uk
Feedback
CTT Report Hub

CTT Report Hub

Відкрити в Telegram

Threat Intelligence Report Hub

Показати більше
Китай40 730Технології та додатки24 149
3 381
Підписники
Немає даних24 години
+127 днів
+4530 день

Триває завантаження даних...

Схожі канали
Blue Team Alerts
14.3K
Blue Team Alerts
PT SWARM
6.8K
PT SWARM
CyberSquatting RU Alerts
2.4K
CyberSquatting RU Alerts
CTT CTI Trends
639
CTT CTI Trends
YAICTC (CL)
318
YAICTC (CL)
avatar
1
Більше каналів
Хмара тегів
вредоносное52
parsedreport48
учетных47
microsoft38
используя37
злоумышленники36
threat33
использует33
generatedschema32
gpt-432
completeness31
доступа30
включая29
таких27
атак25
методы25
обнаружения25
вредоносных22
пользователей22
учетные21
Вхідні та вихідні згадування
---
---
---
---
---
---
Залучення підписників
червень '26
червень '26
+22
в 0 каналах
травень '26
+75
в 1 каналах
Get PRO
квітень '26
+77
в 0 каналах
Get PRO
березень '26
+105
в 0 каналах
Get PRO
лютий '26
+93
в 0 каналах
Get PRO
січень '26
+80
в 0 каналах
Get PRO
грудень '25
+76
в 0 каналах
Get PRO
листопад '25
+66
в 1 каналах
Get PRO
жовтень '25
+69
в 0 каналах
Get PRO
вересень '25
+81
в 1 каналах
Get PRO
серпень '25
+112
в 0 каналах
Get PRO
липень '25
+66
в 0 каналах
Get PRO
червень '25
+58
в 0 каналах
Get PRO
травень '25
+126
в 0 каналах
Get PRO
квітень '25
+74
в 0 каналах
Get PRO
березень '25
+43
в 0 каналах
Get PRO
лютий '25
+57
в 0 каналах
Get PRO
січень '25
+75
в 1 каналах
Get PRO
грудень '24
+63
в 0 каналах
Get PRO
листопад '24
+60
в 0 каналах
Get PRO
жовтень '24
+77
в 1 каналах
Get PRO
вересень '24
+99
в 0 каналах
Get PRO
серпень '24
+78
в 0 каналах
Get PRO
липень '24
+147
в 2 каналах
Get PRO
червень '24
+96
в 0 каналах
Get PRO
травень '24
+184
в 0 каналах
Get PRO
квітень '24
+165
в 2 каналах
Get PRO
березень '24
+148
в 0 каналах
Get PRO
лютий '24
+99
в 0 каналах
Get PRO
січень '24
+94
в 0 каналах
Get PRO
грудень '23
+106
в 0 каналах
Get PRO
листопад '23
+60
в 0 каналах
Get PRO
жовтень '23
+90
в 0 каналах
Get PRO
вересень '23
+51
в 0 каналах
Get PRO
серпень '23
+67
в 0 каналах
Get PRO
липень '23
+113
в 0 каналах
Get PRO
червень '23
+840
в 0 каналах
Get PRO
травень '23
+18
в 0 каналах
Get PRO
квітень '23
+46
в 0 каналах
Get PRO
березень '23
+115
в 0 каналах
Get PRO
лютий '23
+36
в 0 каналах
Get PRO
січень '23
+12
в 0 каналах
Get PRO
грудень '22
+23
в 0 каналах
Get PRO
листопад '22
+27
в 0 каналах
Get PRO
жовтень '22
+31
в 0 каналах
Get PRO
вересень '22
+55
в 0 каналах
Get PRO
серпень '22
+8
в 0 каналах
Get PRO
липень '22
+11
в 0 каналах
Get PRO
червень '22
+8
в 0 каналах
Get PRO
травень '22
+6
в 0 каналах
Get PRO
квітень '22
+238
в 0 каналах
Дата
Залучення підписників
Згадування
Канали
13 червня0
12 червня0
11 червня0
10 червня+6
09 червня+2
08 червня+5
07 червня0
06 червня+2
05 червня0
04 червня+1
03 червня+2
02 червня+2
01 червня+2
Дописи каналу
CTT Report Hub
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Сеть из 152 расширений Chrome Web Store, в основном приложений с живыми обоями для нового вкладки, занимается мошеннической деятельностью, связанной с рекламой. Эти расширения были установлены примерно 105 000 раз через 38 аккаунтов издателей. Они используют техники фальсификации трафика для искажения статистики взаимодействия пользователей и сбора данных в нарушение своих политик конфиденциальности. Их инфраструктура спроектирована для уклонения от обнаружения: применяется множественная регистрация для распространения идентичного кода, что усложняет выявление и удаление, одновременно увеличивая рекламные доходы за счет мошеннической деятельности. ----- Существует сеть из 152 расширений Chrome Web Store, в основном приложений с живыми обоями для нового вкладки, связанных с мошенничеством с рекламой. Эти расширения распространяются через 38 аккаунтов издателей и имеют общую кодовую базу. В совокупности эти расширения имеют около 105 000 установок. Несмотря на заявления об отсутствии сбора данных, политика конфиденциальности допускает ведение журналов IP-адресов, данных провайдера (ISP), количества кликов и информации о рефералах для рекламных платформ, таких как Google AdSense и DoubleClick. 54 расширения используют отмывку трафика, манипулируя URL-адресами, чтобы замаскировать трафик, генерируемый расширениями, под настоящие веб-поисковые запросы. Эта манипуляция завышает показатели вовлеченности пользователей, повышая прибыльность за счет рекламных доходов. Служебный воркер отправляет поддельные сигналы органической атрибуции при установке и маскирует процесс удаления, чтобы отправлять ложные данные аналитики. Установленные расширения занимаются перечислением и удалением баз данных IndexedDB, нацеливаясь только на свои незначительные базы данных. Инфраструктура спроектирована для уклонения от обнаружения, используя несколько аккаунтов издателей для распространения идентичного кода через различные расширения. Если один аккаунт удалён, остальные остаются незамеченными из-за этой стратегии распределения. Монетизация за счёт рекламы опирается на увеличение трафика с этих вредоносных расширений для повышения доходов на связанных веб-сайтах. В исследовании подчеркиваются проблемы неточного сбора пользовательских данных и атрибуции в экосистеме Chrome. Неточные раскрытия информации о конфиденциальности нарушают политики Chrome Web Store, требующие предоставления правдивой информации. Пользователям следует удалить расширения, связанные с доменами, такими как tabplugins.com, yowgames.com или chromewallpaper.com. Специалистам по безопасности рекомендуется выявлять коллективные характеристики этих семейств расширений, а не фокусироваться на отдельных случаях.

2
#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4
17
3
#ParsedReport #CompletenessLow 13-06-2026 152 Chrome Live Wallpaper Extensions Hid Ad Tracking and Faked Google Search Traffic https://socket.dev/blog/152-chrome-live-wallpaper-extensions-hid-ad-tracking Report completeness: Low Threats: Bumblebee Victims: Advertising, Ad technology, Affiliate marketing, Chrome users Industry: Transport, Education, Telco Geo: Turkey, Turkish, Tokyo, Ankara TTPs: Tactics: 1 Technics: 5 IOCs: Domain: 4 File: 9 Email: 6 IP: 2 Coin: 11 BrowserExtension: 141 Soft: Chrome, IndexedDB, Outlook, WordPress, Kitty, Minecraft Functions: setUninstallURL, deleteDatabase
12
4
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Кампания Solana FakeFix нацелена на разработчиков Solana посредством распространения 25 вредоносных пакетов npm и PyPI, использующих тайпсквоттинг и поддельное брендинг. Атакующие выполняют JavaScript-код во время установки npm для создания канала C2 в Телеграм, тогда как пакеты Python запускают ВПО при импорте; обе техники предназначены для кражи конфиденциальной информации, такой как ключи кошельков и учетные данные облачных сервисов. Кампания сочетает прямую эксплуатацию уязвимостей пакетов с фишинговыми тактиками, чтобы заманить жертв на раскрытие учетных данных. ----- Кампания Solana FakeFix, выявленная исследовательской группой JFrog Security, связана с распространением 25 вредоносных пакетов npm и PyPI, нацеленных конкретно на разработчиков Solana. В рамках кампании используются тактики, такие как тайпсквоттинг, поддельное брендинг для SDK Solana и хуки выполнения жизненного цикла, что способствует краже данных. Эти пакеты призваны извлекать конфиденциальную информацию, включая ключи кошельков, учетные данные облачных сервисов, токены систем контроля версий и различные секреты среды. Основным обманным подходом, использованным в этой кампании, была реклама этих опасных пакетов в качестве исправлений совместимости для проблем сборки Solana. Кампания осуществлялась путем спама в вопросах GitHub от имени пользователя PassWord1337, который выдавал себя за участника сообщества, эффективно нацеливаясь на разработчиков, испытывающих проблемы с зависимостями. Первый этап атаки требовал выполнения JavaScript-кода, контролируемого злоумышленником, во время установки npm-пакета. Этот исполняемый полезный код немедленно настраивал канал управления (C2) через Телеграм и инициировал поиск секретов разработчика. Для пакетов Python вредоносное ПО активировалось в ходе стандартного процесса импорта, что подчеркивает различия в методах выполнения между npm и PyPI. Каждый тип пакетов имел общие характеристики полезной нагрузки, что указывает на скоординированные усилия по проникновению в системы. Более поздние варианты npm эволюционировали, изменив вектор атаки путем внедрения вредоносного кода в JavaScript-библиотеки Solana, имитирующие функциональность, что позволяло им действовать незамеченными при сканировании конфиденциальной информации, такой как ключевые пары Solana и учетные данные AWS. В другом аспекте кампании загрузчик с тематикой CMS использовал пакеты npm, загруженные пользователем по имени thermonuclear. Хотя они не были напрямую связаны с Solana, эти пакеты содержали механизмы для выполнения удаленных Windows-загрузчиков с помощью сценариев PowerShell и JavaScript, выполняемых в контексте среды выполнения Deno. Эти методы включали скрытые установки, динамическое получение загрузчиков второго этапа и попытки закрепления с использованием различных функций Windows, таких как запланированные задачи и изменения реестра. Злоумышленники также использовали концепцию ботов MEV (извлекаемая майнерами ценность) для того, чтобы заманить жертв предоставить конфиденциальные учетные данные под ложным обещанием пассивного дохода. Это представляет собой сочетание эксплуатации технических пакетов и классических тактик фишинга. Шаги по устранению включают удаление затронутых пакетов, ротацию всех конфиденциальных учетных данных и аудит на наличие потенциальных индикаторов закрепления, которые могут позволить злоумышленникам сохранить доступ. Расследование должно сосредоточиться на признаках трафика Telegram API и других конкретных IoC, связанных с кампанией. Сложность использованных методов, переход от простых бэкдоров к сложным троянизированным библиотекам, подчеркивает быструю эволюцию и растущую сложность таких киберугроз, нацеленных на экосистемы разработчиков.
15
5
#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4
17
6
#ParsedReport #ExtractedSchema Classified images: schema: 3, windows: 2
#ParsedReport #ExtractedSchema Classified images: schema: 3, windows: 2
18
7
#ParsedReport #CompletenessMedium 11-06-2026 Solana FakeFix: 25 Malicious npm and PyPI Packages Lure Developers With Fake Stable Builds https://research.jfrog.com/post/solana-fakefix/ Report completeness: Medium Actors/Campaigns: Solana_fakefix Threats: Typosquatting_technique Deno_loader Victims: Solana developers, Developers, Ci pipelines, Software development, Cryptocurrency Industry: Healthcare, Financial TTPs: Tactics: 2 Technics: 0 ChatGPT TTPs: do not use without manual check T1005, T1033, T1036, T1053.003, T1053.005, T1059.001, T1059.006, T1059.007, T1070.004, T1071.001, have more... IOCs: File: 24 Url: 17 IP: 1 Path: 3 Soft: Telegram, ETHERSCAN, Unix crontab, macOS, Windows scheduled task, Windows Registry Crypto: solana Algorithms: base58 Functions: Set-ExecutionPolicy, setTimeout, Set-ItemProperty Languages: javascript, typescript, python, powershell
24
8
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Инфраструктура Device Code Lab (DCL) способствует проведению сложных фишинговых атак, предоставляя модули инструментов, которые позволяют операторам похищать электронные письма и манипулировать скомпрометированными учетными записями. Ключевые возможности модуля почтового ящика позволяют выполнять такие операции, как поиск и управление правилами входящих сообщений, а генератор SVG-вложений может внедрять JavaScript для обхода обнаружения. Такой подход не только придает фишинговым письмам легитимность, но и поддерживает гибридные рабочие процессы атак, демонстрируя скоординированные усилия по эксплуатации уязвимостей корпоративной среды. ----- Инфраструктура Device Code Lab (DCL) заметно расширилась, что выявило несколько открытых модулей инструментов, облегчающих различные вредоносные действия. Ключевые возможности включают модуль почтового ящика, позволяющий операторам выполнять эксфильтрацию электронных писем с использованием захваченных токенов жертв. Этот модуль напоминает Outlook Web App и поддерживает расширенные функции, такие как навигация по папкам, массовые операции, создание правил входящих сообщений и даже перечисление ролей Azure AD. Подобная глубина функциональности указывает на сложную методологию, применяемую операторами для манипуляции скомпрометированными учетными записями. Среда DCL связана через несколько доменов с использованием общих сертификатов TLS, что указывает на централизованный подход к управлению их операциями. Постоянное обновление индикаторов компрометации (IOCs) подчеркивает изменчивый характер этой инфраструктуры по мере выявления новых уязвимостей и инструментов. Важно отметить, что открытый пользовательский интерфейс почтового ящика по определенным путям позволяет операторам беспрепятственно взаимодействовать с электронной почтой жертв, выполняя такие действия, как поиск, составление и удаление сообщений. Кроме того, были выявлены инструменты для управления списками адресов электронной почты и их проверки на предмет использования в фишинге, что повышает эффективность их кампаний за счет обеспечения лучшей доставляемости и точности таргетинга. Инфраструктура DCL поддерживает гибридные рабочие процессы атак, использующие фишинг с кодом устройства для первоначального доступа, за которым следует рассылка фишинговых писем непосредственно с скомпрометированных учетных записей, добавляя дополнительный уровень легитимности последующим атакам. Кроме того, генератор SVG-вложений DCL известен своей способностью обходить механизмы обнаружения Microsoft Defender for Endpoint. Этот инструмент позволяет создавать SVG-файлы, которые могут встраивать JavaScript, что позволяет злоумышленникам эксплуатировать контексты браузера, избегая при этом распространенных методов обнаружения. Операционный ландшафт DCL также включает различные фишинговые страницы, предназначенные для сбора учетных данных по множеству тем, с использованием скомпрометированной инфраструктуры для обмана жертв. Такое разнообразие тактик и инструментов указывает на скоординированные усилия по эксплуатации уязвимостей в корпоративных средах и уклонению от обнаружения благодаря тщательному проектированию и инструментам с богатым функционалом.
63
9
#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4
26
10
#ParsedReport #CompletenessMedium 10-06-2026 Device Code Lab - Infrastructure Expansion & New Capability Analysis https://newtonpaul.com/blog/dcl-infrastructure-update/ Report completeness: Medium Threats: Device_code_lab_tool Evilginx_tool Device_code_phishing_technique Credential_harvesting_technique Victims: Microsoft 365 tenants, Exchange online users, Onedrive users Industry: Telco Geo: Brazilian, London TTPs: Tactics: 1 Technics: 0 ChatGPT TTPs: do not use without manual check T1069.003, T1078.004, T1087.004, T1098, T1098.002, T1114.002, T1114.003, T1136.003, T1213, T1528, have more... IOCs: IP: 14 Domain: 28 Url: 1 File: 4 Soft: MSSQL, nginx, Outlook, Azure AD, Graph API, chrome, Gmail, protonmail, Microsoft Defender for Endpoint, Microsoft Exchange, have more... Algorithms: zip Functions: Set-Mailbox, Get-MessageTrace, mbBase, Set-InboxRule, Set-TransportRule Languages: javascript, php
23
11
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Недавний анализ фишинговой кампании, имитирующей USPS, выявил передовые тактики, используемые киберпреступниками, включая генерацию множества поддоменов, связанных с одним доменом, для фишинга. Злоумышленники использовали легитимную инфраструктуру, чтобы обмануть жертв и заставить их предоставить конфиденциальные данные, захватывая нажатия клавиш через соединение WebSocket для извлечения данных в реальном времени. Эта кампания приписывается более широкой экосистеме, часто связанной с контентом на китайском языке, что указывает на системную операционную модель с характерными структурными особенностями. ----- Недавний анализ смишинговой кампании, имитирующей Почтовую службу США (USPS), выявил сложные технические методы, используемые киберпреступниками. Фишинговый набор работает через SMS-сообщения, которые заманивают жертв поддельным уведомлением о доставке посылки USPS. Злоумышленники использовали легитимные ресурсы USPS, включая HTML, CSS, изображения и теги Google Analytics, которые взаимодействуют с реальной маркетинговой инфраструктурой USPS. Такая архитектура позволяет им захватывать конфиденциальные данные в реальном времени путем открытия WebSocket-соединения обратно на их сервер, что обеспечивает мгновенную потоковую передачу нажатий клавиш с деталями кредитной карты. Кроме того, бэкенд выполняет серверную валидацию Bank Identification Number (BIN) для введенной информации о карте, оптимизируя шансы на захват действительных данных. Фреймворк, лежащий в основе операции смишинга, включает один домен, который сгенерировал более сотни поддоменов. Пассивные данные DNS из Censys выделили структурный характер этой кампании, при этом основной хост разрешается в 682 уникальных похожих имени хоста. Каждый из этих доменов, как правило, разделяет такие характеристики, как имена файлов cookie, которые включают тему «us_post_ups», что указывает на единый операционный фреймворк за этими несколькими кампаниями. Примечательно, что это исследование также выявило параллельные кампании, нацеленные на UPS с использованием другой технологии бэкенда (Java/Spring Boot), но применяющие ту же базовую схему, демонстрируя последовательную операционную модель от одного злоумышленника. Процесс фишинга начинается с обманной страницы проверки Cloudflare, представленной на нескольких языках для повышения доверия и вовлечения потенциальных жертв. После того как цель вводит информацию, набор сохраняет историю попыток ввода карт, чтобы побудить жертву ввести дополнительные данные карты под предлогом сообщений об отказе. Это приводит к сложному извлечению данных через постоянное соединение с сервером киберпреступника. Атрибуция данной активности указывает на более широкую экосистему, которая часто ассоциируется с китайским языковым контентом и стилями операций в кампаниях смишинг, и имеет характеристики, типичные для того, что было названо «Smishing Triad». Хотя прямых доказательств, связывающих этот кластер с конкретными предыдущими инцидентами, нет, такие индикаторы, как двуязычные внутренние конфигурации и инфраструктура, размещенная через Tencent, свидетельствуют о хорошо налаженной и организованной реализации. Кампании демонстрируют стратегию, при которой оперативная инфраструктура быстро выводится из эксплуатации, в то время как структурные особенности, такие как номенклатура файлов cookie и пути к ресурсам, остаются неизменными, что делает их уязвимыми для защиты со стороны защитников. В данном анализе подчеркивается необходимость улучшения защитных мер против подобных одноразовых фишинговых схем. Рекомендуется применять методы обнаружения, ориентированные на структурные элементы наборов инструментов, а не на конкретные домены или IP-адреса, поскольку эти угрозы предназначены для частого изменения. Непрерывный мониторинг истории DNS явно служит жизненно важным инструментом для отслеживания жизненного цикла таких операций, раскрывая масштаб инфраструктуры, лежащей в основе этой злонамеренной деятельности.
12
12
#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4
11
13
#ParsedReport #CompletenessHigh 12-06-2026 The Package That Never Shipped: Following a USPS Smishing Kit Through Censys DNS Data https://censys.com/blog/following-a-usps-smishing-kit-through-censys-dns-data/ Report completeness: High Actors/Campaigns: Smishing_triad (motivation: information_theft) Threats: Smishing_technique Regre_ssh_ion_vuln Lighthouse_tool Victims: Postal services, Package delivery, Logistics, United states citizens Industry: Financial Geo: United states, China, Singapore, Spanish, United kingdom, Chinese, Brazil, California, Asia CVEs: CVE-2024-6387 [Vulners] CVSS V3.1: 8.1, Vulners: Exploitation: True X-Force: Risk: Unknown X-Force: Patch: Unknown Soft: - sonicwall sma_6200_firmware (-) ChatGPT TTPs: do not use without manual check T1041, T1056.003, T1071.001, T1090, T1566.002, T1583.001, T1583.003 IOCs: Url: 2 Domain: 4 File: 4 IP: 7 Hash: 2 Soft: Caddy, OpenSSH, Linux Functions: JSONP Win API: LTD, ARC Languages: java
12
14
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ 8 июня 2026 года аккаунт GitHub, связанный с сооснователем открытого ИИ-инструмента Pythagora-io, был скомпрометирован, что привело к развертыванию 758-килобайтного обфусцированного варианта вредоносного ПО для кражи учетных данных на языке JavaScript, являющегося вариантом червя Shai-Hulud. Это ВПО использует сообщения коммитов GitHub в качестве скрытого канала управления, выгружая конфиденциальные учетные данные через вновь созданные репозитории, при этом применяя передовые методы обфускации, кроссплатформенные возможности и стратегии противодействия анализу. Инцидент связан с группой TeamPCP/UNC6780 и подчеркивает уязвимости в механизмах безопасности цепочки поставок программного обеспечения. ----- 8 июня 2026 года аккаунт GitHub одного из сооснователей популярного инструмента для разработчиков на базе ИИ с открытым исходным кодом Pythagora-io/gpt-pilot был скомпрометирован, что привело к принудительному обновлению (force-push) вредоносного кода, крадущего учетные данные. Этот вредоносный код представляет собой вариант червя Shai-Hulud, специально разработанный как 758-килобайтный обфусцированный JavaScript-стиллер, нацеленный на кражу конфиденциальных учетных данных, таких как ключи AWS, секреты GitHub и SSH-ключи. ВПО использует сообщения коммитов GitHub в качестве скрытого канала управления (C2), выгружая украденные данные путем создания и фиксации изменений в новых репозиториях GitHub, что затрудняет обнаружение его операций. Атака продемонстрировала сложный метод сокрытия, поскольку злоумышленник задним числом установил дату вредоносного коммита на август 2025 года. Это было сделано для того, чтобы скрыть его присутствие в истории проекта. Примечательно, что ВПО использует систему импорта модулей Python для активации, демонстрируя кроссплатформенные возможности для Linux, macOS и Windows. Оно предотвращает дублирование выполнения через файл блокировки и подавляет вывод, что дополнительно способствует его скрытности. Основой вредоносного ПО является полезная нагрузка _runtime.bin, которая предназначена для работы в среде выполнения Bun и использует несколько уровней обфускации для уклонения от анализа. Вредоносное ПО устанавливает новый канал C2 через API коммитов GitHub, где оно ищет определенную строку-маркер. Команды извлекаются с помощью регулярных выражений, что позволяет атакующему управлять зараженными машинами, просто создавая публичные коммиты, содержащие этот маркер, тем самым маскируя вредоносную активность под рутинные операции разработчика. Эксфильтрация происходит преимущественно через новые репозитории GitHub с использованием украденных токенов, при этом злоумышленники имитируют обычного автора коммитов для снижения заметности, тогда как вторичный метод включает зашифрованные вызовы DNS. Закрепление достигается за счет файлов настроек для Claude Code и VS Code, которые повторно запускают ВПО во время сеансов работы с кодом. ВПО также демонстрирует продвинутые техники противодействия анализу, включая стратегии уклонения на основе локали и мониторинг новых созданных токенов. Это событие согласуется с другими инцидентами, приписываемыми кампании Shai-Hulud, которая, как считается, связана с хакерской группировкой TeamPCP/UNC6780. Высокий уровень сложности методов, использованных в атаке, включая значительное сокрытие следов и эксплуатацию Sigstore для публикации вредоносных пакетов с вводящими в заблуждение сигналами подлинности, указывает на тщательно спланированный подход к атакам на цепочку поставок программного обеспечения. В свою очередь, это подчеркивает необходимость усиления мер безопасности, таких как защита веток в основных ветках (main branches), для предотвращения несанкционированных изменений в репозиториях. Инцидент также показывает, что традиционные инструменты контроля качества кода могут непреднамеренно обеспечивать защиту безопасности, отклоняя код, не соответствующий установленным стандартам, что указывает на наличие пробелов в механизмах защиты цепочки поставок.
12
15
#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4
12
16
#ParsedReport #ExtractedSchema Classified images: schema: 4, chart: 1
#ParsedReport #ExtractedSchema Classified images: schema: 4, chart: 1
12
17
#ParsedReport #CompletenessMedium 08-06-2026 Pythagora-io/gpt-pilot Compromised on GitHub - Shai-Hulud Credential Stealer Blocked by Python Linter https://www.stepsecurity.io/blog/pythagora-io-gpt-pilot-compromised-on-github-shai-hulud-credential-stealer-blocked-by-python-linter Report completeness: Medium Actors/Campaigns: Teampcp Mini_shai-hulud Threats: Shai-hulud Credential_stealing_technique Supply_chain_technique Victims: Open source software, Software development, Artificial intelligence development Geo: Russian TTPs: Tactics: 3 Technics: 8 IOCs: File: 1 Hash: 2 Soft: Mistral, Kubernetes, HashiCorp Vault, Claude, Linux, macOS, Node.js Algorithms: base64, aes-256-gcm, sha256, md5 Functions: run, v3MNGJU, HJgj4ju, require, rMq3gu, eval, unref, GetSecretValue Languages: javascript, python, typescript Platforms: cross-platform, arm, x64 Links: have more... https://github.com/Pythagora-io/gpt-pilot/issues/1182 https://github.com/step-security/harden-runner https://github.com/Pythagora-io/gpt-pilot
11
18
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ В статье описывается сложная цепочка заражения вредоносным ПО, связанная со стиллером Agent Tesla, инициируемая фишинговым письмом с зашифрованным Batch-скриптом. Вредоносное ПО достигает компрометации системы через многоэтапное выполнение, используя команды PowerShell и загрузку в память для уклонения от обнаружения, одновременно захватывая конфиденциальные данные из веб-браузеров и системных ресурсов. Ключевые техники включают внедрение в легитимные процессы, применение мер противодействия анализу и использование безфайлового выполнения для поддержания закрепления и уклонения от традиционных средств защиты безопасности. ----- В статье подробно рассматривается сложная цепочка заражения вредоносным ПО, связанная со стиллером Agent Tesla, которая начинается с看似 безобидного фишингового письма, содержащего сильно запутанный пакетный скрипт. Процесс заражения многоэтапный: от первоначального доступа через вредоносное вложение до полной компрометации системы, при этом используются различные техники уклонения от обнаружения. При открытии вложения выполняется пакетный скрипт, который запускает команду PowerShell, служащую загрузчиком для скачивания дополнительных вредоносных компонентов непосредственно в память, что минимизирует риск обнаружения за счет отсутствия традиционных артефактов на диске. Включает в себя выполнение загрузчика shellcode в памяти, который декодирует и запускает другой вредоносный код, используя такие техники, как кодирование Base64 и XOR-дешифрование, чтобы скрыть его истинное назначение. ВПО закрепляется на системе жертвы, оставляя остаточные компоненты в временной директории и создавая скрипт автозагрузки, что обеспечивает продолжение выполнения даже после перезагрузки. Значительным аспектом атаки является использование скрипта на базе AutoIt в качестве загрузчика для внедрения. Этот загрузчик внедряет полезную нагрузку Agent Tesla в легитимный процесс Windows, а именно charmap.exe, используя техники удаленного выделения памяти и создания процесса, часто связанные с Внедрением в пустой процесс. После запуска вредоносное ПО занимается масштабным похищением данных, включая захват учетных данных браузеров, нажатий клавиш и скриншотов, которые затем эксфильтруются через SMTP-коммуникацию, замаскированную под обычный почтовый трафик. Анализ выявляет сложную структуру вредоносного ПО, предназначенную для скрытого и устойчивого функционирования. Оно выполняет отпечаток системы для сбора подробной информации о скомпрометированной машине. Специфические функции нацелены на различные веб-браузеры для извлечения учетных данных, включая как браузеры на базе Chromium, так и на базе Mozilla, а также собирает конфиденциальные данные из хранилища учетных данных Windows. Компонент кейлоггера дополнительно подчеркивает его возможности для детального мониторинга активности пользователя. Важно отметить, что вредоносное ПО включает меры противодействия анализу, такие как проверки отладки, песочниц и виртуальных машин, что повышает его способность избегать обнаружения во время анализа. Применение нескольких уровней обфускации и опора на безфайловое выполнение свидетельствуют о современных тактиках стиллера, которые маскируют скрытые операции под легитимные системные процессы. Стратегии обнаружения, обсуждаемые в статье, подчеркивают необходимость проактивного мониторинга шаблонов выполнения PowerShell, использования AutoIt, безопасности вложений электронной почты и выявления аномалий дочерних процессов. Этот случай подчеркивает эволюцию атак стиллеров в комплексные фреймворки выполнения, предназначенные для максимизации скрытности, закрепления и эффективности при краже учетных данных и эксфильтрации данных, что указывает на растущую сложность киберугроз.
10
19
#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4
12
20
#ParsedReport #CompletenessMedium 09-06-2026 From Phishing Email to Process Injection: Inside a Multi-Stage Agent Tesla Infection Chain https://www.pointwild.com/threat-intelligence/from-phishing-email-to-process-injection-inside-a-multi-stage-agent-tesla-infection-chain/ Report completeness: Medium Threats: Process_injection_technique Agent_tesla Process_hollowing_technique Native_loader Credential_harvesting_technique Credential_dumping_technique Spear-phishing_technique Amsi_bypass_technique Lolbin_technique Victims: Windows users Industry: Financial TTPs: Tactics: 11 Technics: 26 IOCs: File: 23 Hash: 1 Email: 2 Soft: Chromium, Internet Explorer, Microsoft Edge, Chrome, Opera, Vivaldi, Firefox, Pale Moon, SeaMonkey, Waterfox, have more... Algorithms: xor, md5, base64 Functions: FromBase64String, GetWindowText, Grab, BXX Win API: CreateRemoteThread, VirtualAlloc, NET, GetForegroundWindow, GetKeyboardState, OpenProcess, VirtualAllocEx, WriteProcessMemory Languages: javascript, python, powershell, autoit
14
Переглянути всі дописи