#ParsedReport #CompletenessLow
22-03-2026

Ransomware 3.0: The Autonomous Threat That Changed Everything

https://socradar.io/blog/ransomware-3-0-the-autonomous-threat/

Report completeness: Low

Actors/Campaigns:
Bianlian

Threats:
Spear-phishing_technique
Polymorphism_technique
Supply_chain_technique
Wannacry
Petya
Eternal_petya
Maze
Lockbit
Promptlock
Edr-killer
Royal_ransomware
Medusa_ransomware
Qilin_ransomware
Ransomhub
Byovd_technique
Edrkillshifter_tool
Lolbin_technique
Akira_ransomware

Victims:
Manufacturing, Healthcare, Financial services, Critical infrastructure, Software supply chain, All industry sectors, Global

Industry:
Critical_infrastructure, Financial, E-commerce, Healthcare

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.001, T1027, T1027.014, T1033, T1041, T1047, T1059, T1059.001, T1071.001, have more...

Crypto:
ethereum

Functions:
LLM, HTTPS

Win API:
Polygon

Languages:
lua, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель эволюционировала в программу-вымогатель 3.0, отличающуюся тройной тактикой вымогательства, сочетающей шифрование данных, кражу и угрозы репутации. Злоумышленники теперь используют Искусственный интеллект для определения приоритетов целей и генерации кода в режиме реального времени, в то время как децентрализованные инфраструктуры, использующие блокчейн, повышают операционную надежность программы-вымогателя как услуги. Примечательно, что Ransomware 3.0 использует инструменты, которые используют уязвимости программного обеспечения для обхода средств защиты, облегчая полностью автоматизированные кампании атак и повышая доступность сложных методов вымогательства для менее квалифицированных акторов.
-----

Программы-вымогатели перешли в новую фазу, известную как Ransomware 3.0, характеризующуюся продвинутой динамикой угроз и инновационными стратегиями атак. На этом этапе используется тактика тройного вымогательства, включающая шифрование данных, кражу и давление с целью публикации конфиденциальной информации на сайтах утечки информации из Dark Web. Злоумышленники используют Искусственный интеллект для определения приоритетности таких целей, как контракты и кадровые записи, расширяя возможности вымогательства.

Программа-вымогатель 3.0 использует расширенную оркестровку с использованием больших языковых моделей (LLM) для генерации уникального и polymorphic вредоносного кода, уклоняющегося от традиционного обнаружения. Атаки основаны на децентрализованной инфраструктуре, использующей технологию блокчейн для противодействия правоохранительным органам и поддержки моделей "программа-вымогатель как услуга" (RaaS).

Примечательно, что программа-вымогатель 3.0 включает в себя средства, уничтожающие EDR, которые используют уязвимости в законном программном обеспечении, ставя под угрозу защиту конечных точек на уровне ядра. Кампании автоматизированных атак проводятся без участия человека, демонстрируя оперативные возможности киберпреступных группировок.

По статистике, число глобальных инцидентов с программами-вымогателями увеличилось на 32%, при этом на производстве наблюдается рост на 56% из-за уязвимостей операционных технологий. Число атак на Supply chain также возросло, что указывает на смещение акцента злоумышленников. Стоимость этих изощренных атак снизилась, что позволило более широкому кругу лиц участвовать в деятельности программ-вымогателей, усложняя стратегии защиты организаций.

#ParsedReport #CompletenessMedium
21-03-2026

Trivy Compromised: Everything You Need to Know about the Latest Supply Chain Attack

https://www.wiz.io/blog/trivy-compromised-teampcp-supply-chain-attack

Report completeness: Medium

Actors/Campaigns:
Teampcp

Threats:
Supply_chain_technique
Credential_stealing_technique
Typosquatting_technique

Victims:
Aqua security, Software development, Cybersecurity, Cloud services, Github actions users, Trivy users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1016, T1027, T1041, T1071.001, T1105, T1195.001, T1195.002, T1543.002, T1550.001, have more...

IOCs:
Domain: 1
IP: 1
File: 3
Url: 1
Hash: 92

Soft:
Trivy, Docker, trycloudflare, Twitter, Slack, systemd

Algorithms:
rsa-4096, aes-256, base64, aes-256-cbc

Languages:
python

Platforms:
intel

Links:
have more...
https://github.com/aquasecurity/trivy/discussions/10425

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
19 марта 2026 года угроза actor TeamPCP осуществил атаку на цепочку поставок на уязвимостях сканера Trivy компании Aqua Security, внедрив вредоносное ПО для кражи учетных данных через злонамеренные коммиты версии v0.69.4. Это скомпрометировало основной сканер и связанные компоненты, что позволило украсть чувствительные учетные данные, используя сервисную учетную запись aqua-bot, с экстракцией через Cloudflare Tunnel на домен с типографической ошибкой. Вредоносное ПО собирало секреты из памяти и путей файловой системы, передавало их в зашифрованном виде и создавало резервный репозиторий для загрузки данных, нацеливаясь на долгосрочную устойчивость на компьютерах разработчиков.
-----

19 марта 2026 года атака на цепочку поставок нацелилась на сканер уязвимостей Trivy компании Aqua Security, что было приписано угрозе TeamPCP. Атака включала мошеннические коммиты и внедрение вредоносных версий Trivy, специально отмеченных как v0.69.4. Это привело к распространению скомпрометированных бинарных файлов и скриптов через GitHub Releases и Docker Hub. Вредоносное ПО было предназначено для кражи учетных данных, включая ключи GPG и доступ к платформам Docker Hub, Twitter и Slack, путем эксплуатации скомпрометированной учетной записи aqua-bot. Экстракция данных проводилась через сервер C2 Cloudflare Tunnel, отправляя данные на домен с опечаткой, scan.aquasecurtiy.org, связанный с IP 45.148.10.212. Бэкдоорная версия Trivy работала вместе с легитимной службой, собирая данные, получая доступ к памяти процесса Runner.Worker и осуществляя поиск конфиденциальных данных более чем по 50 путям. Украденные данные были зашифрованы с использованием AES-256-CBC и RSA-4096, архивированы и переданы на вредоносный сервер. В качестве резервного варианта, если экстракция не удалась, вредоносное ПО могло создать репозиторий GitHub под названием 'tpcp-docs' для загрузки украденных учетных данных. Для поддержания постоянства оно проверяло условия на рабочей машине разработчика через переменную GITHUB_ACTIONS и могло записать скрипт-вор в формате base64 на `\~/.config/systemd/user/sysmon.py` для выполнения удаленного полезного груза. Организациям, использующим Trivy, была дана рекомендация провести аудит на предмет скомпрометированной версии v0.69.4 и удалить затронутые артефакты. Рекомендации включали привязку GitHub Actions к конкретным хэшам SHA для снижения риска подобных атак.

#ParsedReport #CompletenessMedium
22-03-2026

Government of Iran Cyber Actors Deploy Telegram C2 to Push Malware to Identified Targets

https://www.ic3.gov/CSA/2026/260320.pdf

Report completeness: Medium

Actors/Campaigns:
Handala-hacking-team (motivation: information_theft)
Void_manticore

Victims:
Iranian dissidents, Journalists, Opposition groups, Civil society, Media

Industry:
Government

Geo:
Iran, Iranian, Middle east

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 5
Hash: 12

Soft:
Telegram, KeePass, Zoom, Windows registry

Algorithms:
md5, zip

Functions:
Zoom

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранские кибер-акторы, связанные с Министерством разведки и безопасности (MOIS), использовали Телеграм в качестве канала управления для развертывания многоэтапного вредоносного ПО, нацеленного на диссидентов и журналистов, причем операции, оцененные ФБР как преднамеренный сбор разведывательных данных. Вредоносное ПО, разработанное для Windows, использует методы социальной инженерии, Маскировки под законные приложения для запроса загрузки, а затем устанавливает удаленный доступ через ботов Телеграм. Эта кампания включает в себя возможности для эксфильтрации данных и проникновения в систему, включая захват видео и аудио с онлайн-собраний, при этом используются методы, позволяющие избежать обнаружения антивирусом и обеспечить постоянный доступ.
-----

Иранские кибер-акторы, связанные с Министерством разведки и безопасности (MOIS), использовали Телеграм в качестве механизма управления (C2) для развертывания вредоносного ПО, нацеленного на лиц, которых иранское правительство считает представляющими угрозу, включая диссидентов и журналистов. Эта вредоносная деятельность была оценена ФБР как преднамеренный сбор разведывательных данных, приводящий к утечке данных и ущербу репутации пострадавших сторон. Начиная с осени 2023 года, многочисленные версии вредоносного ПО, специально разработанного для операционных систем Windows, использовались против целого ряда жертв, демонстрируя стратегическую адаптацию кибертактики в контексте растущей геополитической напряженности.

Вредоносная кампания включает в себя многоэтапную загрузку, где начальный этап маскируется под обычные приложения, такие как Pictory и KeePass, чтобы обмануть жертв. Тактика социальной инженерии используется для того, чтобы побудить цели невольно загрузить и выполнить этот этап, который затем активирует постоянный имплантат, облегчающий удаленный доступ через ботов Телеграм. Этот двухэтапный подход позволяет акторам получать конфиденциальные данные путем эксфильтрации файлов и записи действий на экране из систем компрометации.

В примечательном случае в июле 2025 года организация, известная как Handala Hack, взяла на себя ответственность за операции, которые включали взлом и утечку информации от лиц, выражающих несогласные взгляды на ситуацию в Иране. Эта группа была связана с различными вредоносными действиями, включая фишинг и внедрение вредоносного ПО wiper, что расширяло оперативные возможности кибер-акторов MOIS.

Образцы вредоносного ПО, проанализированные ФБР, были разделены на отдельные фазы: первоначальная Маскировка вредоносного ПО и последующее постоянное внедрение. Вредоносное ПО-Маскировка предназначено для того, чтобы избежать обнаружения и закрепиться на устройстве жертвы с последующей установкой постоянного вредоносного ПО, которое обеспечивает долгосрочный доступ. Эти возможности позволяют злоумышленникам осуществлять обширную эксфильтрацию данных, включая захват видео и аудио с онлайн-собраний и сжатие конфиденциальных файлов для передачи обратно на сервер C2.

Эффективный первоначальный доступ основан на социальной инженерии, позволяющей убедить пользователей запустить Вредоносные файлы, которые тщательно адаптированы к распорядку дня жертвы, чтобы повысить вероятность принятия. Дополнительные проблемы с безопасностью возникают из-за способности вредоносного ПО выполнять обходные маневры, такие как исключение определенных каталогов, чтобы избежать обнаружения антивирусными системами, и внесение изменений в реестр, чтобы гарантировать его запуск при запуске системы.

#ParsedReport #CompletenessLow
22-03-2026

Hackers Compromise Trivy Scanner to Inject malicious Scripts and Steal Login Credentials

https://cybersecuritynews.com/malicious-script-injection-in-trivy/

Report completeness: Low

Actors/Campaigns:
Teampcp

Threats:
Supply_chain_technique
Typosquatting_technique

Victims:
Ci cd pipelines, Software development, Cloud services

ChatGPT TTPs:
do not use without manual check
T1005, T1036, T1041, T1059.004, T1059.006, T1083, T1119, T1195.001, T1548.003, T1552.001, have more...

IOCs:
File: 4
Domain: 1

Soft:
Trivy, sudo, Linux, Docker

Algorithms:
rsa-4096, aes-256-cbc

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце марта 2026 года атака supply chain использовала действие Trivy на GitHub с помощью метода отравления тегов, скомпрометировав 75 тегов версий, чтобы внедрить вредоносный стиллер с именем TeamPCP Cloud. Вредоносное ПО использует трехэтапный процесс для целенаправленного сбора, надежного шифрования и скрытой эксфильтрации конфиденциальных данных, используя sudo без пароля в запущенных системах, размещенных на GitHub, и скрипт на Python в автономных средах. Он собирает критически важную информацию с таких платформ, как GitHub, AWS и Azure, выявляя уязвимости в процессах CI/CD.
-----

В конце марта 2026 года была выявлена серьезная атака на supply chain, нацеленная на официальное действие Trivy на GitHub (aquasecurity/trivy-action), которая имеет критические последствия для процессов непрерывной интеграции и непрерывного развертывания (CI/CD) по всему миру. В атаке участвовали злоумышленники, которые использовали сложную стратегию отравления тегов, успешно принудительно внедрив 75 из 76 тегов версий, чтобы внедрить вредоносный стиллер в конвейеры CI/CD. Учитывая, что более 10 000 файлов рабочего процесса GitHub использовали это действие, вероятность кражи учетных данных была велика.

Компрометация включала создание вредоносных коммитов, имитирующих законные метаданные Git, включая имена авторов и сообщения о фиксации, что скрывало вредоносные изменения в журналах репозитория. Примечательно, что единственная нетронутая версия, @0.35.0, остается защищенным тегом. Внедренный скрипт с именем entrypoint.sh , предназначен для выполнения своей вредоносной полезной нагрузки перед запуском законного простого сканирования, что позволяет ему легко сочетаться с типичными операциями.

Этот стиллер информации работает в три ключевых этапа: целенаправленный сбор, надежное шифрование и скрытая эксфильтрация. На этапе сбора он специально ориентирован на пользователей, размещенных на GitHub, и на самостоятельных пользователей. В средах, размещенных на GitHub, вредоносное ПО использует привилегии sudo без пароля для доступа и извлечения секретов из Runner.Память рабочего процесса. И наоборот, в автономных runners используется подробный скрипт на Python, который сканирует файловую систему на наличие конфиденциальной информации в различных каталогах.

Процесс эксфильтрации осуществляется с помощью POST-запроса HTTPS, направленного на домен с typosquatted (scan.aquasecurtiy.org ), что имеет решающее значение для получения злоумышленниками украденных данных. Вредоносное ПО, идентифицированное как TeamPCP Cloud stealer, признано в ландшафте угроз, основанном на облачных технологиях, как злоумышленник, известный тем, что использует неправильно сконфигурированную инфраструктуру, часто внедряя программы-вымогатели и операции по криптомайнингу.

Примечательно, что целевые данные для извлечения включают конфиденциальную информацию с таких платформ, как GitHub, AWS и Azure, охватывающую ключевые файлы, такие как SSH-ключи (id_rsa, authorized_keys), учетные данные Git (.git-учетные данные), файлы конфигурации, относящиеся к конвейерам CI/CD (terraform.tfstate, .docker/config.json) и файлы окружения (варианты .env). Последствия этого инцидента для безопасности подчеркивают уязвимости в экосистемах CI/CD и настоятельную необходимость усиления мер защиты от таких сложных атак по Цепочке поставок.

#ParsedReport #CompletenessLow
21-03-2026

Observed Telegram Bot Naming Patterns in Recent MuddyWater Malware Activity

https://blog.synapticsystems.de/observed-telegram-bot-naming-patterns-in-recent-muddywater-malware-activity/

Report completeness: Low

Actors/Campaigns:
Muddywater

Threats:
Lamporat

ChatGPT TTPs:
do not use without manual check
T1041, T1059.003, T1071.001, T1102.003

IOCs:
Hash: 1

Soft:
Telegram, Windows shell, curl

Algorithms:
sha256

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние действия, связанные с вредоносным ПО MuddyWater, свидетельствуют об использовании Телеграм в качестве канала управления с помощью Троянской программы для удаленного доступа LampoRAT. Это вредоносное ПО использует API-интерфейс Телеграм-бота для выполнения команд через оболочку Windows и сообщает о результатах злоумышленникам, что делает обмен данными менее обнаруживаемым за счет использования законного HTTPS-трафика. Анализ соглашений об именовании ботов Телеграм, связанных с вредоносным ПО, указывает на систематическую схему отслеживания этих угроз, подчеркивающую инновационный подход к децентрализованной инфраструктуре C2.
-----

Недавние действия, связанные с вредоносным ПО MuddyWater, привлекли внимание к использованию Телеграм в качестве канала управления (C2), в частности, с помощью Троянской программы удаленного доступа (RAT), известной как LampoRAT. Это вредоносное ПО работает, используя API-интерфейс Телеграм-бота для локального выполнения команд через оболочку Windows, с результатами, отправляемыми злоумышленникам через приложение Телеграм. Этот подход использует законный трафик HTTPS, делая вредоносные сообщения менее обнаруживаемыми по сравнению с традиционными инфраструктурами C2.

В ходе анализа различных образцов вредоносного ПО MuddyWater было сделано важное замечание относительно шаблонов соглашений об именовании ботов Телеграм. Исследователи каталогизировали несколько ботов Телеграм, связанных с операцией, отметив, что, хотя идентификаторы ботов обычно последовательно увеличиваются, числовой порядок имен ботов не совпадал с их соответствующими идентификаторами. Это несоответствие говорит о том, что существует систематическая схема присвоения имен, которую можно было бы отслеживать для отслеживания и прогнозирующего анализа этих угроз.

Анализ выявил целый ряд ботов, у каждого из которых были соответствующие идентификаторы в Телеграм и индикаторы статуса, показывающие, были ли они все еще активны. Очевидное отсутствие необходимости в учетной записи Телеграм для работы позволяет злоумышленникам использовать веб-интерфейс сервиса, что еще больше усложняет усилия по обнаружению. Этот метод использования ботов Телеграм для инфраструктуры C2 указывает на переход к более изобретательным и децентрализованным методам коммуникации в рамках операций по борьбе с киберугрозами.

Для принятия мер по обнаружению и предотвращению предлагается отслеживать использование API Телеграм на предмет любых необычных шаблонов, связанных с подозрительными схемами именования ботов. Существует возможность блокировать известную инфраструктуру, наблюдая за типами запросов, генерируемых RAT, тем самым устанавливая превентивные защитные стратегии.

#ParsedReport #CompletenessMedium
22-03-2026

Oblivion RAT - An Android Spyware Platform With a Built-In APK Factory

https://iverify.io/blog/oblivion-rat-android-spyware-analysis

Report completeness: Medium

Threats:
Oblivion_rat

Victims:
Android users, Banking, Cryptocurrency, Marketplaces, Microfinance, Government

Industry:
Government, E-commerce, Financial

Geo:
Russian

TTPs:
Tactics: 2
Technics: 8

IOCs:
File: 1
IP: 5
Hash: 3

Soft:
Android, Google Play, apktool

Algorithms:
base64, xor, aes, zip, deflate

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Oblivion RAT - это Троянская программа для удаленного доступа к Android, предлагаемая как вредоносное ПО в качестве сервиса, с такими возможностями, как APK-дроппер, замаскированный под обновление Google Play, позволяющий осуществлять широкий контроль над зараженными устройствами с помощью AccessibilityService. Он использует социальную инженерию для доставки, а после заражения облегчает Захват видеоданных в режиме реального времени, перехват SMS и автоматизированное финансовое профилирование. RAT использует множество методов, включая Маскировку, Регистрацию нажатий клавиш и поддержание закрепления с помощью событий завершения загрузки, усложняя статический анализ с помощью обманчивого ZIP-шифрования.
-----

Oblivion RAT - это сложная Троянская программа для удаленного доступа к Android (RAT), продаваемая как вредоносное ПО как услуга (MaaS) в сетях киберпреступности по цене 300 долларов в месяц. Он включает в себя комплексную работу, включая конструктор APK, дроппер, который создает поддельные страницы обновлений Google Play, и панель управления (C2), которая позволяет управлять зараженными устройствами в режиме реального времени. RAT использует двухэтапную модель заражения: сначала жертв заманивают к загрузке dropper APK с помощью тактики социальной инженерии на платформах обмена сообщениями или в приложениях для знакомств. Этот дроппер содержит сжатый имплантат RAT и HTML-страницы, разработанные для имитации процесса обновления в Google Play.

В dropper APK используется соглашение об именовании, которое обычно начинается с com.darkpurecore*, и содержит точную в пикселях копию экрана настроек службы специальных возможностей Android. Жертвами манипулируют, заставляя включать функции, которые предоставляют имплантату широкий контроль над пользовательским интерфейсом устройства через службу доступности. Примечательно, что RAT использует обманчивый процесс шифрования ZIP, который усложняет статический анализ. Эта манипуляция заставляет обычные инструменты анализа поверить, что образец зашифрован, что затрудняет извлечение.

После успешной установки и подключения к серверу C2, который работает по самоподписанному TLS-соединению, оператор получает ряд вредоносных возможностей. К ним относятся видеозахват в режиме реального времени (VNC), комплексный контроль SMS, позволяющий перехватывать и отправлять сообщения, включая одноразовые пароли (OTP) и токены двухфакторной аутентификации. RAT обеспечивает автоматизированную оценку благосостояния, классифицируя установленные приложения по финансовому и государственному секторам, что помогает операторам выявлять потенциальные цели для мошенничества или кражи.

Технические операции Oblivion RAT демонстрируют несколько методов, сопоставленных с фреймворком MITRE ATT&CK, таких как выдача себя за законные службы (Маскировка - T1655.001), использование кейлоггера на основе AccessibilityService (Перехват вводимых данных - T1417.001) и управление функциями SMS (SMS Control - T1582). Другие методы включают Захват экрана через VNC, злоупотребление Специальными возможностями для получения разрешений и выполнение обнаружения приложений для создания профилей финансового окружения жертв. Цепочка заражения вредоносным ПО использует механизмы закрепления, используя RECEIVE_BOOT_COMPLETED для поддержания своего присутствия на устройстве.

#ParsedReport #CompletenessLow
22-03-2026

Malicious Pyronut Package Backdoors Telegram Bots with Remote Code Execution

https://www.endorlabs.com/learn/malicious-pyronut-package-backdoors-telegram-bots-with-remote-code-execution

Report completeness: Low

Threats:
Pyronut
Typosquatting_technique
Supply_chain_technique

Victims:
Telegram bot developers, Software developers

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1059.004, T1059.006, T1102.002

IOCs:
File: 23

Soft:
Telegram

Functions:
init_secret, eval_func, globals

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4