#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
"pyronut" ("Пиронат") Пакет Python представляет значительную угрозу для разработчиков ботов в Телеграм, поскольку Маскировка под форк легитимного фреймворка "pyrogram". Он включает в себя бэкдор, активируемый во время выполнения, который позволяет злоумышленникам выполнять произвольный код на Python и команды оболочки через скрытые обработчики сообщений, связанные с определенными командами. Эксфильтрация осуществляется через API Телеграм, что делает традиционные методы обнаружения неэффективными и позволяет выполнять бесшумные операции при компрометации системы и данных жертвы.
-----

Пакет Python `pyronut` стал серьезной киберугрозой, предназначенной для разработчиков ботов в Телеграм, путем Маскировки под законный форк популярного фреймворка API "pyrogram". В отличие от типичных сценариев typosquatting, когда вредоносный пакет использует визуально похожее имя, `pyronut" использует прямую копию описания "pyrogram" и имеет недоступный репозиторий GitHub. Вредоносный пакет был опубликован в трех версиях (2.0.184, 2.0.185 и 2.0.186), все они были выпущены и помещены на карантин в один и тот же день в марте 2026 года, что ограничило потенциальное время атаки.

Злоумышленник избежал обычных методов обнаружения, гарантировав, что вредоносное поведение запускалось не при установке, а во время выполнения. В свою кодовую базу "pyronut" встроен бэкдор, который активируется во время инициализации клиента Телеграм. В метод `Client.start()` были внесены изменения, чтобы включить скрытый импорт, заключенный в блок try/except, который подавляет любые ошибки, которые могут возникнуть во время загрузки. Бэкдор устанавливает скрытые обработчики сообщений, которые позволяют злоумышленнику выполнять произвольный код на Python и команды оболочки в системе жертвы, предоставляя им полный контроль как над сеансом Телеграм, так и над базовым компьютером.

Используются два различных обработчика команд: команда `/e`, которая позволяет произвольное выполнение на Python с использованием библиотеки meval, и команда `/shell`, которая обеспечивает неограниченный доступ к оболочке. Обе команды могут быть активированы жестко запрограммированными учетными записями злоумышленника, гарантируя, что только злоумышленник может выполнять эти команды без риска обнаружения с помощью переадресованных сообщений или сторонних триггеров. Эта структура позволяет выполнять бесшумные операции, такие как чтение сообщений или получение учетных данных, не раскрывая действия злоумышленника жертве.

Эксфильтрация данных происходит не традиционными способами, поскольку "pyronut" не взаимодействует с внешним сервером управления. Вместо этого команды злоумышленника и их выходные данные передаются непосредственно через API Телеграм, что затрудняет традиционному мониторингу сети обнаружение необычного поведения. Такой скрытный подход подчеркивает сложность обнаружения бэкдора с помощью существующих протоколов безопасности.

Для обнаружения потенциальных заражений от "pyronut" и реагирования на них организациям рекомендуется проводить тщательный аудит своих файлов зависимостей, системных журналов и выполняемых процессов. Немедленные действия должны включать прекращение активных сеансов Телеграм и замену всех конфиденциальных учетных данных, поскольку злоумышленники могли получить доступ к многочисленным переменным среды и сохраненным секретам. Кроме того, важно удалить вредоносный пакет и перестроить уязвимые среды.

Чтобы предотвратить повторение подобных атак в будущем, организациям следует проводить тщательную проверку зависимостей, использовать файлы блокировок с проверкой хэша и интегрировать инструменты анализа состава программного обеспечения в свои конвейеры CI/CD. Гарантируя, что сторонние скрипты и библиотеки являются легитимными и проверенными, можно значительно снизить риск внедрения вредоносных пакетов.

#ParsedReport #CompletenessMedium
21-03-2026

From Scanner to Stealer: Inside the trivy-action Supply Chain Compromise

https://www.crowdstrike.com/en-us/blog/from-scanner-to-stealer-inside-the-trivy-action-supply-chain-compromise/

Report completeness: Medium

Threats:
Supply_chain_technique
Credential_harvesting_technique
Typosquatting_technique
Credential_stealing_technique

Victims:
Aqua security, Github actions runners, Ci cd pipelines

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1003.008, T1036, T1036.005, T1041, T1057, T1059.004, T1059.006, T1070.004, T1071.001, have more...

IOCs:
File: 10
Domain: 1
Url: 1
Hash: 4

Soft:
Linux, Trivy, sudo, Docker, MySQL, PostgreSQL, Redis, Travis, Jenkins, Helm, have more...

Crypto:
bitcoin, ethereum, solana, cardano

Algorithms:
aes-256-cbc, base64, exhibit, sha256

Functions:
count

Languages:
python

Links:
https://github.com/aquasecurity/trivy/discussions/10425
https://github.com/features/actions
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Действие Trivy на GitHub было подвергнуто компрометации с помощью переопределения тегов git, заменив его точку входа полезной нагрузкой, credential-stealing, которая работает вместе с законным сканером. Первые признаки компрометации появились 19 марта 2026 года, когда вредоносные скрипты нацелились на конфиденциальную информацию из GitHub Actions secrets в Linux runners и перенаправили данные в домен с typosquatted. Дополнительная уязвимость была обнаружена в Trivy версии 0.69.4, которая включала скрытый загрузчик, подключенный к устойчивому серверу управления, что позволяло осуществлять постоянную вредоносную активность.
-----

Расследование действия Trivy на GitHub, опубликованное Aqua Security, показало, что 76 из 77 тегов выпуска были подвергнуты компрометации с помощью метода, известного как переназначение тегов git. Этот метод включал замену законной точки входа в действие многоэтапной полезной нагрузкой credential-stealing, которая выполняется параллельно с исходным сканером, позволяя рабочим процессам выглядеть нормальными, когда происходит вредоносная активность.

Первоначальные признаки компрометации были обнаружены 19 марта 2026 года, когда наблюдался необычный всплеск активности, связанный с платформами Linux, в частности, на GitHub Actions runners. Атака использовала различные сценарии запуска Linux для установления соединения с GitHub и выполнения рабочих процессов. Вредоносный код был внедрен в сценарий entrypoint действия, добавив к нему около 105 строк атакующего кода, прежде чем запустить законный Trivy scanner.

Полезная нагрузка содержала вторую ступень, которая была адаптирована для конкретных платформ. На размещенных на GitHub Linux runners он выполнил Python-скрипт в кодировке Base64, специально созданный для извлечения секретов из Runner.Память рабочего процесса. Он нацеливался на конфиденциальную информацию, такую как секреты действий GitHub, в то время как на автономных серверах он сканировал файловую систему на наличие широкого спектра учетных данных, включая SSH-ключи, учетные данные облачных служб, токены доступа к базе данных и конфигурации CI/CD.

Канал эксфильтрации был запросом POST на домен с typosquatted, scan.aquasecurity.org , претендующий на то, чтобы быть официальным доменом Aqua Security. Кроме того, актор продемонстрировал способность к сложной очистке, удалив все временные файлы и заставив скрипт вести себя как функциональная копия реального простого действия, таким образом маскируя свои действия от усилий по мониторингу.

Дальнейший анализ показал, что все теги, кроме последней версии, были подвергнуты компрометации, и дополнительный метод компрометации был идентифицирован в Trivy scanner версии 0.69.4, который также предоставил облегченный загрузчик stage-1 в среду пользователя. Этот загрузчик работал незаметно, непрерывно опрашивая сервер управления, размещенный на блокчейне интернет-компьютера, предназначенный для обеспечения устойчивости к попыткам демонтажа. Он смог незаметно загружать новые полезные файлы для выполнения, продлевая присутствие угрозы в системах компрометации.

Было рекомендовано выявлять потенциальное злоупотребление украденными токенами, используя поведенческие запросы для выявления необычных действий с токенами аутентификации, связанных с новыми сетевыми подсетями. Этот случай высвечивает уязвимости изменяемых ссылок в supply Chains программного обеспечения, раскрывая риски, которые возникают, когда теги выпуска могут указывать на ненадежный код в любой момент времени.

#technique

APT28 / FancyBear Phishing Framework

This directory contains a copy of the phishing and C2 framework from the exposed operation box (203.161.50[.]145:8889). It is for research and documentation only.

https://github.com/ctrlaltint3l/intelligence/tree/main/FancyBear/roundish

Вообще описание и ссылка была ранее
https://t.iss.one/aptreports/26982

#technique

Sleeping Beauty: Putting Adaptix to Bed with Crystal Palace

Adaptix C2 ships a default agent DLL. Out of the box, it’s a standard PE - it gets loaded into memory with RWX permissions everywhere, no IAT hooking, no sleep obfuscation, nothing fancy. If you’re doing red team work, that’s basically walking into a SOC with a neon sign that reads “PLEASE DETECT ME.”

https://maorsabag.github.io/posts/adaptix-stealthpalace/sleeping-beauty/

#technique

Fritter
The evasive cousin of Donut.

Fritter is a heavily modified fork of TheWover and Odzhan's Donut shellcode generator. It generates position-independent shellcode for in-memory execution of VBScript, JScript, EXE, DLL, and .NET assemblies, but with a heavy focus on evasion and signature resistance.

https://github.com/0xROOTPLS/Fritter

#technique

LOLC2
collection of C2 frameworks that leverage legitimate services to evade detection

https://lolc2.github.io/
https://github.com/lolc2/lolc2.github.io

#ParsedReport #CompletenessLow
23-03-2026

FriendlyDealer mimics official app stores to push unvetted gambling apps

https://www.malwarebytes.com/blog/scams/2026/03/friendlydealer-mimics-official-app-stores-to-push-unvetted-gambling-apps

Report completeness: Low

Threats:
Friendlydealer_tool

Industry:
Entertainment, Financial

Geo:
Mexico, Russia, San francisco, Russian

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 3
Url: 1

Soft:
Android, Google Play, Chrome, Instagram, TikTok

Languages:
javascript

Platforms:
apple

#ParsedReport #CompletenessMedium
23-03-2026

Threat Intelligence Report: MANGO SANDSTORM Dindoor / Fakeset Campaign

https://krypt3ia.wordpress.com/2026/03/20/threat-intelligence-report-mango-sandstorm-indoor-fakeset-activity/

Report completeness: Medium

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)

Threats:
Dindoor
Fakeset
Credential_harvesting_technique
Powgoop
Powerstats
Starwhale
Muddyviper
Ghostbackdoor
Dll_sideloading_technique
Spear-phishing_technique
Rclone_tool
Stagecomp
Darkcomp
Supply_chain_technique
Typosquatting_technique

Victims:
Financial services, Transportation, Nonprofit, Defense, Aerospace, Software

Industry:
Financial, Transport, Energy, Telco, Government, Aerospace, Logistic, Military

Geo:
Iran, Canadian, Africa, America, Israeli, Iranian, Asia, Middle east, Israel, Canada

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.006, T1059.007, T1090, T1102, T1105, T1553.002, T1566, T1567.002, T1583.001

IOCs:
Domain: 5
Hash: 25
File: 4

Wallets:
wassabi

Algorithms:
exhibit

Languages:
powershell, typescript, javascript, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2026 года иранская группа кибершпионажа MuddyWater запустила целенаправленную кампанию против организаций в США, Израиле и Канаде, используя Dindoor, бэкдор на базе Deno, и Fakeset, имплантат Python. Используя законные инструменты и Облачные сервисы для закрепления и эксфильтрации данных, они сосредоточились на критически важных секторах, нарушив работу финансов и транспорта. Их методы отражают переход к методам с низким уровнем сигнатур, позволяющим избежать обнаружения, используя тактику, основанную на поведении, и уменьшая зависимость от традиционной инфраструктуры управления.
-----

В феврале 2026 года иранская группа кибершпионажа MuddyWater провела целенаправленную кампанию по проникновению в организации в США, Израиле и Канаде. В кампании использовались два основных инструмента для борьбы с вредоносным ПО: Dindoor, бэкдор, использующий среду выполнения Deno, и Fakeset, имплантат на основе Python. В операции использовались законные инструменты и Облачные сервисы для постоянного доступа и эксфильтрации данных, что соответствовало интересам иранского государства, в частности Министерства разведки и безопасности (MOIS).

MuddyWater нацелен на различные сектора, по крайней мере, с 2017 года, используя такие методы, как вредоносное ПО, административные инструменты и Целевой фишинг. Последняя кампания отражает усовершенствованный подход с использованием методов проникновения с низким уровнем сигнатур и меньшей зависимостью от традиционной инфраструктуры управления. В число целевых организаций входили финансовое учреждение США, канадская некоммерческая организация и аэропорт, которые играли важнейшую роль в сфере финансов, транспорта и обороны.

MuddyWater поддерживал доступ через Dindoor и Fakeset, используя Rclone для Эксфильтрации в облачные хранилища данных, такие как Wasabi, смешивая вредоносную активность с обычным трафиком. Использование Deno в Dindoor отражает эволюцию тактики, позволяющую повысить оперативную гибкость и снизить вероятность обнаружения. Дизайн Fakeset отсылает к ранее идентифицированным инструментам MuddyWater, улучшая атрибуцию.

Операция подчеркивает скрытность поведения, снижая вероятность обнаружения за счет минимизации статических показателей и усложнения традиционных методов обнаружения. Наблюдаемые методы согласуются с фреймворком MITRE ATT&CK, включая Целевой фишинг для первоначального доступа, злоупотребление Интерпретаторами командной строки и сценариев с помощью Deno, Передачу инструментов из внешней сети с помощью полезных нагрузок, размещенных в облаке, и Эксфильтрацию через веб-службы. Используемая гибридная инфраструктурная модель еще больше скрывает вредоносные действия, смешивая их с безопасными облачными операциями.

#ParsedReport #CompletenessMedium
23-03-2026

When Trust Becomes the Attack Vector: Analysis of the EmEditor Supply-Chain Compromise

https://techcommunity.microsoft.com/blog/microsoftsecurityexperts/when-trust-becomes-the-attack-vector-analysis-of-the-emeditor-supply-chain-compr/4499552

Report completeness: Medium

Threats:
Supply_chain_technique
Lolbin_technique
Process_injection_technique

Victims:
Enterprises, Individual users, Technology, Professional services, Regulated sectors

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1055, T1059.001, T1071.001, T1105, T1195.002, T1218.007

IOCs:
File: 4
Path: 1
Domain: 5
Hash: 2
Url: 5
IP: 4

Soft:
EmEditor, Windows Installer, Microsoft Defender, WordPress, chrome, Twitter

Algorithms:
sha256

Languages:
php, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В атаке EmEditor на supply-chain участвовали злоумышленники, использующие надежный канал распространения WordPress для доставки троянского установщика Microsoft (MSI) пользователям, предоставляя при этом администраторам доступ к законному контенту. Они получили доступ через уязвимый плагин WordPress и манипулировали PHP-кодом, чтобы изменить поведение загрузки в зависимости от пользовательского контекста. Вредоносный MSI использовал пользовательские действия установщика Windows для бесшумной кражи учетных данных, позволяя Внедрению кода в процесс браузера перехватывать сеансы без запуска значительных предупреждений, подчеркивая эволюцию тактики в киберугрозах.
-----

Злоумышленники подвергли компрометации канал распространения программного обеспечения EmEditor, используя надежную инфраструктуру WordPress. Они использовали уязвимый плагин WordPress или открытый административный интерфейс для доступа к механизму распространения. Для закрепления был развернут Веб-шелл. Злоумышленники внедрили условную логику в PHP-файл темы, чтобы доставить троянский установщик Microsoft (MSI) общедоступным пользователям, предоставив при этом законный доступ администраторам. Вредоносный установщик использовал пользовательские действия установщика Windows для выполнения полезной нагрузки в памяти, что позволило похитить учетные данные с помощью внедрения по именованному каналу. Проблемы с обнаружением при криминалистическом анализе возникли из-за того, что вредоносное ПО запускалось без запуска значимых предупреждений. Атака была нацелена на процессы браузера, внедряясь в chrome.exe и msedge.exe избегая при этом типичных шаблонов создания файлов. Рекомендации по защите включают изоляцию затронутых конечных точек, блокировку вредоносных доменов, принудительный сброс учетных данных и мониторинг необычных msiexec.exe активность. Меры обнаружения должны быть сосредоточены на цепочках выполнения PowerShell и наблюдении за поведением процессов браузера. Индикаторами компрометации являются конкретные хэши файлов для троянских установщиков MSI и доменов, связанных с инфраструктурой управления. Инцидент отражает тенденцию злоумышленников использовать надежные методы распространения в обход традиционных мер безопасности.

#ParsedReport #CompletenessLow
23-03-2026

Pro-Iranian Nasir Security is Targeting The Energy Sector in the Middle East

https://www.resecurity.com/blog/article/pro-iranian-nasir-security-is-targeting-the-energy-sector-in-the-middle-east

Report completeness: Low

Actors/Campaigns:
Al-nasir_resistance (motivation: disinformation, cyber_criminal, propaganda)

Threats:
Supply_chain_technique
Spear-phishing_technique
Bec_technique

Victims:
Energy, Oil and gas, Supply chain vendors, Engineering, Safety, Construction, Information technology, Defense

Industry:
Petroleum, Energy, Logistic, Military

Geo:
Oman, Saudi arabia, Iraq, Turkey, Iranian, American, Israel, Israeli, Lebanon, Syria, Iran, Palestinian, Middle east

TTPs:

IOCs:
Url: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Nasir Security, проиранская киберпреступная группировка, нацелена на энергетический сектор на Ближнем Востоке, в первую очередь на организации в странах Совета сотрудничества арабских государств Персидского залива. Их тактика включает компрометацию деловой электронной почты с помощью spear phishing, использование уязвимостей общедоступных приложений и эксфильтрацию данных из небезопасных облачных хранилищ, что указывает на стратегию атак с использованием supply chain. Их операции могут включать элементы из различных группировок, использующих дезинформацию для преувеличения своих заявлений о краже данных, в то же время выборочно получая конфиденциальные документы от сторонних поставщиков для облегчения своих атак.
-----

Nasir Security - проиранская киберпреступная группировка, нацеленная на энергетический сектор на Ближнем Востоке, в частности в странах Совета сотрудничества арабских государств Персидского залива. Их деятельность началась примерно 5 октября 2025 года с примечательного инцидента с участием израильской IT-компании Taldor. Они заявляют о несанкционированном доступе к критически важным системам, связанным с оборонными структурами, и утверждают о эксфильтрации конфиденциальных данных, скорее всего, от сторонних поставщиков, а не о прямых нарушениях. Тактика группы включает в себя spear phishing, атаки с выдачей себя за другого и использование уязвимостей в общедоступных приложениях. Они также извлекают данные из небезопасного облачного хранилища. Ключевыми целями являются энергетические компании, такие как Dubai Petroleum и CC Energy Development, с заявлениями о нападениях на предприятия в Ираке и Саудовской Аравии. Расследования показывают, что их заявления о масштабной краже данных часто преувеличены. Группа может использовать подлинные документы, полученные в результате компрометации подрядчиков, для планирования дальнейших атак на жизненно важную инфраструктуру. Приписывание Nasir Security является сложным, с указанием элементов из различных идеологически мотивированных группировок. Их действия могут включать психологическую тактику и дезинформацию, раздувание заявлений о эксфильтрации данных, чтобы посеять путаницу и продемонстрировать предполагаемую уязвимость энергетического сектора. Организациям рекомендуется усилить меры по Кибербезопасности, особенно в отношении уязвимостей Цепочки поставок.