CTT Report Hub
#ParsedReport #CompletenessLow 26-06-2026 Understanding Langflow CVE-2026-55255, and why higher CVSS vulnerabilities aren't always the most exploited https://webflow.sysdig.com/blog/understanding-langflow-cve-2026-55255-and-why-higher-cvss-vulnerabilities…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
25 июня 2026 года выявлена эксплуатация критической уязвимости Langflow CVE-2026-55255 (CVSS 9.9), связанная с небезопасной прямой ссылкой на объект между арендаторами (IDOR), позволяющей несанкционированное выполнение пользовательских потоков через дефектный API. Параллельно CVE-2026-33017 (CVSS 9.3) обеспечивала удаленное Выполнение Кода (RCE) без аутентификации, что активно использовалось для кражи учетных данных. Последовательность атаки включала разведку, перечисление потоков и использование обеих уязвимостей для сбора ресурсов и компрометации учетных данных, подчеркивая компромисс между доступностью и серьезностью в тактиках эксплуатации.
-----
25 июня 2026 года команда Sysdig Threat Research Team (TRT) обнаружила первую активную эксплуатацию критической уязвимости Langflow, CVE-2026-55255, имеющей оценку CVSS 9.9. Эта уязвимость представляет собой небезопасную прямую ссылку на объект между арендаторами (IDOR), которая позволяет аутентифицированным пользователям выполнять любой поток другого пользователя с действительным UUID без надлежащих проверок владения. В отличие от этого, связанная уязвимость CVE-2026-33017 получила оценку CVSS 9.3 и включает несанкционированное Удаленное Выполнение Кода (RCE), которое уже подверглось значительной эксплуатации. Оператор атаки использовал обе уязвимости, делая больший упор на RCE из-за его более широкого потенциала атаки, что подчеркивает парадокс «усилия-результата» в стратегиях эксплуатации уязвимостей.
Эксплуатация CVE-2026-55255 осуществляется через совместимый с OpenAI API-эндпоинт (POST /api/v1/responses), где недостатки в разрешении UUID потока позволяют несанкционированный доступ. Однако для этой уязвимости, в отличие от CVE-2026-33017, нет общедоступных доказательств концепции (PoC) или обширных данных разведки угроз; последняя была широко использована в качестве оружия вскоре после раскрытия, что привело к тысячам атак, сосредоточенных на краже учетных данных и вредоносных развертываниях.
Взаимосвязь между двумя уязвимостями показывает, что, хотя CVE-2026-55255 представляет опасность, особенно в многопользовательских системах, где RCE изолирован, путь её эксплуатации менее доступен без получения конкретного UUID потока жертвы. При прямом сравнении RCE позволяет злоумышленникам достигать более широких последствий посредством выполнения произвольного кода, превосходя IDOR в сценариях эксплуатации.
В наблюдаемой атаке активность оператора началась с разведки, за которой последовало перечисление потоков, что привело к использованию CVE-2026-55255. Впоследствии значительная активность с использованием RCE была направлена на сервер с целью выполнения команд, которые загружали дополнительное ВПО из инфраструктуры оператора. Метод работы был систематическим и высокоавтоматизированным, с фокусом на использовании RCE для контроля хоста, в то время как IDOR был направлен на учетные данные других арендаторов.
Оператор использовал обе уязвимости для достижения двойных целей: сбора вычислительных ресурсов через RCE и компрометации высокоценных учетных данных, хранящихся в рабочих процессах Langflow, посредством IDOR. Это различие иллюстрирует понимание оператором контекстной эксплуатации уязвимостей, подчеркивая, что, хотя оценки CVSS указывают на потенциальную серьезность, фактическая динамика эксплуатации часто отдает приоритет более доступным векторам, таким как неаутентифицированный RCE, по сравнению с более сложными уязвимостями, требующими специфических условий для эксплуатации. Этот случай подчеркивает необходимость для организаций, использующих Langflow, особенно в многопользовательской архитектуре, приоритизировать исправление CVE-2026-55255 для эффективного снижения рисков, учитывая его скрытный характер и потенциальную возможность утечки данных. По мере эволюции киберугроз важность быстрого исправления и улучшения механизмов мониторинга имеет первостепенное значение для защиты конфиденциальных сред.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
25 июня 2026 года выявлена эксплуатация критической уязвимости Langflow CVE-2026-55255 (CVSS 9.9), связанная с небезопасной прямой ссылкой на объект между арендаторами (IDOR), позволяющей несанкционированное выполнение пользовательских потоков через дефектный API. Параллельно CVE-2026-33017 (CVSS 9.3) обеспечивала удаленное Выполнение Кода (RCE) без аутентификации, что активно использовалось для кражи учетных данных. Последовательность атаки включала разведку, перечисление потоков и использование обеих уязвимостей для сбора ресурсов и компрометации учетных данных, подчеркивая компромисс между доступностью и серьезностью в тактиках эксплуатации.
-----
25 июня 2026 года команда Sysdig Threat Research Team (TRT) обнаружила первую активную эксплуатацию критической уязвимости Langflow, CVE-2026-55255, имеющей оценку CVSS 9.9. Эта уязвимость представляет собой небезопасную прямую ссылку на объект между арендаторами (IDOR), которая позволяет аутентифицированным пользователям выполнять любой поток другого пользователя с действительным UUID без надлежащих проверок владения. В отличие от этого, связанная уязвимость CVE-2026-33017 получила оценку CVSS 9.3 и включает несанкционированное Удаленное Выполнение Кода (RCE), которое уже подверглось значительной эксплуатации. Оператор атаки использовал обе уязвимости, делая больший упор на RCE из-за его более широкого потенциала атаки, что подчеркивает парадокс «усилия-результата» в стратегиях эксплуатации уязвимостей.
Эксплуатация CVE-2026-55255 осуществляется через совместимый с OpenAI API-эндпоинт (POST /api/v1/responses), где недостатки в разрешении UUID потока позволяют несанкционированный доступ. Однако для этой уязвимости, в отличие от CVE-2026-33017, нет общедоступных доказательств концепции (PoC) или обширных данных разведки угроз; последняя была широко использована в качестве оружия вскоре после раскрытия, что привело к тысячам атак, сосредоточенных на краже учетных данных и вредоносных развертываниях.
Взаимосвязь между двумя уязвимостями показывает, что, хотя CVE-2026-55255 представляет опасность, особенно в многопользовательских системах, где RCE изолирован, путь её эксплуатации менее доступен без получения конкретного UUID потока жертвы. При прямом сравнении RCE позволяет злоумышленникам достигать более широких последствий посредством выполнения произвольного кода, превосходя IDOR в сценариях эксплуатации.
В наблюдаемой атаке активность оператора началась с разведки, за которой последовало перечисление потоков, что привело к использованию CVE-2026-55255. Впоследствии значительная активность с использованием RCE была направлена на сервер с целью выполнения команд, которые загружали дополнительное ВПО из инфраструктуры оператора. Метод работы был систематическим и высокоавтоматизированным, с фокусом на использовании RCE для контроля хоста, в то время как IDOR был направлен на учетные данные других арендаторов.
Оператор использовал обе уязвимости для достижения двойных целей: сбора вычислительных ресурсов через RCE и компрометации высокоценных учетных данных, хранящихся в рабочих процессах Langflow, посредством IDOR. Это различие иллюстрирует понимание оператором контекстной эксплуатации уязвимостей, подчеркивая, что, хотя оценки CVSS указывают на потенциальную серьезность, фактическая динамика эксплуатации часто отдает приоритет более доступным векторам, таким как неаутентифицированный RCE, по сравнению с более сложными уязвимостями, требующими специфических условий для эксплуатации. Этот случай подчеркивает необходимость для организаций, использующих Langflow, особенно в многопользовательской архитектуре, приоритизировать исправление CVE-2026-55255 для эффективного снижения рисков, учитывая его скрытный характер и потенциальную возможность утечки данных. По мере эволюции киберугроз важность быстрого исправления и улучшения механизмов мониторинга имеет первостепенное значение для защиты конфиденциальных сред.
#ParsedReport #CompletenessLow
25-06-2026
“Alright Lets See If This Works”: Shai-Hulud / Miasma / Hades Variant Spreads on npm
https://www.ox.security/blog/alright-lets-see-if-this-works-shai-hulud-miasma-hades-variant-spreads-on-npm
Report completeness: Low
Actors/Campaigns:
Teampcp
Threats:
Shai-hulud
Miasma
Hades
Victims:
Software, Open source developers, Cloud services
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1078, T1082, T1195.001, T1528, T1567.001
IOCs:
File: 2
Url: 2
Links:
have more...
25-06-2026
“Alright Lets See If This Works”: Shai-Hulud / Miasma / Hades Variant Spreads on npm
https://www.ox.security/blog/alright-lets-see-if-this-works-shai-hulud-miasma-hades-variant-spreads-on-npm
Report completeness: Low
Actors/Campaigns:
Teampcp
Threats:
Shai-hulud
Miasma
Hades
Victims:
Software, Open source developers, Cloud services
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1078, T1082, T1195.001, T1528, T1567.001
IOCs:
File: 2
Url: 2
Links:
https://github.com/miaxxxxxxhave more...
https://github.com/search?q=%22Alright+Lets+See+If+This+Works%22&type=repositories&s=updated&o=deschttps://github.com/l3v1csOX Security
“Alright Lets See If This Works”: Shai-Hulud / Miasma / Hades Variant Spreads on npm - OX Security
Compromised developer account “czirker” was hacked to deliver a new Shai-Hulud / Miasma / Hades variant, affecting total of 52,640 monthly downloads Breaking News: New Shai-Hulud / Miasma / Hades variant spreads on npm, containing a multi-stage dropper with…
CTT Report Hub
#ParsedReport #CompletenessLow 25-06-2026 “Alright Lets See If This Works”: Shai-Hulud / Miasma / Hades Variant Spreads on npm https://www.ox.security/blog/alright-lets-see-if-this-works-shai-hulud-miasma-hades-variant-spreads-on-npm Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Новый вариант стиллер-ВПО под названием Miasma появился в экосистеме npm, затронув около 52 640 загрузок в месяц из-за компрометации учетной записи разработчика. Этот многоэтапный загрузчик запускается при установке с использованием файла binding.gyp и целенаправленно собирает конфиденциальные учетные данные с таких платформ, как GitHub и AWS. Его необычное поведение, включая уникальную строку загрузки и ссылки на другой вариант под названием Hades, указывает на возможное участие нового злоумышленника и подчеркивает существующие уязвимости в инфраструктуре npm.
-----
Новый вариант стиллера, известный как Miasma, в настоящее время распространяется в экосистеме npm после компрометации учетной записи разработчика czirker. Эта атака затронула около 52 640 загрузок в месяц. Обновленные пакеты содержат многоэтапный загрузчик, который активируется через предварительно настроенный файл binding.gyp и выполняется напрямую при установке. Основная цель этого ВПО — кража конфиденциальных учетных данных, таких как токены GitHub, токены npm и учетные данные облачных сервисов от AWS, GCP и Azure.
Анализ показывает, что учетные данные были загружены на GitHub с использованием уникальной строки «Alright Lets See If This Works», которая отклоняется от стандартных соглашений об именовании, наблюдавшихся в предыдущих версиях. Эта модификация, наряду с внедрением новых публичных криптографических ключей, указывает на то, что данный вариант может быть продуктом другого актора, чем те, которые связаны с предыдущими вариантами Miasma или TeamPCP. ВПО использует технику распространения путем поиска последних коммитов, в частности одного от пользователя firedalazer на GitHub, что указывает на продолжающуюся уязвимость в экосистеме.
Кроме того, дальнейший анализ выгруженного ВПО выявляет связи с другим вариантом под названием Hades, озаглавленным "The End for the Damned." Как и Miasma, этот вариант также содержит уникальные открытые ключи, что указывает на общее происхождение или, по крайней мере, связь между этими угрозами. Несмотря на повторяющиеся проблемы с вредоносным кодом в пакетах npm и продолжающиеся дискуссии о внедрении более эффективных механизмов обнаружения, ситуация остается критической, о чем свидетельствует широкое распространение таких техник в недавних атаках. Потенциальные последствия для разработчиков и организаций, использующих инфраструктуру npm, значительны, что подчеркивает необходимость усиления мер безопасности и бдительности в отношении кражи учетных данных и распространения ВПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Новый вариант стиллер-ВПО под названием Miasma появился в экосистеме npm, затронув около 52 640 загрузок в месяц из-за компрометации учетной записи разработчика. Этот многоэтапный загрузчик запускается при установке с использованием файла binding.gyp и целенаправленно собирает конфиденциальные учетные данные с таких платформ, как GitHub и AWS. Его необычное поведение, включая уникальную строку загрузки и ссылки на другой вариант под названием Hades, указывает на возможное участие нового злоумышленника и подчеркивает существующие уязвимости в инфраструктуре npm.
-----
Новый вариант стиллера, известный как Miasma, в настоящее время распространяется в экосистеме npm после компрометации учетной записи разработчика czirker. Эта атака затронула около 52 640 загрузок в месяц. Обновленные пакеты содержат многоэтапный загрузчик, который активируется через предварительно настроенный файл binding.gyp и выполняется напрямую при установке. Основная цель этого ВПО — кража конфиденциальных учетных данных, таких как токены GitHub, токены npm и учетные данные облачных сервисов от AWS, GCP и Azure.
Анализ показывает, что учетные данные были загружены на GitHub с использованием уникальной строки «Alright Lets See If This Works», которая отклоняется от стандартных соглашений об именовании, наблюдавшихся в предыдущих версиях. Эта модификация, наряду с внедрением новых публичных криптографических ключей, указывает на то, что данный вариант может быть продуктом другого актора, чем те, которые связаны с предыдущими вариантами Miasma или TeamPCP. ВПО использует технику распространения путем поиска последних коммитов, в частности одного от пользователя firedalazer на GitHub, что указывает на продолжающуюся уязвимость в экосистеме.
Кроме того, дальнейший анализ выгруженного ВПО выявляет связи с другим вариантом под названием Hades, озаглавленным "The End for the Damned." Как и Miasma, этот вариант также содержит уникальные открытые ключи, что указывает на общее происхождение или, по крайней мере, связь между этими угрозами. Несмотря на повторяющиеся проблемы с вредоносным кодом в пакетах npm и продолжающиеся дискуссии о внедрении более эффективных механизмов обнаружения, ситуация остается критической, о чем свидетельствует широкое распространение таких техник в недавних атаках. Потенциальные последствия для разработчиков и организаций, использующих инфраструктуру npm, значительны, что подчеркивает необходимость усиления мер безопасности и бдительности в отношении кражи учетных данных и распространения ВПО.
#ParsedReport #CompletenessLow
26-06-2026
Beyond Banking Trojans: Rokarolla Expands the Android Fraud Playbook
https://blog.polyswarm.io/beyond-banking-trojans-rokarolla-expands-the-android-fraud-playbook
Report completeness: Low
Threats:
Rokarolla
Credential_harvesting_technique
Victims:
Banking, Cryptocurrency, Android users
Industry:
Financial
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1008, T1036, T1041, T1056.001, T1056.002, T1071.001, T1082, T1111, T1113, T1204, have more...
IOCs:
Hash: 35
Soft:
Android, TikTok, Google Chrome, Google Play
26-06-2026
Beyond Banking Trojans: Rokarolla Expands the Android Fraud Playbook
https://blog.polyswarm.io/beyond-banking-trojans-rokarolla-expands-the-android-fraud-playbook
Report completeness: Low
Threats:
Rokarolla
Credential_harvesting_technique
Victims:
Banking, Cryptocurrency, Android users
Industry:
Financial
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1008, T1036, T1041, T1056.001, T1056.002, T1071.001, T1082, T1111, T1113, T1204, have more...
IOCs:
Hash: 35
Soft:
Android, TikTok, Google Chrome, Google Play
blog.polyswarm.io
Beyond Banking Trojans: Rokarolla Expands the Android Fraud Playbook
Researchers have identified Rokarolla, a newly discovered Android banking trojan distributed through malicious websites impersonating trusted applications such as TikTok, Google Chrome, and Google Play Protect.
CTT Report Hub
#ParsedReport #CompletenessLow 26-06-2026 Beyond Banking Trojans: Rokarolla Expands the Android Fraud Playbook https://blog.polyswarm.io/beyond-banking-trojans-rokarolla-expands-the-android-fraud-playbook Report completeness: Low Threats: Rokarolla Cr…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Rokarolla — это Android-троян для банковского мошенничества, который имитирует доверенные приложения для кражи учетных данных пользователей на 217 платформах банковского сектора и криптовалют. Он использует такие техники, как фишинговые оверлеи, перехват SMS и регистрация нажатий клавиш, а также задействует службы доступности Android для поддержания скрытности и оперативного закрепления. Структура управления ВПО позволяет ему эффективно управлять зараженными устройствами, автоматизировать действия по мошенничеству и избегать обнаружения путем блокировки оповещений и манипулирования настройками устройства.
-----
Rokarolla — это недавно выявленный Android-банковский троян, нацеленный на 217 банковских и криптовалютных приложений.
ВПО функционирует через вредоносные веб-сайты, замаскированные под доверенные приложения, такие как TikTok и Google Chrome.
Rokarolla использует сервисы доступности Android и применяет фишинговые оверлеи, перехват SMS, регистрацию нажатий клавиш, мониторинг экрана и блокировку вызовов.
Это способствует финансовому мошенничеству путем кражи учетных данных, перехвата коммуникаций и поддержания контроля над скомпрометированными устройствами.
Троян доставляется через поддельные порталы распространения программного обеспечения, предлагающие поддельные приложения, например Google Play Protect.
После установки он запрашивает разрешения на доступ к чувствительным функциям устройства, необходимым для деятельности по слежке и мошенничеству.
Rokarolla имеет инфраструктуру управления, работающую через HTTPS, и собирает телеметрию устройств для создания уникальных профилей.
Это предоставляет доступ как минимум к 137 командам для управления зараженными устройствами и выполнения мошеннических схем.
Один из векторов атаки включает HTML-основанные фишинговые оверлеи, имитирующие экраны входа в легитимные приложения для захвата учетных данных пользователей.
ВПО также может записывать учетные данные для разблокировки с помощью обманных оверлеев экрана блокировки, захватывая PIN-коды и пароли.
Rokarolla может похищать SMS-сообщения и перехватывать коды аутентификации, что приводит к компрометации учётных записей.
Оно обладает возможностью блокировать или отключать звонки, что затрудняет оповещения, связанные с мошеннической деятельностью.
ВПО использует мониторинг на основе скриншотов для скрытого наблюдения за деятельностью пользователя.
Rokarolla сочетает несколько методов кражи учетных данных и использует тактики уклонения, такие как отключение Google Play Protect.
Защитникам следует сосредоточиться на выявлении несанкционированного использования Службы доступности и мониторинге подозрительных запросов разрешений.
Rokarolla представляет собой сдвиг в сторону комплексных платформ для обеспечения мошеннической деятельности в Android-ВПО для банков.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Rokarolla — это Android-троян для банковского мошенничества, который имитирует доверенные приложения для кражи учетных данных пользователей на 217 платформах банковского сектора и криптовалют. Он использует такие техники, как фишинговые оверлеи, перехват SMS и регистрация нажатий клавиш, а также задействует службы доступности Android для поддержания скрытности и оперативного закрепления. Структура управления ВПО позволяет ему эффективно управлять зараженными устройствами, автоматизировать действия по мошенничеству и избегать обнаружения путем блокировки оповещений и манипулирования настройками устройства.
-----
Rokarolla — это недавно выявленный Android-банковский троян, нацеленный на 217 банковских и криптовалютных приложений.
ВПО функционирует через вредоносные веб-сайты, замаскированные под доверенные приложения, такие как TikTok и Google Chrome.
Rokarolla использует сервисы доступности Android и применяет фишинговые оверлеи, перехват SMS, регистрацию нажатий клавиш, мониторинг экрана и блокировку вызовов.
Это способствует финансовому мошенничеству путем кражи учетных данных, перехвата коммуникаций и поддержания контроля над скомпрометированными устройствами.
Троян доставляется через поддельные порталы распространения программного обеспечения, предлагающие поддельные приложения, например Google Play Protect.
После установки он запрашивает разрешения на доступ к чувствительным функциям устройства, необходимым для деятельности по слежке и мошенничеству.
Rokarolla имеет инфраструктуру управления, работающую через HTTPS, и собирает телеметрию устройств для создания уникальных профилей.
Это предоставляет доступ как минимум к 137 командам для управления зараженными устройствами и выполнения мошеннических схем.
Один из векторов атаки включает HTML-основанные фишинговые оверлеи, имитирующие экраны входа в легитимные приложения для захвата учетных данных пользователей.
ВПО также может записывать учетные данные для разблокировки с помощью обманных оверлеев экрана блокировки, захватывая PIN-коды и пароли.
Rokarolla может похищать SMS-сообщения и перехватывать коды аутентификации, что приводит к компрометации учётных записей.
Оно обладает возможностью блокировать или отключать звонки, что затрудняет оповещения, связанные с мошеннической деятельностью.
ВПО использует мониторинг на основе скриншотов для скрытого наблюдения за деятельностью пользователя.
Rokarolla сочетает несколько методов кражи учетных данных и использует тактики уклонения, такие как отключение Google Play Protect.
Защитникам следует сосредоточиться на выявлении несанкционированного использования Службы доступности и мониторинге подозрительных запросов разрешений.
Rokarolla представляет собой сдвиг в сторону комплексных платформ для обеспечения мошеннической деятельности в Android-ВПО для банков.
#ParsedReport #CompletenessMedium
27-06-2026
Inside Eastern Europe's C2 Sprawl: 3,900+ Servers and 302 Providers Mapped (Updated)
https://hunt.io/blog/eastern-europe-malicious-infrastructure-report
Report completeness: Medium
Actors/Campaigns:
Cloudatlas
Shinyhunters
Inj3ctor3
Jinx-0164
Fluffy_wolf
Fox_kitten
Threats:
Tactical_rmm_tool
Acunetix_tool
Jomangy_webshell
Zenharr
Nemesys_ransomware
Automim_tool
Credential_harvesting_technique
Mimikatz_tool
Lazagne_tool
Wanttocry
Blackbasta
Devilnfc
Gophish_tool
Hajime
Mozi
Mirai
Cobalt_strike_tool
Sliver_c2_tool
Victims:
Government, Diplomatic entities, Universities, Defi and web3, Russian organizations, Russia, Belarus
Industry:
Education, Iot, Telco, Government
Geo:
Czech republic, Chinese, Moldova, Bulgaria, Romania, Poland, Belarus, Russia, Ukraine, Slovakia, Moscow, Middle east, Bulgarian, Russian, Hungary
CVEs:
CVE-2026-35273 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle peoplesoft_enterprise_peopletools (8.61, 8.62)
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft office_compatibility_pack (-)
- microsoft word (2007, 2010, 2013, 2016)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1003, T1027, T1059.004, T1078, T1190, T1195.001, T1203, T1213, T1219, T1496, have more...
IOCs:
IP: 22
File: 1
Soft:
Keitaro, FreePBX, Ollama, Graph APIs, Android
Algorithms:
exhibit, xor
Languages:
php
27-06-2026
Inside Eastern Europe's C2 Sprawl: 3,900+ Servers and 302 Providers Mapped (Updated)
https://hunt.io/blog/eastern-europe-malicious-infrastructure-report
Report completeness: Medium
Actors/Campaigns:
Cloudatlas
Shinyhunters
Inj3ctor3
Jinx-0164
Fluffy_wolf
Fox_kitten
Threats:
Tactical_rmm_tool
Acunetix_tool
Jomangy_webshell
Zenharr
Nemesys_ransomware
Automim_tool
Credential_harvesting_technique
Mimikatz_tool
Lazagne_tool
Wanttocry
Blackbasta
Devilnfc
Gophish_tool
Hajime
Mozi
Mirai
Cobalt_strike_tool
Sliver_c2_tool
Victims:
Government, Diplomatic entities, Universities, Defi and web3, Russian organizations, Russia, Belarus
Industry:
Education, Iot, Telco, Government
Geo:
Czech republic, Chinese, Moldova, Bulgaria, Romania, Poland, Belarus, Russia, Ukraine, Slovakia, Moscow, Middle east, Bulgarian, Russian, Hungary
CVEs:
CVE-2026-35273 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle peoplesoft_enterprise_peopletools (8.61, 8.62)
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft office_compatibility_pack (-)
- microsoft word (2007, 2010, 2013, 2016)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1003, T1027, T1059.004, T1078, T1190, T1195.001, T1203, T1213, T1219, T1496, have more...
IOCs:
IP: 22
File: 1
Soft:
Keitaro, FreePBX, Ollama, Graph APIs, Android
Algorithms:
exhibit, xor
Languages:
php
hunt.io
Inside Eastern Europe's C2 Sprawl: 3,900+ Servers, 302 Providers, One Host Doing Half the Work
Host Radar tracked 3,900+ active C2 servers across 302 Eastern European hosting providers over three months. One Bulgarian host accounts for over half.
CTT Report Hub
#ParsedReport #CompletenessMedium 27-06-2026 Inside Eastern Europe's C2 Sprawl: 3,900+ Servers and 302 Providers Mapped (Updated) https://hunt.io/blog/eastern-europe-malicious-infrastructure-report Report completeness: Medium Actors/Campaigns: Cloudatlas…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Восточная Европа стала центром киберкриминала и операций, спонсируемых государствами, с более чем 3 900 вредоносных серверов у 302 провайдеров, преимущественно в Болгарии, Украине и России. Около 90,6% обнаруженных угроз исходят из этой инфраструктуры, имея тесные связи с семействами ВПО, такими как Keitaro, и эксплуатацией критических уязвимостей, таких как CVE-2026-35273. Анализ подчеркивает использование передовых инструментов, таких как Cobalt Strike, разнообразных техник атак, включая эксплойт-киты и ботнеты IoT, а также устойчивость этих инфраструктур к традиционным контрмерам.
-----
В Восточной Европе выявлена значительная инфраструктура, поддерживающая как киберкриминал, так и операции, спонсируемые государствами, включающая более 3900 активно злонамеренных или обеспечивающих угрозы серверов в 302 провайдерах. Эта оценка подчеркивает, как хостинговая среда в таких странах, как Болгария, Украина и Россия, играет ключевую роль в содействии широкому спектру киберугроз — от массового мошенничества до расширенных персистентных угроз (APTs).
Анализ показывает, что инфраструктура, обеспечивающая потенциально вредоносную деятельность, составляет около 90,6% от выявленных угроз в регионе. В частности, компания Bulagaria's Friendhosting Ltd занимает непропорционально большую долю, при этом её серверы поддерживают более половины выявленной вредоносной активности. В отчете также раскрываются связи с различными семействами ВПО, где Keitaro лидирует с 1 277 уникальными IP-адресами, обеспечивающими угрожающую активность, за ним следуют Tactical RMM и Acunetix, которые часто используются для деятельности после эксплуатации.
Несколько заметных эксплойтов, связанных с различными вредоносными кампаниями, были напрямую привязаны к выявленной инфраструктуре. Например, российский провайдер Proton66 OOO связан с эксплойтами CVE-2026-35273 — критической уязвимости нулевого дня Oracle PeopleSoft, которую ShinyHunters использовали против множества организаций. Другие IP-адреса были привязаны к деятельности, связанной с вымогательством, такой как атаки Nemesys, и различным фишинговым операциям.
Более того, наличие таких продвинутых инструментов, как Cobalt Strike и Sliver, указывает на продолжающиеся сложные кибероперации, направленные против организаций, а также на то, что они облегчают деятельность преступных синдикатов. Данные свидетельствуют о том, что многие из этих инфраструктур устойчивы к традиционным мерам противодействия из-за установленных отношений с хостинг-провайдерами, которые часто сохраняются, несмотря на частую ротацию доменов и IP-адресов, связанных с вредоносной деятельностью.
Кроме того, в схеме показана концентрация злоумышленников, использующих различные техники, включая эксплойт-киты, распределение трафика для вредоносной рекламы и применение легитимных инструментов удаленного управления в средах после эксплуатации. Широкое распространение IoT-ботнетов, таких как Hajime и Mozi, отражает постоянную эксплуатацию различных устройств в регионе, демонстрируя масштабный характер угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Восточная Европа стала центром киберкриминала и операций, спонсируемых государствами, с более чем 3 900 вредоносных серверов у 302 провайдеров, преимущественно в Болгарии, Украине и России. Около 90,6% обнаруженных угроз исходят из этой инфраструктуры, имея тесные связи с семействами ВПО, такими как Keitaro, и эксплуатацией критических уязвимостей, таких как CVE-2026-35273. Анализ подчеркивает использование передовых инструментов, таких как Cobalt Strike, разнообразных техник атак, включая эксплойт-киты и ботнеты IoT, а также устойчивость этих инфраструктур к традиционным контрмерам.
-----
В Восточной Европе выявлена значительная инфраструктура, поддерживающая как киберкриминал, так и операции, спонсируемые государствами, включающая более 3900 активно злонамеренных или обеспечивающих угрозы серверов в 302 провайдерах. Эта оценка подчеркивает, как хостинговая среда в таких странах, как Болгария, Украина и Россия, играет ключевую роль в содействии широкому спектру киберугроз — от массового мошенничества до расширенных персистентных угроз (APTs).
Анализ показывает, что инфраструктура, обеспечивающая потенциально вредоносную деятельность, составляет около 90,6% от выявленных угроз в регионе. В частности, компания Bulagaria's Friendhosting Ltd занимает непропорционально большую долю, при этом её серверы поддерживают более половины выявленной вредоносной активности. В отчете также раскрываются связи с различными семействами ВПО, где Keitaro лидирует с 1 277 уникальными IP-адресами, обеспечивающими угрожающую активность, за ним следуют Tactical RMM и Acunetix, которые часто используются для деятельности после эксплуатации.
Несколько заметных эксплойтов, связанных с различными вредоносными кампаниями, были напрямую привязаны к выявленной инфраструктуре. Например, российский провайдер Proton66 OOO связан с эксплойтами CVE-2026-35273 — критической уязвимости нулевого дня Oracle PeopleSoft, которую ShinyHunters использовали против множества организаций. Другие IP-адреса были привязаны к деятельности, связанной с вымогательством, такой как атаки Nemesys, и различным фишинговым операциям.
Более того, наличие таких продвинутых инструментов, как Cobalt Strike и Sliver, указывает на продолжающиеся сложные кибероперации, направленные против организаций, а также на то, что они облегчают деятельность преступных синдикатов. Данные свидетельствуют о том, что многие из этих инфраструктур устойчивы к традиционным мерам противодействия из-за установленных отношений с хостинг-провайдерами, которые часто сохраняются, несмотря на частую ротацию доменов и IP-адресов, связанных с вредоносной деятельностью.
Кроме того, в схеме показана концентрация злоумышленников, использующих различные техники, включая эксплойт-киты, распределение трафика для вредоносной рекламы и применение легитимных инструментов удаленного управления в средах после эксплуатации. Широкое распространение IoT-ботнетов, таких как Hajime и Mozi, отражает постоянную эксплуатацию различных устройств в регионе, демонстрируя масштабный характер угроз.
#ParsedReport #CompletenessHigh
29-06-2026
Inside Kimsuky’s CHM Tradecraft: Multi-Stage Execution and Selective Payload Delivery
https://blog.synapticsystems.de/inside-kimsukys-chm-tradecraft-multi-stage-execution-and-selective-payload-delivery/
Report completeness: High
Actors/Campaigns:
Kimsuky
Victims:
Legal sector, Policy sector, Human rights sector, Korean speaking audience
Industry:
Foodtech, Military
Geo:
Germany, Korean, North korea, North korean
TTPs:
Tactics: 6
Technics: 12
IOCs:
Hash: 5
File: 23
Path: 3
Url: 5
Domain: 2
IP: 4
Registry: 10
Soft:
Windows shell, Internet Explorer, Microsoft Edge
Algorithms:
base64, sha256
Functions:
DownloadDir, BaseInfo, ProcList, VacQuery, Set-Cookie
Win API:
Stream
Languages:
vbscript, powershell, php, visual_basic, javascript
Platforms:
x86
29-06-2026
Inside Kimsuky’s CHM Tradecraft: Multi-Stage Execution and Selective Payload Delivery
https://blog.synapticsystems.de/inside-kimsukys-chm-tradecraft-multi-stage-execution-and-selective-payload-delivery/
Report completeness: High
Actors/Campaigns:
Kimsuky
Victims:
Legal sector, Policy sector, Human rights sector, Korean speaking audience
Industry:
Foodtech, Military
Geo:
Germany, Korean, North korea, North korean
TTPs:
Tactics: 6
Technics: 12
IOCs:
Hash: 5
File: 23
Path: 3
Url: 5
Domain: 2
IP: 4
Registry: 10
Soft:
Windows shell, Internet Explorer, Microsoft Edge
Algorithms:
base64, sha256
Functions:
DownloadDir, BaseInfo, ProcList, VacQuery, Set-Cookie
Win API:
Stream
Languages:
vbscript, powershell, php, visual_basic, javascript
Platforms:
x86
Synaptic Security Blog
Inside Kimsuky’s CHM Tradecraft: Multi-Stage Execution and Selective Payload Delivery - Synaptic Security Blog
by Robin Dost Actor tracking: APT43 (Kimsuky) / MB-0010 I can’t sleep right now, because it’s too hot in Germany, so i thought why not finishing an analysis i almost forgot about. In this analysis i am using Malwarebox Tooling for most of my work. Everything…
CTT Report Hub
#ParsedReport #CompletenessHigh 29-06-2026 Inside Kimsuky’s CHM Tradecraft: Multi-Stage Execution and Selective Payload Delivery https://blog.synapticsystems.de/inside-kimsukys-chm-tradecraft-multi-stage-execution-and-selective-payload-delivery/ Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленник Kimsuky использует многоэтапную стратегию ВПО, применяя скомпрометированный CHM-файл, маскирующийся под легитимный документ, и нацеленный на лиц, говорящих на корейском языке. ВПО, идентифицируемое по хешу SHA256 0efbd18c77479b458078521c18bdad84852b71250122a17cb8105c10d3df38d4, выполняет скрипт PowerShell, который инкапсулирует вредоносный VBScript, обеспечивает закрепление через запланированные задачи и модификации реестра, а также взаимодействует с сервером управления для сбора системных данных в целях сбора разведывательной информации.
-----
Анализ выделяет многоэтапную стратегию выполнения ВПО, применяемую злоумышленником Kimsuky, с использованием скомпрометированного файла CHM (Скомпилированная справка HTML). Первоначальный образец, идентифицированный по хешу SHA256 0efbd18c77479b458078521c18bdad84852b71250122a17cb8105c10d3df38d4, запускает серию вредоносных процессов для закрепления, разведки и выборочной доставки полезной нагрузки. Файл CHM отображает то, что кажется легитимным документом, связанным с политикой Северной Кореи, служа приманкой для привлечения корейскоязычных целей.
При запуске CHM-файл инициирует скрытое выполнение PowerShell-скрипта. Этот скрипт декодирует встроенное содержимое в формате Base64, создавая файл с именем Link.ini, который обрабатывается wscript.exe как VBScript. Этот начальный полезный модуль связывается с сервером управления (command-and-control) по адресу acnms.dmdoc.dynv6.net, обеспечивая профилирование хоста посредством различных задач перечисления системы и процессов. Он собирает данные о конфигурации системы, запущенных процессах и структуре каталогов, которые затем эксфильтруются на другой конечный узел, обозначенный как finalservice.php.
ВПО обеспечивает закрепление путем создания запланированной задачи, связанной с Edge Updater, которая запускает вторичный загрузчик через определенные интервалы времени путем выполнения другого VBScript, сохраненного с вводящим в заблуждение расширением .ini. Механизм закрепления использует специфические изменения реестра для сокрытия своего присутствия и обеспечения непрерывной работы. Кроме того, архитектура ВПО позволяет осуществлять выборочную доставку полезной нагрузки; ответы от C2-сервера могут варьироваться в зависимости от таких критериев, как географическое положение или состояние системы, что потенциально позволяет избегать обнаружения.
Операции Kimsuky согласуются с ранее наблюдаемыми методиками в распространении CHM-файлов, которые ранее связывались с целями сбора информации с скомпрометированных систем. Данный анализ выявляет сложность тактик Kimsuky, которые используют социальную инженерию через приманки в контенте и надежные технические фреймворки для выполнения и закрепления, с основной целью сбора разведданных с целевых систем.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленник Kimsuky использует многоэтапную стратегию ВПО, применяя скомпрометированный CHM-файл, маскирующийся под легитимный документ, и нацеленный на лиц, говорящих на корейском языке. ВПО, идентифицируемое по хешу SHA256 0efbd18c77479b458078521c18bdad84852b71250122a17cb8105c10d3df38d4, выполняет скрипт PowerShell, который инкапсулирует вредоносный VBScript, обеспечивает закрепление через запланированные задачи и модификации реестра, а также взаимодействует с сервером управления для сбора системных данных в целях сбора разведывательной информации.
-----
Анализ выделяет многоэтапную стратегию выполнения ВПО, применяемую злоумышленником Kimsuky, с использованием скомпрометированного файла CHM (Скомпилированная справка HTML). Первоначальный образец, идентифицированный по хешу SHA256 0efbd18c77479b458078521c18bdad84852b71250122a17cb8105c10d3df38d4, запускает серию вредоносных процессов для закрепления, разведки и выборочной доставки полезной нагрузки. Файл CHM отображает то, что кажется легитимным документом, связанным с политикой Северной Кореи, служа приманкой для привлечения корейскоязычных целей.
При запуске CHM-файл инициирует скрытое выполнение PowerShell-скрипта. Этот скрипт декодирует встроенное содержимое в формате Base64, создавая файл с именем Link.ini, который обрабатывается wscript.exe как VBScript. Этот начальный полезный модуль связывается с сервером управления (command-and-control) по адресу acnms.dmdoc.dynv6.net, обеспечивая профилирование хоста посредством различных задач перечисления системы и процессов. Он собирает данные о конфигурации системы, запущенных процессах и структуре каталогов, которые затем эксфильтруются на другой конечный узел, обозначенный как finalservice.php.
ВПО обеспечивает закрепление путем создания запланированной задачи, связанной с Edge Updater, которая запускает вторичный загрузчик через определенные интервалы времени путем выполнения другого VBScript, сохраненного с вводящим в заблуждение расширением .ini. Механизм закрепления использует специфические изменения реестра для сокрытия своего присутствия и обеспечения непрерывной работы. Кроме того, архитектура ВПО позволяет осуществлять выборочную доставку полезной нагрузки; ответы от C2-сервера могут варьироваться в зависимости от таких критериев, как географическое положение или состояние системы, что потенциально позволяет избегать обнаружения.
Операции Kimsuky согласуются с ранее наблюдаемыми методиками в распространении CHM-файлов, которые ранее связывались с целями сбора информации с скомпрометированных систем. Данный анализ выявляет сложность тактик Kimsuky, которые используют социальную инженерию через приманки в контенте и надежные технические фреймворки для выполнения и закрепления, с основной целью сбора разведданных с целевых систем.
#ParsedReport #CompletenessHigh
29-06-2026
Mustang Panda targets India's government and energy sectors with ZOHOMURK and MINIRECON
https://www.acronis.com/en/tru/posts/mustang-panda-targets-indias-government-and-energy-sectors/
Report completeness: High
Actors/Campaigns:
Red_delta (motivation: cyber_espionage)
Threats:
Zohomurk
Minirecon
Shardloader
Dll_sideloading_technique
Toneshell
Shadowpad
Spear-phishing_technique
Victims:
Government, Hydropower, Energy
Industry:
Government, Energy, Critical_infrastructure
Geo:
India, Myanmar, Taiwanese, Indian, China, Taiwan
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1016.001, T1027, T1036.005, T1053.005, T1071.001, T1082, T1102.002, T1140, T1204.002, T1547.001, have more...
IOCs:
File: 16
Url: 1
Coin: 1
Domain: 1
IP: 2
Hash: 8
Soft:
twitter, WinHTTP, Task Scheduler
Algorithms:
sha256, xor, rc4, zip, prng
Functions:
GetSPApp
Win API:
CreateEventW, EnumSystemLocalesA, CoCreateInstance, GetLocalTime, QueryPerformanceCounter, GetComputerNameA
Languages:
python
Platforms:
x64
29-06-2026
Mustang Panda targets India's government and energy sectors with ZOHOMURK and MINIRECON
https://www.acronis.com/en/tru/posts/mustang-panda-targets-indias-government-and-energy-sectors/
Report completeness: High
Actors/Campaigns:
Red_delta (motivation: cyber_espionage)
Threats:
Zohomurk
Minirecon
Shardloader
Dll_sideloading_technique
Toneshell
Shadowpad
Spear-phishing_technique
Victims:
Government, Hydropower, Energy
Industry:
Government, Energy, Critical_infrastructure
Geo:
India, Myanmar, Taiwanese, Indian, China, Taiwan
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1016.001, T1027, T1036.005, T1053.005, T1071.001, T1082, T1102.002, T1140, T1204.002, T1547.001, have more...
IOCs:
File: 16
Url: 1
Coin: 1
Domain: 1
IP: 2
Hash: 8
Soft:
twitter, WinHTTP, Task Scheduler
Algorithms:
sha256, xor, rc4, zip, prng
Functions:
GetSPApp
Win API:
CreateEventW, EnumSystemLocalesA, CoCreateInstance, GetLocalTime, QueryPerformanceCounter, GetComputerNameA
Languages:
python
Platforms:
x64
Acronis
Mustang Panda targets India's government and energy sectors with ZOHOMURK and MINIRECON
Acronis Threat Research Unit (TRU) has been tracking two concurrent campaigns orchestrated by Mustang Panda targeting Indian government entities, delivering new malware implants and abusing Zoho WorkDrive, a legitimate cloud storage platform commonly used…
CTT Report Hub
#ParsedReport #CompletenessHigh 29-06-2026 Mustang Panda targets India's government and energy sectors with ZOHOMURK and MINIRECON https://www.acronis.com/en/tru/posts/mustang-panda-targets-indias-government-and-energy-sectors/ Report completeness: High…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Mustang Panda, злоумышленник, связанный с государством, осуществляет кампании шпионажа против правительственных структур и энергетического сектора Индии, уделяя особое внимание гидроэнергетике и партнёрствам с Тайванем. Они используют легитимный облачный сервис Zoho WorkDrive и развёртывают набор вредоносного ПО, включающий SHARDLOADER, ZOHOMURK и MINIRECON, при этом SHARDLOADER функционирует как загрузчик DLL, обеспечивающий закрепление с помощью таких техник, как подгрузка DLL. Оба внедрённых модуля занимаются эксфильтрацией данных и удалённым выполнением, применяя методы противодействия анализу и используя легитимные приложения для маскировки вредоносной активности.
-----
Mustang Panda, злоумышленник, связанный с государством, нацелен на правительственные структуры и энергетический сектор Индии, уделяя особое внимание гидроэнергетической отрасли и партнёрствам с Тайванем.
Группа использует облачную платформу хранения данных Zoho WorkDrive для развертывания нового ВПО, включая SHARDLOADER, ZOHOMURK и MINIRECON.
SHARDLOADER — это загрузчик на основе DLL, использующий закрепление и техники подгрузки DLL для развертывания ZOHOMURK и MINIRECON.
SHARDLOADER v1.0 и v1.1 используют сложную цепочку выполнения, опираясь на легитимные приложения, такие как Solid PDF Creator, для запуска вредоносных DLL-файлов во время запуска системы.
Этот загрузчик создает скрытые каталоги для закрепления и манипулирует функциями ОС для сокрытия вредоносной деятельности.
ZOHOMURK функционирует как C2-имплант, использующий Zoho WorkDrive для эксфильтрации данных и выполнения удалённых задач, обеспечивая устойчивый цикл C2-коммуникации.
ZOHOMURK использует техники противодействия анализу и генерирует уникальные идентификаторы жертв на основе атрибутов системы для повышения скрытности.
В рамках кампании II вариант SHARDLOADER доставляется через ZIP-архив с использованием механизма-дропера для развертывания дополнительных файлов, включая модифицированный Citrix Receiver для подгрузки ZOHOMURK.
Механизм закрепления этой кампании использует Планировщик задач Windows для обеспечения выживаемости внедрения после перезагрузок.
Связь MINIRECON осуществляется по протоколу WebSocket с использованием самоподписанных сертификатов, что обеспечивает скрытые операции управления.
Индикаторы общего происхождения разработки включают жестко закодированные учетные данные OAuth, скрытые атрибуты ВПО и повторяющиеся опечатки в коде, что указывает на согласованность с интересами Китая.
Стейкхолдеры в государственном и энергетическом секторах должны проявлять осторожность в отношении атак целевой фишинг с использованием геополитических тем и быть осведомлены о злонамеренном использовании облачных сервисов для операций C2.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Mustang Panda, злоумышленник, связанный с государством, осуществляет кампании шпионажа против правительственных структур и энергетического сектора Индии, уделяя особое внимание гидроэнергетике и партнёрствам с Тайванем. Они используют легитимный облачный сервис Zoho WorkDrive и развёртывают набор вредоносного ПО, включающий SHARDLOADER, ZOHOMURK и MINIRECON, при этом SHARDLOADER функционирует как загрузчик DLL, обеспечивающий закрепление с помощью таких техник, как подгрузка DLL. Оба внедрённых модуля занимаются эксфильтрацией данных и удалённым выполнением, применяя методы противодействия анализу и используя легитимные приложения для маскировки вредоносной активности.
-----
Mustang Panda, злоумышленник, связанный с государством, нацелен на правительственные структуры и энергетический сектор Индии, уделяя особое внимание гидроэнергетической отрасли и партнёрствам с Тайванем.
Группа использует облачную платформу хранения данных Zoho WorkDrive для развертывания нового ВПО, включая SHARDLOADER, ZOHOMURK и MINIRECON.
SHARDLOADER — это загрузчик на основе DLL, использующий закрепление и техники подгрузки DLL для развертывания ZOHOMURK и MINIRECON.
SHARDLOADER v1.0 и v1.1 используют сложную цепочку выполнения, опираясь на легитимные приложения, такие как Solid PDF Creator, для запуска вредоносных DLL-файлов во время запуска системы.
Этот загрузчик создает скрытые каталоги для закрепления и манипулирует функциями ОС для сокрытия вредоносной деятельности.
ZOHOMURK функционирует как C2-имплант, использующий Zoho WorkDrive для эксфильтрации данных и выполнения удалённых задач, обеспечивая устойчивый цикл C2-коммуникации.
ZOHOMURK использует техники противодействия анализу и генерирует уникальные идентификаторы жертв на основе атрибутов системы для повышения скрытности.
В рамках кампании II вариант SHARDLOADER доставляется через ZIP-архив с использованием механизма-дропера для развертывания дополнительных файлов, включая модифицированный Citrix Receiver для подгрузки ZOHOMURK.
Механизм закрепления этой кампании использует Планировщик задач Windows для обеспечения выживаемости внедрения после перезагрузок.
Связь MINIRECON осуществляется по протоколу WebSocket с использованием самоподписанных сертификатов, что обеспечивает скрытые операции управления.
Индикаторы общего происхождения разработки включают жестко закодированные учетные данные OAuth, скрытые атрибуты ВПО и повторяющиеся опечатки в коде, что указывает на согласованность с интересами Китая.
Стейкхолдеры в государственном и энергетическом секторах должны проявлять осторожность в отношении атак целевой фишинг с использованием геополитических тем и быть осведомлены о злонамеренном использовании облачных сервисов для операций C2.
#ParsedReport #CompletenessLow
29-06-2026
Klue Supply Chain Compromise and CRM Data Exfiltration Incident Advisory
https://kudelskisecurity.com/research/klue-supply-chain-compromise-and-crm-data-exfiltration-incident-advisory
Report completeness: Low
Threats:
Supply_chain_technique
Victims:
Klue, Customer integrations, Crm systems, Salesforce, Sales platforms, Collaboration platforms
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1078, T1195.002, T1199, T1213, T1528, T1550.001, T1567
IOCs:
IP: 4
Soft:
Salesforce, HubSpot, Zoom, Slack
29-06-2026
Klue Supply Chain Compromise and CRM Data Exfiltration Incident Advisory
https://kudelskisecurity.com/research/klue-supply-chain-compromise-and-crm-data-exfiltration-incident-advisory
Report completeness: Low
Threats:
Supply_chain_technique
Victims:
Klue, Customer integrations, Crm systems, Salesforce, Sales platforms, Collaboration platforms
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1078, T1195.002, T1199, T1213, T1528, T1550.001, T1567
IOCs:
IP: 4
Soft:
Salesforce, HubSpot, Zoom, Slack
Kudelskisecurity
Klue Supply Chain Compromise and CRM Data Exfiltration Incident Advisory - Kudelski Security Research Center
Jun 19, 2026 - Kudelski Security Team -