#ParsedReport #CompletenessLow
03-07-2025

Exclusive disclosure of the "NightEagle" attack activities of an APT organization in a North American country

https://www.ctfiot.com/259781.html

Report completeness: Low

Actors/Campaigns:
Nighteagle

Threats:
Chisel_tool

Victims:
Top companies, High-tech units, Big model application industry, Military industries

Industry:
Semiconductor_industry, Military

Geo:
American, America, China, Malaysia

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1053.005, T1055, T1071.004, T1078, T1090.001, T1105, T1190, have more...

IOCs:
Domain: 23
File: 9
IP: 2

Soft:
ASP.NET, WeChat

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NightEagle (APT-Q-95) использует неизвестную уязвимость Microsoft Exchange, используя динамическую вредоносную программу, троянскую программу Chisel на базе Go, для скрытого проникновения в интрасеть. Ориентируясь на высокотехнологичные сектора Китая, они демонстрируют передовые тактические приемы, включая способность стирать следы после атаки и манипулировать ответами сервера для получения доступа к конфиденциальным данным.
-----

Qi'an Pangu отслеживает сложную APT-группу, известную как NightEagle (APT-Q-95), которая, как подозревается, использует неизвестную уязвимость в Microsoft Exchange. Эта организация располагает значительными ресурсами, что позволяет ей приобретать многочисленные сетевые ресурсы, такие как VPS-серверы и доменные имена, при этом каждая атака потенциально использует другое доменное имя, сопровождаемое часто меняющимися IP-адресами, для обеспечения оперативной скрытности. NightEagle в первую очередь нацелился на высокотехнологичные секторы, включая полупроводниковые, квантовые технологии, искусственный интеллект и военную промышленность Китая, с целью кражи конфиденциальных разведданных.

Оперативная тактика NightEagle заключается в быстром уходе с места нападения после получения информации и обеспечении того, чтобы следы их деятельности были полностью стерты. Во время своих операций группа была известна своей ночной активностью, по сообщениям, совершая нападения между 9 часами вечера и 6 часами утра по пекинскому времени. Злоумышленники продемонстрировали усовершенствованные возможности, внедрив вредоносное ПО, в частности, специализированный троян семейства Chisel, написанный на Go, который активируется через определенные промежутки времени с помощью запланированных задач. Это вредоносное ПО облегчает проникновение в интрасеть, устанавливая скрытое соединение Socks с серверами управления (C&C).

Анализ взломанной среды показал, что троянец NightEagle работает в оперативной памяти, что делает его менее обнаруживаемым традиционными антивирусными решениями. Загрузчик вредоносной программы, идентифицированный как App_Web_cn*.dll—файл ASP.NET предварительно скомпилированная библиотека DLL — была обнаружена на сервере Exchange и служит механизмом для дальнейшего доступа вредоносной программы. Запросы к виртуальным URL-адресам манипулируют ответами сервера, чтобы запустить полезную нагрузку троянца memory.

В ходе расследования был сделан вывод, что злоумышленники, вероятно, воспользовались уязвимостью нулевого дня для получения машинного ключа сервера Exchange, что позволило им получить несанкционированный доступ и прочитать конфиденциальные данные почтового ящика. Исследование инструментов и методов, используемых NightEagle, выявило закономерность в их таргетинге, с уникальными характеристиками доменных имен, используемых для атак, включая их регистрацию через Tucows и методы разрешения, которые маскировали реальные IP-адреса во время работы.

Анализ показывает, что группировка NightEagle динамична и корректирует направление своих атак в соответствии с геополитическими изменениями, сохраняя при этом обширную оперативную базу в сфере кибершпионажа. Их логистика демонстрирует сложный подход - от первоначального проникновения до скрытой утечки данных. Информация, полученная об инструментах, методах и процедурах APT group, имеет решающее значение для усиления защиты от их меняющихся стратегий в области кибербезопасности.

#ParsedReport #CompletenessLow
04-07-2025

CrowdStrike Services Observes SCATTERED SPIDER Escalate Attacks Across Industries

https://www.crowdstrike.com/en-us/blog/crowdstrike-services-observes-scattered-spider-escalate-attacks/

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: financially_motivated)

Threats:
Ad_explorer_tool
Adrecon_tool
Chisel_tool
Mobaxterm_tool
Ngrok_tool
Teleport_tool
Sim_swapping_technique
Teamviewer_tool
Anydesk_tool

Victims:
Insurance entities, Retail entities, Airlines

Industry:
Aerospace, Retail

ChatGPT TTPs:
do not use without manual check
T1003.003, T1078, T1087.002, T1114.003, T1486, T1489, T1556.006, T1562.001, T1567.002, T1572, have more...

IOCs:
File: 1

Soft:
Active Directory, Rsocx, S3 Browser, ESXi, Microsoft Defender, Confluence

Functions:
Get-ADUser

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SCATTERED SPIDER, киберпреступная группировка, специализирующаяся на электронных преступлениях, теперь нацелена на авиацию, а также страхование и розничную торговлю. Они используют голосовой фишинг для кражи учетных данных для доступа к Microsoft Entra ID и VMware, используя такие тактические приемы, как боковое перемещение, для развертывания программ-вымогателей, угрожая утечкой данных с целью вымогательства. Защитные меры включают расширенный мониторинг инфраструктуры VMware и облачных приложений для обнаружения несанкционированных действий.
-----

Киберпреступная группа SCATTERED SPIDER, специализирующаяся на электронных преступлениях, начала атаковать авиационный сектор в дополнение к страхованию и розничной торговле. Во втором квартале 2025 года группа проявляла особую активность в отношении компаний США и Великобритании. Их основной метод атаки заключается в голосовом фишинге, направленном на сотрудников службы поддержки, чтобы получить доступ к учетным записям Microsoft Entra ID, SSO и VDI. Они эффективно выдают себя за законных сотрудников, точно отвечая на вопросы службы поддержки для сброса паролей и многофакторной аутентификации.

Как только доступ получен, они переключаются на SaaS-приложения для горизонтального перемещения и сбора информации, фокусируясь на получении финансовой выгоды за счет вымогательства. SPIDER SPIDER проводит разведку сред Active Directory с помощью таких инструментов, как ADExplorer и PowerShell scripts. Они использовали VMware vCenter для создания неуправляемых виртуальных машин, подключая диски виртуальных машин контроллера домена для извлечения файлов базы данных Active Directory.

Методы защиты включают установку законных средств туннелирования и прокси-серверов на взломанные виртуальные машины и манипулирование правилами передачи электронной почты, чтобы препятствовать обнаружению подозрительных действий. Целью группы является внедрение программ-вымогателей в инфраструктуры VMware ESXi, угрожающих утечкой данных, если требования о выкупе не будут выполнены. Они используют методы социальной инженерии, замену SIM-карт и инструменты удаленного доступа, такие как TeamViewer, для обеспечения устойчивого доступа.

SCATTERED SPIDER использует облачных провайдеров идентификации для перемещения по сети и извлечения данных перед развертыванием программ-вымогателей. Они нацелены на среды поставщиков облачных услуг, таких как Azure, AWS и Google Cloud Identity. Организациям рекомендуется усилить мониторинг инфраструктур VMware, отслеживать изменения и внедрять надежные планы реагирования на инциденты. Превентивные меры должны включать в себя развертывание средств сбора информации в виртуальных средах и мониторинг подозрительной активности в облачных приложениях.

#ParsedReport #CompletenessHigh
04-07-2025

Hpingbot: A New Botnet Family Based on Pastebin Payload Delivery Chain and Hping3 DDoS Module

https://nsfocusglobal.com/hpingbot-a-new-botnet-family-based-on-pastebin-payload-delivery-chain-and-hping3-ddos-module/

Report completeness: High

Threats:
Hpingbot
Hping3_tool
Mirai
Bashlite
Sysvinit_tool
Ackflood_technique
Tcpflood_technique
Synflood_technique
Udpflood_technique

Victims:
Netdata, Servers, Containers, Applications, Network devices

Industry:
Iot

Geo:
Germany, Turkey, German

TTPs:
Tactics: 6
Technics: 14

IOCs:
IP: 2
Url: 3
Hash: 1

Soft:
Unix, Systemd, curl

Platforms:
amd64, mips, cross-platform, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Hpingbot - это ботнет на базе Go, обнаруженный в июне 2025 года, работающий на Windows и Linux /IoT и использующий несколько архитектур. Он проводит целенаправленные DDoS-атаки, используя слабые пароли SSH для распространения и используя Pastebin для распределения полезной нагрузки. Новый модуль DDoS предлагает расширенные возможности, фокусируясь на выполнении полезной нагрузки по сравнению с традиционными методами DDoS.
-----

Hpingbot представляет собой новое семейство ботнетов, разработанное в основном на Go, обнаруженное исследовательской лабораторией NSFOCUS в июне 2025 года. Этот кроссплатформенный ботнет работает в системах Windows и Linux/IoT, используя множество процессорных архитектур, включая amd64, mips, arm и 80386. Это было задумано в ответ на последние тенденции, когда доступность исходного кода ботнета и инструментов искусственного интеллекта сделала разработку ботнета более доступной. В то время как многие новые ботнеты являются адаптацией традиционных семейств, таких как Mirai и Gafgyt, hpingbot выделяется своей уникальной архитектурой и методологиями работы, в частности, использованием Pastebin для распределения полезной нагрузки и инструмента hping3 для проведения DDoS-атак.

Оперативное поведение hpingbot показывает, что он часто остается бездействующим, выдавая ограниченное количество DDoS-команд, в основном против целей в Германии, Соединенных Штатах и Турции. Интересным наблюдением является то, что ботнет изначально нацелился на IP-адрес, связанный с инструментом мониторинга NetData с открытым исходным кодом, что указывает на возможность того, что тестирование возможностей DDoS-атак интегрировано в рабочий процесс его разработки. Примечательно, что, хотя Windows-версия hpingbot напрямую не использует hping3 для DDoS-атак, ее частая оперативная активность позволяет предположить, что злоумышленники могут уделять больше внимания загрузке и выполнению произвольной полезной нагрузки, а не исключительно проведению DDoS-атак.

С середины июня 2025 года наблюдается повышенная активность в отношении функциональности hpingbot. Злоумышленники начали распространять новый компонент для DDoS-атак, также разработанный на Go, в котором отсутствует интеграция с Pastebin или hping3. Этот новый модуль, который, судя по наличию отладочной информации, находится на стадии тестирования, реализует функции защиты от наводнений через UDP и TCP, служа либо потенциальной заменой оригинальному hpingbot, либо вспомогательным инструментом для распределения полезной нагрузки. Двойная функциональность подчеркивает роль ботнета как посредника в проведении более масштабных атак, включая доставку APT-компонентов или программ-вымогателей.

Методы распространения, используемые hpingbot, в основном связаны с использованием слабых паролей SSH. Примечательно, что модуль распространения SSH работает независимо от самой ботнета, что позволяет предотвратить раскрытие ключевой информации и усилить контроль над операционными масштабами. Технические стратегии, используемые hpingbot, согласуются с несколькими этапами платформы MITRE ATT&CK, используя Pastebin для размещения полезной нагрузки, используя системные службы для сохранения и выполняя задачи с помощью сценариев оболочки.

Модуль DDoS оперативно управляет hping3, используя упрощенный текстовый формат, что позволяет злоумышленникам инициировать различные типы DDoS-атак с помощью легко настраиваемых параметров. Несмотря на свои основные возможности для DDoS-атак, архитектура hpingbot подчеркивает важность возможностей выполнения полезной нагрузки, особенно когда версия Windows не может выполнить hping3.

#ParsedReport #CompletenessHigh
04-07-2025

Gamaredon in 2024: Cranking out spearphishing campaigns against Ukraine with an evolved toolset

https://web-assets.esetstatic.com/wls/en/papers/white-papers/gamaredon-in-2024.pdf

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage, propaganda)
Invisimole

Threats:
Spear-phishing_technique
Pterographin
Pteropsdoor
Pterodoc
Pterotemplate
Smuggling_technique
Pterosand
Pteropsload
Pterolnk
Pterotickle
Pterocdrop
Pterogram
Pterorisk
Pteropshell
Pterovdoor
Pterovload
Pteroscout
Pterox
Pteroscreen
Pterosig
Pterosocks
Pterosteal
Pterodespair
Pteroquark
Pterostew
Pterodash
Pterobox
Ngrok_tool
Fastflux_technique
Litterdrifter
Pteropsddoor
Junk_code_technique
Dead_drop_technique

Victims:
Governmental institutions

Geo:
Russian federation, Ukraine, Ukrainian, Russian, Crimea

TTPs:
Tactics: 11
Technics: 67

IOCs:
File: 43
Command: 2
Path: 9
Url: 5
IP: 29
Registry: 12
Hash: 27
Domain: 21

Soft:
Windows registry, trycloudflare, curl, Telegram, PyInstaller, Microsoft Excel, Unix, Dropbox, Microsoft Word, Windows Explorer, have more...

Algorithms:
3des, base64, zip, md5, des, exhibit, xor

Functions:
getHttp, Get-WmiObject, createICIs, createAccount, createPage, getPage, Dropbox, attendtkq, xlonglet, CreateObject, have more...

Win API:
deletefile, getobject, copyfile, DriveType, CreateProcess

Win Services:
webclient

Languages:
php, javascript, python, jscript, visual_basic, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2024 году хакер Gamaredon переориентировался на украинские правительственные учреждения, используя шпионский фишинг и пользовательское вредоносное ПО, включая новый загрузчик PteroSand. Их тактика заключается в использовании USB-накопителей и сетевых накопителей для перемещения в горизонтальном направлении, а также в использовании продвинутой системы обфускации и инфраструктуры C&C, скрытой за туннелями Cloudflare. Использование различных инструментов, таких как PteroLNK и PteroBox, демонстрирует их адаптивную стратегию в области кибершпионажа при сохранении непрерывности операций и фильтрации данных.
-----

В 2024 году Gamaredon сосредоточил свое внимание на правительственных учреждениях Украины, переключившись с целей НАТО. Их методы атаки включают в себя кампании подводного фишинга и заказное вредоносное ПО, которое использует USB-накопители и сетевые диски для перемещения по сети. Тактика подводной охоты включает в себя электронные письма с вредоносными архивами или XHTML-файлами, использующими методы контрабанды HTML. Эти архивы содержат HTA или LNK-файлы, которые активируют mshta.exe для загрузки других вредоносных программ, в том числе нового загрузчика под названием PteroSand. Gamaredon представила шесть новых инструментов, в основном написанных на PowerShell или VBScript, для усиления усилий в области кибершпионажа, уделяя особое внимание усовершенствованию существующих инструментов для скрытности и обфускации. Их инфраструктура командования и контроля скрыта туннелями Cloudflare, что указывает на усовершенствованную тактику уклонения. Два последовательных метода доступа - это подводная охота и инструменты weaponizer, нацеленные на USB-устройства и создающие вредоносные файлы LNK, которые устанавливают вредоносное ПО Gamaredon. Обновленный VBScript-оружейник PteroLNK теперь превращает в оружие как USB, так и подключенные сетевые диски, создавая вредоносные файлы LNK, связанные с существующими именами документов. Новые инструменты, такие как PteroTickle и PteroGraphin, позволяют сканировать и использовать Tcl-скрипты, а также отправлять зашифрованную полезную информацию с помощью Telegraph. PteroSand поддерживает постоянство выполнения запланированных задач, в то время как PteroBox отправляет файлы в Dropbox. PteroVDoor и PteroPSDoor размещают файлы с определенными расширениями в пользовательских каталогах, гарантируя, что дублирующиеся данные не будут удалены. Gamaredon продемонстрировал ограниченные операционные возможности, но при этом по-прежнему демонстрирует инновации в области обфускации и безопасности инфраструктуры. Их тактика все чаще включает сторонние DNS и методы обфускации, используя поддомены Cloudflare для повышения операционной безопасности от украинских правительственных целей.

#ParsedReport #CompletenessMedium
04-07-2025

From open source to open threat: Tracking Chaos RATs evolution

https://www.acronis.com/en-us/tru/posts/from-open-source-to-open-threat-tracking-chaos-rats-evolution/

Report completeness: Medium

Actors/Campaigns:
Winnti
Transparenttribe
Stone_panda
Blindeagle
Oilrig
Charming_kitten

Threats:
Chaos_rat
Cobalt_strike_tool
Sliver_c2_tool
Chaos_ransomware
Njrat
Quasar_rat
Asyncrat
Pupy_rat

Geo:
Portuguese, Brazil, French, Italian, India, Spanish, Japanese, Spain

CVEs:
CVE-2024-30850 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tiagorlampert chaos (5.0.1)

CVE-2024-31839 [Vulners]
CVSS V3.1: 4.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tiagorlampert chaos (5.0.1)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.002, T1041, T1059, T1059.003, T1059.004, T1071.001, T1105, T1140, have more...

IOCs:
File: 5
IP: 2
Hash: 20

Soft:
Linux, task scheduler, macOS, Ubuntu

Algorithms:
base64, sha256

Functions:
ReadDir

Win API:
LockWorkStation

Languages:
javascript, golang

Platforms:
cross-platform

YARA: Found

Links:
https://github.com/kbinani/screenshot

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7, code: 7, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Chaos RAT, троянская программа удаленного доступа Golang, нацеленная на Windows и Linux, эволюционировала с критическими уязвимостями, позволяющими удаленно выполнять код. Она использует фишинг и модифицирует cron-задания Unix-подобных систем для обеспечения их сохраняемости. Новые недостатки, связанные с внедрением команд в админ-панель, наряду с ее разнообразными функциональными возможностями, делают ее универсальным инструментом для хакеров.
-----

Acronis TRU выявила новые варианты Chaos RAT, троянской программы удаленного доступа (RAT), которая эволюционировала с момента своего появления в 2022 году. Написанный на Golang, Chaos RAT обеспечивает кроссплатформенную поддержку Windows и Linux, представляя собой привлекательный инструмент для хакеров благодаря своему открытому исходному коду. Последние разработки, проведенные в 2025 году, выявили критическую уязвимость в веб-панели Chaos RAT, которая позволяет злоумышленникам выполнять удаленный код на серверах, создавая значительные риски для скомпрометированных систем.

Chaos RAT обычно использует тактику фишинга для заражения целей, часто используя вредоносные скрипты, которые изменяют файл /etc/crontab в Unix-подобных системах для обеспечения сохраняемости. Эта методология позволяет злоумышленникам повторно извлекать и выполнять основную полезную нагрузку, не требуя постоянного доступа к цели. Последний обнаруженный инцидент был связан с файлом tar.gz, замаскированным под утилиту для устранения неполадок в сети, которая, возможно, заманивала жертв к загрузке RAT.

Архитектура Chaos RAT включает в себя административную панель для управления полезной нагрузкой с такими функциями, как установление сеанса, создание полезной нагрузки и мониторинг системы. Несмотря на то, что уровень обнаружения остается низким, его постоянные обновления, включая усовершенствования возможностей генерации полезной нагрузки и протоколов связи, указывают на продолжающиеся разработки, свидетельствующие о его стойкости к кибератакам. Панель управления, в частности, позволяет выполнять команды в режиме реального времени и поддерживает множество команд в обеих операционных системах.

Важно отметить, что в функции BuildClient от Chaos RAT, которая позволяет аутентифицированным пользователям вводить команды, которые могут выполняться на сервере, существует серьезная уязвимость в системе безопасности. Эта уязвимость возникает из-за недостаточной проверки, позволяющей внедрять команды, особенно при использовании межсайтового скриптинга (XSS) в контексте панели администратора. Этот аспект Chaos RAT демонстрирует, как инструментом, предназначенным для управления, можно манипулировать против его операторов.

Функциональные возможности вредоносного ПО включают манипулирование файлами, обратный доступ к командной строке и проксирование сетевого трафика. Эти возможности служат двум целям: сбору разведывательных данных и утечке данных, а также созданию плацдарма для последующих атак, таких как внедрение программ-вымогателей. Открытый исходный код Chaos RAT еще больше усложняет обнаружение и установление авторства, позволяя различным участникам, включая APT groups, использовать и модифицировать его компоненты для различных кампаний.

Согласно недавним наблюдениям, Acronis Cyber Protect Cloud успешно обнаружила компоненты Chaos RAT в смешанных операционных средах. Это включает в себя обнаружение, сопоставленное с платформой MITRE ATT&CK framework, что позволяет защитникам получать полезную информацию. Расширенная поддержка EDR для сред Linux означает эволюцию возможностей обнаружения угроз, позволяющую автоматически реагировать на них, например, останавливать процессы и помещать вредоносные объекты в карантин.

#ParsedReport #CompletenessLow
04-07-2025

RondoDox Unveiled: Breaking Down a New Botnet Threat

https://www.fortinet.com/blog/threat-research/rondobox-unveiled-breaking-down-a-botnet-threat

Report completeness: Low

Threats:
Rondodox
Xmrig_miner
Netstat_tool
Netcat_tool
Mirai
Bashlite
Redtail

Industry:
Entertainment

CVEs:
CVE-2024-3721 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-12856 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1037.005, T1048, T1059.004, T1070.003, T1095, T1190, T1489, T1490, have more...

IOCs:
File: 1
Email: 1
IP: 6
Hash: 29

Soft:
Linux, crontab, curl, Roblox, Fortnite, Discord, WireGuard

Algorithms:
xor

Platforms:
intel, mips, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RondoDox - это сложная ботнет-сеть, использующая уязвимости CVE-2024-3721 и CVE-2024-12856 в TBK DVR и маршрутизаторах Four-Faith, позволяющие удаленно выполнять команды. Он использует передовые методы обхода, включая обфускацию XOR и тактику антианализа, обеспечивая при этом постоянство с помощью изменений в файлах запуска. RondoDox также проводит DDoS-атаки по нескольким протоколам, имитируя законный трафик, чтобы избежать обнаружения.
-----

RondoDox - это недавно обнаруженный ботнет, который стал серьезной угрозой в сфере кибербезопасности. Лаборатория FortiGuard сообщила о заметном увеличении активности сканирования, связанной с этим ботнетом, который использует две критические уязвимости: CVE-2024-3721 и CVE-2024-12856. Первая уязвимость затрагивает модели видеорегистраторов TBK, позволяя удаленным злоумышленникам выполнять команды, манипулируя параметрами в путях ответа системы. Вторая уязвимость затрагивает модели маршрутизаторов Four-Faith, позволяя выполнять аналогичные команды через HTTP-интерфейс. Обе уязвимости были публично раскрыты и активно используются злоумышленниками, что приводит к существенным угрозам безопасности.

В отличие от хорошо известных ботнетов, таких как Mirai, RondoDox относительно малозаметен, но сложен и использует передовые методы уклонения, чтобы избежать обнаружения. Изначально он был разработан для операционных систем на базе Linux с архитектурами ARM и MIPS, но со временем стал включать в себя широкий спектр архитектур, таких как Intel 80386 и x86-64. Вредоносная программа доставляется с помощью командного скрипта, который настраивает систему жертвы на игнорирование определенных сигналов и проверяет доступные для записи пути установки. После развертывания RondoDox создает библиотеку в каталоге "/tmp" для загрузки самой вредоносной программы и скрывает ее присутствие, удаляя историю выполнения команд.

RondoDox использует элементарную схему обфускации XOR для своих конфигурационных данных, которая включает в себя важные рабочие детали, такие как пути к файлам. Закодированная конфигурация может быть легко расшифрована с помощью указанного шестнадцатеричного ключа. После запуска вредоносная программа сохраняет работоспособность в скомпрометированных системах, изменяя права доступа к файлам и создавая символические ссылки. Она добавляет команды к различным системным файлам запуска и записям crontab, создавая множество возможностей для восстановления после перезагрузки. Вредоносная программа также использует тактику антианализа, сканируя средства безопасности или конкурирующие вредоносные программы и немедленно завершая их работу, чтобы избежать обнаружения.

В рамках своей операционной стратегии RondoDox нарушает основные функции системы, переименовывая исполняемые файлы случайными символьными строками, тем самым снижая стабильность системы. Его командно-контрольная связь (C2) маскируется путем эмуляции законного сетевого трафика, имитации популярных игровых и чат-приложений, что создает дополнительные проблемы для защитников кибербезопасности, пытающихся отслеживать или блокировать его активность. Ботнет способен проводить распределенные атаки типа "отказ в обслуживании" (DDoS) по различным протоколам, включая HTTP, UDP и TCP.

#ParsedReport #CompletenessLow
04-07-2025

Apache Under the Lens: Tomcats Partial PUT and Camels Header Hijack

https://unit42.paloaltonetworks.com/apache-cve-2025-24813-cve-2025-27636-cve-2025-29891/

Report completeness: Low

Actors/Campaigns:
Atlas_lion

Victims:
Apache tomcat users, Apache camel users

CVEs:
CVE-2025-27636 [Vulners]
CVSS V3.1: 5.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache camel (<3.22.4, <4.8.5, <4.10.2)

CVE-2025-24813 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache tomcat (<9.0.99, <10.1.35, <11.0.3, 9.0.0, 10.1.0)

CVE-2025-29891 [Vulners]
CVSS V3.1: 4.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache camel (<3.22.4, <4.8.5, <4.10.2)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059, T1071.001, T1190, T1210, T1505.003, T1608.001

IOCs:
File: 4
IP: 30
Hash: 2

Soft:
Apache Tomcat

Algorithms:
sha256

Languages:
java

Links:
https://github.com/apache/tomcat
https://github.com/projectdiscovery/nuclei-templates/
https://github.com/apache/camel
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4