CTT Report Hub
#ParsedReport #CompletenessLow 26-06-2026 Malware steals Chrome session cookies to take over your accounts https://www.malwarebytes.com/blog/news/2026/06/malware-steals-chrome-session-cookies-to-take-over-your-accounts Report completeness: Low Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Сложная атака с использованием вредоносного программного обеспечения (ВПО) осуществляется через фишинговые письма, доставляющие зашифрованный JavaScript-код, замаскированный под PDF-файл. Этот файл активирует бэкдор на системах Windows и использует скрипт PowerShell для установки вредоносного расширения Chrome, которое обходит разрешения пользователя, собирает конфиденциальные данные и служит удаленным каналом команд для выполнения команд и запуска скриптов. Атака использует механизм Chrome Native Messaging для взаимодействия с хост-системой, что повышает скрытность и позволяет избегать обнаружения.
-----
В недавнем анализе киберугроз подробно описывается сложная атака с использованием ВПО, нацеленная на пользователей через вредоносные расширения Chrome. Атака начинается с фишингового письма, содержащего вложение, которое маскируется под PDF-файл, но на самом деле представляет собой обфусцированный JavaScript-код с вводящим в заблуждение расширением .pfd.js. После выполнения этот JavaScript-файл запускает Windows-бэкдор, размещая дополнительные файлы во временной папке системы.
В основе атаки лежит скрипт PowerShell, который настраивает расширение Chrome и изменяет политики браузера для разрешения установки расширения. Этот метод позволяет вредоносному ПО маскироваться под развертывание, контролируемое администратором, обходя обычные разрешения пользователей. После установки расширение работает внутри браузера, собирая конфиденциальные данные, такие как куки-файлы сессий, открытые вкладки, URL-адреса, языковые настройки и информацию о цифровом отпечатке устройства. Кроме того, злоумышленники используют эту настройку в качестве канала удаленных команд, позволяющего им отправлять команды для выполнения скриптов PowerShell и перечисления файлов на хост-системе, особенно на диске C:.
Ключевой особенностью этого ВПО является использование им Chrome Native Messaging — легитимной функции браузера, которая позволяет расширениям взаимодействовать с нативными приложениями на хост-системе. Используя эту функциональность, злоумышленники обеспечивают возможность расширения выступать в роли контроллера для выполнения локального кода без прямого запуска PowerShell непосредственно из самого расширения. Вместо этого вредоносное расширение отправляет сообщения зарегистрированному нативному хосту, который затем взаимодействует с PowerShell, тем самым эффективно вписывая атаку в ожидаемые рабочие процессы и минимизируя риски обнаружения.
Стратегии смягчения последствий имеют решающее значение для пользователей, чтобы защититься от таких угроз. Пользователям рекомендуется тщательно проверять расширения файлов, использовать актуальные и работающие в реальном времени решения антивирусной защиты от вредоносного ПО, а также контролировать установленные расширения Chrome, удаляя любые подозрительные или неиспользуемые. Дополнительные меры предосторожности включают выход из критически важных учетных записей после использования, чтобы аннулировать любые потенциальные сессионные файлы cookie, которые могли быть скомпрометированы, а также регулярную проверку истории входов в учетную запись для выявления несанкционированного доступа.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Сложная атака с использованием вредоносного программного обеспечения (ВПО) осуществляется через фишинговые письма, доставляющие зашифрованный JavaScript-код, замаскированный под PDF-файл. Этот файл активирует бэкдор на системах Windows и использует скрипт PowerShell для установки вредоносного расширения Chrome, которое обходит разрешения пользователя, собирает конфиденциальные данные и служит удаленным каналом команд для выполнения команд и запуска скриптов. Атака использует механизм Chrome Native Messaging для взаимодействия с хост-системой, что повышает скрытность и позволяет избегать обнаружения.
-----
В недавнем анализе киберугроз подробно описывается сложная атака с использованием ВПО, нацеленная на пользователей через вредоносные расширения Chrome. Атака начинается с фишингового письма, содержащего вложение, которое маскируется под PDF-файл, но на самом деле представляет собой обфусцированный JavaScript-код с вводящим в заблуждение расширением .pfd.js. После выполнения этот JavaScript-файл запускает Windows-бэкдор, размещая дополнительные файлы во временной папке системы.
В основе атаки лежит скрипт PowerShell, который настраивает расширение Chrome и изменяет политики браузера для разрешения установки расширения. Этот метод позволяет вредоносному ПО маскироваться под развертывание, контролируемое администратором, обходя обычные разрешения пользователей. После установки расширение работает внутри браузера, собирая конфиденциальные данные, такие как куки-файлы сессий, открытые вкладки, URL-адреса, языковые настройки и информацию о цифровом отпечатке устройства. Кроме того, злоумышленники используют эту настройку в качестве канала удаленных команд, позволяющего им отправлять команды для выполнения скриптов PowerShell и перечисления файлов на хост-системе, особенно на диске C:.
Ключевой особенностью этого ВПО является использование им Chrome Native Messaging — легитимной функции браузера, которая позволяет расширениям взаимодействовать с нативными приложениями на хост-системе. Используя эту функциональность, злоумышленники обеспечивают возможность расширения выступать в роли контроллера для выполнения локального кода без прямого запуска PowerShell непосредственно из самого расширения. Вместо этого вредоносное расширение отправляет сообщения зарегистрированному нативному хосту, который затем взаимодействует с PowerShell, тем самым эффективно вписывая атаку в ожидаемые рабочие процессы и минимизируя риски обнаружения.
Стратегии смягчения последствий имеют решающее значение для пользователей, чтобы защититься от таких угроз. Пользователям рекомендуется тщательно проверять расширения файлов, использовать актуальные и работающие в реальном времени решения антивирусной защиты от вредоносного ПО, а также контролировать установленные расширения Chrome, удаляя любые подозрительные или неиспользуемые. Дополнительные меры предосторожности включают выход из критически важных учетных записей после использования, чтобы аннулировать любые потенциальные сессионные файлы cookie, которые могли быть скомпрометированы, а также регулярную проверку истории входов в учетную запись для выявления несанкционированного доступа.
#ParsedReport #CompletenessHigh
27-06-2026
UAC-0184 Tooling Evolution: OneDrive Sideload to Remcos
https://blog.synapticsystems.de/uac-0184-tooling-evolution-onedrive-sideload-to-remcos/
Report completeness: High
Actors/Campaigns:
Uac-0184
Threats:
Remcos_rat
Hijackloader
Rshell
Dll_sideloading_technique
Process_injection_technique
Victims:
Ukrainian military administration, Ukrainian military personnel
Industry:
Military, Telco
Geo:
Ukrainian
TTPs:
Tactics: 2
Technics: 7
IOCs:
File: 51
Hash: 27
IP: 3
Path: 1
Command: 2
Url: 5
Soft:
Microsoft OneDrive, Sysinternals
Algorithms:
xor, sha256, zip, rc4, lznt1
Functions:
Get-Command
Win API:
Stream, RtlDecompressBuffer
Languages:
powershell, vbscript, cscript
Platforms:
x64, x86
27-06-2026
UAC-0184 Tooling Evolution: OneDrive Sideload to Remcos
https://blog.synapticsystems.de/uac-0184-tooling-evolution-onedrive-sideload-to-remcos/
Report completeness: High
Actors/Campaigns:
Uac-0184
Threats:
Remcos_rat
Hijackloader
Rshell
Dll_sideloading_technique
Process_injection_technique
Victims:
Ukrainian military administration, Ukrainian military personnel
Industry:
Military, Telco
Geo:
Ukrainian
TTPs:
Tactics: 2
Technics: 7
IOCs:
File: 51
Hash: 27
IP: 3
Path: 1
Command: 2
Url: 5
Soft:
Microsoft OneDrive, Sysinternals
Algorithms:
xor, sha256, zip, rc4, lznt1
Functions:
Get-Command
Win API:
Stream, RtlDecompressBuffer
Languages:
powershell, vbscript, cscript
Platforms:
x64, x86
Synaptic Security Blog
UAC-0184 Tooling Evolution: OneDrive Sideload to Remcos - Synaptic Security Blog
by Robin Dost Malware: HijackLoader / IDATLoader -> Remcos Agent 7.1.0 ProActor tracking: UAC-0184 / MB-0005Related analysis: UAC-0184: From HTA to a Signed Network StackA YARA rule for this sample is available on request: contact@robin-dost.de. In my previous…
CTT Report Hub
#ParsedReport #CompletenessHigh 27-06-2026 UAC-0184 Tooling Evolution: OneDrive Sideload to Remcos https://blog.synapticsystems.de/uac-0184-tooling-evolution-onedrive-sideload-to-remcos/ Report completeness: High Actors/Campaigns: Uac-0184 Threats: Remcos_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
UAC-0184 эволюционировал, расширив свою цепочку кибератак за счёт перехода от легитимного программного обеспечения к Microsoft OneDrive для доставки ВПО. Последний метод включает распространение zip-архива с именем "spisokszch.zip", содержащего замаскированные ярлыки и рабочую книгу Excel, которая при выполнении запускает VBScript для загрузки Remcos Agent 7.1.0 Pro с помощью команд PowerShell. Эта многоэтапная атака использует такие техники, как Выполнение с участием пользователя, использование PowerShell и подгрузка DLL, что отражает сложную стратегию для поддержания скрытности и достижения удалённого доступа.
-----
В статье подчеркивается эволюция цепочки кибератак, приписываемой злоумышленнику UAC-0184, демонстрирующая переход от использования легитимного программного обеспечения (Plane9) к Microsoft OneDrive в качестве механизма доставки ВПО. Последняя итерация включает доставку zip-архива с именем "spisokszch.zip", который содержит несколько ярлыков, включая файлы .lnk, замаскированные под файлы изображений, и рабочую книгу Excel. При выполнении эти ярлыки запускают VBScript для скрытого запуска сценариев PowerShell, которые загружают другой архив, содержащий полностью настроенный Remcos Agent 7.1.0 Pro.
Пакет доставки хитро встраивает вредоносный полезный груз в компоненты, связанные с OneDrive, в частности, используя "ClusterHub.exe" в качестве хоста для подгрузки. Начальный архив представляется жертве с поддельными JPG-файлами и файлом Excel, в то время как README.txt инструктирует получателя на украинском языке извлечь и открыть файлы. VBScript организует загрузку, используя серию команд PowerShell, которые напрямую соединяют жертву с сервером управления (управление) (C2), идентифицированным как 144.31.236.240.
В статье делается вывод, что эта многоэтапная атака использует различные техники для обеспечения выполнения без привлечения подозрений. В частности, в арсенал техник входят запуск вредоносных файлов пользователями (T1204.002), использование PowerShell для выполнения (T1059.001) и подгрузка DLL (T1574.002). Сам полезный груз сложен по структуре и состоит из модульных компонентов архитектуры HijackLoader, которые постоянно доставляют инструмент удаленного доступа Remcos (RAT), предназначенный для подключения к той же инфраструктуре C2.
С точки зрения поведения вредоносного ПО, HijackLoader действует как загрузчик, который включает в себя несколько модулей для различных функций, в то время как Remcos Agent служит для обеспечения удаленного доступа для оператора. Эта новая цепочка заменяет предыдущие методики, продемонстрированные UAC-0184, отражая значительную эволюцию в их стратегии использования инструментов через внедрение доверенных программных компонентов для выполнения их злонамеренных намерений. В целом, атака демонстрирует, как эволюционирующие стратегии использования легитимного программного обеспечения могут повысить эффективность развертывания ВПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
UAC-0184 эволюционировал, расширив свою цепочку кибератак за счёт перехода от легитимного программного обеспечения к Microsoft OneDrive для доставки ВПО. Последний метод включает распространение zip-архива с именем "spisokszch.zip", содержащего замаскированные ярлыки и рабочую книгу Excel, которая при выполнении запускает VBScript для загрузки Remcos Agent 7.1.0 Pro с помощью команд PowerShell. Эта многоэтапная атака использует такие техники, как Выполнение с участием пользователя, использование PowerShell и подгрузка DLL, что отражает сложную стратегию для поддержания скрытности и достижения удалённого доступа.
-----
В статье подчеркивается эволюция цепочки кибератак, приписываемой злоумышленнику UAC-0184, демонстрирующая переход от использования легитимного программного обеспечения (Plane9) к Microsoft OneDrive в качестве механизма доставки ВПО. Последняя итерация включает доставку zip-архива с именем "spisokszch.zip", который содержит несколько ярлыков, включая файлы .lnk, замаскированные под файлы изображений, и рабочую книгу Excel. При выполнении эти ярлыки запускают VBScript для скрытого запуска сценариев PowerShell, которые загружают другой архив, содержащий полностью настроенный Remcos Agent 7.1.0 Pro.
Пакет доставки хитро встраивает вредоносный полезный груз в компоненты, связанные с OneDrive, в частности, используя "ClusterHub.exe" в качестве хоста для подгрузки. Начальный архив представляется жертве с поддельными JPG-файлами и файлом Excel, в то время как README.txt инструктирует получателя на украинском языке извлечь и открыть файлы. VBScript организует загрузку, используя серию команд PowerShell, которые напрямую соединяют жертву с сервером управления (управление) (C2), идентифицированным как 144.31.236.240.
В статье делается вывод, что эта многоэтапная атака использует различные техники для обеспечения выполнения без привлечения подозрений. В частности, в арсенал техник входят запуск вредоносных файлов пользователями (T1204.002), использование PowerShell для выполнения (T1059.001) и подгрузка DLL (T1574.002). Сам полезный груз сложен по структуре и состоит из модульных компонентов архитектуры HijackLoader, которые постоянно доставляют инструмент удаленного доступа Remcos (RAT), предназначенный для подключения к той же инфраструктуре C2.
С точки зрения поведения вредоносного ПО, HijackLoader действует как загрузчик, который включает в себя несколько модулей для различных функций, в то время как Remcos Agent служит для обеспечения удаленного доступа для оператора. Эта новая цепочка заменяет предыдущие методики, продемонстрированные UAC-0184, отражая значительную эволюцию в их стратегии использования инструментов через внедрение доверенных программных компонентов для выполнения их злонамеренных намерений. В целом, атака демонстрирует, как эволюционирующие стратегии использования легитимного программного обеспечения могут повысить эффективность развертывания ВПО.
#ParsedReport #CompletenessLow
26-06-2026
Miasma Mini Shai-Hulud Hits ImmobiliareLabs npm Packages
https://socket.dev/blog/miasma-mini-shai-hulud-hits-immobiliarelabs-npm-packages
Report completeness: Low
Actors/Campaigns:
Mini_shai-hulud
Threats:
Miasma
Supply_chain_technique
Phantom_gyp_technique
Dead_drop_technique
Hades
Victims:
Immobiliarelabs, Open source software maintainers, Backstage deployments
Geo:
Italian, Italy
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1059.007, T1105, T1127, T1140, T1195.001, T1528, T1552.001, T1552.004, T1567.001, have more...
IOCs:
File: 4
Hash: 45
Soft:
Kubernetes, Docker, Dependabot, Slack, claude, vscode
Algorithms:
aes-128-gcm, sha256
Languages:
javascript
26-06-2026
Miasma Mini Shai-Hulud Hits ImmobiliareLabs npm Packages
https://socket.dev/blog/miasma-mini-shai-hulud-hits-immobiliarelabs-npm-packages
Report completeness: Low
Actors/Campaigns:
Mini_shai-hulud
Threats:
Miasma
Supply_chain_technique
Phantom_gyp_technique
Dead_drop_technique
Hades
Victims:
Immobiliarelabs, Open source software maintainers, Backstage deployments
Geo:
Italian, Italy
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1059.007, T1105, T1127, T1140, T1195.001, T1528, T1552.001, T1552.004, T1567.001, have more...
IOCs:
File: 4
Hash: 45
Soft:
Kubernetes, Docker, Dependabot, Slack, claude, vscode
Algorithms:
aes-128-gcm, sha256
Languages:
javascript
Socket
Miasma Mini Shai-Hulud Hits ImmobiliareLabs npm Packages - S...
Miasma Mini Shai-Hulud hits @immobiliarelabs Backstage plugins, targeting GitLab and LDAP auth packages on npm.
CTT Report Hub
#ParsedReport #CompletenessLow 26-06-2026 Miasma Mini Shai-Hulud Hits ImmobiliareLabs npm Packages https://socket.dev/blog/miasma-mini-shai-hulud-hits-immobiliarelabs-npm-packages Report completeness: Low Actors/Campaigns: Mini_shai-hulud Threats: Miasma…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания Miasma Mini Shai-Hulud скомпрометировала пакеты npm в рамках области @immobiliarelabs, в частности нацеливаясь на плагины Backstage, связанные с GitLab, для развертывания вредоносного JavaScript. Она выполняет ВПО, способное красть учетные данные разработчиков и секреты CI/CD через обфусцированные структуры, используя техники для обхода проверки во время обзора пакетов. Кроме того, кампания эксплуатирует рабочие процессы GitHub Actions в корыстных целях, дополнительно расширяя вектор атаки в средах Цепочка поставок.
-----
Кампания по компрометации цепочки поставок Miasma Mini Shai-Hulud расширилась, недавно скомпрометировав пакеты npm в рамках области @immobiliarelabs, особенно связанные с плагинами Backstage, которые интегрируются с GitLab и поддерживают аутентификацию LDAP. Эта продолжающаяся кампания сосредоточена на эксплуатации доверенных сред разработчиков для публикации вредоносных версий пакетов, предназначенных для развертывания JavaScript ВПО, кражи учетных данных разработчиков и дальнейшего распространения в рабочих процессах CI/CD.
Недавняя активность показывает, что несколько версий пакета @immobiliarelabs/backstage-plugin-gitlab-backend стали целью во время всплеска публикации 26 июня 2026 года, при этом несколько исторических версий были переопубликованы для максимизации их воздействия на пользователей, которые могут полагаться на более старые версии пакета. Применяемый метод включает в себя вводящую в заблуждение структуру пакета; кажущийся безобидный нормальный входной файл скрывает вредоносный index.js на корневом уровне, который выполняет полезную нагрузку, способную расшифровывать и запускать дополнительные скрипты. Этот паттерн продолжает отражать тенденцию Miasma по сокрытию вредоносных путей выполнения внутри систем управления пакетами.
ВПО отлично справляется с эксфильтрацией широкого спектра конфиденциальных данных разработчиков и секретов CI/CD, включая токены API, SSH-ключи и учетные данные облачных сервисов. Оно использует новую технику выполнения, сочетающую Phantom Gyp и Bun, что позволяет обходить традиционные хуки preinstall или postinstall, обычно проверяемые при анализе пакетов. Это дает возможность запускать вредоносные скрипты в рамках легитимных процессов развертывания, особенно связанных с рабочими процессами GitHub Actions, которые могут быть изменены для запуска атак без необходимости прямых модификаций файлов рабочих процессов.
Кроме того, кампания включает скомпрометированный компонент GitHub Actions, происходящий из codfish/semantic-release-action, который был использован для внедрения вредоносных рабочих процессов, способных нанести ущерб проектам, полагающимся на изменяемые теги версий. Это расширяет ландшафт атак, позиционируя развертывания GitHub как средство для запуска выполнения рабочих процессов и потенциальный вектор кражи секретов.
Стратегия кампании Miasma также включает быстрое создание автоматизированных репозиториев GitHub для целей эксфильтрации, используя запутанные и рандомизированные соглашения об именовании для сокрытия вредоносной деятельности. В качестве меры предосторожности организациям рекомендуется выявить все среды разработки, которые могли включить затронутые пакеты, отозвать и ротировать все раскрытые секреты, а также тщательно проверить активность GitHub Actions в период компрометации. Внедрение строгих мер контроля, таких как привязка GitHub Actions к неизменяемым коммитным SHA и ограничение доступа к чувствительным рабочим процессам, может помочь снизить риск дальнейших заражений.
В заключение, Miasma Mini Shai-Hulud демонстрирует тревожную тенденцию в атаках на Цепочку поставок, которые используют кажущиеся безобидными инструменты разработчика для повышения уровня доступа и эксфильтрации критических данных. Командам по безопасности необходимо сохранять бдительность и проактивность в усилении защиты от таких сложных тактик.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания Miasma Mini Shai-Hulud скомпрометировала пакеты npm в рамках области @immobiliarelabs, в частности нацеливаясь на плагины Backstage, связанные с GitLab, для развертывания вредоносного JavaScript. Она выполняет ВПО, способное красть учетные данные разработчиков и секреты CI/CD через обфусцированные структуры, используя техники для обхода проверки во время обзора пакетов. Кроме того, кампания эксплуатирует рабочие процессы GitHub Actions в корыстных целях, дополнительно расширяя вектор атаки в средах Цепочка поставок.
-----
Кампания по компрометации цепочки поставок Miasma Mini Shai-Hulud расширилась, недавно скомпрометировав пакеты npm в рамках области @immobiliarelabs, особенно связанные с плагинами Backstage, которые интегрируются с GitLab и поддерживают аутентификацию LDAP. Эта продолжающаяся кампания сосредоточена на эксплуатации доверенных сред разработчиков для публикации вредоносных версий пакетов, предназначенных для развертывания JavaScript ВПО, кражи учетных данных разработчиков и дальнейшего распространения в рабочих процессах CI/CD.
Недавняя активность показывает, что несколько версий пакета @immobiliarelabs/backstage-plugin-gitlab-backend стали целью во время всплеска публикации 26 июня 2026 года, при этом несколько исторических версий были переопубликованы для максимизации их воздействия на пользователей, которые могут полагаться на более старые версии пакета. Применяемый метод включает в себя вводящую в заблуждение структуру пакета; кажущийся безобидный нормальный входной файл скрывает вредоносный index.js на корневом уровне, который выполняет полезную нагрузку, способную расшифровывать и запускать дополнительные скрипты. Этот паттерн продолжает отражать тенденцию Miasma по сокрытию вредоносных путей выполнения внутри систем управления пакетами.
ВПО отлично справляется с эксфильтрацией широкого спектра конфиденциальных данных разработчиков и секретов CI/CD, включая токены API, SSH-ключи и учетные данные облачных сервисов. Оно использует новую технику выполнения, сочетающую Phantom Gyp и Bun, что позволяет обходить традиционные хуки preinstall или postinstall, обычно проверяемые при анализе пакетов. Это дает возможность запускать вредоносные скрипты в рамках легитимных процессов развертывания, особенно связанных с рабочими процессами GitHub Actions, которые могут быть изменены для запуска атак без необходимости прямых модификаций файлов рабочих процессов.
Кроме того, кампания включает скомпрометированный компонент GitHub Actions, происходящий из codfish/semantic-release-action, который был использован для внедрения вредоносных рабочих процессов, способных нанести ущерб проектам, полагающимся на изменяемые теги версий. Это расширяет ландшафт атак, позиционируя развертывания GitHub как средство для запуска выполнения рабочих процессов и потенциальный вектор кражи секретов.
Стратегия кампании Miasma также включает быстрое создание автоматизированных репозиториев GitHub для целей эксфильтрации, используя запутанные и рандомизированные соглашения об именовании для сокрытия вредоносной деятельности. В качестве меры предосторожности организациям рекомендуется выявить все среды разработки, которые могли включить затронутые пакеты, отозвать и ротировать все раскрытые секреты, а также тщательно проверить активность GitHub Actions в период компрометации. Внедрение строгих мер контроля, таких как привязка GitHub Actions к неизменяемым коммитным SHA и ограничение доступа к чувствительным рабочим процессам, может помочь снизить риск дальнейших заражений.
В заключение, Miasma Mini Shai-Hulud демонстрирует тревожную тенденцию в атаках на Цепочку поставок, которые используют кажущиеся безобидными инструменты разработчика для повышения уровня доступа и эксфильтрации критических данных. Командам по безопасности необходимо сохранять бдительность и проактивность в усилении защиты от таких сложных тактик.
#ParsedReport #CompletenessLow
26-06-2026
Multiple @immobiliarelabs Backstage Plugins Compromised on npm
https://www.stepsecurity.io/blog/immobiliarelabs-npm-packages-compromised
Report completeness: Low
Threats:
Miasma
Credential_harvesting_technique
Supply_chain_technique
Victims:
Software development, Platform engineering teams, Technology
Geo:
Italian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1003.007, T1027, T1059.007, T1070.004, T1105, T1140, T1195.001, T1528, T1546, T1552.001, have more...
IOCs:
File: 5
Coin: 1
Soft:
Active Directory, Node.js, Kubernetes, HashiCorp Vault, Bitwarden, 1Password, Claude, OpenAI, curl
Algorithms:
aes-128-gcm, sha512, zip
Languages:
javascript
Links:
26-06-2026
Multiple @immobiliarelabs Backstage Plugins Compromised on npm
https://www.stepsecurity.io/blog/immobiliarelabs-npm-packages-compromised
Report completeness: Low
Threats:
Miasma
Credential_harvesting_technique
Supply_chain_technique
Victims:
Software development, Platform engineering teams, Technology
Geo:
Italian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1003.007, T1027, T1059.007, T1070.004, T1105, T1140, T1195.001, T1528, T1546, T1552.001, have more...
IOCs:
File: 5
Coin: 1
Soft:
Active Directory, Node.js, Kubernetes, HashiCorp Vault, Bitwarden, 1Password, Claude, OpenAI, curl
Algorithms:
aes-128-gcm, sha512, zip
Languages:
javascript
Links:
https://github.com/immobiliare/backstage-plugin-gitlab/issues/1052www.stepsecurity.io
Multiple @immobiliarelabs Backstage Plugins Compromised on npm - StepSecurity
Compromised versions run a malicious payload at npm install time through a binding.gyp node-gyp hook, harvesting credentials from sources like GitHub Actions secrets, cloud provider keys, and package registry tokens, while trying to persist in AI coding assistant…
CTT Report Hub
#ParsedReport #CompletenessLow 26-06-2026 Multiple @immobiliarelabs Backstage Plugins Compromised on npm https://www.stepsecurity.io/blog/immobiliarelabs-npm-packages-compromised Report completeness: Low Threats: Miasma Credential_harvesting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
26 июня 2026 года несколько пакетов npm от Immobiliare Labs были скомпрометированы, содержащие вредоносную нагрузку, которая выполняется во время установки через хук binding.gyp. Нагрузка была создана для сбора учетных данных из различных источников, используя шифр Цезаря ROT-2 и AES-128-GCM для расшифровки, а также имея возможность изменять конфигурации ИИ-ассистентов для программирования. Механизм атаки указывает на потенциал самораспространения, позволяя модифицированным пакетам публиковаться обратно в npm или PyPI с использованием украденных учетных данных.
-----
26 июня 2026 года в нескольких пакетах npm, поддерживаемых Immobiliare Labs, включая различные плагины backstage, был обнаружен вредоносный код, выполняемый в процессе установки npm через хук binding.gyp. Затронутыми пакетами были конкретно @immobiliarelabs/backstage-plugin-gitlab, @immobiliarelabs/backstage-plugin-gitlab-backend, @immobiliarelabs/backstage-plugin-ldap-auth и @immobiliarelabs/backstage-plugin-ldap-auth-backend. Вредоносный код предназначен для извлечения конфиденциальных учетных данных из нескольких источников, включая секреты GitHub Actions, учетные данные облачных провайдеров и различные токены, с целью сохранения в конфигурациях ИИ-ассистентов для программирования.
Статический анализ @immobiliarelabs/backstage-plugin-gitlab версии 2.1.2 выявил новый файл index.js размером 5 МБ и файл binding.gyp, которых не было в чистой версии 2.1.1. Выполнение полезной нагрузки основано на шифре Цезаря ROT-2, обернутом в блок eval, а также на расшифровке AES-128-GCM для двух зашифрованных блоков. После расшифровки эти блоки выполняют две основные функции: загрузку среды выполнения (Bun) из релизов GitHub и выполнение полезной нагрузки для сбора учетных записей, которая дополнительно маскируется для обхода методов обнаружения, преимущественно связанных с Node.js.
Механизм атаки предоставляет широкие возможности для сбора учетных записей, нацеленный на ценные учетные данные, такие как токены GitHub, учетные данные AWS и Google Cloud Platform, токены Kubernetes, а также секреты из Менеджеров паролей и HashiCorp Vault. Кроме того, полезная нагрузка содержит функциональность для изменения конфигурационных файлов популярных ИИ-ассистентов для программирования, что является еще одним вектором закрепления в скомпрометированных средах.
Более того, вредоносный код указывает на возможности, соответствующие самораспространяющемуся червю Цепочки поставок, поскольку он может публиковать изменённые пакеты обратно в npm или PyPI с использованием украденных учётных данных реестра. В плане обнаружения и смягчения последствий инструмент Harden-Runner способен выявлять аномальное поведение процессов, связанное с работой полезной нагрузки, тогда как защитные функции, такие как период ожидания (cooldown) защищённого реестра npm, помогают предотвратить распространение недавно опубликованных вредоносных пакетов. Этот период ожидания эффективно блокирует использование недавно скомпрометированных версий в конвейерах непрерывной интеграции или развёртывания, что является важным оборонительным шагом, предотвратившим воздействие на клиентов Secure Registry в ходе данного инцидента.
Инцидент демонстрирует важность поддержания бдительных практик безопасности в цепочке поставок программного обеспечения, особенно в мониторинге целостности распространения пакетов с открытым исходным кодом и обеспечении быстрого обнаружения вредоносной активности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
26 июня 2026 года несколько пакетов npm от Immobiliare Labs были скомпрометированы, содержащие вредоносную нагрузку, которая выполняется во время установки через хук binding.gyp. Нагрузка была создана для сбора учетных данных из различных источников, используя шифр Цезаря ROT-2 и AES-128-GCM для расшифровки, а также имея возможность изменять конфигурации ИИ-ассистентов для программирования. Механизм атаки указывает на потенциал самораспространения, позволяя модифицированным пакетам публиковаться обратно в npm или PyPI с использованием украденных учетных данных.
-----
26 июня 2026 года в нескольких пакетах npm, поддерживаемых Immobiliare Labs, включая различные плагины backstage, был обнаружен вредоносный код, выполняемый в процессе установки npm через хук binding.gyp. Затронутыми пакетами были конкретно @immobiliarelabs/backstage-plugin-gitlab, @immobiliarelabs/backstage-plugin-gitlab-backend, @immobiliarelabs/backstage-plugin-ldap-auth и @immobiliarelabs/backstage-plugin-ldap-auth-backend. Вредоносный код предназначен для извлечения конфиденциальных учетных данных из нескольких источников, включая секреты GitHub Actions, учетные данные облачных провайдеров и различные токены, с целью сохранения в конфигурациях ИИ-ассистентов для программирования.
Статический анализ @immobiliarelabs/backstage-plugin-gitlab версии 2.1.2 выявил новый файл index.js размером 5 МБ и файл binding.gyp, которых не было в чистой версии 2.1.1. Выполнение полезной нагрузки основано на шифре Цезаря ROT-2, обернутом в блок eval, а также на расшифровке AES-128-GCM для двух зашифрованных блоков. После расшифровки эти блоки выполняют две основные функции: загрузку среды выполнения (Bun) из релизов GitHub и выполнение полезной нагрузки для сбора учетных записей, которая дополнительно маскируется для обхода методов обнаружения, преимущественно связанных с Node.js.
Механизм атаки предоставляет широкие возможности для сбора учетных записей, нацеленный на ценные учетные данные, такие как токены GitHub, учетные данные AWS и Google Cloud Platform, токены Kubernetes, а также секреты из Менеджеров паролей и HashiCorp Vault. Кроме того, полезная нагрузка содержит функциональность для изменения конфигурационных файлов популярных ИИ-ассистентов для программирования, что является еще одним вектором закрепления в скомпрометированных средах.
Более того, вредоносный код указывает на возможности, соответствующие самораспространяющемуся червю Цепочки поставок, поскольку он может публиковать изменённые пакеты обратно в npm или PyPI с использованием украденных учётных данных реестра. В плане обнаружения и смягчения последствий инструмент Harden-Runner способен выявлять аномальное поведение процессов, связанное с работой полезной нагрузки, тогда как защитные функции, такие как период ожидания (cooldown) защищённого реестра npm, помогают предотвратить распространение недавно опубликованных вредоносных пакетов. Этот период ожидания эффективно блокирует использование недавно скомпрометированных версий в конвейерах непрерывной интеграции или развёртывания, что является важным оборонительным шагом, предотвратившим воздействие на клиентов Secure Registry в ходе данного инцидента.
Инцидент демонстрирует важность поддержания бдительных практик безопасности в цепочке поставок программного обеспечения, особенно в мониторинге целостности распространения пакетов с открытым исходным кодом и обеспечении быстрого обнаружения вредоносной активности.
#ParsedReport #CompletenessHigh
25-06-2026
Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances
https://www.welivesecurity.com/en/eset-research/gamaredon-2025-leveraging-tunnels-workers-dead-drops-new-alliances/
Report completeness: High
Actors/Campaigns:
Gamaredon (motivation: cyber_espionage, propaganda)
Turla
Uac0099
Sandworm
Threats:
Spear-phishing_technique
Pterosetup
Pterovdoor
Pteropsdoor
Invisimole
Smuggling_technique
Pterosand
Pterodee
Pterocache
Pterodum
Pteroodd
Pteroeffigy
Pteropaste
Pterolnk
Pteropsload
Pterobox
Dead_drop_technique
Rclone_tool
Litterdrifter
Pterogram
Pteroscout
Pterosteal
Pterox
Pterodespair
Pterotickle
Pterographin
Pterostew
Pterosig
Pterovload
Pterobleed
Pterocdrop
Pteroclone
Cookie_stealer
Pterocookie
Pterodash
Pterodig
Pterodoc
Pteropshell
Pteropowder
Pterorisk
Pteroscreen
Burntcigar
Pterosocks
Pterotemplate
Revbshell
Victims:
Governmental institutions, Military institutions, Ukraine
Industry:
Military, Government
Geo:
Crimea, Russian, Ukraine, Russia, Ukrainian
CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1008, T1027, T1027.006, T1036, T1059.001, T1059.005, T1070.004, T1090.002, T1091, T1102.001, have more...
IOCs:
Domain: 730
Hash: 129
IP: 57
Url: 4
Soft:
WinRAR, Dropbox, trycloudflare, supabase, Telegram, mastodon, IndexedDB, Outlook
Wallets:
wassabi
Algorithms:
sha1
Languages:
vbscript, powershell
Links:
25-06-2026
Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances
https://www.welivesecurity.com/en/eset-research/gamaredon-2025-leveraging-tunnels-workers-dead-drops-new-alliances/
Report completeness: High
Actors/Campaigns:
Gamaredon (motivation: cyber_espionage, propaganda)
Turla
Uac0099
Sandworm
Threats:
Spear-phishing_technique
Pterosetup
Pterovdoor
Pteropsdoor
Invisimole
Smuggling_technique
Pterosand
Pterodee
Pterocache
Pterodum
Pteroodd
Pteroeffigy
Pteropaste
Pterolnk
Pteropsload
Pterobox
Dead_drop_technique
Rclone_tool
Litterdrifter
Pterogram
Pteroscout
Pterosteal
Pterox
Pterodespair
Pterotickle
Pterographin
Pterostew
Pterosig
Pterovload
Pterobleed
Pterocdrop
Pteroclone
Cookie_stealer
Pterocookie
Pterodash
Pterodig
Pterodoc
Pteropshell
Pteropowder
Pterorisk
Pteroscreen
Burntcigar
Pterosocks
Pterotemplate
Revbshell
Victims:
Governmental institutions, Military institutions, Ukraine
Industry:
Military, Government
Geo:
Crimea, Russian, Ukraine, Russia, Ukrainian
CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1008, T1027, T1027.006, T1036, T1059.001, T1059.005, T1070.004, T1090.002, T1091, T1102.001, have more...
IOCs:
Domain: 730
Hash: 129
IP: 57
Url: 4
Soft:
WinRAR, Dropbox, trycloudflare, supabase, Telegram, mastodon, IndexedDB, Outlook
Wallets:
wassabi
Algorithms:
sha1
Languages:
vbscript, powershell
Links:
https://github.com/eset/malware-ioc/tree/master/gamaredonWelivesecurity
Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances
ESET Research analyzes Gamaredon’s new toolset and the group’s growing reliance on legitimate online services to hide its C&C infrastructure and exfiltrate stolen data.
CTT Report Hub
#ParsedReport #CompletenessHigh 25-06-2026 Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances https://www.welivesecurity.com/en/eset-research/gamaredon-2025-leveraging-tunnels-workers-dead-drops-new-alliances/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группировка хакерская Gamaredon APT, нацеленная на украинские государственные и военные структуры, усилила свои усилия по кибершпионажу в 2025 году, запустив 35 Целевой фишинг кампаний и расширив свой набор инструментов шестью новыми PowerShell-инструментами, включая PteroPaste для доставки полезной нагрузки. Группировка маскирует свою инфраструктуру управления с использованием легитимных сервисов и эксплуатирует уязвимость CVE-2025-8088 в WinRAR для закрепления. Их операции включают сложные методы «мертвой передачи» для распространения команд и обновленные программы для кражи файлов, предназначенные для эксфильтрация данных через облачные хранилища.
-----
Анализ хакерской группировки Gamaredon APT, проведенный исследователями ESET, выявляет значительные изменения в их деятельности на протяжении 2025 года, сохраняя фокус на кибершпионаже против украинских правительственных и военных целей. Эта постоянная угроза эволюционировала как в технике, так и в инфраструктуре, продолжая эксплуатировать геополитические амбиции России. За год Gamaredon осуществил 35 кампаний целевого фишинга, преимущественно во второй половине года, используя все более масштабные кампании с взаимосвязанными обновлениями в своем инструментарии.
В этот период Gamaredon улучшила свои ранее известные инструменты, а также представила шесть новых инструментов на базе PowerShell, ориентированных на доставку полезной нагрузки и перемещение внутри компании. Среди них выделяется PteroPaste, который интегрирует функциональность для загрузки, оружия на USB-носителях и оркестрации закрепления. Группа также возродила старый инструмент для создания вредоносных скриптов на VBScript под названием PteroSetup, теперь переработанный для внедрения вредоносных полезной нагрузки в看似 легитимные установщики программного обеспечения. В сочетании с тактиками целевого фишинга, использующими вложение файлов или Внедрение данных в HTML, оперативная активность резко возросла в середине 2025 года, что позволило группе нанести значительные нарушения безопасности.
Для защиты своей инфраструктуры управления (C&C) Gamaredon всё чаще маскировал свою деятельность, используя различные легитимные онлайн-сервисы, включая туннели, динамический DNS и облачные платформы. Их методы включали передовые угрозы, такие как эксплуатация уязвимости CVE-2025-8088 в WinRAR, которая позволяла их загрузчику осуществлять закрепление, размещая себя в папке автозагрузки жертвы. Инфраструктура группы эволюционировала, чтобы скрываться за сервисами, такими как Cloudflare и devtunnel от Microsoft, что способствовало созданию более устойчивой структуры C&C, которую всё сложнее разрушить.
Ключевым аспектом операций Gamaredon является их инновационное использование методов «мёртвой почты» (dead drop), стратегии, заимствованной из традиционного шпионажа. Распространяя информацию о C&C-серверах на легитимных платформах, таких как Социальные сети и публичные мессенджеры, они позволяют своему ВПО получать операционные инструкции, не раскрывая напрямую своих злонамеренных намерений. Их стратегия также распространилась на эксфильтрацию данных: обновленные программы для кражи файлов теперь способны использовать облачные хранилища для передачи украденной информации, что позволяет маскировать эти действия и снижает потребность в выделенной инфраструктуре.
В заключение, операции Gamaredon в 2025 году отражают отточенный и адаптивный ландшафт киберугроз, который в значительной степени опирается на инновационное использование легитимных сервисов и последовательную эволюцию их тактик и инструментов. В условиях продолжающихся конфликтов на Украине их целевые шпионские активности, как ожидается, сохранятся без изменений.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группировка хакерская Gamaredon APT, нацеленная на украинские государственные и военные структуры, усилила свои усилия по кибершпионажу в 2025 году, запустив 35 Целевой фишинг кампаний и расширив свой набор инструментов шестью новыми PowerShell-инструментами, включая PteroPaste для доставки полезной нагрузки. Группировка маскирует свою инфраструктуру управления с использованием легитимных сервисов и эксплуатирует уязвимость CVE-2025-8088 в WinRAR для закрепления. Их операции включают сложные методы «мертвой передачи» для распространения команд и обновленные программы для кражи файлов, предназначенные для эксфильтрация данных через облачные хранилища.
-----
Анализ хакерской группировки Gamaredon APT, проведенный исследователями ESET, выявляет значительные изменения в их деятельности на протяжении 2025 года, сохраняя фокус на кибершпионаже против украинских правительственных и военных целей. Эта постоянная угроза эволюционировала как в технике, так и в инфраструктуре, продолжая эксплуатировать геополитические амбиции России. За год Gamaredon осуществил 35 кампаний целевого фишинга, преимущественно во второй половине года, используя все более масштабные кампании с взаимосвязанными обновлениями в своем инструментарии.
В этот период Gamaredon улучшила свои ранее известные инструменты, а также представила шесть новых инструментов на базе PowerShell, ориентированных на доставку полезной нагрузки и перемещение внутри компании. Среди них выделяется PteroPaste, который интегрирует функциональность для загрузки, оружия на USB-носителях и оркестрации закрепления. Группа также возродила старый инструмент для создания вредоносных скриптов на VBScript под названием PteroSetup, теперь переработанный для внедрения вредоносных полезной нагрузки в看似 легитимные установщики программного обеспечения. В сочетании с тактиками целевого фишинга, использующими вложение файлов или Внедрение данных в HTML, оперативная активность резко возросла в середине 2025 года, что позволило группе нанести значительные нарушения безопасности.
Для защиты своей инфраструктуры управления (C&C) Gamaredon всё чаще маскировал свою деятельность, используя различные легитимные онлайн-сервисы, включая туннели, динамический DNS и облачные платформы. Их методы включали передовые угрозы, такие как эксплуатация уязвимости CVE-2025-8088 в WinRAR, которая позволяла их загрузчику осуществлять закрепление, размещая себя в папке автозагрузки жертвы. Инфраструктура группы эволюционировала, чтобы скрываться за сервисами, такими как Cloudflare и devtunnel от Microsoft, что способствовало созданию более устойчивой структуры C&C, которую всё сложнее разрушить.
Ключевым аспектом операций Gamaredon является их инновационное использование методов «мёртвой почты» (dead drop), стратегии, заимствованной из традиционного шпионажа. Распространяя информацию о C&C-серверах на легитимных платформах, таких как Социальные сети и публичные мессенджеры, они позволяют своему ВПО получать операционные инструкции, не раскрывая напрямую своих злонамеренных намерений. Их стратегия также распространилась на эксфильтрацию данных: обновленные программы для кражи файлов теперь способны использовать облачные хранилища для передачи украденной информации, что позволяет маскировать эти действия и снижает потребность в выделенной инфраструктуре.
В заключение, операции Gamaredon в 2025 году отражают отточенный и адаптивный ландшафт киберугроз, который в значительной степени опирается на инновационное использование легитимных сервисов и последовательную эволюцию их тактик и инструментов. В условиях продолжающихся конфликтов на Украине их целевые шпионские активности, как ожидается, сохранятся без изменений.
#ParsedReport #CompletenessMedium
28-06-2026
What Is BlackSuit Ransomware & How Could It Impact Your Organization?
https://cyberint.com/blog/dark-web/what-is-blacksuit-ransomware-and-how-could-it-impact-your-organization/
Report completeness: Medium
Threats:
Blacksuit_ransomware
Royal_ransomware
Cobalt_strike_tool
Empire_loader
Metasploit_tool
Shadow_copies_delete_technique
Vssadmin_tool
Victims:
Healthcare, Education, Information technology, Government, Retail, Manufacturing, Large enterprises, Small and medium sized businesses
Industry:
Retail, Government, Healthcare, Education
TTPs:
Tactics: 3
Technics: 2
IOCs:
File: 1
Hash: 20
Soft:
Linux
Algorithms:
md5, sha256, sha1
Win API:
EXE, BlackSuit
28-06-2026
What Is BlackSuit Ransomware & How Could It Impact Your Organization?
https://cyberint.com/blog/dark-web/what-is-blacksuit-ransomware-and-how-could-it-impact-your-organization/
Report completeness: Medium
Threats:
Blacksuit_ransomware
Royal_ransomware
Cobalt_strike_tool
Empire_loader
Metasploit_tool
Shadow_copies_delete_technique
Vssadmin_tool
Victims:
Healthcare, Education, Information technology, Government, Retail, Manufacturing, Large enterprises, Small and medium sized businesses
Industry:
Retail, Government, Healthcare, Education
TTPs:
Tactics: 3
Technics: 2
IOCs:
File: 1
Hash: 20
Soft:
Linux
Algorithms:
md5, sha256, sha1
Win API:
EXE, BlackSuit
Cyberint
What Is BlackSuit Ransomware & How Could It Impact Your Organization?
Introduction to BlackSuit Ransomware The BlackSuit ransomware operation surfaced in early April/May 2023. This group engages in multi-faceted extortion, encrypting and exfiltrating data from victims while hosting public data leak sites for those who do not…
CTT Report Hub
#ParsedReport #CompletenessMedium 28-06-2026 What Is BlackSuit Ransomware & How Could It Impact Your Organization? https://cyberint.com/blog/dark-web/what-is-blacksuit-ransomware-and-how-could-it-impact-your-organization/ Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
BlackSuit — вымогатель, активно использующийся с середины 2023 года, применяет тактику двойного шантажа, включающую как шифрование данных, так и эксфильтрацию, и в первую очередь нацелен на здравоохранение, образование и критические отрасли. Он распространяется через зараженные вложения электронной почты, торрент-файлы, вредоносную рекламу и троянские программы, используя распространенные векторы фишинга и эксплуатируя такие фреймворки, как Metasploit. ВПО быстро шифрует файлы на всех доступных томах и удаляет теневые копии томов (Volume Shadow Copies), чтобы затруднить восстановление, оставляя адаптированные выкупные записки в зависимости от операционной системы.
-----
BlackSuit ransomware появился примерно в апреле-мае 2023 года как значительная киберугроза, в первую очередь сосредоточенная на многогранных тактиках шантажа, которые включают как шифрование данных, так и эксфильтрацию. Группа действует в частном порядке без публичных аффилиаций и особенно нацелена на организации в секторах здравоохранения и образования, а также в других критически важных отраслях. Её технические характеристики демонстрируют заметные сходства с Royal ransomware, особенно в механизмах, используемых для шифрования и параметрах командной строки.
Методы доставки BlackSuit ransomware разнообразны и используют несколько распространённых векторов. Заражённые вложения в электронной почте являются основным методом распространения, при этом вредоносные ссылки или макросы, встроенные во вложения, запускают выполнение ransomware при взаимодействии с ними пользователями. Кроме того, ransomware может быть скрыт в торрент-файлах, которые часто используются для однорангового обмена файлами. Ещё один метод включает вредоносную рекламу (malvertising), где вредоносные рекламные объявления перенаправляют пользователей на скомпрометированные веб-сайты, автоматически загружающие ransomware. Кроме того, BlackSuit может быть доставлен через троянские программы, которые являются обманными программами, предназначенными для загрузки различных форм ВПО, включая ransomware, часто распространяемые через фишинговые электронные письма или поддельные обновления программного обеспечения.
BlackSuit — это ВПО-шифровальщик, совместимый с операционными системами Windows и Linux. Векторы атак часто основаны на схемах фишинга или фреймворках эксплуатации сторонних систем, таких как Empire, Metasploit и Cobalt Strike. Процесс шифрования вредоносного ПО отличается высокой скоростью: он быстро обрабатывает файлы на всех доступных томах после получения доступа к информации о локальных логических дисках. Для дальнейшего подрыва усилий по восстановлению он удаляет теневые копии томов (VSS) с использованием скрытых команд оболочки.
Заметки с требованиями выкупа оставляются в папках, содержащих зашифрованные файлы, с небольшой разницей в соглашениях об именовании для систем Windows и Linux: «README.BlackSuit.txt» для Windows и «README.blacksuit.txt» для Linux. Группа, по-видимому, нацелена на широкий спектр организаций, от крупных предприятий до малого и среднего бизнеса, проявляя особую активность в таких секторах, как здравоохранение, образование, информационные технологии, государственное управление, розничная торговля и производство. Кроме того, подобно шифровальщику Royal, BlackSuit придерживается политики не нацеливаться на организации в рамках Содружества Независимых Государств (CIS), что указывает на стратегический выбор жертв для максимизации воздействия.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
BlackSuit — вымогатель, активно использующийся с середины 2023 года, применяет тактику двойного шантажа, включающую как шифрование данных, так и эксфильтрацию, и в первую очередь нацелен на здравоохранение, образование и критические отрасли. Он распространяется через зараженные вложения электронной почты, торрент-файлы, вредоносную рекламу и троянские программы, используя распространенные векторы фишинга и эксплуатируя такие фреймворки, как Metasploit. ВПО быстро шифрует файлы на всех доступных томах и удаляет теневые копии томов (Volume Shadow Copies), чтобы затруднить восстановление, оставляя адаптированные выкупные записки в зависимости от операционной системы.
-----
BlackSuit ransomware появился примерно в апреле-мае 2023 года как значительная киберугроза, в первую очередь сосредоточенная на многогранных тактиках шантажа, которые включают как шифрование данных, так и эксфильтрацию. Группа действует в частном порядке без публичных аффилиаций и особенно нацелена на организации в секторах здравоохранения и образования, а также в других критически важных отраслях. Её технические характеристики демонстрируют заметные сходства с Royal ransomware, особенно в механизмах, используемых для шифрования и параметрах командной строки.
Методы доставки BlackSuit ransomware разнообразны и используют несколько распространённых векторов. Заражённые вложения в электронной почте являются основным методом распространения, при этом вредоносные ссылки или макросы, встроенные во вложения, запускают выполнение ransomware при взаимодействии с ними пользователями. Кроме того, ransomware может быть скрыт в торрент-файлах, которые часто используются для однорангового обмена файлами. Ещё один метод включает вредоносную рекламу (malvertising), где вредоносные рекламные объявления перенаправляют пользователей на скомпрометированные веб-сайты, автоматически загружающие ransomware. Кроме того, BlackSuit может быть доставлен через троянские программы, которые являются обманными программами, предназначенными для загрузки различных форм ВПО, включая ransomware, часто распространяемые через фишинговые электронные письма или поддельные обновления программного обеспечения.
BlackSuit — это ВПО-шифровальщик, совместимый с операционными системами Windows и Linux. Векторы атак часто основаны на схемах фишинга или фреймворках эксплуатации сторонних систем, таких как Empire, Metasploit и Cobalt Strike. Процесс шифрования вредоносного ПО отличается высокой скоростью: он быстро обрабатывает файлы на всех доступных томах после получения доступа к информации о локальных логических дисках. Для дальнейшего подрыва усилий по восстановлению он удаляет теневые копии томов (VSS) с использованием скрытых команд оболочки.
Заметки с требованиями выкупа оставляются в папках, содержащих зашифрованные файлы, с небольшой разницей в соглашениях об именовании для систем Windows и Linux: «README.BlackSuit.txt» для Windows и «README.blacksuit.txt» для Linux. Группа, по-видимому, нацелена на широкий спектр организаций, от крупных предприятий до малого и среднего бизнеса, проявляя особую активность в таких секторах, как здравоохранение, образование, информационные технологии, государственное управление, розничная торговля и производство. Кроме того, подобно шифровальщику Royal, BlackSuit придерживается политики не нацеливаться на организации в рамках Содружества Независимых Государств (CIS), что указывает на стратегический выбор жертв для максимизации воздействия.
#ParsedReport #CompletenessMedium
26-06-2026
From CI/CD to Cloud Data: How Shai Hulud Persistence Leads to Redshift Breach
https://www.fortinet.com/blog/threat-research/from-ci-cd-to-cloud-data-how-shai-hulud-persistence-leads-to-redshift-breach
Report completeness: Medium
Actors/Campaigns:
Teampcp
Mini_shai-hulud
Threats:
Shai-hulud
Supply_chain_technique
Credential_harvesting_technique
Victims:
Organizations with modern ci or cd pipelines, Cloud infrastructure, Data warehouses
Industry:
Healthcare
TTPs:
Tactics: 9
Technics: 12
IOCs:
IP: 2
Soft:
Jenkins, Kubernetes, curl, Ubuntu, PostgreSQL, Boto3
Functions:
GetClusterCredentials, GetCallerIdentity, CreateUser, CreateAccessKey, GetSecretValue, ListSecrets, GetSendQuota, GetIdentityVerificationAttributes, SES
Win API:
GetObject, DeleteObject
Languages:
python, cpython
26-06-2026
From CI/CD to Cloud Data: How Shai Hulud Persistence Leads to Redshift Breach
https://www.fortinet.com/blog/threat-research/from-ci-cd-to-cloud-data-how-shai-hulud-persistence-leads-to-redshift-breach
Report completeness: Medium
Actors/Campaigns:
Teampcp
Mini_shai-hulud
Threats:
Shai-hulud
Supply_chain_technique
Credential_harvesting_technique
Victims:
Organizations with modern ci or cd pipelines, Cloud infrastructure, Data warehouses
Industry:
Healthcare
TTPs:
Tactics: 9
Technics: 12
IOCs:
IP: 2
Soft:
Jenkins, Kubernetes, curl, Ubuntu, PostgreSQL, Boto3
Functions:
GetClusterCredentials, GetCallerIdentity, CreateUser, CreateAccessKey, GetSecretValue, ListSecrets, GetSendQuota, GetIdentityVerificationAttributes, SES
Win API:
GetObject, DeleteObject
Languages:
python, cpython
Fortinet Blog
From CI/CD to Cloud Data: How Shai Hulud Persistence Leads to Redshift Breach
See how Shai Hulud-linked CI/CD compromise exposed Jenkins credentials, enabled AWS escalation, and led to Redshift breach activity detected by FortiCNAPP…
CTT Report Hub
#ParsedReport #CompletenessMedium 26-06-2026 From CI/CD to Cloud Data: How Shai Hulud Persistence Leads to Redshift Breach https://www.fortinet.com/blog/threat-research/from-ci-cd-to-cloud-data-how-shai-hulud-persistence-leads-to-redshift-breach Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания Shai Hulud по компрометации Цепочки поставок, связанная с злоумышленником TeamPCP, нацелена на конвейеры CI/CD путем внедрения вредоносных пакетов в репозитории npm и PyPI, что облегчает извлечение учетных данных сборки, таких как токены GitHub и AWS. Злоумышленники используют эти учетные данные для повышения привилегий в облачных средах, выполняя несанкционированную эксфильтрацию данных из Amazon Redshift и манипулирование ролями AWS IAM. Их тактика включала создание пользователей с привилегиями, проведение разведки сети и использование сложных методов эксфильтрации данных через API данных Redshift, что указывает на серьезный риск для организаций, использующих Облачные сервисы.
-----
Кампания Shai Hulud в цепочке поставок связана с злоумышленником TeamPCP.
Это включает внедрение вредоносных пакетов в репозитории npm и PyPI, которые выполняются при установке или во время задач CI.
Вредоносные коды из этих пакетов собирают учетные данные для сборки, включая токены GitHub, учетные данные AWS и секреты Kubernetes.
В мае 2026 года был эксплуатирован бегунок Jenkins CI/CD, что привело к повышению привилегий и несанкционированному извлечению данных из Amazon Redshift.
Доступ был получен через отравленные зависимости сборки, что позволило переместиться в производственную облачную инфраструктуру.
Атакующие использовали тактики из плейбука Shai Hulud, включая повторное использование украденных учетных данных для развертывания дополнительных вредоносных пакетов.
Они создали нового пользователя IAM «cloudops-monitor» с административными привилегиями и провели сетевую разведку.
Контроли доступа были изменены, а контролируемые атакующим группы безопасности были развернуты для поддержания foothold.
Злоумышленники получили доступ к метаданным экземпляра с компрометированного EC2-экземпляра и злоупотребили ролью Jenkins для доступа к ресурсам AWS.
Тактики эскалации включали создание пользователей IAM и настройку широких групп безопасности доступа.
Они выполняли инвазивные запросы к базам данных Redshift, используя сложные техники эксфильтрации.
Высокие объёмы активности при извлечении данных указывали на масштабный сбор информации, а не на рутинные проверки.
Несанкционированное использование учетных данных экземпляра с внешних IP-адресов указывает на серьезные проблемы безопасности.
Инцидент подчеркивает уязвимости в процессах CI/CD и облачных интеграциях, что требует применения передовых мер защиты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания Shai Hulud по компрометации Цепочки поставок, связанная с злоумышленником TeamPCP, нацелена на конвейеры CI/CD путем внедрения вредоносных пакетов в репозитории npm и PyPI, что облегчает извлечение учетных данных сборки, таких как токены GitHub и AWS. Злоумышленники используют эти учетные данные для повышения привилегий в облачных средах, выполняя несанкционированную эксфильтрацию данных из Amazon Redshift и манипулирование ролями AWS IAM. Их тактика включала создание пользователей с привилегиями, проведение разведки сети и использование сложных методов эксфильтрации данных через API данных Redshift, что указывает на серьезный риск для организаций, использующих Облачные сервисы.
-----
Кампания Shai Hulud в цепочке поставок связана с злоумышленником TeamPCP.
Это включает внедрение вредоносных пакетов в репозитории npm и PyPI, которые выполняются при установке или во время задач CI.
Вредоносные коды из этих пакетов собирают учетные данные для сборки, включая токены GitHub, учетные данные AWS и секреты Kubernetes.
В мае 2026 года был эксплуатирован бегунок Jenkins CI/CD, что привело к повышению привилегий и несанкционированному извлечению данных из Amazon Redshift.
Доступ был получен через отравленные зависимости сборки, что позволило переместиться в производственную облачную инфраструктуру.
Атакующие использовали тактики из плейбука Shai Hulud, включая повторное использование украденных учетных данных для развертывания дополнительных вредоносных пакетов.
Они создали нового пользователя IAM «cloudops-monitor» с административными привилегиями и провели сетевую разведку.
Контроли доступа были изменены, а контролируемые атакующим группы безопасности были развернуты для поддержания foothold.
Злоумышленники получили доступ к метаданным экземпляра с компрометированного EC2-экземпляра и злоупотребили ролью Jenkins для доступа к ресурсам AWS.
Тактики эскалации включали создание пользователей IAM и настройку широких групп безопасности доступа.
Они выполняли инвазивные запросы к базам данных Redshift, используя сложные техники эксфильтрации.
Высокие объёмы активности при извлечении данных указывали на масштабный сбор информации, а не на рутинные проверки.
Несанкционированное использование учетных данных экземпляра с внешних IP-адресов указывает на серьезные проблемы безопасности.
Инцидент подчеркивает уязвимости в процессах CI/CD и облачных интеграциях, что требует применения передовых мер защиты.