#ParsedReport #CompletenessMedium
28-06-2026
What Is BlackSuit Ransomware & How Could It Impact Your Organization?
https://cyberint.com/blog/dark-web/what-is-blacksuit-ransomware-and-how-could-it-impact-your-organization/
Report completeness: Medium
Threats:
Blacksuit_ransomware
Royal_ransomware
Cobalt_strike_tool
Empire_loader
Metasploit_tool
Shadow_copies_delete_technique
Vssadmin_tool
Victims:
Healthcare, Education, Information technology, Government, Retail, Manufacturing, Large enterprises, Small and medium sized businesses
Industry:
Retail, Government, Healthcare, Education
TTPs:
Tactics: 3
Technics: 2
IOCs:
File: 1
Hash: 20
Soft:
Linux
Algorithms:
md5, sha256, sha1
Win API:
EXE, BlackSuit
28-06-2026
What Is BlackSuit Ransomware & How Could It Impact Your Organization?
https://cyberint.com/blog/dark-web/what-is-blacksuit-ransomware-and-how-could-it-impact-your-organization/
Report completeness: Medium
Threats:
Blacksuit_ransomware
Royal_ransomware
Cobalt_strike_tool
Empire_loader
Metasploit_tool
Shadow_copies_delete_technique
Vssadmin_tool
Victims:
Healthcare, Education, Information technology, Government, Retail, Manufacturing, Large enterprises, Small and medium sized businesses
Industry:
Retail, Government, Healthcare, Education
TTPs:
Tactics: 3
Technics: 2
IOCs:
File: 1
Hash: 20
Soft:
Linux
Algorithms:
md5, sha256, sha1
Win API:
EXE, BlackSuit
Cyberint
What Is BlackSuit Ransomware & How Could It Impact Your Organization?
Introduction to BlackSuit Ransomware The BlackSuit ransomware operation surfaced in early April/May 2023. This group engages in multi-faceted extortion, encrypting and exfiltrating data from victims while hosting public data leak sites for those who do not…
CTT Report Hub
#ParsedReport #CompletenessMedium 28-06-2026 What Is BlackSuit Ransomware & How Could It Impact Your Organization? https://cyberint.com/blog/dark-web/what-is-blacksuit-ransomware-and-how-could-it-impact-your-organization/ Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
BlackSuit — вымогатель, активно использующийся с середины 2023 года, применяет тактику двойного шантажа, включающую как шифрование данных, так и эксфильтрацию, и в первую очередь нацелен на здравоохранение, образование и критические отрасли. Он распространяется через зараженные вложения электронной почты, торрент-файлы, вредоносную рекламу и троянские программы, используя распространенные векторы фишинга и эксплуатируя такие фреймворки, как Metasploit. ВПО быстро шифрует файлы на всех доступных томах и удаляет теневые копии томов (Volume Shadow Copies), чтобы затруднить восстановление, оставляя адаптированные выкупные записки в зависимости от операционной системы.
-----
BlackSuit ransomware появился примерно в апреле-мае 2023 года как значительная киберугроза, в первую очередь сосредоточенная на многогранных тактиках шантажа, которые включают как шифрование данных, так и эксфильтрацию. Группа действует в частном порядке без публичных аффилиаций и особенно нацелена на организации в секторах здравоохранения и образования, а также в других критически важных отраслях. Её технические характеристики демонстрируют заметные сходства с Royal ransomware, особенно в механизмах, используемых для шифрования и параметрах командной строки.
Методы доставки BlackSuit ransomware разнообразны и используют несколько распространённых векторов. Заражённые вложения в электронной почте являются основным методом распространения, при этом вредоносные ссылки или макросы, встроенные во вложения, запускают выполнение ransomware при взаимодействии с ними пользователями. Кроме того, ransomware может быть скрыт в торрент-файлах, которые часто используются для однорангового обмена файлами. Ещё один метод включает вредоносную рекламу (malvertising), где вредоносные рекламные объявления перенаправляют пользователей на скомпрометированные веб-сайты, автоматически загружающие ransomware. Кроме того, BlackSuit может быть доставлен через троянские программы, которые являются обманными программами, предназначенными для загрузки различных форм ВПО, включая ransomware, часто распространяемые через фишинговые электронные письма или поддельные обновления программного обеспечения.
BlackSuit — это ВПО-шифровальщик, совместимый с операционными системами Windows и Linux. Векторы атак часто основаны на схемах фишинга или фреймворках эксплуатации сторонних систем, таких как Empire, Metasploit и Cobalt Strike. Процесс шифрования вредоносного ПО отличается высокой скоростью: он быстро обрабатывает файлы на всех доступных томах после получения доступа к информации о локальных логических дисках. Для дальнейшего подрыва усилий по восстановлению он удаляет теневые копии томов (VSS) с использованием скрытых команд оболочки.
Заметки с требованиями выкупа оставляются в папках, содержащих зашифрованные файлы, с небольшой разницей в соглашениях об именовании для систем Windows и Linux: «README.BlackSuit.txt» для Windows и «README.blacksuit.txt» для Linux. Группа, по-видимому, нацелена на широкий спектр организаций, от крупных предприятий до малого и среднего бизнеса, проявляя особую активность в таких секторах, как здравоохранение, образование, информационные технологии, государственное управление, розничная торговля и производство. Кроме того, подобно шифровальщику Royal, BlackSuit придерживается политики не нацеливаться на организации в рамках Содружества Независимых Государств (CIS), что указывает на стратегический выбор жертв для максимизации воздействия.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
BlackSuit — вымогатель, активно использующийся с середины 2023 года, применяет тактику двойного шантажа, включающую как шифрование данных, так и эксфильтрацию, и в первую очередь нацелен на здравоохранение, образование и критические отрасли. Он распространяется через зараженные вложения электронной почты, торрент-файлы, вредоносную рекламу и троянские программы, используя распространенные векторы фишинга и эксплуатируя такие фреймворки, как Metasploit. ВПО быстро шифрует файлы на всех доступных томах и удаляет теневые копии томов (Volume Shadow Copies), чтобы затруднить восстановление, оставляя адаптированные выкупные записки в зависимости от операционной системы.
-----
BlackSuit ransomware появился примерно в апреле-мае 2023 года как значительная киберугроза, в первую очередь сосредоточенная на многогранных тактиках шантажа, которые включают как шифрование данных, так и эксфильтрацию. Группа действует в частном порядке без публичных аффилиаций и особенно нацелена на организации в секторах здравоохранения и образования, а также в других критически важных отраслях. Её технические характеристики демонстрируют заметные сходства с Royal ransomware, особенно в механизмах, используемых для шифрования и параметрах командной строки.
Методы доставки BlackSuit ransomware разнообразны и используют несколько распространённых векторов. Заражённые вложения в электронной почте являются основным методом распространения, при этом вредоносные ссылки или макросы, встроенные во вложения, запускают выполнение ransomware при взаимодействии с ними пользователями. Кроме того, ransomware может быть скрыт в торрент-файлах, которые часто используются для однорангового обмена файлами. Ещё один метод включает вредоносную рекламу (malvertising), где вредоносные рекламные объявления перенаправляют пользователей на скомпрометированные веб-сайты, автоматически загружающие ransomware. Кроме того, BlackSuit может быть доставлен через троянские программы, которые являются обманными программами, предназначенными для загрузки различных форм ВПО, включая ransomware, часто распространяемые через фишинговые электронные письма или поддельные обновления программного обеспечения.
BlackSuit — это ВПО-шифровальщик, совместимый с операционными системами Windows и Linux. Векторы атак часто основаны на схемах фишинга или фреймворках эксплуатации сторонних систем, таких как Empire, Metasploit и Cobalt Strike. Процесс шифрования вредоносного ПО отличается высокой скоростью: он быстро обрабатывает файлы на всех доступных томах после получения доступа к информации о локальных логических дисках. Для дальнейшего подрыва усилий по восстановлению он удаляет теневые копии томов (VSS) с использованием скрытых команд оболочки.
Заметки с требованиями выкупа оставляются в папках, содержащих зашифрованные файлы, с небольшой разницей в соглашениях об именовании для систем Windows и Linux: «README.BlackSuit.txt» для Windows и «README.blacksuit.txt» для Linux. Группа, по-видимому, нацелена на широкий спектр организаций, от крупных предприятий до малого и среднего бизнеса, проявляя особую активность в таких секторах, как здравоохранение, образование, информационные технологии, государственное управление, розничная торговля и производство. Кроме того, подобно шифровальщику Royal, BlackSuit придерживается политики не нацеливаться на организации в рамках Содружества Независимых Государств (CIS), что указывает на стратегический выбор жертв для максимизации воздействия.
#ParsedReport #CompletenessMedium
26-06-2026
From CI/CD to Cloud Data: How Shai Hulud Persistence Leads to Redshift Breach
https://www.fortinet.com/blog/threat-research/from-ci-cd-to-cloud-data-how-shai-hulud-persistence-leads-to-redshift-breach
Report completeness: Medium
Actors/Campaigns:
Teampcp
Mini_shai-hulud
Threats:
Shai-hulud
Supply_chain_technique
Credential_harvesting_technique
Victims:
Organizations with modern ci or cd pipelines, Cloud infrastructure, Data warehouses
Industry:
Healthcare
TTPs:
Tactics: 9
Technics: 12
IOCs:
IP: 2
Soft:
Jenkins, Kubernetes, curl, Ubuntu, PostgreSQL, Boto3
Functions:
GetClusterCredentials, GetCallerIdentity, CreateUser, CreateAccessKey, GetSecretValue, ListSecrets, GetSendQuota, GetIdentityVerificationAttributes, SES
Win API:
GetObject, DeleteObject
Languages:
python, cpython
26-06-2026
From CI/CD to Cloud Data: How Shai Hulud Persistence Leads to Redshift Breach
https://www.fortinet.com/blog/threat-research/from-ci-cd-to-cloud-data-how-shai-hulud-persistence-leads-to-redshift-breach
Report completeness: Medium
Actors/Campaigns:
Teampcp
Mini_shai-hulud
Threats:
Shai-hulud
Supply_chain_technique
Credential_harvesting_technique
Victims:
Organizations with modern ci or cd pipelines, Cloud infrastructure, Data warehouses
Industry:
Healthcare
TTPs:
Tactics: 9
Technics: 12
IOCs:
IP: 2
Soft:
Jenkins, Kubernetes, curl, Ubuntu, PostgreSQL, Boto3
Functions:
GetClusterCredentials, GetCallerIdentity, CreateUser, CreateAccessKey, GetSecretValue, ListSecrets, GetSendQuota, GetIdentityVerificationAttributes, SES
Win API:
GetObject, DeleteObject
Languages:
python, cpython
Fortinet Blog
From CI/CD to Cloud Data: How Shai Hulud Persistence Leads to Redshift Breach
See how Shai Hulud-linked CI/CD compromise exposed Jenkins credentials, enabled AWS escalation, and led to Redshift breach activity detected by FortiCNAPP…
CTT Report Hub
#ParsedReport #CompletenessMedium 26-06-2026 From CI/CD to Cloud Data: How Shai Hulud Persistence Leads to Redshift Breach https://www.fortinet.com/blog/threat-research/from-ci-cd-to-cloud-data-how-shai-hulud-persistence-leads-to-redshift-breach Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания Shai Hulud по компрометации Цепочки поставок, связанная с злоумышленником TeamPCP, нацелена на конвейеры CI/CD путем внедрения вредоносных пакетов в репозитории npm и PyPI, что облегчает извлечение учетных данных сборки, таких как токены GitHub и AWS. Злоумышленники используют эти учетные данные для повышения привилегий в облачных средах, выполняя несанкционированную эксфильтрацию данных из Amazon Redshift и манипулирование ролями AWS IAM. Их тактика включала создание пользователей с привилегиями, проведение разведки сети и использование сложных методов эксфильтрации данных через API данных Redshift, что указывает на серьезный риск для организаций, использующих Облачные сервисы.
-----
Кампания Shai Hulud в цепочке поставок связана с злоумышленником TeamPCP.
Это включает внедрение вредоносных пакетов в репозитории npm и PyPI, которые выполняются при установке или во время задач CI.
Вредоносные коды из этих пакетов собирают учетные данные для сборки, включая токены GitHub, учетные данные AWS и секреты Kubernetes.
В мае 2026 года был эксплуатирован бегунок Jenkins CI/CD, что привело к повышению привилегий и несанкционированному извлечению данных из Amazon Redshift.
Доступ был получен через отравленные зависимости сборки, что позволило переместиться в производственную облачную инфраструктуру.
Атакующие использовали тактики из плейбука Shai Hulud, включая повторное использование украденных учетных данных для развертывания дополнительных вредоносных пакетов.
Они создали нового пользователя IAM «cloudops-monitor» с административными привилегиями и провели сетевую разведку.
Контроли доступа были изменены, а контролируемые атакующим группы безопасности были развернуты для поддержания foothold.
Злоумышленники получили доступ к метаданным экземпляра с компрометированного EC2-экземпляра и злоупотребили ролью Jenkins для доступа к ресурсам AWS.
Тактики эскалации включали создание пользователей IAM и настройку широких групп безопасности доступа.
Они выполняли инвазивные запросы к базам данных Redshift, используя сложные техники эксфильтрации.
Высокие объёмы активности при извлечении данных указывали на масштабный сбор информации, а не на рутинные проверки.
Несанкционированное использование учетных данных экземпляра с внешних IP-адресов указывает на серьезные проблемы безопасности.
Инцидент подчеркивает уязвимости в процессах CI/CD и облачных интеграциях, что требует применения передовых мер защиты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания Shai Hulud по компрометации Цепочки поставок, связанная с злоумышленником TeamPCP, нацелена на конвейеры CI/CD путем внедрения вредоносных пакетов в репозитории npm и PyPI, что облегчает извлечение учетных данных сборки, таких как токены GitHub и AWS. Злоумышленники используют эти учетные данные для повышения привилегий в облачных средах, выполняя несанкционированную эксфильтрацию данных из Amazon Redshift и манипулирование ролями AWS IAM. Их тактика включала создание пользователей с привилегиями, проведение разведки сети и использование сложных методов эксфильтрации данных через API данных Redshift, что указывает на серьезный риск для организаций, использующих Облачные сервисы.
-----
Кампания Shai Hulud в цепочке поставок связана с злоумышленником TeamPCP.
Это включает внедрение вредоносных пакетов в репозитории npm и PyPI, которые выполняются при установке или во время задач CI.
Вредоносные коды из этих пакетов собирают учетные данные для сборки, включая токены GitHub, учетные данные AWS и секреты Kubernetes.
В мае 2026 года был эксплуатирован бегунок Jenkins CI/CD, что привело к повышению привилегий и несанкционированному извлечению данных из Amazon Redshift.
Доступ был получен через отравленные зависимости сборки, что позволило переместиться в производственную облачную инфраструктуру.
Атакующие использовали тактики из плейбука Shai Hulud, включая повторное использование украденных учетных данных для развертывания дополнительных вредоносных пакетов.
Они создали нового пользователя IAM «cloudops-monitor» с административными привилегиями и провели сетевую разведку.
Контроли доступа были изменены, а контролируемые атакующим группы безопасности были развернуты для поддержания foothold.
Злоумышленники получили доступ к метаданным экземпляра с компрометированного EC2-экземпляра и злоупотребили ролью Jenkins для доступа к ресурсам AWS.
Тактики эскалации включали создание пользователей IAM и настройку широких групп безопасности доступа.
Они выполняли инвазивные запросы к базам данных Redshift, используя сложные техники эксфильтрации.
Высокие объёмы активности при извлечении данных указывали на масштабный сбор информации, а не на рутинные проверки.
Несанкционированное использование учетных данных экземпляра с внешних IP-адресов указывает на серьезные проблемы безопасности.
Инцидент подчеркивает уязвимости в процессах CI/CD и облачных интеграциях, что требует применения передовых мер защиты.
#ParsedReport #CompletenessMedium
25-06-2026
Threat Intelligence Report: Nation-State Targeting of Water Systems 2024–2026
https://dti.domaintools.com/research/threat-intelligence-report-nation-state-targeting-of-water-systems-2024-2026
Report completeness: Medium
Actors/Campaigns:
Irgc (motivation: sabotage)
Cyberav3nger (motivation: sabotage)
Cyberarmyofrussia (motivation: hacktivism, propaganda)
Sandworm (motivation: hacktivism)
Volt_typhoon
Threats:
Blackbasta
Dropbear_tool
Lolbin_technique
Ntdsutil_tool
Portproxy_tool
Credential_dumping_technique
Victims:
Water and wastewater systems, Municipal water systems, Dam systems, Critical infrastructure, Polish water treatment plants
Industry:
Energy, Transport, Ics, Healthcare, Foodtech, Government, Critical_infrastructure, Logistic, Chemical
Geo:
Iran, Polish, America, Moscow, American, United kingdom, Norway, Belarusian, Poland, Ukraine, Russian, Israeli, Russia, Israel, Taiwan, Iranian, China
TTPs:
Tactics: 11
Technics: 20
IOCs:
IP: 8
File: 2
Command: 1
Path: 2
Soft:
Telegram, Active Directory
Win API:
In
Languages:
powershell
25-06-2026
Threat Intelligence Report: Nation-State Targeting of Water Systems 2024–2026
https://dti.domaintools.com/research/threat-intelligence-report-nation-state-targeting-of-water-systems-2024-2026
Report completeness: Medium
Actors/Campaigns:
Irgc (motivation: sabotage)
Cyberav3nger (motivation: sabotage)
Cyberarmyofrussia (motivation: hacktivism, propaganda)
Sandworm (motivation: hacktivism)
Volt_typhoon
Threats:
Blackbasta
Dropbear_tool
Lolbin_technique
Ntdsutil_tool
Portproxy_tool
Credential_dumping_technique
Victims:
Water and wastewater systems, Municipal water systems, Dam systems, Critical infrastructure, Polish water treatment plants
Industry:
Energy, Transport, Ics, Healthcare, Foodtech, Government, Critical_infrastructure, Logistic, Chemical
Geo:
Iran, Polish, America, Moscow, American, United kingdom, Norway, Belarusian, Poland, Ukraine, Russian, Israeli, Russia, Israel, Taiwan, Iranian, China
TTPs:
Tactics: 11
Technics: 20
IOCs:
IP: 8
File: 2
Command: 1
Path: 2
Soft:
Telegram, Active Directory
Win API:
In
Languages:
powershell
Domaintools
DomainTools Investigations | Threat Intelligence Report: Nation-State Targeting of Water Systems 2024–2026
Explore DTI’s 2026 threat intelligence report on nation-state targeting of water systems. Learn how Volt Typhoon, Sandworm, & Iran exploit critical OT vulnerabilities.
CTT Report Hub
#ParsedReport #CompletenessMedium 25-06-2026 Threat Intelligence Report: Nation-State Targeting of Water Systems 2024–2026 https://dti.domaintools.com/research/threat-intelligence-report-nation-state-targeting-of-water-systems-2024-2026 Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберакторы, представляющие государства, особенно из Ирана, России и Китая, всё чаще атакуют системы водоснабжения и водоотведения США из-за их стратегической важности и уязвимостей. Иранские группы используют слабую аутентификацию в системах управления, тогда как российские акторы занимаются прямым саботажем, манипулируя системами управления водоснабжением для нагнетания страха среди населения. Инициатива Китая Volt Typhoon сосредоточена на предварительном размещении внутри критической инфраструктуры, что подчеркивает системные уязвимости, позволяющие осуществлять контроль над ключевыми компонентами, такими как насосы и клапаны.
-----
Системы водоснабжения и водоотведения становятся всё более частыми целями киберакторов, связанных с государствами, из-за их стратегической важности и уязвимости, усугубляемой низкими инвестициями и слабой безопасностью операционных технологий (OT). Эти системы представляют собой фокусные точки для психологических и физических сбоев, которые могут повлиять на общественное здоровье и доверие граждан к правительству. Заметная недавняя активность подчеркивает участие акторов, связанных с Ираном, Россией и Китаем, которые эксплуатируют уязвимости в системах, особенно в программируемых логических контроллерах (PLC) и человеко-машинных интерфейсах (HMI), подверженных воздействию интернета.
Иранские киберакторы, в частности связанные с Корпусом стражей исламской революции (IRGC), осуществили вторжения, используя слабые практики аутентификации, для нацеливания на системы управления в секторах водоснабжения и очистки сточных вод США. Сообщения CISA указывают на закономерность эксплуатации доступных интерфейсов ПЛК/ЧПЧ вместо развертывания сложного ВПО, что демонстрирует тактику гибридной войны, объединяющую идеологические сообщения с операционным срывом. Их деятельность варьируется от манипуляции публичным образом до прямых атак, направленных на демонстрацию возможностей.
С другой стороны, группы, связанные с Россией, проявляют склонность к более прямым диверсиям. Среди инцидентов — удалённое вмешательство в системы управления водоснабжением, приведшее к переполнению и сбоям, что подтверждает их стратегию нагнетания общественного страха и проверки устойчивости критической инфраструктуры в странах, ориентированных на НАТО. Участие таких групп, как Киберармия Возрождённой России, связанной с известной группировкой Sandworm, указывает на систематическое использование кибервзломов как части кампаний гибридной войны, направленных на дестабилизацию.
Китай через инициативу Volt Typhoon реализует более стратегический подход, в значительной степени сосредоточенный на предварительном размещении в критической инфраструктуре США, включая системы водоснабжения. Их техника часто основывается на разведке и поддержании доступа для выполнения деструктивных или разрушительных действий в ходе потенциальных будущих конфликтов.
Знаменитый случай в Польше в 2025 году сообщил о взломах на нескольких объектах очистки воды, где злоумышленники использовали слабые пароли и открытые элементы управления для изменения операционных параметров, подчеркивая системные уязвимости во всех секторах водоснабжения. Это показывает, что даже малоизвестные атаки могут представлять угрозу национальной безопасности, особенно учитывая критическую логистическую роль Польши для НАТО.
Общие уязвимости, эксплуатируемые в ходе этих инцидентов, демонстрируют, что киберзлоумышленники могут получить контроль над критическими компонентами, такими как насосы, клапаны и системы дозирования химикатов. Сектор водоснабжения США, включающий около 170 000 систем, не имеет стандартизации и демонстрирует непоследовательный уровень зрелости киберзащиты, что делает его особенно уязвимым для эксплуатации со стороны злоумышленников, связанных с государствами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберакторы, представляющие государства, особенно из Ирана, России и Китая, всё чаще атакуют системы водоснабжения и водоотведения США из-за их стратегической важности и уязвимостей. Иранские группы используют слабую аутентификацию в системах управления, тогда как российские акторы занимаются прямым саботажем, манипулируя системами управления водоснабжением для нагнетания страха среди населения. Инициатива Китая Volt Typhoon сосредоточена на предварительном размещении внутри критической инфраструктуры, что подчеркивает системные уязвимости, позволяющие осуществлять контроль над ключевыми компонентами, такими как насосы и клапаны.
-----
Системы водоснабжения и водоотведения становятся всё более частыми целями киберакторов, связанных с государствами, из-за их стратегической важности и уязвимости, усугубляемой низкими инвестициями и слабой безопасностью операционных технологий (OT). Эти системы представляют собой фокусные точки для психологических и физических сбоев, которые могут повлиять на общественное здоровье и доверие граждан к правительству. Заметная недавняя активность подчеркивает участие акторов, связанных с Ираном, Россией и Китаем, которые эксплуатируют уязвимости в системах, особенно в программируемых логических контроллерах (PLC) и человеко-машинных интерфейсах (HMI), подверженных воздействию интернета.
Иранские киберакторы, в частности связанные с Корпусом стражей исламской революции (IRGC), осуществили вторжения, используя слабые практики аутентификации, для нацеливания на системы управления в секторах водоснабжения и очистки сточных вод США. Сообщения CISA указывают на закономерность эксплуатации доступных интерфейсов ПЛК/ЧПЧ вместо развертывания сложного ВПО, что демонстрирует тактику гибридной войны, объединяющую идеологические сообщения с операционным срывом. Их деятельность варьируется от манипуляции публичным образом до прямых атак, направленных на демонстрацию возможностей.
С другой стороны, группы, связанные с Россией, проявляют склонность к более прямым диверсиям. Среди инцидентов — удалённое вмешательство в системы управления водоснабжением, приведшее к переполнению и сбоям, что подтверждает их стратегию нагнетания общественного страха и проверки устойчивости критической инфраструктуры в странах, ориентированных на НАТО. Участие таких групп, как Киберармия Возрождённой России, связанной с известной группировкой Sandworm, указывает на систематическое использование кибервзломов как части кампаний гибридной войны, направленных на дестабилизацию.
Китай через инициативу Volt Typhoon реализует более стратегический подход, в значительной степени сосредоточенный на предварительном размещении в критической инфраструктуре США, включая системы водоснабжения. Их техника часто основывается на разведке и поддержании доступа для выполнения деструктивных или разрушительных действий в ходе потенциальных будущих конфликтов.
Знаменитый случай в Польше в 2025 году сообщил о взломах на нескольких объектах очистки воды, где злоумышленники использовали слабые пароли и открытые элементы управления для изменения операционных параметров, подчеркивая системные уязвимости во всех секторах водоснабжения. Это показывает, что даже малоизвестные атаки могут представлять угрозу национальной безопасности, особенно учитывая критическую логистическую роль Польши для НАТО.
Общие уязвимости, эксплуатируемые в ходе этих инцидентов, демонстрируют, что киберзлоумышленники могут получить контроль над критическими компонентами, такими как насосы, клапаны и системы дозирования химикатов. Сектор водоснабжения США, включающий около 170 000 систем, не имеет стандартизации и демонстрирует непоследовательный уровень зрелости киберзащиты, что делает его особенно уязвимым для эксплуатации со стороны злоумышленников, связанных с государствами.
#ParsedReport #CompletenessMedium
26-06-2026
Coinbase Cartel: behind the noise of a prolific leak operation
https://www.intrinsec.com/wp-content/uploads/2026/06/TLP-CLEAR-20260626-Coinbase-Cartel.pdf
Report completeness: Medium
Actors/Campaigns:
Coinbasecartel
Shinyhunters
Threats:
Supply_chain_technique
Xrdp_tool
Rdp_recognizer_tool
Residential_proxy_technique
Victims:
Real estate, Retail, Health, Genetics, Software, Technology, Telecommunications, United states, France, United arab emirates, have more...
Industry:
Retail, Software_development, Government, Energy, Financial, Entertainment, Foodtech, Healthcare, Education, Logistic, Telco
Geo:
Netherlands, Russia, United arab emirates, Arab emirates, United states, Southkorea, Peru, Usa, France, Canada
TTPs:
Tactics: 2
Technics: 13
IOCs:
Url: 3
IP: 52
File: 1
Coin: 1
Domain: 3
Soft:
орке бу
Wallets:
coinbase
Platforms:
cross-platform
26-06-2026
Coinbase Cartel: behind the noise of a prolific leak operation
https://www.intrinsec.com/wp-content/uploads/2026/06/TLP-CLEAR-20260626-Coinbase-Cartel.pdf
Report completeness: Medium
Actors/Campaigns:
Coinbasecartel
Shinyhunters
Threats:
Supply_chain_technique
Xrdp_tool
Rdp_recognizer_tool
Residential_proxy_technique
Victims:
Real estate, Retail, Health, Genetics, Software, Technology, Telecommunications, United states, France, United arab emirates, have more...
Industry:
Retail, Software_development, Government, Energy, Financial, Entertainment, Foodtech, Healthcare, Education, Logistic, Telco
Geo:
Netherlands, Russia, United arab emirates, Arab emirates, United states, Southkorea, Peru, Usa, France, Canada
TTPs:
Tactics: 2
Technics: 13
IOCs:
Url: 3
IP: 52
File: 1
Coin: 1
Domain: 3
Soft:
орке бу
Wallets:
coinbase
Platforms:
cross-platform
CTT Report Hub
#ParsedReport #CompletenessMedium 26-06-2026 Coinbase Cartel: behind the noise of a prolific leak operation https://www.intrinsec.com/wp-content/uploads/2026/06/TLP-CLEAR-20260626-Coinbase-Cartel.pdf Report completeness: Medium Actors/Campaigns: Coinbasecartel…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группировка Coinbase Cartel — это киберкриминальная группировка, активная с сентября 2025 года, которая в первую очередь нацелена на организации в США и Франции с помощью атак на Цепочку поставок. Они полагаются на брокеров первоначального доступа для проникновения в сети и используют такие инструменты, как утилита Ultimate RDP для брутфорса, чтобы проводить быстрые атаки брутфорса на службы Протокола удаленного рабочего стола, стремясь к краже учетных данных. Их структурированный подход к операциям, сотрудничество в форумах киберкриминала и фокус на эксплуатации уязвимостей вызывают обеспокоенность в отношении общей безопасности организации.
-----
Группировка Coinbase Cartel — это киберпреступная хакерская группировка, классифицируемая как группировка, занимающаяся вымогательством, которая начала свою деятельность в сентябре 2025 года. Они атаковали более 140 жертв в различных секторах, при этом особое внимание уделяли организациям в Соединенных Штатах и Франции. Метод работы картеля, по-видимому, включает использование атак на Цепочку поставок, что особенно ярко проявилось, когда несколько жертв из сектора недвижимости ОАЭ подверглись атакам в короткий промежуток времени. Имеются указания на то, что группировка сотрудничает с брокерами первоначального доступа (IAB), приобретая легитимный доступ к сетям, который, возможно, изначально был получен через сторонние сервисы, а не путем прямого использования учетных данных, украденных инфостилерами.
Ключевыми участниками этой операции являются злоумышленник, известный как g77, который активно участвует в киберкриминальных форумах, чтобы искать партнеров для доступа к учетным записям эл. почты и продвижения использования существующего ВПО и инструментов брутфорса. Одним из наиболее часто упоминаемых инструментов является утилита Ultimate RDP bruteforcer, способная выполнять быстрые атаки брутфорса на службы RDP (Протокол удаленного рабочего стола). Этот инструмент предназначен для одновременной атаки на несколько систем, обеспечивая высокую скорость попыток подбора паролей и, в идеале, получение учетных данных, которые затем могут быть проданы или использованы для организации дальнейших атак. Интерес злоумышленника к этому инструменту указывает на потенциальное использование его в своих операциях для сбора действительных учетных данных на множестве целей.
Группировка Coinbase Cartel также связана с конкретным IP-адресом, связанным с более ранними атаками, что указывает на то, что их деятельность может быть усилена за счет применения системного подхода к нацеливанию на службы RDP, тем самым эксплуатируя уязвимости в конфигурациях удаленного доступа организаций. Их постоянное присутствие на форумах киберкриминала и открытые призывы к сотрудничеству с другими преступниками свидетельствуют о структурированном подходе к расширению их операционных возможностей.
В заключение, деятельность Coinbase Cartel характеризуется сочетанием оппортунистических атак на цепочку поставок, сотрудничества с другими киберпреступниками и использования сложных инструментов для массовой кражи учетных данных. Их действия вызывают обеспокоенность в связи с растущей сложностью операций, связанных с программным обеспечением-вымогателем и утечками данных, а также с более широкими последствиями для безопасности организаций в различных секторах. Несмотря на недавнее снижение заявленного числа жертв, потенциал для аналогичных групп, перенимающих их методы, представляет собой постоянную угрозу в киберпространстве.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группировка Coinbase Cartel — это киберкриминальная группировка, активная с сентября 2025 года, которая в первую очередь нацелена на организации в США и Франции с помощью атак на Цепочку поставок. Они полагаются на брокеров первоначального доступа для проникновения в сети и используют такие инструменты, как утилита Ultimate RDP для брутфорса, чтобы проводить быстрые атаки брутфорса на службы Протокола удаленного рабочего стола, стремясь к краже учетных данных. Их структурированный подход к операциям, сотрудничество в форумах киберкриминала и фокус на эксплуатации уязвимостей вызывают обеспокоенность в отношении общей безопасности организации.
-----
Группировка Coinbase Cartel — это киберпреступная хакерская группировка, классифицируемая как группировка, занимающаяся вымогательством, которая начала свою деятельность в сентябре 2025 года. Они атаковали более 140 жертв в различных секторах, при этом особое внимание уделяли организациям в Соединенных Штатах и Франции. Метод работы картеля, по-видимому, включает использование атак на Цепочку поставок, что особенно ярко проявилось, когда несколько жертв из сектора недвижимости ОАЭ подверглись атакам в короткий промежуток времени. Имеются указания на то, что группировка сотрудничает с брокерами первоначального доступа (IAB), приобретая легитимный доступ к сетям, который, возможно, изначально был получен через сторонние сервисы, а не путем прямого использования учетных данных, украденных инфостилерами.
Ключевыми участниками этой операции являются злоумышленник, известный как g77, который активно участвует в киберкриминальных форумах, чтобы искать партнеров для доступа к учетным записям эл. почты и продвижения использования существующего ВПО и инструментов брутфорса. Одним из наиболее часто упоминаемых инструментов является утилита Ultimate RDP bruteforcer, способная выполнять быстрые атаки брутфорса на службы RDP (Протокол удаленного рабочего стола). Этот инструмент предназначен для одновременной атаки на несколько систем, обеспечивая высокую скорость попыток подбора паролей и, в идеале, получение учетных данных, которые затем могут быть проданы или использованы для организации дальнейших атак. Интерес злоумышленника к этому инструменту указывает на потенциальное использование его в своих операциях для сбора действительных учетных данных на множестве целей.
Группировка Coinbase Cartel также связана с конкретным IP-адресом, связанным с более ранними атаками, что указывает на то, что их деятельность может быть усилена за счет применения системного подхода к нацеливанию на службы RDP, тем самым эксплуатируя уязвимости в конфигурациях удаленного доступа организаций. Их постоянное присутствие на форумах киберкриминала и открытые призывы к сотрудничеству с другими преступниками свидетельствуют о структурированном подходе к расширению их операционных возможностей.
В заключение, деятельность Coinbase Cartel характеризуется сочетанием оппортунистических атак на цепочку поставок, сотрудничества с другими киберпреступниками и использования сложных инструментов для массовой кражи учетных данных. Их действия вызывают обеспокоенность в связи с растущей сложностью операций, связанных с программным обеспечением-вымогателем и утечками данных, а также с более широкими последствиями для безопасности организаций в различных секторах. Несмотря на недавнее снижение заявленного числа жертв, потенциал для аналогичных групп, перенимающих их методы, представляет собой постоянную угрозу в киберпространстве.
#ParsedReport #CompletenessHigh
24-06-2026
LoaderClient Malware Analysis: How WeedHack Uses Ethereum Smart Contracts for Resilient C2 Infrastructure
https://darkatlas.io/blog/loaderclient-malware-analysis-how-weedhack-uses-ethereum-smart-contracts-for-resilient-c2-infrastructure
Report completeness: High
Threats:
Loaderclient
Weedhack
Etherhiding_technique
Uac_bypass_technique
Seo_poisoning_technique
Zipbomb_technique
Victims:
Minecraft players, Gaming communities, Worldwide
Industry:
Entertainment, Financial
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 35
Hash: 2
Domain: 3
Url: 5
Coin: 1
IP: 1
Path: 3
Registry: 1
Soft:
Minecraft, Discord, Telegram, Steam, Windows Defender, Etherscan
Wallets:
mainnet
Crypto:
ethereum
Algorithms:
lzma, xor, chacha20, md5, sha1, sha256, zip
Functions:
Win32, method_1676, method_44717, method_1674, getDeclaredConstructor, Gson, method_1551, method_1548, getText, RPC, have more...
Win API:
decompress, readFile, getHostname, VirtualProtect, VirtualQuery, TlsGetValue
Win Services:
bits
Languages:
kotlin, java
Platforms:
amd64
YARA: Found
24-06-2026
LoaderClient Malware Analysis: How WeedHack Uses Ethereum Smart Contracts for Resilient C2 Infrastructure
https://darkatlas.io/blog/loaderclient-malware-analysis-how-weedhack-uses-ethereum-smart-contracts-for-resilient-c2-infrastructure
Report completeness: High
Threats:
Loaderclient
Weedhack
Etherhiding_technique
Uac_bypass_technique
Seo_poisoning_technique
Zipbomb_technique
Victims:
Minecraft players, Gaming communities, Worldwide
Industry:
Entertainment, Financial
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 35
Hash: 2
Domain: 3
Url: 5
Coin: 1
IP: 1
Path: 3
Registry: 1
Soft:
Minecraft, Discord, Telegram, Steam, Windows Defender, Etherscan
Wallets:
mainnet
Crypto:
ethereum
Algorithms:
lzma, xor, chacha20, md5, sha1, sha256, zip
Functions:
Win32, method_1676, method_44717, method_1674, getDeclaredConstructor, Gson, method_1551, method_1548, getText, RPC, have more...
Win API:
decompress, readFile, getHostname, VirtualProtect, VirtualQuery, TlsGetValue
Win Services:
bits
Languages:
kotlin, java
Platforms:
amd64
YARA: Found
CTT Report Hub
#ParsedReport #CompletenessHigh 24-06-2026 LoaderClient Malware Analysis: How WeedHack Uses Ethereum Smart Contracts for Resilient C2 Infrastructure https://darkatlas.io/blog/loaderclient-malware-analysis-how-weedhack-uses-ethereum-smart-contracts-for-resilient…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
LoaderClient — это вредоносный загрузчик, нацеленный на сообщество Minecraft, связанный с вредоносной кампанией WeedHack, который крадёт конфиденциальные данные сеанса, такие как токены Microsoft OAuth. Он использует инновационный механизм управления, называемый EtherHiding, опирающийся на смарт-контракты Ethereum для динамического получения URL-адреса C2, что повышает его устойчивость к обнаружению. ВПО работает в два этапа, применяя передовые техники уклонения, такие как пользовательская обфускация строк и обход проверки SSL, что делает его особенно опасным для пользователей, которых заманивают загрузить скомпрометированные моды.
-----
LoaderClient — это вредоносный загрузчик, нацеленный на Minecraft, связанный с кампанией WeedHack, работающей по модели ВПО как услуга.
Он маскируется под мод для Minecraft Fabric и крадёт конфиденциальные данные сессии, включая отображаемые имена и токены доступа Microsoft OAuth.
LoaderClient использует технику управления, называемую EtherHiding, которая применяет смарт-контракт Ethereum для динамического получения своего URL-адреса C2.
Вредоносное ПО работает в два этапа, где первый этап собирает учетные данные и запрашивает у смарт-контракта Ethereum активный URL-адрес C2.
Второй этап, загружаемый целиком в память, использует Java Native Interface Compiler (JNIC) версии 3.7.0 для сокрытия своей логики в нативном коде и уклонения от обнаружения.
Этот второй этап также разрешает свой C2 через контракт Ethereum и обходит проверку SSL, используя DNS-over-HTTPS для разрешения доменов.
WeedHack скомпрометировал более 116 000 уникальных хостов с начала 2026 года, в первую очередь нацеливаясь на сообщество Minecraft.
Тактики социального инжиниринга, включая продвижение на YouTube и отравление поисковой оптимизации (SEO), применяются для заманивания пользователей на загрузку скомпрометированных модов.
Заражённые жертвы выполняют полезную нагрузку, обеспечивающую расширенные возможности для наблюдения, включая доступ к веб-камере и кражу учётных данных.
LoaderClient использует собственную обфускацию строк и применяет zip-бомбу для обхода средств анализа.
Легитимная оболочка модификации Minecraft помогает вредоносному ПО обходить предупреждения безопасности.
Его зависимость от Ethereum обеспечивает непрерывную работу даже после зачисток порталов распространения.
Стратегии смягчения последствий включают блокировку ненужного трафика Ethereum RPC, мониторинг процессов Java и ограничение загрузки неофициальных модов для Minecraft.
Проактивная ротация учетных данных после предположительно выявленных заражений может снизить риски, связанные с похищенными OAuth-токенами.
Адрес контракта Ethereum, используемый для разрешения C2, является ключевым индикатором компрометации, предоставляющим сведения о деятельности операторов.
Продолжающаяся деятельность WeedHack демонстрирует необходимость в передовых стратегиях обнаружения для противодействия эволюционирующим киберугрозам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
LoaderClient — это вредоносный загрузчик, нацеленный на сообщество Minecraft, связанный с вредоносной кампанией WeedHack, который крадёт конфиденциальные данные сеанса, такие как токены Microsoft OAuth. Он использует инновационный механизм управления, называемый EtherHiding, опирающийся на смарт-контракты Ethereum для динамического получения URL-адреса C2, что повышает его устойчивость к обнаружению. ВПО работает в два этапа, применяя передовые техники уклонения, такие как пользовательская обфускация строк и обход проверки SSL, что делает его особенно опасным для пользователей, которых заманивают загрузить скомпрометированные моды.
-----
LoaderClient — это вредоносный загрузчик, нацеленный на Minecraft, связанный с кампанией WeedHack, работающей по модели ВПО как услуга.
Он маскируется под мод для Minecraft Fabric и крадёт конфиденциальные данные сессии, включая отображаемые имена и токены доступа Microsoft OAuth.
LoaderClient использует технику управления, называемую EtherHiding, которая применяет смарт-контракт Ethereum для динамического получения своего URL-адреса C2.
Вредоносное ПО работает в два этапа, где первый этап собирает учетные данные и запрашивает у смарт-контракта Ethereum активный URL-адрес C2.
Второй этап, загружаемый целиком в память, использует Java Native Interface Compiler (JNIC) версии 3.7.0 для сокрытия своей логики в нативном коде и уклонения от обнаружения.
Этот второй этап также разрешает свой C2 через контракт Ethereum и обходит проверку SSL, используя DNS-over-HTTPS для разрешения доменов.
WeedHack скомпрометировал более 116 000 уникальных хостов с начала 2026 года, в первую очередь нацеливаясь на сообщество Minecraft.
Тактики социального инжиниринга, включая продвижение на YouTube и отравление поисковой оптимизации (SEO), применяются для заманивания пользователей на загрузку скомпрометированных модов.
Заражённые жертвы выполняют полезную нагрузку, обеспечивающую расширенные возможности для наблюдения, включая доступ к веб-камере и кражу учётных данных.
LoaderClient использует собственную обфускацию строк и применяет zip-бомбу для обхода средств анализа.
Легитимная оболочка модификации Minecraft помогает вредоносному ПО обходить предупреждения безопасности.
Его зависимость от Ethereum обеспечивает непрерывную работу даже после зачисток порталов распространения.
Стратегии смягчения последствий включают блокировку ненужного трафика Ethereum RPC, мониторинг процессов Java и ограничение загрузки неофициальных модов для Minecraft.
Проактивная ротация учетных данных после предположительно выявленных заражений может снизить риски, связанные с похищенными OAuth-токенами.
Адрес контракта Ethereum, используемый для разрешения C2, является ключевым индикатором компрометации, предоставляющим сведения о деятельности операторов.
Продолжающаяся деятельность WeedHack демонстрирует необходимость в передовых стратегиях обнаружения для противодействия эволюционирующим киберугрозам.
#ParsedReport #CompletenessLow
26-06-2026
AsyncRAT Family Threat Overview
https://censys.com/blog/asyncrat-family-threat-overview/
Report completeness: Low
Threats:
Asyncrat
Dcrat
Venomrat
Quasar_rat
Trurat
Lmteamrat
Dumpling_rat
Echorat
Gh0st_rat
Bitrat
Cyberspike
Darkrat_rat
Shashenrat
Elegyrat
Jasonrat
Cyb3r_rat
Noneuclid_rat
Archosaurrat
Santarat
Phoenixrat
Pegasusrat
Magnumrat
Geo:
Chinese, Holland
ChatGPT TTPs:
T1140, T1571, T1573, T1587.001, T1588.001
IOCs:
IP: 5
Soft:
Windows remote access, Outlook
Win API:
ARC
26-06-2026
AsyncRAT Family Threat Overview
https://censys.com/blog/asyncrat-family-threat-overview/
Report completeness: Low
Threats:
Asyncrat
Dcrat
Venomrat
Quasar_rat
Trurat
Lmteamrat
Dumpling_rat
Echorat
Gh0st_rat
Bitrat
Cyberspike
Darkrat_rat
Shashenrat
Elegyrat
Jasonrat
Cyb3r_rat
Noneuclid_rat
Archosaurrat
Santarat
Phoenixrat
Pegasusrat
Magnumrat
Geo:
Chinese, Holland
ChatGPT TTPs:
do not use without manual checkT1140, T1571, T1573, T1587.001, T1588.001
IOCs:
IP: 5
Soft:
Windows remote access, Outlook
Win API:
ARC
Censys
AsyncRAT Family Threat Overview - Censys
New Censys ARC research identifies more than a dozen live C2 infrastructure instances as descendants of AsyncRAT.