#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Количество вредоносных действий возросло из-за использования CVE-2025-32975, критической уязвимости для обхода аутентификации в непатентованных экземплярах устройства управления системами Quest KACE. Злоумышленники могут выдавать себя за пользователей для административного захвата, используя такие методы, как удаленное выполнение команд через KPluginRunProcess, полезные нагрузки в кодировке Base64 для обмена данными управления и кражи учетных данных с помощью таких инструментов, как Mimikatz. Закрепление поддерживается путем создания учетной записи администратора, выполнения скрипта PowerShell и внесения изменений в реестр.
-----

Arctic Wolf сообщила о всплеске вредоносных действий, связанных с использованием CVE-2025-32975, критической уязвимости для обхода аутентификации, затрагивающей непатентованные экземпляры устройства управления системами Quest KACE (SMA), которые были общедоступны в Интернете. Эта уязвимость позволяет злоумышленникам выдавать себя за законных пользователей, облегчая полный административный захват. Ошибка была исправлена в мае 2025 года, но многие системы остаются не обновленными.

Первоначальный доступ к этим угрозам, вероятно, был получен путем использования функциональности KPluginRunProcess, позволяющей злоумышленникам выполнять удаленные команды после получения административного доступа. Анализ журналов показал использование полезных данных в кодировке Base64 и файлов, загруженных с определенного IP-адреса (216.126.225.156), устанавливающих канал связи для управления.

Оказавшись внутри системы, злоумышленники продемонстрировали закрепление, создав дополнительные учетные записи администратора с помощью процесса Quest KACE. Затем эти учетные записи были добавлены в административные группы, что усилило их контроль над устройством. Злоумышленники также выполняли скрипты PowerShell с обходом политики выполнения, запуская их в скрытом контексте для манипулирования системными конфигурациями для постоянного доступа. Кроме того, были замечены изменения в реестре, вероятно, направленные на сохранение доступа, даже если первоначальные точки опоры были нарушены.

Credential Harvesting был еще одной тактикой, применяемой злоумышленниками, использующими такие инструменты, как Mimikatz, для получения конфиденциальной информации. Это включало в себя вариант, замаскированный под asd.exe чтобы избежать обнаружения.

Чтобы снизить эти риски, организациям, использующим Quest KACE SMA, крайне важно обновиться до указанных исправленных версий, поскольку все версии, указанные ниже указанных исправлений, уязвимы. Более того, Arctic Wolf подчеркивает важность того, чтобы экземпляры KACE SMA не были доступны в общедоступном Интернете, рекомендуя обеспечить любой необходимый удаленный доступ с помощью VPN или брандмауэра.

#ParsedReport #CompletenessMedium
19-03-2026

VoidStealer: Debugging Chrome to Steal Its Secrets

https://www.gendigital.com/blog/insights/research/voidstealer-abe-bypass

Report completeness: Medium

Threats:
Voidstealer
Chromelevator_tool
Process_injection_technique
Elevationkatz_tool
Cookiekatz_tool
Credentialkatz_tool

IOCs:
File: 5
Path: 1
Hash: 1

Soft:
Chrome, Google Chrome, Chromium

Algorithms:
aes-gcm

Win API:
ReadProcessMemory, CryptUnprotectData, CryptProtectData, CryptProtectMemory, CryptUnprotectMemory, CreateProcessW, DebugActiveProcess, WaitForDebugEvent, NtGetNextThread, SetThreadContext, have more...

Languages:
python

Links:
have more...
https://github.com/chromium/chromium/blob/main/chrome/elevation\_service/elevator.cc#L229-L239
https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption

#ParsedReport #ExtractedSchema

Classified images:
code: 9, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VoidStealer - это продвинутый стиллер для обработки информации, использующий новую технологию обхода шифрования с привязкой к приложению на основе отладки (ABE), которая использует точки останова Аппаратного обеспечения для извлечения ключа v20_master_key из памяти браузеров Chrome и Edge без необходимости повышения привилегий или внедрения кода, что повышает его скрытность. В нем используется двусторонний подход, преимущественно с использованием функции WinAPI ReadProcessMemory с приложением отладчика для скрытого доступа, что сводит к минимуму обнаружение по сравнению с традиционными методами. Работа вредоносного ПО включает в себя запуск браузера в приостановленном состоянии и прослушивание событий отладки для целевых адресов памяти, связанных с криптографическими операциями, для эффективного извлечения конфиденциальных ключей.
-----

VoidStealer знаменует собой значительную эволюцию в области стиллеров информации, будучи первым, кто, как было замечено в дикой природе, использует новую технологию обхода шифрования с привязкой к приложению на основе отладчика (ABE). Этот метод использует точки останова Аппаратного обеспечения для прямого извлечения ключа v20_master_key из памяти веб-браузеров, специально предназначенных для Chrome и Edge. Реализация этого метода не требует повышения привилегий или внедрения кода, что повышает его скрытность и позволяет злоумышленникам уклоняться от обнаружения более эффективно, чем традиционные методы.

Появление этого метода последовало за внедрением Google ABE в Chrome 127 в июле 2024 года, направленным на защиту конфиденциальных данных браузера. В то время как ABE поднял планку защиты данных, это также стимулировало разработку методов обхода среди злоумышленников. Авторы VoidStealer's широко использовали информацию из проекта ElevationKatz, что указывает на то, что существующие решения могут быть дополнительно адаптированы для вредоносных целей.

VoidStealer использует два метода обхода ABE. Традиционный метод включает в себя ввод кода в процесс браузера и использование функции IElevator::DecryptData через COM-интерфейс. Однако этот устоявшийся метод, скорее всего, будет генерировать предупреждения от средств безопасности из-за его шумовой природы. Напротив, более новый метод, который преимущественно использует вредоносное ПО, предполагает использование функции WinAPI ReadProcessMemory вместе с приложением отладчика для скрытого доступа к ключу v20_master_key без необходимости прямого внедрения, тем самым сводя к минимуму риски обнаружения.

Процесс обхода начинается с того, что VoidStealer запускает браузер в приостановленном состоянии с помощью CreateProcessW перед подключением в качестве отладчика, тактика, рассматриваемая как дополнительное подозрительное поведение. После успешного подключения отладчика вредоносное ПО прослушивает важные события отладки. Он нацелен на определенные адреса памяти в библиотеках DLL браузера, которые относятся к криптографическим операциям, в частности, ищет строку OSCrypt.AppBoundProvider.Decrypt.resultCode, который тесно связан с точкой доступа v20_master_key в памяти. Установив точки останова Аппаратного обеспечения на этом этапе, что можно сделать без изменения кода браузера, злоумышленник может относительно легко извлечь ключ.

С точки зрения стратегий обнаружения, для защитников крайне важно отслеживать наличие аномалий, таких как подключение отладчика к процессу браузера или открытие браузера в скрытом состоянии. Методы, используемые VoidStealer, также предполагают, что будущие версии вредоносного ПО могут реализовать аналогичную тактику обхода с дальнейшими усовершенствованиями. По мере развития системы обходов ABE требуется повышенная бдительность для защиты от этих более скрытных угроз, которые используют постоянно появляющиеся слабые места в протоколах безопасности браузеров.

#ParsedReport #CompletenessHigh
19-03-2026

Hasta la vista, Hastalamuerte: An Overview of The Gentlemen's TTPs

https://www.group-ib.com/blog/hastalamuerte-gentlemen-raas-ttps/

Report completeness: High

Actors/Campaigns:
Gentlemen_ransomware (motivation: cyber_criminal, financially_motivated, information_theft)
Hastalamuerte (motivation: cyber_criminal, financially_motivated, information_theft)
Dragonforce
Warlock

Threats:
Procmon_tool
Mstsc_tool
Chisel_tool
Proxychains_tool
Winrm_tool
Petitpotam_vuln
Donpapi_tool
Byovd_technique
Antsword
Meshcentral_tool
Anydesk_tool
Rclone_tool
Medusa_ransomware
Qilin_ransomware
Clop
Akira_ransomware
Gentlemen_ransomware
Babuk
Lockbit
Devman
Aitm_technique
Nightspire
Badsuccessor_technique
Burntcigar
Credential_dumping_technique
Impacket_tool
Netexec_tool
Wevtutil_tool
Shadow_copies_delete_technique
Edr-freeze_tool
Conti
Adaptixc2_tool
Spear-phishing_technique

Victims:
Healthcare, Critical infrastructure, Worldwide

Industry:
Critical_infrastructure, Healthcare

Geo:
Russian

CVEs:
CVE-2025-32463 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sudo_project sudo (<1.9.17)

CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)

CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam_backup_\&_replication (<11.0.1.1261, 12.0.0.1420)

CVE-2024-37085 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud_foundation (<5.2)
- vmware esxi (7.0, 8.0)


TTPs:
Tactics: 11
Technics: 25

IOCs:
File: 48
Command: 12
Path: 4
Registry: 4
IP: 1
Hash: 7

Soft:
Windows PowerShell, Windows Firewall, Windows Defender, Task Scheduler, MySQL, MSSQL, postgresql, MariaDB, MSExchange, docker, have more...

Algorithms:
sha256, md5

Functions:
Write-Warning, Write-Host, Write-Error, Get-ADComputer

Win API:
EnableTrace

Win Services:
AcrSch2Svc, VSNAPVSS, MVarmor64, MVarmor, VeeamTransportSvc, VeeamDeploymentService, VeeamNFSSvc, AcronisAgent, QBIDPService, QBDBMgrN, have more...

Languages:
python, powershell, rust

Links:
https://github.com/emdnaia/CVE-2025-32463
https://gist.github.com/snovvcrash/a1ae180ab3b49acb43da8fd34e7e93df
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
The Gentlemen - это группа программ-вымогателей как услуга (RaaS), использующая критическую уязвимость в продуктах Fortinet (CVE-2024-55591) для компрометации примерно 1000 виртуальных сетей Fortinet. Используя скрипты PowerShell и Python для извлечения учетных данных, они реализуют различные тактики закрепления, перемещения внутри компании и эксфильтрации данных, включая методы двойного вымогательства. Их операции демонстрируют передовые методы, такие как отключение безопасности конечных точек на уровне ядра и использование Искусственного интеллекта для повышения изощренности их атак.
-----

The Gentlemen - это операция "Программа-вымогатель как услуга" (RaaS), характеризующаяся особой тактикой, методами и процедурами (TTP), особенно заметными при их ранних вторжениях, атрибутированных с критической уязвимостью в продуктах Fortinet (CVE-2024-55591). Эта группа в первую очередь использует общедоступные брандмауэры FortiGate для инициирования атак, поддерживая значительный запас устройств компрометации. Их бэкдорные эксплойты предоставляют методы кражи учетных данных, позволяющие проводить атаки методом перебора, которые, как сообщается, привели к компрометации около 1000 виртуальных сетей Fortinet.

Выполнение их программ-вымогателей включает в себя использование скриптов PowerShell и Python для облегчения извлечения учетных данных и развертывания вредоносного ПО. Они используют такие методы, как создание запланированных задач для закрепления, использование методологии "Принеси свой собственный уязвимый драйвер" (BYOVD) для отключения решений безопасности конечных точек на уровне ядра и очистка журналов событий Windows для удаления следов их активности.

The Gentlemen также демонстрируют значительное внимание к перемещению внутри компании. Они используют SMB и административные общие ресурсы для развертывания вредоносного ПО в нескольких системах, часто отключая средства безопасности, включая Защитника Windows, с помощью административных команд и Изменений групповой политики. Примечательный аспект их деятельности включает методы эксфильтрации данных через RClone, которые они настраивают для использования SFTP, а также использование пользовательских инструментов для различных целей извлечения учетных данных.

Соответствующая оперативная информация включает в себя их подход к двойному вымогательству, при котором они не только шифруют данные, но и угрожают обнародовать украденную информацию, если выкуп не будет выплачен. Этот метод усиливает давление на жертв, представляя собой двоякую угрозу, которая усложняет усилия по восстановлению.

Тактика обхода защиты включает имитацию законных процессов и редактирование конфигураций реестра, чтобы гарантировать, что их вредоносная деятельность останется незамеченной. Кроме того, зависимость группы от Искусственного интеллекта и инструментов программирования отражает более широкую тенденцию среди киберпреступников, стремящихся повысить изощренность своих атак при одновременном снижении обнаруживаемости.

Текущие разработки The Gentlemen's включают в себя реверс-инжиниринг существующих образцов программ-вымогателей для улучшения их собственных возможностей, демонстрируя адаптивный ландшафт угроз, в котором среди преступных организаций распространен обмен знаниями. Чтобы снизить риски, связанные с такими угрозами, организациям рекомендуется уделять приоритетное внимание исправлению уязвимостей, внедрять надежные механизмы аутентификации и сегментировать сети, чтобы ограничить возможности перемещения внутри компании для злоумышленников. В целом, The Gentlemen являются примером постоянной эволюции тактики программ-вымогателей, обусловленной как технологическими возможностями, так и стратегическим использованием слабых мест в протоколах корпоративной безопасности.

#ParsedReport #CompletenessMedium
20-03-2026

GhostClaw expands beyond npm: GitHub repositories and AI workflows deliver macOS infostealer

https://www.jamf.com/blog/ghostclaw-ghostloader-malware-github-repositories-ai-workflows/

Report completeness: Medium

Actors/Campaigns:
Ghostclaw
Polinrider

Threats:
Credential_stealing_technique
Ghostloader
Glassworm

Victims:
Software development, Ai development workflows, Macos users, Cryptocurrency users

Industry:
Entertainment

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.002, T1059.004, T1059.007, T1070.004, T1071.001, T1082, T1105, T1195.001, have more...

IOCs:
Domain: 1
File: 6
Hash: 16

Soft:
macOS, curl, OpenClaw, Node.js

Algorithms:
sha256

Languages:
applescript, rust, javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания GhostClaw нацелена на системы macOS, используя репозитории GitHub для распространения вредоносного ПО, credential-stealing, часто Маскировки под законный код. Вредоносное ПО специально использует файлы README и сценарии оболочки, которые побуждают пользователей выполнять команды в обход менеджеров пакетов. После установки он может имитировать запросы аутентификации macOS для сбора конфиденциальных учетных данных и получения полного доступа к диску, впоследствии подключаясь к серверу управления для дальнейшей доставки полезной нагрузки, что отражает сложный подход к распространению и выполнению вредоносного ПО.
-----

Вредоносная кампания GhostClaw использует репозитории GitHub и рабочие процессы разработки с помощью искусственного интеллекта для распространения вредоносного ПО credential-stealing в системах macOS. Кампания включает в себя промежуточный этап, когда изначально безобидный на вид код используется для укрепления доверия пользователей, прежде чем внедрять вредоносные компоненты. Вредоносные репозитории GitHub обычно содержат файл README, инструктирующий пользователей устанавливать вредоносное ПО с помощью команд curl, запускающих удаленные скрипты. Вариант нацелен на автоматизированные среды кодирования, интегрирующие вредоносный контент в доброкачественный SKILL.md файлы.

Сценарий установки, install.sh , выполняет законные задачи настройки при подготовке к выполнению запутанных полезных нагрузок JavaScript. Основная функциональность заключается в setup.js , предназначенный для имитации запросов на аутентификацию в macOS и получения конфиденциальных учетных данных пользователя. Вредоносное ПО может генерировать собственные диалоговые окна с помощью AppleScript, вводя пользователей в заблуждение и заставляя их предоставлять информацию.

В дополнение к захвату учетных данных вредоносное ПО стремится получить полный доступ к диску с помощью AppleScript, чтобы изменить настройки безопасности, обеспечивая более широкий доступ к данным. После сбора учетных данных он подключается к серверу управления для извлечения дополнительного вредоносного ПО, обеспечивая закрепление за счет Маскировки под доброкачественные пакеты npm. Инфраструктура кампании демонстрирует согласованную схему и уникальные идентификаторы для связи C2, подчеркивая тенденцию использования уязвимостей supply chain с помощью надежных платформ для распространения вредоносного ПО.

#ParsedReport #CompletenessLow
19-03-2026

Dark Web Profile: DieNet

https://socradar.io/blog/dark-web-profile-dienet/

Report completeness: Low

Actors/Campaigns:
Dienet (motivation: propaganda, hacktivism)
Keymous (motivation: hacktivism)
Noname057 (motivation: hacktivism)
Sylhetgang
Team_azrael
Denbots_proof
Overflame
Cyb3r_drag0nz
Rippersec
Serverkillers
Z-pentest_alliance
Ruskinet

Threats:
Chrysaor
Dns_amplification_technique
Synflood_technique
Locknet

Victims:
Government, Critical infrastructure, Finance, Telecommunications, Transportation, Energy, Healthcare, Digital platforms, Industrial control systems

Industry:
Entertainment, Healthcare, Education, Government, Critical_infrastructure, Ics, Military, Energy, Telco, Aerospace, Iot, Transport, Financial, Ngo

Geo:
United kingdom, India, Azerbaijan, Saudi arabia, Egyptian, Israel, Columbia, United arab emirates, Oman, Bahrain, Asia, American, Arab emirates, Kuwait, Qatar, Iran, Turkey, Poland, Cyprus, Abu dhabi, Israeli, Indian, Middle east, Asian, Iranian, Jordan, African, Los angeles, Riyadh

TTPs:
Tactics: 5
Technics: 13

Soft:
Telegram, TikTok

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DieNet, формирующаяся преступная хакерская группировка, созданная в марте 2025 года, осуществила более 60 DDoS-атак, в основном нацеленных на критически важную инфраструктуру и правительственные службы в США и Израиле. Используя такие методы, как TCP RST floods, DNS amplification и TCP SYN floods, DieNet работает по децентрализованной франчайзинговой модели, обеспечивая эффективные атаки, несмотря на запреты платформы. Сосредоточив внимание на DDoS-атаках, группа также выразила намерения участвовать в более широких кибероперациях, что указывает на потенциальную эскалацию их деятельности.
-----

DieNet стал значительным игроком в киберпространстве, особенно в контексте обострения напряженности между Ираном и Израилем. Основанная в марте 2025 года, группа быстро приобрела дурную славу, осуществив более 60 DDoS-атак в течение первых месяцев своей деятельности. К началу 2026 года она заявила о ошеломляющих 59 атаках всего за два дня, значительно опередив другие проиранские группировки и продемонстрировав эффективную коммерциализацию DDoS-атак как услуги, что позволяет идеологически ориентированным акторам с относительной легкостью запускать крупномасштабные киберкампании.

Основным методом, используемым DieNet, является Сетевой отказ в обслуживании (T1498), хотя он выдвигал многочисленные непроверенные заявления относительно дефейсов, вторжений и Манипуляций с данными. Организационная структура DieNet напоминает франшизу, состоящую из внутреннего круга, который управляет стратегическим направлением, и более широкой сети операторов, которые осуществляют атаки под флагом DieNet. Эта децентрализованная модель позволяет ему оставаться устойчивым к мерам модерации платформы, о чем свидетельствуют его усилия по ребрендингу после запрета в Телеграм.

Основной таргетинг DieNet's сосредоточен на критически важной инфраструктуре и государственных службах, особенно в США и Израиле. Его заметная ранняя кампания в марте 2025 года включала 61 атаку в различных секторах, включая транспорт, энергетику, финансы и здравоохранение. С тех пор группировка предприняла атаки, специально оформленные как возмездие за предполагаемые военные действия, связанные с военными действиями США, нацеленные на инфраструктуру в Персидском заливе и на более широком Ближнем Востоке во время эскалации конфликтов в начале 2026 года.

Возможности группы по DDoS-атакам характеризуются эффективным использованием арендованных ресурсов, включая TCP RST flood, DNS amplification и TCP SYN floods, что позволяет ей эффективно обходить средства защиты. Несмотря на то, что DieNet в первую очередь занимается DDoS-атаками, она заявила о причастности к программам-вымогателям и имеет амбиции в отношении более широких киберопераций, что свидетельствует о высоком уровне вовлеченности и потенциальной эскалации ее деятельности.

DieNet работает в рамках более крупной сети согласованных групп хактивистов, используя общие ресурсы и координируя атаки через такие каналы, как Телеграм. Формирование единого центра электронных операций, в который входят различные проиранские группировки, повысило оперативную значимость DieNet, позволив ему функционировать в качестве ключевого механизма DDoS-атак в периоды военных конфликтов.

#ParsedReport #CompletenessLow
20-03-2026

ClayRat: What was that?

https://rt-solar.ru/solar-4rays/blog/6472/

Report completeness: Low

Threats:
Clayrat
Gorilla
Dcrat

Victims:
Android users, Financial services, Microfinance, E commerce, Telecommunications

Industry:
E-commerce, Financial

ChatGPT TTPs:
do not use without manual check
T1406, T1412, T1476, T1587.001

IOCs:
File: 9
Url: 4
Domain: 31
Hash: 2

Soft:
Telegram, VKontakte, Android, apktool

Algorithms:
sha1, sha256, md5

Links:
https://github.com/messede-degod/Gembe
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ClayRat - это вредоносное ПО для Android, классифицируемое как Троянская программа удаленного доступа (RAT) и шпионское ПО, способное перехватывать SMS-сообщения, отслеживать журналы вызовов и удаленно управлять зараженными устройствами. Вредоносное ПО распространяется через сайты фишинга или путем Маскировки под законные приложения, в то время как его серверная часть демонстрирует значительные недостатки безопасности, такие как хранение паролей в виде открытого текста. В нем есть функции ведения журнала вызовов для предотвращения потенциального мошенничества с платой за проезд и расширенная фильтрация SMS-сообщений для извлечения конфиденциальной информации, хотя его деятельность сократилась после действий правоохранительных органов против его разработчиков.
-----

ClayRat - это семейство вредоносных ПО для Android, классифицируемых как Троянские программы для удаленного доступа (RAT) и шпионские программы. Это позволяет злоумышленникам скрытно следить за пользователями и осуществлять удаленный контроль над зараженными устройствами. Возможности вредоносного ПО включают перехват SMS-сообщений, мониторинг журналов вызовов, доступ к контактам, захват скриншотов и выполнение команд, полученных с сервера управления (C2). В основном он распространяется через сайты фишинга или Маскировку под легальные приложения.

Анализ серверной части вредоносного ПО выявил модуль в архиве с именем "server.zip ," который содержал не только основной исполняемый файл, но и вспомогательные инструменты для создания и подписи вредоносных APK-файлов, а также шаблон, используемый для создания этих APK-файлов. Внутренний сервер написан на Go и демонстрирует многочисленные недостатки, включая хранение паролей в виде открытого текста, незащищенные строки отладки, базовые методы запутывания и зависимость от JSON для хранения данных вместо системы управления базами данных. Этот недосмотр создает значительные риски в случае компрометации серверной части.

Интересно, что ClayRat обладает функцией ведения журнала вызовов, которая позволяет ему совершать звонки с зараженных устройств без перехвата звука, что открывает двери для потенциальных схем мошенничества с платой за проезд. Кроме того, вредоносное ПО включает в себя сложный механизм фильтрации SMS-сообщений, способный сканировать определенные ключевые слова и регулярные выражения, связанные с банковскими и финансовыми транзакциями, что расширяет его возможности по извлечению конфиденциальной информации от пользователей.

Инфраструктура, используемая ClayRat, использовала kpmail.su домен, связанный с другими функциями вредоносного ПО, в том числе с бэкдором DCRAT. Отчеты указывают на то, что к декабрю 2025 года все серверы C2, связанные с ClayRat, стали неактивными, что совпало с задержанием разработчика в Краснодаре, что свидетельствует об ослаблении перспектив дальнейших операций против создателей вредоносного ПО.

Несмотря на свои первоначальные обещания и широкое внимание после запуска в конце 2025 года, ClayRat быстро потерпел крах, как и его предшественники. Технические ошибки, такие как плохая практика обеспечения безопасности и неадекватная оперативная безопасность, способствовали его быстрому снижению. Поскольку проект потерял свою инфраструктуру, дальнейшее развитие, похоже, прекратилось, а действия правоохранительных органов против его создателей указывают на завершение главы семейства вредоносных программ ClayRat.

#ParsedReport #CompletenessMedium
20-03-2026

Trivy Under Attack Again: Widespread GitHub Actions Tag Compromise Exposes CI/CD Secrets

https://socket.dev/blog/trivy-under-attack-again-github-actions-compromise

Report completeness: Medium

Actors/Campaigns:
Trivy_compromise
Teampcp (motivation: financially_motivated)
Pcpcat

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Ci cd pipelines, Github actions runners, Software development environments, Cloud environments

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1005, T1016, T1033, T1036, T1041, T1057, T1059.004, T1059.006, T1078, have more...

IOCs:
File: 21
Domain: 1
Hash: 1
Email: 5

Soft:
OpenVSX, sudo, Linux, macOS, Docker, MYSQL, REDIS, slack, discord, openssl, have more...

Wallets:
zcash

Crypto:
bitcoin, litecoin, dogecoin, ripple, monero, ethereum, cardano, solana

Algorithms:
pbkdf2, aes-256-cbc, rsa-4096, base64, aes, sha256

Functions:
get_pid

Languages:
python

Platforms:
intel

Links:
https://docs.github.com/en/code-security/concepts/supply-chain-security/immutable-releases

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Репозиторий действий Trivy на GitHub подвергся серьезной компрометации, когда злоумышленники принудительно обновили большинство тегов версий, заменив законный код вредоносным ПО, которое работает как стиллер информации. Вредоносное ПО, разработанное для пользователей GitHub Actions, извлекает конфиденциальные данные из сред CI/CD, включая учетные данные облачных провайдеров и токены Kubernetes, используя повышенные привилегии и сложные методы запутывания. Атака была атрибутирована с помощью TeamPCP, что подчеркивает серьезные последствия уязвимостей supply chain в конвейерах разработки программного обеспечения.
-----

Репозиторий действий Trivy на GitHub был подвергнут компрометации, когда злоумышленники принудительно обновили 75 из 76 тегов версий для развертывания вредоносного ПО. Затронуто более 10 000 файлов рабочего процесса на GitHub, что вызывает опасения по поводу раскрытия секретов CI /CD. Вредоносная версия заменила законный код полезной нагрузкой стиллера, сохранив при этом законную функциональность сканирования, чтобы избежать обнаружения.

Злоумышленники получили доступ к учетным данным Trivy и выполнили принудительные операции для изменения существующих тегов без запуска уведомлений о выпуске. Каждый перезаписанный тег указывал на новую вредоносную фиксацию, в которой скрипт entrypoint был изменен, чтобы включить стиллер информации.

Полезная нагрузка работает в GitHub Actions runners, извлекая конфиденциальные данные, такие как учетные данные AWS, GCP и Azure, а также токены учетной записи службы Kubernetes. Вредоносное ПО может собирать SSH-ключи, переменные среды и другую конфиденциальную информацию из различных форматов и местоположений.

Он использует повышенные привилегии для пользователей, размещенных на GitHub, с помощью Python-скрипта в кодировке base64, выполняемого с разрешениями sudo, что позволяет ему очищать память для конфиденциальных данных. В автономных установщиках вредоносное ПО использует методы обширного сбора учетных записей файловой системы.

Данные шифруются перед эксфильтрацией с использованием гибридной схемы с сеансовыми ключами и шифрованием RSA. Собранные данные отправляются в домен с typosquatted, который имитирует Aqua Security для обфускации. Вредоносное ПО также может использовать личный токен доступа жертвы к GitHub для дальнейшей компрометации данных, если это необходимо.

Эта атака атрибутирована с TeamPCP, известной тем, что она использует облачные уязвимости для получения финансовой выгоды. Немедленное исправление требует ротации всех раскрытых секретов для снижения рисков. Инцидент подчеркивает опасность атак на supply chain в рамках конвейеров разработки программного обеспечения.