3 408
订阅者
+124 小时
+127 天
+2930 天
帖子存档
3 408
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Фальшивый пакет npm nodemon-sudo (версия 3.1.16) имитирует легитимный процессный монитор nodemon, но включает зависимость под названием tslint-conf (версия 7.2.1), которая добавляет возможности бэкдора. Этот бэкдор позволяет осуществлять Удаленное Выполнение Кода путем загрузки произвольного кода с шлюза IPFS при срабатывании, что создает значительный риск для безопасности. Вредоносные пакеты, опубликованные 7 июля 2026 года, являются частью кампании, имеющей потенциальные связи с северокорейскими злоумышленниками, хотя точная атрибуция остается неопределенной.
-----
Nodemon-sudo (версия 3.1.16) — это мошеннический пакет npm, имитирующий функциональность известного монитора процессов nodemon. Этот вредоносный пакет включает точную копию легитимного nodemon, тем самым избегая обнаружения благодаря внешнему виду невинности. Единственным дополнительным компонентом является зависимость под названием tslint-conf (версия 7.2.1), которая служит носителем для функций бэкдор. Эта конкретная зависимость представляет собой переупакованную версию библиотеки логирования pino и предназначена для выполнения произвольного кода, загружаемого с шлюза IPFS при активации в среде выполнения приложения. Важно отметить, что ни один из пакетов не использует скрипт установки, что означает, что инструменты, сканирующие вредоносный контент во время установки, не способны выявить эту угрозу.
Значительный риск, связанный с nodemon-sudo, проистекает из его полезной нагрузки второго этапа, которая обеспечивает Удаленное Выполнение Кода на любом компьютере, где запущено приложение. Эта полезная нагрузка активируется после того, как поддельная функция логирования внедряется в приложение разработчика, предоставляя полный доступ к файловой системе и среде в Node.js. Архитектура вредоносного пакета nodemon-sudo гарантирует, что поверхностный анализ не выявит его вредоносной природы, поскольку при изоляции он не содержит явных признаков вредоносного кода.
Оба пакета — nodemon-sudo и tslint-conf с бэкдором — изначально были опубликованы 7 июля 2026 года под аккаунтом npm conodeeth. Анализ показывает, что связка этих пакетов входит в более крупную кампанию, получившую название кластер emiltype /jsonspack. Примечательно, что механизм скрытности, используемый nodemon-sudo, позволяет ему обходить распространённые практики безопасности; его установка не оставляет никаких характерных признаков, и он остаётся безобидным до тех пор, пока не будет вызвана его логгер-функция.
Дополнительное наблюдение заключается в том, что встроенный бинарный файл Windows с именем bin/windows-kill.exe является безвредным и служит легитимной утилитой для отправки сигналов прерывания процессам, тем самым вводя в заблуждение потенциальных реагентов и заставляя их ошибочно оценивать уровень его риска. Хотя кампания демонстрирует черты, напоминающие деятельность, связанную с северокорейскими злоумышленниками — в частности, через сходство в соглашениях об именовании и операционных техниках, — атрибуция остается неопределенной, что подчеркивает необходимость внимательного анализа не только имен пакетов, но и практик использования зависимостей.
В заключение, при обнаружении пакетов nodemon-sudo или tslint-conf рекомендуется рассматривать соответствующие машины как скомпрометированные. Пользователям следует незамедлительно удалить оба пакета, сменить любые учетные данные и токены, которые могли быть раскрыты через среду хоста, а также тщательно проверить наличие исходящих соединений с помеченными конечными точками, такими как peach-eligible-penguin-917.mypinata.cloud и jsonkeeper.com.
3 408
#ParsedReport #CompletenessMedium
09-07-2026
nodemon-sudo: an npm Backdoor With No Install Script
https://safedep.io/malicious-nodemon-sudo-tslint-conf-npm-backdoor
Report completeness: Medium
Actors/Campaigns:
Jsonspack
Threats:
Dead_drop_technique
Supply_chain_technique
Typosquatting_technique
Victims:
Software developers, Npm ecosystem, Technology sector
Industry:
Transport
Geo:
North korea
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.007, T1102.001, T1105, T1195.001
IOCs:
Url: 5
Hash: 5
File: 10
Path: 1
Domain: 1
Soft:
outlook
Algorithms:
sha256, base64
Functions:
getCallers
Languages:
javascript
Platforms:
x643 408
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Версия 1.20.21 пакета @injectivelabs/sdk-ts npm была злонамеренно выпущена через скомпрометированную учетную запись GitHub и содержала код, который похищает закрытые ключи кошельков и мнемонические фразы. ВПО активируется при обычном использовании, изменяя функции вывода ключей, что делает его менее обнаруживаемым. Эта версия была распространена в рамках 17 других пакетов, что вызывает опасения у транзитивных пользователей, и хотя чистая версия 1.20.23 уже опубликована, вредоносная версия все еще доступна в репозитории npm.
-----
Обнаружена вредоносная версия пакета npm @injectivelabs/sdk-ts, а именно версия 1.20.21, которая содержит код, предназначенный для эксфильтрации закрытых ключей кошельков и мнемонических фраз. Эта версия была выпущена скомпрометированной учетной записью GitHub, имеющей историю легитимных вкладов в репозиторий, что вызывает опасения относительно целостности экосистем пакетов с открытым исходным кодом. Вредоносная активность началась 8 июня 2026 года с подозрительного коммита, сделанного для настройки бэкдора, после чего вскоре была опубликована вредоносная версия. Хотя настоящий владелец учетной записи быстро откатил изменения и опубликовал чистую версию, вредоносный пакет уже был загружен несколько раз, и следы скомпрометированной версии оставались доступными.
Вредоносная функциональность в пакете проста, но эффективна, поскольку она активируется при обычном использовании библиотеки, а не во время установки, что помогает ей избегать обнаружения. Она использует функции, обычно применяемые для вывода ключей, изменяя их так, чтобы они включали вызов функции отслеживания, которая способствует эксфильтрации конфиденциальных данных. Примечательно, что злоумышленник расширил охват этой компрометации, выпустив версию 1.20.21 для 17 других пакетов в рамках @injectivelabs, что создало дополнительную угрозу для транзитивных пользователей, которые могли не устанавливать уязвимый пакет напрямую.
Несмотря на быстрые меры по локализации, скомпрометированная версия пакета @injectivelabs/sdk-ts остаётся в репозитории npm, помечена как устаревшая, но не удалена, что означает её доступность для загрузки. Разработчикам рекомендуется провести аудит своих зависимостей, чтобы выявить и обновить любые ссылки на скомпрометированную версию. В частности, следует перейти на недавно выпущенную чистую версию 1.20.23 и считать любые конфиденциальные данные, обработанные через скомпрометированные версии, потенциально скомпрометированными.
Общее количество затронутых связанных пакетов включает @@injectivelabs/sdk-ts и различные другие, все из которых привязаны к вредоносному релизу. Благодаря широкой доступности и потенциальному воздействию, инцидент подчеркивает постоянные риски, связанные с управлением зависимостями пакетов в разработке программного обеспечения. Меры безопасности должны включать тщательные аудиты всех зависимостей, устранение прямых и транзитивных ссылок на уязвимый пакет, а также обеспечение соблюдения лучших практик для снижения воздействия таких угроз.
3 408
#ParsedReport #CompletenessLow
09-07-2026
Compromised Injective SDK npm Package Exfiltrates Wallet Keys and Mnemonics
https://socket.dev/blog/compromised-injective-sdk-npm-package
Report completeness: Low
Actors/Campaigns:
Sdk-ts
Victims:
Software developers, Cryptocurrency applications, Injective wallet users
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual check
T1195.001
IOCs:
File: 3
Url: 1
Hash: 2
Algorithms:
sha256, base64
Win API:
Wallet
Languages:
typescript
Links:
https://github.com/InjectiveLabs/injective-ts/releases
https://github.com/InjectiveLabs/injective-ts/activity?ref=test-backdoor-check3 408
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Ransomware GodDamn, разработанный группой Hyadina, появился в мае 2026 года и характеризуется значительным совпадением кода со своим предшественником, Beast. Атака использовала AnyDesk для первоначального доступа, а также набор инструментов на базе NirSoft для сбора учетных записей и драйвер уровня ядра под названием PoisonX для уклонения, демонстрируя подход bring-your-own-vulnerable-driver (BYOVD). Жертвы столкнулись с шифрованием файлов с расширением .God8Damn, а атака развивалась методично, применяя PsExec для перемещения внутри компании перед выполнением вредоносного кода 3 июня 2026 года.
-----
GodDamn — это новейшая версия вымогателя от группы Hyadina, которая переименовала свои предыдущие штаммы вымогателей, включая Monster и Beast. Первое появление GodDamn относится к 21 мая 2026 года, при этом наблюдается значительное совпадение кода с его предшественником, Beast. Это переименование отражает постоянную разработку и совершенствование группой своих атак с использованием вымогателей. Атака, проанализированная Symantec, произошла в начале июня 2026 года и использовала сложные техники для проникновения и выполнения.
Ключевыми компонентами атаки стали использование AnyDesk для удаленного доступа, а также набор инструментов на базе NirSoft, предназначенный для сбора учетных записей. Злоумышленники развернули инструмент обхода защиты в пользовательском режиме, замаскированный под легитимный продукт Symantec, в сочетании с драйвером ядра PoisonX для обхода мер безопасности, установленных на системе жертвы. Этот драйвер ядра был впервые задокументирован в начале 2026 года; он способен завершать процессы безопасности на уровне ядра, что демонстрирует продвинутый подход, известный как атака bring-your-own-vulnerable-driver (BYOVD). Драйвер PoisonX, подписанный Microsoft, обеспечивает дополнительный уровень обхода за счет эксплуатации доверия, связанного с легитимными подписанными драйверами, что еще больше подчеркивает разработанные техники, используемые этими злоумышленниками.
Жертвы программы-вымогателя GodDamn отметили шифрование файлов с использованием уникального расширения .God8Damn или, в некоторых случаях, с добавлением названия организации жертвы в качестве расширения файла. Примечательно, что схема атаки начиналась с незаметной установки AnyDesk, что указывает на возможность ручного внедрения после первоначального несанкционированного доступа.
Атака началась с наблюдаемой активности 29 мая 2026 года, когда AnyDesk был обнаружен в неожиданных местах на хостах. После этого были установлены исходящие соединения с инфраструктурой ретрансляции AnyDesk. Операция с ВПО перешла к сбору учетных записей, используя инструменты, способные извлекать учетные данные из различных типов хранилищ, включая браузеры и почтовые клиенты. Затем PsExec был использован для перемещения внутри компании по сети, что свидетельствует о методичном подходе к заражению нескольких систем перед выполнением программы-вымогателя.
3 июня 2026 года был выполнен вредоносный payload, что указывает на преднамеренную задержку, которая могла отражать разведку или эксфильтрацию данных, собранных ранее в ходе атаки. Вредоносный исполняемый файл в основном располагался в директориях профилей пользователей.
Группа Hyadina демонстрирует закономерность эволюции с момента своего первого появления вместе с Monster в 2022 году. Если изначально она нацеливалась только на системы Windows и демонстрировала географические ограничения при таргетинге, то последующий вариант Beast расширил возможности, включив системы Linux и VMware ESXi, что иллюстрирует более широкий операционный охват. Переход к GodDamn ввел еще более сложные тактики как в развертывании, так и в технической реализации, подчеркивая приверженность группы продвижению своей технологии и тактик вымогательства.
3 408
#ParsedReport #CompletenessMedium
09-07-2026
GodDamn Ransomware: Latest Beast Rebrand Uses Malicious Driver to Disable Defenses
https://www.security.com/threat-intelligence/goddamn-ransomware-beast-rebrand
Report completeness: Medium
Actors/Campaigns:
Beast_ransomware
Threats:
Goddamn_ransomware
Monster_ransomware
Beast_ransomware
Credential_harvesting_technique
Anydesk_tool
Poisonx
Byovd_technique
Mimik_tool
Mimikatz_tool
Passview_tool
Chromepass_tool
Passwordfox_tool
Messengerpass_tool
Vncpassview_tool
Sniffpass_tool
Operapassview_tool
Wirelesskeyview_tool
Extpassword_tool
Pstpassword_tool
Netpass_tool
Credential_dumping_technique
Netscan_tool
Defendercontrol_tool
Gmer_tool
Iobit_tool
Geo:
Chinese
ChatGPT TTPs:
do not use without manual check
T1003, T1003.005, T1027, T1036, T1040, T1046, T1057, T1059.001, T1219, T1486, have more...
IOCs:
File: 24
IP: 4
Hash: 20
Command: 11
Path: 2
Soft:
PsExec, Linux, ESXi, Windows Defender
Algorithms:
sha256
Functions:
Set-MpPreference, Set-Content
Languages:
delphi, powershell3 408
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания WP-SHELLSTORM, выявленная в июне 2026 года, нацелена на уязвимости в приложениях WordPress и Java, таких как Apache Nacos, используя передовые методы, такие как веб-шеллы для действий после эксплуатации. Ключевые вредоносные инструменты, задействованные в кампании, включают зашифрованный веб-шелл "down.php" и внедренный модуль VShell, оба из которых обеспечивают удаленный доступ и управление файлами. Атакующие, предположительно базирующиеся в Китае, эксплуатировали уязвимость CVE-2021-29441 для кражи учетных данных и продемонстрировали различные показатели успешности в зависимости от эксплуатируемых уязвимостей, что указывает на финансово мотивированную операцию со средними и высокими техническими возможностями.
-----
Кампания WP-SHELLSTORM, обнаруженная 11 июня 2026 года, связана с хакерской группировкой, использующей уязвимости преимущественно в приложениях на базе WordPress и Java, таких как Apache Nacos, XXL-Job и Spring Boot. Обнаружение началось с того, что на VPS, расположенном в США, был найден открытый каталог, содержащий веб-шеллы, скрипты эксплойтов и конфигурации управления (C2). Анализ выявил методы обнаружения целей через FOFA, который является китайским аналогом Shodan, что указывает на то, что злоумышленники могут действовать из Китая. Кампания характеризуется как финансово мотивированная, а не спонсируемая государством, с средними и высокими техническими возможностями.
Атакующие применяют комплексный подход к своим операциям, используя многоуровневую стратегию выполнения команд, которая включает в себя продвинутые веб-шеллы. Основной веб-шелл, названный "down.php", подвергается интенсивной обфускации и способен выполнять различные пост-эксплуатационные действия, такие как управление файлами, выполнение PHP-кода и удаленный доступ через внедренный модуль, известный как VShell. Этот внедренный модуль маскируется под поток ядра, чтобы избежать обнаружения, в то время как другой дроппер, SNOWLIGHT, извлекает соответствующие полез
Важно отметить, что группа также использовала уязвимости, позволяющие красть учетные данные из Nacos, применяя широко известное обходное решение CVE-2021-29441 для аутентификации. В более ранней кампании в мае 2026 года они похитили конфиденциальные конфигурационные файлы в одиннадцати организациях в нескольких секторах, включая финтех и электронную коммерцию, извлекая ценные данные, такие как учетные данные облачных сервисов и секреты JWT.
Атаки WP-SHELLSTORM демонстрировали различную степень успешности в зависимости от эксплуатируемых уязвимостей. Уязвимость в Breeze Cache Cleaner позволила получить около 17 000 подтвержденных веб-шеллов из более чем 45 000 целей, тогда как уязвимость в Joomla имела значительно более низкий показатель успешности, несмотря на охват более 560 000 целей. Это указывает на то, что эффективность эксплойта может сильно зависеть от ландшафта уязвимостей и уровня установки исправлений в целевых средах.
С точки зрения операционной безопасности, злоумышленники проявили беспечность, оставив идентифицируемую информацию и журналы в открытом доступе, что облегчило отслеживание. Несмотря на использование сложных инструментов, они не смогли достаточно скрыть свою деятельность, что вызывает вопросы об их тщательности в поддержании операционной анонимности.
Организациям, использующим WordPress, Joomla или опирающимся на микросервисы на базе Java, рекомендуется предпринять немедленные действия. К ним относятся блокировка известных вредоносных IP-адресов, сканирование на наличие специфических шаблонов веб-шеллов, мониторинг необычных имен процессов, имитирующих системные потоки, а также обеспечение актуальности программного обеспечения для снижения уязвимости к уязвимостям, эксплуатируемым в рамках данной кампании.
3 408
#ParsedReport #CompletenessMedium
10-07-2026
How WP-SHELLSTORM Exposed 1.4M WordPress Sites
https://socradar.io/blog/wp-shellstorm-expose-1-4m-wordpress-sites/
Report completeness: Medium
Actors/Campaigns:
Wp-shellstorm (motivation: financially_motivated)
Threats:
Jdumpspider_tool
Bestshell
Godzilla_webshell
Snowlight
Vshell
Victims:
Wordpress sites, Joomla sites, Nacos infrastructure, Xxl job infrastructure, Spring boot infrastructure, Financial technology, Electronic commerce, Logistics, Gaming, Consumer electronics, have more...
Industry:
Entertainment, E-commerce, Logistic, Financial
Geo:
Singapore, Chinese, Taiwan
CVEs:
CVE-2020-25213 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- filemanagerpro file_manager (<6.9)
CVE-2026-6433 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-29441 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- alibaba nacos (<1.4.1)
CVE-2025-7852 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2026-48907 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- widgetfactorylimited jce (<2.9.99.5)
CVE-2025-7443 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2026-3844 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2026-0740 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2025-12057 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2026-1969 [Vulners]
CVSS V3.1: 5.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2025-34085 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
do not use without manual check
T1001, T1005, T1027, T1036, T1046, T1059, T1070, T1071.001, T1082, T1105, have more...
IOCs:
IP: 4
File: 1
Domain: 1
Hash: 1
Soft:
WordPress, Nacos, Alibaba Cloud, Telegram, MySQL, Linux, ThemeREX, Joomla, WavePlayer, BerqWP, have more...
Algorithms:
xor, sha256
Languages:
php, java
Links:
http://github.com/Kevil-hui/BestShell3 408
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносный пакет NuGet Braintree.Net, использующий технику Маскировка для имитации легитимного клиента платежного шлюза, был обнаружен вскоре после публикации. Он предназначен для захвата данных кредитных карт и эксфильтрации ключей API Braintree для торговцев. Вредоносное ПО использует специальный класс логирования для перехвата конфиденциальных данных непосредственно перед легитимными платежными операциями, а также задействует зависимости для поиска дополнительных секретов среды. Скомпрометированные данные маршрутизируются на контролируемую злоумышленником конечную точку, а также применяются техники обфускации для уклонения от обнаружения, что указывает на сложную Компрометацию цепочки поставок, направленную на сбор информации, чувствительной к стандартам PCI.
-----
Злоумышленники обнаружили вредоносный пакет NuGet под названием Braintree.Net, который имитирует легитимный клиент платежного шлюза Braintree. Обнаруженный вскоре после его публикации 3 июля 2026 года, этот пакет представляет собой многоэтапный .NET-имплант, который перехватывает данные кредитных карт, эксфильтрует API-ключи купцов Braintree и собирает секреты среды при загрузке сборки. Его дизайн имитирует легитимный SDK Braintree, создавая фасад, который скрывает его злонамеренные функции.
Пакет Braintree.Net маскируется под легитимный продукт с обманным названием и версионированием, что приводит к тому, что разработчики невольно устанавливают его. Примечательно, что вредоносный пакет фиктивно завышал количество загрузок путем создания множества пустых версий, предназначенных для введения в заблуждение потенциальных пользователей. Вредоносный код активно перенаправляет собранные данные платежных карт и ключи на контролируемую злоумышленником конечную точку, скрывая свою истинную цель.
Внедренный модуль использует специфический класс Braintree.CardOperationLogger, эксклюзивный для вредоносной сборки, который фиксирует детали операций с картами. Этот логгер стратегически активируется перед легитимными платежными действиями, что позволяет эффективно перехватывать информацию платежных карт. Кроме того, установка свойства BraintreeGateway.PrivateKey используется для инициирования кражи учетных данных торговца без обнаружения.
Пакет добавляет дополнительную сложность, вводя зависимости, такие как DependencyInjector.Core, которые сканируют среду хоста на наличие конфиденциальных данных, включая метаданные облачных сервисов и токены Kubernetes. Такое скрытное поведение означает, что даже приложения, настроенные для разработки или тестирования, всё ещё рискуют раскрытием конфиденциальной информации, если они ссылаются на скомпрометированный пакет. Тщательно спроектированная раздельная функциональность позволяет вредоносному коду атаковать производственные среды, одновременно минимизируя вероятность обнаружения.
Сетевые характеристики ВПО также заслуживают внимания; точка управления (C2) скрыта с помощью XOR-кодирования, что затрудняет её обнаружение при стандартном анализе. Кроме того, эта операция демонстрирует сложную компрометацию цепочки поставок, подчеркивая её финансовую мотивацию и целенаправленный сбор данных, чувствительных к стандартам индустрии платежных карт (PCI).
Инцидент подчеркивает важность мер безопасности, связанных с управлением зависимостями. Рекомендуется разработчикам ротировать любые учетные данные продавца, связанные с скомпрометированным пакетом, и проводить аудит кодовых баз на наличие любых связанных зависимостей. Блокировка исходящего трафика на выявленный домен C2 имеет критическое значение, наряду с мониторингом подозрительной сетевой активности, которая может указывать на попытки эксфильтрации данных. В целом, бдительность в отношении программных зависимостей и осведомленность о возможных вредоносных пакетах имеют жизненно важное значение для смягчения этих рисков.
3 408
#ParsedReport #CompletenessHigh
09-07-2026
Fake Braintree NuGet Package Skims Credit Cards and Harvests Merchant Credentials
https://socket.dev/blog/braintree-nuget-typosquat-skims-credit-cards
Report completeness: High
Threats:
Typosquatting_technique
Supply_chain_technique
Victims:
Payment merchants, Software developers, Payment applications, Sip and webrtc developers
Industry:
Financial
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1071.001, T1129, T1195.001, T1480, T1518, T1552.001, T1552.005, have more...
IOCs:
Domain: 2
File: 44
Url: 3
IP: 2
Hash: 23
Soft:
NuGet, openai, Kubernetes, Docker, ASP.NET, Azure Functions, NET Framework, WebRTC, uGet's
Algorithms:
xor
Functions:
HTTP, Braintree, Create, AnalyzeAndPrint, Analyze, IsProduction, GetDefaultEndpoint
Win API:
Amount, Number, CVV, CustomerId, CreditCard, NET
Languages:
dotnet3 408
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В октябре 2025 года Microsoft Threat Intelligence опубликовала отчет о GigaWiper — деструктивном ВПО, разработанном на Golang, которое действует как бэкдор и предоставляет множество деструктивных возможностей, включая стирание данных с диска и шифрование файлов без вымогательских требований. Оно содержит автономные исполняемые файлы для стирания данных, способные удалять информацию на физическом уровне диска, а также компонент бэкдора, обеспечивающий закрепление и связь с серверами C2 через RabbitMQ и Redis. ВПО имеет модульную архитектуру, переиспользуя элементы из других угроз, таких как Crucio и FlockWiper, что позволяет злоумышленникам выполнять задачи шпионажа или деструктивного характера взаимозаменяемо.
-----
В октябре 2025 года Microsoft Threat Intelligence выявила сложное деструктивное ВПО под названием GigaWiper, созданное с использованием языка программирования Go (Golang). GigaWiper функционирует как бэкдор, предлагая универсальные возможности управления (C2) наряду с несколькими деструктивными полезными нагрузками, включая стирание дисков, шифрование файлов, напоминающее поведение вымогателей, и саботаж на уровне системы. Это ВПО уникально тем, что представляет собой не единый инструмент, а композит из различных семейств ВПО, предоставляя злоумышленникам гибкость при выполнении атак.
GigaWiper включает два основных типа образцов: автономные бинарные файлы-стиратели и более крупные бинарные файлы, оснащенные надежными функциями бэкдора. Автономный вариант работает на физическом уровне диска, стирая данные путем перезаписи сырого содержимого диска и удаления метаданных разделов. Он делает это, используя Инструментарий управления Windows (WMI) для идентификации физических дисков и определения диска с установленной Windows, прежде чем приступить к стиранию других дисков с помощью метода, включающего переинициализацию метаданных разбиения диска.
Компонент бэкдора GigaWiper сохраняет функции вымогателя, а также дополнительно предлагает такие возможности, как закрепление и связь через RabbitMQ и Redis. Закрепление достигается за счет использования реестра Windows для отслеживания выполнения, а запланированная задача обеспечивает регулярный запуск ВПО. Связь с сервером C2 устанавливается через RabbitMQ, что позволяет выполнять команды через обменник fanout, а также отслеживать результаты команд через Redis.
Среди его команд GigaWiper может запускать шифрование файлов с использованием случайно сгенерированных ключей, которые не сохраняются, что делает расшифровку невозможной. Эта функциональность имитирует подход ransomware, но не содержит требования выкупа или возможности восстановления. Одна из реализаций команд основана на существующем ransomware Crucio, что указывает на то, что за обоими стоит один и тот же злоумышленник. Кроме того, GigaWiper включает дополнительные функции стирания, заимствованные из предыдущего ВПО под названием FlockWiper, демонстрируя модульную архитектуру, в которой код старого ВПО переиспользуется для создания новых угроз.
Архитектура бэкдора позволяет ему по желанию переключаться между шпионскими и деструктивными операциями, что демонстрирует значительную эволюцию в наборе инструментов злоумышленника, объединяя независимые семейства ВПО в единый и грозный угрозу. Дизайн вредоносного ПО GigaWiper отражает стратегическую эффективность, направленную на максимизацию воздействия атак при одновременном минимизации усилий по обнаружению и устранению.
3 408
#ParsedReport #CompletenessMedium
09-07-2026
GigaWiper: Anatomy of a destructive backdoor assembled from multiple malware
https://www.microsoft.com/en-us/security/blog/2026/07/09/gigawiper-anatomy-of-a-destructive-backdoor-assembled-from-multiple-malware/
Report completeness: Medium
Threats:
Gigawiper
Crucio
Flockwiper
Wevtutil_tool
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual check
T1036.005, T1041, T1047, T1053.005, T1070.001, T1071.005, T1112, T1113, T1140, T1486, have more...
IOCs:
File: 10
IP: 4
Hash: 8
Soft:
Microsoft Defender, Microsoft Defender for Endpoint, RabbitMQ, Redis, MinIO, Windows firewall
Algorithms:
aes, cbc, sha256, aes-cbc, aes-256
Functions:
createKey, deleteKey, deleteValue, setValue, GigaWiper
Win API:
FindWindowsDrive, DeviceIoControl, WipeMain, createProcess, RunOnceRegistryMain, RanMain, WipeCMain, BigBangExtortMain
Languages:
golang, powershell3 408
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Расследование выявило операцию Muck and Load, в рамках которой вредоносный модуль Go выдавался за инструмент сканирования DNS/поддоменов и в основном использовался для доставки ВПО через скрытое выполнение PowerShell. Эта операция охватывает 222 репозитория и 190 учетных записей, использует манипуляции с версиями для сокрытия эксплуатации и облегчает развертывание троянов удаленного доступа (RAT) и инфостилеров из публичных мест мертвой доставки. Загрузчик инициализирует различные полез
-----
Расследование вредоносного модуля Go, в частности того, что размещён на github.com/kaleidora/dnsub-scanning-tool, выявило сложную сеть доставки ВПО под названием Operation Muck and Load. Этот модуль, выдающий себя за инструмент сканирования DNS/поддоменов, является прикрытием для серии злонамеренных действий, включая развертывание ВПО для Windows через скрытое выполнение PowerShell, разрешение публичных мёртвых точек (dead-drop), а также доставку троянов удалённого доступа (RAT) и инфостилеров. Масштабный анализ показал, что эта операция охватывала более широкую сеть из 222 репозиториев в 190 аккаунтах, предназначенную для придания достоверности обманным программным проектам.
Операция, прикрытая инфраструктурой на тему «muck», использует вводящий в заблуждение Go-модуль для размещения ВПО. Этот вредоносный Go-модуль содержит более 1200 итераций — 700 из которых подтверждены как вредоносные, что свидетельствует о значительной манипуляции с версионированием для сокрытия активной эксплуатации. При запуске этот модуль активирует скрытую команду PowerShell, которая загружает дополнительные вредоносные скрипты с внешнего сайта. Эти скрипты впоследствии загружают и выполняют зашифрованные полезную нагрузку, эффективно выступая в роли загрузчика, обеспечивающего доступ к финальному ВПО. Этот загрузчик не только извлекает метаданные полезной нагрузки, но и использует сеть публичных мест для мертвой доставки, повышая устойчивость к усилиям по удалению.
После первоначального выполнения доставляются различные полезная нагрузка, что демонстрирует явные признаки активности стиллера и RAT. В частности, декодированный загрузчик PowerShell взаимодействует с различными полезная нагрузка, связанными с AsyncRAT, Quasar и другими шаблонами вредоносной активности, что указывает на комплексный цикл после развёртывания, включающий механизмы обход защиты и закрепления. Злоумышленник дополнительно использует GitHub, создавая репозитории, заполненные контентом, который выглядит подлинным и может привлекать неосведомлённых пользователей. Многие из этих репозиториев также содержат прямые предложения вредоносного ПО, включая загрузчики троянов, шпионское ПО и криптомайнеры Monero, тем самым усиливая их охват и воздействие.
Эта операция тонко использует доверие к платформе GitHub, поддерживая кажущиеся активными аккаунты и проекты, созданные для того, чтобы заманить потенциальных разработчиков для клонирования или выполнения вредоносного кода. Раскрытая автоматизация коммитов в этих репозиториях подчеркивает преднамеренные усилия по созданию фасада постоянной поддержки и надежности для инструментов, которые в противном случае служат для эксплуатации. Результаты указывают на то, что, хотя остановка непосредственного вредоносного модуля была достигнута благодаря оперативным действиям команд безопасности, закрепление инфраструктуры и тактик злоумышленника создает постоянные риски, требующие бдительного наблюдения для предотвращения будущих действий.
