uz
Feedback
CTT Report Hub

CTT Report Hub

Kanalga Telegram’da oβ€˜tish

Threat Intelligence Report Hub

Ko'proq ko'rsatish
3 408
Obunachilar
+124 soatlar
+127 kunlar
+2930 kunlar
Postlar arxiv
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Π€Π°Π»ΡŒΡˆΠΈΠ²Ρ‹ΠΉ ΠΏΠ°ΠΊΠ΅Ρ‚ npm nodemon-sudo (вСрсия 3.1.16) ΠΈΠΌΠΈΡ‚ΠΈΡ€ΡƒΠ΅Ρ‚ Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹ΠΉ процСссный ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ nodemon, Π½ΠΎ Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡ‚ΡŒ ΠΏΠΎΠ΄ Π½Π°Π·Π²Π°Π½ΠΈΠ΅ΠΌ tslint-conf (вСрсия 7.2.1), которая добавляСт возмоТности бэкдора. Π­Ρ‚ΠΎΡ‚ бэкдор позволяСт ΠΎΡΡƒΡ‰Π΅ΡΡ‚Π²Π»ΡΡ‚ΡŒ Π£Π΄Π°Π»Π΅Π½Π½ΠΎΠ΅ Π’Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ Кода ΠΏΡƒΡ‚Π΅ΠΌ Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ»ΡŒΠ½ΠΎΠ³ΠΎ ΠΊΠΎΠ΄Π° с шлюза IPFS ΠΏΡ€ΠΈ срабатывании, Ρ‡Ρ‚ΠΎ создаСт Π·Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΉ риск для бСзопасности. ВрСдоносныС ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹, ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½Π½Ρ‹Π΅ 7 июля 2026 Π³ΠΎΠ΄Π°, ΡΠ²Π»ΡΡŽΡ‚ΡΡ Ρ‡Π°ΡΡ‚ΡŒΡŽ ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ, ΠΈΠΌΠ΅ΡŽΡ‰Π΅ΠΉ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ связи с сСвСрокорСйскими Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌΠΈ, хотя точная атрибуция остаСтся Π½Π΅ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½ΠΎΠΉ. ----- Nodemon-sudo (вСрсия 3.1.16) β€” это ΠΌΠΎΡˆΠ΅Π½Π½ΠΈΡ‡Π΅ΡΠΊΠΈΠΉ ΠΏΠ°ΠΊΠ΅Ρ‚ npm, ΠΈΠΌΠΈΡ‚ΠΈΡ€ΡƒΡŽΡ‰ΠΈΠΉ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ извСстного ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€Π° процСссов nodemon. Π­Ρ‚ΠΎΡ‚ врСдоносный ΠΏΠ°ΠΊΠ΅Ρ‚ Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ Ρ‚ΠΎΡ‡Π½ΡƒΡŽ копию Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½ΠΎΠ³ΠΎ nodemon, Ρ‚Π΅ΠΌ самым избСгая обнаруТСния благодаря Π²Π½Π΅ΡˆΠ½Π΅ΠΌΡƒ Π²ΠΈΠ΄Ρƒ нСвинности. ЕдинствСнным Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΌ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚ΠΎΠΌ являСтся Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡ‚ΡŒ ΠΏΠΎΠ΄ Π½Π°Π·Π²Π°Π½ΠΈΠ΅ΠΌ tslint-conf (вСрсия 7.2.1), которая слуТит носитСлСм для Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΉ бэкдор. Π­Ρ‚Π° конкрСтная Π·Π°Π²ΠΈΡΠΈΠΌΠΎΡΡ‚ΡŒ прСдставляСт собой ΠΏΠ΅Ρ€Π΅ΡƒΠΏΠ°ΠΊΠΎΠ²Π°Π½Π½ΡƒΡŽ Π²Π΅Ρ€ΡΠΈΡŽ Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ логирования pino ΠΈ ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Π° для выполнСния ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ»ΡŒΠ½ΠΎΠ³ΠΎ ΠΊΠΎΠ΄Π°, Π·Π°Π³Ρ€ΡƒΠΆΠ°Π΅ΠΌΠΎΠ³ΠΎ с шлюза IPFS ΠΏΡ€ΠΈ Π°ΠΊΡ‚ΠΈΠ²Π°Ρ†ΠΈΠΈ Π² срСдС выполнСния прилоТСния. Π’Π°ΠΆΠ½ΠΎ ΠΎΡ‚ΠΌΠ΅Ρ‚ΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ Π½ΠΈ ΠΎΠ΄ΠΈΠ½ ΠΈΠ· ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² Π½Π΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ скрипт установки, Ρ‡Ρ‚ΠΎ ΠΎΠ·Π½Π°Ρ‡Π°Π΅Ρ‚, Ρ‡Ρ‚ΠΎ инструмСнты, ΡΠΊΠ°Π½ΠΈΡ€ΡƒΡŽΡ‰ΠΈΠ΅ врСдоносный ΠΊΠΎΠ½Ρ‚Π΅Π½Ρ‚ Π²ΠΎ врСмя установки, Π½Π΅ способны Π²Ρ‹ΡΠ²ΠΈΡ‚ΡŒ эту ΡƒΠ³Ρ€ΠΎΠ·Ρƒ. Π—Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΉ риск, связанный с nodemon-sudo, проистСкаСт ΠΈΠ· Π΅Π³ΠΎ ΠΏΠΎΠ»Π΅Π·Π½ΠΎΠΉ Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ Π²Ρ‚ΠΎΡ€ΠΎΠ³ΠΎ этапа, которая обСспСчиваСт Π£Π΄Π°Π»Π΅Π½Π½ΠΎΠ΅ Π’Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ Кода Π½Π° любом ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π΅, Π³Π΄Π΅ Π·Π°ΠΏΡƒΡ‰Π΅Π½ΠΎ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅. Π­Ρ‚Π° полСзная Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠ° активируСтся послС Ρ‚ΠΎΠ³ΠΎ, ΠΊΠ°ΠΊ поддСльная функция логирования внСдряСтся Π² ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ°, прСдоставляя ΠΏΠΎΠ»Π½Ρ‹ΠΉ доступ ΠΊ Ρ„Π°ΠΉΠ»ΠΎΠ²ΠΎΠΉ систСмС ΠΈ срСдС Π² Node.js. АрхитСктура врСдоносного ΠΏΠ°ΠΊΠ΅Ρ‚Π° nodemon-sudo Π³Π°Ρ€Π°Π½Ρ‚ΠΈΡ€ΡƒΠ΅Ρ‚, Ρ‡Ρ‚ΠΎ повСрхностный Π°Π½Π°Π»ΠΈΠ· Π½Π΅ выявит Π΅Π³ΠΎ врСдоносной ΠΏΡ€ΠΈΡ€ΠΎΠ΄Ρ‹, ΠΏΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ ΠΏΡ€ΠΈ изоляции ΠΎΠ½ Π½Π΅ содСрТит явных ΠΏΡ€ΠΈΠ·Π½Π°ΠΊΠΎΠ² врСдоносного ΠΊΠΎΠ΄Π°. Оба ΠΏΠ°ΠΊΠ΅Ρ‚Π° β€” nodemon-sudo ΠΈ tslint-conf с бэкдором β€” ΠΈΠ·Π½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎ Π±Ρ‹Π»ΠΈ ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½Ρ‹ 7 июля 2026 Π³ΠΎΠ΄Π° ΠΏΠΎΠ΄ Π°ΠΊΠΊΠ°ΡƒΠ½Ρ‚ΠΎΠΌ npm conodeeth. Анализ ΠΏΠΎΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚, Ρ‡Ρ‚ΠΎ связка этих ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² Π²Ρ…ΠΎΠ΄ΠΈΡ‚ Π² Π±ΠΎΠ»Π΅Π΅ ΠΊΡ€ΡƒΠΏΠ½ΡƒΡŽ кампанию, ΠΏΠΎΠ»ΡƒΡ‡ΠΈΠ²ΡˆΡƒΡŽ Π½Π°Π·Π²Π°Π½ΠΈΠ΅ кластСр emiltype /jsonspack. ΠŸΡ€ΠΈΠΌΠ΅Ρ‡Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎ, Ρ‡Ρ‚ΠΎ ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌ скрытности, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹ΠΉ nodemon-sudo, позволяСт Π΅ΠΌΡƒ ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΡ‚ΡŒ распространённыС ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠΈ бСзопасности; Π΅Π³ΠΎ установка Π½Π΅ оставляСт Π½ΠΈΠΊΠ°ΠΊΠΈΡ… Ρ…Π°Ρ€Π°ΠΊΡ‚Π΅Ρ€Π½Ρ‹Ρ… ΠΏΡ€ΠΈΠ·Π½Π°ΠΊΠΎΠ², ΠΈ ΠΎΠ½ остаётся Π±Π΅Π·ΠΎΠ±ΠΈΠ΄Π½Ρ‹ΠΌ Π΄ΠΎ Ρ‚Π΅Ρ… ΠΏΠΎΡ€, ΠΏΠΎΠΊΠ° Π½Π΅ Π±ΡƒΠ΄Π΅Ρ‚ Π²Ρ‹Π·Π²Π°Π½Π° Π΅Π³ΠΎ Π»ΠΎΠ³Π³Π΅Ρ€-функция. Π”ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ΅ наблюдСниС Π·Π°ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ встроСнный Π±ΠΈΠ½Π°Ρ€Π½Ρ‹ΠΉ Ρ„Π°ΠΉΠ» Windows с ΠΈΠΌΠ΅Π½Π΅ΠΌ bin/windows-kill.exe являСтся Π±Π΅Π·Π²Ρ€Π΅Π΄Π½Ρ‹ΠΌ ΠΈ слуТит Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½ΠΎΠΉ ΡƒΡ‚ΠΈΠ»ΠΈΡ‚ΠΎΠΉ для ΠΎΡ‚ΠΏΡ€Π°Π²ΠΊΠΈ сигналов прСрывания процСссам, Ρ‚Π΅ΠΌ самым вводя Π² Π·Π°Π±Π»ΡƒΠΆΠ΄Π΅Π½ΠΈΠ΅ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… Ρ€Π΅Π°Π³Π΅Π½Ρ‚ΠΎΠ² ΠΈ заставляя ΠΈΡ… ΠΎΡˆΠΈΠ±ΠΎΡ‡Π½ΠΎ ΠΎΡ†Π΅Π½ΠΈΠ²Π°Ρ‚ΡŒ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ Π΅Π³ΠΎ риска. Π₯отя кампания дСмонстрируСт Ρ‡Π΅Ρ€Ρ‚Ρ‹, Π½Π°ΠΏΠΎΠΌΠΈΠ½Π°ΡŽΡ‰ΠΈΠ΅ Π΄Π΅ΡΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ, ΡΠ²ΡΠ·Π°Π½Π½ΡƒΡŽ с сСвСрокорСйскими Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌΠΈ β€” Π² частности, Ρ‡Π΅Ρ€Π΅Π· сходство Π² ΡΠΎΠ³Π»Π°ΡˆΠ΅Π½ΠΈΡΡ… ΠΎΠ± ΠΈΠΌΠ΅Π½ΠΎΠ²Π°Π½ΠΈΠΈ ΠΈ ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… Ρ‚Π΅Ρ…Π½ΠΈΠΊΠ°Ρ…, β€” атрибуция остаСтся Π½Π΅ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½ΠΎΠΉ, Ρ‡Ρ‚ΠΎ ΠΏΠΎΠ΄Ρ‡Π΅Ρ€ΠΊΠΈΠ²Π°Π΅Ρ‚ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎΡΡ‚ΡŒ Π²Π½ΠΈΠΌΠ°Ρ‚Π΅Π»ΡŒΠ½ΠΎΠ³ΠΎ Π°Π½Π°Π»ΠΈΠ·Π° Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΈΠΌΠ΅Π½ ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ², Π½ΠΎ ΠΈ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊ использования зависимостСй. Π’ Π·Π°ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅, ΠΏΡ€ΠΈ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠΈ ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² nodemon-sudo ΠΈΠ»ΠΈ tslint-conf рСкомСндуСтся Ρ€Π°ΡΡΠΌΠ°Ρ‚Ρ€ΠΈΠ²Π°Ρ‚ΡŒ ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠ΅ ΠΌΠ°ΡˆΠΈΠ½Ρ‹ ΠΊΠ°ΠΊ скомпромСтированныС. ΠŸΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡΠΌ слСдуСт Π½Π΅Π·Π°ΠΌΠ΅Π΄Π»ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ ΡƒΠ΄Π°Π»ΠΈΡ‚ΡŒ ΠΎΠ±Π° ΠΏΠ°ΠΊΠ΅Ρ‚Π°, ΡΠΌΠ΅Π½ΠΈΡ‚ΡŒ Π»ΡŽΠ±Ρ‹Π΅ ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ ΠΈ Ρ‚ΠΎΠΊΠ΅Π½Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠ³Π»ΠΈ Π±Ρ‹Ρ‚ΡŒ раскрыты Ρ‡Π΅Ρ€Π΅Π· срСду хоста, Π° Ρ‚Π°ΠΊΠΆΠ΅ Ρ‚Ρ‰Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ исходящих соСдинСний с ΠΏΠΎΠΌΠ΅Ρ‡Π΅Π½Π½Ρ‹ΠΌΠΈ ΠΊΠΎΠ½Π΅Ρ‡Π½Ρ‹ΠΌΠΈ Ρ‚ΠΎΡ‡ΠΊΠ°ΠΌΠΈ, Ρ‚Π°ΠΊΠΈΠΌΠΈ ΠΊΠ°ΠΊ peach-eligible-penguin-917.mypinata.cloud ΠΈ jsonkeeper.com.

#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #CompletenessMedium 09-07-2026 nodemon-sudo: an npm Backdoor With No Install Script https://safedep.io/malicious-nodemon-sudo-tslint-conf-npm-backdoor Report completeness: Medium Actors/Campaigns: Jsonspack Threats: Dead_drop_technique Supply_chain_technique Typosquatting_technique Victims: Software developers, Npm ecosystem, Technology sector Industry: Transport Geo: North korea TTPs: Tactics: 1 Technics: 0 ChatGPT TTPs: do not use without manual check T1027, T1036.005, T1059.007, T1102.001, T1105, T1195.001 IOCs: Url: 5 Hash: 5 File: 10 Path: 1 Domain: 1 Soft: outlook Algorithms: sha256, base64 Functions: getCallers Languages: javascript Platforms: x64

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ ВСрсия 1.20.21 ΠΏΠ°ΠΊΠ΅Ρ‚Π° @injectivelabs/sdk-ts npm Π±Ρ‹Π»Π° Π·Π»ΠΎΠ½Π°ΠΌΠ΅Ρ€Π΅Π½Π½ΠΎ Π²Ρ‹ΠΏΡƒΡ‰Π΅Π½Π° Ρ‡Π΅Ρ€Π΅Π· ΡΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚ΠΈΡ€ΠΎΠ²Π°Π½Π½ΡƒΡŽ ΡƒΡ‡Π΅Ρ‚Π½ΡƒΡŽ запись GitHub ΠΈ содСрТала ΠΊΠΎΠ΄, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΏΠΎΡ…ΠΈΡ‰Π°Π΅Ρ‚ Π·Π°ΠΊΡ€Ρ‹Ρ‚Ρ‹Π΅ ΠΊΠ»ΡŽΡ‡ΠΈ кошСльков ΠΈ мнСмоничСскиС Ρ„Ρ€Π°Π·Ρ‹. Π’ΠŸΠž активируСтся ΠΏΡ€ΠΈ ΠΎΠ±Ρ‹Ρ‡Π½ΠΎΠΌ использовании, измСняя Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ Π²Ρ‹Π²ΠΎΠ΄Π° ΠΊΠ»ΡŽΡ‡Π΅ΠΉ, Ρ‡Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ Π΅Π³ΠΎ ΠΌΠ΅Π½Π΅Π΅ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°Π΅ΠΌΡ‹ΠΌ. Π­Ρ‚Π° вСрсия Π±Ρ‹Π»Π° распространСна Π² Ρ€Π°ΠΌΠΊΠ°Ρ… 17 Π΄Ρ€ΡƒΠ³ΠΈΡ… ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ², Ρ‡Ρ‚ΠΎ Π²Ρ‹Π·Ρ‹Π²Π°Π΅Ρ‚ опасСния Ρƒ Ρ‚Ρ€Π°Π½Π·ΠΈΡ‚ΠΈΠ²Π½Ρ‹Ρ… ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ, ΠΈ хотя чистая вСрсия 1.20.23 ΡƒΠΆΠ΅ ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½Π°, врСдоносная вСрсия всС Π΅Ρ‰Π΅ доступна Π² Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠΈ npm. ----- ΠžΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π° врСдоносная вСрсия ΠΏΠ°ΠΊΠ΅Ρ‚Π° npm @injectivelabs/sdk-ts, Π° ΠΈΠΌΠ΅Π½Π½ΠΎ вСрсия 1.20.21, которая содСрТит ΠΊΠΎΠ΄, ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Π½Ρ‹ΠΉ для ΡΠΊΡΡ„ΠΈΠ»ΡŒΡ‚Ρ€Π°Ρ†ΠΈΠΈ Π·Π°ΠΊΡ€Ρ‹Ρ‚Ρ‹Ρ… ΠΊΠ»ΡŽΡ‡Π΅ΠΉ кошСльков ΠΈ мнСмоничСских Ρ„Ρ€Π°Π·. Π­Ρ‚Π° вСрсия Π±Ρ‹Π»Π° Π²Ρ‹ΠΏΡƒΡ‰Π΅Π½Π° скомпромСтированной ΡƒΡ‡Π΅Ρ‚Π½ΠΎΠΉ записью GitHub, ΠΈΠΌΠ΅ΡŽΡ‰Π΅ΠΉ ΠΈΡΡ‚ΠΎΡ€ΠΈΡŽ Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹Ρ… Π²ΠΊΠ»Π°Π΄ΠΎΠ² Π² Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠΉ, Ρ‡Ρ‚ΠΎ Π²Ρ‹Π·Ρ‹Π²Π°Π΅Ρ‚ опасСния ΠΎΡ‚Π½ΠΎΡΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ цСлостности экосистСм ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² с ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌ исходным ΠΊΠΎΠ΄ΠΎΠΌ. ВрСдоносная Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ Π½Π°Ρ‡Π°Π»Π°ΡΡŒ 8 июня 2026 Π³ΠΎΠ΄Π° с ΠΏΠΎΠ΄ΠΎΠ·Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ³ΠΎ ΠΊΠΎΠΌΠΌΠΈΡ‚Π°, сдСланного для настройки бэкдора, послС Ρ‡Π΅Π³ΠΎ вскорС Π±Ρ‹Π»Π° ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½Π° врСдоносная вСрсия. Π₯отя настоящий Π²Π»Π°Π΄Π΅Π»Π΅Ρ† ΡƒΡ‡Π΅Ρ‚Π½ΠΎΠΉ записи быстро ΠΎΡ‚ΠΊΠ°Ρ‚ΠΈΠ» измСнСния ΠΈ ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π» Ρ‡ΠΈΡΡ‚ΡƒΡŽ Π²Π΅Ρ€ΡΠΈΡŽ, врСдоносный ΠΏΠ°ΠΊΠ΅Ρ‚ ΡƒΠΆΠ΅ Π±Ρ‹Π» Π·Π°Π³Ρ€ΡƒΠΆΠ΅Π½ нСсколько Ρ€Π°Π·, ΠΈ слСды скомпромСтированной вСрсии ΠΎΡΡ‚Π°Π²Π°Π»ΠΈΡΡŒ доступными. ВрСдоносная Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ Π² ΠΏΠ°ΠΊΠ΅Ρ‚Π΅ проста, Π½ΠΎ эффСктивна, ΠΏΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ ΠΎΠ½Π° активируСтся ΠΏΡ€ΠΈ ΠΎΠ±Ρ‹Ρ‡Π½ΠΎΠΌ использовании Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ, Π° Π½Π΅ Π²ΠΎ врСмя установки, Ρ‡Ρ‚ΠΎ ΠΏΠΎΠΌΠΎΠ³Π°Π΅Ρ‚ Π΅ΠΉ ΠΈΠ·Π±Π΅Π³Π°Ρ‚ΡŒ обнаруТСния. Она ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ, ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ примСняСмыС для Π²Ρ‹Π²ΠΎΠ΄Π° ΠΊΠ»ΡŽΡ‡Π΅ΠΉ, измСняя ΠΈΡ… Ρ‚Π°ΠΊ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΎΠ½ΠΈ Π²ΠΊΠ»ΡŽΡ‡Π°Π»ΠΈ Π²Ρ‹Π·ΠΎΠ² Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ отслСТивания, которая способствуСт ΡΠΊΡΡ„ΠΈΠ»ΡŒΡ‚Ρ€Π°Ρ†ΠΈΠΈ ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…. ΠŸΡ€ΠΈΠΌΠ΅Ρ‡Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎ, Ρ‡Ρ‚ΠΎ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ Ρ€Π°ΡΡˆΠΈΡ€ΠΈΠ» ΠΎΡ…Π²Π°Ρ‚ этой ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ, выпустив Π²Π΅Ρ€ΡΠΈΡŽ 1.20.21 для 17 Π΄Ρ€ΡƒΠ³ΠΈΡ… ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² Π² Ρ€Π°ΠΌΠΊΠ°Ρ… @injectivelabs, Ρ‡Ρ‚ΠΎ создало Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΡƒΡŽ ΡƒΠ³Ρ€ΠΎΠ·Ρƒ для Ρ‚Ρ€Π°Π½Π·ΠΈΡ‚ΠΈΠ²Π½Ρ‹Ρ… ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠ³Π»ΠΈ Π½Π΅ ΡƒΡΡ‚Π°Π½Π°Π²Π»ΠΈΠ²Π°Ρ‚ΡŒ уязвимый ΠΏΠ°ΠΊΠ΅Ρ‚ Π½Π°ΠΏΡ€ΡΠΌΡƒΡŽ. НСсмотря Π½Π° быстрыС ΠΌΠ΅Ρ€Ρ‹ ΠΏΠΎ Π»ΠΎΠΊΠ°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ, скомпромСтированная вСрсия ΠΏΠ°ΠΊΠ΅Ρ‚Π° @injectivelabs/sdk-ts остаётся Π² Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠΈ npm, ΠΏΠΎΠΌΠ΅Ρ‡Π΅Π½Π° ΠΊΠ°ΠΊ ΡƒΡΡ‚Π°Ρ€Π΅Π²ΡˆΠ°Ρ, Π½ΠΎ Π½Π΅ ΡƒΠ΄Π°Π»Π΅Π½Π°, Ρ‡Ρ‚ΠΎ ΠΎΠ·Π½Π°Ρ‡Π°Π΅Ρ‚ Π΅Ρ‘ Π΄ΠΎΡΡ‚ΡƒΠΏΠ½ΠΎΡΡ‚ΡŒ для Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ. Π Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ°ΠΌ рСкомСндуСтся провСсти Π°ΡƒΠ΄ΠΈΡ‚ своих зависимостСй, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π²Ρ‹ΡΠ²ΠΈΡ‚ΡŒ ΠΈ ΠΎΠ±Π½ΠΎΠ²ΠΈΡ‚ΡŒ Π»ΡŽΠ±Ρ‹Π΅ ссылки Π½Π° ΡΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚ΠΈΡ€ΠΎΠ²Π°Π½Π½ΡƒΡŽ Π²Π΅Ρ€ΡΠΈΡŽ. Π’ частности, слСдуСт ΠΏΠ΅Ρ€Π΅ΠΉΡ‚ΠΈ Π½Π° Π½Π΅Π΄Π°Π²Π½ΠΎ Π²Ρ‹ΠΏΡƒΡ‰Π΅Π½Π½ΡƒΡŽ Ρ‡ΠΈΡΡ‚ΡƒΡŽ Π²Π΅Ρ€ΡΠΈΡŽ 1.20.23 ΠΈ ΡΡ‡ΠΈΡ‚Π°Ρ‚ΡŒ Π»ΡŽΠ±Ρ‹Π΅ ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅, ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚Π°Π½Π½Ρ‹Π΅ Ρ‡Π΅Ρ€Π΅Π· скомпромСтированныС вСрсии, ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ скомпромСтированными. ΠžΠ±Ρ‰Π΅Π΅ количСство Π·Π°Ρ‚Ρ€ΠΎΠ½ΡƒΡ‚Ρ‹Ρ… связанных ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ @@injectivelabs/sdk-ts ΠΈ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Π΅ Π΄Ρ€ΡƒΠ³ΠΈΠ΅, всС ΠΈΠ· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… привязаны ΠΊ врСдоносному Ρ€Π΅Π»ΠΈΠ·Ρƒ. Благодаря ΡˆΠΈΡ€ΠΎΠΊΠΎΠΉ доступности ΠΈ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠΌΡƒ Π²ΠΎΠ·Π΄Π΅ΠΉΡΡ‚Π²ΠΈΡŽ, ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ ΠΏΠΎΠ΄Ρ‡Π΅Ρ€ΠΊΠΈΠ²Π°Π΅Ρ‚ постоянныС риски, связанныС с ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ΠΌ зависимостями ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² Π² Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния. ΠœΠ΅Ρ€Ρ‹ бСзопасности Π΄ΠΎΠ»ΠΆΠ½Ρ‹ Π²ΠΊΠ»ΡŽΡ‡Π°Ρ‚ΡŒ Ρ‚Ρ‰Π°Ρ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ Π°ΡƒΠ΄ΠΈΡ‚Ρ‹ всСх зависимостСй, устранСниС прямых ΠΈ Ρ‚Ρ€Π°Π½Π·ΠΈΡ‚ΠΈΠ²Π½Ρ‹Ρ… ссылок Π½Π° уязвимый ΠΏΠ°ΠΊΠ΅Ρ‚, Π° Ρ‚Π°ΠΊΠΆΠ΅ обСспСчСниС соблюдСния Π»ΡƒΡ‡ΡˆΠΈΡ… ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊ для сниТСния воздСйствия Ρ‚Π°ΠΊΠΈΡ… ΡƒΠ³Ρ€ΠΎΠ·.

#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #CompletenessLow 09-07-2026 Compromised Injective SDK npm Package Exfiltrates Wallet Keys and Mnemonics https://socket.dev/blog/compromised-injective-sdk-npm-package Report completeness: Low Actors/Campaigns: Sdk-ts Victims: Software developers, Cryptocurrency applications, Injective wallet users TTPs: Tactics: 1 Technics: 0 ChatGPT TTPs: do not use without manual check T1195.001 IOCs: File: 3 Url: 1 Hash: 2 Algorithms: sha256, base64 Win API: Wallet Languages: typescript Links: https://github.com/InjectiveLabs/injective-ts/releases https://github.com/InjectiveLabs/injective-ts/activity?ref=test-backdoor-check

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Ransomware GodDamn, Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½Π½Ρ‹ΠΉ Π³Ρ€ΡƒΠΏΠΏΠΎΠΉ Hyadina, появился Π² ΠΌΠ°Π΅ 2026 Π³ΠΎΠ΄Π° ΠΈ характСризуСтся Π·Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΌ совпадСниСм ΠΊΠΎΠ΄Π° со своим ΠΏΡ€Π΅Π΄ΡˆΠ΅ΡΡ‚Π²Π΅Π½Π½ΠΈΠΊΠΎΠΌ, Beast. Атака использовала AnyDesk для ΠΏΠ΅Ρ€Π²ΠΎΠ½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ доступа, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π½Π°Π±ΠΎΡ€ инструмСнтов Π½Π° Π±Π°Π·Π΅ NirSoft для сбора ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Ρ… записСй ΠΈ Π΄Ρ€Π°ΠΉΠ²Π΅Ρ€ уровня ядра ΠΏΠΎΠ΄ Π½Π°Π·Π²Π°Π½ΠΈΠ΅ΠΌ PoisonX для уклонСния, дСмонстрируя ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ bring-your-own-vulnerable-driver (BYOVD). Π–Π΅Ρ€Ρ‚Π²Ρ‹ ΡΡ‚ΠΎΠ»ΠΊΠ½ΡƒΠ»ΠΈΡΡŒ с ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅ΠΌ Ρ„Π°ΠΉΠ»ΠΎΠ² с Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½ΠΈΠ΅ΠΌ .God8Damn, Π° Π°Ρ‚Π°ΠΊΠ° Ρ€Π°Π·Π²ΠΈΠ²Π°Π»Π°ΡΡŒ ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΈΡ‡Π½ΠΎ, примСняя PsExec для пСрСмСщСния Π²Π½ΡƒΡ‚Ρ€ΠΈ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ ΠΏΠ΅Ρ€Π΅Π΄ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ΠΌ врСдоносного ΠΊΠΎΠ΄Π° 3 июня 2026 Π³ΠΎΠ΄Π°. ----- GodDamn β€” это новСйшая вСрсия вымогатСля ΠΎΡ‚ Π³Ρ€ΡƒΠΏΠΏΡ‹ Hyadina, которая ΠΏΠ΅Ρ€Π΅ΠΈΠΌΠ΅Π½ΠΎΠ²Π°Π»Π° свои ΠΏΡ€Π΅Π΄Ρ‹Π΄ΡƒΡ‰ΠΈΠ΅ ΡˆΡ‚Π°ΠΌΠΌΡ‹ Π²Ρ‹ΠΌΠΎΠ³Π°Ρ‚Π΅Π»Π΅ΠΉ, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ Monster ΠΈ Beast. ΠŸΠ΅Ρ€Π²ΠΎΠ΅ появлСниС GodDamn относится ΠΊ 21 мая 2026 Π³ΠΎΠ΄Π°, ΠΏΡ€ΠΈ этом Π½Π°Π±Π»ΡŽΠ΄Π°Π΅Ρ‚ΡΡ Π·Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ΅ совпадСниС ΠΊΠΎΠ΄Π° с Π΅Π³ΠΎ ΠΏΡ€Π΅Π΄ΡˆΠ΅ΡΡ‚Π²Π΅Π½Π½ΠΈΠΊΠΎΠΌ, Beast. Π­Ρ‚ΠΎ ΠΏΠ΅Ρ€Π΅ΠΈΠΌΠ΅Π½ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΎΡ‚Ρ€Π°ΠΆΠ°Π΅Ρ‚ ΠΏΠΎΡΡ‚ΠΎΡΠ½Π½ΡƒΡŽ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΡƒ ΠΈ ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½ΡΡ‚Π²ΠΎΠ²Π°Π½ΠΈΠ΅ Π³Ρ€ΡƒΠΏΠΏΠΎΠΉ своих Π°Ρ‚Π°ΠΊ с использованиСм Π²Ρ‹ΠΌΠΎΠ³Π°Ρ‚Π΅Π»Π΅ΠΉ. Атака, проанализированная Symantec, ΠΏΡ€ΠΎΠΈΠ·ΠΎΡˆΠ»Π° Π² Π½Π°Ρ‡Π°Π»Π΅ июня 2026 Π³ΠΎΠ΄Π° ΠΈ использовала слоТныС Ρ‚Π΅Ρ…Π½ΠΈΠΊΠΈ для проникновСния ΠΈ выполнСния. ΠšΠ»ΡŽΡ‡Π΅Π²Ρ‹ΠΌΠΈ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Π°ΠΌΠΈ Π°Ρ‚Π°ΠΊΠΈ стали использованиС AnyDesk для ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ доступа, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π½Π°Π±ΠΎΡ€ инструмСнтов Π½Π° Π±Π°Π·Π΅ NirSoft, ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Π½Ρ‹ΠΉ для сбора ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Ρ… записСй. Π—Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ Ρ€Π°Π·Π²Π΅Ρ€Π½ΡƒΠ»ΠΈ инструмСнт ΠΎΠ±Ρ…ΠΎΠ΄Π° Π·Π°Ρ‰ΠΈΡ‚Ρ‹ Π² ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΎΠΌ Ρ€Π΅ΠΆΠΈΠΌΠ΅, замаскированный ΠΏΠΎΠ΄ Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹ΠΉ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚ Symantec, Π² сочСтании с Π΄Ρ€Π°ΠΉΠ²Π΅Ρ€ΠΎΠΌ ядра PoisonX для ΠΎΠ±Ρ…ΠΎΠ΄Π° ΠΌΠ΅Ρ€ бСзопасности, установлСнных Π½Π° систСмС ΠΆΠ΅Ρ€Ρ‚Π²Ρ‹. Π­Ρ‚ΠΎΡ‚ Π΄Ρ€Π°ΠΉΠ²Π΅Ρ€ ядра Π±Ρ‹Π» Π²ΠΏΠ΅Ρ€Π²Ρ‹Π΅ Π·Π°Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ΠΈΡ€ΠΎΠ²Π°Π½ Π² Π½Π°Ρ‡Π°Π»Π΅ 2026 Π³ΠΎΠ΄Π°; ΠΎΠ½ способСн Π·Π°Π²Π΅Ρ€ΡˆΠ°Ρ‚ΡŒ процСссы бСзопасности Π½Π° ΡƒΡ€ΠΎΠ²Π½Π΅ ядра, Ρ‡Ρ‚ΠΎ дСмонстрируСт ΠΏΡ€ΠΎΠ΄Π²ΠΈΠ½ΡƒΡ‚Ρ‹ΠΉ ΠΏΠΎΠ΄Ρ…ΠΎΠ΄, извСстный ΠΊΠ°ΠΊ Π°Ρ‚Π°ΠΊΠ° bring-your-own-vulnerable-driver (BYOVD). Π”Ρ€Π°ΠΉΠ²Π΅Ρ€ PoisonX, подписанный Microsoft, обСспСчиваСт Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΉ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ ΠΎΠ±Ρ…ΠΎΠ΄Π° Π·Π° счСт эксплуатации довСрия, связанного с Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹ΠΌΠΈ подписанными Π΄Ρ€Π°ΠΉΠ²Π΅Ρ€Π°ΠΌΠΈ, Ρ‡Ρ‚ΠΎ Π΅Ρ‰Π΅ большС ΠΏΠΎΠ΄Ρ‡Π΅Ρ€ΠΊΠΈΠ²Π°Π΅Ρ‚ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½Π½Ρ‹Π΅ Ρ‚Π΅Ρ…Π½ΠΈΠΊΠΈ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Π΅ этими Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌΠΈ. Π–Π΅Ρ€Ρ‚Π²Ρ‹ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹-вымогатСля GodDamn ΠΎΡ‚ΠΌΠ΅Ρ‚ΠΈΠ»ΠΈ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅ Ρ„Π°ΠΉΠ»ΠΎΠ² с использованиСм ΡƒΠ½ΠΈΠΊΠ°Π»ΡŒΠ½ΠΎΠ³ΠΎ Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½ΠΈΡ .God8Damn ΠΈΠ»ΠΈ, Π² Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… случаях, с Π΄ΠΎΠ±Π°Π²Π»Π΅Π½ΠΈΠ΅ΠΌ названия ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΆΠ΅Ρ€Ρ‚Π²Ρ‹ Π² качСствС Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½ΠΈΡ Ρ„Π°ΠΉΠ»Π°. ΠŸΡ€ΠΈΠΌΠ΅Ρ‡Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎ, Ρ‡Ρ‚ΠΎ схСма Π°Ρ‚Π°ΠΊΠΈ Π½Π°Ρ‡ΠΈΠ½Π°Π»Π°ΡΡŒ с Π½Π΅Π·Π°ΠΌΠ΅Ρ‚Π½ΠΎΠΉ установки AnyDesk, Ρ‡Ρ‚ΠΎ ΡƒΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ Π½Π° Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ Ρ€ΡƒΡ‡Π½ΠΎΠ³ΠΎ внСдрСния послС ΠΏΠ΅Ρ€Π²ΠΎΠ½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ нСсанкционированного доступа. Атака Π½Π°Ρ‡Π°Π»Π°ΡΡŒ с наблюдаСмой активности 29 мая 2026 Π³ΠΎΠ΄Π°, ΠΊΠΎΠ³Π΄Π° AnyDesk Π±Ρ‹Π» ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ Π² Π½Π΅ΠΎΠΆΠΈΠ΄Π°Π½Π½Ρ‹Ρ… мСстах Π½Π° хостах. ПослС этого Π±Ρ‹Π»ΠΈ установлСны исходящиС соСдинСния с инфраструктурой рСтрансляции AnyDesk. ΠžΠΏΠ΅Ρ€Π°Ρ†ΠΈΡ с Π’ΠŸΠž ΠΏΠ΅Ρ€Π΅ΡˆΠ»Π° ΠΊ сбору ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Ρ… записСй, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ инструмСнты, способныС ΠΈΠ·Π²Π»Π΅ΠΊΠ°Ρ‚ΡŒ ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ ΠΈΠ· Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… Ρ‚ΠΈΠΏΠΎΠ² Ρ…Ρ€Π°Π½ΠΈΠ»ΠΈΡ‰, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Ρ‹ ΠΈ ΠΏΠΎΡ‡Ρ‚ΠΎΠ²Ρ‹Π΅ ΠΊΠ»ΠΈΠ΅Π½Ρ‚Ρ‹. Π—Π°Ρ‚Π΅ΠΌ PsExec Π±Ρ‹Π» использован для пСрСмСщСния Π²Π½ΡƒΡ‚Ρ€ΠΈ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ ΠΏΠΎ сСти, Ρ‡Ρ‚ΠΎ ΡΠ²ΠΈΠ΄Π΅Ρ‚Π΅Π»ΡŒΡΡ‚Π²ΡƒΠ΅Ρ‚ ΠΎ ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΈΡ‡Π½ΠΎΠΌ ΠΏΠΎΠ΄Ρ…ΠΎΠ΄Π΅ ΠΊ Π·Π°Ρ€Π°ΠΆΠ΅Π½ΠΈΡŽ Π½Π΅ΡΠΊΠΎΠ»ΡŒΠΊΠΈΡ… систСм ΠΏΠ΅Ρ€Π΅Π΄ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ΠΌ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹-вымогатСля. 3 июня 2026 Π³ΠΎΠ΄Π° Π±Ρ‹Π» Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ врСдоносный payload, Ρ‡Ρ‚ΠΎ ΡƒΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ Π½Π° ΠΏΡ€Π΅Π΄Π½Π°ΠΌΠ΅Ρ€Π΅Π½Π½ΡƒΡŽ Π·Π°Π΄Π΅Ρ€ΠΆΠΊΡƒ, которая ΠΌΠΎΠ³Π»Π° ΠΎΡ‚Ρ€Π°ΠΆΠ°Ρ‚ΡŒ Ρ€Π°Π·Π²Π΅Π΄ΠΊΡƒ ΠΈΠ»ΠΈ ΡΠΊΡΡ„ΠΈΠ»ΡŒΡ‚Ρ€Π°Ρ†ΠΈΡŽ Π΄Π°Π½Π½Ρ‹Ρ…, собранных Ρ€Π°Π½Π΅Π΅ Π² Ρ…ΠΎΠ΄Π΅ Π°Ρ‚Π°ΠΊΠΈ. ВрСдоносный исполняСмый Ρ„Π°ΠΉΠ» Π² основном располагался Π² дирСкториях ΠΏΡ€ΠΎΡ„ΠΈΠ»Π΅ΠΉ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ. Π“Ρ€ΡƒΠΏΠΏΠ° Hyadina дСмонстрируСт Π·Π°ΠΊΠΎΠ½ΠΎΠΌΠ΅Ρ€Π½ΠΎΡΡ‚ΡŒ ΡΠ²ΠΎΠ»ΡŽΡ†ΠΈΠΈ с ΠΌΠΎΠΌΠ΅Π½Ρ‚Π° своСго ΠΏΠ΅Ρ€Π²ΠΎΠ³ΠΎ появлСния вмСстС с Monster Π² 2022 Π³ΠΎΠ΄Ρƒ. Если ΠΈΠ·Π½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎ ΠΎΠ½Π° Π½Π°Ρ†Π΅Π»ΠΈΠ²Π°Π»Π°ΡΡŒ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π½Π° систСмы Windows ΠΈ дСмонстрировала гСографичСскиС ограничСния ΠΏΡ€ΠΈ Ρ‚Π°Ρ€Π³Π΅Ρ‚ΠΈΠ½Π³Π΅, Ρ‚ΠΎ ΠΏΠΎΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠΉ Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ Beast Ρ€Π°ΡΡˆΠΈΡ€ΠΈΠ» возмоТности, Π²ΠΊΠ»ΡŽΡ‡ΠΈΠ² систСмы Linux ΠΈ VMware ESXi, Ρ‡Ρ‚ΠΎ ΠΈΠ»Π»ΡŽΡΡ‚Ρ€ΠΈΡ€ΡƒΠ΅Ρ‚ Π±ΠΎΠ»Π΅Π΅ ΡˆΠΈΡ€ΠΎΠΊΠΈΠΉ ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹ΠΉ ΠΎΡ…Π²Π°Ρ‚. ΠŸΠ΅Ρ€Π΅Ρ…ΠΎΠ΄ ΠΊ GodDamn Π²Π²Π΅Π» Π΅Ρ‰Π΅ Π±ΠΎΠ»Π΅Π΅ слоТныС Ρ‚Π°ΠΊΡ‚ΠΈΠΊΠΈ ΠΊΠ°ΠΊ Π² Ρ€Π°Π·Π²Π΅Ρ€Ρ‚Ρ‹Π²Π°Π½ΠΈΠΈ, Ρ‚Π°ΠΊ ΠΈ Π² тСхничСской Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ, подчСркивая ΠΏΡ€ΠΈΠ²Π΅Ρ€ΠΆΠ΅Π½Π½ΠΎΡΡ‚ΡŒ Π³Ρ€ΡƒΠΏΠΏΡ‹ ΠΏΡ€ΠΎΠ΄Π²ΠΈΠΆΠ΅Π½ΠΈΡŽ своСй Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ ΠΈ Ρ‚Π°ΠΊΡ‚ΠΈΠΊ Π²Ρ‹ΠΌΠΎΠ³Π°Ρ‚Π΅Π»ΡŒΡΡ‚Π²Π°.

#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #CompletenessMedium 09-07-2026 GodDamn Ransomware: Latest Beast Rebrand Uses Malicious Driver to Disable Defenses https://www.security.com/threat-intelligence/goddamn-ransomware-beast-rebrand Report completeness: Medium Actors/Campaigns: Beast_ransomware Threats: Goddamn_ransomware Monster_ransomware Beast_ransomware Credential_harvesting_technique Anydesk_tool Poisonx Byovd_technique Mimik_tool Mimikatz_tool Passview_tool Chromepass_tool Passwordfox_tool Messengerpass_tool Vncpassview_tool Sniffpass_tool Operapassview_tool Wirelesskeyview_tool Extpassword_tool Pstpassword_tool Netpass_tool Credential_dumping_technique Netscan_tool Defendercontrol_tool Gmer_tool Iobit_tool Geo: Chinese ChatGPT TTPs: do not use without manual check T1003, T1003.005, T1027, T1036, T1040, T1046, T1057, T1059.001, T1219, T1486, have more... IOCs: File: 24 IP: 4 Hash: 20 Command: 11 Path: 2 Soft: PsExec, Linux, ESXi, Windows Defender Algorithms: sha256 Functions: Set-MpPreference, Set-Content Languages: delphi, powershell

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Кампания WP-SHELLSTORM, выявлСнная Π² июнС 2026 Π³ΠΎΠ΄Π°, Π½Π°Ρ†Π΅Π»Π΅Π½Π° Π½Π° уязвимости Π² прилоТСниях WordPress ΠΈ Java, Ρ‚Π°ΠΊΠΈΡ… ΠΊΠ°ΠΊ Apache Nacos, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ ΠΏΠ΅Ρ€Π΅Π΄ΠΎΠ²Ρ‹Π΅ ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹, Ρ‚Π°ΠΊΠΈΠ΅ ΠΊΠ°ΠΊ Π²Π΅Π±-ΡˆΠ΅Π»Π»Ρ‹ для дСйствий послС эксплуатации. ΠšΠ»ΡŽΡ‡Π΅Π²Ρ‹Π΅ врСдоносныС инструмСнты, задСйствованныС Π² ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ, Π²ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‚ Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΉ Π²Π΅Π±-шСлл "down.php" ΠΈ Π²Π½Π΅Π΄Ρ€Π΅Π½Π½Ρ‹ΠΉ ΠΌΠΎΠ΄ΡƒΠ»ΡŒ VShell, ΠΎΠ±Π° ΠΈΠ· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΠ²Π°ΡŽΡ‚ ΡƒΠ΄Π°Π»Π΅Π½Π½Ρ‹ΠΉ доступ ΠΈ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ Ρ„Π°ΠΉΠ»Π°ΠΌΠΈ. ΠΡ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅, ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ Π±Π°Π·ΠΈΡ€ΡƒΡŽΡ‰ΠΈΠ΅ΡΡ Π² ΠšΠΈΡ‚Π°Π΅, эксплуатировали ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ CVE-2021-29441 для ΠΊΡ€Π°ΠΆΠΈ ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ… ΠΈ продСмонстрировали Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Π΅ ΠΏΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»ΠΈ ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΡΡ‚ΠΈ Π² зависимости ΠΎΡ‚ эксплуатируСмых уязвимостСй, Ρ‡Ρ‚ΠΎ ΡƒΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ Π½Π° финансово ΠΌΠΎΡ‚ΠΈΠ²ΠΈΡ€ΠΎΠ²Π°Π½Π½ΡƒΡŽ ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΡŽ со срСдними ΠΈ высокими тСхничСскими возмоТностями. ----- Кампания WP-SHELLSTORM, обнаруТСнная 11 июня 2026 Π³ΠΎΠ΄Π°, связана с хакСрской Π³Ρ€ΡƒΠΏΠΏΠΈΡ€ΠΎΠ²ΠΊΠΎΠΉ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰Π΅ΠΉ уязвимости прСимущСствСнно Π² прилоТСниях Π½Π° Π±Π°Π·Π΅ WordPress ΠΈ Java, Ρ‚Π°ΠΊΠΈΡ… ΠΊΠ°ΠΊ Apache Nacos, XXL-Job ΠΈ Spring Boot. ΠžΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ Π½Π°Ρ‡Π°Π»ΠΎΡΡŒ с Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎ Π½Π° VPS, располоТСнном Π² БША, Π±Ρ‹Π» Π½Π°ΠΉΠ΄Π΅Π½ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΉ ΠΊΠ°Ρ‚Π°Π»ΠΎΠ³, содСрТащий Π²Π΅Π±-ΡˆΠ΅Π»Π»Ρ‹, скрипты эксплойтов ΠΈ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ управлСния (C2). Анализ выявил ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹ обнаруТСния Ρ†Π΅Π»Π΅ΠΉ Ρ‡Π΅Ρ€Π΅Π· FOFA, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ являСтся китайским Π°Π½Π°Π»ΠΎΠ³ΠΎΠΌ Shodan, Ρ‡Ρ‚ΠΎ ΡƒΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ Π½Π° Ρ‚ΠΎ, Ρ‡Ρ‚ΠΎ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΠΌΠΎΠ³ΡƒΡ‚ Π΄Π΅ΠΉΡΡ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ ΠΈΠ· ΠšΠΈΡ‚Π°Ρ. Кампания характСризуСтся ΠΊΠ°ΠΊ финансово мотивированная, Π° Π½Π΅ спонсируСмая государством, с срСдними ΠΈ высокими тСхничСскими возмоТностями. ΠΡ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΡŽΡ‚ комплСксный ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ ΠΊ своим опСрациям, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ ΠΌΠ½ΠΎΠ³ΠΎΡƒΡ€ΠΎΠ²Π½Π΅Π²ΡƒΡŽ ΡΡ‚Ρ€Π°Ρ‚Π΅Π³ΠΈΡŽ выполнСния ΠΊΠΎΠΌΠ°Π½Π΄, которая Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ Π² сСбя ΠΏΡ€ΠΎΠ΄Π²ΠΈΠ½ΡƒΡ‚Ρ‹Π΅ Π²Π΅Π±-ΡˆΠ΅Π»Π»Ρ‹. Основной Π²Π΅Π±-шСлл, Π½Π°Π·Π²Π°Π½Π½Ρ‹ΠΉ "down.php", подвСргаСтся интСнсивной обфускации ΠΈ способСн Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡ‚ΡŒ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Π΅ пост-эксплуатационныС дСйствия, Ρ‚Π°ΠΊΠΈΠ΅ ΠΊΠ°ΠΊ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ Ρ„Π°ΠΉΠ»Π°ΠΌΠΈ, Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ PHP-ΠΊΠΎΠ΄Π° ΠΈ ΡƒΠ΄Π°Π»Π΅Π½Π½Ρ‹ΠΉ доступ Ρ‡Π΅Ρ€Π΅Π· Π²Π½Π΅Π΄Ρ€Π΅Π½Π½Ρ‹ΠΉ ΠΌΠΎΠ΄ΡƒΠ»ΡŒ, извСстный ΠΊΠ°ΠΊ VShell. Π­Ρ‚ΠΎΡ‚ Π²Π½Π΅Π΄Ρ€Π΅Π½Π½Ρ‹ΠΉ ΠΌΠΎΠ΄ΡƒΠ»ΡŒ маскируСтся ΠΏΠΎΠ΄ ΠΏΠΎΡ‚ΠΎΠΊ ядра, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΈΠ·Π±Π΅ΠΆΠ°Ρ‚ΡŒ обнаруТСния, Π² Ρ‚ΠΎ врСмя ΠΊΠ°ΠΊ Π΄Ρ€ΡƒΠ³ΠΎΠΉ Π΄Ρ€ΠΎΠΏΠΏΠ΅Ρ€, SNOWLIGHT, ΠΈΠ·Π²Π»Π΅ΠΊΠ°Π΅Ρ‚ ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠ΅ ΠΏΠΎΠ»Π΅Π· Π’Π°ΠΆΠ½ΠΎ ΠΎΡ‚ΠΌΠ΅Ρ‚ΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ Π³Ρ€ΡƒΠΏΠΏΠ° Ρ‚Π°ΠΊΠΆΠ΅ использовала уязвимости, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰ΠΈΠ΅ ΠΊΡ€Π°ΡΡ‚ΡŒ ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ ΠΈΠ· Nacos, примСняя ΡˆΠΈΡ€ΠΎΠΊΠΎ извСстноС ΠΎΠ±Ρ…ΠΎΠ΄Π½ΠΎΠ΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ CVE-2021-29441 для Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ. Π’ Π±ΠΎΠ»Π΅Π΅ Ρ€Π°Π½Π½Π΅ΠΉ ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ Π² ΠΌΠ°Π΅ 2026 Π³ΠΎΠ΄Π° ΠΎΠ½ΠΈ ΠΏΠΎΡ…ΠΈΡ‚ΠΈΠ»ΠΈ ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹Π΅ Ρ„Π°ΠΉΠ»Ρ‹ Π² ΠΎΠ΄ΠΈΠ½Π½Π°Π΄Ρ†Π°Ρ‚ΠΈ организациях Π² Π½Π΅ΡΠΊΠΎΠ»ΡŒΠΊΠΈΡ… сСкторах, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ Ρ„ΠΈΠ½Ρ‚Π΅Ρ… ΠΈ ΡΠ»Π΅ΠΊΡ‚Ρ€ΠΎΠ½Π½ΡƒΡŽ ΠΊΠΎΠΌΠΌΠ΅Ρ€Ρ†ΠΈΡŽ, извлСкая Ρ†Π΅Π½Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅, Ρ‚Π°ΠΊΠΈΠ΅ ΠΊΠ°ΠΊ ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ ΠΎΠ±Π»Π°Ρ‡Π½Ρ‹Ρ… сСрвисов ΠΈ сСкрСты JWT. Атаки WP-SHELLSTORM дСмонстрировали Ρ€Π°Π·Π»ΠΈΡ‡Π½ΡƒΡŽ ΡΡ‚Π΅ΠΏΠ΅Π½ΡŒ ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΡΡ‚ΠΈ Π² зависимости ΠΎΡ‚ эксплуатируСмых уязвимостСй. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² Breeze Cache Cleaner ΠΏΠΎΠ·Π²ΠΎΠ»ΠΈΠ»Π° ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ ΠΎΠΊΠΎΠ»ΠΎ 17 000 ΠΏΠΎΠ΄Ρ‚Π²Π΅Ρ€ΠΆΠ΄Π΅Π½Π½Ρ‹Ρ… Π²Π΅Π±-шСллов ΠΈΠ· Π±ΠΎΠ»Π΅Π΅ Ρ‡Π΅ΠΌ 45 000 Ρ†Π΅Π»Π΅ΠΉ, Ρ‚ΠΎΠ³Π΄Π° ΠΊΠ°ΠΊ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² Joomla ΠΈΠΌΠ΅Π»Π° Π·Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ Π±ΠΎΠ»Π΅Π΅ Π½ΠΈΠ·ΠΊΠΈΠΉ ΠΏΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»ΡŒ ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΡΡ‚ΠΈ, нСсмотря Π½Π° ΠΎΡ…Π²Π°Ρ‚ Π±ΠΎΠ»Π΅Π΅ 560 000 Ρ†Π΅Π»Π΅ΠΉ. Π­Ρ‚ΠΎ ΡƒΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ Π½Π° Ρ‚ΠΎ, Ρ‡Ρ‚ΠΎ ΡΡ„Ρ„Π΅ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ эксплойта ΠΌΠΎΠΆΠ΅Ρ‚ сильно Π·Π°Π²ΠΈΡΠ΅Ρ‚ΡŒ ΠΎΡ‚ Π»Π°Π½Π΄ΡˆΠ°Ρ„Ρ‚Π° уязвимостСй ΠΈ уровня установки исправлСний Π² Ρ†Π΅Π»Π΅Π²Ρ‹Ρ… срСдах. Π‘ Ρ‚ΠΎΡ‡ΠΊΠΈ зрСния ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ бСзопасности, Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ проявили Π±Π΅ΡΠΏΠ΅Ρ‡Π½ΠΎΡΡ‚ΡŒ, оставив ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΡ†ΠΈΡ€ΡƒΠ΅ΠΌΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΈ ΠΆΡƒΡ€Π½Π°Π»Ρ‹ Π² ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΠΎΠΌ доступС, Ρ‡Ρ‚ΠΎ ΠΎΠ±Π»Π΅Π³Ρ‡ΠΈΠ»ΠΎ отслСТиваниС. НСсмотря Π½Π° использованиС слоТных инструмСнтов, ΠΎΠ½ΠΈ Π½Π΅ смогли достаточно ΡΠΊΡ€Ρ‹Ρ‚ΡŒ свою Π΄Π΅ΡΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ Π²Ρ‹Π·Ρ‹Π²Π°Π΅Ρ‚ вопросы ΠΎΠ± ΠΈΡ… Ρ‚Ρ‰Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ Π² ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠ°Π½ΠΈΠΈ ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ анонимности. ΠžΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΡΠΌ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΠΌ WordPress, Joomla ΠΈΠ»ΠΈ ΠΎΠΏΠΈΡ€Π°ΡŽΡ‰ΠΈΠΌΡΡ Π½Π° микросСрвисы Π½Π° Π±Π°Π·Π΅ Java, рСкомСндуСтся ΠΏΡ€Π΅Π΄ΠΏΡ€ΠΈΠ½ΡΡ‚ΡŒ Π½Π΅ΠΌΠ΅Π΄Π»Π΅Π½Π½Ρ‹Π΅ дСйствия. К Π½ΠΈΠΌ относятся Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠ° извСстных врСдоносных IP-адрСсов, сканированиС Π½Π° Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ спСцифичСских шаблонов Π²Π΅Π±-шСллов, ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ Π½Π΅ΠΎΠ±Ρ‹Ρ‡Π½Ρ‹Ρ… ΠΈΠΌΠ΅Π½ процСссов, ΠΈΠΌΠΈΡ‚ΠΈΡ€ΡƒΡŽΡ‰ΠΈΡ… систСмныС ΠΏΠΎΡ‚ΠΎΠΊΠΈ, Π° Ρ‚Π°ΠΊΠΆΠ΅ обСспСчСниС Π°ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠ³ΠΎ обСспСчСния для сниТСния уязвимости ΠΊ уязвимостям, эксплуатируСмым Π² Ρ€Π°ΠΌΠΊΠ°Ρ… Π΄Π°Π½Π½ΠΎΠΉ ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ.

#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #CompletenessMedium 10-07-2026 How WP-SHELLSTORM Exposed 1.4M WordPress Sites https://socradar.io/blog/wp-shellstorm-expose-1-4m-wordpress-sites/ Report completeness: Medium Actors/Campaigns: Wp-shellstorm (motivation: financially_motivated) Threats: Jdumpspider_tool Bestshell Godzilla_webshell Snowlight Vshell Victims: Wordpress sites, Joomla sites, Nacos infrastructure, Xxl job infrastructure, Spring boot infrastructure, Financial technology, Electronic commerce, Logistics, Gaming, Consumer electronics, have more... Industry: Entertainment, E-commerce, Logistic, Financial Geo: Singapore, Chinese, Taiwan CVEs: CVE-2020-25213 [Vulners] CVSS V3.1: 10.0, Vulners: Exploitation: True X-Force: Risk: Unknown X-Force: Patch: Unknown Soft: - filemanagerpro file_manager (<6.9) CVE-2026-6433 [Vulners] CVSS V3.1: 7.3, Vulners: Exploitation: True X-Force: Risk: Unknown X-Force: Patch: Unknown CVE-2021-29441 [Vulners] CVSS V3.1: 9.8, Vulners: Exploitation: True X-Force: Risk: Unknown X-Force: Patch: Unknown Soft: - alibaba nacos (<1.4.1) CVE-2025-7852 [Vulners] CVSS V3.1: 9.8, Vulners: Exploitation: Unknown X-Force: Risk: Unknown X-Force: Patch: Unknown CVE-2026-48907 [Vulners] CVSS V3.1: 9.8, Vulners: Exploitation: True X-Force: Risk: Unknown X-Force: Patch: Unknown Soft: - widgetfactorylimited jce (<2.9.99.5) CVE-2025-7443 [Vulners] CVSS V3.1: 8.1, Vulners: Exploitation: True X-Force: Risk: Unknown X-Force: Patch: Unknown CVE-2026-3844 [Vulners] CVSS V3.1: 9.8, Vulners: Exploitation: True X-Force: Risk: Unknown X-Force: Patch: Unknown CVE-2026-0740 [Vulners] CVSS V3.1: 9.8, Vulners: Exploitation: True X-Force: Risk: Unknown X-Force: Patch: Unknown CVE-2025-12057 [Vulners] CVSS V3.1: 9.8, Vulners: Exploitation: True X-Force: Risk: Unknown X-Force: Patch: Unknown CVE-2026-1969 [Vulners] CVSS V3.1: 5.3, Vulners: Exploitation: True X-Force: Risk: Unknown X-Force: Patch: Unknown CVE-2025-34085 [Vulners] CVSS V3.1: Unknown, Vulners: Exploitation: Unknown X-Force: Risk: Unknown X-Force: Patch: Unknown ChatGPT TTPs: do not use without manual check T1001, T1005, T1027, T1036, T1046, T1059, T1070, T1071.001, T1082, T1105, have more... IOCs: IP: 4 File: 1 Domain: 1 Hash: 1 Soft: WordPress, Nacos, Alibaba Cloud, Telegram, MySQL, Linux, ThemeREX, Joomla, WavePlayer, BerqWP, have more... Algorithms: xor, sha256 Languages: php, java Links: http://github.com/Kevil-hui/BestShell

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ ВрСдоносный ΠΏΠ°ΠΊΠ΅Ρ‚ NuGet Braintree.Net, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΠΉ Ρ‚Π΅Ρ…Π½ΠΈΠΊΡƒ ΠœΠ°ΡΠΊΠΈΡ€ΠΎΠ²ΠΊΠ° для ΠΈΠΌΠΈΡ‚Π°Ρ†ΠΈΠΈ Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½ΠΎΠ³ΠΎ ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½ΠΎΠ³ΠΎ шлюза, Π±Ρ‹Π» ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ вскорС послС ΠΏΡƒΠ±Π»ΠΈΠΊΠ°Ρ†ΠΈΠΈ. Он ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½ для Π·Π°Ρ…Π²Π°Ρ‚Π° Π΄Π°Π½Π½Ρ‹Ρ… ΠΊΡ€Π΅Π΄ΠΈΡ‚Π½Ρ‹Ρ… ΠΊΠ°Ρ€Ρ‚ ΠΈ ΡΠΊΡΡ„ΠΈΠ»ΡŒΡ‚Ρ€Π°Ρ†ΠΈΠΈ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ API Braintree для Ρ‚ΠΎΡ€Π³ΠΎΠ²Ρ†Π΅Π². ВрСдоносноС ПО ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹ΠΉ класс логирования для ΠΏΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‚Π° ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ… нСпосрСдствСнно ΠΏΠ΅Ρ€Π΅Π΄ Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹ΠΌΠΈ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹ΠΌΠΈ опСрациями, Π° Ρ‚Π°ΠΊΠΆΠ΅ задСйствуСт зависимости для поиска Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… сСкрСтов срСды. Π‘ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ΠΈΠ·ΠΈΡ€ΡƒΡŽΡ‚ΡΡ Π½Π° ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΠΈΡ€ΡƒΠ΅ΠΌΡƒΡŽ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠΌ ΠΊΠΎΠ½Π΅Ρ‡Π½ΡƒΡŽ Ρ‚ΠΎΡ‡ΠΊΡƒ, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΡŽΡ‚ΡΡ Ρ‚Π΅Ρ…Π½ΠΈΠΊΠΈ обфускации для уклонСния ΠΎΡ‚ обнаруТСния, Ρ‡Ρ‚ΠΎ ΡƒΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ Π½Π° ΡΠ»ΠΎΠΆΠ½ΡƒΡŽ ΠšΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΡŽ Ρ†Π΅ΠΏΠΎΡ‡ΠΊΠΈ поставок, Π½Π°ΠΏΡ€Π°Π²Π»Π΅Π½Π½ΡƒΡŽ Π½Π° сбор ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ, Ρ‡ΡƒΠ²ΡΡ‚Π²ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠΉ ΠΊ стандартам PCI. ----- Π—Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ»ΠΈ врСдоносный ΠΏΠ°ΠΊΠ΅Ρ‚ NuGet ΠΏΠΎΠ΄ Π½Π°Π·Π²Π°Π½ΠΈΠ΅ΠΌ Braintree.Net, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΈΠΌΠΈΡ‚ΠΈΡ€ΡƒΠ΅Ρ‚ Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹ΠΉ ΠΊΠ»ΠΈΠ΅Π½Ρ‚ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½ΠΎΠ³ΠΎ шлюза Braintree. ΠžΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹ΠΉ вскорС послС Π΅Π³ΠΎ ΠΏΡƒΠ±Π»ΠΈΠΊΠ°Ρ†ΠΈΠΈ 3 июля 2026 Π³ΠΎΠ΄Π°, этот ΠΏΠ°ΠΊΠ΅Ρ‚ прСдставляСт собой многоэтапный .NET-ΠΈΠΌΠΏΠ»Π°Π½Ρ‚, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΏΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‚Ρ‹Π²Π°Π΅Ρ‚ Π΄Π°Π½Π½Ρ‹Π΅ ΠΊΡ€Π΅Π΄ΠΈΡ‚Π½Ρ‹Ρ… ΠΊΠ°Ρ€Ρ‚, ΡΠΊΡΡ„ΠΈΠ»ΡŒΡ‚Ρ€ΡƒΠ΅Ρ‚ API-ΠΊΠ»ΡŽΡ‡ΠΈ ΠΊΡƒΠΏΡ†ΠΎΠ² Braintree ΠΈ собираСт сСкрСты срСды ΠΏΡ€ΠΈ Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠ΅ сборки. Π•Π³ΠΎ Π΄ΠΈΠ·Π°ΠΉΠ½ ΠΈΠΌΠΈΡ‚ΠΈΡ€ΡƒΠ΅Ρ‚ Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹ΠΉ SDK Braintree, создавая фасад, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ скрываСт Π΅Π³ΠΎ Π·Π»ΠΎΠ½Π°ΠΌΠ΅Ρ€Π΅Π½Π½Ρ‹Π΅ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ. ΠŸΠ°ΠΊΠ΅Ρ‚ Braintree.Net маскируСтся ΠΏΠΎΠ΄ Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹ΠΉ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚ с ΠΎΠ±ΠΌΠ°Π½Π½Ρ‹ΠΌ Π½Π°Π·Π²Π°Π½ΠΈΠ΅ΠΌ ΠΈ вСрсионированиСм, Ρ‡Ρ‚ΠΎ ΠΏΡ€ΠΈΠ²ΠΎΠ΄ΠΈΡ‚ ΠΊ Ρ‚ΠΎΠΌΡƒ, Ρ‡Ρ‚ΠΎ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΈ нСвольно ΡƒΡΡ‚Π°Π½Π°Π²Π»ΠΈΠ²Π°ΡŽΡ‚ Π΅Π³ΠΎ. ΠŸΡ€ΠΈΠΌΠ΅Ρ‡Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎ, Ρ‡Ρ‚ΠΎ врСдоносный ΠΏΠ°ΠΊΠ΅Ρ‚ Ρ„ΠΈΠΊΡ‚ΠΈΠ²Π½ΠΎ Π·Π°Π²Ρ‹ΡˆΠ°Π» количСство Π·Π°Π³Ρ€ΡƒΠ·ΠΎΠΊ ΠΏΡƒΡ‚Π΅ΠΌ создания мноТСства пустых вСрсий, ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Π½Ρ‹Ρ… для ввСдСния Π² Π·Π°Π±Π»ΡƒΠΆΠ΄Π΅Π½ΠΈΠ΅ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ. ВрСдоносный ΠΊΠΎΠ΄ Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎ пСрСнаправляСт собранныС Π΄Π°Π½Π½Ρ‹Π΅ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Ρ… ΠΊΠ°Ρ€Ρ‚ ΠΈ ΠΊΠ»ΡŽΡ‡ΠΈ Π½Π° ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΠΈΡ€ΡƒΠ΅ΠΌΡƒΡŽ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠΌ ΠΊΠΎΠ½Π΅Ρ‡Π½ΡƒΡŽ Ρ‚ΠΎΡ‡ΠΊΡƒ, скрывая свою ΠΈΡΡ‚ΠΈΠ½Π½ΡƒΡŽ Ρ†Π΅Π»ΡŒ. Π’Π½Π΅Π΄Ρ€Π΅Π½Π½Ρ‹ΠΉ ΠΌΠΎΠ΄ΡƒΠ»ΡŒ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ спСцифичСский класс Braintree.CardOperationLogger, ΡΠΊΡΠΊΠ»ΡŽΠ·ΠΈΠ²Π½Ρ‹ΠΉ для врСдоносной сборки, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ фиксируСт Π΄Π΅Ρ‚Π°Π»ΠΈ ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΉ с ΠΊΠ°Ρ€Ρ‚Π°ΠΌΠΈ. Π­Ρ‚ΠΎΡ‚ Π»ΠΎΠ³Π³Π΅Ρ€ стратСгичСски активируСтся ΠΏΠ΅Ρ€Π΅Π΄ Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹ΠΌΠΈ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹ΠΌΠΈ дСйствиями, Ρ‡Ρ‚ΠΎ позволяСт эффСктивно ΠΏΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‚Ρ‹Π²Π°Ρ‚ΡŒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Ρ… ΠΊΠ°Ρ€Ρ‚. ΠšΡ€ΠΎΠΌΠ΅ Ρ‚ΠΎΠ³ΠΎ, установка свойства BraintreeGateway.PrivateKey ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ для инициирования ΠΊΡ€Π°ΠΆΠΈ ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ… Ρ‚ΠΎΡ€Π³ΠΎΠ²Ρ†Π° Π±Π΅Π· обнаруТСния. ΠŸΠ°ΠΊΠ΅Ρ‚ добавляСт Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΡƒΡŽ ΡΠ»ΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ, вводя зависимости, Ρ‚Π°ΠΊΠΈΠ΅ ΠΊΠ°ΠΊ DependencyInjector.Core, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΡΠΊΠ°Π½ΠΈΡ€ΡƒΡŽΡ‚ срСду хоста Π½Π° Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ ΠΌΠ΅Ρ‚Π°Π΄Π°Π½Π½Ρ‹Π΅ ΠΎΠ±Π»Π°Ρ‡Π½Ρ‹Ρ… сСрвисов ΠΈ Ρ‚ΠΎΠΊΠ΅Π½Ρ‹ Kubernetes. Π’Π°ΠΊΠΎΠ΅ скрытноС ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ ΠΎΠ·Π½Π°Ρ‡Π°Π΅Ρ‚, Ρ‡Ρ‚ΠΎ Π΄Π°ΠΆΠ΅ прилоТСния, настроСнныС для Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ΠΈΠ»ΠΈ тСстирования, всё Π΅Ρ‰Ρ‘ Ρ€ΠΈΡΠΊΡƒΡŽΡ‚ раскрытиСм ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ, Ссли ΠΎΠ½ΠΈ ΡΡΡ‹Π»Π°ΡŽΡ‚ΡΡ Π½Π° скомпромСтированный ΠΏΠ°ΠΊΠ΅Ρ‚. Π’Ρ‰Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎ спроСктированная Ρ€Π°Π·Π΄Π΅Π»ΡŒΠ½Π°Ρ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ позволяСт врСдоносному ΠΊΠΎΠ΄Ρƒ Π°Ρ‚Π°ΠΊΠΎΠ²Π°Ρ‚ΡŒ производствСнныС срСды, ΠΎΠ΄Π½ΠΎΠ²Ρ€Π΅ΠΌΠ΅Π½Π½ΠΎ минимизируя Π²Π΅Ρ€ΠΎΡΡ‚Π½ΠΎΡΡ‚ΡŒ обнаруТСния. Π‘Π΅Ρ‚Π΅Π²Ρ‹Π΅ характСристики Π’ΠŸΠž Ρ‚Π°ΠΊΠΆΠ΅ Π·Π°ΡΠ»ΡƒΠΆΠΈΠ²Π°ΡŽΡ‚ внимания; Ρ‚ΠΎΡ‡ΠΊΠ° управлСния (C2) скрыта с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ XOR-кодирования, Ρ‡Ρ‚ΠΎ затрудняСт Π΅Ρ‘ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ ΠΏΡ€ΠΈ стандартном Π°Π½Π°Π»ΠΈΠ·Π΅. ΠšΡ€ΠΎΠΌΠ΅ Ρ‚ΠΎΠ³ΠΎ, эта опСрация дСмонстрируСт ΡΠ»ΠΎΠΆΠ½ΡƒΡŽ ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΡŽ Ρ†Π΅ΠΏΠΎΡ‡ΠΊΠΈ поставок, подчСркивая Π΅Ρ‘ Ρ„ΠΈΠ½Π°Π½ΡΠΎΠ²ΡƒΡŽ ΠΌΠΎΡ‚ΠΈΠ²Π°Ρ†ΠΈΡŽ ΠΈ Ρ†Π΅Π»Π΅Π½Π°ΠΏΡ€Π°Π²Π»Π΅Π½Π½Ρ‹ΠΉ сбор Π΄Π°Π½Π½Ρ‹Ρ…, Ρ‡ΡƒΠ²ΡΡ‚Π²ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… ΠΊ стандартам индустрии ΠΏΠ»Π°Ρ‚Π΅ΠΆΠ½Ρ‹Ρ… ΠΊΠ°Ρ€Ρ‚ (PCI). Π˜Π½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ ΠΏΠΎΠ΄Ρ‡Π΅Ρ€ΠΊΠΈΠ²Π°Π΅Ρ‚ Π²Π°ΠΆΠ½ΠΎΡΡ‚ΡŒ ΠΌΠ΅Ρ€ бСзопасности, связанных с ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ΠΌ зависимостями. РСкомСндуСтся Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ°ΠΌ Ρ€ΠΎΡ‚ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π»ΡŽΠ±Ρ‹Π΅ ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ ΠΏΡ€ΠΎΠ΄Π°Π²Ρ†Π°, связанныС с скомпромСтированным ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠΌ, ΠΈ ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΡ‚ΡŒ Π°ΡƒΠ΄ΠΈΡ‚ ΠΊΠΎΠ΄ΠΎΠ²Ρ‹Ρ… Π±Π°Π· Π½Π° Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ Π»ΡŽΠ±Ρ‹Ρ… связанных зависимостСй. Π‘Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠ° исходящСго Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° Π½Π° выявлСнный Π΄ΠΎΠΌΠ΅Π½ C2 ΠΈΠΌΠ΅Π΅Ρ‚ критичСскоС Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅, наряду с ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ΠΎΠΌ ΠΏΠΎΠ΄ΠΎΠ·Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠΉ сСтСвой активности, которая ΠΌΠΎΠΆΠ΅Ρ‚ ΡƒΠΊΠ°Π·Ρ‹Π²Π°Ρ‚ΡŒ Π½Π° ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠΈ ΡΠΊΡΡ„ΠΈΠ»ΡŒΡ‚Ρ€Π°Ρ†ΠΈΠΈ Π΄Π°Π½Π½Ρ‹Ρ…. Π’ Ρ†Π΅Π»ΠΎΠΌ, Π±Π΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ Π² ΠΎΡ‚Π½ΠΎΡˆΠ΅Π½ΠΈΠΈ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½Ρ‹Ρ… зависимостСй ΠΈ ΠΎΡΠ²Π΅Π΄ΠΎΠΌΠ»Π΅Π½Π½ΠΎΡΡ‚ΡŒ ΠΎ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½Ρ‹Ρ… врСдоносных ΠΏΠ°ΠΊΠ΅Ρ‚Π°Ρ… ΠΈΠΌΠ΅ΡŽΡ‚ ΠΆΠΈΠ·Π½Π΅Π½Π½ΠΎ Π²Π°ΠΆΠ½ΠΎΠ΅ Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ для смягчСния этих рисков.

#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #ExtractedSchema Classified images: windows: 2, schema: 2
#ParsedReport #ExtractedSchema Classified images: windows: 2, schema: 2

#ParsedReport #CompletenessHigh 09-07-2026 Fake Braintree NuGet Package Skims Credit Cards and Harvests Merchant Credentials https://socket.dev/blog/braintree-nuget-typosquat-skims-credit-cards Report completeness: High Threats: Typosquatting_technique Supply_chain_technique Victims: Payment merchants, Software developers, Payment applications, Sip and webrtc developers Industry: Financial TTPs: Tactics: 2 Technics: 0 ChatGPT TTPs: do not use without manual check T1005, T1027, T1036.005, T1071.001, T1129, T1195.001, T1480, T1518, T1552.001, T1552.005, have more... IOCs: Domain: 2 File: 44 Url: 3 IP: 2 Hash: 23 Soft: NuGet, openai, Kubernetes, Docker, ASP.NET, Azure Functions, NET Framework, WebRTC, uGet's Algorithms: xor Functions: HTTP, Braintree, Create, AnalyzeAndPrint, Analyze, IsProduction, GetDefaultEndpoint Win API: Amount, Number, CVV, CustomerId, CreditCard, NET Languages: dotnet

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Π’ октябрС 2025 Π³ΠΎΠ΄Π° Microsoft Threat Intelligence ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π»Π° ΠΎΡ‚Ρ‡Π΅Ρ‚ ΠΎ GigaWiper β€” дСструктивном Π’ΠŸΠž, Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½Π½ΠΎΠΌ Π½Π° Golang, ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ΅ дСйствуСт ΠΊΠ°ΠΊ бэкдор ΠΈ прСдоставляСт мноТСство дСструктивных возмоТностСй, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ стираниС Π΄Π°Π½Π½Ρ‹Ρ… с диска ΠΈ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅ Ρ„Π°ΠΉΠ»ΠΎΠ² Π±Π΅Π· Π²Ρ‹ΠΌΠΎΠ³Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΈΡ… Ρ‚Ρ€Π΅Π±ΠΎΠ²Π°Π½ΠΈΠΉ. Оно содСрТит Π°Π²Ρ‚ΠΎΠ½ΠΎΠΌΠ½Ρ‹Π΅ исполняСмыС Ρ„Π°ΠΉΠ»Ρ‹ для стирания Π΄Π°Π½Π½Ρ‹Ρ…, способныС ΡƒΠ΄Π°Π»ΡΡ‚ΡŒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ Π½Π° физичСском ΡƒΡ€ΠΎΠ²Π½Π΅ диска, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚ бэкдора, ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΠ²Π°ΡŽΡ‰ΠΈΠΉ Π·Π°ΠΊΡ€Π΅ΠΏΠ»Π΅Π½ΠΈΠ΅ ΠΈ связь с сСрвСрами C2 Ρ‡Π΅Ρ€Π΅Π· RabbitMQ ΠΈ Redis. Π’ΠŸΠž ΠΈΠΌΠ΅Π΅Ρ‚ ΠΌΠΎΠ΄ΡƒΠ»ΡŒΠ½ΡƒΡŽ Π°Ρ€Ρ…ΠΈΡ‚Π΅ΠΊΡ‚ΡƒΡ€Ρƒ, ΠΏΠ΅Ρ€Π΅ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ элСмСнты ΠΈΠ· Π΄Ρ€ΡƒΠ³ΠΈΡ… ΡƒΠ³Ρ€ΠΎΠ·, Ρ‚Π°ΠΊΠΈΡ… ΠΊΠ°ΠΊ Crucio ΠΈ FlockWiper, Ρ‡Ρ‚ΠΎ позволяСт Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌ Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡ‚ΡŒ Π·Π°Π΄Π°Ρ‡ΠΈ шпионаТа ΠΈΠ»ΠΈ дСструктивного Ρ…Π°Ρ€Π°ΠΊΡ‚Π΅Ρ€Π° взаимозамСняСмо. ----- Π’ октябрС 2025 Π³ΠΎΠ΄Π° Microsoft Threat Intelligence выявила слоТноС дСструктивноС Π’ΠŸΠž ΠΏΠΎΠ΄ Π½Π°Π·Π²Π°Π½ΠΈΠ΅ΠΌ GigaWiper, созданноС с использованиСм языка программирования Go (Golang). GigaWiper Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½ΠΈΡ€ΡƒΠ΅Ρ‚ ΠΊΠ°ΠΊ бэкдор, прСдлагая ΡƒΠ½ΠΈΠ²Π΅Ρ€ΡΠ°Π»ΡŒΠ½Ρ‹Π΅ возмоТности управлСния (C2) наряду с нСсколькими дСструктивными ΠΏΠΎΠ»Π΅Π·Π½Ρ‹ΠΌΠΈ Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠ°ΠΌΠΈ, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ стираниС дисков, ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅ Ρ„Π°ΠΉΠ»ΠΎΠ², Π½Π°ΠΏΠΎΠΌΠΈΠ½Π°ΡŽΡ‰Π΅Π΅ ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ Π²Ρ‹ΠΌΠΎΠ³Π°Ρ‚Π΅Π»Π΅ΠΉ, ΠΈ саботаТ Π½Π° ΡƒΡ€ΠΎΠ²Π½Π΅ систСмы. Π­Ρ‚ΠΎ Π’ΠŸΠž ΡƒΠ½ΠΈΠΊΠ°Π»ΡŒΠ½ΠΎ Ρ‚Π΅ΠΌ, Ρ‡Ρ‚ΠΎ прСдставляСт собой Π½Π΅ Π΅Π΄ΠΈΠ½Ρ‹ΠΉ инструмСнт, Π° ΠΊΠΎΠΌΠΏΠΎΠ·ΠΈΡ‚ ΠΈΠ· Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… сСмСйств Π’ΠŸΠž, прСдоставляя Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌ Π³ΠΈΠ±ΠΊΠΎΡΡ‚ΡŒ ΠΏΡ€ΠΈ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠΈ Π°Ρ‚Π°ΠΊ. GigaWiper Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ Π΄Π²Π° основных Ρ‚ΠΈΠΏΠ° ΠΎΠ±Ρ€Π°Π·Ρ†ΠΎΠ²: Π°Π²Ρ‚ΠΎΠ½ΠΎΠΌΠ½Ρ‹Π΅ Π±ΠΈΠ½Π°Ρ€Π½Ρ‹Π΅ Ρ„Π°ΠΉΠ»Ρ‹-стиратСли ΠΈ Π±ΠΎΠ»Π΅Π΅ ΠΊΡ€ΡƒΠΏΠ½Ρ‹Π΅ Π±ΠΈΠ½Π°Ρ€Π½Ρ‹Π΅ Ρ„Π°ΠΉΠ»Ρ‹, оснащСнныС Π½Π°Π΄Π΅ΠΆΠ½Ρ‹ΠΌΠΈ функциями бэкдора. Автономный Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ Π½Π° физичСском ΡƒΡ€ΠΎΠ²Π½Π΅ диска, стирая Π΄Π°Π½Π½Ρ‹Π΅ ΠΏΡƒΡ‚Π΅ΠΌ пСрСзаписи сырого содСрТимого диска ΠΈ удалСния ΠΌΠ΅Ρ‚Π°Π΄Π°Π½Π½Ρ‹Ρ… Ρ€Π°Π·Π΄Π΅Π»ΠΎΠ². Он Π΄Π΅Π»Π°Π΅Ρ‚ это, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ Π˜Π½ΡΡ‚Ρ€ΡƒΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ управлСния Windows (WMI) для ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ физичСских дисков ΠΈ опрСдСлСния диска с установлСнной Windows, ΠΏΡ€Π΅ΠΆΠ΄Π΅ Ρ‡Π΅ΠΌ ΠΏΡ€ΠΈΡΡ‚ΡƒΠΏΠΈΡ‚ΡŒ ΠΊ ΡΡ‚ΠΈΡ€Π°Π½ΠΈΡŽ Π΄Ρ€ΡƒΠ³ΠΈΡ… дисков с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΌΠ΅Ρ‚ΠΎΠ΄Π°, Π²ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‰Π΅Π³ΠΎ ΠΏΠ΅Ρ€Π΅ΠΈΠ½ΠΈΡ†ΠΈΠ°Π»ΠΈΠ·Π°Ρ†ΠΈΡŽ ΠΌΠ΅Ρ‚Π°Π΄Π°Π½Π½Ρ‹Ρ… разбиСния диска. ΠšΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚ бэкдора GigaWiper сохраняСт Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ вымогатСля, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ ΠΏΡ€Π΅Π΄Π»Π°Π³Π°Π΅Ρ‚ Ρ‚Π°ΠΊΠΈΠ΅ возмоТности, ΠΊΠ°ΠΊ Π·Π°ΠΊΡ€Π΅ΠΏΠ»Π΅Π½ΠΈΠ΅ ΠΈ связь Ρ‡Π΅Ρ€Π΅Π· RabbitMQ ΠΈ Redis. Π—Π°ΠΊΡ€Π΅ΠΏΠ»Π΅Π½ΠΈΠ΅ достигаСтся Π·Π° счСт использования рССстра Windows для отслСТивания выполнСния, Π° запланированная Π·Π°Π΄Π°Ρ‡Π° обСспСчиваСт рСгулярный запуск Π’ΠŸΠž. Бвязь с сСрвСром C2 устанавливаСтся Ρ‡Π΅Ρ€Π΅Π· RabbitMQ, Ρ‡Ρ‚ΠΎ позволяСт Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡ‚ΡŒ ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹ Ρ‡Π΅Ρ€Π΅Π· ΠΎΠ±ΠΌΠ΅Π½Π½ΠΈΠΊ fanout, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΎΡ‚ΡΠ»Π΅ΠΆΠΈΠ²Π°Ρ‚ΡŒ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹ ΠΊΠΎΠΌΠ°Π½Π΄ Ρ‡Π΅Ρ€Π΅Π· Redis. Π‘Ρ€Π΅Π΄ΠΈ Π΅Π³ΠΎ ΠΊΠΎΠΌΠ°Π½Π΄ GigaWiper ΠΌΠΎΠΆΠ΅Ρ‚ Π·Π°ΠΏΡƒΡΠΊΠ°Ρ‚ΡŒ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅ Ρ„Π°ΠΉΠ»ΠΎΠ² с использованиСм случайно сгСнСрированных ΠΊΠ»ΡŽΡ‡Π΅ΠΉ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π½Π΅ ΡΠΎΡ…Ρ€Π°Π½ΡΡŽΡ‚ΡΡ, Ρ‡Ρ‚ΠΎ Π΄Π΅Π»Π°Π΅Ρ‚ Ρ€Π°ΡΡˆΠΈΡ„Ρ€ΠΎΠ²ΠΊΡƒ Π½Π΅Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΠΉ. Π­Ρ‚Π° Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ ΠΈΠΌΠΈΡ‚ΠΈΡ€ΡƒΠ΅Ρ‚ ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ ransomware, Π½ΠΎ Π½Π΅ содСрТит трСбования Π²Ρ‹ΠΊΡƒΠΏΠ° ΠΈΠ»ΠΈ возмоТности восстановлСния. Одна ΠΈΠ· Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΉ ΠΊΠΎΠΌΠ°Π½Π΄ основана Π½Π° ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‰Π΅ΠΌ ransomware Crucio, Ρ‡Ρ‚ΠΎ ΡƒΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ Π½Π° Ρ‚ΠΎ, Ρ‡Ρ‚ΠΎ Π·Π° ΠΎΠ±ΠΎΠΈΠΌΠΈ стоит ΠΎΠ΄ΠΈΠ½ ΠΈ Ρ‚ΠΎΡ‚ ΠΆΠ΅ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ. ΠšΡ€ΠΎΠΌΠ΅ Ρ‚ΠΎΠ³ΠΎ, GigaWiper Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ стирания, заимствованныС ΠΈΠ· ΠΏΡ€Π΅Π΄Ρ‹Π΄ΡƒΡ‰Π΅Π³ΠΎ Π’ΠŸΠž ΠΏΠΎΠ΄ Π½Π°Π·Π²Π°Π½ΠΈΠ΅ΠΌ FlockWiper, дСмонстрируя ΠΌΠΎΠ΄ΡƒΠ»ΡŒΠ½ΡƒΡŽ Π°Ρ€Ρ…ΠΈΡ‚Π΅ΠΊΡ‚ΡƒΡ€Ρƒ, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ ΠΊΠΎΠ΄ старого Π’ΠŸΠž ΠΏΠ΅Ρ€Π΅ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ для создания Π½ΠΎΠ²Ρ‹Ρ… ΡƒΠ³Ρ€ΠΎΠ·. АрхитСктура бэкдора позволяСт Π΅ΠΌΡƒ ΠΏΠΎ ТСланию ΠΏΠ΅Ρ€Π΅ΠΊΠ»ΡŽΡ‡Π°Ρ‚ΡŒΡΡ ΠΌΠ΅ΠΆΠ΄Ρƒ шпионскими ΠΈ дСструктивными опСрациями, Ρ‡Ρ‚ΠΎ дСмонстрируСт Π·Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΡƒΡŽ ΡΠ²ΠΎΠ»ΡŽΡ†ΠΈΡŽ Π² Π½Π°Π±ΠΎΡ€Π΅ инструмСнтов Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°, объСдиняя нСзависимыС сСмСйства Π’ΠŸΠž Π² Π΅Π΄ΠΈΠ½Ρ‹ΠΉ ΠΈ Π³Ρ€ΠΎΠ·Π½Ρ‹ΠΉ ΡƒΠ³Ρ€ΠΎΠ·Ρƒ. Π”ΠΈΠ·Π°ΠΉΠ½ врСдоносного ПО GigaWiper ΠΎΡ‚Ρ€Π°ΠΆΠ°Π΅Ρ‚ ΡΡ‚Ρ€Π°Ρ‚Π΅Π³ΠΈΡ‡Π΅ΡΠΊΡƒΡŽ ΡΡ„Ρ„Π΅ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ, Π½Π°ΠΏΡ€Π°Π²Π»Π΅Π½Π½ΡƒΡŽ Π½Π° ΠΌΠ°ΠΊΡΠΈΠΌΠΈΠ·Π°Ρ†ΠΈΡŽ воздСйствия Π°Ρ‚Π°ΠΊ ΠΏΡ€ΠΈ ΠΎΠ΄Π½ΠΎΠ²Ρ€Π΅ΠΌΠ΅Π½Π½ΠΎΠΌ ΠΌΠΈΠ½ΠΈΠΌΠΈΠ·Π°Ρ†ΠΈΠΈ усилий ΠΏΠΎ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΡŽ ΠΈ ΡƒΡΡ‚Ρ€Π°Π½Π΅Π½ΠΈΡŽ.

#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #CompletenessMedium 09-07-2026 GigaWiper: Anatomy of a destructive backdoor assembled from multiple malware https://www.microsoft.com/en-us/security/blog/2026/07/09/gigawiper-anatomy-of-a-destructive-backdoor-assembled-from-multiple-malware/ Report completeness: Medium Threats: Gigawiper Crucio Flockwiper Wevtutil_tool TTPs: Tactics: 2 Technics: 0 ChatGPT TTPs: do not use without manual check T1036.005, T1041, T1047, T1053.005, T1070.001, T1071.005, T1112, T1113, T1140, T1486, have more... IOCs: File: 10 IP: 4 Hash: 8 Soft: Microsoft Defender, Microsoft Defender for Endpoint, RabbitMQ, Redis, MinIO, Windows firewall Algorithms: aes, cbc, sha256, aes-cbc, aes-256 Functions: createKey, deleteKey, deleteValue, setValue, GigaWiper Win API: FindWindowsDrive, DeviceIoControl, WipeMain, createProcess, RunOnceRegistryMain, RanMain, WipeCMain, BigBangExtortMain Languages: golang, powershell

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ РасслСдованиС выявило ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΡŽ Muck and Load, Π² Ρ€Π°ΠΌΠΊΠ°Ρ… ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ врСдоносный ΠΌΠΎΠ΄ΡƒΠ»ΡŒ Go выдавался Π·Π° инструмСнт сканирования DNS/ΠΏΠΎΠ΄Π΄ΠΎΠΌΠ΅Π½ΠΎΠ² ΠΈ Π² основном использовался для доставки Π’ΠŸΠž Ρ‡Π΅Ρ€Π΅Π· скрытоС Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ PowerShell. Π­Ρ‚Π° опСрация ΠΎΡ…Π²Π°Ρ‚Ρ‹Π²Π°Π΅Ρ‚ 222 рСпозитория ΠΈ 190 ΡƒΡ‡Π΅Ρ‚Π½Ρ‹Ρ… записСй, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ манипуляции с вСрсиями для сокрытия эксплуатации ΠΈ ΠΎΠ±Π»Π΅Π³Ρ‡Π°Π΅Ρ‚ Ρ€Π°Π·Π²Π΅Ρ€Ρ‚Ρ‹Π²Π°Π½ΠΈΠ΅ троянов ΡƒΠ΄Π°Π»Π΅Π½Π½ΠΎΠ³ΠΎ доступа (RAT) ΠΈ инфостилСров ΠΈΠ· ΠΏΡƒΠ±Π»ΠΈΡ‡Π½Ρ‹Ρ… мСст ΠΌΠ΅Ρ€Ρ‚Π²ΠΎΠΉ доставки. Π—Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊ ΠΈΠ½ΠΈΡ†ΠΈΠ°Π»ΠΈΠ·ΠΈΡ€ΡƒΠ΅Ρ‚ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Π΅ ΠΏΠΎΠ»Π΅Π· ----- РасслСдованиС врСдоносного модуля Go, Π² частности Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎ Ρ€Π°Π·ΠΌΠ΅Ρ‰Ρ‘Π½ Π½Π° github.com/kaleidora/dnsub-scanning-tool, выявило ΡΠ»ΠΎΠΆΠ½ΡƒΡŽ ΡΠ΅Ρ‚ΡŒ доставки Π’ΠŸΠž ΠΏΠΎΠ΄ Π½Π°Π·Π²Π°Π½ΠΈΠ΅ΠΌ Operation Muck and Load. Π­Ρ‚ΠΎΡ‚ ΠΌΠΎΠ΄ΡƒΠ»ΡŒ, Π²Ρ‹Π΄Π°ΡŽΡ‰ΠΈΠΉ сСбя Π·Π° инструмСнт сканирования DNS/ΠΏΠΎΠ΄Π΄ΠΎΠΌΠ΅Π½ΠΎΠ², являСтся ΠΏΡ€ΠΈΠΊΡ€Ρ‹Ρ‚ΠΈΠ΅ΠΌ для сСрии Π·Π»ΠΎΠ½Π°ΠΌΠ΅Ρ€Π΅Π½Π½Ρ‹Ρ… дСйствий, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ Ρ€Π°Π·Π²Π΅Ρ€Ρ‚Ρ‹Π²Π°Π½ΠΈΠ΅ Π’ΠŸΠž для Windows Ρ‡Π΅Ρ€Π΅Π· скрытоС Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ PowerShell, Ρ€Π°Π·Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ ΠΏΡƒΠ±Π»ΠΈΡ‡Π½Ρ‹Ρ… ΠΌΡ‘Ρ€Ρ‚Π²Ρ‹Ρ… Ρ‚ΠΎΡ‡Π΅ΠΊ (dead-drop), Π° Ρ‚Π°ΠΊΠΆΠ΅ доставку троянов ΡƒΠ΄Π°Π»Ρ‘Π½Π½ΠΎΠ³ΠΎ доступа (RAT) ΠΈ инфостилСров. ΠœΠ°ΡΡˆΡ‚Π°Π±Π½Ρ‹ΠΉ Π°Π½Π°Π»ΠΈΠ· ΠΏΠΎΠΊΠ°Π·Π°Π», Ρ‡Ρ‚ΠΎ эта опСрация ΠΎΡ…Π²Π°Ρ‚Ρ‹Π²Π°Π»Π° Π±ΠΎΠ»Π΅Π΅ ΡˆΠΈΡ€ΠΎΠΊΡƒΡŽ ΡΠ΅Ρ‚ΡŒ ΠΈΠ· 222 Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠ΅Π² Π² 190 Π°ΠΊΠΊΠ°ΡƒΠ½Ρ‚Π°Ρ…, ΠΏΡ€Π΅Π΄Π½Π°Π·Π½Π°Ρ‡Π΅Π½Π½ΡƒΡŽ для придания достовСрности ΠΎΠ±ΠΌΠ°Π½Π½Ρ‹ΠΌ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½Ρ‹ΠΌ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π°ΠΌ. ΠžΠΏΠ΅Ρ€Π°Ρ†ΠΈΡ, прикрытая инфраструктурой Π½Π° Ρ‚Π΅ΠΌΡƒ Β«muckΒ», ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ вводящий Π² Π·Π°Π±Π»ΡƒΠΆΠ΄Π΅Π½ΠΈΠ΅ Go-ΠΌΠΎΠ΄ΡƒΠ»ΡŒ для размСщСния Π’ΠŸΠž. Π­Ρ‚ΠΎΡ‚ врСдоносный Go-ΠΌΠΎΠ΄ΡƒΠ»ΡŒ содСрТит Π±ΠΎΠ»Π΅Π΅ 1200 ΠΈΡ‚Π΅Ρ€Π°Ρ†ΠΈΠΉ β€” 700 ΠΈΠ· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΏΠΎΠ΄Ρ‚Π²Π΅Ρ€ΠΆΠ΄Π΅Π½Ρ‹ ΠΊΠ°ΠΊ врСдоносныС, Ρ‡Ρ‚ΠΎ ΡΠ²ΠΈΠ΄Π΅Ρ‚Π΅Π»ΡŒΡΡ‚Π²ΡƒΠ΅Ρ‚ ΠΎ Π·Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠΉ манипуляции с вСрсионированиСм для сокрытия Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΠΉ эксплуатации. ΠŸΡ€ΠΈ запускС этот ΠΌΠΎΠ΄ΡƒΠ»ΡŒ Π°ΠΊΡ‚ΠΈΠ²ΠΈΡ€ΡƒΠ΅Ρ‚ ΡΠΊΡ€Ρ‹Ρ‚ΡƒΡŽ ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ PowerShell, которая Π·Π°Π³Ρ€ΡƒΠΆΠ°Π΅Ρ‚ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ врСдоносныС скрипты с внСшнСго сайта. Π­Ρ‚ΠΈ скрипты впослСдствии Π·Π°Π³Ρ€ΡƒΠΆΠ°ΡŽΡ‚ ΠΈ Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡŽΡ‚ Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ ΠΏΠΎΠ»Π΅Π·Π½ΡƒΡŽ Π½Π°Π³Ρ€ΡƒΠ·ΠΊΡƒ, эффСктивно выступая Π² Ρ€ΠΎΠ»ΠΈ Π·Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊΠ°, ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΠ²Π°ΡŽΡ‰Π΅Π³ΠΎ доступ ΠΊ Ρ„ΠΈΠ½Π°Π»ΡŒΠ½ΠΎΠΌΡƒ Π’ΠŸΠž. Π­Ρ‚ΠΎΡ‚ Π·Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊ Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΈΠ·Π²Π»Π΅ΠΊΠ°Π΅Ρ‚ ΠΌΠ΅Ρ‚Π°Π΄Π°Π½Π½Ρ‹Π΅ ΠΏΠΎΠ»Π΅Π·Π½ΠΎΠΉ Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ, Π½ΠΎ ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ ΡΠ΅Ρ‚ΡŒ ΠΏΡƒΠ±Π»ΠΈΡ‡Π½Ρ‹Ρ… мСст для ΠΌΠ΅Ρ€Ρ‚Π²ΠΎΠΉ доставки, ΠΏΠΎΠ²Ρ‹ΡˆΠ°Ρ ΡƒΡΡ‚ΠΎΠΉΡ‡ΠΈΠ²ΠΎΡΡ‚ΡŒ ΠΊ усилиям ΠΏΠΎ ΡƒΠ΄Π°Π»Π΅Π½ΠΈΡŽ. ПослС ΠΏΠ΅Ρ€Π²ΠΎΠ½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ выполнСния Π΄ΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‚ΡΡ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Π΅ полСзная Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠ°, Ρ‡Ρ‚ΠΎ дСмонстрируСт явныС ΠΏΡ€ΠΈΠ·Π½Π°ΠΊΠΈ активности стиллСра ΠΈ RAT. Π’ частности, Π΄Π΅ΠΊΠΎΠ΄ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΉ Π·Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊ PowerShell взаимодСйствуСт с Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹ΠΌΠΈ полСзная Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠ°, связанными с AsyncRAT, Quasar ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠΌΠΈ шаблонами врСдоносной активности, Ρ‡Ρ‚ΠΎ ΡƒΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ Π½Π° комплСксный Ρ†ΠΈΠΊΠ» послС развёртывания, Π²ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‰ΠΈΠΉ ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΡ‹ ΠΎΠ±Ρ…ΠΎΠ΄ Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΈ закрСплСния. Π—Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ GitHub, создавая Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠΈ, Π·Π°ΠΏΠΎΠ»Π½Π΅Π½Π½Ρ‹Π΅ ΠΊΠΎΠ½Ρ‚Π΅Π½Ρ‚ΠΎΠΌ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ выглядит ΠΏΠΎΠ΄Π»ΠΈΠ½Π½Ρ‹ΠΌ ΠΈ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΡ€ΠΈΠ²Π»Π΅ΠΊΠ°Ρ‚ΡŒ нСосвСдомлённых ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ. МногиС ΠΈΠ· этих Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠ΅Π² Ρ‚Π°ΠΊΠΆΠ΅ содСрТат прямыС прСдлоТСния врСдоносного ПО, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ Π·Π°Π³Ρ€ΡƒΠ·Ρ‡ΠΈΠΊΠΈ троянов, шпионскоС ПО ΠΈ ΠΊΡ€ΠΈΠΏΡ‚ΠΎΠΌΠ°ΠΉΠ½Π΅Ρ€Ρ‹ Monero, Ρ‚Π΅ΠΌ самым усиливая ΠΈΡ… ΠΎΡ…Π²Π°Ρ‚ ΠΈ воздСйствиС. Π­Ρ‚Π° опСрация Ρ‚ΠΎΠ½ΠΊΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ Π΄ΠΎΠ²Π΅Ρ€ΠΈΠ΅ ΠΊ ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ΅ GitHub, поддСрТивая каТущиСся Π°ΠΊΡ‚ΠΈΠ²Π½Ρ‹ΠΌΠΈ Π°ΠΊΠΊΠ°ΡƒΠ½Ρ‚Ρ‹ ΠΈ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Ρ‹, созданныС для Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π·Π°ΠΌΠ°Π½ΠΈΡ‚ΡŒ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ² для клонирования ΠΈΠ»ΠΈ выполнСния врСдоносного ΠΊΠΎΠ΄Π°. Раскрытая автоматизация ΠΊΠΎΠΌΠΌΠΈΡ‚ΠΎΠ² Π² этих рСпозиториях ΠΏΠΎΠ΄Ρ‡Π΅Ρ€ΠΊΠΈΠ²Π°Π΅Ρ‚ ΠΏΡ€Π΅Π΄Π½Π°ΠΌΠ΅Ρ€Π΅Π½Π½Ρ‹Π΅ усилия ΠΏΠΎ созданию фасада постоянной ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΈ ΠΈ надСТности для инструмСнтов, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π² ΠΏΡ€ΠΎΡ‚ΠΈΠ²Π½ΠΎΠΌ случаС слуТат для эксплуатации. Π Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Ρ‹ ΡƒΠΊΠ°Π·Ρ‹Π²Π°ΡŽΡ‚ Π½Π° Ρ‚ΠΎ, Ρ‡Ρ‚ΠΎ, хотя остановка нСпосрСдствСнного врСдоносного модуля Π±Ρ‹Π»Π° достигнута благодаря ΠΎΠΏΠ΅Ρ€Π°Ρ‚ΠΈΠ²Π½Ρ‹ΠΌ дСйствиям ΠΊΠΎΠΌΠ°Π½Π΄ бСзопасности, Π·Π°ΠΊΡ€Π΅ΠΏΠ»Π΅Π½ΠΈΠ΅ инфраструктуры ΠΈ Ρ‚Π°ΠΊΡ‚ΠΈΠΊ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ° создаСт постоянныС риски, Ρ‚Ρ€Π΅Π±ΡƒΡŽΡ‰ΠΈΠ΅ Π±Π΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ³ΠΎ наблюдСния для прСдотвращСния Π±ΡƒΠ΄ΡƒΡ‰ΠΈΡ… дСйствий.