ar
Feedback
CTT Report Hub

CTT Report Hub

الذهاب إلى القناة على Telegram

Threat Intelligence Report Hub

إظهار المزيد
3 408
المشتركون
+124 ساعات
+127 أيام
+2930 أيام
جذب المشتركين
يوليو '26
يوليو '26
+27
في 0 قنوات
يونيو '26
+55
في 0 قنوات
Get PRO
مايو '26
+75
في 1 قنوات
Get PRO
أبريل '26
+77
في 0 قنوات
Get PRO
مارس '26
+105
في 0 قنوات
Get PRO
فبراير '26
+93
في 0 قنوات
Get PRO
يناير '26
+80
في 0 قنوات
Get PRO
ديسمبر '25
+76
في 0 قنوات
Get PRO
نوفمبر '25
+66
في 1 قنوات
Get PRO
أكتوبر '25
+69
في 0 قنوات
Get PRO
سبتمبر '25
+81
في 1 قنوات
Get PRO
أغسطس '25
+112
في 0 قنوات
Get PRO
يوليو '25
+66
في 0 قنوات
Get PRO
يونيو '25
+58
في 0 قنوات
Get PRO
مايو '25
+126
في 0 قنوات
Get PRO
أبريل '25
+74
في 0 قنوات
Get PRO
مارس '25
+43
في 0 قنوات
Get PRO
فبراير '25
+57
في 0 قنوات
Get PRO
يناير '25
+75
في 1 قنوات
Get PRO
ديسمبر '24
+63
في 0 قنوات
Get PRO
نوفمبر '24
+60
في 0 قنوات
Get PRO
أكتوبر '24
+77
في 1 قنوات
Get PRO
سبتمبر '24
+99
في 0 قنوات
Get PRO
أغسطس '24
+78
في 0 قنوات
Get PRO
يوليو '24
+147
في 2 قنوات
Get PRO
يونيو '24
+96
في 0 قنوات
Get PRO
مايو '24
+184
في 0 قنوات
Get PRO
أبريل '24
+165
في 2 قنوات
Get PRO
مارس '24
+148
في 0 قنوات
Get PRO
فبراير '24
+99
في 0 قنوات
Get PRO
يناير '24
+94
في 0 قنوات
Get PRO
ديسمبر '23
+106
في 0 قنوات
Get PRO
نوفمبر '23
+60
في 0 قنوات
Get PRO
أكتوبر '23
+90
في 0 قنوات
Get PRO
سبتمبر '23
+51
في 0 قنوات
Get PRO
أغسطس '23
+67
في 0 قنوات
Get PRO
يوليو '23
+113
في 0 قنوات
Get PRO
يونيو '23
+840
في 0 قنوات
Get PRO
مايو '23
+18
في 0 قنوات
Get PRO
أبريل '23
+46
في 0 قنوات
Get PRO
مارس '23
+115
في 0 قنوات
Get PRO
فبراير '23
+36
في 0 قنوات
Get PRO
يناير '23
+12
في 0 قنوات
Get PRO
ديسمبر '22
+23
في 0 قنوات
Get PRO
نوفمبر '22
+27
في 0 قنوات
Get PRO
أكتوبر '22
+31
في 0 قنوات
Get PRO
سبتمبر '22
+55
في 0 قنوات
Get PRO
أغسطس '22
+8
في 0 قنوات
Get PRO
يوليو '22
+11
في 0 قنوات
Get PRO
يونيو '22
+8
في 0 قنوات
Get PRO
مايو '22
+6
في 0 قنوات
Get PRO
أبريل '22
+238
في 0 قنوات
التاريخ
نمو المشتركين
الإشارات
القنوات
10 يوليو+1
09 يوليو+2
08 يوليو+1
07 يوليو+3
06 يوليو+6
05 يوليو+5
04 يوليو+1
03 يوليو+3
02 يوليو+3
01 يوليو+2
منشورات القناة
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Фальшивый пакет npm nodemon-sudo (версия 3.1.16) имитирует легитимный процессный монитор nodemon, но включает зависимость под названием tslint-conf (версия 7.2.1), которая добавляет возможности бэкдора. Этот бэкдор позволяет осуществлять Удаленное Выполнение Кода путем загрузки произвольного кода с шлюза IPFS при срабатывании, что создает значительный риск для безопасности. Вредоносные пакеты, опубликованные 7 июля 2026 года, являются частью кампании, имеющей потенциальные связи с северокорейскими злоумышленниками, хотя точная атрибуция остается неопределенной. ----- Nodemon-sudo (версия 3.1.16) — это мошеннический пакет npm, имитирующий функциональность известного монитора процессов nodemon. Этот вредоносный пакет включает точную копию легитимного nodemon, тем самым избегая обнаружения благодаря внешнему виду невинности. Единственным дополнительным компонентом является зависимость под названием tslint-conf (версия 7.2.1), которая служит носителем для функций бэкдор. Эта конкретная зависимость представляет собой переупакованную версию библиотеки логирования pino и предназначена для выполнения произвольного кода, загружаемого с шлюза IPFS при активации в среде выполнения приложения. Важно отметить, что ни один из пакетов не использует скрипт установки, что означает, что инструменты, сканирующие вредоносный контент во время установки, не способны выявить эту угрозу. Значительный риск, связанный с nodemon-sudo, проистекает из его полезной нагрузки второго этапа, которая обеспечивает Удаленное Выполнение Кода на любом компьютере, где запущено приложение. Эта полезная нагрузка активируется после того, как поддельная функция логирования внедряется в приложение разработчика, предоставляя полный доступ к файловой системе и среде в Node.js. Архитектура вредоносного пакета nodemon-sudo гарантирует, что поверхностный анализ не выявит его вредоносной природы, поскольку при изоляции он не содержит явных признаков вредоносного кода. Оба пакета — nodemon-sudo и tslint-conf с бэкдором — изначально были опубликованы 7 июля 2026 года под аккаунтом npm conodeeth. Анализ показывает, что связка этих пакетов входит в более крупную кампанию, получившую название кластер emiltype /jsonspack. Примечательно, что механизм скрытности, используемый nodemon-sudo, позволяет ему обходить распространённые практики безопасности; его установка не оставляет никаких характерных признаков, и он остаётся безобидным до тех пор, пока не будет вызвана его логгер-функция. Дополнительное наблюдение заключается в том, что встроенный бинарный файл Windows с именем bin/windows-kill.exe является безвредным и служит легитимной утилитой для отправки сигналов прерывания процессам, тем самым вводя в заблуждение потенциальных реагентов и заставляя их ошибочно оценивать уровень его риска. Хотя кампания демонстрирует черты, напоминающие деятельность, связанную с северокорейскими злоумышленниками — в частности, через сходство в соглашениях об именовании и операционных техниках, — атрибуция остается неопределенной, что подчеркивает необходимость внимательного анализа не только имен пакетов, но и практик использования зависимостей. В заключение, при обнаружении пакетов nodemon-sudo или tslint-conf рекомендуется рассматривать соответствующие машины как скомпрометированные. Пользователям следует незамедлительно удалить оба пакета, сменить любые учетные данные и токены, которые могли быть раскрыты через среду хоста, а также тщательно проверить наличие исходящих соединений с помеченными конечными точками, такими как peach-eligible-penguin-917.mypinata.cloud и jsonkeeper.com.

2
#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4
29
3
#ParsedReport #CompletenessMedium 09-07-2026 nodemon-sudo: an npm Backdoor With No Install Script https://safedep.io/malicious-nodemon-sudo-tslint-conf-npm-backdoor Report completeness: Medium Actors/Campaigns: Jsonspack Threats: Dead_drop_technique Supply_chain_technique Typosquatting_technique Victims: Software developers, Npm ecosystem, Technology sector Industry: Transport Geo: North korea TTPs: Tactics: 1 Technics: 0 ChatGPT TTPs: do not use without manual check T1027, T1036.005, T1059.007, T1102.001, T1105, T1195.001 IOCs: Url: 5 Hash: 5 File: 10 Path: 1 Domain: 1 Soft: outlook Algorithms: sha256, base64 Functions: getCallers Languages: javascript Platforms: x64
16
4
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Версия 1.20.21 пакета @injectivelabs/sdk-ts npm была злонамеренно выпущена через скомпрометированную учетную запись GitHub и содержала код, который похищает закрытые ключи кошельков и мнемонические фразы. ВПО активируется при обычном использовании, изменяя функции вывода ключей, что делает его менее обнаруживаемым. Эта версия была распространена в рамках 17 других пакетов, что вызывает опасения у транзитивных пользователей, и хотя чистая версия 1.20.23 уже опубликована, вредоносная версия все еще доступна в репозитории npm. ----- Обнаружена вредоносная версия пакета npm @injectivelabs/sdk-ts, а именно версия 1.20.21, которая содержит код, предназначенный для эксфильтрации закрытых ключей кошельков и мнемонических фраз. Эта версия была выпущена скомпрометированной учетной записью GitHub, имеющей историю легитимных вкладов в репозиторий, что вызывает опасения относительно целостности экосистем пакетов с открытым исходным кодом. Вредоносная активность началась 8 июня 2026 года с подозрительного коммита, сделанного для настройки бэкдора, после чего вскоре была опубликована вредоносная версия. Хотя настоящий владелец учетной записи быстро откатил изменения и опубликовал чистую версию, вредоносный пакет уже был загружен несколько раз, и следы скомпрометированной версии оставались доступными. Вредоносная функциональность в пакете проста, но эффективна, поскольку она активируется при обычном использовании библиотеки, а не во время установки, что помогает ей избегать обнаружения. Она использует функции, обычно применяемые для вывода ключей, изменяя их так, чтобы они включали вызов функции отслеживания, которая способствует эксфильтрации конфиденциальных данных. Примечательно, что злоумышленник расширил охват этой компрометации, выпустив версию 1.20.21 для 17 других пакетов в рамках @injectivelabs, что создало дополнительную угрозу для транзитивных пользователей, которые могли не устанавливать уязвимый пакет напрямую. Несмотря на быстрые меры по локализации, скомпрометированная версия пакета @injectivelabs/sdk-ts остаётся в репозитории npm, помечена как устаревшая, но не удалена, что означает её доступность для загрузки. Разработчикам рекомендуется провести аудит своих зависимостей, чтобы выявить и обновить любые ссылки на скомпрометированную версию. В частности, следует перейти на недавно выпущенную чистую версию 1.20.23 и считать любые конфиденциальные данные, обработанные через скомпрометированные версии, потенциально скомпрометированными. Общее количество затронутых связанных пакетов включает @@injectivelabs/sdk-ts и различные другие, все из которых привязаны к вредоносному релизу. Благодаря широкой доступности и потенциальному воздействию, инцидент подчеркивает постоянные риски, связанные с управлением зависимостями пакетов в разработке программного обеспечения. Меры безопасности должны включать тщательные аудиты всех зависимостей, устранение прямых и транзитивных ссылок на уязвимый пакет, а также обеспечение соблюдения лучших практик для снижения воздействия таких угроз.
11
5
#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4
17
6
#ParsedReport #CompletenessLow 09-07-2026 Compromised Injective SDK npm Package Exfiltrates Wallet Keys and Mnemonics https://socket.dev/blog/compromised-injective-sdk-npm-package Report completeness: Low Actors/Campaigns: Sdk-ts Victims: Software developers, Cryptocurrency applications, Injective wallet users TTPs: Tactics: 1 Technics: 0 ChatGPT TTPs: do not use without manual check T1195.001 IOCs: File: 3 Url: 1 Hash: 2 Algorithms: sha256, base64 Win API: Wallet Languages: typescript Links: https://github.com/InjectiveLabs/injective-ts/releases https://github.com/InjectiveLabs/injective-ts/activity?ref=test-backdoor-check
16
7
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Ransomware GodDamn, разработанный группой Hyadina, появился в мае 2026 года и характеризуется значительным совпадением кода со своим предшественником, Beast. Атака использовала AnyDesk для первоначального доступа, а также набор инструментов на базе NirSoft для сбора учетных записей и драйвер уровня ядра под названием PoisonX для уклонения, демонстрируя подход bring-your-own-vulnerable-driver (BYOVD). Жертвы столкнулись с шифрованием файлов с расширением .God8Damn, а атака развивалась методично, применяя PsExec для перемещения внутри компании перед выполнением вредоносного кода 3 июня 2026 года. ----- GodDamn — это новейшая версия вымогателя от группы Hyadina, которая переименовала свои предыдущие штаммы вымогателей, включая Monster и Beast. Первое появление GodDamn относится к 21 мая 2026 года, при этом наблюдается значительное совпадение кода с его предшественником, Beast. Это переименование отражает постоянную разработку и совершенствование группой своих атак с использованием вымогателей. Атака, проанализированная Symantec, произошла в начале июня 2026 года и использовала сложные техники для проникновения и выполнения. Ключевыми компонентами атаки стали использование AnyDesk для удаленного доступа, а также набор инструментов на базе NirSoft, предназначенный для сбора учетных записей. Злоумышленники развернули инструмент обхода защиты в пользовательском режиме, замаскированный под легитимный продукт Symantec, в сочетании с драйвером ядра PoisonX для обхода мер безопасности, установленных на системе жертвы. Этот драйвер ядра был впервые задокументирован в начале 2026 года; он способен завершать процессы безопасности на уровне ядра, что демонстрирует продвинутый подход, известный как атака bring-your-own-vulnerable-driver (BYOVD). Драйвер PoisonX, подписанный Microsoft, обеспечивает дополнительный уровень обхода за счет эксплуатации доверия, связанного с легитимными подписанными драйверами, что еще больше подчеркивает разработанные техники, используемые этими злоумышленниками. Жертвы программы-вымогателя GodDamn отметили шифрование файлов с использованием уникального расширения .God8Damn или, в некоторых случаях, с добавлением названия организации жертвы в качестве расширения файла. Примечательно, что схема атаки начиналась с незаметной установки AnyDesk, что указывает на возможность ручного внедрения после первоначального несанкционированного доступа. Атака началась с наблюдаемой активности 29 мая 2026 года, когда AnyDesk был обнаружен в неожиданных местах на хостах. После этого были установлены исходящие соединения с инфраструктурой ретрансляции AnyDesk. Операция с ВПО перешла к сбору учетных записей, используя инструменты, способные извлекать учетные данные из различных типов хранилищ, включая браузеры и почтовые клиенты. Затем PsExec был использован для перемещения внутри компании по сети, что свидетельствует о методичном подходе к заражению нескольких систем перед выполнением программы-вымогателя. 3 июня 2026 года был выполнен вредоносный payload, что указывает на преднамеренную задержку, которая могла отражать разведку или эксфильтрацию данных, собранных ранее в ходе атаки. Вредоносный исполняемый файл в основном располагался в директориях профилей пользователей. Группа Hyadina демонстрирует закономерность эволюции с момента своего первого появления вместе с Monster в 2022 году. Если изначально она нацеливалась только на системы Windows и демонстрировала географические ограничения при таргетинге, то последующий вариант Beast расширил возможности, включив системы Linux и VMware ESXi, что иллюстрирует более широкий операционный охват. Переход к GodDamn ввел еще более сложные тактики как в развертывании, так и в технической реализации, подчеркивая приверженность группы продвижению своей технологии и тактик вымогательства.
13
8
#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4
13
9
#ParsedReport #CompletenessMedium 09-07-2026 GodDamn Ransomware: Latest Beast Rebrand Uses Malicious Driver to Disable Defenses https://www.security.com/threat-intelligence/goddamn-ransomware-beast-rebrand Report completeness: Medium Actors/Campaigns: Beast_ransomware Threats: Goddamn_ransomware Monster_ransomware Beast_ransomware Credential_harvesting_technique Anydesk_tool Poisonx Byovd_technique Mimik_tool Mimikatz_tool Passview_tool Chromepass_tool Passwordfox_tool Messengerpass_tool Vncpassview_tool Sniffpass_tool Operapassview_tool Wirelesskeyview_tool Extpassword_tool Pstpassword_tool Netpass_tool Credential_dumping_technique Netscan_tool Defendercontrol_tool Gmer_tool Iobit_tool Geo: Chinese ChatGPT TTPs: do not use without manual check T1003, T1003.005, T1027, T1036, T1040, T1046, T1057, T1059.001, T1219, T1486, have more... IOCs: File: 24 IP: 4 Hash: 20 Command: 11 Path: 2 Soft: PsExec, Linux, ESXi, Windows Defender Algorithms: sha256 Functions: Set-MpPreference, Set-Content Languages: delphi, powershell
12
10
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Кампания WP-SHELLSTORM, выявленная в июне 2026 года, нацелена на уязвимости в приложениях WordPress и Java, таких как Apache Nacos, используя передовые методы, такие как веб-шеллы для действий после эксплуатации. Ключевые вредоносные инструменты, задействованные в кампании, включают зашифрованный веб-шелл "down.php" и внедренный модуль VShell, оба из которых обеспечивают удаленный доступ и управление файлами. Атакующие, предположительно базирующиеся в Китае, эксплуатировали уязвимость CVE-2021-29441 для кражи учетных данных и продемонстрировали различные показатели успешности в зависимости от эксплуатируемых уязвимостей, что указывает на финансово мотивированную операцию со средними и высокими техническими возможностями. ----- Кампания WP-SHELLSTORM, обнаруженная 11 июня 2026 года, связана с хакерской группировкой, использующей уязвимости преимущественно в приложениях на базе WordPress и Java, таких как Apache Nacos, XXL-Job и Spring Boot. Обнаружение началось с того, что на VPS, расположенном в США, был найден открытый каталог, содержащий веб-шеллы, скрипты эксплойтов и конфигурации управления (C2). Анализ выявил методы обнаружения целей через FOFA, который является китайским аналогом Shodan, что указывает на то, что злоумышленники могут действовать из Китая. Кампания характеризуется как финансово мотивированная, а не спонсируемая государством, с средними и высокими техническими возможностями. Атакующие применяют комплексный подход к своим операциям, используя многоуровневую стратегию выполнения команд, которая включает в себя продвинутые веб-шеллы. Основной веб-шелл, названный "down.php", подвергается интенсивной обфускации и способен выполнять различные пост-эксплуатационные действия, такие как управление файлами, выполнение PHP-кода и удаленный доступ через внедренный модуль, известный как VShell. Этот внедренный модуль маскируется под поток ядра, чтобы избежать обнаружения, в то время как другой дроппер, SNOWLIGHT, извлекает соответствующие полез Важно отметить, что группа также использовала уязвимости, позволяющие красть учетные данные из Nacos, применяя широко известное обходное решение CVE-2021-29441 для аутентификации. В более ранней кампании в мае 2026 года они похитили конфиденциальные конфигурационные файлы в одиннадцати организациях в нескольких секторах, включая финтех и электронную коммерцию, извлекая ценные данные, такие как учетные данные облачных сервисов и секреты JWT. Атаки WP-SHELLSTORM демонстрировали различную степень успешности в зависимости от эксплуатируемых уязвимостей. Уязвимость в Breeze Cache Cleaner позволила получить около 17 000 подтвержденных веб-шеллов из более чем 45 000 целей, тогда как уязвимость в Joomla имела значительно более низкий показатель успешности, несмотря на охват более 560 000 целей. Это указывает на то, что эффективность эксплойта может сильно зависеть от ландшафта уязвимостей и уровня установки исправлений в целевых средах. С точки зрения операционной безопасности, злоумышленники проявили беспечность, оставив идентифицируемую информацию и журналы в открытом доступе, что облегчило отслеживание. Несмотря на использование сложных инструментов, они не смогли достаточно скрыть свою деятельность, что вызывает вопросы об их тщательности в поддержании операционной анонимности. Организациям, использующим WordPress, Joomla или опирающимся на микросервисы на базе Java, рекомендуется предпринять немедленные действия. К ним относятся блокировка известных вредоносных IP-адресов, сканирование на наличие специфических шаблонов веб-шеллов, мониторинг необычных имен процессов, имитирующих системные потоки, а также обеспечение актуальности программного обеспечения для снижения уязвимости к уязвимостям, эксплуатируемым в рамках данной кампании.
17
11
#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4
11
12
#ParsedReport #CompletenessMedium 10-07-2026 How WP-SHELLSTORM Exposed 1.4M WordPress Sites https://socradar.io/blog/wp-shellstorm-expose-1-4m-wordpress-sites/ Report completeness: Medium Actors/Campaigns: Wp-shellstorm (motivation: financially_motivated) Threats: Jdumpspider_tool Bestshell Godzilla_webshell Snowlight Vshell Victims: Wordpress sites, Joomla sites, Nacos infrastructure, Xxl job infrastructure, Spring boot infrastructure, Financial technology, Electronic commerce, Logistics, Gaming, Consumer electronics, have more... Industry: Entertainment, E-commerce, Logistic, Financial Geo: Singapore, Chinese, Taiwan CVEs: CVE-2020-25213 [Vulners] CVSS V3.1: 10.0, Vulners: Exploitation: True X-Force: Risk: Unknown X-Force: Patch: Unknown Soft: - filemanagerpro file_manager (<6.9) CVE-2026-6433 [Vulners] CVSS V3.1: 7.3, Vulners: Exploitation: True X-Force: Risk: Unknown X-Force: Patch: Unknown CVE-2021-29441 [Vulners] CVSS V3.1: 9.8, Vulners: Exploitation: True X-Force: Risk: Unknown X-Force: Patch: Unknown Soft: - alibaba nacos (<1.4.1) CVE-2025-7852 [Vulners] CVSS V3.1: 9.8, Vulners: Exploitation: Unknown X-Force: Risk: Unknown X-Force: Patch: Unknown CVE-2026-48907 [Vulners] CVSS V3.1: 9.8, Vulners: Exploitation: True X-Force: Risk: Unknown X-Force: Patch: Unknown Soft: - widgetfactorylimited jce (<2.9.99.5) CVE-2025-7443 [Vulners] CVSS V3.1: 8.1, Vulners: Exploitation: True X-Force: Risk: Unknown X-Force: Patch: Unknown CVE-2026-3844 [Vulners] CVSS V3.1: 9.8, Vulners: Exploitation: True X-Force: Risk: Unknown X-Force: Patch: Unknown CVE-2026-0740 [Vulners] CVSS V3.1: 9.8, Vulners: Exploitation: True X-Force: Risk: Unknown X-Force: Patch: Unknown CVE-2025-12057 [Vulners] CVSS V3.1: 9.8, Vulners: Exploitation: True X-Force: Risk: Unknown X-Force: Patch: Unknown CVE-2026-1969 [Vulners] CVSS V3.1: 5.3, Vulners: Exploitation: True X-Force: Risk: Unknown X-Force: Patch: Unknown CVE-2025-34085 [Vulners] CVSS V3.1: Unknown, Vulners: Exploitation: Unknown X-Force: Risk: Unknown X-Force: Patch: Unknown ChatGPT TTPs: do not use without manual check T1001, T1005, T1027, T1036, T1046, T1059, T1070, T1071.001, T1082, T1105, have more... IOCs: IP: 4 File: 1 Domain: 1 Hash: 1 Soft: WordPress, Nacos, Alibaba Cloud, Telegram, MySQL, Linux, ThemeREX, Joomla, WavePlayer, BerqWP, have more... Algorithms: xor, sha256 Languages: php, java Links: http://github.com/Kevil-hui/BestShell
11
13
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Вредоносный пакет NuGet Braintree.Net, использующий технику Маскировка для имитации легитимного клиента платежного шлюза, был обнаружен вскоре после публикации. Он предназначен для захвата данных кредитных карт и эксфильтрации ключей API Braintree для торговцев. Вредоносное ПО использует специальный класс логирования для перехвата конфиденциальных данных непосредственно перед легитимными платежными операциями, а также задействует зависимости для поиска дополнительных секретов среды. Скомпрометированные данные маршрутизируются на контролируемую злоумышленником конечную точку, а также применяются техники обфускации для уклонения от обнаружения, что указывает на сложную Компрометацию цепочки поставок, направленную на сбор информации, чувствительной к стандартам PCI. ----- Злоумышленники обнаружили вредоносный пакет NuGet под названием Braintree.Net, который имитирует легитимный клиент платежного шлюза Braintree. Обнаруженный вскоре после его публикации 3 июля 2026 года, этот пакет представляет собой многоэтапный .NET-имплант, который перехватывает данные кредитных карт, эксфильтрует API-ключи купцов Braintree и собирает секреты среды при загрузке сборки. Его дизайн имитирует легитимный SDK Braintree, создавая фасад, который скрывает его злонамеренные функции. Пакет Braintree.Net маскируется под легитимный продукт с обманным названием и версионированием, что приводит к тому, что разработчики невольно устанавливают его. Примечательно, что вредоносный пакет фиктивно завышал количество загрузок путем создания множества пустых версий, предназначенных для введения в заблуждение потенциальных пользователей. Вредоносный код активно перенаправляет собранные данные платежных карт и ключи на контролируемую злоумышленником конечную точку, скрывая свою истинную цель. Внедренный модуль использует специфический класс Braintree.CardOperationLogger, эксклюзивный для вредоносной сборки, который фиксирует детали операций с картами. Этот логгер стратегически активируется перед легитимными платежными действиями, что позволяет эффективно перехватывать информацию платежных карт. Кроме того, установка свойства BraintreeGateway.PrivateKey используется для инициирования кражи учетных данных торговца без обнаружения. Пакет добавляет дополнительную сложность, вводя зависимости, такие как DependencyInjector.Core, которые сканируют среду хоста на наличие конфиденциальных данных, включая метаданные облачных сервисов и токены Kubernetes. Такое скрытное поведение означает, что даже приложения, настроенные для разработки или тестирования, всё ещё рискуют раскрытием конфиденциальной информации, если они ссылаются на скомпрометированный пакет. Тщательно спроектированная раздельная функциональность позволяет вредоносному коду атаковать производственные среды, одновременно минимизируя вероятность обнаружения. Сетевые характеристики ВПО также заслуживают внимания; точка управления (C2) скрыта с помощью XOR-кодирования, что затрудняет её обнаружение при стандартном анализе. Кроме того, эта операция демонстрирует сложную компрометацию цепочки поставок, подчеркивая её финансовую мотивацию и целенаправленный сбор данных, чувствительных к стандартам индустрии платежных карт (PCI). Инцидент подчеркивает важность мер безопасности, связанных с управлением зависимостями. Рекомендуется разработчикам ротировать любые учетные данные продавца, связанные с скомпрометированным пакетом, и проводить аудит кодовых баз на наличие любых связанных зависимостей. Блокировка исходящего трафика на выявленный домен C2 имеет критическое значение, наряду с мониторингом подозрительной сетевой активности, которая может указывать на попытки эксфильтрации данных. В целом, бдительность в отношении программных зависимостей и осведомленность о возможных вредоносных пакетах имеют жизненно важное значение для смягчения этих рисков.
13
14
#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4
14
15
#ParsedReport #ExtractedSchema Classified images: windows: 2, schema: 2
#ParsedReport #ExtractedSchema Classified images: windows: 2, schema: 2
15
16
#ParsedReport #CompletenessHigh 09-07-2026 Fake Braintree NuGet Package Skims Credit Cards and Harvests Merchant Credentials https://socket.dev/blog/braintree-nuget-typosquat-skims-credit-cards Report completeness: High Threats: Typosquatting_technique Supply_chain_technique Victims: Payment merchants, Software developers, Payment applications, Sip and webrtc developers Industry: Financial TTPs: Tactics: 2 Technics: 0 ChatGPT TTPs: do not use without manual check T1005, T1027, T1036.005, T1071.001, T1129, T1195.001, T1480, T1518, T1552.001, T1552.005, have more... IOCs: Domain: 2 File: 44 Url: 3 IP: 2 Hash: 23 Soft: NuGet, openai, Kubernetes, Docker, ASP.NET, Azure Functions, NET Framework, WebRTC, uGet's Algorithms: xor Functions: HTTP, Braintree, Create, AnalyzeAndPrint, Analyze, IsProduction, GetDefaultEndpoint Win API: Amount, Number, CVV, CustomerId, CreditCard, NET Languages: dotnet
14
17
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ В октябре 2025 года Microsoft Threat Intelligence опубликовала отчет о GigaWiper — деструктивном ВПО, разработанном на Golang, которое действует как бэкдор и предоставляет множество деструктивных возможностей, включая стирание данных с диска и шифрование файлов без вымогательских требований. Оно содержит автономные исполняемые файлы для стирания данных, способные удалять информацию на физическом уровне диска, а также компонент бэкдора, обеспечивающий закрепление и связь с серверами C2 через RabbitMQ и Redis. ВПО имеет модульную архитектуру, переиспользуя элементы из других угроз, таких как Crucio и FlockWiper, что позволяет злоумышленникам выполнять задачи шпионажа или деструктивного характера взаимозаменяемо. ----- В октябре 2025 года Microsoft Threat Intelligence выявила сложное деструктивное ВПО под названием GigaWiper, созданное с использованием языка программирования Go (Golang). GigaWiper функционирует как бэкдор, предлагая универсальные возможности управления (C2) наряду с несколькими деструктивными полезными нагрузками, включая стирание дисков, шифрование файлов, напоминающее поведение вымогателей, и саботаж на уровне системы. Это ВПО уникально тем, что представляет собой не единый инструмент, а композит из различных семейств ВПО, предоставляя злоумышленникам гибкость при выполнении атак. GigaWiper включает два основных типа образцов: автономные бинарные файлы-стиратели и более крупные бинарные файлы, оснащенные надежными функциями бэкдора. Автономный вариант работает на физическом уровне диска, стирая данные путем перезаписи сырого содержимого диска и удаления метаданных разделов. Он делает это, используя Инструментарий управления Windows (WMI) для идентификации физических дисков и определения диска с установленной Windows, прежде чем приступить к стиранию других дисков с помощью метода, включающего переинициализацию метаданных разбиения диска. Компонент бэкдора GigaWiper сохраняет функции вымогателя, а также дополнительно предлагает такие возможности, как закрепление и связь через RabbitMQ и Redis. Закрепление достигается за счет использования реестра Windows для отслеживания выполнения, а запланированная задача обеспечивает регулярный запуск ВПО. Связь с сервером C2 устанавливается через RabbitMQ, что позволяет выполнять команды через обменник fanout, а также отслеживать результаты команд через Redis. Среди его команд GigaWiper может запускать шифрование файлов с использованием случайно сгенерированных ключей, которые не сохраняются, что делает расшифровку невозможной. Эта функциональность имитирует подход ransomware, но не содержит требования выкупа или возможности восстановления. Одна из реализаций команд основана на существующем ransomware Crucio, что указывает на то, что за обоими стоит один и тот же злоумышленник. Кроме того, GigaWiper включает дополнительные функции стирания, заимствованные из предыдущего ВПО под названием FlockWiper, демонстрируя модульную архитектуру, в которой код старого ВПО переиспользуется для создания новых угроз. Архитектура бэкдора позволяет ему по желанию переключаться между шпионскими и деструктивными операциями, что демонстрирует значительную эволюцию в наборе инструментов злоумышленника, объединяя независимые семейства ВПО в единый и грозный угрозу. Дизайн вредоносного ПО GigaWiper отражает стратегическую эффективность, направленную на максимизацию воздействия атак при одновременном минимизации усилий по обнаружению и устранению.
15
18
#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4
18
19
#ParsedReport #CompletenessMedium 09-07-2026 GigaWiper: Anatomy of a destructive backdoor assembled from multiple malware https://www.microsoft.com/en-us/security/blog/2026/07/09/gigawiper-anatomy-of-a-destructive-backdoor-assembled-from-multiple-malware/ Report completeness: Medium Threats: Gigawiper Crucio Flockwiper Wevtutil_tool TTPs: Tactics: 2 Technics: 0 ChatGPT TTPs: do not use without manual check T1036.005, T1041, T1047, T1053.005, T1070.001, T1071.005, T1112, T1113, T1140, T1486, have more... IOCs: File: 10 IP: 4 Hash: 8 Soft: Microsoft Defender, Microsoft Defender for Endpoint, RabbitMQ, Redis, MinIO, Windows firewall Algorithms: aes, cbc, sha256, aes-cbc, aes-256 Functions: createKey, deleteKey, deleteValue, setValue, GigaWiper Win API: FindWindowsDrive, DeviceIoControl, WipeMain, createProcess, RunOnceRegistryMain, RanMain, WipeCMain, BigBangExtortMain Languages: golang, powershell
37
20
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Расследование выявило операцию Muck and Load, в рамках которой вредоносный модуль Go выдавался за инструмент сканирования DNS/поддоменов и в основном использовался для доставки ВПО через скрытое выполнение PowerShell. Эта операция охватывает 222 репозитория и 190 учетных записей, использует манипуляции с версиями для сокрытия эксплуатации и облегчает развертывание троянов удаленного доступа (RAT) и инфостилеров из публичных мест мертвой доставки. Загрузчик инициализирует различные полез ----- Расследование вредоносного модуля Go, в частности того, что размещён на github.com/kaleidora/dnsub-scanning-tool, выявило сложную сеть доставки ВПО под названием Operation Muck and Load. Этот модуль, выдающий себя за инструмент сканирования DNS/поддоменов, является прикрытием для серии злонамеренных действий, включая развертывание ВПО для Windows через скрытое выполнение PowerShell, разрешение публичных мёртвых точек (dead-drop), а также доставку троянов удалённого доступа (RAT) и инфостилеров. Масштабный анализ показал, что эта операция охватывала более широкую сеть из 222 репозиториев в 190 аккаунтах, предназначенную для придания достоверности обманным программным проектам. Операция, прикрытая инфраструктурой на тему «muck», использует вводящий в заблуждение Go-модуль для размещения ВПО. Этот вредоносный Go-модуль содержит более 1200 итераций — 700 из которых подтверждены как вредоносные, что свидетельствует о значительной манипуляции с версионированием для сокрытия активной эксплуатации. При запуске этот модуль активирует скрытую команду PowerShell, которая загружает дополнительные вредоносные скрипты с внешнего сайта. Эти скрипты впоследствии загружают и выполняют зашифрованные полезную нагрузку, эффективно выступая в роли загрузчика, обеспечивающего доступ к финальному ВПО. Этот загрузчик не только извлекает метаданные полезной нагрузки, но и использует сеть публичных мест для мертвой доставки, повышая устойчивость к усилиям по удалению. После первоначального выполнения доставляются различные полезная нагрузка, что демонстрирует явные признаки активности стиллера и RAT. В частности, декодированный загрузчик PowerShell взаимодействует с различными полезная нагрузка, связанными с AsyncRAT, Quasar и другими шаблонами вредоносной активности, что указывает на комплексный цикл после развёртывания, включающий механизмы обход защиты и закрепления. Злоумышленник дополнительно использует GitHub, создавая репозитории, заполненные контентом, который выглядит подлинным и может привлекать неосведомлённых пользователей. Многие из этих репозиториев также содержат прямые предложения вредоносного ПО, включая загрузчики троянов, шпионское ПО и криптомайнеры Monero, тем самым усиливая их охват и воздействие. Эта операция тонко использует доверие к платформе GitHub, поддерживая кажущиеся активными аккаунты и проекты, созданные для того, чтобы заманить потенциальных разработчиков для клонирования или выполнения вредоносного кода. Раскрытая автоматизация коммитов в этих репозиториях подчеркивает преднамеренные усилия по созданию фасада постоянной поддержки и надежности для инструментов, которые в противном случае служат для эксплуатации. Результаты указывают на то, что, хотя остановка непосредственного вредоносного модуля была достигнута благодаря оперативным действиям команд безопасности, закрепление инфраструктуры и тактик злоумышленника создает постоянные риски, требующие бдительного наблюдения для предотвращения будущих действий.
100