#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ выявил угрозу, исходящую от вредоносного ПО, доставляемого через файлы ярлыков Windows (.LNK), где взаимодействие с пользователем запускает команды PowerShell, выполняющие вредоносную полезную нагрузку. Атака использует скрытый экземпляр conhost.exe чтобы извлечь и открыть поддельный PDF-файл при удалении вредоносных библиотек DLL в папку "NuGet", включая Moq.dll , который использует методы, позволяющие избежать обнаружения путем исправления законных функций Windows. Вредоносное ПО работает как троян удаленного доступа, способный извлекать данные в облачное хранилище и поддерживать закрепление за счет регулярной связи с серверами управления.
-----

Текущие угрозы, создаваемые вредоносным ПО, доставляемым через файлы ярлыков Windows (.LNK), иллюстрируются недавним анализом цепочки заражения вредоносным ПО LNK, который иллюстрирует методы его выполнения и доставку вредоносной полезной нагрузки. Когда пользователи взаимодействуют с вредоносным файлом LNK, он якобы открывает поддельный PDF-файл при выполнении команд PowerShell, которые незаметно работают в фоновом режиме.

При выполнении LNK запускает скрипт PowerShell, который инициирует безголовый экземпляр conhost.exe чтобы избежать обнаружения пользователем. Он считывает его содержимое, чтобы найти и извлечь встроенный PDF-файл, который затем сохраняется на диске и открывается, чтобы ввести пользователя в заблуждение относительно безопасности файла LNK. Далее вредоносное ПО создает папку с именем "NuGet", из которой извлекает вредоносные библиотеки динамических ссылок (DLL-библиотеки) из ZIP-файла, впоследствии удаляя ZIP-файл, чтобы оставаться незаметным.

Суть этой атаки заключается в использовании odbcconf.exe — законного процесса Windows — в качестве метода запуска вредоносного Moq.dll . Эта библиотека DLL использует сложные методы для обхода функций безопасности. Он исправляет функцию AmsiScanBuffer для amsi.dll чтобы предотвратить обнаружение с помощью интерфейса проверки на наличие вредоносных программ Windows (AMSI) и дополнительно отключить отслеживание событий для ведения журнала Windows (ETW) с помощью аналогичного байтового исправления функции EtwEventWrite в ntdll.dll .

Библиотека DLL указывает на то, что она обладает мощными возможностями, действуя в основном как троян удаленного доступа (RAT). Он включает в себя методы для создания закрепления с помощью команд PowerShell, привязанных к explorer.exe , обеспечивая его выполнение при входе пользователя в систему, одновременно управляя его функциональностью управления (C2). Вредоносное ПО предназначено для хранения и кодирования команд таким образом, чтобы скрыть их истинные намерения, облегчая связь с инфраструктурой злоумышленника.

При первом запуске полезная нагрузка собирает критически важные системные данные, включая информацию об установленном антивирусном программном обеспечении и операционной системе, шифрует эти данные и передает их злоумышленнику. Для последующего выполнения вредоносное ПО переходит в командный цикл, регулярно связываясь с серверами C2 для получения дальнейших инструкций. Среди его вредоносных функций - функция загрузки в Dropbox, позволяющая осуществлять эксфильтрацию файлов со взломанного компьютера в учетную запись облачного хранилища, тем самым способствуя краже информации.

Этот случай демонстрирует, как киберпреступники используют, казалось бы, безобидные файлы для распространения сложного, многогранного вредоносного ПО, подчеркивая важность бдительности в отношении таких угроз и необходимость принятия надежных мер безопасности.

#ParsedReport #CompletenessLow
24-09-2025

AI vs. AI: Detecting an AI-obfuscated phishing campaign

https://www.microsoft.com/en-us/security/blog/2025/09/24/ai-vs-ai-detecting-an-ai-obfuscated-phishing-campaign/

Report completeness: Low

Victims:
Email users

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 1
Domain: 1

Soft:
Microsoft Defender, Office 365, Microsoft Exchange, Microsoft Edge, Twitter

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Система анализа угроз Microsoft выявила кампанию фишинга с использованием учетных данных, сгенерированную искусственным интеллектом, внедренную в SVG-файл для сокрытия злонамеренных намерений. В атаке была задействована скомпрометированная Учетная запись эл. почты малого бизнеса, использующая электронные письма с самостоятельным адресом, чтобы избежать обнаружения и имитировать законные уведомления об обмене файлами, чтобы обманом заставить получателей поделиться учетными данными. Хотя была отмечена сложность полезных данных, генерируемых искусственным интеллектом, это существенно не меняет характеристик, на которые полагаются системы безопасности при обнаружении угроз фишинга.
-----

Microsoft Threat Intelligence недавно выявила и предотвратила кампанию фишинга учетных данных, в ходе которой использовались передовые методы, включающие код, сгенерированный искусственным интеллектом, для сокрытия вредоносной полезной нагрузки. Кампания использовала сложный подход, внедрив свое вредоносное поведение в SVG-файл, который был пропитан деловым жаргоном и синтетической структурой, предназначенной для маскировки ее истинных намерений. Анализ Microsoft Security Copilot определил, что сложность и многословие кода намекают на его происхождение от искусственного интеллекта, предполагая, что это не был типичный код, созданный человеком, из-за его сложного дизайна и ограниченной практической полезности.

Кампания по фишингу, обнаруженная 18 августа, включала использование скомпрометированной Учетной записи эл. почты малого бизнеса для рассылки фишингов электронных писем с credential-stealing. Примечательная тактика включала использование метода самоадресации электронной почты, при котором адреса отправителя и получателя были идентичны, в то время как фактические адреса адресатов были скрыты в поле BCC. Этот метод потенциально позволял злоумышленникам обходить основные меры обнаружения. Содержание этих электронных писем было сфабриковано таким образом, чтобы походить на законные уведомления об обмене файлами, тем самым повышая вероятность успешного обмана получателей с целью разглашения их учетных данных.

Хотя использование искусственного интеллекта для обфускации полезной нагрузки отражает заметный прогресс в изощренности злоумышленников, крайне важно признать, что искусственный интеллект принципиально не изменяет характеристики или поведение, от которых зависят системы безопасности при обнаружении угроз фишинга. Хотя код, сгенерированный искусственным интеллектом, может обладать повышенной сложностью и усовершенствованным синтаксисом, он по-прежнему функционирует в рамках тех же поведенческих рамок, что и традиционные атаки фишинга, созданные человеком. В результате меры безопасности остаются применимыми, несмотря на эти новые методы.

Microsoft Defender XDR предлагает широкий спектр возможностей обнаружения для мониторинга таких возникающих угроз и реагирования на них на различных платформах, включая конечные точки и приложения электронной почты.

#ParsedReport #CompletenessMedium
24-09-2025

Inside Vietnamese Threat Actor Lone Nones Copyright Takedown-Spoofing Campaign

https://cofense.com/blog/inside-vietnamese-threat-actor-lone-none-s-copyright-takedown-spoofing-campaign

Report completeness: Medium

Actors/Campaigns:
Lone_none
Ducktail

Threats:
Pxa_stealer
Purelogs
Xworm_rat
Xenorat
Purehvnc_tool

Geo:
Korean, Chinese, French, German, Vietnamese

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 4
File: 5
Command: 1
Path: 2
Url: 2
Coin: 8
Registry: 1

Soft:
Telegram, Microsoft Office, Dropbox, Windows registry

Wallets:
tron

Crypto:
bitcoin, dogecoin, ethereum, litecoin, primecoin, ripple, tezos, solana

Algorithms:
aes, base64

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка Lone None проводит сложные кампании на тему авторских прав, которые используют социальную инженерию для распространения вредоносного ПО, в частности, Lone None Stealer (PXA Stealer), который нацелен на кражу криптовалюты с помощью манипуляций с буфером обмена. Их техническая доставка включает в себя вредоносные ссылки по электронной почте, ведущие к архивным файлам в файлообменных сервисах, содержащим как законные документы, так и замаскированные Вредоносные файлы, включая библиотеку DLL, которая расшифровывает дополнительные полезные нагрузки. Вредоносное ПО заменяет скопированные криптовалютные адреса кошельком злоумышленника и использует Telegram-бота для уведомления, что указывает на стратегическую эволюцию тактики, направленную на максимизацию потенциала кражи.
-----

Хакерская группировка Lone None проводит сложные кампании на тему авторских прав, используя тактику социальной инженерии для обмана юридических фирм и распространения вредоносного ПО, специально нацеленного на пользователей с заявлениями о нарушении авторских прав. Одним из заметных вредоносных ПО, появляющихся в результате этих кампаний, является Lone None Stealer, также известный как PXA Stealer, который предназначен для кражи криптовалюты с помощью манипуляций с буфером обмена. Электронные письма актора часто содержат уведомления об удалении, которые, по-видимому, исходят от законных юридических лиц, но эти заявления сфабрикованы, ссылаются на реальные аккаунты Facebook, принадлежащие целевым получателям, и распространяются по меньшей мере на десяти разных языках.

Технический механизм доставки кампаний Lone None включает встроенные ссылки в электронные письма, ведущие к архивным файлам, размещенным на популярных файлообменных сервисах, таких как Dropbox и MediaFire. Эти архивные файлы содержат смесь законных документов (PDF-файлы и форматы Office) и замаскированных Вредоносных файлов, включая библиотеку DLL, которая функционирует как установщик Python. Эта вредоносная библиотека DLL использует утилиту Windows certutil.exe для расшифровки дальнейшей вредоносной полезной нагрузки, замаскированной несоответствиями расширений файлов, что облегчает конечную доставку и выполнение полезной нагрузки.

В Lone None Stealer есть функциональность, направленная на замену адресов криптовалюты, скопированных в буфер обмена, адресом кошелька злоумышленника, тем самым облегчая кражу средств. Он использует регулярные выражения для идентификации криптовалютных адресов и информирует злоумышленника через Telegram-бота, как только происходит замена. Эта тактика отражает эволюционирующую изощренность поведения вредоносного ПО по мере того, как кампании продолжают развиваться.

Несмотря на технологический прогресс в области доставки и функциональности вредоносного ПО, тактика социальной инженерии, используемая с помощью электронных писем, остается в основном неизменной. Продолжающееся использование подмены юридических фирм и соответствующих личных ссылок, по-видимому, повышает эффективность атак. Зависимость кампании от Telegram для связи командования и контроля (C2) и растущая сложность методов использования вредоносного ПО предполагают постоянную угрозу со стороны этого актора, нацеленного на уклонение от обнаружения и максимизацию потенциала кражи с помощью целенаправленных методов социальной инженерии. Это свидетельствует о резкой эволюции их тактики, потенциально указывающей на стратегический сдвиг в сторону более продвинутых и адаптированных методов распространения вредоносного ПО.

#ParsedReport #CompletenessLow
24-09-2025

Securing LLM Superpowers: The Invisible Backdoors in MCP

https://www.netskope.com/blog/securing-llm-superpowers-the-invisible-backdoors-in-mcp

Report completeness: Low

Victims:
Customer service operations, Security operations, Mcp tool ecosystem

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1195, T1204, T1213, T1565.001, T1566.002

IOCs:
File: 1

Algorithms:
base64

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ландшафт угроз для инструментов командной платформы машинного обучения (MCP) эволюционировал благодаря новым методам атак, таким как косвенное быстрое внедрение и атаки с использованием ковра. Косвенное быстрое внедрение встраивает вредоносные команды в безопасные данные, что приводит к непреднамеренному выполнению агентами MCP, создавая такие риски, как утечка данных. Атаки с использованием "ковриков" предполагают замену надежных инструментов скомпрометированными версиями, что позволяет злоумышленникам манипулировать обновлениями и функциональными возможностями бэкдора без прямого ущерба для базовой модели.
-----

Ландшафт угроз, связанных с инструментами командной платформы машинного обучения (MCP), все чаще документируется с появлением новых направлений атак, таких как косвенное быстрое внедрение и "подтягивание". Косвенное оперативное внедрение представляет собой особенно коварный метод, при котором злоумышленники внедряют вредоносные инструкции в кажущиеся безобидными данные, которые обрабатываются этими инструментами, в отличие от методов прямого оперативного внедрения, при которых злоумышленники непосредственно вводят вредоносные команды в систему. Сложность этой атаки заключается в том, как она использует источники данных, которые обрабатывает Large Language Model (LLM), без прямого взаимодействия с самой моделью.

В типичном сценарии злоумышленник может отправить убедительно составленное электронное письмо в службу поддержки клиентов, внедрив вредоносные инструкции в текст электронного письма, Маскировку под законное сообщение. Когда MCP-агент службы получает это электронное письмо через свое промежуточное программное обеспечение, система невольно выполняет встроенные вредоносные команды. Это может привести к серьезным последствиям, включая утечку данных или несанкционированные действия, как инструменты MCP называют скрытые инструкции, что создает проблемы для мониторинга и обеспечения безопасности.

Для снижения рисков, связанных с непрямым оперативным внедрением, было предложено несколько стратегий защиты. Одной из эффективных мер является удаление несущественного внешнего текста из контекстных окон, которые сохраняются с течением времени. Кроме того, выделение внешних входных данных в буферы с коротким сроком службы может предотвратить задержку потенциально опасной полезной нагрузки при выполнении различных запросов. Применение "контекстного TTL" (time-to-live) также может автоматически аннулировать срок действия любых введенных данных после их немедленного использования, снижая вероятность использования в последующих взаимодействиях.

Кроме того, в отчете освещаются атаки с использованием поддельных данных, при которых надежные инструменты могут быть заменены скомпрометированными версиями путем манипулирования механизмами обновления или реестрами. Этот метод позволяет злоумышленникам скрытно превращать надежные решения в средства для вредоносной деятельности без ущерба для базовой модели. В этом случае даже обычная функция инструмента, такая как сканирование файла на наличие вредоносного ПО, может быть нарушена, если инструмент был обновлен до бэкдорной версии.

Общая проблема, связанная с этими векторами атак, заключается в том, что они позволяют злоумышленникам влиять на поведение LLMS и инструментов MCP, манипулируя входными данными и инфраструктурой, которая их поддерживает, вместо того, чтобы напрямую компрометировать модели. Следовательно, любой источник данных — электронные письма, документы, веб—сайты или сообщения в чате - потенциально может содержать вредоносные инструкции, которые LLM может выполнять без проверки, что делает необходимым совершенствование методов обеспечения безопасности в ответ на эти сложные угрозы.

#ParsedReport #CompletenessHigh
24-09-2025

The Evolution of RomCom

https://www.attackiq.com/wp-content/uploads/2025/09/romcom-report.pdf

Report completeness: High

Actors/Campaigns:
Void_rabisu (motivation: cyber_espionage, financially_motivated)

Threats:
Romcom_rat
Underground_ransomware
Cuba_ransomware
Meltingclaw
Shadyhammock
Spear-phishing_technique
Damascened_peacock
Com_hijacking_technique
Peapod
Snipbot
Credential_harvesting_technique
Emotet
Pid_spoofing_technique
Nltest_tool
Shadow_copies_delete_technique
Hancitor
Proxyshell_vuln
Cobalt_strike_tool
Mimikatz_tool
Netstat_tool
Vmprotect_tool

Victims:
Government, Defense, Humanitarian, Healthcare, Finance, Telecommunications, Technology, Political figures, Military personnel, Nato members, have more...

Industry:
Healthcare, Telco, Government, E-commerce, Military, Financial

Geo:
Russian, United kingdom, Ukrainian, Russia, Russian federation, Hungarian, Montenegro, Poland, Canada, Hungary, Ukraine

TTPs:
Tactics: 5
Technics: 32

IOCs:
File: 13
Registry: 4
Hash: 7
Email: 1

Soft:
Component Object Model, Windows COM, Microsoft Edge, Active Directory, Microsoft Exchange, PsExec, Windows Registry

Algorithms:
salsa20, 3des, zip, rsa-1024

Functions:
Windows, Get-Volume

Win API:
SeDebugPrivilege, IsDebuggerPresent, NtQuerySystemInformation, GetUserDefaultLCID, GetLocaleInfoW, CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, FindFirstFileW, FindNextFileW, have more...

Languages:
powershell, rust, lua

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RomCom - это сложный троян удаленного доступа и программа-вымогатель, приписываемая российскому злоумышленнику UAT-5647, нацеленный на организации, вовлеченные в конфликт на Украине, и критически важные сектора национальной безопасности. Для закрепления он использует перехват COM-модели объектов (COM) и эволюционировал в нескольких версиях, расширяя свои шпионские возможности и интегрируясь с группами программ-вымогателей для тактики двойного вымогательства. Вредоносное ПО инициирует атаки с помощью spearphishing или поврежденных MSI-файлов, используя такие методы, как Передача инструментов из внешней сети для доставки полезной нагрузки и разведки, а также внедряя надежное шифрование, удаляя shadow copies томов и изменяя конфигурации сервера, чтобы затруднить восстановление.
-----

RomCom - это сложное семейство троянов удаленного доступа (RAT) и программ-вымогателей, которое постоянно развивается с момента своего появления в мае 2022 года. Вредоносное ПО, приписываемое российскому злоумышленнику, известному как UAT-5647 или Storm-0978, имеет историю атак на правительственные учреждения, военный персонал и гуманитарные организации, вовлеченные в конфликт на Украине, а также сектора, критически важные для национальной безопасности, включая оборону и технологии. Ландшафт угроз RomCom подчеркивает его универсальность как в отношении спонсируемого государством шпионажа, так и в отношении киберпреступности, мотивированной финансовыми соображениями.

Управляемый RomCom team, RAT в первую очередь использует перехват объектной COM-модели (COM) для обеспечения закрепления. Этот метод позволяет вредоносному ПО использовать COM-инфраструктуру Windows, перенаправляя законные процессы для выполнения своей полезной нагрузки. RAT претерпел различные модификации — по меньшей мере пять различных версий, каждая из которых повышала его модульность, изощренность и шпионские возможности. Примечательно, что она расширяет свою деятельность за счет интеграции с такими группами вымогателей, как Cuba и Industrial Spy, которые использовали тактику двойного вымогательства.

RomCom был задействован в более широких атаках, таких как "кампания AstraChat", которая включала внедрение вредоносных компонентов в легальные версии программного обеспечения для скрытой компрометации систем. Начальные стадии таких атак часто включают загрузку полезных данных с помощью таких средств, как электронные письма с spearphishing или поврежденные файлы MSI, за которыми следуют действия по разведке, которые собирают системную и сетевую информацию для эксфильтрации данных.

Технические подробности RomCom иллюстрируют его способность продолжать адаптировать свои методы. Например, на этапах своей эксплуатации RomCom использует тактику, методы и процедуры (TTP), такие как Передача инструментов из внешней сети для управления доставкой полезной нагрузки и выполнения команд разведки для сбора важных подробных системных данных. Кроме того, процедуры шифрования вредоносного ПО используют надежные алгоритмы, и оно способно удалять shadow copies томов и изменять конфигурации серверов, чтобы расширить свое воздействие, препятствуя при этом усилиям по восстановлению после атаки.

#ParsedReport #CompletenessMedium
25-09-2025

Botnet Loader-as-a-Service Infrastructure Distributing RondoDoX and Mirai Payloads

https://www.cloudsek.com/blog/botnet-loader-as-a-service-infrastructure-distributing-rondodox-and-mirai-payloads

Report completeness: Medium

Threats:
Rondodox
Mirai
Supply_chain_technique

Victims:
Soho routers, Iot devices, Enterprise applications, Enterprises, Corporate networks, Edge devices

Industry:
Iot

CVEs:
CVE-2019-17574 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2019-16759 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2012-1823 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 5
Technics: 8

IOCs:
File: 3
IP: 13
Hash: 592

Soft:
WebLogic, WordPress, vBulletin, busybox, Linux, curl

Algorithms:
sha256

Functions:
Monitor

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет "Загрузчик как услуга" распространяет вредоносное ПО RondoDoX, Mirai и Morte в основном через маршрутизаторы SOHO, устройства интернета вещей и корпоративные приложения, используя слабые учетные данные и устаревшие CVE. Кампания показала рост активности на 230%, используя передовые оперативные тактики, такие как уязвимости для внедрения команд с помощью неубранных параметров сообщений, приведенных в соответствие с методами MITRE ATT&CK T1190 и T1059. Воздействие ботнет включает серьезные сбои в надежности сети, потенциальную эксфильтрацию данных и риски, связанные с уязвимостями supply chain.
-----

Недавнее расследование CloudSEK выявило ботнет "Загрузчик как услуга", который распространял вредоносное ПО RondoDoX, Mirai и Morte в основном через маршрутизаторы SOHO, устройства Интернета вещей и корпоративные приложения. Эта кампания использует различные уязвимости, включая слабые учетные данные, не обработанные входные данные и устаревшие распространенные уязвимости и воздействия (CVE). Примечательно, что наблюдался значительный всплеск активности, причем в период с июля по август 2025 года наблюдался рост на 230%, что указывает на быструю эскалацию усилий по вооружению криптомайнинга, распределенных атак типа "Отказ в обслуживании" (DDoS) и вторжений в корпоративные сети.

Ботнет использует сложную инфраструктуру командования и контроля, демонстрируя передовую оперативную тактику. Злоумышленники используют уязвимости при внедрении команд, в частности, с помощью не обработанных параметров POST в веб-приложениях. Методы, описанные в MITRE ATT&CK framework, в частности T1190 (использование общедоступных приложений) и T1059 (Интерпретатор командной строки и сценариев - sh), используются там, где злоумышленники вводят команды оболочки для выполнения загрузок непосредственно на устройства. Аналитики рекомендуют поискать в журналах веб-серверов и прокси-серверов подозрительные записи, которые могут указывать на такое использование.

Примечательно, что эта кампания использует ранее использовавшиеся CVE, что указывает на тенденцию, когда различные ботнет последовательно атакуют аналогичные уязвимости. Факты указывают на агрессивную кампанию с быстрыми изменениями в инфраструктуре, что усложняет усилия по обнаружению и смягчению последствий. В связи со значительным увеличением числа атак есть все основания ожидать, что злоумышленники расширят сферу своей деятельности в отношении уязвимых устройств в течение следующих шести месяцев.

Операционное воздействие такого ботнет является серьезным, влияя как на отдельные предприятия, так и на надежность сети в целом. Скомпрометированные устройства не только потребляют значительную пропускную способность сети, но и способны участвовать в DDoS-атаках, серьезно нарушая бизнес-операции. Дополнительные риски связаны с потенциальной эксфильтрацией данных и перемещением внутри компании в корпоративных сетях, что может привести к краже интеллектуальной собственности и внедрению Ransomware. Существуют также опасения по поводу уязвимостей supply chain, особенно в результате систематической эксплуатации маршрутизаторов и атак с использованием NTP-серверов, которые могут поставить под угрозу важные по времени операции на предприятиях. В целом, этот меняющийся ландшафт угроз требует повышенной бдительности и упреждающих мер безопасности для противодействия растущей сложности операций ботнет.

#ParsedReport #CompletenessLow
25-09-2025

Massive npm infection: the Shai-Hulud worm and patient zero

https://securelist.com/shai-hulud-worm-infects-500-npm-packages-in-a-supply-chain-attack/117547/

Report completeness: Low

Threats:
Shai-hulud
Supply_chain_technique
Trufflehog_tool

Victims:
Software development, Open source ecosystem, Npm packages, Crowdstrike libraries

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.004, T1059.007, T1105, T1195, T1204.002, T1526, T1552

IOCs:
File: 6
Hash: 2

Soft:
Linux, macOS, Node.js

Algorithms:
base64

Languages:
javascript

Platforms:
apple

Links:
have more...
https://docs.github.com/en/actions/concepts/workflows-and-actions/workflows
https://docs.github.com/en/repositories/creating-and-managing-repositories/duplicating-a-repository
https://github.com/trufflesecurity/trufflehog