CTT Report Hub

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Выявлена фишинговая операция, использующая модифицированную версию открытого инструмента GraphSpy, включающую генератор фишинговых страниц и опирающуюся на туннели Cloudflare. Эта адаптация позволяет злоумышленникам захватывать реальные OAuth-токены жертв, вводя пользователей в заблуждение относительно аутентификации через интерфейс Microsoft, при этом токены сохраняются для немедленного использования. Инструмент обеспечивает доступ к ресурсам Microsoft 365, включая Outlook и Teams, путем регистрации виртуальных устройств в Azure AD с использованием захваченных токенов, которые имеют длительное закрепление и усложняют обнаружение. ----- Анализ выявил операцию по фишингу с использованием кодов устройств, в которой применялась адаптированная версия хорошо задокументированного инструмента с открытым исходным кодом GraphSpy. Эта адаптация включает генератор фишинговых страниц и инфраструктуру, основанную на туннелях Cloudflare, обнаруженную через открытую директорию, предоставляющую доступ к панели оператора без аутентификации. В рамках этой панели были выявлены реальные OAuth-токены жертв, что привело к оповещению затронутых организаций. GraphSpy, известный инструмент для тестирования на проникновение (red-team), соответствует тактикам получения доступа после компрометации в средах Microsoft 365, используя токены OAuth для таких операций, как захват и опрос токенов, а также для взаимодействия с различными API Microsoft. Операторы модифицировали этот инструмент, добавив приложение на Python, создав пользовательский интерфейс и внедрив компоненты, отсутствующие в исходном программном обеспечении: генератор фишинговых страниц, способный создавать обфусцированные фишинговые страницы, и механизмы для управления соединениями Cloudflare Quick Tunnel. Реализация демонстрирует относительно простую конфигурацию, использующую эфемерные Cloudflare Quick Tunnels, которые меняют домены при каждом перезапуске. Каждая сгенерированная фишинговая страница оснащена механизмом получения токенов, посредством которого жертв вводят в заблуждение, заставляя поверить, что они проходят аутентификацию на легитимном интерфейсе аутентификации устройств Microsoft. После того как жертвы вводят свои учетные данные и проходят любую необходимую многофакторную аутентификацию, токены извлекаются в реальном времени и сохраняются в базе данных GraphSpy для немедленного использования. Фишинговые страницы создаются с определенной степенью изощренности, используя техники обфускации, которые имитируют узнаваемые сегменты кода, связанные с популярными платформами аналитики и рекламы, чтобы избежать обнаружения. Атакующие запускают процесс захвата через серию вызовов API, что в конечном итоге приводит к получению доступа к конфиденциальным функциям Microsoft 365 после получения действительных токенов. Впоследствии инструмент GraphSpy позволяет получить доступ к почтовому ящику Outlook жертвы, разговорам в Teams и другим данным Microsoft 365 с использованием захваченных OAuth-токенов. Еще одной важной функцией является возможность регистрации виртуального устройства в Azure AD с помощью авторизованного токена, что генерирует первичный токен обновления (PRT), независимый от учетных данных пользователя. Этот токен обладает длительным закреплением, что усложняет обнаружение и устранение последствий. Стратегии обнаружения такой вредоносной активности могут включать мониторинг стандартных соглашений об именовании скомпрометированных устройств, связанных с операциями GraphSpy, и отслеживание аномальных шаблонов обмена, указывающих на неправомерное использование токенов. Операционная уязвимость демонстрирует, как низкоквалифицированные злоумышленники используют доступные технологии для реализации фишинговых схем, при этом инцидент подчеркивает значительный пробел в безопасности, приведший к компрометации токенов в нескольких организациях.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #CompletenessLow 05-06-2026 GraphSpy in the Wild: Exposed Device Code Phishing Operation https://newtonpaul.com/blog/threatclass-graphspy-device-code-phishing/ Report completeness: Low Threats: Graphspy_tool Industry: Financial, Government, Transport, Logistic, Healthcare TTPs: Tactics: 1 Technics: 0 ChatGPT TTPs: do not use without manual check T1027, T1071.001, T1098.005, T1114.002, T1213, T1528, T1550.001, T1566.002, T1583.006, T1588.002, have more... Soft: Graph API, Outlook, Azure AD, Windows Hello, systemd, trycloudflare, Claude, Twitter Algorithms: xor Functions: Graph Languages: python Links: https://github.com/RedByte1337/GraphSpy

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Кампания «Miasma Worm» включает 37 вредоносных пакетов PyPI, которые используют хуки запуска Python для доставки вредоносного кода, крадущего учетные данные, связанного с хакерской группировкой Shai-Hulud. Используя вредоносный файл *-setup.pth, кампания обеспечивает выполнение зашифрованного JavaScript-кода _index.js, предназначенного для извлечения высокоценных учетных данных из таких платформ, как GitHub и AWS. Этот подход отражает тревожную тенденцию использования доверенных каналов распространения пакетов для выполнения вредоносного кода, в частности, нацеленного на среды CI/CD. ----- Кампания «Miasma Worm» была раскрыта благодаря выявлению 37 вредоносных пакетов (wheels) Индекса пакетов Python (PyPI), которые используют хуки запуска Python для развертывания полезной нагрузки по краже учетных данных, связанной с хакерской группировкой Shai-Hulud/Miasma. Эта кампания использует скомпрометированные пакеты PyPI, содержащие вредоносный файл *-setup.pth, предназначенный для автоматического выполнения при запуске Python, что запускает загрузку и выполнение среды выполнения JavaScript Bun. Зашифрованный полезный нагрузкой JavaScript-код, названный _index.js, является основным механизмом кражи учетных данных, нацеленным на получение высокоценных секретов с различных платформ, включая GitHub, AWS, Google Cloud и другие. Вредоносные пакеты созданы таким образом, что позволяют выполнять код без какого-либо прямого импорта пакета, по сути используя легитимную функцию Python. Использование файла *-setup.pth особенно тревожно, поскольку оно позволяет злоумышленникам выполнять произвольный код во время процесса запуска Python, превращая то, что должно было бы быть пассивной зависимостью, в вектор атаки с отложенным выполнением. Сходства между этой кампанией и предыдущими инцидентами, связанными с Shai-Hulud, подчеркивают тревожную тенденцию, при которой доверенные каналы пакетов используются для выполнения вредоносных действий. Сам полезная нагрузка предназначена для извлечения широкого спектра учетных данных разработчиков и облачных сервисов, в частности материалов, необходимых для конвейеров непрерывной интеграции и доставки (CI/CD). Атакующий применяет техники уклонения, включая проверки локали и индикаторы среды, чтобы предотвратить обнаружение и обеспечить нацеливание на ценные данные. Кроме того, полезная нагрузка остается гибкой; она может адаптироваться к различным средам, изменяя процедуры выполнения, а также выявляя среды разработки, такие как использующие GitHub Actions и конфигурации Anthropic. В частности, кампания использует специфическую номенклатуру в стиле GitHub, с названиями, отсылающими к Аиду и мифам о подземном мире, что отмечает адаптацию от предыдущих кампаний, имевших другие тематические элементы. Эта итерация демонстрирует эволюционирующие тактики злоумышленников, с повышенным вниманием к выполнению кода с использованием уникальных возможностей Python для автоматизации вредоносного поведения. Для снижения рисков организациям, которые могли установить затронутые пакеты, рекомендуется удалить вредоносные выпуски, переоценить и пересобрать свои среды, а также изменить любые раскрытые учетные данные. Постоянная угроза подчеркивает необходимость повышенной бдительности в отношении целостности пакетов во всех экосистемах и укрепляет принцип рассмотрения выполнения кода во время установки и запуска как значительных рисков для Цепочки поставок. Реализация тщательных поисков индикаторов вредоносной активности, особенно в средах CI/CD и организациях GitHub, является обязательной. Последствия таких атак выходят за рамки простого кражи учетных данных, поскольку они могут привести к более глубоким компрометациям в рабочих процессах автоматизации разработчиков и средах программирования с помощью ИИ.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #CompletenessMedium 07-06-2026 Shai-Hulud Descends to Hades: Miasma Worm Campaign Spreads with New PyPI Wave https://socket.dev/blog/shai-hulud-descends-to-hades-miasma-pypi-wave Report completeness: Medium Actors/Campaigns: Mini_shai-hulud Threats: Shai-hulud Hades Miasma Supply_chain_technique Victims: Bioinformatics, Research community, Software development, Continuous integration and continuous delivery, Cloud services Geo: Russian TTPs: Tactics: 3 Technics: 0 ChatGPT TTPs: do not use without manual check T1027, T1059.006, T1059.007, T1105, T1195.001, T1497.001, T1528, T1546, T1552.001, T1552.004, have more... IOCs: File: 5 Hash: 3 Soft: Node.js, CircleCI, Anthropic, Kubernetes, Docker Algorithms: aes-gcm, gzip, aes-256-gcm, sha256, aes, pbkdf2 Languages: python, javascript, cpython

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Кампания Yuta/Solara нацелена на Roblox с использованием передовых техник уклонения, начиная с легитимного .NET WPF-приложения, которое действует как исполняющий файл для читов Roblox, в то время как вторичный PyInstaller-пакет, являющийся частью семейства ВПО Glove Stealer, работает скрытно. Это ВПО устанавливает канал управления через Discord, использует шестислойную стратегию закрепления и обходит Windows Defender с помощью различных скрытых техник, включая префиксирование команд и эксфильтрацию данных в памяти, конкретно нацеливаясь на конфиденциальные учетные данные и секреты пользователей. Кампания демонстрирует растущую сложность угроз, направленных на платформы онлайн-игр. ----- Кампания Yuta/Solara нацелена на платформу Roblox, используя сложные техники уклонения и многоэтапную модель выполнения. Она начинается с внешне легитимного .NET WPF-приложения, которое действует как исполняющая среда для читов Roblox. Это приложение предназначено для обмана пользователей, в то время как вторичная полезная нагрузка, созданная с помощью PyInstaller, выполняется скрыто в фоновом режиме. Эта полезная нагрузка представляет собой сложную реализацию семейства ВПО Glove Stealer, которая применяет различные техники для обхода мер безопасности и эксфильтрации конфиденциальных пользовательских данных. ВПО имеет сложный процесс оркестрации, который включает установление связи управления (C2) через Discord, использование конкретных точек конфигурации для доставки полезной нагрузки и эксфильтрации данных. Оно особенно эффективно в обеспечении закрепления на скомпрометированных системах, реализуя шестислойную стратегию закрепления, которая включает запланированные задачи, модификации реестра и подписки на события WMI, что гарантирует его выживание после перезагрузок. Для поддержания оперативной скрытности вредоносное ПО использует несколько техник для ослепления Windows Defender, включая добавление префиксов к командам для включения путей в исключения и выполнение административных вызовов для запуска тихих запросов UAC. Это позволяет ему работать незамеченным, выполняя серию задач по сбору конфиденциальной информации. Один из заметных методов заключается в обходе шифрования App-Bound Encryption (ABE) в Chrome, используя пятиуровневый подход, вдохновленный предыдущими версиями вредоносного ПО и публичными исследованиями, что обеспечивает доступ к расшифрованным пользовательским данным, таким как файлы cookie и токены. Эксфильтрация данных выполняется в памяти без записи на диск с использованием создания ZIP-файла в памяти. Это позволяет избежать срабатывания общих методов обнаружения, связанных с записью файлов. ВПО также реализует бота Discord для удаленного выполнения команд, что позволяет злоумышленникам активно управлять заражением и кражей данных. Кампания демонстрирует продвинутые возможности в области манипуляции памятью, обхода защиты и сбора данных, конкретно нацеливаясь на высокоценные учетные данные и секреты, связанные с игровой и разработческой деятельностью. Это иллюстрация эволюционирующих тактик, используемых злоумышленниками в сфере онлайн-игровых платформ, отражающая сдвиг в сторону более сложных и целенаправленных подходов киберпреступников.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #CompletenessHigh 04-06-2026 AI-Powered Cheats & Stolen Secrets: Teardown of the Yuta/Solara Roblox Stealer https://www.derp.ca/research/yuta-solara-roblox-python-rat/ Report completeness: High Threats: Glove_stealer Uac_bypass_technique Dead_drop_technique Silent_loader Dll_injection_technique Chromekatz_tool Victims: Roblox users, Game cheat users, Software developers, Cryptocurrency users Industry: Entertainment TTPs: Tactics: 4 Technics: 10 IOCs: Hash: 2 Url: 3 Path: 2 File: 26 Soft: Roblox, Windows Defender, DeepSeek, Google Chrome, PyInstaller, Discord, Pastebin, Telegram, Chrome, Authy, have more... Wallets: metamask, exodus_wallet Algorithms: aes-cbc, aes, xor, sha256, zip, base64, aes-gcm Functions: _is_sandbox, Set-MpPreference, DPAPI Win API: AmsiOpenSession, CoSetProxyBlanket, SeDebugPrivilege, NtCreateThreadEx, SetWindowsHookExW Languages: python, powershell Platforms: intel Links: https://github.com/Meckazin/ChromeKatz have more... https://github.com/zrax/pycdc https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ IronWorm — это атака через Цепочка поставок, нацеленная на экосистему npm, которая компрометирует 36 пакетов через бинарные исполняемые файлы, активируемые скриптом postinstall, и обходит стандартные методы обнаружения. Написанный на Rust, он предназначен для эксфильтрации переменных окружения, учетные данные облачных сервисов и криптовалютных кошельков, а также использует саморепликацию для распространения дополнительных вредоносных пакетов через коммиты в GitHub. Разработчики, использующие затронутые пакеты, сталкиваются со значительными рисками из-за уязвимостей, присущих платформам распространения программного обеспечения. ----- IronWorm представляет собой заметную атаку через цепочку поставок с использованием ВПО в экосистеме npm, проникнув в 36 различных пакетов. В отличие от типичного ВПО, которое скрывает себя в обфусцированном JavaScript-коде, IronWorm использует бинарные исполняемые файлы, активируемые через скрипт postinstall. Этот подход позволил ему избежать стандартных методов обнаружения. Хотя затронутые пакеты набрали в общей сложности 32 177 загрузок в месяц, угроза была нейтрализована до её расширения на более широко используемые пакеты, что ограничило потенциальное воздействие. ВПО, созданное на языке Rust, предназначено для целенаправленной атаки на программных разработчиков путем внедрения вредоносных пакетов npm. Его основные задачи включают эксфильтрацию переменных окружения, учетных данных облачных сервисов и криптокошельков. IronWorm обладает возможностями самовоспроизводства, которые он использует, крадя учетные данные пользователей и затем загружая коммиты в GitHub. Эти коммиты способствуют автоматической публикации дополнительных вредоносных пакетов, тем самым распространяя кампанию дальше. Разработчики, установившие любую из скомпрометированных версий пакетов, находятся под прямой угрозой со стороны IronWorm, что подчеркивает сохраняющиеся уязвимости, связанные с атаками на цепочку поставок на платформах распространения программного обеспечения. Обнаружение и сообщение об этой вредоносной кампании со стороны JFrog подчеркивает важность бдительности и необходимости надежных практик безопасности в сообществе разработчиков программного обеспечения для смягчения подобных угроз.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #CompletenessLow 03-06-2026 IronWorm Supply Chain Malware Hits npm https://www.ox.security/blog/ironworm-supply-chain-malware-hits-npm/ Report completeness: Low Threats: Supply_chain_technique Ironworm Victims: Software developers, Npm ecosystem TTPs: Tactics: 1 Technics: 0 ChatGPT TTPs: do not use without manual check T1027.009, T1078.004, T1195.001, T1204 Languages: javascript

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Операция TaxShadow использует сложное многоэтапное ВПО, инициируемое через фишинговые письма на тему налогов, имитирующие индийский налоговый орган. ВПО включает техники подмены порядка поиска DLL и перехвата API для избежания обнаружения, применяет технику отражённой загрузки PE для выполнения в памяти и использует механизмы на основе генератора Мерсенна для разнообразия шаблонов выполнения. Связь осуществляется через постоянные WebSocket-соединения, что указывает на связь с китайскоязычными злоумышленниками, при этом инфраструктура переиспользуется для атак на несколько регионов, включая Японию. ----- Расследование кампании Operation TaxShadow выявило сложную и скрытую многоэтапную фреймворк-систему вредоносного ПО, инициированную через фишинговые письма на тему налогов, имитирующие индийский налоговый орган. Атака использует техники социальной инженерии, включая сообщения, создающие ощущение срочности, и угрозы несоблюдения требований, чтобы направить жертв на вредоносный веб-сайт, имитирующий легитимный налоговый портал. Здесь жертв заманивают загрузить ZIP-архив, содержащий три ключевых компонента полезной нагрузки: कर विवरण.exe (хост-загрузчик), SbieDll.dll (вредоносный загрузчик) и SbieDll.bin (зашифрованный шеллкод). Эта архитектура вредоносного ПО демонстрирует различные расширенные возможности, направленные на уклонение от обнаружения. Ключевые техники включают подмену порядка поиска DLL, что позволяет вредоносному ПО загружать свои компоненты вместо легитимных системных библиотек, и перехват API, позволяющий ему скрытно манипулировать поведением процессов. Вредоносное ПО использует несколько перехватов для подавления отказов в доступе, манипулирует привилегиями и выполняет код, не вызывая тревог среди традиционных мер безопасности. Одной из заметных тактик является механизм выполнения на основе генератора Мерсенна Твистера, который вносит вариативность в шаблоны выполнения, тем самым усложняя усилия по реверс-инжинирингу и генерации сигнатур. Вредоносное ПО также использует технику отражённой загрузки PE-файлов для выполнения в памяти без создания идентифицируемых артефактов на диске. В сочетании с уплощением потока управления на основе LLVM это скрывает пути управления, дополнительно затрудняя анализ. Связь с инфраструктурой управления (C2) осуществляется через постоянные WebSocket-соединения, которые маскируют вредоносный трафик под легитимную сетевую активность, повышая скрытность. Вредоносное ПО также способно работать в корпоративных прокси-средах, используя динамические конфигурации для обхода обнаружения. Наличие артефактов китайского языка указывает на возможную связь с китайскоязычными злоумышленниками, хотя окончательная атрибуция остается неопределенной. Многорегиональный характер этой кампании расширяет ландшафт угроз, указывая на то, что инфраструктура, используемая для размещения фишинговых сайтов на индийскую тематику, также повторно используется для атак на японских жертв, что демонстрирует централизованную операционную модель. Использование надежных сторонних почтовых сервисов наряду с имперсонацией государственных структур повышает успешность фишинговых атак, позволяя обходить стандартные протоколы безопасности электронной почты.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #ExtractedSchema Classified images: schema: 1, windows: 3, code: 22, dump: 1, filemanager: 1

#ParsedReport #CompletenessHigh 06-06-2026 Operation TaxShadow : Multi-Region Tax Phishing & In-Memory Malware Campaign https://www.cyfirma.com/research/operation-taxshadow-multi-region-tax-phishing-in-memory-malware-campaign/ Report completeness: High Actors/Campaigns: Taxshadow (motivation: cyber_criminal, financially_motivated) Threats: Pe_injection_technique Polymorphism_technique Astral-pe_tool Process_injection_technique Spear-phishing_technique Victims: Taxpayers, Government, Enterprise users, India, Japan Industry: Government Geo: Chinese, Japanese, Indian TTPs: Tactics: 8 Technics: 16 IOCs: Hash: 8 Email: 1 Domain: 11 File: 6 IP: 1 Soft: Windows DLL loading, SendGrid, 2019, compilation ar, Visual Studio Algorithms: md5, xor, ror13, rc4, prng, zip, sha256 Functions: SbieDll_Hook, CryptServiceMain, __readgsqword Win API: AccessCheckByType, CreateFileW, DuplicateHandle, SetThreadToken, GetTokenInformation, CreateThread, LoadLibrary, WinMain, GetVersionExW, GetProcAddress, have more... Languages: javascript Platforms: amd64 YARA: Found

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ UNC3753, хакерская группировка, мотивированная финансовой выгодой, также известная как Luna Moth, использует фишинг по телефону и социальную инженерию для атак на юридические фирмы и финансовые организации США с целью кражи данных. Их тактика включает отправку обманных электронных писем для установления доверительных отношений с жертвами, за которыми следуют убедительные телефонные звонки, приводящие к сеансам удаленного доступа с использованием таких инструментов, как Zoom и AnyDesk. Оказавшись внутри систем, они быстро эксфильтруют конфиденциальные данные, часто используя физический доступ, а также применяя методы, позволяющие обойти средства защиты безопасности, что свидетельствует о глубоком понимании своих целей. ----- UNC3753, также известная как Luna Moth, — это хакерская группировка, проводящая кампании шантажа с целью хищения данных с января по май 2026 года. Их основными целями являются юридические фирмы США и организации в секторах профессиональных и финансовых услуг. Они используют голосовой фишинг (vishing) и социальную инженерию для получения несанкционированного доступа. Кампания начинается с обманных писем на тему счетов-фактур, за которыми следуют телефонные звонки. Злоумышленники выдают себя за сотрудников службы технической поддержки, чтобы проводить сеансы демонстрации экрана и получать удалённый доступ. Оказавшись внутри, они ищут проприетарные юридические документы, персональные данные (PII) и финансовые записи. UNC3753 может завершать атаки от проникновения до эксфильтрации данных в течение одного часа. Они используют инструменты удалённой поддержки, такие как Zoom и Microsoft Teams, для обхода мер безопасности. Жертв часто направляют на загрузку таких инструментов, как AnyDesk, Bomgar и Zoho Assist, для обеспечения постоянного доступа. Группа использует privnote.com для обмена командами выполнения, не оставляя следов на конечных устройствах. Они также осуществляют физические проникновения, выдавая себя за ИТ-персонал для эксфильтрации данных с помощью USB-накопителей. Эксфильтрация данных использует такие методы, как портативные версии WinSCP или Rclone и загрузка на контролируемые аккаунты. Попытки вымогательства осуществляются вскоре после кражи данных, требуя быстрых ответов во избежание публичного раскрытия. Операции UNC3753 отражают пересечение тактик с предыдущими кампаниями, с фокусом на высокоценные цели. Постоянный мониторинг и поведенческий анализ имеют решающее значение для выявления аномалий, связанных с несанкционированным доступом.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #ExtractedSchema Classified images: schema: 2

#ParsedReport #CompletenessHigh 05-06-2026 Seeking Counsel: Ongoing Targeted Campaign Against US Law Firms https://cloud.google.com/blog/topics/threat-intelligence/targeted-campaign-us-law-firms/ Report completeness: High Actors/Campaigns: Luna_moth (motivation: financially_motivated, information_theft) Unc2686 Threats: Microsoft_quick_assist_tool Zoho_assist_tool Anydesk_tool Bomgar_tool Superops_tool Rclone_tool Bazarbackdoor Trickbot Gozi Z_loader Spear-phishing_technique Credential_dumping_technique Victims: Law firms, Legal services, Professional services, Financial services Industry: Education Geo: Chad TTPs: Tactics: 10 Technics: 26 IOCs: File: 1 Url: 1 IP: 7 Soft: Zoom, Microsoft Teams, cURL, WinSCP, Windows Defender Application Control, Outlook Languages: powershell Platforms: intel