#ParsedReport #CompletenessLow
04-07-2025
Malvertising Campaign Delivers Oyster/Broomstick Backdoor via SEO Poisoning and Trojanized Tools
https://arcticwolf.com/resources/blog/malvertising-campaign-delivers-oyster-broomstick-backdoor-via-seo-poisoning-trojanized-tools/
Report completeness: Low
Threats:
Seo_poisoning_technique
Oyster
Putty_tool
Victims:
It professionals, Users, It staff
ChatGPT TTPs:
T1053.005, T1189, T1195.001, T1204.002, T1218.011, T1574.002
IOCs:
File: 2
Domain: 5
Soft:
WinSCP
Win API:
DllRegisterServer
04-07-2025
Malvertising Campaign Delivers Oyster/Broomstick Backdoor via SEO Poisoning and Trojanized Tools
https://arcticwolf.com/resources/blog/malvertising-campaign-delivers-oyster-broomstick-backdoor-via-seo-poisoning-trojanized-tools/
Report completeness: Low
Threats:
Seo_poisoning_technique
Oyster
Putty_tool
Victims:
It professionals, Users, It staff
ChatGPT TTPs:
do not use without manual checkT1053.005, T1189, T1195.001, T1204.002, T1218.011, T1574.002
IOCs:
File: 2
Domain: 5
Soft:
WinSCP
Win API:
DllRegisterServer
Arctic Wolf
Malvertising Campaign Delivers Oyster/Broomstick Backdoor via SEO Poisoning and Trojanized Tools | Arctic Wolf
Arctic Wolf has observed a search engine optimization (SEO) poisoning and malvertising campaign promoting malicious websites hosting trojanized versions of legitimate IT tools such as PuTTY and WinSCP.
CTT Report Hub
#ParsedReport #CompletenessLow 04-07-2025 Malvertising Campaign Delivers Oyster/Broomstick Backdoor via SEO Poisoning and Trojanized Tools https://arcticwolf.com/resources/blog/malvertising-campaign-delivers-oyster-broomstick-backdoor-via-seo-poisoning-trojanized…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавняя кампания по SEO-атакам и недобросовестной рекламе приводит пользователей на вредоносные сайты, на которых размещаются троянские ИТ-инструменты, такие как PuTTY и WinSCP, устанавливающие бэкдор "Oyster" или "Broomstick". Этот бэкдор обеспечивает постоянство с помощью запланированной задачи, которая вызывает вредоносную библиотеку DLL, позволяя злоумышленникам сохранять доступ.
-----
Компания Arctic Wolf сообщила о хакерской атаке, связанной с кампанией по поисковой оптимизации (SEO), которая началась в начале июня 2025 года. Эта кампания направляет пользователей на вредоносные веб-сайты, на которых размещены троянские версии законных ИТ-инструментов, в частности, таких программ, как PuTTY и WinSCP. Основная цель этих поддельных сайтов - обманом заставить ИТ-специалистов и других пользователей загружать и запускать скомпрометированные установщики.
После запуска троянского установщика он устанавливает бэкдор, известный как Oyster или Broomstick. Этот бэкдор обеспечивает постоянную работу взломанной системы, создавая запланированную задачу, которая выполняется каждые три минуты. Эта задача вызывает вредоносную библиотеку DLL (twain_96.dll) через rundll32.exe, используя метод экспорта DllRegisterServer, что указывает на то, что злоумышленник использует регистрацию библиотеки DLL как часть своего механизма для поддержания доступа. Хотя в настоящее время кампания проводилась только с использованием троянских версий PuTTY и WinSCP, сохраняется угроза того, что в будущем могут быть использованы и другие легальные инструменты.
Чтобы снизить риски, связанные с этой кампанией, Arctic Wolf рекомендует пользователям, особенно ИТ-специалистам, не полагаться на поисковые системы для загрузки инструментов администрирования. Вместо этого они рекомендуют использовать проверенные внутренние хранилища или напрямую обращаться к официальным веб-сайтам поставщиков. Ожидается, что такая практика позволит свести к минимуму угрозу, связанную с SEO-атаками и вредоносной рекламой. Кроме того, Arctic Wolf рекомендовал заблокировать определенные домены, связанные с этой вредоносной деятельностью, чтобы предотвратить доступ пользователей к этим зараженным источникам загрузки, тем самым снижая риск заражения троянскими программами. Внимание, уделяемое блокировке доменов, подчеркивает необходимость принятия упреждающих мер для защиты от этого начинающего хакера.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавняя кампания по SEO-атакам и недобросовестной рекламе приводит пользователей на вредоносные сайты, на которых размещаются троянские ИТ-инструменты, такие как PuTTY и WinSCP, устанавливающие бэкдор "Oyster" или "Broomstick". Этот бэкдор обеспечивает постоянство с помощью запланированной задачи, которая вызывает вредоносную библиотеку DLL, позволяя злоумышленникам сохранять доступ.
-----
Компания Arctic Wolf сообщила о хакерской атаке, связанной с кампанией по поисковой оптимизации (SEO), которая началась в начале июня 2025 года. Эта кампания направляет пользователей на вредоносные веб-сайты, на которых размещены троянские версии законных ИТ-инструментов, в частности, таких программ, как PuTTY и WinSCP. Основная цель этих поддельных сайтов - обманом заставить ИТ-специалистов и других пользователей загружать и запускать скомпрометированные установщики.
После запуска троянского установщика он устанавливает бэкдор, известный как Oyster или Broomstick. Этот бэкдор обеспечивает постоянную работу взломанной системы, создавая запланированную задачу, которая выполняется каждые три минуты. Эта задача вызывает вредоносную библиотеку DLL (twain_96.dll) через rundll32.exe, используя метод экспорта DllRegisterServer, что указывает на то, что злоумышленник использует регистрацию библиотеки DLL как часть своего механизма для поддержания доступа. Хотя в настоящее время кампания проводилась только с использованием троянских версий PuTTY и WinSCP, сохраняется угроза того, что в будущем могут быть использованы и другие легальные инструменты.
Чтобы снизить риски, связанные с этой кампанией, Arctic Wolf рекомендует пользователям, особенно ИТ-специалистам, не полагаться на поисковые системы для загрузки инструментов администрирования. Вместо этого они рекомендуют использовать проверенные внутренние хранилища или напрямую обращаться к официальным веб-сайтам поставщиков. Ожидается, что такая практика позволит свести к минимуму угрозу, связанную с SEO-атаками и вредоносной рекламой. Кроме того, Arctic Wolf рекомендовал заблокировать определенные домены, связанные с этой вредоносной деятельностью, чтобы предотвратить доступ пользователей к этим зараженным источникам загрузки, тем самым снижая риск заражения троянскими программами. Внимание, уделяемое блокировке доменов, подчеркивает необходимость принятия упреждающих мер для защиты от этого начинающего хакера.
#ParsedReport #CompletenessLow
04-07-2025
How Much More Must We Bleed? - Citrix NetScaler Memory Disclosure (CitrixBleed 2 CVE-2025-5777)
https://labs.watchtowr.com/how-much-more-must-we-bleed-citrix-netscaler-memory-disclosure-citrixbleed-2-cve-2025-5777/
Report completeness: Low
Threats:
Citrix_bleed_vuln
CVEs:
CVE-2025-5777 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2023-4966 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.300, <13.0-92.19, <13.1-37.164, <13.1-49.15, <14.1-8.50)
- citrix netscaler_gateway (<13.0-92.19, <13.1-49.15, <14.1-8.50)
CVE-2025-6543 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<13.1-37.236, <13.1-59.19, <14.1-47.46)
ChatGPT TTPs:
T1003, T1040, T1203, T1557.003
Soft:
ChatGPT, Bindiff
Functions:
ReadOnly
Languages:
c_language
04-07-2025
How Much More Must We Bleed? - Citrix NetScaler Memory Disclosure (CitrixBleed 2 CVE-2025-5777)
https://labs.watchtowr.com/how-much-more-must-we-bleed-citrix-netscaler-memory-disclosure-citrixbleed-2-cve-2025-5777/
Report completeness: Low
Threats:
Citrix_bleed_vuln
CVEs:
CVE-2025-5777 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2023-4966 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.300, <13.0-92.19, <13.1-37.164, <13.1-49.15, <14.1-8.50)
- citrix netscaler_gateway (<13.0-92.19, <13.1-49.15, <14.1-8.50)
CVE-2025-6543 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<13.1-37.236, <13.1-59.19, <14.1-47.46)
ChatGPT TTPs:
do not use without manual checkT1003, T1040, T1203, T1557.003
Soft:
ChatGPT, Bindiff
Functions:
ReadOnly
Languages:
c_language
watchTowr Labs
How Much More Must We Bleed? - Citrix NetScaler Memory Disclosure (CitrixBleed 2 CVE-2025-5777)
Before you dive into our latest diatribe, indulge us and join us on a journey.
Sit in your chair, stand at your desk, lick your phone screen - close your eyes and imagine a world in which things are great. It’s sunny outside, the birds are chirping, and…
Sit in your chair, stand at your desk, lick your phone screen - close your eyes and imagine a world in which things are great. It’s sunny outside, the birds are chirping, and…
CTT Report Hub
#ParsedReport #CompletenessLow 04-07-2025 How Much More Must We Bleed? - Citrix NetScaler Memory Disclosure (CitrixBleed 2 CVE-2025-5777) https://labs.watchtowr.com/how-much-more-must-we-bleed-citrix-netscaler-memory-disclosure-citrixbleed-2-cve-2025-5777/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
CVE-2025-5777 - это критическая уязвимость в Citrix NetScaler, которая возникает из-за недостаточной проверки введенных данных, что приводит к утечкам памяти, которые могут привести к раскрытию конфиденциальной информации. Злоумышленники могут воспользоваться этим, манипулируя заголовком User-Agent для доступа к неинициализированным буферам, аналогично уязвимости CitrixBleed.
-----
CVE-2025-5777 - это серьезная уязвимость, обнаруженная в Citrix NetScaler при настройке в качестве шлюза или виртуального сервера AAA. Эта проблема возникает из-за недостаточной проверки ввода, что может привести к уязвимостям избыточного чтения из памяти, потенциально позволяющим злоумышленникам получить доступ к конфиденциальной информации. Механизм этой уязвимости указывает на утечку памяти, связанную с неинициализированной локальной переменной во внутреннем анализаторе, которая, как ожидается, будет содержать имя пользователя из параметров входа. Эта ситуация имеет сходство с предыдущей уязвимостью, известной как CitrixBleed (CVE-2023-4966), которая вызывала серьезные проблемы с безопасностью из-за возможности ее использования для перехвата сеанса.
Исследование CVE-2025-5777 показало, что, манипулируя параметрами HTTP-запроса, в частности заголовком User-Agent, злоумышленники могут спровоцировать утечку памяти. Повторная отправка строки "watchTowr" в качестве части заголовка User-Agent была методом, используемым для повышения шансов на получение соответствующих данных из этого неинициализированного буфера. Непредсказуемость утечек памяти требует длительного тестирования, поскольку более длительное время выполнения может привести к более значительным открытиям, особенно в производственных средах, где используются VPN-соединения. Это понимание подчеркивает риск, связанный с нерешенными уязвимостями в системах управления удаленным доступом, и иллюстрирует текущие проблемы в области кибербезопасности, связанные с недостатками в управлении памятью и непроверенным пользовательским вводом.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
CVE-2025-5777 - это критическая уязвимость в Citrix NetScaler, которая возникает из-за недостаточной проверки введенных данных, что приводит к утечкам памяти, которые могут привести к раскрытию конфиденциальной информации. Злоумышленники могут воспользоваться этим, манипулируя заголовком User-Agent для доступа к неинициализированным буферам, аналогично уязвимости CitrixBleed.
-----
CVE-2025-5777 - это серьезная уязвимость, обнаруженная в Citrix NetScaler при настройке в качестве шлюза или виртуального сервера AAA. Эта проблема возникает из-за недостаточной проверки ввода, что может привести к уязвимостям избыточного чтения из памяти, потенциально позволяющим злоумышленникам получить доступ к конфиденциальной информации. Механизм этой уязвимости указывает на утечку памяти, связанную с неинициализированной локальной переменной во внутреннем анализаторе, которая, как ожидается, будет содержать имя пользователя из параметров входа. Эта ситуация имеет сходство с предыдущей уязвимостью, известной как CitrixBleed (CVE-2023-4966), которая вызывала серьезные проблемы с безопасностью из-за возможности ее использования для перехвата сеанса.
Исследование CVE-2025-5777 показало, что, манипулируя параметрами HTTP-запроса, в частности заголовком User-Agent, злоумышленники могут спровоцировать утечку памяти. Повторная отправка строки "watchTowr" в качестве части заголовка User-Agent была методом, используемым для повышения шансов на получение соответствующих данных из этого неинициализированного буфера. Непредсказуемость утечек памяти требует длительного тестирования, поскольку более длительное время выполнения может привести к более значительным открытиям, особенно в производственных средах, где используются VPN-соединения. Это понимание подчеркивает риск, связанный с нерешенными уязвимостями в системах управления удаленным доступом, и иллюстрирует текущие проблемы в области кибербезопасности, связанные с недостатками в управлении памятью и непроверенным пользовательским вводом.
#ParsedReport #CompletenessLow
05-07-2025
Exploiting Trust: How Signed Drivers Fuel Modern Kernel Level Attacks on Windows
https://www.group-ib.com/blog/kernel-driver-threats/
Report completeness: Low
Threats:
Krbanker
Fivesys
Fk_undead
Lockbit
Poortry
Reddriver
Copperstealer
Terminator_tool
Industry:
Government, E-commerce, Financial, Petroleum
Geo:
Chinese
ChatGPT TTPs:
T1014, T1027, T1036.005, T1068, T1105, T1218.011, T1497.003, T1543.003, T1562.001, T1588.003, have more...
Soft:
Windows Kernel
05-07-2025
Exploiting Trust: How Signed Drivers Fuel Modern Kernel Level Attacks on Windows
https://www.group-ib.com/blog/kernel-driver-threats/
Report completeness: Low
Threats:
Krbanker
Fivesys
Fk_undead
Lockbit
Poortry
Reddriver
Copperstealer
Terminator_tool
Industry:
Government, E-commerce, Financial, Petroleum
Geo:
Chinese
ChatGPT TTPs:
do not use without manual checkT1014, T1027, T1036.005, T1068, T1105, T1218.011, T1497.003, T1543.003, T1562.001, T1588.003, have more...
Soft:
Windows Kernel
Group-IB
Exploiting Trust: How Signed Drivers Fuel Modern Kernel Level Attacks on Windows
Discover how attackers leverage Windows Kernel loaders and abuse digitally signed drivers to gain privileged access, disable security tools, and stealthily maintain control — bypassing traditional defenses and enabling advanced threat operations.
CTT Report Hub
#ParsedReport #CompletenessLow 05-07-2025 Exploiting Trust: How Signed Drivers Fuel Modern Kernel Level Attacks on Windows https://www.group-ib.com/blog/kernel-driver-threats/ Report completeness: Low Threats: Krbanker Fivesys Fk_undead Lockbit Poortry…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберпреступники все чаще используют загрузчики ядра Windows и подписанные драйверы для получения привилегированного доступа, что позволяет обходить меры безопасности. С 2020 года появилось более 620 вредоносных драйверов, связанных с различными атаками, что привело к значительному дублированию инфраструктуры подписи и выявлению уязвимостей при выдаче сертификатов. Для устранения этих сложных угроз необходимы усиленные меры безопасности, поскольку злоумышленники продолжают использовать подпольные рынки для приобретения механизмов подписи.
-----
Киберпреступники все чаще используют загрузчики ядра Windows и драйверы с цифровой подписью, чтобы получить привилегированный доступ и сохранить контроль над скомпрометированными системами. Вредоносное ПО уровня ядра, которое работает на уровне ring 0, позволяет злоумышленникам отключать средства безопасности и избегать обнаружения, что позволяет проводить расширенные операции с угрозами. С 2020 года наблюдается заметный рост числа таких атак: более 620 вредоносных драйверов были связаны с различными кампаниями, использующими более 80 сертификатов и многочисленные учетные записи программы совместимости оборудования Windows (WHCP).
Злоумышленники используют подписанные драйверы для управления критически важными функциями операционной системы, внедряясь в системы со значительными привилегиями. Ключевые функции безопасности, предназначенные для противодействия этим угрозам, включают PatchGuard, принудительное использование сигнатур драйверов, защиту от вредоносных программ на ранней стадии запуска и целостность кода, защищенную гипервизором, - все это позволяет ограничить несанкционированное выполнение кода. Однако хакеры адаптировались, часто используя подпольные сервисы, которые предоставляют доступ к этим механизмам подписи для создания вредоносных программ на уровне ядра.
Анализ более 600 вредоносных драйверов, подписанных Group-IB, показал, что около 32% из них действовали как загрузчики, извлекая полезную информацию с серверов управления или сохраняя ее локально. Одним из примечательных примеров является эволюция банковского трояна Blackmoon, который интегрировал драйвер Hugo, способный расшифровывать и загружать неподписанные драйверы при выполнении различных задач в области памяти и сети.
Расследование также выявило значительное совпадение инфраструктуры подписи между различными вредоносными кампаниями, причем такие примеры, как POORTRY, были связаны с несколькими семействами программ-вымогателей. С 2020 года наблюдается значительная активность, что привело к использованию целого ряда инструментов и многочисленных сертификатов, особенно тех, которые связаны с китайскими компаниями. Это свидетельствует о систематическом подходе хакеров к злоупотреблению законными процедурами получения этих подписей.
Рынок подпольных сертификатов расширенной проверки (EV) с кодовой подписью вырос, и поставщики предлагают услуги, помогающие хакерам внедрять надежные драйверы, которые могут отключать программное обеспечение безопасности. Такая практика выявляет критические уязвимости в процессе выдачи сертификатов, что требует более строгого контроля за выдачей и механизмов проверки. Способность злоумышленников внедрять подписанное вредоносное ПО на уровне ядра создает постоянные проблемы для обнаружения и подчеркивает необходимость принятия усиленных мер безопасности для устранения этих сложных угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберпреступники все чаще используют загрузчики ядра Windows и подписанные драйверы для получения привилегированного доступа, что позволяет обходить меры безопасности. С 2020 года появилось более 620 вредоносных драйверов, связанных с различными атаками, что привело к значительному дублированию инфраструктуры подписи и выявлению уязвимостей при выдаче сертификатов. Для устранения этих сложных угроз необходимы усиленные меры безопасности, поскольку злоумышленники продолжают использовать подпольные рынки для приобретения механизмов подписи.
-----
Киберпреступники все чаще используют загрузчики ядра Windows и драйверы с цифровой подписью, чтобы получить привилегированный доступ и сохранить контроль над скомпрометированными системами. Вредоносное ПО уровня ядра, которое работает на уровне ring 0, позволяет злоумышленникам отключать средства безопасности и избегать обнаружения, что позволяет проводить расширенные операции с угрозами. С 2020 года наблюдается заметный рост числа таких атак: более 620 вредоносных драйверов были связаны с различными кампаниями, использующими более 80 сертификатов и многочисленные учетные записи программы совместимости оборудования Windows (WHCP).
Злоумышленники используют подписанные драйверы для управления критически важными функциями операционной системы, внедряясь в системы со значительными привилегиями. Ключевые функции безопасности, предназначенные для противодействия этим угрозам, включают PatchGuard, принудительное использование сигнатур драйверов, защиту от вредоносных программ на ранней стадии запуска и целостность кода, защищенную гипервизором, - все это позволяет ограничить несанкционированное выполнение кода. Однако хакеры адаптировались, часто используя подпольные сервисы, которые предоставляют доступ к этим механизмам подписи для создания вредоносных программ на уровне ядра.
Анализ более 600 вредоносных драйверов, подписанных Group-IB, показал, что около 32% из них действовали как загрузчики, извлекая полезную информацию с серверов управления или сохраняя ее локально. Одним из примечательных примеров является эволюция банковского трояна Blackmoon, который интегрировал драйвер Hugo, способный расшифровывать и загружать неподписанные драйверы при выполнении различных задач в области памяти и сети.
Расследование также выявило значительное совпадение инфраструктуры подписи между различными вредоносными кампаниями, причем такие примеры, как POORTRY, были связаны с несколькими семействами программ-вымогателей. С 2020 года наблюдается значительная активность, что привело к использованию целого ряда инструментов и многочисленных сертификатов, особенно тех, которые связаны с китайскими компаниями. Это свидетельствует о систематическом подходе хакеров к злоупотреблению законными процедурами получения этих подписей.
Рынок подпольных сертификатов расширенной проверки (EV) с кодовой подписью вырос, и поставщики предлагают услуги, помогающие хакерам внедрять надежные драйверы, которые могут отключать программное обеспечение безопасности. Такая практика выявляет критические уязвимости в процессе выдачи сертификатов, что требует более строгого контроля за выдачей и механизмов проверки. Способность злоумышленников внедрять подписанное вредоносное ПО на уровне ядра создает постоянные проблемы для обнаружения и подчеркивает необходимость принятия усиленных мер безопасности для устранения этих сложных угроз.
#ParsedReport #CompletenessLow
05-07-2025
XwormRAT distributed using steganography techniques
https://asec.ahnlab.com/ko/88785/
Report completeness: Low
Threats:
Xworm_rat
Steganography_technique
Formbook
ChatGPT TTPs:
T1027, T1027.003, T1059.001, T1059.005, T1059.007, T1105, T1140, T1566.001
IOCs:
Hash: 5
Url: 5
Algorithms:
md5, base64
Functions:
replace
Languages:
powershell, javascript
05-07-2025
XwormRAT distributed using steganography techniques
https://asec.ahnlab.com/ko/88785/
Report completeness: Low
Threats:
Xworm_rat
Steganography_technique
Formbook
ChatGPT TTPs:
do not use without manual checkT1027, T1027.003, T1059.001, T1059.005, T1059.007, T1105, T1140, T1566.001
IOCs:
Hash: 5
Url: 5
Algorithms:
md5, base64
Functions:
replace
Languages:
powershell, javascript
ASEC
스테가노그래피 기법을 이용해 유포중인 XwormRAT - ASEC
스테가노그래피 기법을 이용해 유포중인 XwormRAT ASEC
CTT Report Hub
#ParsedReport #CompletenessLow 05-07-2025 XwormRAT distributed using steganography techniques https://asec.ahnlab.com/ko/88785/ Report completeness: Low Threats: Xworm_rat Steganography_technique Formbook ChatGPT TTPs: do not use without manual check…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная программа XwormRAT распространяется с помощью фишинговых электронных писем, используя стеганографию изображений в формате JPG, чтобы скрыть свой код выполнения. Она использует VBScript/JavaScript для запуска сценария PowerShell, который загружает дополнительное вредоносное ПО, усложняя его обнаружение. Модифицированные версии вредоносной программы могут выполнять поиск определенных растровых подписей в файлах JPG, что подчеркивает универсальность этого метода и необходимость соблюдать осторожность при работе с неизвестными электронными письмами.
-----
Аналитический центр безопасности AhnLab (ASEC) сообщил, что вредоносная программа XwormRAT распространяется с помощью фишинговых электронных писем, в которых используются методы стеганографии, что усложняет усилия по обнаружению. При первоначальном запуске вредоносного ПО используется код на VBScript или JavaScript, который встраивает вредоносные скрипты в кажущийся безобидным код. Этот исходный скрипт запускает также встроенный в него сценарий PowerShell, предназначенный для загрузки и запуска вредоносного ПО.
Сценарий PowerShell использует кодировку BASE64 вместе с фиктивными символами, которые удаляются во время выполнения, чтобы выявить вредоносную нагрузку. В конечном счете, этот процесс приводит к загрузке и запуску дополнительного вредоносного ПО, размещенного на внешних серверах. Примечательно, что механизм доставки этого вредоносного ПО включает в себя файл изображения в формате JPG, который содержит загрузчик .NET вместе с самим вредоносным кодом. Эта реализация стеганографии предназначена для маскировки вредоносного ПО, что делает его менее узнаваемым для пользователей и систем безопасности.
Было подтверждено, что модифицированные версии вредоносной программы специально предназначены для поиска определенных шаблонов, в частности, подписи растрового изображения в конце файлов JPG. Этот поиск позволяет получить пиксельные данные, из которых извлекаются значения R, G и B, что позволяет вредоносному ПО функционировать аналогично его предыдущим версиям. Это подчеркивает универсальность метода стеганографии, позволяющего применять его для различных типов вредоносных программ, помимо XwormRAT. Поскольку модифицированные версии становятся все более распространенными, ASEC предупреждает пользователей проявлять осторожность при работе с электронными письмами из неизвестных источников, чтобы снизить потенциальные риски, связанные с этими развивающимися угрозами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная программа XwormRAT распространяется с помощью фишинговых электронных писем, используя стеганографию изображений в формате JPG, чтобы скрыть свой код выполнения. Она использует VBScript/JavaScript для запуска сценария PowerShell, который загружает дополнительное вредоносное ПО, усложняя его обнаружение. Модифицированные версии вредоносной программы могут выполнять поиск определенных растровых подписей в файлах JPG, что подчеркивает универсальность этого метода и необходимость соблюдать осторожность при работе с неизвестными электронными письмами.
-----
Аналитический центр безопасности AhnLab (ASEC) сообщил, что вредоносная программа XwormRAT распространяется с помощью фишинговых электронных писем, в которых используются методы стеганографии, что усложняет усилия по обнаружению. При первоначальном запуске вредоносного ПО используется код на VBScript или JavaScript, который встраивает вредоносные скрипты в кажущийся безобидным код. Этот исходный скрипт запускает также встроенный в него сценарий PowerShell, предназначенный для загрузки и запуска вредоносного ПО.
Сценарий PowerShell использует кодировку BASE64 вместе с фиктивными символами, которые удаляются во время выполнения, чтобы выявить вредоносную нагрузку. В конечном счете, этот процесс приводит к загрузке и запуску дополнительного вредоносного ПО, размещенного на внешних серверах. Примечательно, что механизм доставки этого вредоносного ПО включает в себя файл изображения в формате JPG, который содержит загрузчик .NET вместе с самим вредоносным кодом. Эта реализация стеганографии предназначена для маскировки вредоносного ПО, что делает его менее узнаваемым для пользователей и систем безопасности.
Было подтверждено, что модифицированные версии вредоносной программы специально предназначены для поиска определенных шаблонов, в частности, подписи растрового изображения в конце файлов JPG. Этот поиск позволяет получить пиксельные данные, из которых извлекаются значения R, G и B, что позволяет вредоносному ПО функционировать аналогично его предыдущим версиям. Это подчеркивает универсальность метода стеганографии, позволяющего применять его для различных типов вредоносных программ, помимо XwormRAT. Поскольку модифицированные версии становятся все более распространенными, ASEC предупреждает пользователей проявлять осторожность при работе с электронными письмами из неизвестных источников, чтобы снизить потенциальные риски, связанные с этими развивающимися угрозами.
#ParsedReport #CompletenessHigh
05-07-2025
XWorm's Shape-Shifting Arsenal: Loader and Stager Variants in the Wild
https://www.splunk.com/en_us/blog/security/xworm-shape-shifting-arsenal-detection-evasion.html
Report completeness: High
Threats:
Xworm_rat
Process_injection_technique
Supply_chain_technique
Asyncrat
Lockbit
Dll_sideloading_technique
Cobalt_strike_tool
Empire_loader
Industry:
Entertainment, Transport
TTPs:
IOCs:
File: 35
Command: 1
Path: 1
Hash: 9
Soft:
Microsoft Defender, Windows Powershell, Windows security, Windows Event Tracing for Windows, Windows Security Center, Slack
Algorithms:
zip, md5, gzip, base64, aes
Functions:
EtwEventWrite, Win32_VideoController, RunDisk
Win API:
AmsiScanBuffer, decompress, capGetDriverDescriptionA
Languages:
dotnet, javascript, cscript, powershell
Links:
have more...
05-07-2025
XWorm's Shape-Shifting Arsenal: Loader and Stager Variants in the Wild
https://www.splunk.com/en_us/blog/security/xworm-shape-shifting-arsenal-detection-evasion.html
Report completeness: High
Threats:
Xworm_rat
Process_injection_technique
Supply_chain_technique
Asyncrat
Lockbit
Dll_sideloading_technique
Cobalt_strike_tool
Empire_loader
Industry:
Entertainment, Transport
TTPs:
IOCs:
File: 35
Command: 1
Path: 1
Hash: 9
Soft:
Microsoft Defender, Windows Powershell, Windows security, Windows Event Tracing for Windows, Windows Security Center, Slack
Algorithms:
zip, md5, gzip, base64, aes
Functions:
EtwEventWrite, Win32_VideoController, RunDisk
Win API:
AmsiScanBuffer, decompress, capGetDriverDescriptionA
Languages:
dotnet, javascript, cscript, powershell
Links:
https://github.com/splunk/attack\_data/https://gist.github.com/tccontre/2e4508f7fd308a6d6e64aa56ff5ad50ehave more...
https://github.com/splunk/security\_contentSplunk
XWorm's Shape-Shifting Arsenal: Loader and Stager Variants in the Wild | Splunk
Explore XWorm's shape-shifting tactics, evolution, and persistence, and how Splunk helps detect this RAT.
CTT Report Hub
#ParsedReport #CompletenessHigh 05-07-2025 XWorm's Shape-Shifting Arsenal: Loader and Stager Variants in the Wild https://www.splunk.com/en_us/blog/security/xworm-shape-shifting-arsenal-detection-evasion.html Report completeness: High Threats: Xworm_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
XWorm - это усовершенствованная программа RAT, используемая киберпреступниками, которая обеспечивает кейлоггинг, удаленный доступ и эксфильтрацию данных. Она использует модульную тактику, обфускацию и связь C2, чтобы избежать обнаружения, используя различные методы доставки и механизмы сохранения данных, одновременно облегчая загрузку полезных программ-вымогателей.
-----
XWorm - это продвинутый троян для удаленного доступа (RAT), который завоевал популярность среди хакеров благодаря своему широкому набору функций, включая кейлоггинг, удаленный доступ к рабочему столу, эксфильтрацию данных и выполнение команд. Его модульность и адаптивность сделали его предпочтительным выбором для киберпреступников, особенно нацеленных на цепочку поставок программного обеспечения и игровой сектор. XWorm часто развертывается вместе с другими вредоносными программами, такими как AsyncRAT, на ранних стадиях атаки, что в конечном итоге облегчает доставку полезной нагрузки программ-вымогателей, связанных с такими группами, как LockBit.
Недавние кампании, в которых используется XWorm, показывают, как развиваются методы обхода механизмов обнаружения. Вредоносная программа использует ряд этапов и загрузчиков, что позволяет ей динамически изменять методы доставки. Такая гибкость позволяет XWorm использовать различные форматы файлов и языки сценариев, включая PowerShell, VBS, исполняемые файлы .NET и другие, что усложняет работу по обнаружению. Использование RAT методов обфускации еще больше затрудняет статический анализ кода, скрывая его функциональность и назначение.
Цепочка заражения XWorm включает в себя компоненты, специально разработанные для получения основной полезной информации непосредственно с серверов командно-диспетчерского управления (C2). Например, некоторые .Было замечено, что hta-файлы и stagers на базе PowerShell ведут себя подобным образом. Вредоносная программа также использует сложные тактики уклонения, такие как изменение интерфейса проверки на наличие вредоносных программ (AMSI), чтобы избежать обнаружения антивирусными решениями. Исправив функцию AmsiScanBuffer() в памяти, XWorm может выполнять свой код, не запуская защиту, а также изменять трассировку событий Windows (ETW), чтобы избежать регистрации вредоносных действий.
В дополнение к своим механизмам сохранения, которые включают создание ярлыков .lnk и изменение разделов реестра, XWorm обладает способностью распространяться через съемные диски. Для этого он удаляет свои копии и привлекает пользователей к выполнению своей полезной нагрузки. Кроме того, вредоносная программа способна поддерживать работоспособность при перезагрузке системы и повышать привилегии с помощью запланированных задач.
После выполнения XWorm взаимодействует со своим сервером C2, обрабатывая команды, которые включают выключение системы, загрузку файлов и DDoS-атаки. Он выполняет разведку системы с использованием инструментария управления Windows (WMI) для сбора информации об установленном антивирусном программном обеспечении и подробных данных об аппаратном обеспечении системы, таком как графический процессор.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
XWorm - это усовершенствованная программа RAT, используемая киберпреступниками, которая обеспечивает кейлоггинг, удаленный доступ и эксфильтрацию данных. Она использует модульную тактику, обфускацию и связь C2, чтобы избежать обнаружения, используя различные методы доставки и механизмы сохранения данных, одновременно облегчая загрузку полезных программ-вымогателей.
-----
XWorm - это продвинутый троян для удаленного доступа (RAT), который завоевал популярность среди хакеров благодаря своему широкому набору функций, включая кейлоггинг, удаленный доступ к рабочему столу, эксфильтрацию данных и выполнение команд. Его модульность и адаптивность сделали его предпочтительным выбором для киберпреступников, особенно нацеленных на цепочку поставок программного обеспечения и игровой сектор. XWorm часто развертывается вместе с другими вредоносными программами, такими как AsyncRAT, на ранних стадиях атаки, что в конечном итоге облегчает доставку полезной нагрузки программ-вымогателей, связанных с такими группами, как LockBit.
Недавние кампании, в которых используется XWorm, показывают, как развиваются методы обхода механизмов обнаружения. Вредоносная программа использует ряд этапов и загрузчиков, что позволяет ей динамически изменять методы доставки. Такая гибкость позволяет XWorm использовать различные форматы файлов и языки сценариев, включая PowerShell, VBS, исполняемые файлы .NET и другие, что усложняет работу по обнаружению. Использование RAT методов обфускации еще больше затрудняет статический анализ кода, скрывая его функциональность и назначение.
Цепочка заражения XWorm включает в себя компоненты, специально разработанные для получения основной полезной информации непосредственно с серверов командно-диспетчерского управления (C2). Например, некоторые .Было замечено, что hta-файлы и stagers на базе PowerShell ведут себя подобным образом. Вредоносная программа также использует сложные тактики уклонения, такие как изменение интерфейса проверки на наличие вредоносных программ (AMSI), чтобы избежать обнаружения антивирусными решениями. Исправив функцию AmsiScanBuffer() в памяти, XWorm может выполнять свой код, не запуская защиту, а также изменять трассировку событий Windows (ETW), чтобы избежать регистрации вредоносных действий.
В дополнение к своим механизмам сохранения, которые включают создание ярлыков .lnk и изменение разделов реестра, XWorm обладает способностью распространяться через съемные диски. Для этого он удаляет свои копии и привлекает пользователей к выполнению своей полезной нагрузки. Кроме того, вредоносная программа способна поддерживать работоспособность при перезагрузке системы и повышать привилегии с помощью запланированных задач.
После выполнения XWorm взаимодействует со своим сервером C2, обрабатывая команды, которые включают выключение системы, загрузку файлов и DDoS-атаки. Он выполняет разведку системы с использованием инструментария управления Windows (WMI) для сбора информации об установленном антивирусном программном обеспечении и подробных данных об аппаратном обеспечении системы, таком как графический процессор.
#ParsedReport #CompletenessLow
05-07-2025
Pro-Russian hacktivism: Shifting alliances, new groups and risks
https://intel471.com/blog/pro-russian-hacktivism-shifting-alliances-new-groups-and-risks
Report completeness: Low
Actors/Campaigns:
Dark_storm_team (motivation: hacktivism, cyber_espionage)
Mr_hamza (motivation: hacktivism, cyber_espionage)
Z-pentest_alliance (motivation: hacktivism)
Oplithuania (motivation: hacktivism)
Noname057 (motivation: financially_motivated, hacktivism)
Serverkillers (motivation: hacktivism)
Anonsec (motivation: hacktivism)
Keymous (motivation: hacktivism)
Twonet (motivation: hacktivism, cyber_espionage)
Killnet (motivation: hacktivism)
Killmilk (motivation: hacktivism)
Cyberarmyofrussia (motivation: hacktivism)
Peoples_cyber_army
Root_sploit
Cyberarmyrussia
Deadnet
Fucknet
Xaknet
Sandworm (motivation: hacktivism)
It_army (motivation: hacktivism, information_theft)
Rippersec (motivation: hacktivism)
Overflame (motivation: hacktivism, cyber_espionage)
Sector091 (motivation: hacktivism, cyber_espionage)
Threats:
Ddosia_botnet
Panicbotnet_tool
Megamedusa_tool
Sakura_dropper
Victims:
Lithuanian financial sector, Lithuanian government institutions, Expresstrip, Industrial control systems, Water utility facility texas, Energy utility facility, Nato countries, Entities in or supporting ukraine, Israeli websites, Critical infrastructure organizations, have more...
Industry:
Government, Ics, Energy, Military, Aerospace, Critical_infrastructure, Software_development, Telco
Geo:
Lithuania, Russia, France, Ukrainians, Russians, Poland, Russian, Iranian, Polish, Spain, Iran, Israeli, Ukraine, Ukrainian, Israel
ChatGPT TTPs:
T1190, T1491, T1499, T1565.001, T1588.002
Soft:
Telegram
Platforms:
intel
Links:
05-07-2025
Pro-Russian hacktivism: Shifting alliances, new groups and risks
https://intel471.com/blog/pro-russian-hacktivism-shifting-alliances-new-groups-and-risks
Report completeness: Low
Actors/Campaigns:
Dark_storm_team (motivation: hacktivism, cyber_espionage)
Mr_hamza (motivation: hacktivism, cyber_espionage)
Z-pentest_alliance (motivation: hacktivism)
Oplithuania (motivation: hacktivism)
Noname057 (motivation: financially_motivated, hacktivism)
Serverkillers (motivation: hacktivism)
Anonsec (motivation: hacktivism)
Keymous (motivation: hacktivism)
Twonet (motivation: hacktivism, cyber_espionage)
Killnet (motivation: hacktivism)
Killmilk (motivation: hacktivism)
Cyberarmyofrussia (motivation: hacktivism)
Peoples_cyber_army
Root_sploit
Cyberarmyrussia
Deadnet
Fucknet
Xaknet
Sandworm (motivation: hacktivism)
It_army (motivation: hacktivism, information_theft)
Rippersec (motivation: hacktivism)
Overflame (motivation: hacktivism, cyber_espionage)
Sector091 (motivation: hacktivism, cyber_espionage)
Threats:
Ddosia_botnet
Panicbotnet_tool
Megamedusa_tool
Sakura_dropper
Victims:
Lithuanian financial sector, Lithuanian government institutions, Expresstrip, Industrial control systems, Water utility facility texas, Energy utility facility, Nato countries, Entities in or supporting ukraine, Israeli websites, Critical infrastructure organizations, have more...
Industry:
Government, Ics, Energy, Military, Aerospace, Critical_infrastructure, Software_development, Telco
Geo:
Lithuania, Russia, France, Ukrainians, Russians, Poland, Russian, Iranian, Polish, Spain, Iran, Israeli, Ukraine, Ukrainian, Israel
ChatGPT TTPs:
do not use without manual checkT1190, T1491, T1499, T1565.001, T1588.002
Soft:
Telegram
Platforms:
intel
Links:
https://github.com/TrashDono/MegaMedusa
CTT Report Hub
#ParsedReport #CompletenessLow 05-07-2025 Pro-Russian hacktivism: Shifting alliances, new groups and risks https://intel471.com/blog/pro-russian-hacktivism-shifting-alliances-new-groups-and-risks Report completeness: Low Actors/Campaigns: Dark_storm_team…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Конфликт между Россией и Украиной привел к росту хактивизма, когда такие группы, как NoName057(16) и CARR, проводят целенаправленные DDoS-атаки и используют уязвимости в критически важной инфраструктуре. Эти операции, часто связанные с геополитическими событиями, свидетельствуют о сотрудничестве между хакерами и организациями, спонсируемыми государством, что усложняет поиск виновных и увеличивает масштаб угроз.
-----
Продолжающийся конфликт между Россией и Украиной, который обострился в 2022 году, значительно изменил ситуацию с киберпреступностью, в частности, из-за заметного роста хактивизма. Пророссийские и проукраинские хактивисты участвовали в различных кибероперациях, включая распределенные атаки типа "отказ в обслуживании" (DDoS), повреждение веб-сайтов и утечку данных. В 2025 году эта деятельность была стимулирована геополитическими событиями, такими как изменение военной поддержки Украины со стороны США и увеличение военной помощи со стороны европейских стран.
Появилось несколько пророссийских групп хактивистов, в частности, кампания #OpLithuania, начатая в мае 2025 года, в которой участвовали несколько групп, нацеленных на финансовые и правительственные учреждения Литвы в ответ на санкции против России. В нем приняли участие такие хактивисты, как команда Dark Storm и мистер Хамза, продемонстрировав скоординированные усилия по выражению несогласия с европейской поддержкой Украины. Рост числа атак связан со значительными политическими событиями, такими как президентские выборы в Польше и военные действия Израиля против Ирана, что еще больше побудило пророссийских и проиранских хактивистов к проведению ответных киберопераций.
KillNet, ранее известная пророссийская хактивистская группировка, превратилась в более финансово мотивированную киберпреступность, в то время как NoName057(16) приобрела известность. Действуя с начала 2022 года, эта группа постоянно нацеливается на страны НАТО, проводя атаки в ответ на военные и политические события. Они используют проект DDoSia, инструмент, разработанный в Go, для организации массовых DDoS-атак, вознаграждая участников криптовалютой за их вклад.
Кроме того, возрожденная Кибер-армия России (CARR) перешла от обычных DDoS-атак к более изощренным атакам на промышленные системы управления (ICS), воздействуя на критически важную инфраструктуру. Министерство финансов США выявило ключевые фигуры в компании CARR, которые были вовлечены в подобные операции, что указывает на возможную связь с деятельностью, спонсируемой российским государством. Мандиант сообщил, что КАРР тесно сотрудничает с ГРУ, выступая в качестве прикрытия, обеспечивающего правдоподобное отрицание спонсируемых государством киберопераций и способствующего утечке информации.
В среде хактивистов также появились новые организации, такие как ИТ-армия России и TwoNet, которые используют стратегии DDoS-атак и кражи данных. ИТ-армия нацелена на украинские предприятия и критически важную инфраструктуру, часто используя уязвимости SQL-инъекций для утечки данных. Тем временем TwoNet проводит DDoS-атаки в различных секторах, включая авиацию и телекоммуникации, поддерживая свою деятельность через социальные сети и Telegram.
Хактивистский ландшафт остается изменчивым, характеризуясь доступностью инструментов для DDoS-атак на подпольных рынках и возможностью наращивания интенсивности атак. Несмотря на то, что некоторым группам хактивистов зачастую не хватает сложных навыков по сравнению с APT, некоторым группам хактивистов удалось набрать квалифицированный персонал, способный скомпрометировать критически важную инфраструктуру. Примерами значительных сбоев являются DDoS-атаки, направленные против ICS, что подчеркивает потенциальные риски, связанные с деятельностью хактивистов в условиях продолжающегося конфликта. Наблюдатели отмечают, что, хотя эти группы, как правило, используют базовые методы, их связь с субъектами государственного уровня усложняет установление их причастности и повышает вес их кибервозможностей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Конфликт между Россией и Украиной привел к росту хактивизма, когда такие группы, как NoName057(16) и CARR, проводят целенаправленные DDoS-атаки и используют уязвимости в критически важной инфраструктуре. Эти операции, часто связанные с геополитическими событиями, свидетельствуют о сотрудничестве между хакерами и организациями, спонсируемыми государством, что усложняет поиск виновных и увеличивает масштаб угроз.
-----
Продолжающийся конфликт между Россией и Украиной, который обострился в 2022 году, значительно изменил ситуацию с киберпреступностью, в частности, из-за заметного роста хактивизма. Пророссийские и проукраинские хактивисты участвовали в различных кибероперациях, включая распределенные атаки типа "отказ в обслуживании" (DDoS), повреждение веб-сайтов и утечку данных. В 2025 году эта деятельность была стимулирована геополитическими событиями, такими как изменение военной поддержки Украины со стороны США и увеличение военной помощи со стороны европейских стран.
Появилось несколько пророссийских групп хактивистов, в частности, кампания #OpLithuania, начатая в мае 2025 года, в которой участвовали несколько групп, нацеленных на финансовые и правительственные учреждения Литвы в ответ на санкции против России. В нем приняли участие такие хактивисты, как команда Dark Storm и мистер Хамза, продемонстрировав скоординированные усилия по выражению несогласия с европейской поддержкой Украины. Рост числа атак связан со значительными политическими событиями, такими как президентские выборы в Польше и военные действия Израиля против Ирана, что еще больше побудило пророссийских и проиранских хактивистов к проведению ответных киберопераций.
KillNet, ранее известная пророссийская хактивистская группировка, превратилась в более финансово мотивированную киберпреступность, в то время как NoName057(16) приобрела известность. Действуя с начала 2022 года, эта группа постоянно нацеливается на страны НАТО, проводя атаки в ответ на военные и политические события. Они используют проект DDoSia, инструмент, разработанный в Go, для организации массовых DDoS-атак, вознаграждая участников криптовалютой за их вклад.
Кроме того, возрожденная Кибер-армия России (CARR) перешла от обычных DDoS-атак к более изощренным атакам на промышленные системы управления (ICS), воздействуя на критически важную инфраструктуру. Министерство финансов США выявило ключевые фигуры в компании CARR, которые были вовлечены в подобные операции, что указывает на возможную связь с деятельностью, спонсируемой российским государством. Мандиант сообщил, что КАРР тесно сотрудничает с ГРУ, выступая в качестве прикрытия, обеспечивающего правдоподобное отрицание спонсируемых государством киберопераций и способствующего утечке информации.
В среде хактивистов также появились новые организации, такие как ИТ-армия России и TwoNet, которые используют стратегии DDoS-атак и кражи данных. ИТ-армия нацелена на украинские предприятия и критически важную инфраструктуру, часто используя уязвимости SQL-инъекций для утечки данных. Тем временем TwoNet проводит DDoS-атаки в различных секторах, включая авиацию и телекоммуникации, поддерживая свою деятельность через социальные сети и Telegram.
Хактивистский ландшафт остается изменчивым, характеризуясь доступностью инструментов для DDoS-атак на подпольных рынках и возможностью наращивания интенсивности атак. Несмотря на то, что некоторым группам хактивистов зачастую не хватает сложных навыков по сравнению с APT, некоторым группам хактивистов удалось набрать квалифицированный персонал, способный скомпрометировать критически важную инфраструктуру. Примерами значительных сбоев являются DDoS-атаки, направленные против ICS, что подчеркивает потенциальные риски, связанные с деятельностью хактивистов в условиях продолжающегося конфликта. Наблюдатели отмечают, что, хотя эти группы, как правило, используют базовые методы, их связь с субъектами государственного уровня усложняет установление их причастности и повышает вес их кибервозможностей.
#ParsedReport #CompletenessHigh
05-07-2025
From .pth to p0wned: Abuse of Pickle Files in AI Model Supply Chains
https://www.rapid7.com/blog/post/from-pth-to-p0wned-abuse-of-pickle-files-in-ai-model-supply-chains/
Report completeness: High
Actors/Campaigns:
Unc5174
Threats:
Supply_chain_technique
Vshell
Cobalt_strike_tool
Metasploit_tool
Victims:
Python developers, Hugging face users, Machine learning practitioners
Geo:
Chinese
TTPs:
Tactics: 2
Technics: 7
IOCs:
File: 6
Url: 2
Hash: 11
IP: 2
Soft:
Unix, torch, Hugging Face, curl, Linux, macOS
Algorithms:
md5, sha256, sha1
Languages:
python
Platforms:
intel, cross-platform
05-07-2025
From .pth to p0wned: Abuse of Pickle Files in AI Model Supply Chains
https://www.rapid7.com/blog/post/from-pth-to-p0wned-abuse-of-pickle-files-in-ai-model-supply-chains/
Report completeness: High
Actors/Campaigns:
Unc5174
Threats:
Supply_chain_technique
Vshell
Cobalt_strike_tool
Metasploit_tool
Victims:
Python developers, Hugging face users, Machine learning practitioners
Geo:
Chinese
TTPs:
Tactics: 2
Technics: 7
IOCs:
File: 6
Url: 2
Hash: 11
IP: 2
Soft:
Unix, torch, Hugging Face, curl, Linux, macOS
Algorithms:
md5, sha256, sha1
Languages:
python
Platforms:
intel, cross-platform