CTT Report Hub
#ParsedReport #CompletenessMedium 25-06-2026 Threat Intelligence Report: Nation-State Targeting of Water Systems 2024–2026 https://dti.domaintools.com/research/threat-intelligence-report-nation-state-targeting-of-water-systems-2024-2026 Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберакторы, представляющие государства, особенно из Ирана, России и Китая, всё чаще атакуют системы водоснабжения и водоотведения США из-за их стратегической важности и уязвимостей. Иранские группы используют слабую аутентификацию в системах управления, тогда как российские акторы занимаются прямым саботажем, манипулируя системами управления водоснабжением для нагнетания страха среди населения. Инициатива Китая Volt Typhoon сосредоточена на предварительном размещении внутри критической инфраструктуры, что подчеркивает системные уязвимости, позволяющие осуществлять контроль над ключевыми компонентами, такими как насосы и клапаны.
-----
Системы водоснабжения и водоотведения становятся всё более частыми целями киберакторов, связанных с государствами, из-за их стратегической важности и уязвимости, усугубляемой низкими инвестициями и слабой безопасностью операционных технологий (OT). Эти системы представляют собой фокусные точки для психологических и физических сбоев, которые могут повлиять на общественное здоровье и доверие граждан к правительству. Заметная недавняя активность подчеркивает участие акторов, связанных с Ираном, Россией и Китаем, которые эксплуатируют уязвимости в системах, особенно в программируемых логических контроллерах (PLC) и человеко-машинных интерфейсах (HMI), подверженных воздействию интернета.
Иранские киберакторы, в частности связанные с Корпусом стражей исламской революции (IRGC), осуществили вторжения, используя слабые практики аутентификации, для нацеливания на системы управления в секторах водоснабжения и очистки сточных вод США. Сообщения CISA указывают на закономерность эксплуатации доступных интерфейсов ПЛК/ЧПЧ вместо развертывания сложного ВПО, что демонстрирует тактику гибридной войны, объединяющую идеологические сообщения с операционным срывом. Их деятельность варьируется от манипуляции публичным образом до прямых атак, направленных на демонстрацию возможностей.
С другой стороны, группы, связанные с Россией, проявляют склонность к более прямым диверсиям. Среди инцидентов — удалённое вмешательство в системы управления водоснабжением, приведшее к переполнению и сбоям, что подтверждает их стратегию нагнетания общественного страха и проверки устойчивости критической инфраструктуры в странах, ориентированных на НАТО. Участие таких групп, как Киберармия Возрождённой России, связанной с известной группировкой Sandworm, указывает на систематическое использование кибервзломов как части кампаний гибридной войны, направленных на дестабилизацию.
Китай через инициативу Volt Typhoon реализует более стратегический подход, в значительной степени сосредоточенный на предварительном размещении в критической инфраструктуре США, включая системы водоснабжения. Их техника часто основывается на разведке и поддержании доступа для выполнения деструктивных или разрушительных действий в ходе потенциальных будущих конфликтов.
Знаменитый случай в Польше в 2025 году сообщил о взломах на нескольких объектах очистки воды, где злоумышленники использовали слабые пароли и открытые элементы управления для изменения операционных параметров, подчеркивая системные уязвимости во всех секторах водоснабжения. Это показывает, что даже малоизвестные атаки могут представлять угрозу национальной безопасности, особенно учитывая критическую логистическую роль Польши для НАТО.
Общие уязвимости, эксплуатируемые в ходе этих инцидентов, демонстрируют, что киберзлоумышленники могут получить контроль над критическими компонентами, такими как насосы, клапаны и системы дозирования химикатов. Сектор водоснабжения США, включающий около 170 000 систем, не имеет стандартизации и демонстрирует непоследовательный уровень зрелости киберзащиты, что делает его особенно уязвимым для эксплуатации со стороны злоумышленников, связанных с государствами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберакторы, представляющие государства, особенно из Ирана, России и Китая, всё чаще атакуют системы водоснабжения и водоотведения США из-за их стратегической важности и уязвимостей. Иранские группы используют слабую аутентификацию в системах управления, тогда как российские акторы занимаются прямым саботажем, манипулируя системами управления водоснабжением для нагнетания страха среди населения. Инициатива Китая Volt Typhoon сосредоточена на предварительном размещении внутри критической инфраструктуры, что подчеркивает системные уязвимости, позволяющие осуществлять контроль над ключевыми компонентами, такими как насосы и клапаны.
-----
Системы водоснабжения и водоотведения становятся всё более частыми целями киберакторов, связанных с государствами, из-за их стратегической важности и уязвимости, усугубляемой низкими инвестициями и слабой безопасностью операционных технологий (OT). Эти системы представляют собой фокусные точки для психологических и физических сбоев, которые могут повлиять на общественное здоровье и доверие граждан к правительству. Заметная недавняя активность подчеркивает участие акторов, связанных с Ираном, Россией и Китаем, которые эксплуатируют уязвимости в системах, особенно в программируемых логических контроллерах (PLC) и человеко-машинных интерфейсах (HMI), подверженных воздействию интернета.
Иранские киберакторы, в частности связанные с Корпусом стражей исламской революции (IRGC), осуществили вторжения, используя слабые практики аутентификации, для нацеливания на системы управления в секторах водоснабжения и очистки сточных вод США. Сообщения CISA указывают на закономерность эксплуатации доступных интерфейсов ПЛК/ЧПЧ вместо развертывания сложного ВПО, что демонстрирует тактику гибридной войны, объединяющую идеологические сообщения с операционным срывом. Их деятельность варьируется от манипуляции публичным образом до прямых атак, направленных на демонстрацию возможностей.
С другой стороны, группы, связанные с Россией, проявляют склонность к более прямым диверсиям. Среди инцидентов — удалённое вмешательство в системы управления водоснабжением, приведшее к переполнению и сбоям, что подтверждает их стратегию нагнетания общественного страха и проверки устойчивости критической инфраструктуры в странах, ориентированных на НАТО. Участие таких групп, как Киберармия Возрождённой России, связанной с известной группировкой Sandworm, указывает на систематическое использование кибервзломов как части кампаний гибридной войны, направленных на дестабилизацию.
Китай через инициативу Volt Typhoon реализует более стратегический подход, в значительной степени сосредоточенный на предварительном размещении в критической инфраструктуре США, включая системы водоснабжения. Их техника часто основывается на разведке и поддержании доступа для выполнения деструктивных или разрушительных действий в ходе потенциальных будущих конфликтов.
Знаменитый случай в Польше в 2025 году сообщил о взломах на нескольких объектах очистки воды, где злоумышленники использовали слабые пароли и открытые элементы управления для изменения операционных параметров, подчеркивая системные уязвимости во всех секторах водоснабжения. Это показывает, что даже малоизвестные атаки могут представлять угрозу национальной безопасности, особенно учитывая критическую логистическую роль Польши для НАТО.
Общие уязвимости, эксплуатируемые в ходе этих инцидентов, демонстрируют, что киберзлоумышленники могут получить контроль над критическими компонентами, такими как насосы, клапаны и системы дозирования химикатов. Сектор водоснабжения США, включающий около 170 000 систем, не имеет стандартизации и демонстрирует непоследовательный уровень зрелости киберзащиты, что делает его особенно уязвимым для эксплуатации со стороны злоумышленников, связанных с государствами.
#ParsedReport #CompletenessMedium
26-06-2026
Coinbase Cartel: behind the noise of a prolific leak operation
https://www.intrinsec.com/wp-content/uploads/2026/06/TLP-CLEAR-20260626-Coinbase-Cartel.pdf
Report completeness: Medium
Actors/Campaigns:
Coinbasecartel
Shinyhunters
Threats:
Supply_chain_technique
Xrdp_tool
Rdp_recognizer_tool
Residential_proxy_technique
Victims:
Real estate, Retail, Health, Genetics, Software, Technology, Telecommunications, United states, France, United arab emirates, have more...
Industry:
Retail, Software_development, Government, Energy, Financial, Entertainment, Foodtech, Healthcare, Education, Logistic, Telco
Geo:
Netherlands, Russia, United arab emirates, Arab emirates, United states, Southkorea, Peru, Usa, France, Canada
TTPs:
Tactics: 2
Technics: 13
IOCs:
Url: 3
IP: 52
File: 1
Coin: 1
Domain: 3
Soft:
орке бу
Wallets:
coinbase
Platforms:
cross-platform
26-06-2026
Coinbase Cartel: behind the noise of a prolific leak operation
https://www.intrinsec.com/wp-content/uploads/2026/06/TLP-CLEAR-20260626-Coinbase-Cartel.pdf
Report completeness: Medium
Actors/Campaigns:
Coinbasecartel
Shinyhunters
Threats:
Supply_chain_technique
Xrdp_tool
Rdp_recognizer_tool
Residential_proxy_technique
Victims:
Real estate, Retail, Health, Genetics, Software, Technology, Telecommunications, United states, France, United arab emirates, have more...
Industry:
Retail, Software_development, Government, Energy, Financial, Entertainment, Foodtech, Healthcare, Education, Logistic, Telco
Geo:
Netherlands, Russia, United arab emirates, Arab emirates, United states, Southkorea, Peru, Usa, France, Canada
TTPs:
Tactics: 2
Technics: 13
IOCs:
Url: 3
IP: 52
File: 1
Coin: 1
Domain: 3
Soft:
орке бу
Wallets:
coinbase
Platforms:
cross-platform
CTT Report Hub
#ParsedReport #CompletenessMedium 26-06-2026 Coinbase Cartel: behind the noise of a prolific leak operation https://www.intrinsec.com/wp-content/uploads/2026/06/TLP-CLEAR-20260626-Coinbase-Cartel.pdf Report completeness: Medium Actors/Campaigns: Coinbasecartel…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группировка Coinbase Cartel — это киберкриминальная группировка, активная с сентября 2025 года, которая в первую очередь нацелена на организации в США и Франции с помощью атак на Цепочку поставок. Они полагаются на брокеров первоначального доступа для проникновения в сети и используют такие инструменты, как утилита Ultimate RDP для брутфорса, чтобы проводить быстрые атаки брутфорса на службы Протокола удаленного рабочего стола, стремясь к краже учетных данных. Их структурированный подход к операциям, сотрудничество в форумах киберкриминала и фокус на эксплуатации уязвимостей вызывают обеспокоенность в отношении общей безопасности организации.
-----
Группировка Coinbase Cartel — это киберпреступная хакерская группировка, классифицируемая как группировка, занимающаяся вымогательством, которая начала свою деятельность в сентябре 2025 года. Они атаковали более 140 жертв в различных секторах, при этом особое внимание уделяли организациям в Соединенных Штатах и Франции. Метод работы картеля, по-видимому, включает использование атак на Цепочку поставок, что особенно ярко проявилось, когда несколько жертв из сектора недвижимости ОАЭ подверглись атакам в короткий промежуток времени. Имеются указания на то, что группировка сотрудничает с брокерами первоначального доступа (IAB), приобретая легитимный доступ к сетям, который, возможно, изначально был получен через сторонние сервисы, а не путем прямого использования учетных данных, украденных инфостилерами.
Ключевыми участниками этой операции являются злоумышленник, известный как g77, который активно участвует в киберкриминальных форумах, чтобы искать партнеров для доступа к учетным записям эл. почты и продвижения использования существующего ВПО и инструментов брутфорса. Одним из наиболее часто упоминаемых инструментов является утилита Ultimate RDP bruteforcer, способная выполнять быстрые атаки брутфорса на службы RDP (Протокол удаленного рабочего стола). Этот инструмент предназначен для одновременной атаки на несколько систем, обеспечивая высокую скорость попыток подбора паролей и, в идеале, получение учетных данных, которые затем могут быть проданы или использованы для организации дальнейших атак. Интерес злоумышленника к этому инструменту указывает на потенциальное использование его в своих операциях для сбора действительных учетных данных на множестве целей.
Группировка Coinbase Cartel также связана с конкретным IP-адресом, связанным с более ранними атаками, что указывает на то, что их деятельность может быть усилена за счет применения системного подхода к нацеливанию на службы RDP, тем самым эксплуатируя уязвимости в конфигурациях удаленного доступа организаций. Их постоянное присутствие на форумах киберкриминала и открытые призывы к сотрудничеству с другими преступниками свидетельствуют о структурированном подходе к расширению их операционных возможностей.
В заключение, деятельность Coinbase Cartel характеризуется сочетанием оппортунистических атак на цепочку поставок, сотрудничества с другими киберпреступниками и использования сложных инструментов для массовой кражи учетных данных. Их действия вызывают обеспокоенность в связи с растущей сложностью операций, связанных с программным обеспечением-вымогателем и утечками данных, а также с более широкими последствиями для безопасности организаций в различных секторах. Несмотря на недавнее снижение заявленного числа жертв, потенциал для аналогичных групп, перенимающих их методы, представляет собой постоянную угрозу в киберпространстве.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группировка Coinbase Cartel — это киберкриминальная группировка, активная с сентября 2025 года, которая в первую очередь нацелена на организации в США и Франции с помощью атак на Цепочку поставок. Они полагаются на брокеров первоначального доступа для проникновения в сети и используют такие инструменты, как утилита Ultimate RDP для брутфорса, чтобы проводить быстрые атаки брутфорса на службы Протокола удаленного рабочего стола, стремясь к краже учетных данных. Их структурированный подход к операциям, сотрудничество в форумах киберкриминала и фокус на эксплуатации уязвимостей вызывают обеспокоенность в отношении общей безопасности организации.
-----
Группировка Coinbase Cartel — это киберпреступная хакерская группировка, классифицируемая как группировка, занимающаяся вымогательством, которая начала свою деятельность в сентябре 2025 года. Они атаковали более 140 жертв в различных секторах, при этом особое внимание уделяли организациям в Соединенных Штатах и Франции. Метод работы картеля, по-видимому, включает использование атак на Цепочку поставок, что особенно ярко проявилось, когда несколько жертв из сектора недвижимости ОАЭ подверглись атакам в короткий промежуток времени. Имеются указания на то, что группировка сотрудничает с брокерами первоначального доступа (IAB), приобретая легитимный доступ к сетям, который, возможно, изначально был получен через сторонние сервисы, а не путем прямого использования учетных данных, украденных инфостилерами.
Ключевыми участниками этой операции являются злоумышленник, известный как g77, который активно участвует в киберкриминальных форумах, чтобы искать партнеров для доступа к учетным записям эл. почты и продвижения использования существующего ВПО и инструментов брутфорса. Одним из наиболее часто упоминаемых инструментов является утилита Ultimate RDP bruteforcer, способная выполнять быстрые атаки брутфорса на службы RDP (Протокол удаленного рабочего стола). Этот инструмент предназначен для одновременной атаки на несколько систем, обеспечивая высокую скорость попыток подбора паролей и, в идеале, получение учетных данных, которые затем могут быть проданы или использованы для организации дальнейших атак. Интерес злоумышленника к этому инструменту указывает на потенциальное использование его в своих операциях для сбора действительных учетных данных на множестве целей.
Группировка Coinbase Cartel также связана с конкретным IP-адресом, связанным с более ранними атаками, что указывает на то, что их деятельность может быть усилена за счет применения системного подхода к нацеливанию на службы RDP, тем самым эксплуатируя уязвимости в конфигурациях удаленного доступа организаций. Их постоянное присутствие на форумах киберкриминала и открытые призывы к сотрудничеству с другими преступниками свидетельствуют о структурированном подходе к расширению их операционных возможностей.
В заключение, деятельность Coinbase Cartel характеризуется сочетанием оппортунистических атак на цепочку поставок, сотрудничества с другими киберпреступниками и использования сложных инструментов для массовой кражи учетных данных. Их действия вызывают обеспокоенность в связи с растущей сложностью операций, связанных с программным обеспечением-вымогателем и утечками данных, а также с более широкими последствиями для безопасности организаций в различных секторах. Несмотря на недавнее снижение заявленного числа жертв, потенциал для аналогичных групп, перенимающих их методы, представляет собой постоянную угрозу в киберпространстве.
#ParsedReport #CompletenessHigh
24-06-2026
LoaderClient Malware Analysis: How WeedHack Uses Ethereum Smart Contracts for Resilient C2 Infrastructure
https://darkatlas.io/blog/loaderclient-malware-analysis-how-weedhack-uses-ethereum-smart-contracts-for-resilient-c2-infrastructure
Report completeness: High
Threats:
Loaderclient
Weedhack
Etherhiding_technique
Uac_bypass_technique
Seo_poisoning_technique
Zipbomb_technique
Victims:
Minecraft players, Gaming communities, Worldwide
Industry:
Entertainment, Financial
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 35
Hash: 2
Domain: 3
Url: 5
Coin: 1
IP: 1
Path: 3
Registry: 1
Soft:
Minecraft, Discord, Telegram, Steam, Windows Defender, Etherscan
Wallets:
mainnet
Crypto:
ethereum
Algorithms:
lzma, xor, chacha20, md5, sha1, sha256, zip
Functions:
Win32, method_1676, method_44717, method_1674, getDeclaredConstructor, Gson, method_1551, method_1548, getText, RPC, have more...
Win API:
decompress, readFile, getHostname, VirtualProtect, VirtualQuery, TlsGetValue
Win Services:
bits
Languages:
kotlin, java
Platforms:
amd64
YARA: Found
24-06-2026
LoaderClient Malware Analysis: How WeedHack Uses Ethereum Smart Contracts for Resilient C2 Infrastructure
https://darkatlas.io/blog/loaderclient-malware-analysis-how-weedhack-uses-ethereum-smart-contracts-for-resilient-c2-infrastructure
Report completeness: High
Threats:
Loaderclient
Weedhack
Etherhiding_technique
Uac_bypass_technique
Seo_poisoning_technique
Zipbomb_technique
Victims:
Minecraft players, Gaming communities, Worldwide
Industry:
Entertainment, Financial
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 35
Hash: 2
Domain: 3
Url: 5
Coin: 1
IP: 1
Path: 3
Registry: 1
Soft:
Minecraft, Discord, Telegram, Steam, Windows Defender, Etherscan
Wallets:
mainnet
Crypto:
ethereum
Algorithms:
lzma, xor, chacha20, md5, sha1, sha256, zip
Functions:
Win32, method_1676, method_44717, method_1674, getDeclaredConstructor, Gson, method_1551, method_1548, getText, RPC, have more...
Win API:
decompress, readFile, getHostname, VirtualProtect, VirtualQuery, TlsGetValue
Win Services:
bits
Languages:
kotlin, java
Platforms:
amd64
YARA: Found
CTT Report Hub
#ParsedReport #CompletenessHigh 24-06-2026 LoaderClient Malware Analysis: How WeedHack Uses Ethereum Smart Contracts for Resilient C2 Infrastructure https://darkatlas.io/blog/loaderclient-malware-analysis-how-weedhack-uses-ethereum-smart-contracts-for-resilient…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
LoaderClient — это вредоносный загрузчик, нацеленный на сообщество Minecraft, связанный с вредоносной кампанией WeedHack, который крадёт конфиденциальные данные сеанса, такие как токены Microsoft OAuth. Он использует инновационный механизм управления, называемый EtherHiding, опирающийся на смарт-контракты Ethereum для динамического получения URL-адреса C2, что повышает его устойчивость к обнаружению. ВПО работает в два этапа, применяя передовые техники уклонения, такие как пользовательская обфускация строк и обход проверки SSL, что делает его особенно опасным для пользователей, которых заманивают загрузить скомпрометированные моды.
-----
LoaderClient — это вредоносный загрузчик, нацеленный на Minecraft, связанный с кампанией WeedHack, работающей по модели ВПО как услуга.
Он маскируется под мод для Minecraft Fabric и крадёт конфиденциальные данные сессии, включая отображаемые имена и токены доступа Microsoft OAuth.
LoaderClient использует технику управления, называемую EtherHiding, которая применяет смарт-контракт Ethereum для динамического получения своего URL-адреса C2.
Вредоносное ПО работает в два этапа, где первый этап собирает учетные данные и запрашивает у смарт-контракта Ethereum активный URL-адрес C2.
Второй этап, загружаемый целиком в память, использует Java Native Interface Compiler (JNIC) версии 3.7.0 для сокрытия своей логики в нативном коде и уклонения от обнаружения.
Этот второй этап также разрешает свой C2 через контракт Ethereum и обходит проверку SSL, используя DNS-over-HTTPS для разрешения доменов.
WeedHack скомпрометировал более 116 000 уникальных хостов с начала 2026 года, в первую очередь нацеливаясь на сообщество Minecraft.
Тактики социального инжиниринга, включая продвижение на YouTube и отравление поисковой оптимизации (SEO), применяются для заманивания пользователей на загрузку скомпрометированных модов.
Заражённые жертвы выполняют полезную нагрузку, обеспечивающую расширенные возможности для наблюдения, включая доступ к веб-камере и кражу учётных данных.
LoaderClient использует собственную обфускацию строк и применяет zip-бомбу для обхода средств анализа.
Легитимная оболочка модификации Minecraft помогает вредоносному ПО обходить предупреждения безопасности.
Его зависимость от Ethereum обеспечивает непрерывную работу даже после зачисток порталов распространения.
Стратегии смягчения последствий включают блокировку ненужного трафика Ethereum RPC, мониторинг процессов Java и ограничение загрузки неофициальных модов для Minecraft.
Проактивная ротация учетных данных после предположительно выявленных заражений может снизить риски, связанные с похищенными OAuth-токенами.
Адрес контракта Ethereum, используемый для разрешения C2, является ключевым индикатором компрометации, предоставляющим сведения о деятельности операторов.
Продолжающаяся деятельность WeedHack демонстрирует необходимость в передовых стратегиях обнаружения для противодействия эволюционирующим киберугрозам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
LoaderClient — это вредоносный загрузчик, нацеленный на сообщество Minecraft, связанный с вредоносной кампанией WeedHack, который крадёт конфиденциальные данные сеанса, такие как токены Microsoft OAuth. Он использует инновационный механизм управления, называемый EtherHiding, опирающийся на смарт-контракты Ethereum для динамического получения URL-адреса C2, что повышает его устойчивость к обнаружению. ВПО работает в два этапа, применяя передовые техники уклонения, такие как пользовательская обфускация строк и обход проверки SSL, что делает его особенно опасным для пользователей, которых заманивают загрузить скомпрометированные моды.
-----
LoaderClient — это вредоносный загрузчик, нацеленный на Minecraft, связанный с кампанией WeedHack, работающей по модели ВПО как услуга.
Он маскируется под мод для Minecraft Fabric и крадёт конфиденциальные данные сессии, включая отображаемые имена и токены доступа Microsoft OAuth.
LoaderClient использует технику управления, называемую EtherHiding, которая применяет смарт-контракт Ethereum для динамического получения своего URL-адреса C2.
Вредоносное ПО работает в два этапа, где первый этап собирает учетные данные и запрашивает у смарт-контракта Ethereum активный URL-адрес C2.
Второй этап, загружаемый целиком в память, использует Java Native Interface Compiler (JNIC) версии 3.7.0 для сокрытия своей логики в нативном коде и уклонения от обнаружения.
Этот второй этап также разрешает свой C2 через контракт Ethereum и обходит проверку SSL, используя DNS-over-HTTPS для разрешения доменов.
WeedHack скомпрометировал более 116 000 уникальных хостов с начала 2026 года, в первую очередь нацеливаясь на сообщество Minecraft.
Тактики социального инжиниринга, включая продвижение на YouTube и отравление поисковой оптимизации (SEO), применяются для заманивания пользователей на загрузку скомпрометированных модов.
Заражённые жертвы выполняют полезную нагрузку, обеспечивающую расширенные возможности для наблюдения, включая доступ к веб-камере и кражу учётных данных.
LoaderClient использует собственную обфускацию строк и применяет zip-бомбу для обхода средств анализа.
Легитимная оболочка модификации Minecraft помогает вредоносному ПО обходить предупреждения безопасности.
Его зависимость от Ethereum обеспечивает непрерывную работу даже после зачисток порталов распространения.
Стратегии смягчения последствий включают блокировку ненужного трафика Ethereum RPC, мониторинг процессов Java и ограничение загрузки неофициальных модов для Minecraft.
Проактивная ротация учетных данных после предположительно выявленных заражений может снизить риски, связанные с похищенными OAuth-токенами.
Адрес контракта Ethereum, используемый для разрешения C2, является ключевым индикатором компрометации, предоставляющим сведения о деятельности операторов.
Продолжающаяся деятельность WeedHack демонстрирует необходимость в передовых стратегиях обнаружения для противодействия эволюционирующим киберугрозам.
#ParsedReport #CompletenessLow
26-06-2026
AsyncRAT Family Threat Overview
https://censys.com/blog/asyncrat-family-threat-overview/
Report completeness: Low
Threats:
Asyncrat
Dcrat
Venomrat
Quasar_rat
Trurat
Lmteamrat
Dumpling_rat
Echorat
Gh0st_rat
Bitrat
Cyberspike
Darkrat_rat
Shashenrat
Elegyrat
Jasonrat
Cyb3r_rat
Noneuclid_rat
Archosaurrat
Santarat
Phoenixrat
Pegasusrat
Magnumrat
Geo:
Chinese, Holland
ChatGPT TTPs:
T1140, T1571, T1573, T1587.001, T1588.001
IOCs:
IP: 5
Soft:
Windows remote access, Outlook
Win API:
ARC
26-06-2026
AsyncRAT Family Threat Overview
https://censys.com/blog/asyncrat-family-threat-overview/
Report completeness: Low
Threats:
Asyncrat
Dcrat
Venomrat
Quasar_rat
Trurat
Lmteamrat
Dumpling_rat
Echorat
Gh0st_rat
Bitrat
Cyberspike
Darkrat_rat
Shashenrat
Elegyrat
Jasonrat
Cyb3r_rat
Noneuclid_rat
Archosaurrat
Santarat
Phoenixrat
Pegasusrat
Magnumrat
Geo:
Chinese, Holland
ChatGPT TTPs:
do not use without manual checkT1140, T1571, T1573, T1587.001, T1588.001
IOCs:
IP: 5
Soft:
Windows remote access, Outlook
Win API:
ARC
Censys
AsyncRAT Family Threat Overview - Censys
New Censys ARC research identifies more than a dozen live C2 infrastructure instances as descendants of AsyncRAT.
CTT Report Hub
#ParsedReport #CompletenessLow 26-06-2026 AsyncRAT Family Threat Overview https://censys.com/blog/asyncrat-family-threat-overview/ Report completeness: Low Threats: Asyncrat Dcrat Venomrat Quasar_rat Trurat Lmteamrat Dumpling_rat Echorat Gh0st_rat Bitrat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
AsyncRAT — это известное семейство троянов удалённого доступа (RAT) для Windows с открытым исходным кодом, известное выпуском многочисленных вариантов, включая DCRAT и VenomRAT. Это семейство использует общую структуру сертификатов, идентифицируемую по определённым полям, что позволяет осуществлять обнаружение, несмотря на разнообразное брендинг и стандартные соглашения об именовании, которые могут скрывать его вредоносную природу. Значительное количество этих вариантов имеет активную инфраструктуру command-and-control, что усложняет усилия по обнаружению из-за совпадений с легитимными названиями, подчёркивая необходимость сфокусированного анализа их характеристик сертификатов и сетевого поведения.
-----
AsyncRAT — это значимое семейство троянов удалённого доступа (RAT) для Windows с открытым исходным кодом, которое разветвилось на множество вариантов, наиболее известными из которых являются DCRAT и VenomRAT. Семейство имеет непрерывную линию развития, характеризующуюся общей структурой сертификатов, унаследованной через его форки, в частности полями Имя организации (O), Населённый пункт (L) и Страна (C), которые имеют критическое значение для идентификации ВПО в различных вариантах. Шаблон сертификата, следующий за O= Имя от автора , L=SH, C=CN, служит надёжным сигналом для обнаружения, оставаясь неизменным несмотря на различия в названиях брендов, используемых для его различных форков.
С момента первоначального выпуска в январе 2019 года AsyncRAT породил около 40 именованных вариантов, при этом Censys подтвердил наличие живой инфраструктуры управления (C2) для 13 из них, что указывает на различные практики развертывания среди разных форков. Например, вариант с высокой активностью AsyncRAT насчитывает примерно 49 хостов, тогда как его потомок DCRAT имеет около 36 подтвержденных хостов. Другие заметные форки, такие как Gh0stRAT и VenomRAT, регистрируют 21 и 18 хостов соответственно. Продолжающееся сотрудничество между этими форками позволяет аналитикам использовать характеристики в полях сертификатов для отслеживания происхождения к родительским кодовым базам при расследовании угроз.
Семейство демонстрирует способность маскировать своё присутствие благодаря общим соглашениям об именовании, которые могут пересекаться с легитимными сущностями. В связи с этим усилия по обнаружению должны быть сосредоточены на отличительных характеристиках сертификатов и наблюдаемом сетевом поведении, а не полагаться исключительно на названия вариантов. Кроме того, наличие в нескольких сертификатах обработчиков сборки, таких как qwqdanchun и alexeikun, указывает на сеть связанных форков, что позволяет применять более дифференцированный подход к выявлению вредоносной активности, связанной с этими семействами RAT.
Обнаружение остаётся сложным из-за проблем с общими названиями, вызывающими ложные срабатывания. Например, варианты, такие как PhoenixRAT или PegasusRAT, могут направлять следователей на легитимные организации, усложняя приоритизацию оповещений. Тем не менее, структурированное отслеживание вариантов через их сертификаты — особенно тех, которые соответствуют указанным шаблонам — обеспечивает стабильную стратегию непрерывного выявления угроз в среде, где, вероятно, будет продолжаться разработка новых форков, наследующих уязвимости сертификатов DCRAT.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
AsyncRAT — это известное семейство троянов удалённого доступа (RAT) для Windows с открытым исходным кодом, известное выпуском многочисленных вариантов, включая DCRAT и VenomRAT. Это семейство использует общую структуру сертификатов, идентифицируемую по определённым полям, что позволяет осуществлять обнаружение, несмотря на разнообразное брендинг и стандартные соглашения об именовании, которые могут скрывать его вредоносную природу. Значительное количество этих вариантов имеет активную инфраструктуру command-and-control, что усложняет усилия по обнаружению из-за совпадений с легитимными названиями, подчёркивая необходимость сфокусированного анализа их характеристик сертификатов и сетевого поведения.
-----
AsyncRAT — это значимое семейство троянов удалённого доступа (RAT) для Windows с открытым исходным кодом, которое разветвилось на множество вариантов, наиболее известными из которых являются DCRAT и VenomRAT. Семейство имеет непрерывную линию развития, характеризующуюся общей структурой сертификатов, унаследованной через его форки, в частности полями Имя организации (O), Населённый пункт (L) и Страна (C), которые имеют критическое значение для идентификации ВПО в различных вариантах. Шаблон сертификата, следующий за O= Имя от автора , L=SH, C=CN, служит надёжным сигналом для обнаружения, оставаясь неизменным несмотря на различия в названиях брендов, используемых для его различных форков.
С момента первоначального выпуска в январе 2019 года AsyncRAT породил около 40 именованных вариантов, при этом Censys подтвердил наличие живой инфраструктуры управления (C2) для 13 из них, что указывает на различные практики развертывания среди разных форков. Например, вариант с высокой активностью AsyncRAT насчитывает примерно 49 хостов, тогда как его потомок DCRAT имеет около 36 подтвержденных хостов. Другие заметные форки, такие как Gh0stRAT и VenomRAT, регистрируют 21 и 18 хостов соответственно. Продолжающееся сотрудничество между этими форками позволяет аналитикам использовать характеристики в полях сертификатов для отслеживания происхождения к родительским кодовым базам при расследовании угроз.
Семейство демонстрирует способность маскировать своё присутствие благодаря общим соглашениям об именовании, которые могут пересекаться с легитимными сущностями. В связи с этим усилия по обнаружению должны быть сосредоточены на отличительных характеристиках сертификатов и наблюдаемом сетевом поведении, а не полагаться исключительно на названия вариантов. Кроме того, наличие в нескольких сертификатах обработчиков сборки, таких как qwqdanchun и alexeikun, указывает на сеть связанных форков, что позволяет применять более дифференцированный подход к выявлению вредоносной активности, связанной с этими семействами RAT.
Обнаружение остаётся сложным из-за проблем с общими названиями, вызывающими ложные срабатывания. Например, варианты, такие как PhoenixRAT или PegasusRAT, могут направлять следователей на легитимные организации, усложняя приоритизацию оповещений. Тем не менее, структурированное отслеживание вариантов через их сертификаты — особенно тех, которые соответствуют указанным шаблонам — обеспечивает стабильную стратегию непрерывного выявления угроз в среде, где, вероятно, будет продолжаться разработка новых форков, наследующих уязвимости сертификатов DCRAT.
#ParsedReport #CompletenessLow
26-06-2026
Understanding Langflow CVE-2026-55255, and why higher CVSS vulnerabilities aren't always the most exploited
https://webflow.sysdig.com/blog/understanding-langflow-cve-2026-55255-and-why-higher-cvss-vulnerabilities-arent-always-the-most-exploited
Report completeness: Low
Victims:
Langflow, Artificial intelligence platforms, Managed saas platforms
Industry:
Healthcare
CVEs:
CVE-2026-33017 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.8.2)
CVE-2026-55255 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.9.2)
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1059.004, T1059.006, T1105, T1190, T1212, T1552.001, T1595
IOCs:
IP: 2
Url: 1
Soft:
Langflow, curl
Win Services:
bits
Languages:
python
Links:
26-06-2026
Understanding Langflow CVE-2026-55255, and why higher CVSS vulnerabilities aren't always the most exploited
https://webflow.sysdig.com/blog/understanding-langflow-cve-2026-55255-and-why-higher-cvss-vulnerabilities-arent-always-the-most-exploited
Report completeness: Low
Victims:
Langflow, Artificial intelligence platforms, Managed saas platforms
Industry:
Healthcare
CVEs:
CVE-2026-33017 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.8.2)
CVE-2026-55255 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.9.2)
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1059.004, T1059.006, T1105, T1190, T1212, T1552.001, T1595
IOCs:
IP: 2
Url: 1
Soft:
Langflow, curl
Win Services:
bits
Languages:
python
Links:
https://github.com/langflow-ai/langflowSysdig
Understanding Langflow CVE-2026-55255, and why higher CVSS vulnerabilities aren't always the most exploited | Sysdig
The Sysdig TRT observed the first known exploitation of Langflow CVE-2026-55255, a CVSS 9.9 IDOR, alongside CVE-2026-33017, a CVSS 9.3 RCE, in the same session. Here's what the effort split tells us about how CVSS scores map to real-world risk.
CTT Report Hub
#ParsedReport #CompletenessLow 26-06-2026 Understanding Langflow CVE-2026-55255, and why higher CVSS vulnerabilities aren't always the most exploited https://webflow.sysdig.com/blog/understanding-langflow-cve-2026-55255-and-why-higher-cvss-vulnerabilities…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
25 июня 2026 года выявлена эксплуатация критической уязвимости Langflow CVE-2026-55255 (CVSS 9.9), связанная с небезопасной прямой ссылкой на объект между арендаторами (IDOR), позволяющей несанкционированное выполнение пользовательских потоков через дефектный API. Параллельно CVE-2026-33017 (CVSS 9.3) обеспечивала удаленное Выполнение Кода (RCE) без аутентификации, что активно использовалось для кражи учетных данных. Последовательность атаки включала разведку, перечисление потоков и использование обеих уязвимостей для сбора ресурсов и компрометации учетных данных, подчеркивая компромисс между доступностью и серьезностью в тактиках эксплуатации.
-----
25 июня 2026 года команда Sysdig Threat Research Team (TRT) обнаружила первую активную эксплуатацию критической уязвимости Langflow, CVE-2026-55255, имеющей оценку CVSS 9.9. Эта уязвимость представляет собой небезопасную прямую ссылку на объект между арендаторами (IDOR), которая позволяет аутентифицированным пользователям выполнять любой поток другого пользователя с действительным UUID без надлежащих проверок владения. В отличие от этого, связанная уязвимость CVE-2026-33017 получила оценку CVSS 9.3 и включает несанкционированное Удаленное Выполнение Кода (RCE), которое уже подверглось значительной эксплуатации. Оператор атаки использовал обе уязвимости, делая больший упор на RCE из-за его более широкого потенциала атаки, что подчеркивает парадокс «усилия-результата» в стратегиях эксплуатации уязвимостей.
Эксплуатация CVE-2026-55255 осуществляется через совместимый с OpenAI API-эндпоинт (POST /api/v1/responses), где недостатки в разрешении UUID потока позволяют несанкционированный доступ. Однако для этой уязвимости, в отличие от CVE-2026-33017, нет общедоступных доказательств концепции (PoC) или обширных данных разведки угроз; последняя была широко использована в качестве оружия вскоре после раскрытия, что привело к тысячам атак, сосредоточенных на краже учетных данных и вредоносных развертываниях.
Взаимосвязь между двумя уязвимостями показывает, что, хотя CVE-2026-55255 представляет опасность, особенно в многопользовательских системах, где RCE изолирован, путь её эксплуатации менее доступен без получения конкретного UUID потока жертвы. При прямом сравнении RCE позволяет злоумышленникам достигать более широких последствий посредством выполнения произвольного кода, превосходя IDOR в сценариях эксплуатации.
В наблюдаемой атаке активность оператора началась с разведки, за которой последовало перечисление потоков, что привело к использованию CVE-2026-55255. Впоследствии значительная активность с использованием RCE была направлена на сервер с целью выполнения команд, которые загружали дополнительное ВПО из инфраструктуры оператора. Метод работы был систематическим и высокоавтоматизированным, с фокусом на использовании RCE для контроля хоста, в то время как IDOR был направлен на учетные данные других арендаторов.
Оператор использовал обе уязвимости для достижения двойных целей: сбора вычислительных ресурсов через RCE и компрометации высокоценных учетных данных, хранящихся в рабочих процессах Langflow, посредством IDOR. Это различие иллюстрирует понимание оператором контекстной эксплуатации уязвимостей, подчеркивая, что, хотя оценки CVSS указывают на потенциальную серьезность, фактическая динамика эксплуатации часто отдает приоритет более доступным векторам, таким как неаутентифицированный RCE, по сравнению с более сложными уязвимостями, требующими специфических условий для эксплуатации. Этот случай подчеркивает необходимость для организаций, использующих Langflow, особенно в многопользовательской архитектуре, приоритизировать исправление CVE-2026-55255 для эффективного снижения рисков, учитывая его скрытный характер и потенциальную возможность утечки данных. По мере эволюции киберугроз важность быстрого исправления и улучшения механизмов мониторинга имеет первостепенное значение для защиты конфиденциальных сред.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
25 июня 2026 года выявлена эксплуатация критической уязвимости Langflow CVE-2026-55255 (CVSS 9.9), связанная с небезопасной прямой ссылкой на объект между арендаторами (IDOR), позволяющей несанкционированное выполнение пользовательских потоков через дефектный API. Параллельно CVE-2026-33017 (CVSS 9.3) обеспечивала удаленное Выполнение Кода (RCE) без аутентификации, что активно использовалось для кражи учетных данных. Последовательность атаки включала разведку, перечисление потоков и использование обеих уязвимостей для сбора ресурсов и компрометации учетных данных, подчеркивая компромисс между доступностью и серьезностью в тактиках эксплуатации.
-----
25 июня 2026 года команда Sysdig Threat Research Team (TRT) обнаружила первую активную эксплуатацию критической уязвимости Langflow, CVE-2026-55255, имеющей оценку CVSS 9.9. Эта уязвимость представляет собой небезопасную прямую ссылку на объект между арендаторами (IDOR), которая позволяет аутентифицированным пользователям выполнять любой поток другого пользователя с действительным UUID без надлежащих проверок владения. В отличие от этого, связанная уязвимость CVE-2026-33017 получила оценку CVSS 9.3 и включает несанкционированное Удаленное Выполнение Кода (RCE), которое уже подверглось значительной эксплуатации. Оператор атаки использовал обе уязвимости, делая больший упор на RCE из-за его более широкого потенциала атаки, что подчеркивает парадокс «усилия-результата» в стратегиях эксплуатации уязвимостей.
Эксплуатация CVE-2026-55255 осуществляется через совместимый с OpenAI API-эндпоинт (POST /api/v1/responses), где недостатки в разрешении UUID потока позволяют несанкционированный доступ. Однако для этой уязвимости, в отличие от CVE-2026-33017, нет общедоступных доказательств концепции (PoC) или обширных данных разведки угроз; последняя была широко использована в качестве оружия вскоре после раскрытия, что привело к тысячам атак, сосредоточенных на краже учетных данных и вредоносных развертываниях.
Взаимосвязь между двумя уязвимостями показывает, что, хотя CVE-2026-55255 представляет опасность, особенно в многопользовательских системах, где RCE изолирован, путь её эксплуатации менее доступен без получения конкретного UUID потока жертвы. При прямом сравнении RCE позволяет злоумышленникам достигать более широких последствий посредством выполнения произвольного кода, превосходя IDOR в сценариях эксплуатации.
В наблюдаемой атаке активность оператора началась с разведки, за которой последовало перечисление потоков, что привело к использованию CVE-2026-55255. Впоследствии значительная активность с использованием RCE была направлена на сервер с целью выполнения команд, которые загружали дополнительное ВПО из инфраструктуры оператора. Метод работы был систематическим и высокоавтоматизированным, с фокусом на использовании RCE для контроля хоста, в то время как IDOR был направлен на учетные данные других арендаторов.
Оператор использовал обе уязвимости для достижения двойных целей: сбора вычислительных ресурсов через RCE и компрометации высокоценных учетных данных, хранящихся в рабочих процессах Langflow, посредством IDOR. Это различие иллюстрирует понимание оператором контекстной эксплуатации уязвимостей, подчеркивая, что, хотя оценки CVSS указывают на потенциальную серьезность, фактическая динамика эксплуатации часто отдает приоритет более доступным векторам, таким как неаутентифицированный RCE, по сравнению с более сложными уязвимостями, требующими специфических условий для эксплуатации. Этот случай подчеркивает необходимость для организаций, использующих Langflow, особенно в многопользовательской архитектуре, приоритизировать исправление CVE-2026-55255 для эффективного снижения рисков, учитывая его скрытный характер и потенциальную возможность утечки данных. По мере эволюции киберугроз важность быстрого исправления и улучшения механизмов мониторинга имеет первостепенное значение для защиты конфиденциальных сред.
#ParsedReport #CompletenessLow
25-06-2026
“Alright Lets See If This Works”: Shai-Hulud / Miasma / Hades Variant Spreads on npm
https://www.ox.security/blog/alright-lets-see-if-this-works-shai-hulud-miasma-hades-variant-spreads-on-npm
Report completeness: Low
Actors/Campaigns:
Teampcp
Threats:
Shai-hulud
Miasma
Hades
Victims:
Software, Open source developers, Cloud services
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1078, T1082, T1195.001, T1528, T1567.001
IOCs:
File: 2
Url: 2
Links:
have more...
25-06-2026
“Alright Lets See If This Works”: Shai-Hulud / Miasma / Hades Variant Spreads on npm
https://www.ox.security/blog/alright-lets-see-if-this-works-shai-hulud-miasma-hades-variant-spreads-on-npm
Report completeness: Low
Actors/Campaigns:
Teampcp
Threats:
Shai-hulud
Miasma
Hades
Victims:
Software, Open source developers, Cloud services
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1078, T1082, T1195.001, T1528, T1567.001
IOCs:
File: 2
Url: 2
Links:
https://github.com/miaxxxxxxhave more...
https://github.com/search?q=%22Alright+Lets+See+If+This+Works%22&type=repositories&s=updated&o=deschttps://github.com/l3v1csOX Security
“Alright Lets See If This Works”: Shai-Hulud / Miasma / Hades Variant Spreads on npm - OX Security
Compromised developer account “czirker” was hacked to deliver a new Shai-Hulud / Miasma / Hades variant, affecting total of 52,640 monthly downloads Breaking News: New Shai-Hulud / Miasma / Hades variant spreads on npm, containing a multi-stage dropper with…
CTT Report Hub
#ParsedReport #CompletenessLow 25-06-2026 “Alright Lets See If This Works”: Shai-Hulud / Miasma / Hades Variant Spreads on npm https://www.ox.security/blog/alright-lets-see-if-this-works-shai-hulud-miasma-hades-variant-spreads-on-npm Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Новый вариант стиллер-ВПО под названием Miasma появился в экосистеме npm, затронув около 52 640 загрузок в месяц из-за компрометации учетной записи разработчика. Этот многоэтапный загрузчик запускается при установке с использованием файла binding.gyp и целенаправленно собирает конфиденциальные учетные данные с таких платформ, как GitHub и AWS. Его необычное поведение, включая уникальную строку загрузки и ссылки на другой вариант под названием Hades, указывает на возможное участие нового злоумышленника и подчеркивает существующие уязвимости в инфраструктуре npm.
-----
Новый вариант стиллера, известный как Miasma, в настоящее время распространяется в экосистеме npm после компрометации учетной записи разработчика czirker. Эта атака затронула около 52 640 загрузок в месяц. Обновленные пакеты содержат многоэтапный загрузчик, который активируется через предварительно настроенный файл binding.gyp и выполняется напрямую при установке. Основная цель этого ВПО — кража конфиденциальных учетных данных, таких как токены GitHub, токены npm и учетные данные облачных сервисов от AWS, GCP и Azure.
Анализ показывает, что учетные данные были загружены на GitHub с использованием уникальной строки «Alright Lets See If This Works», которая отклоняется от стандартных соглашений об именовании, наблюдавшихся в предыдущих версиях. Эта модификация, наряду с внедрением новых публичных криптографических ключей, указывает на то, что данный вариант может быть продуктом другого актора, чем те, которые связаны с предыдущими вариантами Miasma или TeamPCP. ВПО использует технику распространения путем поиска последних коммитов, в частности одного от пользователя firedalazer на GitHub, что указывает на продолжающуюся уязвимость в экосистеме.
Кроме того, дальнейший анализ выгруженного ВПО выявляет связи с другим вариантом под названием Hades, озаглавленным "The End for the Damned." Как и Miasma, этот вариант также содержит уникальные открытые ключи, что указывает на общее происхождение или, по крайней мере, связь между этими угрозами. Несмотря на повторяющиеся проблемы с вредоносным кодом в пакетах npm и продолжающиеся дискуссии о внедрении более эффективных механизмов обнаружения, ситуация остается критической, о чем свидетельствует широкое распространение таких техник в недавних атаках. Потенциальные последствия для разработчиков и организаций, использующих инфраструктуру npm, значительны, что подчеркивает необходимость усиления мер безопасности и бдительности в отношении кражи учетных данных и распространения ВПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Новый вариант стиллер-ВПО под названием Miasma появился в экосистеме npm, затронув около 52 640 загрузок в месяц из-за компрометации учетной записи разработчика. Этот многоэтапный загрузчик запускается при установке с использованием файла binding.gyp и целенаправленно собирает конфиденциальные учетные данные с таких платформ, как GitHub и AWS. Его необычное поведение, включая уникальную строку загрузки и ссылки на другой вариант под названием Hades, указывает на возможное участие нового злоумышленника и подчеркивает существующие уязвимости в инфраструктуре npm.
-----
Новый вариант стиллера, известный как Miasma, в настоящее время распространяется в экосистеме npm после компрометации учетной записи разработчика czirker. Эта атака затронула около 52 640 загрузок в месяц. Обновленные пакеты содержат многоэтапный загрузчик, который активируется через предварительно настроенный файл binding.gyp и выполняется напрямую при установке. Основная цель этого ВПО — кража конфиденциальных учетных данных, таких как токены GitHub, токены npm и учетные данные облачных сервисов от AWS, GCP и Azure.
Анализ показывает, что учетные данные были загружены на GitHub с использованием уникальной строки «Alright Lets See If This Works», которая отклоняется от стандартных соглашений об именовании, наблюдавшихся в предыдущих версиях. Эта модификация, наряду с внедрением новых публичных криптографических ключей, указывает на то, что данный вариант может быть продуктом другого актора, чем те, которые связаны с предыдущими вариантами Miasma или TeamPCP. ВПО использует технику распространения путем поиска последних коммитов, в частности одного от пользователя firedalazer на GitHub, что указывает на продолжающуюся уязвимость в экосистеме.
Кроме того, дальнейший анализ выгруженного ВПО выявляет связи с другим вариантом под названием Hades, озаглавленным "The End for the Damned." Как и Miasma, этот вариант также содержит уникальные открытые ключи, что указывает на общее происхождение или, по крайней мере, связь между этими угрозами. Несмотря на повторяющиеся проблемы с вредоносным кодом в пакетах npm и продолжающиеся дискуссии о внедрении более эффективных механизмов обнаружения, ситуация остается критической, о чем свидетельствует широкое распространение таких техник в недавних атаках. Потенциальные последствия для разработчиков и организаций, использующих инфраструктуру npm, значительны, что подчеркивает необходимость усиления мер безопасности и бдительности в отношении кражи учетных данных и распространения ВПО.
#ParsedReport #CompletenessLow
26-06-2026
Beyond Banking Trojans: Rokarolla Expands the Android Fraud Playbook
https://blog.polyswarm.io/beyond-banking-trojans-rokarolla-expands-the-android-fraud-playbook
Report completeness: Low
Threats:
Rokarolla
Credential_harvesting_technique
Victims:
Banking, Cryptocurrency, Android users
Industry:
Financial
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1008, T1036, T1041, T1056.001, T1056.002, T1071.001, T1082, T1111, T1113, T1204, have more...
IOCs:
Hash: 35
Soft:
Android, TikTok, Google Chrome, Google Play
26-06-2026
Beyond Banking Trojans: Rokarolla Expands the Android Fraud Playbook
https://blog.polyswarm.io/beyond-banking-trojans-rokarolla-expands-the-android-fraud-playbook
Report completeness: Low
Threats:
Rokarolla
Credential_harvesting_technique
Victims:
Banking, Cryptocurrency, Android users
Industry:
Financial
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1008, T1036, T1041, T1056.001, T1056.002, T1071.001, T1082, T1111, T1113, T1204, have more...
IOCs:
Hash: 35
Soft:
Android, TikTok, Google Chrome, Google Play
blog.polyswarm.io
Beyond Banking Trojans: Rokarolla Expands the Android Fraud Playbook
Researchers have identified Rokarolla, a newly discovered Android banking trojan distributed through malicious websites impersonating trusted applications such as TikTok, Google Chrome, and Google Play Protect.