#ParsedReport #CompletenessLow
16-01-2025

Threat Bulletin: Weaponized Software Targets Chinese-Speaking Organizations

https://intezer.com/blog/malware-analysis/weaponized-software-targets-chinese

Report completeness: Low

Actors/Campaigns:
Silver_fox

Threats:
Pngplug
Valleyrat
Junk_code_technique
Gh0st_rat

Geo:
Hong kong, Taiwan, China, Israel

ChatGPT TTPs:
do not use without manual check
T1055, T1140, T1204, T1027, T1083, T1566, T1129, T1574.009

IOCs:
File: 7
Registry: 1
IP: 2
Hash: 50

Soft:
Windows Installer

Algorithms:
xor

Platforms:
x86

Links:
https://github.com/hasherezade/pe\_to\_shellcode/tree/a2458c96619b721677af0f9b906cd6a229364b4c

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждаются кибератаки, направленные на китайскоязычные организации в таких регионах, как Гонконг, Тайвань и Китай, с использованием многоступенчатого загрузчика PNGPlug для доставки вредоносного ПО ValleyRAT. Злоумышленники используют методы фишинга, чтобы обманом заставить жертв загружать вредоносное программное обеспечение, замаскированное под законные приложения. Загрузчик PNGPlug выполняет различные вредоносные действия, включая внедрение в память, установку исправлений ntdll.dll и обнаружение антивирусного программного обеспечения, в то время как вредоносная программа ValleyRAT использует передовые технологии для контроля зараженных систем. Злоумышленники сосредотачиваются на пробелах в работе организаций и используют легальное программное обеспечение для распространения вредоносных программ, подчеркивая необходимость в усовершенствованных механизмах обнаружения и предотвращения новых атак хакеров. Кампания, проводимая Silver Fox APT group, подчеркивает важность надежных мер кибербезопасности для борьбы с изощренными хакерами.
-----

В тексте описывается серия кибератак, нацеленных на организации в китайскоязычных регионах, таких как Гонконг, Тайвань и Китай, с использованием многоступенчатого загрузчика PNGPlug для доставки вредоносного ПО ValleyRAT. Атака начинается с фишинговой веб-страницы, которая обманом заставляет жертву загрузить вредоносный пакет MSI, замаскированный под легальное программное обеспечение. Этот пакет MSI содержит загрузчик PNGPlug, который извлекает зашифрованный архив, содержащий компоненты вредоносного ПО. Основная функция загрузчика заключается в установке исправлений ntdll.dll для внедрения в память, анализе аргументов командной строки и обнаружении антивирусного программного обеспечения перед выполнением вредоносных процессов.

Загрузчик расшифровывает путь к реестру и загружает в память файлы, такие как aut.png и view.png, маскируя их под изображения в формате PNG с закодированной вредоносной полезной нагрузкой. Он также проверяет наличие 360 Total Security, чтобы в дальнейшем избежать обнаружения. Вредоносная программа ValleyRAT, приписываемая Silver Fox APT group, использует передовые методы, такие как выполнение шеллкода, обфускация, повышение привилегий и механизмы сохранения для поддержания контроля над зараженными системами. Этапы создания вредоносной программы включают начальное выполнение, развертывание запутанного шелл-кода и получение дополнительных компонентов с сервера управления.

Кампания, нацеленная на организации, говорящие на китайском языке, демонстрирует целенаправленный подход в разных регионах, который обычно рассматривается в сообществе безопасности отдельно. Злоумышленники используют потенциальные пробелы в работе организаций, особенно связанные с инструментами сотрудников и использованием свободного программного обеспечения. Они также используют легальное программное обеспечение в качестве средства доставки вредоносных программ, смешивая вредоносные действия с безопасными приложениями. Модульная конструкция загрузчика PNGPlug усиливает угрозу, позволяя настраивать ее для нескольких кампаний и иллюстрируя эволюцию хакеров, которым требуются усовершенствованные механизмы обнаружения и предотвращения.

В тексте подчеркивается уникальная нацеленность злоумышленников на организации, говорящие на китайском языке, использование фишинговых методов и инструментов шпионажа, таких как ValleyRAT, для отслеживания действий и установки дополнительных полезных программ. Кампания проводится группой Silver Fox APT group на основе данных о виктимологии, переносчиках инфекции и наблюдаемой полезной нагрузке, что подчеркивает важность надежных мер кибербезопасности против изощренных хакеров. Адаптивность и скрытный характер атак иллюстрируют необходимость постоянного совершенствования средств защиты от кибербезопасности для эффективного противодействия развивающимся угрозам.

#ParsedReport #CompletenessLow
17-01-2025

New Star Blizzard spear-phishing campaign targets WhatsApp accounts

https://www.microsoft.com/en-us/security/blog/2025/01/16/new-star-blizzard-spear-phishing-campaign-targets-whatsapp-accounts

Report completeness: Low

Actors/Campaigns:
Seaborgium

Threats:
Spear-phishing_technique

Victims:
Journalists, Think tanks, Non-governmental organizations, Government or diplomacy, Defense policy researchers, International relations researchers

Industry:
Ngo, Government

Geo:
Ukraine, Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1566.002

IOCs:
Domain: 3

Soft:
WhatsApp, Microsoft Defender for Endpoint, Microsoft Defender, Twitter

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Microsoft Threat Intelligence обнаружила изменение тактики российского хакера Star Blizzard в кампании фишинга, нацеленной на правительственные, дипломатические, оборонные и исследовательские организации, связанные с Россией и Украиной. Несмотря на сбои, Star Blizzard продемонстрировала адаптивность, перейдя на новые домены и взломав учетные записи WhatsApp. Корпорация Майкрософт продолжает отслеживать и сообщать о своей деятельности, чтобы повысить осведомленность и помочь организациям в усилении их защиты.
-----

Недавно, в середине ноября 2024 года, Microsoft Threat Intelligence обнаружила изменение тактики российского хакера, известного как Star Blizzard. Хакер, нацеленный на организации, связанные с правительством, дипломатией, оборонной политикой, исследователями международных отношений, специализирующимися на России, и источниками помощи Украине, инициировал фишинговую кампанию, предлагая получателям возможность присоединиться к группе в WhatsApp, что отличалось от их обычных методов. Ранее Star Blizzard проводила целенаправленные фишинговые кампании против организаций гражданского общества, что приводило к утечке конфиденциальных данных и нарушению деятельности. После скоординированных действий Microsoft и Министерства юстиции США по удалению более 180 связанных веб-сайтов Star Blizzard быстро адаптировалась, перейдя на новые домены, продемонстрировав свою устойчивость к сбоям в работе.

Переход к компрометации учетных записей WhatsApp, вероятно, был вызван разоблачением их тактики различными организациями, включая Microsoft Threat Intelligence. Несмотря на очевидное сворачивание кампании к концу ноября, это изменение тактики служит предупреждающим знаком о способности хакеров приспосабливаться и упорстве в уклонении от обнаружения. Корпорация Майкрософт продолжает отслеживать деятельность Star Blizzard и сообщать о ней, чтобы повысить осведомленность и помочь организациям в усилении их защиты от подобных угроз.

В рамках фишинговой кампании Star Blizzard, проводимой с использованием WhatsApp, хакер, выдававший себя за представителя правительства США, отправлял первые электронные письма своим жертвам, а затем отправлял второе электронное письмо, содержащее вредоносную ссылку. В электронном письме получатели приглашались присоединиться к группе WhatsApp, которая якобы поддерживает украинские НПО, используя нечитаемый QR-код для быстрого получения ответов. Впоследствии сокращенный URL-адрес с безопасными ссылками направлял адресатов на веб-страницу, где им предлагалось отсканировать QR-код, чтобы присоединиться к группе. Однако вредоносный QR-код облегчил доступ к учетной записи WhatsApp жертвы, позволив хакеру извлекать данные с помощью плагинов для браузера, предназначенных для экспорта сообщений из учетных записей, к которым был получен доступ через WhatsApp Web.

Microsoft Threat Intelligence рекомендует пользователям, особенно в секторах, на которые обычно нацелена Star Blizzard, проявлять осторожность при работе с электронными письмами, содержащими внешние ссылки. Среди рекомендаций - сохранять бдительность и использовать Microsoft Defender XDR для комплексной защиты от подобных угроз. Клиентам рекомендуется ознакомиться с применимыми средствами обнаружения в Microsoft Defender XDR, чтобы определить активность потенциальных угроз, связанную с Star Blizzard. Кроме того, отчеты в продуктах Microsoft содержат актуальную аналитическую информацию, сведения о защите и предлагаемые действия по предотвращению, смягчению последствий или реагированию на угрозы, исходящие от хакеров.

Для дальнейшего взаимодействия и обновления информации пользователям рекомендуется подписаться на Microsoft Threat Intelligence в LinkedIn и X (ранее Twitter).

#ParsedReport #CompletenessLow
18-01-2025

Fatal UEFI Secure Boot Flaw (CVE-2024-7344) Exposes Millions to Hackers

https://www.secureblink.com/cyber-security-news/fatal-uefi-secure-boot-flaw-cve-2024-7344-exposes-millions-to-hackers

Report completeness: Low

Threats:
Bootkitty
Blacklotus

CVEs:
CVE-2024-7344 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1542.002, T1078

IOCs:
File: 3

Soft:
Linux

Languages:
swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении и раскрытии критической уязвимости (CVE-2024-7344) в UEFI Secure Boot, которая позволяет выполнять вредоносный код во время загрузки в обход средств защиты Secure Boot. Уязвимость позволяет злоумышленникам развертывать загрузчики UEFI, такие как Bootkitty или BlackLotus, заменяя загрузчик по умолчанию скомпрометированным двоичным файлом, что приводит к потенциальным угрозам безопасности для различных современных систем. Процесс раскрытия информации включал координацию с поставщиками для принятия мер по смягчению последствий, что привело к отзыву уязвимых двоичных файлов в обновлении Microsoft Patch Tuesday.
-----

Исследователи обнаружили чрезвычайно важную уязвимость, известную как CVE-2024-7344, которая представляет серьезную угрозу для UEFI Secure Boot, важнейшей меры безопасности, предназначенной для поддержания целостности процессов загрузки системы. Эта уязвимость позволяет выполнять вредоносный код во время загрузки, даже при активной безопасной загрузке, создавая значительные угрозы безопасности для широкого спектра современных систем. Этот эксплойт открывает возможности для развертывания загрузчиков UEFI, таких как Bootkitty или BlackLotus, что еще больше усугубляет потенциальное воздействие.

Атака включает замену загрузчика по умолчанию на скомпрометированный двоичный файл с именем reloader.efi. Злоумышленники внедряют вредоносную полезную нагрузку, размещая созданный файл с именем cloak.dat, содержащий неподписанные двоичные файлы, в системном разделе EFI (ESP). После перезагрузки системы вредоносный двоичный файл запускается без соблюдения политик безопасной загрузки. Хотя для этой атаки требуются повышенные привилегии, такие как права локального администратора в Windows или root-доступ в Linux, она может быть выполнена в системах, которые доверяют сертификату UEFI стороннего производителя Microsoft.

Система UEFI Secure Boot работает путем сверки двоичных файлов с двумя важными базами данных для обеспечения целостности процесса загрузки. Раскрытие этой уязвимости последовало за структурированным процессом, направленным на координацию действий поставщиков и оперативное внедрение мер по устранению уязвимостей. Ключевые этапы процесса раскрытия информации включают обнаружение уязвимости исследователями 8 июля 2024 года, представление отчетности в Координационный центр сертификации (CERT/CC) 9 июля, взаимодействие CERT/CC с пострадавшими поставщиками 5 августа, первоначальные проверки исправлений с выявлением дополнительных недостатков 20 августа, перенос сроков обновления. раскрытие информации должно соответствовать срокам исправления 23 сентября, а также отзыву уязвимых двоичных файлов в обновлении Microsoft Patch Tuesday от 14 января 2025 года.

#ParsedReport #CompletenessLow
18-01-2025

Grixba s disguise: Play Ransomware impersonates SentinelOne for stealth recon

https://fieldeffect.com/blog/grixba-play-ransomware-impersonates-sentinelone

Report completeness: Low

Threats:
Playcrypt
Grixba

ChatGPT TTPs:
do not use without manual check
T1082, T1046, T1140, T1027

IOCs:
Path: 1
File: 6
IP: 1
Hash: 3

Soft:
NET Framework

Algorithms:
base64, xor, zip

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в важности средств разведки в преддверии атак программ-вымогателей с акцентом на обнаружение таких средств и упреждающее реагирование на них для разрушения цепочек атак и усиления защиты от кибербезопасности.
-----

Внедрение средств разведки является важным предвестником атак программ-вымогателей, позволяя хакерам собирать важную информацию о среде, в которой они находятся. Эти средства помогают идентифицировать программное обеспечение, службы, меры безопасности, открытые порты, активные службы и потенциальные векторы атак в сети. Недавно компания Field Effect MDR вмешалась в игровую атаку программ-вымогателей с использованием разведывательного инструмента Grixba, который продемонстрировал новые характеристики, ранее публично не раскрывавшиеся. Атака была инициирована путем установки Grixba по протоколу удаленного рабочего стола (RDP) на сервер Windows под видом законного программного обеспечения под названием SentinelOne Compatibility Wizard. Хакер подключился с IP-адреса, связанного с VPN-сервисом Private Internet Access (PIA).

После анализа было обнаружено, что образец Grixba представляет собой запутанное приложение на базе .NET, ориентированное на .NET Framework 4.6.2. Grixba запрашивает аргумент командной строки в кодировке base64 и ключ XOR при выполнении, что позволяет ему декодировать data.dat и получать доступ к inf_g.dll содержащий логику разведки. Восстановленный ключ XOR позволил Field Effect MDR продолжить анализ inf_g.dll, обнаружив различные аргументы командной строки для настройки параметров сканирования и параметров вывода. Инструмент может быть сконфигурирован для сканирования в различных областях, при этом результаты сохраняются в архивном файле с именем exportData.db, который упорядочивает данные сканирования в 18 таблицах с подробным описанием таких аспектов, как активные хосты, история веб-браузера, установленное программное обеспечение и сетевые маршруты.

Обнаружение Grixba с помощью Field Effect MDR и проактивное реагирование подчеркивают важность раннего выявления средств разведки для разрушения цепочек атак программ-вымогателей, предотвращения их перемещения в сторону и снижения рисков. Организациям настоятельно рекомендуется использовать решения по управляемому обнаружению и реагированию (MDR), способные обнаруживать такие инструменты и противодействовать им, для усиления защиты кибербезопасности от развивающихся угроз.

Средства разведки, такие как Grixba, являются не только ключевыми предшественниками, но и неотъемлемой частью успеха атак программ-вымогателей. Их использование позволяет точно определять цели, минимизировать риски обнаружения и максимизировать воздействие программ-вымогателей, обеспечивая стратегическое развертывание для максимального разрушения системы. Организации должны внедрять упреждающие меры, такие как раннее обнаружение таких инструментов, как Grixba, чтобы разорвать цепочки атак, предотвратить перемещение по сети и помешать полномасштабному внедрению программ-вымогателей. Такая упреждающая позиция играет решающую роль в укреплении защиты от изощренных хакеров.

#ParsedReport #CompletenessLow
18-01-2025

Under the cloak of UEFI Secure Boot: Introducing CVE-2024-7344

https://www.welivesecurity.com/en/eset-research/under-cloak-uefi-secure-boot-introducing-cve-2024-7344

Report completeness: Low

Threats:
Blacklotus
Bootkitty

Victims:
Howyar technologies inc., Greenware technologies, Radix technologies ltd., Sanfong inc., Wasay software technology inc., Computer education system inc., Signal computer gmbh

Industry:
Education

Geo:
Ukraine

CVEs:
CVE-2024-7344 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-34302 [Vulners]
CVSS V3.1: 6.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- horizondatasys uefi bootloader (<2022-06-01)


ChatGPT TTPs:
do not use without manual check
T1542, T1098

IOCs:
File: 2

Soft:
Linux

Algorithms:
xor

Functions:
LoadImage

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в необходимости отзыва и замены сертификатов Microsoft Windows Production PCA 2011 и Microsoft Corporation UEFI CA 2011 на более новые версии для устранения уязвимостей, связанных с загрузчиком BlackLotus, влияющим на загрузчики Windows. Уязвимость, идентифицированная как CVE-2024-7344, потенциально может привести к выполнению ненадежного кода во время загрузки системы, что создает риск развертывания вредоносных загрузчиков UEFI. В тексте описываются сроки обнаружения уязвимостей, их влияние на различные пакеты программного обеспечения для восстановления, методы использования и рекомендуемые стратегии устранения, такие как применение последних отзывов UEFI от Microsoft. В нем также предлагается использовать команды PowerShell для проверки на наличие уязвимостей в системах Windows и подчеркивается важность дополнительных мер безопасности, включая управление доступом к файлам системного раздела EFI и реализацию удаленной проверки на соответствие известным допустимым значениям. Наконец, в нем рассматриваются опасения по поводу необходимости обеспечения прозрачности при проверке подписи кода сторонними разработчиками UEFI, проводимой Microsoft, и освещается предстоящее внедрение новых сертификатов UEFI как возможности для повышения стандартов безопасности UEFI.
-----

Необходимость замены сертификата Microsoft Windows Production PCA 2011 на сертификат Windows UEFI CA 2023 для устранения уязвимостей, связанных с загрузчиком BlackLotus.

Сертификат Microsoft UEFI CA 2011 также нуждается в замене на сертификат Microsoft UEFI CA 2023 для подписи новых приложений UEFI.

Уязвимость (CVE-2024-7344) позволяет обойти защищенную загрузку UEFI, потенциально делая возможным выполнение ненадежного кода во время загрузки системы.

Уязвимость затрагивает пакеты программного обеспечения для восстановления системы в режиме реального времени, использующие сторонний сертификат Microsoft UEFI CA 2011.

Эксплуатация заключается в замене двоичного файла загрузчика операционной системы по умолчанию вредоносным приложением UEFI, требующим повышенных привилегий.

Устранение неполадок включает в себя применение последних отзывов UEFI от Microsoft и проверку влияния уязвимостей с помощью PowerShell для систем Windows.

Обновления для систем Linux должны быть доступны через службу встроенного по поставщика Linux.

Дополнительные средства защиты включают управление доступом к файлам в системном разделе EFI, настройку безопасной загрузки UEFI и реализацию удаленной проверки подлинности с помощью TPM.

Были высказаны опасения по поводу небезопасных методов в подписанных приложениях UEFI сторонних производителей и необходимости обеспечения прозрачности при проверке подписи кода сторонними разработчиками Microsoft UEFI.

#ParsedReport #CompletenessMedium
18-01-2025

IoT Botnet Linked to Large-scale DDoS Attacks Since the End of 2024. Summary

https://www.trendmicro.com/en_us/research/25/a/iot-botnet-linked-to-ddos-attacks.html

Report completeness: Medium

Threats:
Mirai
Bashlite
Synflood_technique
Tcpsynflood_technique
Tcpackflood_technique
Ackflood_technique
Udpflood_technique

Industry:
Transport, Financial, Iot

Geo:
India, Japanese, Asia, South africa, Japan, Poland, America, Bahrain

ChatGPT TTPs:
do not use without manual check
T1105, T1090.003, T1070.006, T1569.002

IOCs:
Hash: 11
Domain: 1
IP: 3

Soft:
Zyxel, Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - продолжающиеся крупномасштабные DDoS-атаки, организованные ботнетом Интернета вещей, нацеленные на компании в Японии и по всему миру, использующие варианты вредоносного ПО от Mirai и Bashlite для заражения устройств Интернета вещей и выполнения различных методов DDoS-атак. Атаки были нацелены на отрасли в разных регионах, что подчеркивает важность внедрения надежных мер безопасности устройств Интернета вещей для предотвращения участия в ботнет-атаках и применения контрмер, таких как обновление встроенного ПО, изменение учетных данных по умолчанию и сотрудничество с поставщиками услуг для фильтрации трафика.
-----

С конца 2024 года ведется непрерывный мониторинг крупномасштабных DDoS-атак ботнета Интернета вещей, нацеленных на компании в Японии и по всему миру.

Ботнет состоит из разновидностей вредоносных программ от Mirai и Bashlite, заражающих устройства Интернета вещей через уязвимости и слабые учетные данные.

Процесс заражения включает загрузку и выполнение вредоносных программ, подключающихся к C&C серверам для получения команд атаки, включая различные методы DDoS-атак, обновления вредоносных программ и прокси-сервисы.

Атаки в основном нацелены на Северную Америку и Европу, в основном на беспроводные маршрутизаторы и IP-камеры популярных брендов.

Объекты нападения были географически распределены по всей Азии, Северной и Южной Америке и Европе, с концентрацией в США, Бахрейне и Польше.

Для японских организаций наблюдались различные команды атаки по сравнению с международными целями, с различным воздействием в разных секторах.

Global threat intelligence выявила 348 устройств, использовавшихся при атаках, в основном беспроводные маршрутизаторы (80%) и IP-камеры (15%), распространенные бренды которых включают маршрутизаторы TP-Link, Zyxel и камеры Hikvision.

Большинство устройств ботнета расположены в Индии и Южной Африке из-за уязвимостей устройств Интернета вещей, таких как настройки по умолчанию, отсутствие обновлений и слабые функции безопасности.

Рекомендации по повышению безопасности устройств Интернета вещей для предотвращения распространения ботнетов и их влияния включают изменение учетных данных по умолчанию, регулярное обновление встроенного ПО, отключение неиспользуемых функций, изоляцию устройств, проверку настроек маршрутизатора и надлежащее управление устройствами.

DDoS-атаки перегружают сети и истощают ресурсы сервера, потенциально используя несколько атакующих команд одновременно.

Рекомендации по борьбе с DDoS-атаками включают использование брандмауэров и маршрутизаторов для блокировки IP-адресов, сотрудничество с поставщиками услуг, улучшение аппаратного обеспечения маршрутизаторов, мониторинг в режиме реального времени и блокирование IP-адресов с высоким трафиком.

Зараженные хосты в ботнете могут участвовать в DDoS-атаках и работать в качестве прокси-сервисов. Руководство CISA доступно для ознакомления с обзором DDoS-атак и контрмерами.

#ParsedReport #CompletenessHigh
18-01-2025

Threat Brief: CVE-2025-0282 and CVE-2025-0283 (Updated Jan. 17)

https://unit42.paloaltonetworks.com/threat-brief-ivanti-cve-2025-0282-cve-2025-0283

Report completeness: High

Actors/Campaigns:
Cl-unk-079
Unc5337

Threats:
Spawnmole
Spawnsloth
Spawnsnail
Credential_harvesting_technique
Dll_sideloading_technique
Dumplsass_tool
Lolbin_technique
Process_hollowing_technique

Industry:
Ics

CVEs:
CVE-2025-0282 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (22.7)
- ivanti neurons for zero-trust access (22.7)
- ivanti policy secure (22.7)

CVE-2025-0283 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (<9.1, <22.7, 21.9, 21.12, 22.1)
- ivanti neurons for zero-trust access (-, 22.2, 22.3, 22.4, 22.5)
- ivanti policy secure (<22.7)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1059.007, T1021.001, T1003.001, T1547.011, T1569.001, T1574.002, T1036.005, T1071.001

IOCs:
IP: 4
Hash: 10
File: 6
Path: 2

Soft:
Ivanti, Visual Studio

Algorithms:
xor, sha256

Languages:
perl

#ParsedReport #GeneratedSchema
Generated with GPT-4