#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chart: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
11 марта 2026 года Stryker подвергся кибератаке, атрибутированной с командой Handala Hack, связанной с иранскими интересами, которая использовала компрометацию идентификационных данных для злоупотребления административными возможностями Microsoft Intune, что привело к значительным сбоям в работе без развертывания традиционного вредоносного ПО. Злоумышленники выполнили удаленную очистку почти 80 000 устройств, выявив уязвимости в системах идентификации и управления устройствами. Этот инцидент подчеркивает растущую изощренность киберугроз, когда надежные инструменты могут быть использованы в качестве оружия, создавая риски для организаций, вовлеченных в геополитический контекст.
-----

11 марта 2026 года Stryker столкнулась со значительной кибератакой, которая нарушила работу среды Microsoft по всему миру, подчеркнув смещение векторов атак с традиционного вредоносного ПО на использование надежных инструментов администрирования. Stryker не сообщил о каких-либо признаках вымогательства или вредоносного ПО; вместо этого инцидент, по-видимому, связан с компрометацией личных данных, за которой последовало злоупотребление административными возможностями Microsoft Intune, что позволило злоумышленникам нанести значительный ущерб, используя законные команды.

Инцидент первоначально привел к широкомасштабным сбоям, особенно затронувшим системы обработки заказов, производства и доставки. В публичных отчетах указывалось, что во время атаки могло быть удалено около 80 000 устройств, хотя злоумышленники, связанные с командой Handala Hack, взяли на себя ответственность и предложили еще более высокие цифры. Системы компрометации привели к операционному хаосу, однако Stryker заверила клиентов, что ее медицинские продукты и услуги для пациентов остались незатронутыми, что указывает на разделение корпоративной ИТ-среды и среды медицинских продуктов.

Примечательно, что атака не была обусловлена традиционным развертыванием вредоносного ПО; вместо этого она использовала законные функции Microsoft Intune, в частности возможности удаленной очистки, чтобы вызвать обширные сбои в работе устройств. Этот метод подчеркивает важный урок для организаций: даже при отсутствии вредоносного ПО компрометация систем идентификации и управления может привести к разрушительным последствиям. Растущая изощренность атак, примером которых является этот инцидент, указывает на то, что злоумышленники могут использовать надежные инструменты для нарушения работы, не оставляя следов обычного вредоносного ПО.

Команда Handala Hack, которая, как полагают, связана с государственными интересами Ирана, заявила, что атака была ответной, возможно, связанной с участием Stryker в оборонной сфере и приобретением ею израильских компаний. Это говорит о том, что организации, связанные с геополитическими событиями, особенно те, которые связаны с инициативами США или Израиля, могут сталкиваться с повышенными рисками.

В ответ на атаку Stryker инициировал процессы восстановления, полагаясь при этом на ручные обходные пути из-за обширных сбоев в работе системы. Этот инцидент имеет более широкие последствия для Кибербезопасности, особенно в отношении того, как организации управляют своими системами идентификации и управления устройствами. В нем подчеркивается необходимость надежного надзора за привилегированными учетными записями, постоянного мониторинга необычных административных действий и планирования устойчивости, гарантирующего, что организации смогут поддерживать непрерывность работы даже при значительных компрометациях.

Этот инцидент служит предупреждением для всех предприятий, использующих аналогичные платформы управления, поскольку он выявляет уязвимости, которые выходят за рамки сектора здравоохранения. Организации должны оценить свои меры безопасности, особенно в отношении структур управления конечными точками, таких как Microsoft Intune, готовясь к сценариям, в которых доверенные административные функции могут быть использованы для деструктивных последствий.

#ParsedReport #CompletenessHigh
18-03-2026

The SOC Files: Time to Sapecar. Unpacking a new Horabot campaign in Mexico

https://securelist.com/horabot-campaign/119033/

Report completeness: High

Threats:
Horabot_botnet
Lumma_stealer
Amadey
Polymorphism_technique
Metamorfo
Tinba

Victims:
Financial services, Bank customers, Email users in mexico

Industry:
Financial

Geo:
Mexico, Spanish, Brazilian, Portuguese

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.001, T1059.007, T1060, T1070.004, T1071.001, T1082, T1095, T1105, have more...

IOCs:
Url: 19
Path: 1
File: 3
Hash: 3
Domain: 1
IP: 1

Soft:
OpenSSL

Algorithms:
rc4, base64, xor

Functions:
createElement, setAttribute, getElementsByTagName, decode_str

Win API:
CryptDeriveKey, CryptDecrypt, VirtualAlloc

Languages:
javascript, python, powershell, delphi, autoit

Platforms:
intel

YARA: Found

Links:
https://github.com/abalad/Delphi\_Remote\_Access\_PC

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Horabot нацелена на пользователей в Мексике, используя сложную цепочку атак, включающую банковский троян и передовые методы уклонения. Первоначальная компрометация происходит, когда пользователи выполняют вредоносную команду, приводящую к загрузчику, который извлекает запутанный JavaScript. Банковский троянец на базе Delphi, известный как Casbaneiro или Zusy, использует устаревшие библиотеки OpenSSL для защищенной связи и шифр XOR с отслеживанием состояния для шифрования, а также собирает Адреса эл. почты и отображает запросы на фишинг для ввода банковских учетных данных, что указывает на значительный риск, связанный с этой развивающейся угрозой.
-----

Кампания Horabot представляет собой сложную киберугрозу, нацеленную в первую очередь на пользователей в Мексике посредством сложной цепочки атак, включающей банковский троян, механизмы распространения электронной почты и передовые методы уклонения. Кампания характеризуется активной и эволюционирующей тактикой, использующей для выполнения социальную инженерию, PowerShell и polymorphic вредоносные скрипты.

Начальная точка компрометации возникает, когда пользователь следует инструкциям по выполнению вредоносной команды через диалоговое окно запуска, которое действует как загрузчик. Этот загрузчик впоследствии извлекает и выполняет JavaScript, размещенный в домене злоумышленника. Исходный VBScript демонстрирует polymorphism на стороне сервера, что означает, что он генерирует немного разные версии при каждом доступе, сохраняя при этом основные функциональные возможности, такие как сбор информации и доставка дополнительной полезной нагрузки.

После установки вредоносное ПО выполняет обширную разведку, собирая системную информацию (IP-адрес, имя хоста, имя пользователя, версию операционной системы) и связываясь с сервером управления (C2). Первый этап приводит к дальнейшим полезным нагрузкам, включая исполняемый файл AutoIt, который выполняет сложный запутанный код, содержащий различные вредоносные процедуры, и обрабатывает закрепление путем создания вредоносного файла LNK в папке автозагрузки.

В основе атаки лежит банковский троян на базе Delphi, известный под различными псевдонимами, такими как Casbaneiro и Zusy. Это вредоносное ПО встраивает устаревшие библиотеки OpenSSL для управления HTTPS-коммуникациями и использует шифр XOR-вычитания с отслеживанием состояния для шифрования строк и сообщений, гарантируя, что его взаимодействие с сервером C2 остается скрытым. Его конфигурация извлекается с помощью защищенных запросов, что еще больше усложняет усилия по обнаружению.

Вредоносное ПО обладает возможностями отображения фишингов -запросов для извлечения банковских учетных данных, используя соответствующие культуре комментарии к программированию на бразильском португальском, указывающие на географические и языковые связи операторов. Компонент spreader этого вредоносного ПО предназначен для сбора Адресов эл. почты с помощью MAPI, рассылки фишинг-писем с вредоносными вложениями и управления эксфильтрацией данных.

Описанные функциональные возможности подчеркивают значительный риск Horabot's, поскольку на протяжении всего его жизненного цикла используются эволюционирующие методы и обширная система запутывания. Эта кампания иллюстрирует современные угрозы в киберпространстве, что делает обнаружение и реагирование критически важными для потенциальных жертв.

#ParsedReport #CompletenessHigh
18-03-2026

Katana: a Mirai variant that compiles its own rootkit on Android TV set-top boxes

https://github.com/deepfield/public-research/blob/main/katana/report.md

Report completeness: High

Actors/Campaigns:
Ddos-for-hire

Threats:
Mirai
Residential_proxy_technique
Kimwolf
Putty_tool
Tcpstomp_technique
Udpflood_technique
Httpflood_technique
Pandora
Bigpanzi
Dns_hijacking_technique
Vo1d
Badbox
Supply_chain_technique
Cobalt_strike_tool
Asyncrat
Xworm_rat
Remcos_rat
Rhadamanthys
Jackskid
Dropbear_tool
Nmap_tool
Ncat_tool
Netcat_tool
Socat_tool
Screencap

Victims:
Android tv set top boxes, Residential proxy services users, Cloud service providers, Game hosting, Web hosting, Telecommunications

Industry:
Software_development, Media, Transport, Telco, Financial, Iot

Geo:
Seychelles, Latvian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1027, T1036.005, T1037.004, T1046, T1053.003, T1057, T1059.004, T1070.004, T1071.001, have more...

IOCs:
IP: 8
Domain: 7
File: 13
Hash: 11

Soft:
Android, Google Play, Busybox, FiveM, CitizenFX, MySQL, TeamSpeak, Chrome, Discord, OpenSSL, have more...

Algorithms:
rc4, sha256, xxtea, xor

Functions:
getEndpoints, getConfiguration

Win Services:
bits

Languages:
python, perl, ruby

Platforms:
arm, x64, x86, mips

Links:
https://github.com/deepfield/public-research/blob/main/katana/detection/katana.yar
have more...
https://github.com/deepfield/public-research/blob/main/katana/detection

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет Katana, разновидность вредоносного ПО Mirai, в первую очередь нацелен на телевизионные приставки Android TV, использующие уязвимости ADB для несанкционированного доступа. Он оснащен скомпилированным на устройстве руткитом ядра в формате APK, обеспечивающим закрепление и скрытность, и может генерировать скорость до 150 Гбит / с при DDoS-атаках с использованием одиннадцати различных методов. Его инфраструктура командования и контроля зашифрована, что облегчает ротацию доменов и возможности самоочистки, отражая эволюцию в области изощренности киберугроз.
-----

Katana - это разновидность вредоносного ПО Mirai, нацеленного на уязвимые телевизионные приставки Android, используя уязвимости ADB. Это обеспечивает несанкционированный доступ через службы residential proxy без сложных эксплойтов. По оценкам, ботнет состоит по меньшей мере из 30 000 активных ботов, способных генерировать атаки со скоростью до 150 Гбит/с. Он включает в себя DDoS-бота и руткит ядра, скомпилированный на устройстве, что повышает закрепление и скрытность. Вредоносное ПО подключается к порту ADB (5555) для уничтожения несанкционированных процессов, предотвращая контроль над конкурирующим ботнет. Katana отключает более 100 системных утилит и переназначает порты, чтобы затруднить взаимодействие владельца и криминалистического анализа. Инфраструктура C2 зашифрована пользовательским 5-ступенчатым шифром, что позволяет осуществлять ротацию домена без повторного развертывания. Он может динамически обновлять домены и удалять артефакты закрепления в течение трех дней. Katana использует одиннадцать методов DDoS-атаки, включая асинхронные протоколы, адаптированные для конкретных целей. Данные свидетельствуют о том, что компоненты вредоносного ПО могут использовать разработку с помощью искусственного интеллекта, в то время как основные функции остаются разработанными вручную для обеспечения точности.

#ParsedReport #CompletenessHigh
18-03-2026

Iranian Botnet Exposed via Open Directory: 15-Node Relay Network and Active C2

https://hunt.io/blog/iran-botnet-operation-open-directory

Report completeness: High

Threats:
Paqet_tool
Mhddos_tool
Synflood_technique
Udpflood_technique

Victims:
Game server hosting, Internet infrastructure, General servers

Industry:
Financial, Telco

Geo:
Finland, Iranian, London, Iran

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1036, T1059.004, T1059.006, T1071.001, T1078, T1090, T1095, T1105, have more...

IOCs:
Domain: 13
File: 1
IP: 20
Hash: 3

Soft:
FiveM

Algorithms:
sha256, aes

Languages:
c_language, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавнее исследование выявило иранский ботнет с 15-узловой ретрансляционной сетью, нацеленной на DDoS-атаки и уклонение от цензуры, использующий серверы в Финляндии и Иране. Бот использует сценарий массового развертывания на основе SSH, "ohhhh.py ," для доступа к машинам-жертвам и компиляции своих инструментов с использованием компилятора GCC, что позволяет избежать обнаружения. Кроме того, ботнет использует туннелирование KCP для маршрутизации трафика и может предлагаться в качестве услуги, что указывает на коммерческий мотив вместо государственного спонсорства.
-----

Недавнее исследование Кибербезопасности выявило сложный иранский ботнет, характеризующийся 15-узловой ретрансляционной сетью, предназначенной для DDoS-атак и уклонения от цензуры. Эта инфраструктура была обнаружена через открытый каталог, раскрывающий ряд операционных деталей.

Ботнет состоит из серверов, размещенных по всей Финляндии и Ирану, зарегистрированных у иранского интернет-провайдера и европейского облачного провайдера. Общий отпечаток сертификата TLS позволил исследователям точно определить в общей сложности 15 серверов, семь на Hetzner в Финляндии и семь на иранских интернет-провайдерах. Ботнет использует продвинутую технологию развертывания, при которой он компилирует инструменты DDoS непосредственно на компьютерах-жертвах с помощью компилятора GCC, переименовывая бот-клиент в "hex". Этот метод помогает избежать обнаружения двоичных файлов, что затрудняет программному обеспечению безопасности выявление вредоносных действий.

Методология атаки включает сценарий массового развертывания на основе SSH, идентифицированный как ohhhh.py , который автоматизирует открытие до 500 одновременных SSH-сеансов. Этот скрипт запрашивает учетные данные в формате host:порт\|имя пользователя\|пароль, чтобы получить доступ к компьютерам-жертвам, где он впоследствии компилирует и запускает бот-клиент. Подробные журналы Истории команды BASH фиксировали этапы работы этого ботнет: первоначальную настройку туннелей для обхода цензуры, переход к инструментам для DDoS-атак на живые цели и переход к постоянной разработке ботнет. Примечательно, что одна и та же инфраструктура служит двойным целям — запускает как трафик в обход цензуры, так и инструменты для атак.

Туннельный компонент атаки использует KCP (протокол туннелирования KCP) для облегчения маршрутизации трафика, с файлом конфигурации, указывающим настройки, предназначенные для обхода национальных систем фильтрации. Наличие веб-инструмента управления прокси-серверами сигнализирует о коммерческом аспекте ботнет, предполагая, что он может быть продан в качестве услуги другим лицам в Иране.

Этап разработки ботнет включал переход от ручных DDoS-атак к созданию более надежной постоянной возможности. Для доработки процесса развертывания были использованы различные скрипты на Python, включая функциональность для постоянного подключения и управления ботами. Клиент-бот, на который указывают восстановленные исходные конструкции с различными командами, позволяет регистрировать вновь зараженные хосты и включает функции автоматического переподключения, повышающие его устойчивость к перебоям в работе сервера.

Такие показатели, как использование услуг иранского интернет-провайдера и локализованные комментарии на фарси, указывают на то, что оператор, скорее всего, базируется в Иране или хорошо знаком с местными условиями, и что эта деятельность осуществляется не под руководством государства, а скорее по коммерческим мотивам.

Стратегии смягчения последствий для защитников должны пересмотреть механизмы обнаружения, которые ботнет стремится обойти, особенно в таких областях, как обнаружение на основе хэша, присвоение IP-адреса источника и двоичное сканирование. Этот случай иллюстрирует растущую изощренность киберугроз, которые угрожают как личной, так и организационной безопасности.

#ParsedReport #CompletenessHigh
18-03-2026

Cato CTRL Threat Research: Vishing and Microsoft Teams Used to Deliver PhantomBackdoor

https://www.catonetworks.com/blog/cato-ctrl-vishing-and-microsoft-teams-used-deliver-phantombackdoor/

Report completeness: High

Actors/Campaigns:
Phantomcaptcha

Threats:
Phantombackdoor
Spear-phishing_technique
Clickfix_technique

Victims:
Consumer services, Non governmental organizations, Government

Industry:
Ngo, Government

Geo:
Ukraine, Italy

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.010, T1059.001, T1071.001, T1105, T1566, T1598

IOCs:
Domain: 2
Url: 1
IP: 2
Hash: 2

Soft:
Microsoft Teams

Algorithms:
sha256, xor, base64

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование Cato CTRL выявило новый метод атаки, который использует команды vishing и Microsoft для развертывания многоэтапного вредоносного ПО под названием PhantomBackdoor, ранее связанного с spear phishing в Украине. Атака включает в себя злоумышленника, выдающего себя за сотрудника службы поддержки, чтобы получить доступ через приглашение в команду и общий доступ к экрану, с последующим выполнением сценария PowerShell, который устанавливает управление на основе WebSocket. Вредоносное ПО проводит разведку и эксфильтрацию данных, используя тактику скрытности, чтобы избежать обнаружения, загружая полезные данные в память.
-----

Исследование Cato CTRL выявило новую технику атаки, включающую вишинг и использование Microsoft Teams для доставки многоэтапного вредоносного ПО, известного как PhantomBackdoor. Это вредоносное ПО, ранее связанное с операциями spear phishing, нацеленными на Украину, действует с помощью сложных методов доставки, которые используют доверие пользователей. В рассматриваемом инциденте злоумышленник выдавал себя за сотрудника службы поддержки, отправлял приглашение Microsoft Teams и использовал общий доступ к экрану, чтобы заставить жертву выполнить бэкдор.

Последовательность атаки начиналась с того, что жертва получала приглашение на встречу команд, что способствовало сеансу в режиме реального времени, в ходе которого злоумышленник получал доступ к устройству жертвы. Во время или сразу после этого сеанса был выполнен сценарий PowerShell, инициирующий поэтапную серию полезных данных, которая в конечном итоге установила управление на основе WebSocket (C2). Этот прогресс иллюстрирует отход от традиционных методов фишинга, демонстрируя, как в настоящее время нацелены инструменты совместной работы.

Как только произошло внедрение вредоносного ПО, ранние этапы включали в себя разведку и сбор данных, при этом извлеченная информация шифровалась с помощью XOR и кодировалась с помощью Base64 перед передачей в C2. Последующие этапы загружали следующую полезную нагрузку непосредственно в память, повышая скрытность от механизмов обнаружения на основе файлов и одновременно инициируя интерактивную связь C2. На заключительном этапе был установлен сеанс WebSocket с конечной точкой, контролируемой злоумышленником, что позволило обеспечить эффективный контроль и извлечение данных.

В ответ на этот меняющийся ландшафт угроз организациям крайне важно относиться к инструментам совместной работы как к потенциальным векторам атак. Рекомендации включают ограничение доступа внешних команд и функций совместного использования экрана, а также внедрение строгих политик использования PowerShell. Мониторинг активности PowerShell и применение контроля с наименьшими привилегиями могут значительно снизить риск подобных фишинговых атак. Такой детализированный подход не только помогает защититься от текущей тактики, но и подготавливает организации к будущим сложным киберугрозам, используя доверительные взаимодействия.

#ParsedReport #CompletenessMedium
18-03-2026

GlassWorm Sleeper Extensions Activate on Open VSX, Shift to GitHub-Hosted VSIX Malware

https://socket.dev/blog/glassworm-sleeper-extensions-activated-on-open-vsx

Report completeness: Medium

Threats:
Glassworm
Typosquatting_technique
Dead_drop_technique
Supply_chain_technique

Victims:
Software development, Developer environments, Integrated development environments

Industry:
Financial

Geo:
Russia, Moscow, Asia, Russian

TTPs:
Tactics: 2
Technics: 5

IOCs:
Url: 2
File: 21

Soft:
Open VSX, OpenVSX, Claude, macOS, Node.js

Crypto:
solana

Algorithms:
rc4, base64

Functions:
activate, deactivate, getSignaturesForAddress, setTimeout, c, GetBlock, x, setImmediate, setInterval

Languages:
python, javascript, typescript

Links:
https://github.com/posit-dev/positron

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания GlassWorm использует передовые методы распространения через открытый VSX marketplace и размещенные на GitHub расширения Visual Studio, включающие более 20 вредоносных и спящих расширений, которые изначально должны казаться безобидными. Недавняя активация расширения lauracode.wrap-selected-code позволяет ему загружать троянскую полезную нагрузку VSIX с GitHub, используя постоянные механизмы и децентрализованную архитектуру C2 через блокчейн Solana. Эта кампания выявляет значительные уязвимости supply chain и использует социальную инженерию для имитации законных расширений, усложняя усилия по обнаружению и смягчению последствий.
-----

Было обнаружено, что вредоносная кампания GlassWorm использует сложный метод распространения вредоносных расширений через открытый VSX marketplace, а в последнее время - через размещенные на GitHub расширения Visual Studio (VSIX). Последний вектор кампании включал в себя более 20 недавно внедренных вредоносных расширений, а также еще 20 бездействующих "спящих" расширений, предназначенных для того, чтобы казаться безвредными при запуске. Изначально эти расширения часто имели безобидные функции, но позже были обновлены для доставки вредоносной полезной нагрузки.

Значительное обновление произошло в период с 17 по 18 марта 2026 года, когда были активированы ранее неактивные спящие расширения, в частности, расширение под названием lauracode.wrap-selected-code, которое было изменено для загрузки и установки вредоносного файла VSIX напрямую с GitHub. Это изменение усиливает тактику уклонения, применяемую злоумышленниками, поскольку они перенесли механизм доставки с Open VSX на инфраструктуру GitHub, что усложняет работу служб безопасности по удалению.

Вредоносный механизм загрузки встроен в JavaScript-код расширения lauracode.wrap-selected-code. После активации он запускает загрузчик, который перечисляет установленные интегрированные среды разработки (IDE) в системе жертвы, извлекает вредоносный VSIX по заранее определенной ссылке на выпуск GitHub и использует функции установки из командной строки для отправки полезной нагрузки в обнаруженные среды разработки. Рассматриваемая полезная нагрузка, помеченная как autoimport-smart-tool-2.5.8.vsix, была создана как троянская версия законного расширения Auto Import с запутанным вредоносным ПО, внедренным в скомпилированный вывод JavaScript, что делает традиционные проверки исходного кода неэффективными.

Ключевые операционные особенности вредоносного ПО включают функцию гео-ограждения, которая предотвращает выполнение в России, механизмы закрепления, которые предотвращают повторное выполнение в течение определенного периода восстановления, и использование блокчейна Solana в качестве сервера командования и контроля (C2) для доставки инструкций и обновлений вредоносному ПО. Такой децентрализованный подход делает его устойчивым к попыткам демонтажа, поскольку исключаются домены или IP-адреса, связанные с традиционными инфраструктурами C2.

В этой кампании преобладают тактики социальной инженерии, поскольку вредоносные расширения точно копируют законные аналоги, используя вводящий в заблуждение брендинг и методы поисковой оптимизации для повышения узнаваемости и доверия среди потенциальных жертв. Злоумышленники, стоящие за кампанией GlassWorm, продемонстрировали глубокое понимание как инструментов разработки, так и методов обхода вредоносного ПО, извлекая выгоду из уязвимостей supply chain и тенденций Выполнения с участием пользователей для эффективного распространения своего вредоносного ПО.

Кампания соответствует множеству методов, описанных в фреймворке MITRE ATT&CK, включая Компрометацию цепочки поставок, Выполнение с участием пользователя и сложную тактику обфускации, иллюстрирующую широкие последствия для практики разработки программного обеспечения и безопасности экосистемы.

#ParsedReport #CompletenessMedium
18-03-2026

AI Wrote This Malware: Dissecting the Insides of a Vibe-Coded Malware Campaign

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/ai-written-malware-vibe-coded-campaign/

Report completeness: Medium

Threats:
Salatstealer
Zephyrus
Panther-stealer
Zerotrace-stealer
Xmrig_miner
Coinminer
Trojan:win/phishing.ap
Trojan:win/dropper.at
Ethminer
Meshagent_tool
Lolminer

Victims:
Gaming, Finance, Technology, United states of america, United kingdom, India, Brazil, France, Canada, Australia, have more...

Industry:
Financial, Software_development, Entertainment

Geo:
America, United kingdom, Australia, France, Canada, India, Brazil

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1036.005, T1059.001, T1071.001, T1105, T1112, T1140, T1204.002, T1496, have more...

IOCs:
Domain: 1
File: 36
Url: 44
Coin: 8
Path: 2
Hash: 63

Soft:
OpenAI, Discord, Roblox, DeepSeek, UNIX, Windows Defender, Curl, Opera

Crypto:
ravencoin, monero, bitcoin

Algorithms:
zip, sha256

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4