CTT Report Hub
3.39K subscribers
9.59K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessLow
26-06-2026

Multiple @immobiliarelabs Backstage Plugins Compromised on npm

https://www.stepsecurity.io/blog/immobiliarelabs-npm-packages-compromised

Report completeness: Low

Threats:
Miasma
Credential_harvesting_technique
Supply_chain_technique

Victims:
Software development, Platform engineering teams, Technology

Geo:
Italian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1027, T1059.007, T1070.004, T1105, T1140, T1195.001, T1528, T1546, T1552.001, have more...

IOCs:
File: 5
Coin: 1

Soft:
Active Directory, Node.js, Kubernetes, HashiCorp Vault, Bitwarden, 1Password, Claude, OpenAI, curl

Algorithms:
aes-128-gcm, sha512, zip

Languages:
javascript

Links:
https://github.com/immobiliare/backstage-plugin-gitlab/issues/1052
CTT Report Hub
#ParsedReport #CompletenessLow 26-06-2026 Multiple @immobiliarelabs Backstage Plugins Compromised on npm https://www.stepsecurity.io/blog/immobiliarelabs-npm-packages-compromised Report completeness: Low Threats: Miasma Credential_harvesting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
26 июня 2026 года несколько пакетов npm от Immobiliare Labs были скомпрометированы, содержащие вредоносную нагрузку, которая выполняется во время установки через хук binding.gyp. Нагрузка была создана для сбора учетных данных из различных источников, используя шифр Цезаря ROT-2 и AES-128-GCM для расшифровки, а также имея возможность изменять конфигурации ИИ-ассистентов для программирования. Механизм атаки указывает на потенциал самораспространения, позволяя модифицированным пакетам публиковаться обратно в npm или PyPI с использованием украденных учетных данных.
-----

26 июня 2026 года в нескольких пакетах npm, поддерживаемых Immobiliare Labs, включая различные плагины backstage, был обнаружен вредоносный код, выполняемый в процессе установки npm через хук binding.gyp. Затронутыми пакетами были конкретно @immobiliarelabs/backstage-plugin-gitlab, @immobiliarelabs/backstage-plugin-gitlab-backend, @immobiliarelabs/backstage-plugin-ldap-auth и @immobiliarelabs/backstage-plugin-ldap-auth-backend. Вредоносный код предназначен для извлечения конфиденциальных учетных данных из нескольких источников, включая секреты GitHub Actions, учетные данные облачных провайдеров и различные токены, с целью сохранения в конфигурациях ИИ-ассистентов для программирования.

Статический анализ @immobiliarelabs/backstage-plugin-gitlab версии 2.1.2 выявил новый файл index.js размером 5 МБ и файл binding.gyp, которых не было в чистой версии 2.1.1. Выполнение полезной нагрузки основано на шифре Цезаря ROT-2, обернутом в блок eval, а также на расшифровке AES-128-GCM для двух зашифрованных блоков. После расшифровки эти блоки выполняют две основные функции: загрузку среды выполнения (Bun) из релизов GitHub и выполнение полезной нагрузки для сбора учетных записей, которая дополнительно маскируется для обхода методов обнаружения, преимущественно связанных с Node.js.

Механизм атаки предоставляет широкие возможности для сбора учетных записей, нацеленный на ценные учетные данные, такие как токены GitHub, учетные данные AWS и Google Cloud Platform, токены Kubernetes, а также секреты из Менеджеров паролей и HashiCorp Vault. Кроме того, полезная нагрузка содержит функциональность для изменения конфигурационных файлов популярных ИИ-ассистентов для программирования, что является еще одним вектором закрепления в скомпрометированных средах.

Более того, вредоносный код указывает на возможности, соответствующие самораспространяющемуся червю Цепочки поставок, поскольку он может публиковать изменённые пакеты обратно в npm или PyPI с использованием украденных учётных данных реестра. В плане обнаружения и смягчения последствий инструмент Harden-Runner способен выявлять аномальное поведение процессов, связанное с работой полезной нагрузки, тогда как защитные функции, такие как период ожидания (cooldown) защищённого реестра npm, помогают предотвратить распространение недавно опубликованных вредоносных пакетов. Этот период ожидания эффективно блокирует использование недавно скомпрометированных версий в конвейерах непрерывной интеграции или развёртывания, что является важным оборонительным шагом, предотвратившим воздействие на клиентов Secure Registry в ходе данного инцидента.

Инцидент демонстрирует важность поддержания бдительных практик безопасности в цепочке поставок программного обеспечения, особенно в мониторинге целостности распространения пакетов с открытым исходным кодом и обеспечении быстрого обнаружения вредоносной активности.
#ParsedReport #CompletenessHigh
25-06-2026

Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances

https://www.welivesecurity.com/en/eset-research/gamaredon-2025-leveraging-tunnels-workers-dead-drops-new-alliances/

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage, propaganda)
Turla
Uac0099
Sandworm

Threats:
Spear-phishing_technique
Pterosetup
Pterovdoor
Pteropsdoor
Invisimole
Smuggling_technique
Pterosand
Pterodee
Pterocache
Pterodum
Pteroodd
Pteroeffigy
Pteropaste
Pterolnk
Pteropsload
Pterobox
Dead_drop_technique
Rclone_tool
Litterdrifter
Pterogram
Pteroscout
Pterosteal
Pterox
Pterodespair
Pterotickle
Pterographin
Pterostew
Pterosig
Pterovload
Pterobleed
Pterocdrop
Pteroclone
Cookie_stealer
Pterocookie
Pterodash
Pterodig
Pterodoc
Pteropshell
Pteropowder
Pterorisk
Pteroscreen
Burntcigar
Pterosocks
Pterotemplate
Revbshell

Victims:
Governmental institutions, Military institutions, Ukraine

Industry:
Military, Government

Geo:
Crimea, Russian, Ukraine, Russia, Ukrainian

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1008, T1027, T1027.006, T1036, T1059.001, T1059.005, T1070.004, T1090.002, T1091, T1102.001, have more...

IOCs:
Domain: 730
Hash: 129
IP: 57
Url: 4

Soft:
WinRAR, Dropbox, trycloudflare, supabase, Telegram, mastodon, IndexedDB, Outlook

Wallets:
wassabi

Algorithms:
sha1

Languages:
vbscript, powershell

Links:
https://github.com/eset/malware-ioc/tree/master/gamaredon
CTT Report Hub
#ParsedReport #CompletenessHigh 25-06-2026 Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances https://www.welivesecurity.com/en/eset-research/gamaredon-2025-leveraging-tunnels-workers-dead-drops-new-alliances/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группировка хакерская Gamaredon APT, нацеленная на украинские государственные и военные структуры, усилила свои усилия по кибершпионажу в 2025 году, запустив 35 Целевой фишинг кампаний и расширив свой набор инструментов шестью новыми PowerShell-инструментами, включая PteroPaste для доставки полезной нагрузки. Группировка маскирует свою инфраструктуру управления с использованием легитимных сервисов и эксплуатирует уязвимость CVE-2025-8088 в WinRAR для закрепления. Их операции включают сложные методы «мертвой передачи» для распространения команд и обновленные программы для кражи файлов, предназначенные для эксфильтрация данных через облачные хранилища.
-----

Анализ хакерской группировки Gamaredon APT, проведенный исследователями ESET, выявляет значительные изменения в их деятельности на протяжении 2025 года, сохраняя фокус на кибершпионаже против украинских правительственных и военных целей. Эта постоянная угроза эволюционировала как в технике, так и в инфраструктуре, продолжая эксплуатировать геополитические амбиции России. За год Gamaredon осуществил 35 кампаний целевого фишинга, преимущественно во второй половине года, используя все более масштабные кампании с взаимосвязанными обновлениями в своем инструментарии.

В этот период Gamaredon улучшила свои ранее известные инструменты, а также представила шесть новых инструментов на базе PowerShell, ориентированных на доставку полезной нагрузки и перемещение внутри компании. Среди них выделяется PteroPaste, который интегрирует функциональность для загрузки, оружия на USB-носителях и оркестрации закрепления. Группа также возродила старый инструмент для создания вредоносных скриптов на VBScript под названием PteroSetup, теперь переработанный для внедрения вредоносных полезной нагрузки в看似 легитимные установщики программного обеспечения. В сочетании с тактиками целевого фишинга, использующими вложение файлов или Внедрение данных в HTML, оперативная активность резко возросла в середине 2025 года, что позволило группе нанести значительные нарушения безопасности.

Для защиты своей инфраструктуры управления (C&C) Gamaredon всё чаще маскировал свою деятельность, используя различные легитимные онлайн-сервисы, включая туннели, динамический DNS и облачные платформы. Их методы включали передовые угрозы, такие как эксплуатация уязвимости CVE-2025-8088 в WinRAR, которая позволяла их загрузчику осуществлять закрепление, размещая себя в папке автозагрузки жертвы. Инфраструктура группы эволюционировала, чтобы скрываться за сервисами, такими как Cloudflare и devtunnel от Microsoft, что способствовало созданию более устойчивой структуры C&C, которую всё сложнее разрушить.

Ключевым аспектом операций Gamaredon является их инновационное использование методов «мёртвой почты» (dead drop), стратегии, заимствованной из традиционного шпионажа. Распространяя информацию о C&C-серверах на легитимных платформах, таких как Социальные сети и публичные мессенджеры, они позволяют своему ВПО получать операционные инструкции, не раскрывая напрямую своих злонамеренных намерений. Их стратегия также распространилась на эксфильтрацию данных: обновленные программы для кражи файлов теперь способны использовать облачные хранилища для передачи украденной информации, что позволяет маскировать эти действия и снижает потребность в выделенной инфраструктуре.

В заключение, операции Gamaredon в 2025 году отражают отточенный и адаптивный ландшафт киберугроз, который в значительной степени опирается на инновационное использование легитимных сервисов и последовательную эволюцию их тактик и инструментов. В условиях продолжающихся конфликтов на Украине их целевые шпионские активности, как ожидается, сохранятся без изменений.
#ParsedReport #CompletenessMedium
28-06-2026

What Is BlackSuit Ransomware & How Could It Impact Your Organization?

https://cyberint.com/blog/dark-web/what-is-blacksuit-ransomware-and-how-could-it-impact-your-organization/

Report completeness: Medium

Threats:
Blacksuit_ransomware
Royal_ransomware
Cobalt_strike_tool
Empire_loader
Metasploit_tool
Shadow_copies_delete_technique
Vssadmin_tool

Victims:
Healthcare, Education, Information technology, Government, Retail, Manufacturing, Large enterprises, Small and medium sized businesses

Industry:
Retail, Government, Healthcare, Education

TTPs:
Tactics: 3
Technics: 2

IOCs:
File: 1
Hash: 20

Soft:
Linux

Algorithms:
md5, sha256, sha1

Win API:
EXE, BlackSuit
CTT Report Hub
#ParsedReport #CompletenessMedium 28-06-2026 What Is BlackSuit Ransomware & How Could It Impact Your Organization? https://cyberint.com/blog/dark-web/what-is-blacksuit-ransomware-and-how-could-it-impact-your-organization/ Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BlackSuit — вымогатель, активно использующийся с середины 2023 года, применяет тактику двойного шантажа, включающую как шифрование данных, так и эксфильтрацию, и в первую очередь нацелен на здравоохранение, образование и критические отрасли. Он распространяется через зараженные вложения электронной почты, торрент-файлы, вредоносную рекламу и троянские программы, используя распространенные векторы фишинга и эксплуатируя такие фреймворки, как Metasploit. ВПО быстро шифрует файлы на всех доступных томах и удаляет теневые копии томов (Volume Shadow Copies), чтобы затруднить восстановление, оставляя адаптированные выкупные записки в зависимости от операционной системы.
-----

BlackSuit ransomware появился примерно в апреле-мае 2023 года как значительная киберугроза, в первую очередь сосредоточенная на многогранных тактиках шантажа, которые включают как шифрование данных, так и эксфильтрацию. Группа действует в частном порядке без публичных аффилиаций и особенно нацелена на организации в секторах здравоохранения и образования, а также в других критически важных отраслях. Её технические характеристики демонстрируют заметные сходства с Royal ransomware, особенно в механизмах, используемых для шифрования и параметрах командной строки.

Методы доставки BlackSuit ransomware разнообразны и используют несколько распространённых векторов. Заражённые вложения в электронной почте являются основным методом распространения, при этом вредоносные ссылки или макросы, встроенные во вложения, запускают выполнение ransomware при взаимодействии с ними пользователями. Кроме того, ransomware может быть скрыт в торрент-файлах, которые часто используются для однорангового обмена файлами. Ещё один метод включает вредоносную рекламу (malvertising), где вредоносные рекламные объявления перенаправляют пользователей на скомпрометированные веб-сайты, автоматически загружающие ransomware. Кроме того, BlackSuit может быть доставлен через троянские программы, которые являются обманными программами, предназначенными для загрузки различных форм ВПО, включая ransomware, часто распространяемые через фишинговые электронные письма или поддельные обновления программного обеспечения.

BlackSuit — это ВПО-шифровальщик, совместимый с операционными системами Windows и Linux. Векторы атак часто основаны на схемах фишинга или фреймворках эксплуатации сторонних систем, таких как Empire, Metasploit и Cobalt Strike. Процесс шифрования вредоносного ПО отличается высокой скоростью: он быстро обрабатывает файлы на всех доступных томах после получения доступа к информации о локальных логических дисках. Для дальнейшего подрыва усилий по восстановлению он удаляет теневые копии томов (VSS) с использованием скрытых команд оболочки.

Заметки с требованиями выкупа оставляются в папках, содержащих зашифрованные файлы, с небольшой разницей в соглашениях об именовании для систем Windows и Linux: «README.BlackSuit.txt» для Windows и «README.blacksuit.txt» для Linux. Группа, по-видимому, нацелена на широкий спектр организаций, от крупных предприятий до малого и среднего бизнеса, проявляя особую активность в таких секторах, как здравоохранение, образование, информационные технологии, государственное управление, розничная торговля и производство. Кроме того, подобно шифровальщику Royal, BlackSuit придерживается политики не нацеливаться на организации в рамках Содружества Независимых Государств (CIS), что указывает на стратегический выбор жертв для максимизации воздействия.
#ParsedReport #CompletenessMedium
26-06-2026

From CI/CD to Cloud Data: How Shai Hulud Persistence Leads to Redshift Breach

https://www.fortinet.com/blog/threat-research/from-ci-cd-to-cloud-data-how-shai-hulud-persistence-leads-to-redshift-breach

Report completeness: Medium

Actors/Campaigns:
Teampcp
Mini_shai-hulud

Threats:
Shai-hulud
Supply_chain_technique
Credential_harvesting_technique

Victims:
Organizations with modern ci or cd pipelines, Cloud infrastructure, Data warehouses

Industry:
Healthcare

TTPs:
Tactics: 9
Technics: 12

IOCs:
IP: 2

Soft:
Jenkins, Kubernetes, curl, Ubuntu, PostgreSQL, Boto3

Functions:
GetClusterCredentials, GetCallerIdentity, CreateUser, CreateAccessKey, GetSecretValue, ListSecrets, GetSendQuota, GetIdentityVerificationAttributes, SES

Win API:
GetObject, DeleteObject

Languages:
python, cpython
CTT Report Hub
#ParsedReport #CompletenessMedium 26-06-2026 From CI/CD to Cloud Data: How Shai Hulud Persistence Leads to Redshift Breach https://www.fortinet.com/blog/threat-research/from-ci-cd-to-cloud-data-how-shai-hulud-persistence-leads-to-redshift-breach Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Shai Hulud по компрометации Цепочки поставок, связанная с злоумышленником TeamPCP, нацелена на конвейеры CI/CD путем внедрения вредоносных пакетов в репозитории npm и PyPI, что облегчает извлечение учетных данных сборки, таких как токены GitHub и AWS. Злоумышленники используют эти учетные данные для повышения привилегий в облачных средах, выполняя несанкционированную эксфильтрацию данных из Amazon Redshift и манипулирование ролями AWS IAM. Их тактика включала создание пользователей с привилегиями, проведение разведки сети и использование сложных методов эксфильтрации данных через API данных Redshift, что указывает на серьезный риск для организаций, использующих Облачные сервисы.
-----

Кампания Shai Hulud в цепочке поставок связана с злоумышленником TeamPCP.

Это включает внедрение вредоносных пакетов в репозитории npm и PyPI, которые выполняются при установке или во время задач CI.

Вредоносные коды из этих пакетов собирают учетные данные для сборки, включая токены GitHub, учетные данные AWS и секреты Kubernetes.

В мае 2026 года был эксплуатирован бегунок Jenkins CI/CD, что привело к повышению привилегий и несанкционированному извлечению данных из Amazon Redshift.

Доступ был получен через отравленные зависимости сборки, что позволило переместиться в производственную облачную инфраструктуру.

Атакующие использовали тактики из плейбука Shai Hulud, включая повторное использование украденных учетных данных для развертывания дополнительных вредоносных пакетов.

Они создали нового пользователя IAM «cloudops-monitor» с административными привилегиями и провели сетевую разведку.

Контроли доступа были изменены, а контролируемые атакующим группы безопасности были развернуты для поддержания foothold.

Злоумышленники получили доступ к метаданным экземпляра с компрометированного EC2-экземпляра и злоупотребили ролью Jenkins для доступа к ресурсам AWS.

Тактики эскалации включали создание пользователей IAM и настройку широких групп безопасности доступа.

Они выполняли инвазивные запросы к базам данных Redshift, используя сложные техники эксфильтрации.

Высокие объёмы активности при извлечении данных указывали на масштабный сбор информации, а не на рутинные проверки.

Несанкционированное использование учетных данных экземпляра с внешних IP-адресов указывает на серьезные проблемы безопасности.

Инцидент подчеркивает уязвимости в процессах CI/CD и облачных интеграциях, что требует применения передовых мер защиты.
#ParsedReport #CompletenessMedium
25-06-2026

Threat Intelligence Report: Nation-State Targeting of Water Systems 2024–2026

https://dti.domaintools.com/research/threat-intelligence-report-nation-state-targeting-of-water-systems-2024-2026

Report completeness: Medium

Actors/Campaigns:
Irgc (motivation: sabotage)
Cyberav3nger (motivation: sabotage)
Cyberarmyofrussia (motivation: hacktivism, propaganda)
Sandworm (motivation: hacktivism)
Volt_typhoon

Threats:
Blackbasta
Dropbear_tool
Lolbin_technique
Ntdsutil_tool
Portproxy_tool
Credential_dumping_technique

Victims:
Water and wastewater systems, Municipal water systems, Dam systems, Critical infrastructure, Polish water treatment plants

Industry:
Energy, Transport, Ics, Healthcare, Foodtech, Government, Critical_infrastructure, Logistic, Chemical

Geo:
Iran, Polish, America, Moscow, American, United kingdom, Norway, Belarusian, Poland, Ukraine, Russian, Israeli, Russia, Israel, Taiwan, Iranian, China

TTPs:
Tactics: 11
Technics: 20

IOCs:
IP: 8
File: 2
Command: 1
Path: 2

Soft:
Telegram, Active Directory

Win API:
In

Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessMedium 25-06-2026 Threat Intelligence Report: Nation-State Targeting of Water Systems 2024–2026 https://dti.domaintools.com/research/threat-intelligence-report-nation-state-targeting-of-water-systems-2024-2026 Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберакторы, представляющие государства, особенно из Ирана, России и Китая, всё чаще атакуют системы водоснабжения и водоотведения США из-за их стратегической важности и уязвимостей. Иранские группы используют слабую аутентификацию в системах управления, тогда как российские акторы занимаются прямым саботажем, манипулируя системами управления водоснабжением для нагнетания страха среди населения. Инициатива Китая Volt Typhoon сосредоточена на предварительном размещении внутри критической инфраструктуры, что подчеркивает системные уязвимости, позволяющие осуществлять контроль над ключевыми компонентами, такими как насосы и клапаны.
-----

Системы водоснабжения и водоотведения становятся всё более частыми целями киберакторов, связанных с государствами, из-за их стратегической важности и уязвимости, усугубляемой низкими инвестициями и слабой безопасностью операционных технологий (OT). Эти системы представляют собой фокусные точки для психологических и физических сбоев, которые могут повлиять на общественное здоровье и доверие граждан к правительству. Заметная недавняя активность подчеркивает участие акторов, связанных с Ираном, Россией и Китаем, которые эксплуатируют уязвимости в системах, особенно в программируемых логических контроллерах (PLC) и человеко-машинных интерфейсах (HMI), подверженных воздействию интернета.

Иранские киберакторы, в частности связанные с Корпусом стражей исламской революции (IRGC), осуществили вторжения, используя слабые практики аутентификации, для нацеливания на системы управления в секторах водоснабжения и очистки сточных вод США. Сообщения CISA указывают на закономерность эксплуатации доступных интерфейсов ПЛК/ЧПЧ вместо развертывания сложного ВПО, что демонстрирует тактику гибридной войны, объединяющую идеологические сообщения с операционным срывом. Их деятельность варьируется от манипуляции публичным образом до прямых атак, направленных на демонстрацию возможностей.

С другой стороны, группы, связанные с Россией, проявляют склонность к более прямым диверсиям. Среди инцидентов — удалённое вмешательство в системы управления водоснабжением, приведшее к переполнению и сбоям, что подтверждает их стратегию нагнетания общественного страха и проверки устойчивости критической инфраструктуры в странах, ориентированных на НАТО. Участие таких групп, как Киберармия Возрождённой России, связанной с известной группировкой Sandworm, указывает на систематическое использование кибервзломов как части кампаний гибридной войны, направленных на дестабилизацию.

Китай через инициативу Volt Typhoon реализует более стратегический подход, в значительной степени сосредоточенный на предварительном размещении в критической инфраструктуре США, включая системы водоснабжения. Их техника часто основывается на разведке и поддержании доступа для выполнения деструктивных или разрушительных действий в ходе потенциальных будущих конфликтов.

Знаменитый случай в Польше в 2025 году сообщил о взломах на нескольких объектах очистки воды, где злоумышленники использовали слабые пароли и открытые элементы управления для изменения операционных параметров, подчеркивая системные уязвимости во всех секторах водоснабжения. Это показывает, что даже малоизвестные атаки могут представлять угрозу национальной безопасности, особенно учитывая критическую логистическую роль Польши для НАТО.

Общие уязвимости, эксплуатируемые в ходе этих инцидентов, демонстрируют, что киберзлоумышленники могут получить контроль над критическими компонентами, такими как насосы, клапаны и системы дозирования химикатов. Сектор водоснабжения США, включающий около 170 000 систем, не имеет стандартизации и демонстрирует непоследовательный уровень зрелости киберзащиты, что делает его особенно уязвимым для эксплуатации со стороны злоумышленников, связанных с государствами.
#ParsedReport #CompletenessMedium
26-06-2026

Coinbase Cartel: behind the noise of a prolific leak operation

https://www.intrinsec.com/wp-content/uploads/2026/06/TLP-CLEAR-20260626-Coinbase-Cartel.pdf

Report completeness: Medium

Actors/Campaigns:
Coinbasecartel
Shinyhunters

Threats:
Supply_chain_technique
Xrdp_tool
Rdp_recognizer_tool
Residential_proxy_technique

Victims:
Real estate, Retail, Health, Genetics, Software, Technology, Telecommunications, United states, France, United arab emirates, have more...

Industry:
Retail, Software_development, Government, Energy, Financial, Entertainment, Foodtech, Healthcare, Education, Logistic, Telco

Geo:
Netherlands, Russia, United arab emirates, Arab emirates, United states, Southkorea, Peru, Usa, France, Canada

TTPs:
Tactics: 2
Technics: 13

IOCs:
Url: 3
IP: 52
File: 1
Coin: 1
Domain: 3

Soft:
орке бу

Wallets:
coinbase

Platforms:
cross-platform
CTT Report Hub
#ParsedReport #CompletenessMedium 26-06-2026 Coinbase Cartel: behind the noise of a prolific leak operation https://www.intrinsec.com/wp-content/uploads/2026/06/TLP-CLEAR-20260626-Coinbase-Cartel.pdf Report completeness: Medium Actors/Campaigns: Coinbasecartel…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группировка Coinbase Cartel — это киберкриминальная группировка, активная с сентября 2025 года, которая в первую очередь нацелена на организации в США и Франции с помощью атак на Цепочку поставок. Они полагаются на брокеров первоначального доступа для проникновения в сети и используют такие инструменты, как утилита Ultimate RDP для брутфорса, чтобы проводить быстрые атаки брутфорса на службы Протокола удаленного рабочего стола, стремясь к краже учетных данных. Их структурированный подход к операциям, сотрудничество в форумах киберкриминала и фокус на эксплуатации уязвимостей вызывают обеспокоенность в отношении общей безопасности организации.
-----

Группировка Coinbase Cartel — это киберпреступная хакерская группировка, классифицируемая как группировка, занимающаяся вымогательством, которая начала свою деятельность в сентябре 2025 года. Они атаковали более 140 жертв в различных секторах, при этом особое внимание уделяли организациям в Соединенных Штатах и Франции. Метод работы картеля, по-видимому, включает использование атак на Цепочку поставок, что особенно ярко проявилось, когда несколько жертв из сектора недвижимости ОАЭ подверглись атакам в короткий промежуток времени. Имеются указания на то, что группировка сотрудничает с брокерами первоначального доступа (IAB), приобретая легитимный доступ к сетям, который, возможно, изначально был получен через сторонние сервисы, а не путем прямого использования учетных данных, украденных инфостилерами.

Ключевыми участниками этой операции являются злоумышленник, известный как g77, который активно участвует в киберкриминальных форумах, чтобы искать партнеров для доступа к учетным записям эл. почты и продвижения использования существующего ВПО и инструментов брутфорса. Одним из наиболее часто упоминаемых инструментов является утилита Ultimate RDP bruteforcer, способная выполнять быстрые атаки брутфорса на службы RDP (Протокол удаленного рабочего стола). Этот инструмент предназначен для одновременной атаки на несколько систем, обеспечивая высокую скорость попыток подбора паролей и, в идеале, получение учетных данных, которые затем могут быть проданы или использованы для организации дальнейших атак. Интерес злоумышленника к этому инструменту указывает на потенциальное использование его в своих операциях для сбора действительных учетных данных на множестве целей.

Группировка Coinbase Cartel также связана с конкретным IP-адресом, связанным с более ранними атаками, что указывает на то, что их деятельность может быть усилена за счет применения системного подхода к нацеливанию на службы RDP, тем самым эксплуатируя уязвимости в конфигурациях удаленного доступа организаций. Их постоянное присутствие на форумах киберкриминала и открытые призывы к сотрудничеству с другими преступниками свидетельствуют о структурированном подходе к расширению их операционных возможностей.

В заключение, деятельность Coinbase Cartel характеризуется сочетанием оппортунистических атак на цепочку поставок, сотрудничества с другими киберпреступниками и использования сложных инструментов для массовой кражи учетных данных. Их действия вызывают обеспокоенность в связи с растущей сложностью операций, связанных с программным обеспечением-вымогателем и утечками данных, а также с более широкими последствиями для безопасности организаций в различных секторах. Несмотря на недавнее снижение заявленного числа жертв, потенциал для аналогичных групп, перенимающих их методы, представляет собой постоянную угрозу в киберпространстве.
#ParsedReport #CompletenessHigh
24-06-2026

LoaderClient Malware Analysis: How WeedHack Uses Ethereum Smart Contracts for Resilient C2 Infrastructure

https://darkatlas.io/blog/loaderclient-malware-analysis-how-weedhack-uses-ethereum-smart-contracts-for-resilient-c2-infrastructure

Report completeness: High

Threats:
Loaderclient
Weedhack
Etherhiding_technique
Uac_bypass_technique
Seo_poisoning_technique
Zipbomb_technique

Victims:
Minecraft players, Gaming communities, Worldwide

Industry:
Entertainment, Financial

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 35
Hash: 2
Domain: 3
Url: 5
Coin: 1
IP: 1
Path: 3
Registry: 1

Soft:
Minecraft, Discord, Telegram, Steam, Windows Defender, Etherscan

Wallets:
mainnet

Crypto:
ethereum

Algorithms:
lzma, xor, chacha20, md5, sha1, sha256, zip

Functions:
Win32, method_1676, method_44717, method_1674, getDeclaredConstructor, Gson, method_1551, method_1548, getText, RPC, have more...

Win API:
decompress, readFile, getHostname, VirtualProtect, VirtualQuery, TlsGetValue

Win Services:
bits

Languages:
kotlin, java

Platforms:
amd64

YARA: Found