#ParsedReport #CompletenessLow
05-07-2025
Pro-Russian hacktivism: Shifting alliances, new groups and risks
https://intel471.com/blog/pro-russian-hacktivism-shifting-alliances-new-groups-and-risks
Report completeness: Low
Actors/Campaigns:
Dark_storm_team (motivation: hacktivism, cyber_espionage)
Mr_hamza (motivation: hacktivism, cyber_espionage)
Z-pentest_alliance (motivation: hacktivism)
Oplithuania (motivation: hacktivism)
Noname057 (motivation: financially_motivated, hacktivism)
Serverkillers (motivation: hacktivism)
Anonsec (motivation: hacktivism)
Keymous (motivation: hacktivism)
Twonet (motivation: hacktivism, cyber_espionage)
Killnet (motivation: hacktivism)
Killmilk (motivation: hacktivism)
Cyberarmyofrussia (motivation: hacktivism)
Peoples_cyber_army
Root_sploit
Cyberarmyrussia
Deadnet
Fucknet
Xaknet
Sandworm (motivation: hacktivism)
It_army (motivation: hacktivism, information_theft)
Rippersec (motivation: hacktivism)
Overflame (motivation: hacktivism, cyber_espionage)
Sector091 (motivation: hacktivism, cyber_espionage)
Threats:
Ddosia_botnet
Panicbotnet_tool
Megamedusa_tool
Sakura_dropper
Victims:
Lithuanian financial sector, Lithuanian government institutions, Expresstrip, Industrial control systems, Water utility facility texas, Energy utility facility, Nato countries, Entities in or supporting ukraine, Israeli websites, Critical infrastructure organizations, have more...
Industry:
Government, Ics, Energy, Military, Aerospace, Critical_infrastructure, Software_development, Telco
Geo:
Lithuania, Russia, France, Ukrainians, Russians, Poland, Russian, Iranian, Polish, Spain, Iran, Israeli, Ukraine, Ukrainian, Israel
ChatGPT TTPs:
T1190, T1491, T1499, T1565.001, T1588.002
Soft:
Telegram
Platforms:
intel
Links:
05-07-2025
Pro-Russian hacktivism: Shifting alliances, new groups and risks
https://intel471.com/blog/pro-russian-hacktivism-shifting-alliances-new-groups-and-risks
Report completeness: Low
Actors/Campaigns:
Dark_storm_team (motivation: hacktivism, cyber_espionage)
Mr_hamza (motivation: hacktivism, cyber_espionage)
Z-pentest_alliance (motivation: hacktivism)
Oplithuania (motivation: hacktivism)
Noname057 (motivation: financially_motivated, hacktivism)
Serverkillers (motivation: hacktivism)
Anonsec (motivation: hacktivism)
Keymous (motivation: hacktivism)
Twonet (motivation: hacktivism, cyber_espionage)
Killnet (motivation: hacktivism)
Killmilk (motivation: hacktivism)
Cyberarmyofrussia (motivation: hacktivism)
Peoples_cyber_army
Root_sploit
Cyberarmyrussia
Deadnet
Fucknet
Xaknet
Sandworm (motivation: hacktivism)
It_army (motivation: hacktivism, information_theft)
Rippersec (motivation: hacktivism)
Overflame (motivation: hacktivism, cyber_espionage)
Sector091 (motivation: hacktivism, cyber_espionage)
Threats:
Ddosia_botnet
Panicbotnet_tool
Megamedusa_tool
Sakura_dropper
Victims:
Lithuanian financial sector, Lithuanian government institutions, Expresstrip, Industrial control systems, Water utility facility texas, Energy utility facility, Nato countries, Entities in or supporting ukraine, Israeli websites, Critical infrastructure organizations, have more...
Industry:
Government, Ics, Energy, Military, Aerospace, Critical_infrastructure, Software_development, Telco
Geo:
Lithuania, Russia, France, Ukrainians, Russians, Poland, Russian, Iranian, Polish, Spain, Iran, Israeli, Ukraine, Ukrainian, Israel
ChatGPT TTPs:
do not use without manual checkT1190, T1491, T1499, T1565.001, T1588.002
Soft:
Telegram
Platforms:
intel
Links:
https://github.com/TrashDono/MegaMedusa
CTT Report Hub
#ParsedReport #CompletenessLow 05-07-2025 Pro-Russian hacktivism: Shifting alliances, new groups and risks https://intel471.com/blog/pro-russian-hacktivism-shifting-alliances-new-groups-and-risks Report completeness: Low Actors/Campaigns: Dark_storm_team…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Конфликт между Россией и Украиной привел к росту хактивизма, когда такие группы, как NoName057(16) и CARR, проводят целенаправленные DDoS-атаки и используют уязвимости в критически важной инфраструктуре. Эти операции, часто связанные с геополитическими событиями, свидетельствуют о сотрудничестве между хакерами и организациями, спонсируемыми государством, что усложняет поиск виновных и увеличивает масштаб угроз.
-----
Продолжающийся конфликт между Россией и Украиной, который обострился в 2022 году, значительно изменил ситуацию с киберпреступностью, в частности, из-за заметного роста хактивизма. Пророссийские и проукраинские хактивисты участвовали в различных кибероперациях, включая распределенные атаки типа "отказ в обслуживании" (DDoS), повреждение веб-сайтов и утечку данных. В 2025 году эта деятельность была стимулирована геополитическими событиями, такими как изменение военной поддержки Украины со стороны США и увеличение военной помощи со стороны европейских стран.
Появилось несколько пророссийских групп хактивистов, в частности, кампания #OpLithuania, начатая в мае 2025 года, в которой участвовали несколько групп, нацеленных на финансовые и правительственные учреждения Литвы в ответ на санкции против России. В нем приняли участие такие хактивисты, как команда Dark Storm и мистер Хамза, продемонстрировав скоординированные усилия по выражению несогласия с европейской поддержкой Украины. Рост числа атак связан со значительными политическими событиями, такими как президентские выборы в Польше и военные действия Израиля против Ирана, что еще больше побудило пророссийских и проиранских хактивистов к проведению ответных киберопераций.
KillNet, ранее известная пророссийская хактивистская группировка, превратилась в более финансово мотивированную киберпреступность, в то время как NoName057(16) приобрела известность. Действуя с начала 2022 года, эта группа постоянно нацеливается на страны НАТО, проводя атаки в ответ на военные и политические события. Они используют проект DDoSia, инструмент, разработанный в Go, для организации массовых DDoS-атак, вознаграждая участников криптовалютой за их вклад.
Кроме того, возрожденная Кибер-армия России (CARR) перешла от обычных DDoS-атак к более изощренным атакам на промышленные системы управления (ICS), воздействуя на критически важную инфраструктуру. Министерство финансов США выявило ключевые фигуры в компании CARR, которые были вовлечены в подобные операции, что указывает на возможную связь с деятельностью, спонсируемой российским государством. Мандиант сообщил, что КАРР тесно сотрудничает с ГРУ, выступая в качестве прикрытия, обеспечивающего правдоподобное отрицание спонсируемых государством киберопераций и способствующего утечке информации.
В среде хактивистов также появились новые организации, такие как ИТ-армия России и TwoNet, которые используют стратегии DDoS-атак и кражи данных. ИТ-армия нацелена на украинские предприятия и критически важную инфраструктуру, часто используя уязвимости SQL-инъекций для утечки данных. Тем временем TwoNet проводит DDoS-атаки в различных секторах, включая авиацию и телекоммуникации, поддерживая свою деятельность через социальные сети и Telegram.
Хактивистский ландшафт остается изменчивым, характеризуясь доступностью инструментов для DDoS-атак на подпольных рынках и возможностью наращивания интенсивности атак. Несмотря на то, что некоторым группам хактивистов зачастую не хватает сложных навыков по сравнению с APT, некоторым группам хактивистов удалось набрать квалифицированный персонал, способный скомпрометировать критически важную инфраструктуру. Примерами значительных сбоев являются DDoS-атаки, направленные против ICS, что подчеркивает потенциальные риски, связанные с деятельностью хактивистов в условиях продолжающегося конфликта. Наблюдатели отмечают, что, хотя эти группы, как правило, используют базовые методы, их связь с субъектами государственного уровня усложняет установление их причастности и повышает вес их кибервозможностей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Конфликт между Россией и Украиной привел к росту хактивизма, когда такие группы, как NoName057(16) и CARR, проводят целенаправленные DDoS-атаки и используют уязвимости в критически важной инфраструктуре. Эти операции, часто связанные с геополитическими событиями, свидетельствуют о сотрудничестве между хакерами и организациями, спонсируемыми государством, что усложняет поиск виновных и увеличивает масштаб угроз.
-----
Продолжающийся конфликт между Россией и Украиной, который обострился в 2022 году, значительно изменил ситуацию с киберпреступностью, в частности, из-за заметного роста хактивизма. Пророссийские и проукраинские хактивисты участвовали в различных кибероперациях, включая распределенные атаки типа "отказ в обслуживании" (DDoS), повреждение веб-сайтов и утечку данных. В 2025 году эта деятельность была стимулирована геополитическими событиями, такими как изменение военной поддержки Украины со стороны США и увеличение военной помощи со стороны европейских стран.
Появилось несколько пророссийских групп хактивистов, в частности, кампания #OpLithuania, начатая в мае 2025 года, в которой участвовали несколько групп, нацеленных на финансовые и правительственные учреждения Литвы в ответ на санкции против России. В нем приняли участие такие хактивисты, как команда Dark Storm и мистер Хамза, продемонстрировав скоординированные усилия по выражению несогласия с европейской поддержкой Украины. Рост числа атак связан со значительными политическими событиями, такими как президентские выборы в Польше и военные действия Израиля против Ирана, что еще больше побудило пророссийских и проиранских хактивистов к проведению ответных киберопераций.
KillNet, ранее известная пророссийская хактивистская группировка, превратилась в более финансово мотивированную киберпреступность, в то время как NoName057(16) приобрела известность. Действуя с начала 2022 года, эта группа постоянно нацеливается на страны НАТО, проводя атаки в ответ на военные и политические события. Они используют проект DDoSia, инструмент, разработанный в Go, для организации массовых DDoS-атак, вознаграждая участников криптовалютой за их вклад.
Кроме того, возрожденная Кибер-армия России (CARR) перешла от обычных DDoS-атак к более изощренным атакам на промышленные системы управления (ICS), воздействуя на критически важную инфраструктуру. Министерство финансов США выявило ключевые фигуры в компании CARR, которые были вовлечены в подобные операции, что указывает на возможную связь с деятельностью, спонсируемой российским государством. Мандиант сообщил, что КАРР тесно сотрудничает с ГРУ, выступая в качестве прикрытия, обеспечивающего правдоподобное отрицание спонсируемых государством киберопераций и способствующего утечке информации.
В среде хактивистов также появились новые организации, такие как ИТ-армия России и TwoNet, которые используют стратегии DDoS-атак и кражи данных. ИТ-армия нацелена на украинские предприятия и критически важную инфраструктуру, часто используя уязвимости SQL-инъекций для утечки данных. Тем временем TwoNet проводит DDoS-атаки в различных секторах, включая авиацию и телекоммуникации, поддерживая свою деятельность через социальные сети и Telegram.
Хактивистский ландшафт остается изменчивым, характеризуясь доступностью инструментов для DDoS-атак на подпольных рынках и возможностью наращивания интенсивности атак. Несмотря на то, что некоторым группам хактивистов зачастую не хватает сложных навыков по сравнению с APT, некоторым группам хактивистов удалось набрать квалифицированный персонал, способный скомпрометировать критически важную инфраструктуру. Примерами значительных сбоев являются DDoS-атаки, направленные против ICS, что подчеркивает потенциальные риски, связанные с деятельностью хактивистов в условиях продолжающегося конфликта. Наблюдатели отмечают, что, хотя эти группы, как правило, используют базовые методы, их связь с субъектами государственного уровня усложняет установление их причастности и повышает вес их кибервозможностей.
#ParsedReport #CompletenessHigh
05-07-2025
From .pth to p0wned: Abuse of Pickle Files in AI Model Supply Chains
https://www.rapid7.com/blog/post/from-pth-to-p0wned-abuse-of-pickle-files-in-ai-model-supply-chains/
Report completeness: High
Actors/Campaigns:
Unc5174
Threats:
Supply_chain_technique
Vshell
Cobalt_strike_tool
Metasploit_tool
Victims:
Python developers, Hugging face users, Machine learning practitioners
Geo:
Chinese
TTPs:
Tactics: 2
Technics: 7
IOCs:
File: 6
Url: 2
Hash: 11
IP: 2
Soft:
Unix, torch, Hugging Face, curl, Linux, macOS
Algorithms:
md5, sha256, sha1
Languages:
python
Platforms:
intel, cross-platform
05-07-2025
From .pth to p0wned: Abuse of Pickle Files in AI Model Supply Chains
https://www.rapid7.com/blog/post/from-pth-to-p0wned-abuse-of-pickle-files-in-ai-model-supply-chains/
Report completeness: High
Actors/Campaigns:
Unc5174
Threats:
Supply_chain_technique
Vshell
Cobalt_strike_tool
Metasploit_tool
Victims:
Python developers, Hugging face users, Machine learning practitioners
Geo:
Chinese
TTPs:
Tactics: 2
Technics: 7
IOCs:
File: 6
Url: 2
Hash: 11
IP: 2
Soft:
Unix, torch, Hugging Face, curl, Linux, macOS
Algorithms:
md5, sha256, sha1
Languages:
python
Platforms:
intel, cross-platform
CTT Report Hub
#ParsedReport #CompletenessHigh 05-07-2025 From .pth to p0wned: Abuse of Pickle Files in AI Model Supply Chains https://www.rapid7.com/blog/post/from-pth-to-p0wned-abuse-of-pickle-files-in-ai-model-supply-chains/ Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Модуль Python pickle представляет собой уязвимость в моделях машинного обучения, позволяющую выполнять произвольный код во время десериализации. Злоумышленники используют это, внедряя вредоносный код в pth-файлы, что приводит к загрузке и запуску троянских программ удаленного доступа (RATs) с использованием таких инструментов, как VShell, что выявляет риски цепочки поставок программного обеспечения в надежных хранилищах искусственного интеллекта.
-----
Недавние расследования деятельности хакеров выявили значительный риск, связанный с экосистемой Python, особенно в отношении моделей машинного обучения, которые используют модуль pickle для сериализации. Этот модуль, широко используемый для сохранения и загрузки сложных объектов, обладает критической уязвимостью: он может выполнять произвольный код в процессе десериализации. Злоумышленники все чаще используют эту уязвимость, внедряя вредоносный код в сериализованные файлы моделей, в частности, в pth-файлы, используемые в PyTorch.
В одном примечательном случае исследователи выявили вредоносные файлы модели PyTorch, загруженные на авторитетные платформы, такие как Hugging Face. Эти скомпрометированные файлы были связаны с подозрительной учетной записью пользователя и после десериализации с помощью функции torch.load() выполняли встроенные команды оболочки, предназначенные для загрузки и запуска троянских программ удаленного доступа (RATs). Одна из таких полезных данных включала двоичный файл ELF на базе Go, который вызывался обратно на сервер управления (C2), скрытый через туннель Cloudflare, - тактика, которая помогает избежать обнаружения и установления авторства.
Специфика атаки заключается в командах оболочки, которые автоматически загружают исполняемые файлы с помощью curl или wget и выполняют их непосредственно в оболочке, не сохраняя на диске. Например, файлы пытались загрузить скрипт с удаленного сервера и выполнить его, что позволило получить дополнительный контроль над скомпрометированными системами. Использование платформы VShell C2, которая поддерживает различные операционные системы и предоставляет такие возможности, как удаленное выполнение команд и передача файлов, указывает на изощренный характер этих атак. Изначально предназначенный для операций red team, VShell стал излюбленным инструментом злоумышленников, позволяющим им скрытно проводить операции через зашифрованные веб-сокеты.
Кроме того, полученные данные свидетельствуют о тенденции злоупотребления надежными хранилищами искусственного интеллекта в качестве каналов распространения вредоносного ПО, связывая уязвимости цепочки поставок программного обеспечения с растущим уровнем угроз. Риск, связанный с использованием pickle для ненадежных источников, является существенным, поскольку он позволяет выполнять скрытый код, проявляющийся в виде реальных угроз, когда злоумышленники внедряют вредоносное ПО, используя такие инструменты, как Cobalt Strike и Metasploit. Эта эскалация подчеркивает необходимость того, чтобы специалисты по безопасности тщательно изучали сериализованные файлы моделей с той же тщательностью, что и при выполнении традиционного кода, поскольку взаимодействие моделей ML и кибербезопасности продолжает развиваться.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Модуль Python pickle представляет собой уязвимость в моделях машинного обучения, позволяющую выполнять произвольный код во время десериализации. Злоумышленники используют это, внедряя вредоносный код в pth-файлы, что приводит к загрузке и запуску троянских программ удаленного доступа (RATs) с использованием таких инструментов, как VShell, что выявляет риски цепочки поставок программного обеспечения в надежных хранилищах искусственного интеллекта.
-----
Недавние расследования деятельности хакеров выявили значительный риск, связанный с экосистемой Python, особенно в отношении моделей машинного обучения, которые используют модуль pickle для сериализации. Этот модуль, широко используемый для сохранения и загрузки сложных объектов, обладает критической уязвимостью: он может выполнять произвольный код в процессе десериализации. Злоумышленники все чаще используют эту уязвимость, внедряя вредоносный код в сериализованные файлы моделей, в частности, в pth-файлы, используемые в PyTorch.
В одном примечательном случае исследователи выявили вредоносные файлы модели PyTorch, загруженные на авторитетные платформы, такие как Hugging Face. Эти скомпрометированные файлы были связаны с подозрительной учетной записью пользователя и после десериализации с помощью функции torch.load() выполняли встроенные команды оболочки, предназначенные для загрузки и запуска троянских программ удаленного доступа (RATs). Одна из таких полезных данных включала двоичный файл ELF на базе Go, который вызывался обратно на сервер управления (C2), скрытый через туннель Cloudflare, - тактика, которая помогает избежать обнаружения и установления авторства.
Специфика атаки заключается в командах оболочки, которые автоматически загружают исполняемые файлы с помощью curl или wget и выполняют их непосредственно в оболочке, не сохраняя на диске. Например, файлы пытались загрузить скрипт с удаленного сервера и выполнить его, что позволило получить дополнительный контроль над скомпрометированными системами. Использование платформы VShell C2, которая поддерживает различные операционные системы и предоставляет такие возможности, как удаленное выполнение команд и передача файлов, указывает на изощренный характер этих атак. Изначально предназначенный для операций red team, VShell стал излюбленным инструментом злоумышленников, позволяющим им скрытно проводить операции через зашифрованные веб-сокеты.
Кроме того, полученные данные свидетельствуют о тенденции злоупотребления надежными хранилищами искусственного интеллекта в качестве каналов распространения вредоносного ПО, связывая уязвимости цепочки поставок программного обеспечения с растущим уровнем угроз. Риск, связанный с использованием pickle для ненадежных источников, является существенным, поскольку он позволяет выполнять скрытый код, проявляющийся в виде реальных угроз, когда злоумышленники внедряют вредоносное ПО, используя такие инструменты, как Cobalt Strike и Metasploit. Эта эскалация подчеркивает необходимость того, чтобы специалисты по безопасности тщательно изучали сериализованные файлы моделей с той же тщательностью, что и при выполнении традиционного кода, поскольку взаимодействие моделей ML и кибербезопасности продолжает развиваться.
#ParsedReport #CompletenessLow
05-07-2025
Scattered Spider: Rapid7 Insights, Observations, and Recommendations
https://www.rapid7.com/blog/post/scattered-spider-rapid7-insights-observations-and-recommendations/
Report completeness: Low
Actors/Campaigns:
0ktapus (motivation: cyber_criminal, information_theft, financially_motivated)
Threats:
Sim_swapping_technique
Teleport_tool
Byovd_technique
Blackcat
Mfa_bombing_technique
Teamviewer_tool
Screenconnect_tool
Splashtop_tool
Anydesk_tool
Ngrok_tool
Fleetdeck_tool
Psexec_tool
Credential_dumping_technique
Lolbin_technique
Mimikatz_tool
Stonestop
Poortry
Dragonforce_ransomware
Victims:
Large enterprises, Telecommunications firms, Outsourcing firms, Cloud companies, Technology companies, Retailers, Finance companies, Airline sector, Uk retailers, Airlines, have more...
Industry:
Telco, Retail, Entertainment, Financial, Aerospace
CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- intel ethernet_diagnostics_driver_iqvw32.sys (1.03.0.7)
- intel ethernet_diagnostics_driver_iqvw64.sys (1.03.0.7)
CVE-2021-35464 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- forgerock access_management (<6.5.4)
- forgerock openam (<14.6.3)
TTPs:
Soft:
Windows Remote Desktop, psexec
Functions:
AWS
Platforms:
intel
05-07-2025
Scattered Spider: Rapid7 Insights, Observations, and Recommendations
https://www.rapid7.com/blog/post/scattered-spider-rapid7-insights-observations-and-recommendations/
Report completeness: Low
Actors/Campaigns:
0ktapus (motivation: cyber_criminal, information_theft, financially_motivated)
Threats:
Sim_swapping_technique
Teleport_tool
Byovd_technique
Blackcat
Mfa_bombing_technique
Teamviewer_tool
Screenconnect_tool
Splashtop_tool
Anydesk_tool
Ngrok_tool
Fleetdeck_tool
Psexec_tool
Credential_dumping_technique
Lolbin_technique
Mimikatz_tool
Stonestop
Poortry
Dragonforce_ransomware
Victims:
Large enterprises, Telecommunications firms, Outsourcing firms, Cloud companies, Technology companies, Retailers, Finance companies, Airline sector, Uk retailers, Airlines, have more...
Industry:
Telco, Retail, Entertainment, Financial, Aerospace
CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- intel ethernet_diagnostics_driver_iqvw32.sys (1.03.0.7)
- intel ethernet_diagnostics_driver_iqvw64.sys (1.03.0.7)
CVE-2021-35464 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- forgerock access_management (<6.5.4)
- forgerock openam (<14.6.3)
TTPs:
Soft:
Windows Remote Desktop, psexec
Functions:
AWS
Platforms:
intel
CTT Report Hub
#ParsedReport #CompletenessLow 05-07-2025 Scattered Spider: Rapid7 Insights, Observations, and Recommendations https://www.rapid7.com/blog/post/scattered-spider-rapid7-insights-observations-and-recommendations/ Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Scattered Spider (UNC3944) - это финансово мотивированная киберпреступная группировка, нацеленная на крупные предприятия с помощью сложной социальной инженерии и многоэтапных вторжений. Они используют тактику ИТ-службы поддержки, усталость от работы с MFA и уязвимости, такие как CVE-2021-35464, для доступа, используя такие инструменты, как TeamViewer, для сохранения. Их операции сосредоточены на краже данных и вымогательстве, включая сотрудничество с программами-вымогателями и заметные нарушения, такие как MGM Resorts.
-----
Scattered Spider (UNC3944) - это финансово мотивированная киберпреступная группировка, действующая с мая 2022 года.
Они ориентированы на крупные предприятия, особенно в сфере телекоммуникаций, облачных технологий, розничной торговли, финансов и авиаперевозок.
Группа использует сложную социальную инженерию, в частности, выдает себя за ИТ-службу поддержки, чтобы получить доступ.
Их тактика эволюционировала от фишинга и обмена SIM-картами до сложных многоэтапных вторжений в облачные и локальные среды.
Они используют методы MITRE ATT&CK, включая фишинг (T1566), информационный фишинг (T1598), выполнение действий пользователя (T1204) и усталость от работы с MFA (T1621).
Они используют законные инструменты удаленного доступа, такие как TeamViewer, ScreenConnect, Splashtop и Teleport, для обеспечения надежного долгосрочного доступа.
Они используют облачные инструменты управления для подсчета и горизонтального перемещения, используя API AWS для сбора данных об экземплярах EC2 и ролях IAM.
Для навигации по корпоративным сетям используются внутренние протоколы, такие как RDP и SMB.
Они используют такие уязвимости, как CVE-2021-35464 в ForgeRock AM для удаленного выполнения кода и CVE-2015-2291 в драйверах Intel.
Они используют тактику "принеси свой собственный уязвимый драйвер" (BYOVD), чтобы отключить программное обеспечение безопасности без обнаружения.
Вредоносные драйверы, такие как STONESTOP и YOUPRTRY, используются для отключения систем endpoint protection.
Их цели включают кражу данных и вымогательство, что иногда приводит к внедрению программ-вымогателей наряду с угрозами для данных.
Scattered Spider был связан с такими группами программ-вымогателей, как ALPHV /BlackCat, и серьезными нарушениями, включая атаку на MGM Resorts.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Scattered Spider (UNC3944) - это финансово мотивированная киберпреступная группировка, нацеленная на крупные предприятия с помощью сложной социальной инженерии и многоэтапных вторжений. Они используют тактику ИТ-службы поддержки, усталость от работы с MFA и уязвимости, такие как CVE-2021-35464, для доступа, используя такие инструменты, как TeamViewer, для сохранения. Их операции сосредоточены на краже данных и вымогательстве, включая сотрудничество с программами-вымогателями и заметные нарушения, такие как MGM Resorts.
-----
Scattered Spider (UNC3944) - это финансово мотивированная киберпреступная группировка, действующая с мая 2022 года.
Они ориентированы на крупные предприятия, особенно в сфере телекоммуникаций, облачных технологий, розничной торговли, финансов и авиаперевозок.
Группа использует сложную социальную инженерию, в частности, выдает себя за ИТ-службу поддержки, чтобы получить доступ.
Их тактика эволюционировала от фишинга и обмена SIM-картами до сложных многоэтапных вторжений в облачные и локальные среды.
Они используют методы MITRE ATT&CK, включая фишинг (T1566), информационный фишинг (T1598), выполнение действий пользователя (T1204) и усталость от работы с MFA (T1621).
Они используют законные инструменты удаленного доступа, такие как TeamViewer, ScreenConnect, Splashtop и Teleport, для обеспечения надежного долгосрочного доступа.
Они используют облачные инструменты управления для подсчета и горизонтального перемещения, используя API AWS для сбора данных об экземплярах EC2 и ролях IAM.
Для навигации по корпоративным сетям используются внутренние протоколы, такие как RDP и SMB.
Они используют такие уязвимости, как CVE-2021-35464 в ForgeRock AM для удаленного выполнения кода и CVE-2015-2291 в драйверах Intel.
Они используют тактику "принеси свой собственный уязвимый драйвер" (BYOVD), чтобы отключить программное обеспечение безопасности без обнаружения.
Вредоносные драйверы, такие как STONESTOP и YOUPRTRY, используются для отключения систем endpoint protection.
Их цели включают кражу данных и вымогательство, что иногда приводит к внедрению программ-вымогателей наряду с угрозами для данных.
Scattered Spider был связан с такими группами программ-вымогателей, как ALPHV /BlackCat, и серьезными нарушениями, включая атаку на MGM Resorts.
#ParsedReport #CompletenessMedium
05-07-2025
When Installers Turn Evil: The Pascal Script Behind Inno Setup Malware Campaign
https://www.splunk.com/en_us/blog/security/inno-setup-malware-redline-stealer-campaign.html
Report completeness: Medium
Threats:
Shellcodeloader
Dll_sideloading_technique
Hijackloader
Redline_stealer
D3fack
Lumma_stealer
Raccoon_stealer
Remcos_rat
Amadey
Heavens_gate_technique
Process_hollowing_technique
Plugx_rat
Credential_harvesting_technique
TTPs:
IOCs:
File: 22
Path: 5
Hash: 4
Url: 1
Command: 2
Soft:
Chrome, Internet Explorer, chromium, Opera, Vivaldi, Google Chrome, Microsoft Edge, Slack
Wallets:
metamask, tronlink
Crypto:
binance
Algorithms:
zip, xor, lznt1
Functions:
TaskContent, TaskName
Win API:
RtlDecompressBuffer
Languages:
pascal
Links:
05-07-2025
When Installers Turn Evil: The Pascal Script Behind Inno Setup Malware Campaign
https://www.splunk.com/en_us/blog/security/inno-setup-malware-redline-stealer-campaign.html
Report completeness: Medium
Threats:
Shellcodeloader
Dll_sideloading_technique
Hijackloader
Redline_stealer
D3fack
Lumma_stealer
Raccoon_stealer
Remcos_rat
Amadey
Heavens_gate_technique
Process_hollowing_technique
Plugx_rat
Credential_harvesting_technique
TTPs:
IOCs:
File: 22
Path: 5
Hash: 4
Url: 1
Command: 2
Soft:
Chrome, Internet Explorer, chromium, Opera, Vivaldi, Google Chrome, Microsoft Edge, Slack
Wallets:
metamask, tronlink
Crypto:
binance
Algorithms:
zip, xor, lznt1
Functions:
TaskContent, TaskName
Win API:
RtlDecompressBuffer
Languages:
pascal
Links:
https://github.com/splunk/security\_contenthttps://github.com/splunk/attack\_data/Splunk
When Installers Turn Evil: The Pascal Script Behind Inno Setup Malware Campaign | Splunk
Uncover the Inno Setup malware campaign leveraging Pascal scripting to deliver RedLine Stealer.
CTT Report Hub
#ParsedReport #CompletenessMedium 05-07-2025 When Installers Turn Evil: The Pascal Script Behind Inno Setup Malware Campaign https://www.splunk.com/en_us/blog/security/inno-setup-malware-redline-stealer-campaign.html Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберпреступники используют установщики Inno Setup для распространения вредоносного ПО, внедряя вредоносный код, который использует сценарии на языке Pascal для выполнения полезной нагрузки и уклонения от обнаружения. В рамках кампании в основном используется RedLine Stealer, предназначенный для защиты конфиденциальных данных браузера. Тактика уклонения включает в себя обфускацию, меры по предотвращению анализа и связь C2 с ограниченным доступом, что требует усовершенствованных стратегий обнаружения для предотвращения.
-----
Киберпреступники используют легальные платформы установки, в частности Inno Setup, для распространения вредоносных программ. Вредоносные программы установки Inno Setup содержат встроенное вредоносное ПО, замаскированное под безопасные приложения. Эти установщики используют сценарии на языке Pascal для извлечения и выполнения вторичной полезной нагрузки, что приводит к развертыванию шеллкода и HijackLoader, который предоставляет RedLine Stealer. Сценарий включает в себя XOR-шифрование для обфускации и использует инструментарий управления Windows (WMI) для обнаружения средств безопасности, прерывая выполнение при их обнаружении. Загрузчик выполняет контекстную проверку имени файла и подключается к серверу управления для загрузки полезной нагрузки, которая защищена специальными идентификационными заголовками. RedLine Stealer использует данные пользователя браузера для сбора учетных данных, включая информацию для входа в систему и расширения криптовалютного кошелька. Вредоносная программа использует продвинутые тактики уклонения, такие как "постоянное разворачивание" обфускации и манипулирование процессами, чтобы обеспечить скрытность. Она использует перенаправленные URL-адреса и запутанную полезную нагрузку, чтобы скрыть свои операции. Обнаружение вредоносной активности может включать распознавание ненормальных условий запуска браузера, таких как использование опции "--no-sandbox" или отсутствие расширений.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберпреступники используют установщики Inno Setup для распространения вредоносного ПО, внедряя вредоносный код, который использует сценарии на языке Pascal для выполнения полезной нагрузки и уклонения от обнаружения. В рамках кампании в основном используется RedLine Stealer, предназначенный для защиты конфиденциальных данных браузера. Тактика уклонения включает в себя обфускацию, меры по предотвращению анализа и связь C2 с ограниченным доступом, что требует усовершенствованных стратегий обнаружения для предотвращения.
-----
Киберпреступники используют легальные платформы установки, в частности Inno Setup, для распространения вредоносных программ. Вредоносные программы установки Inno Setup содержат встроенное вредоносное ПО, замаскированное под безопасные приложения. Эти установщики используют сценарии на языке Pascal для извлечения и выполнения вторичной полезной нагрузки, что приводит к развертыванию шеллкода и HijackLoader, который предоставляет RedLine Stealer. Сценарий включает в себя XOR-шифрование для обфускации и использует инструментарий управления Windows (WMI) для обнаружения средств безопасности, прерывая выполнение при их обнаружении. Загрузчик выполняет контекстную проверку имени файла и подключается к серверу управления для загрузки полезной нагрузки, которая защищена специальными идентификационными заголовками. RedLine Stealer использует данные пользователя браузера для сбора учетных данных, включая информацию для входа в систему и расширения криптовалютного кошелька. Вредоносная программа использует продвинутые тактики уклонения, такие как "постоянное разворачивание" обфускации и манипулирование процессами, чтобы обеспечить скрытность. Она использует перенаправленные URL-адреса и запутанную полезную нагрузку, чтобы скрыть свои операции. Обнаружение вредоносной активности может включать распознавание ненормальных условий запуска браузера, таких как использование опции "--no-sandbox" или отсутствие расширений.
#ParsedReport #CompletenessHigh
05-07-2025
Phishing Attack : Deploying Malware on Indian Defense BOSS Linux
https://www.cyfirma.com/research/phishing-attack-deploying-malware-on-indian-defense-boss-linux/
Report completeness: High
Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)
Threats:
Spear-phishing_technique
Victims:
Indian government agencies, Personnel within indian defense sector, Organizations using boss linux
Industry:
Education, Government, Critical_infrastructure
Geo:
Pakistan, Indian, India
TTPs:
Tactics: 11
Technics: 15
IOCs:
File: 11
Url: 4
Hash: 6
IP: 3
Domain: 2
Soft:
Linux, Systemd, LibreOffice, curl
Algorithms:
sha256, md5, zip
Functions:
setKeepAlive, setKeepAlivePeriod
YARA: Found
05-07-2025
Phishing Attack : Deploying Malware on Indian Defense BOSS Linux
https://www.cyfirma.com/research/phishing-attack-deploying-malware-on-indian-defense-boss-linux/
Report completeness: High
Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)
Threats:
Spear-phishing_technique
Victims:
Indian government agencies, Personnel within indian defense sector, Organizations using boss linux
Industry:
Education, Government, Critical_infrastructure
Geo:
Pakistan, Indian, India
TTPs:
Tactics: 11
Technics: 15
IOCs:
File: 11
Url: 4
Hash: 6
IP: 3
Domain: 2
Soft:
Linux, Systemd, LibreOffice, curl
Algorithms:
sha256, md5, zip
Functions:
setKeepAlive, setKeepAlivePeriod
YARA: Found
CYFIRMA
Phishing Attack : Deploying Malware on Indian Defense BOSS Linux - CYFIRMA
Executive Summary CYFIRMA has identified a sophisticated cyber-espionage campaign orchestrated by APT36 (also known as Transparent Tribe), a threat actor...
CTT Report Hub
#ParsedReport #CompletenessHigh 05-07-2025 Phishing Attack : Deploying Malware on Indian Defense BOSS Linux https://www.cyfirma.com/research/phishing-attack-deploying-malware-on-indian-defense-boss-linux/ Report completeness: High Actors/Campaigns: Transparenttribe…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT36, известная как Transparent Tribe, нацелена на оборонный сектор Индии, используя фишинговые электронные письма для доставки вредоносного по.файл рабочего стола, который выполняет полезную нагрузку под названием BOSS.elf в среде Linux. Эта вредоносная программа собирает системную информацию, устанавливает канал C2 и может делать снимки экрана, что указывает на изощренный подход к кибершпионажу.
-----
APT36, также известный как Transparent Tribe, был идентифицирован как опытный хакер, занимающийся кибершпионажем, в частности, нацеленный на оборонный сектор Индии. Группа использует новую тактику, ориентированную на среды на базе Linux, в частности на дистрибутив BOSS Linux, который широко используется индийскими правительственными учреждениями. Вектор атаки в основном связан с фишинговыми электронными письмами, которые доставляют вложения в формате ZIP, содержащие вредоносные файлы.
Как только жертва выполнит вредоносное ПО .файл для рабочего стола, замаскированный под ярлык Linux, использует механизм двойного действия: он загружает и открывает законный файл PowerPoint (.pptx), чтобы создать видимость подлинности, и одновременно запускает вредоносный двоичный файл ELF (исполняемый файл в связываемом формате) в фоновом режиме. Двоичный файл ELF, называемый BOSS.elf, служит в качестве основной полезной нагрузки, предназначенной для взлома системы и облегчения несанкционированного доступа.
Вся операция представляет собой многоэтапный подход, направленный на то, чтобы избежать подозрений пользователей и традиционных мер безопасности. Фишинговое электронное письмо предназначено для отображения в качестве соответствующей рекомендации, а использование значка LibreOffice Impress с ярлыком усиливает его маскировку. Атака использует скриптовый процесс с использованием команды curl для бесшумной загрузки дополнительных файлов, в то же время отвлекая жертву от работы с документом-приманкой.
После своего запуска вредоносная программа получает важную системную информацию, такую как имя хоста, данные о процессоре и оперативной памяти, чтобы адаптировать свои действия, прежде чем установить постоянство в целевой системе. Примечательно, что он использует main.junkcalc2 для ведения журнала действий, что помогает управлять операциями в режиме реального времени и избегать обнаружения антивирусом, сводя к минимуму подозрительное поведение. Кроме того, вредоносная программа сканирует диски и файлы, чтобы найти конфиденциальную информацию, потенциально пригодную для утечки.
Для обмена данными вредоносная программа устанавливает канал управления (C2) с IP-адресом 101.99.92.182 на порту 12520. Однако, по данным последнего анализа, этот IP-адрес был недоступен, что указывает на то, что хакер может в любой момент повторно активировать его для удаленного управления. Вредоносная программа также способна делать скриншоты рабочего стола жертвы для сбора дополнительной информации, оставаясь незамеченной.
Таким образом, недавние операции APT36 свидетельствуют об эволюции их тактики и подчеркивают растущие угрозы инфраструктурам на базе Linux, особенно в критически важных государственных секторах. Организациям, использующим BOSS Linux или аналогичные платформы, необходимо уделять приоритетное внимание усиленным мерам безопасности, включая сложную защиту электронной почты, повышение осведомленности пользователей и постоянный мониторинг аналитических данных об угрозах, чтобы противостоять этим продвинутым хакерам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT36, известная как Transparent Tribe, нацелена на оборонный сектор Индии, используя фишинговые электронные письма для доставки вредоносного по.файл рабочего стола, который выполняет полезную нагрузку под названием BOSS.elf в среде Linux. Эта вредоносная программа собирает системную информацию, устанавливает канал C2 и может делать снимки экрана, что указывает на изощренный подход к кибершпионажу.
-----
APT36, также известный как Transparent Tribe, был идентифицирован как опытный хакер, занимающийся кибершпионажем, в частности, нацеленный на оборонный сектор Индии. Группа использует новую тактику, ориентированную на среды на базе Linux, в частности на дистрибутив BOSS Linux, который широко используется индийскими правительственными учреждениями. Вектор атаки в основном связан с фишинговыми электронными письмами, которые доставляют вложения в формате ZIP, содержащие вредоносные файлы.
Как только жертва выполнит вредоносное ПО .файл для рабочего стола, замаскированный под ярлык Linux, использует механизм двойного действия: он загружает и открывает законный файл PowerPoint (.pptx), чтобы создать видимость подлинности, и одновременно запускает вредоносный двоичный файл ELF (исполняемый файл в связываемом формате) в фоновом режиме. Двоичный файл ELF, называемый BOSS.elf, служит в качестве основной полезной нагрузки, предназначенной для взлома системы и облегчения несанкционированного доступа.
Вся операция представляет собой многоэтапный подход, направленный на то, чтобы избежать подозрений пользователей и традиционных мер безопасности. Фишинговое электронное письмо предназначено для отображения в качестве соответствующей рекомендации, а использование значка LibreOffice Impress с ярлыком усиливает его маскировку. Атака использует скриптовый процесс с использованием команды curl для бесшумной загрузки дополнительных файлов, в то же время отвлекая жертву от работы с документом-приманкой.
После своего запуска вредоносная программа получает важную системную информацию, такую как имя хоста, данные о процессоре и оперативной памяти, чтобы адаптировать свои действия, прежде чем установить постоянство в целевой системе. Примечательно, что он использует main.junkcalc2 для ведения журнала действий, что помогает управлять операциями в режиме реального времени и избегать обнаружения антивирусом, сводя к минимуму подозрительное поведение. Кроме того, вредоносная программа сканирует диски и файлы, чтобы найти конфиденциальную информацию, потенциально пригодную для утечки.
Для обмена данными вредоносная программа устанавливает канал управления (C2) с IP-адресом 101.99.92.182 на порту 12520. Однако, по данным последнего анализа, этот IP-адрес был недоступен, что указывает на то, что хакер может в любой момент повторно активировать его для удаленного управления. Вредоносная программа также способна делать скриншоты рабочего стола жертвы для сбора дополнительной информации, оставаясь незамеченной.
Таким образом, недавние операции APT36 свидетельствуют об эволюции их тактики и подчеркивают растущие угрозы инфраструктурам на базе Linux, особенно в критически важных государственных секторах. Организациям, использующим BOSS Linux или аналогичные платформы, необходимо уделять приоритетное внимание усиленным мерам безопасности, включая сложную защиту электронной почты, повышение осведомленности пользователей и постоянный мониторинг аналитических данных об угрозах, чтобы противостоять этим продвинутым хакерам.
#ParsedReport #CompletenessLow
05-07-2025
Weekly Threat Infrastructure Investigation(Week26)
https://disconinja.hatenablog.com/entry/2025/07/05/161657
Report completeness: Low
Threats:
Cobalt_strike_tool
Supershell
Netsupportmanager_rat
Mythic_c2
Brc4_tool
Plugx_rat
Geo:
Japan
ChatGPT TTPs:
T1071, T1105, T1584.004
IOCs:
IP: 16
05-07-2025
Weekly Threat Infrastructure Investigation(Week26)
https://disconinja.hatenablog.com/entry/2025/07/05/161657
Report completeness: Low
Threats:
Cobalt_strike_tool
Supershell
Netsupportmanager_rat
Mythic_c2
Brc4_tool
Plugx_rat
Geo:
Japan
ChatGPT TTPs:
do not use without manual checkT1071, T1105, T1584.004
IOCs:
IP: 16
Weekend Researcher Tsurezure Diary
Weekly Threat Infrastructure Investigation(Week26) - Weekend Researcher Tsurezure Diary
Hunting for enemy infrastructure in Japan 概要 / Overview Censysの検索機能を用いて、C2とラベル付けされた日本国内のインフラストラクチャを調査しました。調査期間は2025年6月23日から6月29日までです。合計16件のC2サーバーが検出され、Cobalt St…
CTT Report Hub
#ParsedReport #CompletenessLow 05-07-2025 Weekly Threat Infrastructure Investigation(Week26) https://disconinja.hatenablog.com/entry/2025/07/05/161657 Report completeness: Low Threats: Cobalt_strike_tool Supershell Netsupportmanager_rat Mythic_c2 Brc4_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Идентификация 26 серверов командования и контроля в Японии, включая те, которые связаны с Cobalt Strike, указывает на продолжающуюся изощренную хакерскую деятельность, что свидетельствует о потенциальных скоординированных операциях хакеров.
-----
В ходе расследования с использованием поисковой функции Censys в Японии за период с 23 по 29 июня 2025 года было выявлено 26 серверов управления (C2). Примечательно, что расследование подтвердило наличие нескольких C2s, в том числе связанных с широко используемым инструментом тестирования на проникновение Cobalt Strike. Идентификация этих серверов C2 указывает на продолжающуюся хакерскую активность в регионе, особенно связанную со сложными методами атак, в которых используется инфраструктура, способная управлять скомпрометированными системами или координировать вредоносную деятельность. Обнаружение нескольких серверов C2 позволяет предположить возможность скоординированной кибероперации, которая, вероятно, была проведена хакерами, использующими Cobalt Strike в целях последующей эксплуатации. Использование таких инструментов, как правило, иллюстрирует продвинутую тактику, применяемую злоумышленниками, которая может варьироваться от горизонтального перемещения внутри сетей до развертывания дополнительной полезной нагрузки. Присутствие этих серверов C2 в Японии вызывает обеспокоенность по поводу уровня безопасности организаций в регионе и подчеркивает необходимость повышения бдительности в отношении изощренных хакеров.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Идентификация 26 серверов командования и контроля в Японии, включая те, которые связаны с Cobalt Strike, указывает на продолжающуюся изощренную хакерскую деятельность, что свидетельствует о потенциальных скоординированных операциях хакеров.
-----
В ходе расследования с использованием поисковой функции Censys в Японии за период с 23 по 29 июня 2025 года было выявлено 26 серверов управления (C2). Примечательно, что расследование подтвердило наличие нескольких C2s, в том числе связанных с широко используемым инструментом тестирования на проникновение Cobalt Strike. Идентификация этих серверов C2 указывает на продолжающуюся хакерскую активность в регионе, особенно связанную со сложными методами атак, в которых используется инфраструктура, способная управлять скомпрометированными системами или координировать вредоносную деятельность. Обнаружение нескольких серверов C2 позволяет предположить возможность скоординированной кибероперации, которая, вероятно, была проведена хакерами, использующими Cobalt Strike в целях последующей эксплуатации. Использование таких инструментов, как правило, иллюстрирует продвинутую тактику, применяемую злоумышленниками, которая может варьироваться от горизонтального перемещения внутри сетей до развертывания дополнительной полезной нагрузки. Присутствие этих серверов C2 в Японии вызывает обеспокоенность по поводу уровня безопасности организаций в регионе и подчеркивает необходимость повышения бдительности в отношении изощренных хакеров.
#ParsedReport #CompletenessMedium
05-07-2025
Who are DragonForce Ransomware Group?
https://www.bridewell.com/insights/blogs/detail/who-are-dragonforce-ransomware-group
Report completeness: Medium
Actors/Campaigns:
Dragonforce (motivation: hacktivism, financially_motivated)
0ktapus
Threats:
Dragonforce_ransomware
Credential_dumping_technique
Lockbit
Conti
Spear-phishing_technique
Log4shell_vuln
Systembc
Cobalt_strike_tool
Babuk
Shadow_copies_delete_technique
Mimikatz_tool
Adfind_tool
Victims:
Marks and spencer, The co-op group, Harrods
Industry:
Transport, Logistic, Retail, Healthcare
CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)
CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1809 (<10.0.17763.5458)
- microsoft windows_10_21h2 (<10.0.19044.4046)
- microsoft windows_10_22h2 (<10.0.19045.4046)
- microsoft windows_11_21h2 (<10.0.22000.2777)
- microsoft windows_11_22h2 (<10.0.22621.3155)
have more...
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)
TTPs:
Tactics: 6
Technics: 23
IOCs:
File: 9
Registry: 1
Command: 3
Path: 3
IP: 4
Hash: 7
Soft:
Active Directory, Ivanti, PsExec
Win Services:
webclient
Languages:
powershell
Platforms:
x86, x64
05-07-2025
Who are DragonForce Ransomware Group?
https://www.bridewell.com/insights/blogs/detail/who-are-dragonforce-ransomware-group
Report completeness: Medium
Actors/Campaigns:
Dragonforce (motivation: hacktivism, financially_motivated)
0ktapus
Threats:
Dragonforce_ransomware
Credential_dumping_technique
Lockbit
Conti
Spear-phishing_technique
Log4shell_vuln
Systembc
Cobalt_strike_tool
Babuk
Shadow_copies_delete_technique
Mimikatz_tool
Adfind_tool
Victims:
Marks and spencer, The co-op group, Harrods
Industry:
Transport, Logistic, Retail, Healthcare
CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)
CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1809 (<10.0.17763.5458)
- microsoft windows_10_21h2 (<10.0.19044.4046)
- microsoft windows_10_22h2 (<10.0.19045.4046)
- microsoft windows_11_21h2 (<10.0.22000.2777)
- microsoft windows_11_22h2 (<10.0.22621.3155)
have more...
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)
TTPs:
Tactics: 6
Technics: 23
IOCs:
File: 9
Registry: 1
Command: 3
Path: 3
IP: 4
Hash: 7
Soft:
Active Directory, Ivanti, PsExec
Win Services:
webclient
Languages:
powershell
Platforms:
x86, x64
Bridewell
Who are Dragonforce Ransomware Group? | Bridewell
DragonForce is a relatively new threat actor first identified in 2023. Read our latest insights to discover the latest on the DragonForce Ransomware.