во время своей работы.
Цепочка заражения формирует многоуровневую архитектуру, в которой SharkLoader распаковывает дополнительные вредоносные компоненты, такие как DscCoreR.mui и SyncRes.dat, что в конечном итоге приводит к выполнению shellcode Cobalt Strike Beacon. Такая продвинутая реализация позволяет ВПО создавать потоки для выполнения своего полезного груза, одновременно активно отслеживая поведение системы на предмет потенциального обнаружения.
Анализ жертв указывает на двойную стратегию, направленную как на государственные, так и на коммерческие организации, занимающиеся разработкой программного обеспечения, что предполагает потенциальные шпионские мотивы наряду с возможностью оппортунистической эксплуатации уязвимостей в различных секторах. Несмотря на наличие различных индикаторов, указывающих на разработчиков, говорящих на китайском языке, стоящих за инструментами, используемыми в этой кампании, атрибуция остается предварительной, поскольку не установлено окончательных связей с известными злоумышленниками.
В заключение, продолжающееся расследование кампании StrikeShark демонстрирует сложную систему доставки ВПО, способную осуществлять атаки широкого масштаба в различных секторах, что требует тщательного анализа и подготовки к таким эволюционирующим техническим угрозам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания StrikeShark использует загрузчик вредоносного ПО SharkLoader для развертывания Cobalt Strike Beacon, эксплуатируя уязвимости в приложениях, доступных через интернет, таких как Microsoft Exchange и Openfire Server, в частности CVE-2021-26855 и CVE-2023-32315. SharkLoader использует приманки в виде легитимных приложений, таких как Cisco AnyConnect, и выполняет полезную нагрузку с помощью продвинутых техник, таких как Perfect DLL Hijacking. Хотя кампания связана как с государственным сектором, так и с сектором разработки программного обеспечения, идентификация конкретных злоумышленников остается неподтвержденной, несмотря на указания на то, что за инструментами стоят разработчики, говорящие на китайском языке.
-----
Кампания StrikeShark была идентифицирована как сложная угроза, включающая новый загрузчик ВПО под названием SharkLoader, предназначенный для развертывания Cobalt Strike Beacon на скомпрометированных системах. Эта кампания, по-видимому, использует несколько векторов заражения, в первую очередь путем эксплуатации уязвимостей в приложениях, доступных через интернет, таких как Microsoft Exchange, Openfire Server и GeoServer. Среди выявленных уязвимостей notable являются CVE-2021-26855 (ProxyLogon) и CVE-2023-32315, которые использовались в атаках в различных странах, что указывает на широкий диапазон целей, охватывающий правительственные и секторы разработки программного обеспечения по всему миру.
Атакующие используют как методы эксплуатации, так и пользовательские дропперы, причем последние часто имитируют легитимные установки программного обеспечения. Например, в качестве приманки использовался установщик Cisco AnyConnect, который извлекал и выполнял вредоносные компоненты, оставаясь незаметным для пользователей. Дроппер SharkLoader выполняет эти компоненты скрытно, сохраняя их в общих каталогах, таких как %APPDATA%, и применяет техники для закрепления, включая запланированные задачи и модификации реестра.
После загрузки SharkLoader использует технику идеальной подмены DLL для выполнения вредоносного кода без вызова взаимоблокировок из-за блокировки загрузчика Windows, что свидетельствует о высоком уровне технической изощренности. Вредоносное ПО также реализует надежные техники уклонения, такие как перехват API и использование обработчиков векторных исключений для обманных манипуляций с защитой памяти во время своей работы.
Цепочка заражения формирует многоуровневую архитектуру, в которой SharkLoader распаковывает дополнительные вредоносные компоненты, такие как DscCoreR.mui и SyncRes.dat, что в конечном итоге приводит к выполнению shellcode Cobalt Strike Beacon. Такая продвинутая реализация позволяет ВПО создавать потоки для выполнения своего полезного груза, одновременно активно отслеживая поведение системы на предмет потенциального обнаружения.
Анализ жертв указывает на двойную стратегию, направленную как на государственные, так и на коммерческие организации, занимающиеся разработкой программного обеспечения, что предполагает потенциальные шпионские мотивы наряду с возможностью оппортунистической эксплуатации уязвимостей в различных секторах. Несмотря на наличие различных индикаторов, указывающих на разработчиков, говорящих на китайском языке, стоящих за инструментами, используемыми в этой кампании, атрибуция остается предварительной, поскольку не установлено окончательных связей с известными злоумышленниками.
В заключение, продолжающееся расследование кампании StrikeShark демонстрирует сложную систему доставки ВПО, способную осуществлять атаки широкого масштаба в различных секторах, что требует тщательного анализа и подготовки к таким эволюционирующим техническим угрозам.
#ParsedReport #CompletenessHigh
24-06-2026
StealC and Amadey: Breaking down infostealers and the cybercrime services that deliver them
https://www.microsoft.com/en-us/security/blog/2026/06/24/stealc-and-amadey-breaking-down-infostealers-and-the-cybercrime-services-that-deliver-them/
Report completeness: High
Threats:
Stealc
Amadey
Lumma_stealer
Redline_stealer
Raccoon_stealer
Vidar_stealer
Seo_poisoning_technique
Clickfix_technique
Credential_stealing_technique
Process_injection_technique
Victims:
Enterprise environments, Consumer devices, Financial services, Cryptocurrency, Gaming, Email services, Information technology
Industry:
Entertainment, Financial
Geo:
Russian, Ukrainian, Belarusian
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 15
Command: 1
Path: 1
Hash: 15
Url: 12
Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Telegram, Steam, Outlook, Foxmail, WinSCP, Chromium, Chrome, Opera, have more...
Algorithms:
base64, rc4, sha256
Win API:
As, CreateProcessA, VirtualAllocEx, WriteProcessMemory, QueueUserAPC, ResumeThread, WaitForSingleObject
Languages:
python, powershell
24-06-2026
StealC and Amadey: Breaking down infostealers and the cybercrime services that deliver them
https://www.microsoft.com/en-us/security/blog/2026/06/24/stealc-and-amadey-breaking-down-infostealers-and-the-cybercrime-services-that-deliver-them/
Report completeness: High
Threats:
Stealc
Amadey
Lumma_stealer
Redline_stealer
Raccoon_stealer
Vidar_stealer
Seo_poisoning_technique
Clickfix_technique
Credential_stealing_technique
Process_injection_technique
Victims:
Enterprise environments, Consumer devices, Financial services, Cryptocurrency, Gaming, Email services, Information technology
Industry:
Entertainment, Financial
Geo:
Russian, Ukrainian, Belarusian
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 15
Command: 1
Path: 1
Hash: 15
Url: 12
Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Telegram, Steam, Outlook, Foxmail, WinSCP, Chromium, Chrome, Opera, have more...
Algorithms:
base64, rc4, sha256
Win API:
As, CreateProcessA, VirtualAllocEx, WriteProcessMemory, QueueUserAPC, ResumeThread, WaitForSingleObject
Languages:
python, powershell
Microsoft News
StealC and Amadey: Breaking down infostealers and the cybercrime services that deliver them
On June 24, 2026, Microsoft’s Digital Crimes Unit (DCU) facilitated the takedown, suspension, and blocking of domains that formed the backbone of the StealC and Amadey infrastructure. This blog is a technical breakdown of StealC and Amadey.
CTT Report Hub
#ParsedReport #CompletenessHigh 24-06-2026 StealC and Amadey: Breaking down infostealers and the cybercrime services that deliver them https://www.microsoft.com/en-us/security/blog/2026/06/24/stealc-and-amadey-breaking-down-infostealers-and-the-cybercrime…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Семейство стиллеров StealC и механизм его доставки Amadey представляют значительную опасность, эффективно похищая конфиденциальные данные, такие как учетные данные и токены сессий, с скомпрометированных устройств. StealC функционирует как ВПО как услуга, позволяя создавать кастомные полез
-----
Инфостилеры, такие как семейство StealC, и механизмы доставки, такие как Amadey, представляют собой значительные угрозы, которые собирают конфиденциальные данные, включая пароли и токены.
StealC работает по модели ВПО как услуга (MaaS), позволяя злоумышленникам создавать целевые полезн
Оно может красть учетные данные из браузеров, криптовалютных кошельков, почтовых клиентов, мессенджеров и игровых платформ, позволяя одной инфекции перерасти в несколько угроз.
StealC внедряет свои полезную нагрузку в легитимные процессы для повышения своей скрытности.
Amadey служит загрузчиком для доставки различных типов ВПО, включая StealC, и активен как минимум с 2018 года.
Amadey выполняет команды для загрузки файлов, взаимодействия с бэкдором и кражи учетных данных, создавая запланированные задачи для закрепления и используя HTTP для управления (C2) взаимодействием, шифруя свой трафик с помощью RC4.
Жизненный цикл атаки для инфостилеров часто использует поведение пользователей через отравление поисковой оптимизации (SEO) и фишинг для распространения ВПО без использования крупных уязвимостей программного обеспечения.
После развертывания инфостилеры могут извлекать различные учетные данные, экспортируя эти данные на серверы C2 в структурированных форматах.
Подпольный рынок похищенных учетных данных является прибыльным, при этом цены на логи варьируются от 2 долларов за распространенные учетные данные до более чем 100 долларов за корпоративные учетные данные.
StealC использует сложные процессы для сбора информации, формируя HTTP POST-запросы для регистрации в C2 с зашифрованными данными.
Оно использует техники инъекций для сбора учетных записей, которые обходят меры безопасности в веб-браузерах.
Amadey может загружать дополнительные плагины для кражи учётных данных или содержимого буфера обмена на основе команд из своей инфраструктуры C2.
Amadey поддерживает гибкий профиль, запрашивая из системного реестра операционные конфигурации.
Несмотря на усилия по нарушению инфраструктуры StealC и Amadey, их адаптивность обеспечивает сохранение угрозы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Семейство стиллеров StealC и механизм его доставки Amadey представляют значительную опасность, эффективно похищая конфиденциальные данные, такие как учетные данные и токены сессий, с скомпрометированных устройств. StealC функционирует как ВПО как услуга, позволяя создавать кастомные полез
-----
Инфостилеры, такие как семейство StealC, и механизмы доставки, такие как Amadey, представляют собой значительные угрозы, которые собирают конфиденциальные данные, включая пароли и токены.
StealC работает по модели ВПО как услуга (MaaS), позволяя злоумышленникам создавать целевые полезн
Оно может красть учетные данные из браузеров, криптовалютных кошельков, почтовых клиентов, мессенджеров и игровых платформ, позволяя одной инфекции перерасти в несколько угроз.
StealC внедряет свои полезную нагрузку в легитимные процессы для повышения своей скрытности.
Amadey служит загрузчиком для доставки различных типов ВПО, включая StealC, и активен как минимум с 2018 года.
Amadey выполняет команды для загрузки файлов, взаимодействия с бэкдором и кражи учетных данных, создавая запланированные задачи для закрепления и используя HTTP для управления (C2) взаимодействием, шифруя свой трафик с помощью RC4.
Жизненный цикл атаки для инфостилеров часто использует поведение пользователей через отравление поисковой оптимизации (SEO) и фишинг для распространения ВПО без использования крупных уязвимостей программного обеспечения.
После развертывания инфостилеры могут извлекать различные учетные данные, экспортируя эти данные на серверы C2 в структурированных форматах.
Подпольный рынок похищенных учетных данных является прибыльным, при этом цены на логи варьируются от 2 долларов за распространенные учетные данные до более чем 100 долларов за корпоративные учетные данные.
StealC использует сложные процессы для сбора информации, формируя HTTP POST-запросы для регистрации в C2 с зашифрованными данными.
Оно использует техники инъекций для сбора учетных записей, которые обходят меры безопасности в веб-браузерах.
Amadey может загружать дополнительные плагины для кражи учётных данных или содержимого буфера обмена на основе команд из своей инфраструктуры C2.
Amadey поддерживает гибкий профиль, запрашивая из системного реестра операционные конфигурации.
Несмотря на усилия по нарушению инфраструктуры StealC и Amadey, их адаптивность обеспечивает сохранение угрозы.
#ParsedReport #CompletenessHigh
23-06-2026
From Langflow to Monero: Inside CVE-2026-33017 Cryptominer
https://www.trendmicro.com/en_us/research/26/f/from-langflow-to-monero-inside-cve-2026-33017-cryptominer.html
Report completeness: High
Actors/Campaigns:
Teamtnt
Autom
Threats:
Ssh_worm
Xmrig_miner
Flodrix_botnet
Kinsing_miner
Typosquatting_technique
Korkerds
Outlaw_botnet
Hezb
Supportxmr
C3pool
Malxmr_miner
Victims:
Organizations using langflow, Ai application infrastructure, Enterprise environments
Industry:
Financial, Healthcare, Telco
Geo:
America, Canada, Ontario
CVEs:
CVE-2026-33017 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.8.2)
CVE-2025-3248 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.3.0)
TTPs:
Tactics: 12
Technics: 26
IOCs:
Url: 7
File: 8
IP: 2
Domain: 1
Hash: 4
Coin: 1
Soft:
Langflow, Linux, Docker, Confluence, curl, systemd, AppArmor, SELinux, Alibaba Cloud, Chrome, have more...
Crypto:
monero, ethereum
Algorithms:
ghostrider, sha256, base64, randomx, md5, cryptonight
Functions:
createBashScript, b, lambsys_pre_setup_clear_fuckers_FindFile
Win API:
UWEKB
Languages:
php, golang, python
Links:
23-06-2026
From Langflow to Monero: Inside CVE-2026-33017 Cryptominer
https://www.trendmicro.com/en_us/research/26/f/from-langflow-to-monero-inside-cve-2026-33017-cryptominer.html
Report completeness: High
Actors/Campaigns:
Teamtnt
Autom
Threats:
Ssh_worm
Xmrig_miner
Flodrix_botnet
Kinsing_miner
Typosquatting_technique
Korkerds
Outlaw_botnet
Hezb
Supportxmr
C3pool
Malxmr_miner
Victims:
Organizations using langflow, Ai application infrastructure, Enterprise environments
Industry:
Financial, Healthcare, Telco
Geo:
America, Canada, Ontario
CVEs:
CVE-2026-33017 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.8.2)
CVE-2025-3248 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.3.0)
TTPs:
Tactics: 12
Technics: 26
IOCs:
Url: 7
File: 8
IP: 2
Domain: 1
Hash: 4
Coin: 1
Soft:
Langflow, Linux, Docker, Confluence, curl, systemd, AppArmor, SELinux, Alibaba Cloud, Chrome, have more...
Crypto:
monero, ethereum
Algorithms:
ghostrider, sha256, base64, randomx, md5, cryptonight
Functions:
createBashScript, b, lambsys_pre_setup_clear_fuckers_FindFile
Win API:
UWEKB
Languages:
php, golang, python
Links:
https://github.com/langflow-ai/langflow/commit/73b6612e3ef25fdae0a752d75b0fabd47328d4f0https://github.com/langflow-ai/langflow/pull/12160Trend Micro
From Langflow to Monero: Inside CVE-2026-33017 Cryptominer
We tracked a cryptocurrency-mining campaign exploiting CVE-2026-33017, which revealed how threat actors are now scanning exposed AI application infrastructure for their next foothold.
CTT Report Hub
#ParsedReport #CompletenessHigh 23-06-2026 From Langflow to Monero: Inside CVE-2026-33017 Cryptominer https://www.trendmicro.com/en_us/research/26/f/from-langflow-to-monero-inside-cve-2026-33017-cryptominer.html Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания по майнингу криптовалют использует уязвимость CVE-2026-33017, критическую уязвимость удаленного выполнения кода (RCE) во фреймворке Langflow, позволяющую злоумышленникам выполнять произвольный код Python с помощью одного неаутентифицированного POST-запроса. ВПО, используя bash-скрипт (`isp.sh`), создает закрепление, отключает функции безопасности и взаимодействует с сервером C&C для загрузки майнера Monero, применяя при этом техники уклонения. Сложность кампании включает целевой захват конкретных учетных записей и изменение элементов управления безопасностью ядра, что указывает на продвинутую эволюцию тактик майнинга криптовалют.
-----
Обнаружена кампания по майнингу криптовалют, использующая критическую уязвимость CVE-2026-33017 — Удаленное Выполнение Кода (RCE) без аутентификации в Langflow, который представляет собой Python фреймворк для создания рабочих процессов на основе больших языковых моделей. Эксплуатация включает один неаутентифицированный POST-запрос к определенному конечному пункту API Langflow, позволяющий злоумышленникам выполнять произвольный Python-код, который загружает и запускает майнинговое ВПО. Кампания примечательна своим фокусом на открытых конечных пунктах приложений искусственного интеллекта и использует вектор доставки, который недавно изменился по сравнению с предыдущими методами эксплуатации, нацеленными на другие платформы, такие как Docker и Confluence.
Вредоносное ПО функционирует путем отключения средств защиты на уровне хоста для закрепления и эффективно превращает скомпрометированную систему в криптомайнер, а также распространяется на другие машины путем повторного использования SSH-ключей. Основным компонентом кампании является bash-скрипт `isp.sh`, который проверяет наличие существующих процессов майнинга, создает скрытую директорию для закрепления и загружает бинарный файл с именем `lambsys`. Этот бинарный файл не только выполняет функции майнинга, но и выполняет множество команд для убийства конкурирующих процессов майнинга и отключения функций безопасности, таких как защита брандмауэра, AppArmor и SELinux. Его конструкция предполагает знакомство как с ландшафтом майнинга, так и с различными конфигурациями Linux.
После развертывания бинарный файл `lambsys` связывается со своим сервером управления (C&C) через стандартное HTTP-соединение. Он использует механизм на основе JSON для отправки статуса и ожидает получения команд или дополнительных инструкций. Кроме того, он загружает кастомную версию майнера XMRig для майнинга Monero. Развертывание майнера использует техники обфускации, включая манипуляцию с путями для избегания обнаружения.
Архитектура кампании демонстрирует высокий уровень сложности, включая техники перемещения внутри компании и уклонения, основанные на анализе других схем криптомайнинга. ВПО строго отключает определенные системные контрольные механизмы и изменяет средства защиты для сохранения foothold на скомпрометированных системах. Важно отметить, что злоумышленник, по-видимому, нацелен на конкретные учетные записи пользователей, связанные с предыдущими кампаниями, что указывает на эволюцию оперативных методов криптомайнеров.
Для организаций, использующих Langflow, критически важно внедрять обновления безопасности, ограничивать публичный доступ и отслеживать признаки эксплуатации. Скомпрометированные среды следует рассматривать как потенциальные инциденты, а раскрытые SSH-ключи необходимо ротировать для снижения дальнейших рисков. Появление этой кампании подчеркивает необходимость бдительности в обеспечении безопасности инфраструктур приложений искусственного интеллекта, которые стали привлекательными целями для злоумышленников.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания по майнингу криптовалют использует уязвимость CVE-2026-33017, критическую уязвимость удаленного выполнения кода (RCE) во фреймворке Langflow, позволяющую злоумышленникам выполнять произвольный код Python с помощью одного неаутентифицированного POST-запроса. ВПО, используя bash-скрипт (`isp.sh`), создает закрепление, отключает функции безопасности и взаимодействует с сервером C&C для загрузки майнера Monero, применяя при этом техники уклонения. Сложность кампании включает целевой захват конкретных учетных записей и изменение элементов управления безопасностью ядра, что указывает на продвинутую эволюцию тактик майнинга криптовалют.
-----
Обнаружена кампания по майнингу криптовалют, использующая критическую уязвимость CVE-2026-33017 — Удаленное Выполнение Кода (RCE) без аутентификации в Langflow, который представляет собой Python фреймворк для создания рабочих процессов на основе больших языковых моделей. Эксплуатация включает один неаутентифицированный POST-запрос к определенному конечному пункту API Langflow, позволяющий злоумышленникам выполнять произвольный Python-код, который загружает и запускает майнинговое ВПО. Кампания примечательна своим фокусом на открытых конечных пунктах приложений искусственного интеллекта и использует вектор доставки, который недавно изменился по сравнению с предыдущими методами эксплуатации, нацеленными на другие платформы, такие как Docker и Confluence.
Вредоносное ПО функционирует путем отключения средств защиты на уровне хоста для закрепления и эффективно превращает скомпрометированную систему в криптомайнер, а также распространяется на другие машины путем повторного использования SSH-ключей. Основным компонентом кампании является bash-скрипт `isp.sh`, который проверяет наличие существующих процессов майнинга, создает скрытую директорию для закрепления и загружает бинарный файл с именем `lambsys`. Этот бинарный файл не только выполняет функции майнинга, но и выполняет множество команд для убийства конкурирующих процессов майнинга и отключения функций безопасности, таких как защита брандмауэра, AppArmor и SELinux. Его конструкция предполагает знакомство как с ландшафтом майнинга, так и с различными конфигурациями Linux.
После развертывания бинарный файл `lambsys` связывается со своим сервером управления (C&C) через стандартное HTTP-соединение. Он использует механизм на основе JSON для отправки статуса и ожидает получения команд или дополнительных инструкций. Кроме того, он загружает кастомную версию майнера XMRig для майнинга Monero. Развертывание майнера использует техники обфускации, включая манипуляцию с путями для избегания обнаружения.
Архитектура кампании демонстрирует высокий уровень сложности, включая техники перемещения внутри компании и уклонения, основанные на анализе других схем криптомайнинга. ВПО строго отключает определенные системные контрольные механизмы и изменяет средства защиты для сохранения foothold на скомпрометированных системах. Важно отметить, что злоумышленник, по-видимому, нацелен на конкретные учетные записи пользователей, связанные с предыдущими кампаниями, что указывает на эволюцию оперативных методов криптомайнеров.
Для организаций, использующих Langflow, критически важно внедрять обновления безопасности, ограничивать публичный доступ и отслеживать признаки эксплуатации. Скомпрометированные среды следует рассматривать как потенциальные инциденты, а раскрытые SSH-ключи необходимо ротировать для снижения дальнейших рисков. Появление этой кампании подчеркивает необходимость бдительности в обеспечении безопасности инфраструктур приложений искусственного интеллекта, которые стали привлекательными целями для злоумышленников.
#ParsedReport #CompletenessMedium
23-06-2026
OpenClaw’s Skill Marketplace and the Emerging AI Supply Chain Threat
https://unit42.paloaltonetworks.com/openclaw-ai-supply-chain-risk/
Report completeness: Medium
Actors/Campaigns:
Clawhavoc
Threats:
Supply_chain_technique
Amos_stealer
Paste-jacking_technique
Victims:
Openclaw users, Macos users, Financial communities, Cryptocurrency users, Mainland china, Hong kong, Singapore
Industry:
Financial, Retail, E-commerce
Geo:
Singapore, Hong kong, China
ChatGPT TTPs:
T1027, T1027.001, T1036, T1041, T1053.003, T1059.004, T1105, T1140, T1195, T1204.004, have more...
IOCs:
IP: 2
Domain: 7
Hash: 6
Url: 6
File: 1
Soft:
OpenClaw, ClawHub, macOS, Telegram, TradingView
Crypto:
solana
Algorithms:
base64, sha256
23-06-2026
OpenClaw’s Skill Marketplace and the Emerging AI Supply Chain Threat
https://unit42.paloaltonetworks.com/openclaw-ai-supply-chain-risk/
Report completeness: Medium
Actors/Campaigns:
Clawhavoc
Threats:
Supply_chain_technique
Amos_stealer
Paste-jacking_technique
Victims:
Openclaw users, Macos users, Financial communities, Cryptocurrency users, Mainland china, Hong kong, Singapore
Industry:
Financial, Retail, E-commerce
Geo:
Singapore, Hong kong, China
ChatGPT TTPs:
do not use without manual checkT1027, T1027.001, T1036, T1041, T1053.003, T1059.004, T1105, T1140, T1195, T1204.004, have more...
IOCs:
IP: 2
Domain: 7
Hash: 6
Url: 6
File: 1
Soft:
OpenClaw, ClawHub, macOS, Telegram, TradingView
Crypto:
solana
Algorithms:
base64, sha256
Unit 42
OpenClaw’s Skill Marketplace and the Emerging AI Supply Chain Threat
Unit 42's analysis of ClawHub revealed evasive malicious skills bypassing automated scanners to deploy infostealers and execute agentic financial fraud.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-06-2026 OpenClaw’s Skill Marketplace and the Emerging AI Supply Chain Threat https://unit42.paloaltonetworks.com/openclaw-ai-supply-chain-risk/ Report completeness: Medium Actors/Campaigns: Clawhavoc Threats: Supp…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Экосистема OpenClaw, включающая сторонние навыки, была скомпрометирована различными вредоносными активностями, при этом пять незаблокированных навыков действовали как инфостилеры и использовали уклонистские техники в период с февраля по май 2026 года. Заметные угрозы включают вредоносное ПО для macOS для связи с управлением и инфостилеры, использующие механизмы на основе кодирования Base64 для доставки полезной нагрузки. Атакующие эксплуатируют разрешения агентов ИИ с помощью сложных методов, таких как перехват семантических инструкций и инъекция аффилированных модулей во время выполнения, что позволяет выполнять несанкционированные действия и манипуляции с финансами.
-----
OpenClaw — это ИИ-агент, который работает через сторонние навыки, доступные на ClawHub, и который находится под пристальным вниманием из-за вредоносной деятельности после своего запуска. В навыках этой экосистемы, предоставляющих широкий доступ к системе, были обнаружены вредоносные компоненты, приводящие к компрометации систем пользователей. Критический анализ, проведенный в период с февраля по май 2026 года, выявил пять заблокированных вредоносных навыков, классифицированных как инфостилеры, техники уклонения и агентные угрозы. Среди инфостилеров конкретно присутствовало ВПО для macOS, которое взаимодействовало с серверами управления (C2), а техники уклонения включали добавление заполнения в файлы для обхода обнаружения инструментами проверки, такими как VirusTotal и ClawScan.
Вредоносные навыки, эксплуатирующие цепочку поставок ИИ, используют перехват семантических инструкций для обхода традиционных мер безопасности. Они могут манипулировать операционными разрешениями агента, позволяя выполнять несанкционированные действия без типичных методов эксплуатации. Эта новая поверхность атаки контрастирует с традиционными уязвимостями цепочки поставок программного обеспечения, демонстрируя, как злоумышленники используют встроенный доступ, предоставленный агентам ИИ. Примечательно, что ранние отчеты сообщали, что около 17% проанализированных навыков OpenClaw содержали вредоносный контент, при этом для доставки полезной нагрузки применялись различные методы, включая обманные структуры команд, закодированные в Base64, и перенаправления на сайты для вставки текста.
Зловредные полезная нагрузка включала вредоносное ПО AMOS stealer и другие инфостилеры, использующие механизмы дропперов с кодировкой Base64. Постоянные механизмы, такие как автообновители, были установлены для поддержания связи с C2 даже после того, как вредоносные навыки были обнаружены и удалены. Кроме того, новые схемы, такие как инъекция аффилиатов во время выполнения через финансовые консультационные навыки, увеличивали прибыль, направляя пользователей на аффилиатные ссылки без их ведома. После установки навык сохранял контроль в реальном времени над данными о рефералах, позволяя динамически корректировать рекомендуемые продукты или услуги в соответствии с вредоносными намерениями.
Ещё одним сложным видом атаки, зафиксированным в ходе расследования, стало агентное фронтраннинг-торгование, при котором операторы манипулировали платформой ClawHub для исполнения сделок с мемами-токенами с использованием нескольких ИИ-агентов. Этот метод предполагал объединение криптовалюты в кошельке оператора перед публичным запуском токенов, что создавало искусственный спрос, который можно было эксплуатировать в целях финансовой выгоды.
Текущая эволюция этих угроз подчеркивает необходимость для организаций внедрения строгих процессов мониторинга и проверки Цепочки поставок. Активная проверка документации навыков, происхождения издателя и посимвольный аудит имеют критическое значение для противодействия этим уязвимостям, наряду с мониторингом исходящих сетевых соединений для выявления аномального поведения, указывающего на компрометацию. Такие меры являются обязательными для защиты сред от этих сложных угроз, которые продолжают адаптироваться и избегать существующих возможностей обнаружения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Экосистема OpenClaw, включающая сторонние навыки, была скомпрометирована различными вредоносными активностями, при этом пять незаблокированных навыков действовали как инфостилеры и использовали уклонистские техники в период с февраля по май 2026 года. Заметные угрозы включают вредоносное ПО для macOS для связи с управлением и инфостилеры, использующие механизмы на основе кодирования Base64 для доставки полезной нагрузки. Атакующие эксплуатируют разрешения агентов ИИ с помощью сложных методов, таких как перехват семантических инструкций и инъекция аффилированных модулей во время выполнения, что позволяет выполнять несанкционированные действия и манипуляции с финансами.
-----
OpenClaw — это ИИ-агент, который работает через сторонние навыки, доступные на ClawHub, и который находится под пристальным вниманием из-за вредоносной деятельности после своего запуска. В навыках этой экосистемы, предоставляющих широкий доступ к системе, были обнаружены вредоносные компоненты, приводящие к компрометации систем пользователей. Критический анализ, проведенный в период с февраля по май 2026 года, выявил пять заблокированных вредоносных навыков, классифицированных как инфостилеры, техники уклонения и агентные угрозы. Среди инфостилеров конкретно присутствовало ВПО для macOS, которое взаимодействовало с серверами управления (C2), а техники уклонения включали добавление заполнения в файлы для обхода обнаружения инструментами проверки, такими как VirusTotal и ClawScan.
Вредоносные навыки, эксплуатирующие цепочку поставок ИИ, используют перехват семантических инструкций для обхода традиционных мер безопасности. Они могут манипулировать операционными разрешениями агента, позволяя выполнять несанкционированные действия без типичных методов эксплуатации. Эта новая поверхность атаки контрастирует с традиционными уязвимостями цепочки поставок программного обеспечения, демонстрируя, как злоумышленники используют встроенный доступ, предоставленный агентам ИИ. Примечательно, что ранние отчеты сообщали, что около 17% проанализированных навыков OpenClaw содержали вредоносный контент, при этом для доставки полезной нагрузки применялись различные методы, включая обманные структуры команд, закодированные в Base64, и перенаправления на сайты для вставки текста.
Зловредные полезная нагрузка включала вредоносное ПО AMOS stealer и другие инфостилеры, использующие механизмы дропперов с кодировкой Base64. Постоянные механизмы, такие как автообновители, были установлены для поддержания связи с C2 даже после того, как вредоносные навыки были обнаружены и удалены. Кроме того, новые схемы, такие как инъекция аффилиатов во время выполнения через финансовые консультационные навыки, увеличивали прибыль, направляя пользователей на аффилиатные ссылки без их ведома. После установки навык сохранял контроль в реальном времени над данными о рефералах, позволяя динамически корректировать рекомендуемые продукты или услуги в соответствии с вредоносными намерениями.
Ещё одним сложным видом атаки, зафиксированным в ходе расследования, стало агентное фронтраннинг-торгование, при котором операторы манипулировали платформой ClawHub для исполнения сделок с мемами-токенами с использованием нескольких ИИ-агентов. Этот метод предполагал объединение криптовалюты в кошельке оператора перед публичным запуском токенов, что создавало искусственный спрос, который можно было эксплуатировать в целях финансовой выгоды.
Текущая эволюция этих угроз подчеркивает необходимость для организаций внедрения строгих процессов мониторинга и проверки Цепочки поставок. Активная проверка документации навыков, происхождения издателя и посимвольный аудит имеют критическое значение для противодействия этим уязвимостям, наряду с мониторингом исходящих сетевых соединений для выявления аномального поведения, указывающего на компрометацию. Такие меры являются обязательными для защиты сред от этих сложных угроз, которые продолжают адаптироваться и избегать существующих возможностей обнаружения.
#ParsedReport #CompletenessLow
24-06-2026
Zero-Day Exploitation of Vulnerability (CVE-2026-20245) in Cisco Catalyst SD-WAN Manager
https://cloud.google.com/blog/topics/threat-intelligence/zero-day-exploitation-cisco-catalyst-sd-wan-manager/
Report completeness: Low
Victims:
Service provider
Industry:
Retail, Financial, Healthcare
CVEs:
CVE-2026-20182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.9.1, <20.12.5.4, <20.12.6.2, <20.15.4.4, <20.15.5.2)
- cisco sd-wan_vbond_orchestrator (<20.9.9.1, <20.12.5.4, <20.12.6.2, <20.15.4.4, <20.15.5.2)
- cisco sd-wan_vsmart_controller (<20.9.9.1, <20.12.5.4, <20.12.6.2, <20.15.4.4, <20.15.5.2)
CVE-2026-20245 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.9.1, <20.12.5.4, <20.12.6.2, <20.15.4.4, <20.15.5.2)
- cisco sd-wan_vsmart_controller (<20.9.9.1, <20.12.5.4, <20.12.6.2, <20.15.4.4, <20.15.5.2)
CVE-2026-20127 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)
- cisco sd-wan_vbond_orchestrator (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)
- cisco sd-wan_vsmart_controller (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1021.004, T1059.008, T1068, T1070.004, T1078.003, T1098, T1136.001
IOCs:
File: 1
IP: 8
Hash: 1
Soft:
Outlook
Algorithms:
sha256
Platforms:
intel
24-06-2026
Zero-Day Exploitation of Vulnerability (CVE-2026-20245) in Cisco Catalyst SD-WAN Manager
https://cloud.google.com/blog/topics/threat-intelligence/zero-day-exploitation-cisco-catalyst-sd-wan-manager/
Report completeness: Low
Victims:
Service provider
Industry:
Retail, Financial, Healthcare
CVEs:
CVE-2026-20182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.9.1, <20.12.5.4, <20.12.6.2, <20.15.4.4, <20.15.5.2)
- cisco sd-wan_vbond_orchestrator (<20.9.9.1, <20.12.5.4, <20.12.6.2, <20.15.4.4, <20.15.5.2)
- cisco sd-wan_vsmart_controller (<20.9.9.1, <20.12.5.4, <20.12.6.2, <20.15.4.4, <20.15.5.2)
CVE-2026-20245 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.9.1, <20.12.5.4, <20.12.6.2, <20.15.4.4, <20.15.5.2)
- cisco sd-wan_vsmart_controller (<20.9.9.1, <20.12.5.4, <20.12.6.2, <20.15.4.4, <20.15.5.2)
CVE-2026-20127 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)
- cisco sd-wan_vbond_orchestrator (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)
- cisco sd-wan_vsmart_controller (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1021.004, T1059.008, T1068, T1070.004, T1078.003, T1098, T1136.001
IOCs:
File: 1
IP: 8
Hash: 1
Soft:
Outlook
Algorithms:
sha256
Platforms:
intel
Google Cloud Blog
Zero-Day Exploitation of Vulnerability (CVE-2026-20245) in Cisco Catalyst SD-WAN Manager | Google Cloud Blog
The threat actor exploited the vulnerability to escalate privileges from a compromised administrative account to root-level access.
CTT Report Hub
#ParsedReport #CompletenessLow 24-06-2026 Zero-Day Exploitation of Vulnerability (CVE-2026-20245) in Cisco Catalyst SD-WAN Manager https://cloud.google.com/blog/topics/threat-intelligence/zero-day-exploitation-cisco-catalyst-sd-wan-manager/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В начале 2026 года киберкампания нацелилась на Cisco Catalyst SD-WAN, эксплуатируя уязвимость нулевого дня CVE-2026-20245, которая позволяла повышение привилегий с уровня администратора до root путем загрузки вредоносного файла (evil_tenant.csv). Злоумышленники установили несанкционированные пиры для получения доступа по SSH, манипулируя паролями по умолчанию и выполняя команды, изменяющие критические системные файлы. Кроме того, уязвимости CVE-2026-20127 и CVE-2026-20182 в механизме аутентификации пиров могли способствовать несанкционированному доступу до их обнаружения, что указывает на тенденцию к нацеливанию на устройства управления сетью.
-----
В начале 2026 года Mandiant сообщила о продолжающейся киберкампании, нацеленной на инфраструктуру Software-Defined Wide Area Network (SD-WAN), в частности, эксплуатирующей уязвимость нулевого дня (CVE-2026-20245) в Cisco Catalyst SD-WAN. Эта уязвимость безопасности связана с неправильной фильтрацией в функции загрузки файлов, что позволяет злоумышленникам повышать привилегии с административной учетной записи до доступа root путем загрузки специально созданного вредоносного файла.
Методы атаки, применяемые злоумышленником, включали установление несанкционированных соединений пиринговой сети для получения доступа к Secure Shell (SSH), через который они изменяли пароли учетных записей по умолчанию, чтобы оставаться незамеченными. После получения первоначального доступа они эксплуатировали уязвимость CVE-2026-20245, загрузив файл с именем evil_tenant.csv, содержащий вредоносные команды, направленные на изменение критических системных файлов, таких как /etc/passwd и /etc/shadow. Этот процесс, выполняемый через интерфейс командной строки, позволял злоумышленнику выполнять произвольные команды с привилегиями root после загрузки.
Помимо CVE-2026-20245, Cisco раскрыла информацию о других уязвимостях (CVE-2026-20127 и CVE-2026-20182), которые затрагивают механизмы аутентификации пиринга контроллеров SD-WAN Cisco. Эти недостатки потенциально могут позволить неаутентифицированным удаленным злоумышленникам обойти аутентификацию, получая административные привилегии на затронутых устройствах. Наблюдения показывают, что несанкционированные пиринговые соединения могли эксплуатировать эти уязвимости до их раскрытия, способствуя первоначальному доступу в рамках атаки.
Атака подчеркивает тенденцию в направлении целевых атак на сетевые управляющие устройства, отражая парадигму "living off the edge", где злоумышленники стремятся к компрометации инструментов сетевой оркестрации для обхода традиционных мер безопасности. Такие устройства часто не имеют достаточной криминалистический анализ телеметрии, что затрудняет обнаружение и анализ вторжений, тем самым представляя риск постоянного доступа к конфиденциальному корпоративному трафику.
Для организаций рекомендуются срочные меры по устранению уязвимостей, включая немедленное обновление программного обеспечения для версий, устраняющих CVE-2026-20245, и обеспечение соблюдения руководств по усилению защиты Cisco. Также необходимы комплексные поисковые операции и мониторинг подозрительных событий изменения паролей для выявления потенциальных компрометаций, особенно с акцентом на изменения учетных данных административных учетных записей, записанные в /var/log/auth.log. Учитывая скоординированный характер этих атак и изменяющийся ландшафт уязвимостей, организации должны сохранять бдительность в своей защите от таких киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В начале 2026 года киберкампания нацелилась на Cisco Catalyst SD-WAN, эксплуатируя уязвимость нулевого дня CVE-2026-20245, которая позволяла повышение привилегий с уровня администратора до root путем загрузки вредоносного файла (evil_tenant.csv). Злоумышленники установили несанкционированные пиры для получения доступа по SSH, манипулируя паролями по умолчанию и выполняя команды, изменяющие критические системные файлы. Кроме того, уязвимости CVE-2026-20127 и CVE-2026-20182 в механизме аутентификации пиров могли способствовать несанкционированному доступу до их обнаружения, что указывает на тенденцию к нацеливанию на устройства управления сетью.
-----
В начале 2026 года Mandiant сообщила о продолжающейся киберкампании, нацеленной на инфраструктуру Software-Defined Wide Area Network (SD-WAN), в частности, эксплуатирующей уязвимость нулевого дня (CVE-2026-20245) в Cisco Catalyst SD-WAN. Эта уязвимость безопасности связана с неправильной фильтрацией в функции загрузки файлов, что позволяет злоумышленникам повышать привилегии с административной учетной записи до доступа root путем загрузки специально созданного вредоносного файла.
Методы атаки, применяемые злоумышленником, включали установление несанкционированных соединений пиринговой сети для получения доступа к Secure Shell (SSH), через который они изменяли пароли учетных записей по умолчанию, чтобы оставаться незамеченными. После получения первоначального доступа они эксплуатировали уязвимость CVE-2026-20245, загрузив файл с именем evil_tenant.csv, содержащий вредоносные команды, направленные на изменение критических системных файлов, таких как /etc/passwd и /etc/shadow. Этот процесс, выполняемый через интерфейс командной строки, позволял злоумышленнику выполнять произвольные команды с привилегиями root после загрузки.
Помимо CVE-2026-20245, Cisco раскрыла информацию о других уязвимостях (CVE-2026-20127 и CVE-2026-20182), которые затрагивают механизмы аутентификации пиринга контроллеров SD-WAN Cisco. Эти недостатки потенциально могут позволить неаутентифицированным удаленным злоумышленникам обойти аутентификацию, получая административные привилегии на затронутых устройствах. Наблюдения показывают, что несанкционированные пиринговые соединения могли эксплуатировать эти уязвимости до их раскрытия, способствуя первоначальному доступу в рамках атаки.
Атака подчеркивает тенденцию в направлении целевых атак на сетевые управляющие устройства, отражая парадигму "living off the edge", где злоумышленники стремятся к компрометации инструментов сетевой оркестрации для обхода традиционных мер безопасности. Такие устройства часто не имеют достаточной криминалистический анализ телеметрии, что затрудняет обнаружение и анализ вторжений, тем самым представляя риск постоянного доступа к конфиденциальному корпоративному трафику.
Для организаций рекомендуются срочные меры по устранению уязвимостей, включая немедленное обновление программного обеспечения для версий, устраняющих CVE-2026-20245, и обеспечение соблюдения руководств по усилению защиты Cisco. Также необходимы комплексные поисковые операции и мониторинг подозрительных событий изменения паролей для выявления потенциальных компрометаций, особенно с акцентом на изменения учетных данных административных учетных записей, записанные в /var/log/auth.log. Учитывая скоординированный характер этих атак и изменяющийся ландшафт уязвимостей, организации должны сохранять бдительность в своей защите от таких киберугроз.