#ParsedReport #CompletenessMedium
29-06-2025

1. Attack Process

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247506352&idx=1&sn=c9c57e22e7b3300fe2c7d07520d1f339&chksm=f9c1eab9ceb663af9394f52d9f6eb9552f0ee112f8f492b1da6acb8c3444756398d65f6e93e7&scene=178&cur_album_id=1955835290309230595&search_click_id

Report completeness: Medium

Actors/Campaigns:
Darkhotel

Threats:
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln
Zemana_tool
Byovd_technique

Victims:
North korean-related traders, People involved in north korean trade

Geo:
North korean, Korean

ChatGPT TTPs:
do not use without manual check
T1036.005, T1055.001, T1055.002, T1059.001, T1068, T1070.004, T1204.002, T1543.003, T1562.001, T1562.004, have more...

IOCs:
File: 6
Path: 4
Hash: 3

Soft:
Windows Defender, Microsoft Defender

Algorithms:
md5, rc4

Win API:
RtlDecompressBuffer, decompress, MsiGetPropertyW

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 5, table: 2, code: 17, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2025 года APT-C-06 запустил фишинговую кампанию с использованием установочного пакета вредоносных сертификатов, повысив ее эффективность за счет использования методов защиты от обнаружения. Вредоносная программа использует BYOVD для повышения привилегий, нацеливаясь на уязвимые драйверы для отключения функций безопасности, а также использует модульные методы для выполнения своей полезной нагрузки и управления ею.
-----

В феврале 2025 года APT-C-06 запустил фишинговую кампанию, используя файл-приманку с надписью (2025).zip, который содержал установочный пакет вредоносного сертификата cert.msi. Когда этот файл запускается, он инициирует ряд действий, которые в конечном итоге приводят к доставке вредоносной полезной нагрузки на целевой компьютер. Этот подход отражает более раннюю атаку той же группы в начале 2024 года, которая также использовала корейский установочный пакет для атаки на лиц, вовлеченных в торговлю с Северной Кореей, подчеркивая преемственность и целенаправленность стратегии таргетинга APT-C-06.

Недавняя кампания демонстрирует заметный рост сложности, особенно в методах защиты от обнаружения. Полезная нагрузка включает в себя обширный код, предназначенный для обхода антивирусного программного обеспечения, что значительно отличается от предыдущих более простых методов APT-C-06, которые в основном использовали известные уязвимости для первоначального доступа. Последовательность атак раскрывает двойной подход: создание запланированной задачи, которая выполняет PowerShell для загрузки и запуска последующих полезных нагрузок, и внедрение шелл-кода в процесс (dllhost.exe) для маскировки его вредоносных действий.

После инициализации вредоносная программа расшифровывает свою конфигурацию и выполняет дальнейшую загрузку. Она использует определенные операции, связанные с различными действиями по обработке данных, при этом различные инструкции определяют, как обрабатываются данные — от создания запланированных задач до записи файлов в указанные каталоги. Такой модульный подход позволяет злоумышленникам сохранять контроль над потоком выполнения и скрытно манипулировать системными процессами.

Примечательным аспектом этой атаки является метод BYOVD (Приведите свой собственный уязвимый драйвер), используемый для повышения привилегий и отключения механизмов безопасности. Злоумышленник использовал уязвимые драйверы, связанные с антивирусным программным обеспечением Zemana и Adlice, отправляя специальные коды управления вводом-выводом на свои устройства, чтобы завершить процессы и отключить функции защиты. Эти действия включают установку действия Microsoft Defender по умолчанию на "Игнорировать" для различных уровней угроз и полное отключение критически важных функций сервиса.

Возможности вредоносной программы позволяют ей отключать множество функций защитника Windows и нарушать работу его облачных служб защиты, эффективно делая хост-систему более уязвимой для дальнейшего использования. Использование специфических криптографических методов и манипуляций с процессами подчеркивает растущую сложность современных хакеров и адаптивные стратегии, используемые участниками APT, такими как APT-C-06.

#ParsedReport #CompletenessLow
29-06-2025

SAP NetWeaver CVE-202

https://labs.withsecure.com/publications/netweaver-cve-2025-31324.html

Report completeness: Low

Threats:
Xmrig_miner

Victims:
Sap netweaver server administrators, Sap customers

CVEs:
CVE-2025-31324 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sap netweaver (7.50)


ChatGPT TTPs:
do not use without manual check
T1046, T1059.004, T1087, T1105, T1190, T1218.009, T1496, T1505.003

IOCs:
Command: 2
Path: 3
Url: 3
File: 3
Hash: 2
IP: 2

Soft:
SAP NetWeaver, Linux

Algorithms:
base64, sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-31324 - это критическая уязвимость нулевого дня в SAP NetWeaver, позволяющая злоумышленникам, не прошедшим проверку подлинности, загружать веб-оболочки JSP для удаленного выполнения команд. Эксплуатация началась в марте 2025 года с развертывания майнера монет XMRig. Злоумышленники использовали certutil для загрузки вредоносных полезных данных, что указывает на сложные методы сохранения и горизонтального перемещения.
-----

29 апреля 2025 года уязвимость CVE-2025-31324 в SAP NetWeaver была добавлена в каталог известных эксплуатируемых уязвимостей CISA в связи с началом ее эксплуатации 22 апреля 2025 года. Эта критическая уязвимость нулевого дня, затрагивающая версию 7.50 компонента Visual Composer в SAP NetWeaver, позволяет злоумышленникам, не прошедшим проверку подлинности, загружать вредоносные файлы. Использование происходит из-за недостаточной проверки файлов в конечной точке /developmentserver/metadatauploader, в результате чего обработанные POST-запросы позволяют загружать вредоносные веб-оболочки JavaServer Pages (JSP). Эти веб-оболочки обеспечивают удаленное выполнение команд и несанкционированный доступ к системе.

Расследование, проведенное WithSecure, показало, что использование CVE-2025-31324 происходило как минимум с 18 марта 2025 года, когда была развернута веб-оболочка JSP с именем helper.jsp. Веб-оболочка облегчала выполнение команд с помощью HTTP-запросов, позволяя загружать и запускать майнер монет XMRig, который был специально идентифицирован как серьезная угроза в кампаниях по криптоджекингу. Вредоносные команды выполнялись через webshell несколько раз, причем в одном примечательном случае полезная нагрузка XMRig была получена с подозрительного IP-адреса.

Злоумышленник использовал certutil, легальную утилиту для Windows, используя ее как простой инструмент для загрузки вредоносных программ, что свидетельствует о сложном подходе к использованию и стойкости. Отслеженная активность свидетельствовала о том, что было задействовано несколько хакеров, причем первоначальный взлом был направлен на развертывание майнера монет, в то время как более поздние участники использовали установленную веб-оболочку для сбора дополнительной разведывательной информации, намекая на свое намерение составить карту сети и искать возможности для перемещения в другие стороны.

Процедурные меры включали изоляцию скомпрометированной системы, применение исправлений для устранения CVE-2025-31324 и удаление webshell. Кроме того, были даны рекомендации по мерам безопасности, в которых подчеркивалась важность мониторинга действий, связанных с webshells, выявления неправомерного использования законных инструментов, таких как certutil, обеспечения своевременного управления исправлениями и проведения анализа журналов для отслеживания несанкционированных действий. Было подчеркнуто, что проактивный поиск угроз имеет важное значение для выявления ранних признаков компрометации до развертывания вредоносной полезной нагрузки.

Этот инцидент иллюстрирует растущую изощренность хакеров, в частности, то, как злоумышленники используют уязвимости для обеспечения постоянного доступа и использования законных инструментов в вредоносных целях. Постоянный мониторинг, быстрое реагирование и надежные методы обеспечения безопасности имеют решающее значение для противодействия такого рода изощренным хакерам.

#ParsedReport #CompletenessMedium
29-06-2025

Hive0154 aka Mustang Panda shifts focus on Tibetan community to deploy Pubload backdoor

https://www.ibm.com/think/x-force/hive0154-mustang-panda-shifts-focus-tibetan-community-deploy-pubload-backdoor

Report completeness: Medium

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)
Hive0154 (motivation: cyber_espionage)

Threats:
Pubload
Claimloader
Pubshell
Spear-phishing_technique
Dll_sideloading_technique

Victims:
Tibetan community, Central tibetan administration, Tibetan government in exile, Us government, Us military, Us navy, Us diplomatic personnel, Philippines government, Philippines military, Philippines diplomatic personnel, have more...

Industry:
Government, Maritime, Military, Education

Geo:
Taiwan, Chinese, Congo, Tibet, China, India, Rwanda, Pakistan, Philippines, Pacific, Tokyo, Ukraine, Belgium, Japan, Tibetan, Indo-pacific

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.003, T1071.001, T1074.001, T1105, T1204.002, T1547.001, T1566.001

IOCs:
Coin: 1
IP: 1
File: 7
Path: 2
Registry: 1

Soft:
Instagram, Microsoft Word

Algorithms:
zip, xor, sha256

Functions:
SHSetValueA, LdrGetProcedureAddress

Win API:
LdrLoadDll, GetDC, EnumFontsW

Links:
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/ibm-xti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакер из Китая Hive0154 нацелен на тибетское сообщество, используя вредоносное ПО Pubload в фишинговых кампаниях с использованием соответствующих документов. Pubload использует обратные оболочки, в то время как Claimloader улучшает работу с помощью расширенного шифрования и динамической загрузки API для скрытности.
-----

Хакерская группа Hive0154, связанная с Китаем, недавно атаковала тибетское сообщество, используя вредоносное ПО Pubload в рамках серии изощренных фишинговых кампаний. В этих кампаниях используются культурно и политически значимые документы-приманки, такие как документы, связанные с 9-й Всемирной конвенцией парламентариев по Тибету (ВКПТ), и недавняя публикация Далай-ламы "Голос для безмолвных". Время проведения этих кампаний совпадает со значимыми событиями для тибетского сообщества, особенно в связи с повышенным интересом к 90-летию Далай-ламы, которое отмечается в июне 2025 года.

Pubload, простой бэкдор, способен загружать зашифрованные данные с помощью шеллкода и загружать их в память. Его основная полезная нагрузка, Pubshell, создает обратную оболочку для немедленного доступа к скомпрометированным компьютерам. Фишинговая тактика Hive0154 часто включает в себя вводящие в заблуждение имена файлов, ссылающиеся на текущие геополитические проблемы, чтобы побудить получателей к взаимодействию. Они продемонстрировали практику использования документов Microsoft Word, содержащих безобидный контент, наряду с вредоносными исполняемыми файлами, которые используют методы дополнительной загрузки DLL. Эта тактика является передовой, поскольку позволяет обойти традиционные меры безопасности, маскируя законную информацию в зараженных файлах.

Вредоносная программа Claimloader, загрузчик из арсенала Hive0154, расширяет функциональность их операций. Этот инструмент был усовершенствован, и в последнее время он использует алгоритм TripleDES для шифрования полезной нагрузки и динамической загрузки необходимых API-интерфейсов для обеспечения скрытого выполнения. После активации Claimloader создает мьютексы для обеспечения выполнения в единственном экземпляре и устанавливает постоянство с помощью ключей реестра. Его функция включает расшифровку встроенной полезной нагрузки и выполнение ее в памяти, что расширяет возможности Hive 0154 в отношении шпионажа и целенаправленного сбора данных.

Исследователи X-Force подчеркивают, что Hive 0154 активно участвует в кампаниях, нацеленных не только на тибетскую общину, но и на другие геополитические субъекты, что указывает на широкий круг интересов, включая иностранные правительственные организации. Их деятельность характеризуется тщательным планированием и исполнением, использованием навыков социальной инженерии для привлечения внимания пользователей к вредоносному контенту.

#ParsedReport #CompletenessLow
30-06-2025

Pi2Day Scams: Crypto Users Targeted in Coordinated Facebook Ad Campaign Delivering Malware and Stealing Wallets

https://www.bitdefender.com/en-us/blog/hotforsecurity/pi2day-scams-crypto-users-targeted-in-coordinated-facebook-ad-campaign-delivering-malware-and-stealing-wallets

Report completeness: Low

Victims:
Pi network users, Investors, Crypto afficionados, Crypto novices

Geo:
India, Vietnam, China, Philippines, Australia

ChatGPT TTPs:
do not use without manual check
T1027, T1056.001, T1059.007, T1105, T1204.002, T1555, T1562.006, T1566.002, T1589.001

IOCs:
File: 2

Soft:
TradingView

Crypto:
binance

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники нацелились на мероприятие Pi2Day с помощью фишинговой рекламы на Facebook, чтобы украсть фразы для восстановления криптокошелька и распространить вредоносное ПО. Они используют тактику обмана, такую как поддельные предупреждения о безопасности от авторитетных платформ и предложения бесплатного программного обеспечения для майнинга, внедряя вредоносные программы, которые могут украсть учетные данные и избежать обнаружения. Пользователи должны быть осторожны с подозрительной рекламой и загружать приложения только из официальных источников, чтобы снизить риск.
-----

Мероприятие Pi2Day, которое отмечается 28 июня, стало мишенью киберпреступников, использующих вредоносные рекламные кампании в Facebook. Целью этих атак является подбор фраз для восстановления криптокошелька и распространение вредоносного ПО. С 24 июня хакеры разместили более 140 вариантов рекламы с использованием изображений Pi Network, чтобы перенаправить пользователей на фишинговые сайты или вредоносные приложения. Атака, судя по всему, имеет глобальный охват, и ее целью являются такие регионы, как США, Европа, Австралия, Китай, Вьетнам, Индия и Филиппины.

Для этой кампании характерны два основных метода. Один из вариантов включает фишинговую рекламу, замаскированную под уведомления от авторитетных платформ, таких как Binance и TradingView, которые информируют пользователей о срочных мерах безопасности. Другой подход обещает пользователям бесплатное программное обеспечение для майнинга Pi или бонусы в размере 31,4 PI за установку приложений для ПК. Однако на самом деле эти установки содержат вредоносные программы, идентифицированные ранее, в частности Generic.msil.wmitask и Generic.JS.WMITask. Вредоносная программа является многоцелевой — она может красть сохраненные учетные данные и ключи крипто-кошелька, регистрировать вводимые пользователем данные, загружать дополнительные вредоносные компоненты и использовать методы обфускации и обхода "песочницы", чтобы оставаться незамеченной.

Киберпреступники используют доверие к известным платформам, вводя пользователей в заблуждение с помощью соблазнительной рекламы на Facebook, которая ведет на незаконные веб-сайты. Задействованное многоэтапное вредоносное ПО демонстрирует знакомую тактику уклонения от обнаружения и структуру инфраструктуры, что позволяет предположить, что оно организовано одной группой, проводящей несколько одновременных мошеннических действий с целью расширения охвата и получения финансовой выгоды. Bitdefender сообщила, что стала первой, кто выявил и заблокировал варианты вредоносного ПО, задействованные в этой кампании, которая включает в себя активную блокировку всех поддельных доменов и вредоносной полезной нагрузки.

Пользователям рекомендуется не вводить фразы для восстановления своего кошелька на любом веб-сайте и быть осторожными с рекламой, которая рекламирует крипто-бонусы или бесплатные приложения для майнинга без подтверждения их источников. В рекомендациях рекомендуется загружать приложения исключительно из официальных магазинов приложений или веб-сайта Pi Network и использовать такие инструменты, как Bitdefender Scamio, для оценки подозрительных сообщений и сайтов. Бдительность имеет решающее значение, поскольку этот сценарий указывает на более широкую и постоянную угрозу, когда одна и та же группа использует рекламную платформу Meta для проведения нескольких мошеннических операций, продолжая совершенствовать свою тактику, повторно используя одну и ту же вредоносную инфраструктуру.

#ParsedReport #CompletenessMedium
30-06-2025

DragonForce Ransomware: From Hacktivism to Global Cyber Extortion

https://darkatlas.io/blog/dragonforce-ransomware-from-hacktivism-to-global-cyber-extortion

Report completeness: Medium

Actors/Campaigns:
Dragonforce (motivation: cyber_criminal, hacktivism, financially_motivated)
Dragonforce_malaysia (motivation: hacktivism)
Lockbit (motivation: hacktivism)

Threats:
Dragonforce_ransomware
Ransomhub
Lockbit
Log4shell_vuln
Cobalt_strike_tool
Mimikatz_tool
Systembc
Supply_chain_technique
Conti
Byovd_technique

Industry:
Aerospace, Retail, Telco, E-commerce, Logistic, Critical_infrastructure, Healthcare, Transport

Geo:
America, Asia

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)


TTPs:
Tactics: 7
Technics: 11

Algorithms:
aes-256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель DragonForce, выпущенная в 2023 году, работает как программа-вымогатель как услуга, ориентируясь на такие секторы, как розничная торговля и производство, с настраиваемой полезной нагрузкой. Для развертывания он использует модифицированный LockBit 3.0, применяя тактику двойного вымогательства и используя уязвимости, такие как Log4Shell. Их инструменты включают Cobalt Strike и Mimikatz, которые нацелены на разрушение критически важных секторов с целью получения финансовой выгоды.
-----

Программа-вымогатель DragonForce работает по модели "Программа-вымогатель как услуга" (RaaS), изменяя цели от политических до финансовых. Его модульный инструментарий позволяет филиалам создавать индивидуальные программы-вымогатели, воздействующие на такие секторы, как розничная торговля, финансы и производство, главным образом в Северной Америке, Европе и Азии. В декабре 2023 года DragonForce запустила "DragonLeaks" для борьбы с утечками данных и переговорами о выкупе, что указывает на связи с DragonForce Malaysia. Платформа включает настраиваемый конструктор полезной нагрузки, оптимизированное для скрытности шифрование, многоязычные порталы для жертв и многоуровневую модель распределения доходов.

Программа-вымогатель DragonForce использует модифицированную архитектуру LockBit 3.0 и использует стратегию двойного вымогательства, сочетающую шифрование данных с угрозами публичного раскрытия украденных данных. Первоначальный доступ часто получают с помощью фишинга, использования уязвимостей, таких как Log4Shell (CVE-2021-44228), вброса учетных данных и компрометации учетных данных.

Для горизонтального перемещения DragonForce использует Cobalt Strike, Mimikatz для кражи учетных данных и SystemBC для передачи команд и контроля. Группа использует такие методы, как горизонтальное перемещение по протоколу удаленного рабочего стола (RDP), и использует доверительные отношения в сетях.

Централизованная партнерская платформа использует панель управления на базе .onion, позволяющую партнерам настраивать двоичные файлы программ-вымогателей, управлять доходами и получать комиссионные. DragonForce ориентирована как на государственный, так и на частный сектор, уделяя особое внимание производству, технологическим фирмам, медицинским учреждениям и логистике, нарушая важнейшие цепочки поставок.

Группа также использует усовершенствованный вариант LockBit и усовершенствованный форк Conti, включающий в себя сложное шифрование и метод "Принесите свой собственный уязвимый драйвер" (BYOVD) для отключения обнаружения конечных точек. SystemBC обеспечивает постоянный доступ и скрытые боковые перемещения. Постоянное воздействие DragonForce на критически важные сектора отражает стремление к максимальному финансовому эффекту за счет сбоев в работе. Организациям рекомендуется усилить защиту в местах, подверженных риску, и следить за конкретными методами DragonForce.

#ParsedReport #CompletenessHigh
30-06-2025

Hide Your RDP: Password Spray Leads to RansomHub Deployment

https://thedfirreport.com/2025/06/30/hide-your-rdp-password-spray-leads-to-ransomhub-deployment/

Report completeness: High

Actors/Campaigns:
Ransomhub

Threats:
Password_spray_technique
Ransomhub
Mimikatz_tool
Lolbin_technique
Netscan_tool
Rclone_tool
Credential_harvesting_technique
Softperfect_netscan_tool
Atera_tool
Splashtop_tool
Shadow_copies_delete_technique
Lsadump_tool
Dcsync_technique
Nltest_tool
Nircmd_tool
Wevtutil_tool

Industry:
Telco

Geo:
United kingdom, Ukraine, Belgium

TTPs:
Tactics: 10
Technics: 27

IOCs:
IP: 3
File: 16
Command: 3
Path: 2
Registry: 1
Hash: 5

Soft:
Microsoft Edge, Windows Security, Windows shell, process explorer, fsutil, Active Directory, Local Security Authority, Google Chrome, WordPad, VirtualBox, have more...

Algorithms:
base64

Functions:
Get-VM, SetCloudRegion

Languages:
powershell, visual_basic

Platforms:
x86

YARA: Found
SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
table: 14, windows: 2, code: 3, schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце ноября 2024 года хакер использовал распыление паролей на сервере RDP для первоначального доступа, собрал учетные данные с помощью Mimikatz и провел разведку. Они развернули RClone для фильтрации данных, затем установили средства удаленного доступа и запустили программу-вымогатель RansomHub с использованием передовых методов уклонения, и все это в течение 118 часов.
-----

В конце ноября 2024 года хакер осуществил многоаспектное вторжение, которое началось с атаки с использованием пароля на незащищенный сервер протокола удаленного рабочего стола (RDP). В этой атаке использовались известные вредоносные IP-адреса, связанные с предыдущими атаками на учетные данные, что привело к успешной аутентификации шести учетных записей пользователей. После первоначального доступа злоумышленник собрал учетные данные, используя инструменты Mimikatz и Nirsoft CredentialFileView. Они получили широкую известность в сети, используя современные технологии и сторонние приложения, такие как Advanced IP Scanner и SoftPerfect NetScan, для получения сведений о системе и подсчета учетных записей пользователей и компьютеров, расширяя свое присутствие на различных контроллерах домена и серверах.

После установления доступа к ключевым серверам они развернули RClone, который использовался для фильтрации данных по протоколу SFTP, ориентируясь на определенные типы файлов, такие как документы и электронные письма. Процесс эксфильтрации включал выполнение скриптов, таких как nocmd.vbs и rcl.bat, для облегчения передачи, которая осуществлялась через порт 443, подтверждая использование SFTP. В последующие дни злоумышленник вернулся, чтобы провести разведку, установить средства удаленного доступа Atera и Splashtop для постоянного доступа и изменить пароли пользователей, что, вероятно, затруднит восстановление.

Кульминацией вторжения стало развертывание программы-вымогателя RansomHub, запускаемой с помощью двоичного файла с именем amd64.exe. Операция программы-вымогателя включала остановку всех запущенных виртуальных машин, удаление теневых копий и выполнение команд для очистки журналов событий, что серьезно затрудняло усилия по реагированию на инциденты. Распространение вредоносного ПО по сети осуществлялось с помощью SMB, в котором файлам-вымогателям присваивались случайные символы, чтобы скрыть их вредоносную природу. Была проведена тщательная подготовка и проверка сети, чтобы обеспечить эффективное распространение программы-вымогателя при минимальном обнаружении.

На протяжении всей атаки хакер демонстрировал явное намерение не высовываться и избежать обнаружения, используя законные инструменты для удаленного доступа и обнаружения информации. Использование инструментов сброса учетных данных и нацеливание на конкретные серверы с высокой стоимостью указывают на сложный подход, направленный на максимизацию последствий вторжения при одновременном обеспечении операционной безопасности. Общее время, затраченное на получение первоначального доступа к программе-вымогателю, составило приблизительно 118 часов, что свидетельствует о хорошо спланированной и методичной стратегии атаки.

#ParsedReport #CompletenessLow
30-06-2025

Threat Actors Exploit CVE-2025-3248 to Deliver Flodrix Botnet

https://blog.polyswarm.io/threat-actors-exploit-cve-2025-3248-to-deliver-flodrix-botnet

Report completeness: Low

Threats:
Flodrix_botnet
Leethozer_botnet

CVEs:
CVE-2025-3248 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.3.0)


TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 11

Soft:
Langflow

Languages:
python