CTT Report Hub
3.4K subscribers
9.61K photos
6 videos
67 files
13.3K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessHigh 02-07-2026 Vibe Coded Extortion: Avalon’s Path from Legal Lure to CrownX Ransom Capabilities https://blackpointcyber.com/blog/avalons-path-from-legal-lure-to-crownx-ransom-capabilities/ Report completeness: High Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фреймворк ВПО Avalon интегрирует возможности шифрования файлов, кражи учетных данных и перемещения внутри компании, используя многоэтапный метод доставки через фишинг. Он развертывает сложное ISO-изображение внутри архива, защищенного паролем, запуская вредоносную активность при выполнении. Компонент шифрования CrownX шифрует файлы с использованием AES, делая упор на противодействие криминалистике и эксфильтрацию конфиденциальных данных через сложные коммуникации C2, что демонстрирует продвинутую способность избегать обнаружения и надежное оперативное планирование со стороны злоумышленников.
-----

Недавно раскрытая фреймворк ВПО под названием Avalon представляет собой значительную эволюцию в киберугрозах, особенно из-за его интеграции с программным обеспечением для вымогательства и обширными возможностями кражи учетных данных и перемещения внутри компании. Выявленный группой Adversary Pursuit Group компании Blackpoint, Avalon использует сложный многоэтапный метод фишинговой доставки, начиная атаки с писем, которые выглядят как законные юридические документы. Получатели направляются к архиву, защищенному паролем, на Proton Drive, который скрывает вредоносные части, находящиеся внутри образа ISO, тем самым избегая стандартных средств защиты электронной почты.

При запуске ISO-образа пользователи невольно запускают сложную последовательность вредоносных действий без какого-либо обычного исполняемого файла, прикрепленного к первоначальным сообщениям. Надежный функционал Avalon включает сбор учетных данных из различных приложений, меры противодействия форензике и возможности шифровальщика, причем компонент шифровальщика получил название CrownX. Такая интеграция позволяет одному скомпрометированному узлу инициировать масштабные операционные сбои в инфраструктуре организации.

Дизайн Avalon предполагает использование искусственного интеллекта для ускорения разработки, что снижает порог входа для злоумышленников при развертывании сложного и модульного ВПО. Он функционирует как центральный оркестратор, способный выполнять сбор учетных записей, устанавливать каналы управления (C2) и готовиться к перемещению внутри компании для захвата дополнительных систем в сети. ВПО взаимодействует через HTTPS, используя User-Agent, похожий на браузерный, и применяет собственные методы для обхода мер безопасности, включая манипуляции с классовой маршрутизацией между доменами (CIDR) и использование различных публичных API-запросов.

С точки зрения оперативных тактик, Avalon фокусируется на проверке подлинности учетных данных и их сборе путем доступа к широкому спектру приложений и системной информации, включая браузеры, платформы обмена сообщениями, профили VPN и даже криптовалютные кошельки. Это позволяет захватывать множество типов конфиденциальных данных, которые затем эксфильтруются обратно злоумышленнику через сложные механизмы связи C2, обеспечивающие маскировку трафика под легитимный.

CrownX, являясь компонентом шифрования фреймворка, осуществляет шифрование файлов с использованием AES в режиме Galois/Counter Mode через API Windows Cryptography Next Generation. Этот сложный процесс шифрования позволяет структурированно обрабатывать данные и гарантирует, что затронутые файлы могут быть восстановлены только с использованием уникального ключа. Кроме того, ransomware использует различные методы для отображения вымогательских записок, обеспечивая высокую вероятность того, что жертвы увидят требования выкупа после атаки.

В сочетании с функциями отключения и повреждения теневых копий тома (VSS) для обеспечения минимальных шансов на восстановление, Avalon делает пост-интрузивное восстановление значительно более сложным. Также интегрирована подсистема анти-криминалистический анализ очистки, предназначенная для устранения следов атаки с целью затруднения расследований, что демонстрирует тщательную подготовку для поддержания оперативной секретности после нарушения.
#ParsedReport #CompletenessMedium
02-07-2026

SharkLoader Emerges as Stealthy Cobalt Strike Delivery Framework

https://blog.polyswarm.io/sharkloader-emerges-as-stealthy-cobalt-strike-delivery-framework

Report completeness: Medium

Actors/Campaigns:
Strikeshark

Threats:
Cobalt_strike_tool
Sharkloader
Dll_sideloading_technique
Dll_hijacking_technique

Victims:
Government related organizations, Diplomatic entities, Software development companies

Industry:
Software_development, Government

Geo:
Asia, Latin america, Middle east

ChatGPT TTPs:
do not use without manual check
T1003.001, T1003.003, T1027, T1027.002, T1036, T1053.005, T1134.004, T1140, T1179, T1190, have more...

IOCs:
File: 2
Hash: 1

Soft:
Microsoft Exchange, Openfire, GeoServer, Apache Shiro, BIG-IP, Zimbra, AnyConnect, Event Tracing for Windows, Active Directory
CTT Report Hub
#ParsedReport #CompletenessMedium 02-07-2026 SharkLoader Emerges as Stealthy Cobalt Strike Delivery Framework https://blog.polyswarm.io/sharkloader-emerges-as-stealthy-cobalt-strike-delivery-framework Report completeness: Medium Actors/Campaigns: Strikeshark…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SharkLoader — это загрузчик ВПО, используемый коллективом злоумышленников StrikeShark для развертывания Cobalt Strike Beacon в различных секторах по всему миру. ВПО использует многоэтапный процесс доставки, эксплуатируя уязвимости в таких приложениях, как Microsoft Exchange и Fortinet, маскируя пользовательские дропперы под легитимное программное обеспечение. Оно применяет передовые техники, включая отражательную загрузку, перехват API и загрузку DLL-библиотек, чтобы минимизировать обнаружение при выполнении вредоносного кода в памяти, а также механизмы закрепления, такие как запланированные задачи и модификации реестра, для обеспечения непрерывной работы.
-----

SharkLoader — это загрузчик ВПО, используемый коллективом злоумышленников StrikeShark для развертывания Cobalt Strike Beacon.

Он нацелен на сектора, включая государственные, дипломатические и программные компании в Азии, Европе, на Ближнем Востоке и в Латинской Америке.

Загрузчик выполняет многоэтапный процесс, используя уязвимости в приложениях, обращенных к интернету, и пользовательских дропперах.

Использованные уязвимости включают те, что обнаружены в Microsoft Exchange, SharePoint и Fortinet.

Собственные загрузчики маскируются под легитимные приложения, такие как Cisco AnyConnect и Google Update.

SharkLoader использует многослойное шифрование, отражённую загрузку и перехват API для выполнения в памяти, что снижает цифровой след.

Он использует тактики подгрузки DLL, включая внедрение вредоносной DLL (SystemSettings.dll) через SystemSettings.exe.

ВПО использует технику идеальной подмены DLL для обхода ограничений загрузчика Windows.

Хукинг API используется для сокрытия активности от механизмов мониторинга путём модификации системных вызовов во время выполнения.

Механизмы закрепления включают запланированные задачи каждые пять минут и изменения в ключах реестра Run.

Действия после начальной компрометации включают разведку системы, кражу учетных данных и перемещение внутри компании с использованием Cobalt Strike и других инструментов.

Нет конкретных доказательств эксфильтрации данных, несмотря на зафиксированные активности, связанные с разведкой и сбором учетных записей.

Операторы могут быть носителями китайского языка, однако атрибуция выполняется с осторожностью из-за отсутствия неопровержимых связей с другими злоумышленниками.

SharkLoader представляет собой тенденцию к созданию сложных загрузчиков вредоносного ПО, которые используют общедоступные уязвимости.

Организациям рекомендуется приоритизировать установку исправлений для уязвимых приложений и осуществлять мониторинг подозрительного боковой загрузки DLL и выполнения вредоносного программного обеспечения в памяти.

Применение поведенческого анализа и передовых систем обнаружения может помочь снизить риски, связанные с такими эволюционирующими угрозами.
#ParsedReport #CompletenessHigh
02-07-2026

TimbreStealer Malware Targets Mexico Companies with Advanced Evasion Techniques

https://www.watchguard.com/wgrd-security-hub/secplicity-blog/timbrestealer-malware-targets-mexico-companies-advanced-evasion

Report completeness: High

Threats:
Timbrestealer
Dll_sideloading_technique
Spear-phishing_technique

Victims:
Companies, Organizations

Industry:
Financial

Geo:
Russian, Mexican, Mexico

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.001, T1027.007, T1036.005, T1114.001, T1217, T1480.001, T1497.001, T1566.002, have more...

IOCs:
Url: 1
File: 4
IP: 1

Soft:
Mozilla Firefox, Postbox, Firefox, Dropbox, Google Chrome, Google Chrome SxS, Microsoft Edge, PostboxApp, Mozilla Thunderbird

Algorithms:
rc4, zip

Functions:
GetModuleHandle

Win API:
ExitProcess, GetSystemDefaultUILanguage, GetTimeZoneInformation, CreateToolhelp32Snapshot, Module32FirstW, Module32NextW, OpenSCManagerW, FindWindowW, SwitchToThisWindow, CryptAcquireContextW, have more...

Platforms:
x86
CTT Report Hub
#ParsedReport #CompletenessHigh 02-07-2026 TimbreStealer Malware Targets Mexico Companies with Advanced Evasion Techniques https://www.watchguard.com/wgrd-security-hub/secplicity-blog/timbrestealer-malware-targets-mexico-companies-advanced-evasion Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TimbreStealer — это продвинутое ВПО, нацеленное на мексиканские компании, использующее техники DLL Side-Loading для маскировки крупных вредоносных DLL-файлов как легитимных компонентов обновлений Microsoft. Оно распространяется через фишинговые схемы с использованием ZIP-архивов, связанных с мексиканской системой электронного инвойсинга. ВПО проводит географические проверки, активируя свой полезный груз только при запуске в пределах назначенных мексиканских часовых поясов, и агрессивно собирает конфиденциальную информацию из браузеров и почтовых приложений, демонстрируя свою ориентацию на кражу данных.
-----

TimbreStealer — это сложное ВПО, преимущественно нацеленное на компании в Мексике, характеризующееся передовыми техниками уклонения, усложняющими обнаружение и анализ. Кампания ВПО, выявленная благодаря телеметрии WatchGuard и детальному исследованию Эйлера Нету и Кристибаля Тарраги, использует тактики, напоминающие более ранние атаки, задокументированные Cisco Talos. Заметным методом, применяемым здесь, является DLL Side-Loading, при котором крупные вредоносные DLL-файлы размером от 45 до 50 МБ маскируются под легитимные компоненты обновления Windows, такие как EdgeUpdate или GoogleUpdater, которые обычно имеют размер менее 500 КБ.

Первоначальный вектор заражения представляет собой схему фишинга, которая доставляет ZIP-файл через URL-адреса, размещенные на DigitalOcean, с прямым доступом по их IP-адресам. Эти ZIP-файлы содержат имена файлов, связанные с мексиканской системой электронного инвойсинга (CFDI), что манипулирует контекстом, знакомым целевой аудитории. Вредоносные DLL-файлы разработаны для динамической загрузки и обхода традиционных механизмов обнаружения, учитывая их размер и методы обфускации. После запуска ВПО анализирует среду на наличие определенных условий, таких как проверка того, выполняется ли программа в назначенных часовых поясах, связанных с Мексикой, используя проверки, такие как `GetTimeZoneInformation`.

Анализ DLL выявляет структуру с 27 секциями, из которых только пять заполнены содержимым, что указывает на манипуляцию выделенными пространствами памяти в злонамеренных целях. Функциональность DLL сосредоточена вокруг главной точки входа, которая выполняет действия без использования типичных методов идентификации загруженных модулей. В плане сбора данных TimbreStealer агрессивно собирает информацию из браузеров, включая Mozilla Firefox, и почтовых приложений, таких как Thunderbird и Postbox, с целью извлечения конфиденциальных пользовательских данных, которые могут способствовать дальнейшим финансовым мошенничествам или компрометации учетных записей.

Отличительной особенностью этой кампании является условное выполнение вредоносного кода на основе географических проверок; если доступ не осуществляется из Мексики, предоставляется безобидный пустой PDF-файл, что демонстрирует возможности географического ограничения (геофенсинга). В целом, TimbreStealer является примером целевой операции по краже информации, которая интегрирует социальную инженерию, специфичную для определенного региона, надежные методы обфускации и четкую ориентацию на извлечение критически важных данных из окружения жертв.

Для защитников в сфере кибербезопасности эта кампания подчеркивает эффективность целевого фишинга в сочетании с легитимной инфраструктурой при развертывании ВПО, призывая организации сохранять бдительность в отношении подозрительных ZIP-файлов, необычных характеристик DLL и неожиданных поведений приложений, особенно в контексте облачных ресурсов. Сложная природа TimbreStealer подчеркивает необходимость повышения осведомленности и проактивного мониторинга в организациях, особенно тех, которые работают на мексиканском рынке или подвержены его влиянию.
#ParsedReport #CompletenessMedium
30-06-2026

From CitrixBleed 2 to Cloudflared: The Tools and Techniques Behind Anubis Ransomware Attacks

https://arcticwolf.com/resources/blog/citrixbleed-2-to-cloudflared-the-tools-and-techniques-behind-anubis-ransomware-attacks/

Report completeness: Medium

Threats:
Citrix_bleed_vuln
Cloudflared_tool
Anubis
Zoho_assist_tool
Screenconnect_tool
Meshagent_tool
Ultra_vnc_tool
Sphinx
Mremoteng_tool
Mimikatz_tool
Rclone_tool
S5cmd_tool
Putty_tool
Pchunter_tool
Netscan_tool
Lolbin_technique

CVEs:
CVE-2025-5777 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.328, <13.1-37.235, <13.1-58.32, <14.1-43.56)
- citrix netscaler_gateway (<13.1-58.32, <14.1-43.56)


TTPs:
Tactics: 5
Technics: 0

IOCs:
IP: 3
File: 23
Domain: 3
Url: 1

Soft:
Remote Desktop Services, AnyConnect, PsExec, Hyper-V, S3 Browser, Linux, rsync, sudo, curl, Chrome, have more...

Algorithms:
zip, ed25519

Win API:
MSI

Languages:
powershell

Platforms:
x64

Links:
https://github.com/rtkwlf/wolf-tools/tree/main/threat-intelligence/anubis-citrixbleed2-to-cloudflared
CTT Report Hub
#ParsedReport #CompletenessMedium 30-06-2026 From CitrixBleed 2 to Cloudflared: The Tools and Techniques Behind Anubis Ransomware Attacks https://arcticwolf.com/resources/blog/citrixbleed-2-to-cloudflared-the-tools-and-techniques-behind-anubis-ransomware…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Arctic Wolf документирует атаки с использованием вредоносного ПО Anubis с начала 2026 года, отмечая использование действительных учетных данных VPN и эксплуатацию уязвимостей, таких как CitrixBleed 2 (CVE-2025-5777), для первоначального доступа. Злоумышленники применяют легитимные инструменты RMM для поддержания контроля над скомпрометированными системами, выполняя перемещение по сети через RDP и PsExec, а также способствуя эксфильтрации данных с помощью таких инструментов, как cloudflared. Кража учетных данных широко распространена, при этом методы включают использование Mimikatz для сбора конфиденциальных данных, что предшествует развертыванию вредоносного ПО, которое шифрует файлы с расширением .anubis.
-----

С начала 2026 года Arctic Wolf расследовала различные случаи атак с использованием вымогательского ПО Anubis, выявив заметные тактики, такие как использование действительных учетных данных VPN и эксплуатация уязвимостей, таких как CitrixBleed 2 (CVE-2025-5777), для первоначального доступа. Аффилированные лица Anubis демонстрируют разнообразное ремесло, но общие шаблоны включают использование легитимных инструментов удаленного управления и мониторинга (RMM), что позволяет им действовать под прикрытием обычных ИТ-активностей, сохраняя при этом контроль над скомпрометированными системами. Целевые объекты с высокой ценностью, включая службы удаленного рабочего стола Microsoft, контроллеры домена и устройства NAS, часто становились скомпрометированными, тем самым усиливая воздействие на операции и усложняя усилия по восстановлению.

CVE-2025-5777 — это уязвимость раскрытия памяти до аутентификации, которая может привести к перехвату сеанса и обходу MFA. Наблюдается, что злоумышленники получают доступ к скомпрометированным системам через публичные IP-адреса, связанные с провайдерами VPS, особенно во время эксплуатации легитимных VPN, таких как Cisco AnyConnect. Проникновения обычно демонстрируют использование RDP и PsExec для перемещения внутри компании, используя атипичные удаленные подключения к критической инфраструктуре, включая файловые серверы и системы резервного копирования.

Отличительной особенностью операций Anubis является развертывание различных инструментов RMM, таких как ScreenConnect, Zoho Assist и MeshAgent, для поддержания постоянного доступа. Эти инструменты позволяют злоумышленникам выполнять передачу файлов и удаленное выполнение команд, маскируясь под обычные административные действия. Также отмечались случаи использования cloudflared, когда атакующие создают исходящие туннели либо на серверах Windows, либо на устройствах NAS для облегчения эксфильтрации данных.

Кража учетных данных во время этих вторжений была широко распространена, при этом использовались такие инструменты, как Mimikatz для сбора конфиденциальной информации. Акторы Anubis также применяют инструменты облачного хранения, такие как S3 Browser и rclone, для перемещения данных, что часто свидетельствует о фазе предварительного шифрования, предшествующей развертыванию их программ-вымогателей. Кроме того, применяются стратегии обхода защиты с попытками отключения защиты конечных точек и изменения журналов безопасности, что затрудняет анализ инцидентов.

Развертывание вымогателя Anubis создает файлы с расширением .anubis и включает последовательность действий, характеризующихся подозрительным удаленным доступом, перемещением внутри компании, получением учетных данных и, в конечном итоге, выполнением вымогательского ПО. Комплексные защитные меры включают устранение уязвимостей, мониторинг несанкционированных установок инструментов RMM и поддержание изолированных резервных копий для противодействия потенциальным угрозам, создаваемым данной операцией вымогательского ПО. По мере того как Anubis продолжает развиваться, организациям рекомендуется внедрять меры, позволяющие обнаруживать и прерывать ранние индикаторы таких вторжений, чтобы снизить риски, связанные с вымогательством.
#ParsedReport #CompletenessLow
03-07-2026

Fake site for the Pearcleaner app is pushing a Mac stealer

https://moonlock.com/fake-pearcleaner-site-pushing-malware

Report completeness: Low

Actors/Campaigns:
Pearcleaner (motivation: cyber_criminal)

Threats:
Amos_stealer
Clickfix_technique
Macc_stealer
Seo_poisoning_technique

Victims:
Mac users, Cryptocurrency users

ChatGPT TTPs:
do not use without manual check
T1027.010, T1059.004, T1059.006, T1140, T1204.001, T1204.004, T1583.001, T1608.006, T1656

IOCs:
Domain: 2

Soft:
MacOS, curl, openssl, Android, Linux

Algorithms:
base64, zip

Languages:
python

Platforms:
cross-platform, apple

Links:
https://github.com/alienator88/Pearcleaner/
CTT Report Hub
#ParsedReport #CompletenessLow 03-07-2026 Fake site for the Pearcleaner app is pushing a Mac stealer https://moonlock.com/fake-pearcleaner-site-pushing-malware Report completeness: Low Actors/Campaigns: Pearcleaner (motivation: cyber_criminal) Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя угроза для пользователей Mac связана с фишинговым сайтом, имитирующим легитимное приложение Pearcleaner, который распространяет ВПО-стиллер, собирающий конфиденциальные данные пользователей, включая ключи криптокошельков. ВПО перенаправляет пользователей на выполнение скрипта через терминал, обходя защиту macOS с помощью техник ClickFix, и загружает исполняемый файл Python, усложняя усилия по обнаружению за счет использования различных доменов загрузки. Кроме того, злоумышленники применили Отравление поисковой оптимизации (SEO), чтобы обеспечить высокое ранжирование мошеннического сайта в результатах поиска, создавая постоянные риски для пользователей.
-----

Недавняя киберугроза, направленная на пользователей Mac, включает в себя мошеннический сайт, имитирующий легитимное приложение Pearcleaner — бесплатный инструмент с открытым исходным кодом, широко используемый для удаления приложений. Фейковый сайт pearclearner.com, как сообщается, распространяет тип ВПО, известный как стиллер, который имитирует поведение существующего вредоносного ПО, такого как AMOS и, возможно, MacSync. Это ВПО предназначено для сбора пользовательских данных, включая конфиденциальную информацию, такую как ключи криптографических кошельков.

Пользователи, перешедшие на поддельный сайт, сообщили, что нажатие ссылки для загрузки перенаправило их на filemapleshare.com, где им предлагалось выполнить скрипт через терминал Mac с использованием тактик социальной инженерии. Скрипт использует техники ClickFix, позволяющие обойти меры безопасности macOS, предоставляя полные привилегии выполняемому коду. Закодированная в base64 команда внутри скрипта дополнительно подтверждает его вредоносный характер, направляя пользователей на скомпрометированный ресурс для загрузки ВПО.

Анализ загрузки, вес которой составлял 808 МБ и которая была упакована в zip-архив, показал, что она содержала исполняемый файл Python. Этот исполняемый файл действует как загрузчик для кроссплатформенного распространения, проверяя тип операционной системы перед выполнением дальнейших вредоносных действий. Примечательно, что использование разнообразных доменов загрузки служит тактикой уклонения, усложняя обнаружение средствами защиты.

Создатели поддельного сайта Pearcleaner продемонстрировали высокий уровень квалификации в области отравления поисковой оптимизации (SEO), сумев манипулировать алгоритмами поисковых систем для размещения своей мошеннической страницы на первых позициях в органической выдаче. Этот метод эффективно привлекал неосведомленных пользователей, в отличие от традиционных подходов, которые опираются на платную рекламу для обеспечения видимости. Вредоносная инфраструктура, поддерживающая эту кампанию, оставалась активной, что подчеркивает постоянные риски для пользователей, ищущих легитимное приложение.

Для снижения угрозы, создаваемой Mac stealers, пользователям рекомендуется проявлять осторожность при загрузке программного обеспечения, полагаясь на официальные источники, такие как Apple App Store или уважаемые менеджеры пакетов, например Homebrew. Осведомленность о том, как ВПО может проникать в системы, будь то через прямые загрузки или вредоносные скрипты терминала, имеет решающее значение для поддержания безопасности. По мере того как тактики фишинга и распространения ВПО продолжают развиваться, формирование всестороннего понимания таких угроз является необходимым для пользователей Mac, чтобы защитить свои устройства и личные данные.
#ParsedReport #CompletenessLow
02-07-2026

Cyber Criminal Group TeamPCP

https://www.ic3.gov/CSA/2026/260702.pdf

Report completeness: Low

Actors/Campaigns:
Teampcp
Mini_shai-hulud

Threats:
Supply_chain_technique
Credential_stealing_technique
Canisterworm
Sandclock
Miasma

Victims:
Software development, Cybersecurity, Cloud services, Cryptocurrency

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2026-33634 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- aquasec setup-trivy (<0.2.6)
- aquasec trivy (0.69.4)
- aquasec trivy_action (<0.35.0)

CVE-2026-45321 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tanstack tanstack\/arktype-adapter (1.166.12, 1.166.15)

CVE-2026-48027 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- nx nx_console (18.95.0)


ChatGPT TTPs:
do not use without manual check
T1195.001, T1195.002, T1528, T1552.004, T1565.001

IOCs:
IP: 6
Hash: 12

Soft:
Kubernetes, Trivy, LiteLLM

Languages:
python
CTT Report Hub
#ParsedReport #CompletenessLow 02-07-2026 Cyber Criminal Group TeamPCP https://www.ic3.gov/CSA/2026/260702.pdf Report completeness: Low Actors/Campaigns: Teampcp Mini_shai-hulud Threats: Supply_chain_technique Credential_stealing_technique Canisterworm…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TeamPCP — это киберпреступная группа, известная крупномасштабными атаками на Цепочку поставок, которые приводят к компрометации доверенных каналов распространения программного обеспечения. Внедряя вредоносный код в легитимные инструменты, они развертывают ВПО для кражи учетных данных и поддерживают доступ через троянизированные обновления, затрагивая такие ключевые программные продукты, как Trivy и Telnyx Python SDK. Их арсенал включает CanisterWorm для эксфильтрации конфиденциальных данных и Mini Shai-Hulud, который самостоятельно распространяется по реестрам, демонстрируя их способность эксплуатировать критические уязвимости в средах разработки.
-----

Киберпреступная группа TeamPCP была идентифицирована ФБР как значительная угроза, особенно известная крупномасштабными компрометациями Цепочек поставок программного обеспечения. Эта группа в первую очередь нацелена на широко используемые инструменты разработчиков и безопасности для получения несанкционированного доступа к средам жертв, извлекая конфиденциальную информацию, такую как токены доступа к облаку, SSH-ключи и секреты Kubernetes. Информация ФБР подчеркивает тактики, техники и процедуры (TTPs) группы TeamPCP, призывая организации принимать превентивные меры против потенциальных компрометаций.

В 2026 году TeamPCP осуществила серию успешных атак, внедрившись в доверенные каналы распространения программного обеспечения. Они внедряли вредоносный код в легитимные пакеты программного обеспечения, изменяя компоненты программного обеспечения и зависимости разработки для внедрения троянизированных обновлений, которые казались безобидными. Эти обновления скрытно развертывали ВПО для кражи учетных данных и постоянные бэкдоры, обеспечивая постоянный доступ к средам разработчиков и другим системам. Среди заметных целевых инструментов были Trivy, KICS, LiteLLM и Python SDK Telnyx, все из которых являются неотъемлемой частью рабочих процессов корпоративной разработки, особенно в конвейерах непрерывной интеграции (CI) и непрерывной доставки (CD).

Злоумышленники применили тактики шантажа, сотрудничая с другими киберпреступниками для публикации информации о жертвах на сайтах утечек и угрожая дальнейшим раскрытием украденных данных. Организациям, пострадавшим от этих атак, следует проявлять бдительность, поскольку данные, выведенные за пределы, могут быть использованы в качестве оружия связанными злоумышленниками спустя долгое время после обнаружения первоначальной компрометации.

TeamPCP использовала различные ВПО в этих операциях. Одним из их основных инструментов является CanisterWorm, который специально разработан для сбора конфиденциальной информации, такой как токены доступа к облачным сервисам, ключи API и аутентификационные материалы, связанные с такими сервисами, как Amazon Web Services (AWS), Google Cloud Platform (GCP) и Microsoft Azure. Другой инструмент, SANDCLOCK, служит для извлечения учетных данных AWS, токенов Kubernetes ServiceAccount, локальных переменных среды и данных криптографических кошельков.

Кроме того, ФБР упомянуло кампании с участием Mini Shai-Hulud — червя цепочки поставок программного обеспечения, работающего в разных экосистемах, и его варианта Miasma, который также самостоятельно распространяется по реестрам с открытым исходным кодом, таким как npm и PyPI, атакуя учетные данные и манипулируя конфигурационными файлами.

Организациям рекомендуется сообщать о любых предположительно связанных с TeamPCP инцидентах несанкционированного доступа в ФБР, что подчеркивает серьезность текущей угрозы, создаваемой данной группировкой, и важность поддержания осведомленности в стратегиях кибербезопасности.
#ParsedReport #CompletenessHigh
02-07-2026

Operation Turb00 — Part 3: Unmasking the SnappyClient RAT

https://mrtiepolo.medium.com/operation-turb00-part-3-unmasking-the-snappyclient-rat-f9336de9400a

Report completeness: High

Actors/Campaigns:
Turb00

Threats:
Snappyclient
Hijackloader
Vidar_stealer
Radmin_tool
Hvnc_tool
Dllsearchorder_hijacking_technique
Procmon_tool
Process_hollowing_technique
Dead_drop_technique
Dll_sideloading_technique

Victims:
German speaking users, Cryptocurrency wallet users

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 23
Hash: 3
Coin: 1
Command: 2
IP: 4
Domain: 5
Path: 9
Registry: 6

Soft:
Opera, exe, Chromium, ideload, exe ← Sp, hrome IE, Chrome, Task Scheduler, ask Scheduler 1, Windows COM, have more...

Wallets:
coinomi, electrum, exodus_wallet, wassabi, brave_wallet, coinbase, metamask, tronlink

Crypto:
bitcoin

Algorithms:
chacha20-poly1305, sha256, lzma, ripemd-160, poly1305, base58, sha1

Functions:
FUN_004112af, COM, CreateFile

Win API:
LoadLibraryW, decompress, SetProcessDPIAware, GetMessageW, TranslateMessage, DispatchMessageW, SetThreadContext, CoCreateInstance

Languages:
python

Links:
https://github.com/tiepologian/signature-base/tree/main/rules/vidar\_multi\_stage
CTT Report Hub
#ParsedReport #CompletenessHigh 02-07-2026 Operation Turb00 — Part 3: Unmasking the SnappyClient RAT https://mrtiepolo.medium.com/operation-turb00-part-3-unmasking-the-snappyclient-rat-f9336de9400a Report completeness: High Actors/Campaigns: Turb00 Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Turb00 выделяет RAT SnappyClient, сложную троянскую программу, доставляемую через многоступенчатую цепочку заражения, инициируемую HijackLoader. Используя легитимный процесс, он подгружает троянизированный DLL, который загружает пользовательскую полезную нагрузку, обеспечивая обширный контроль над скомпрометированной системой, включая доступ к удаленному рабочему столу и кражу учетных данных. Его коммуникации с управлением осуществляются по пользовательскому зашифрованному TCP-протоколу, что повышает его скрытность от традиционных методов обнаружения.
-----

Операция Turb00 раскрывает сложную киберугрозу, исходящую от SnappyClient RAT, продвинутой троянской программы, доставляемой через многоступенчатую цепочку заражения, инициированную HijackLoader. Эта вторая цепочка заражения отличается от первой использованием уникального полезного груза SnappyClient, который функционирует как постоянный имплантат, предоставляющий обширный интерактивный контроль над скомпрометированным хостом.

Атака использует легитимный процесс WizardDa42.exe (часть Radmin VPN) для запуска заражения, который подгружает троянизированный Opera DLL. Анализ показывает, что вредоносный DLL вызывает встроенный в него пользовательский загрузчик-заглушку, который затем загружает WebView2Loader.dll. Этот второй DLL, также модифицированный, содержит ресурсный пакет audio.lib, в котором находится полезная нагрузка SnappyClient. Извлечение подтвердило наличие сжатого исполняемого файла, который после распаковки подтвердил присутствие SnappyClient.

SnappyClient предназначен для полного контроля и оснащен функциями, включающими удаленный доступ к рабочему столу (HVNC), FTP-сервер, функции обратного прокси, выполнение команд, регистрацию нажатий клавиш, а также кражу учетных данных браузеров и криптовалют. Примечательно, что его связь с управлением (C2) осуществляется по собственному зашифрованному протоколу TCP, а не через HTTPS, что скрывает команды за несколькими слоями шифрования, позволяя избегать традиционного анализа трафика.

Динамический анализ детализирует поток выполнения, при котором SnappyClient, после внедрения в новый процесс, начинает устанавливать постоянные соединения с сервером C2. Вредоносное ПО выполняет различные операции, начиная от сбора учетных записей, конкретно нацеленных на данные браузеров Chrome и Edge, до поиска файлов криптографических кошельков. Собранные украденные данные размещаются в назначенных каталогах перед их эксфильтрацией на сервер C2 через несколько одновременных соединений.

Критические аспекты инфраструктуры вредоносного ПО включают использование легитимных исполняемых файлов, перехваченных злоумышленниками, что создает трудности для систем обнаружения, поскольку все взаимодействия происходят под видом доверенного программного обеспечения. Сложности в сетевых коммуникациях, отсутствие использования HTTPS и акцент на зашифрованных бинарных payload-ах через нестандартные порты усиливают его возможности скрытности.