#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Был идентифицирован новый PHP-вариант Interlock RAT, связанный с кластером угроз KongTuke, на котором представлены скомпрометированные веб-сайты, распространяющие вредоносное ПО с помощью HTML-инъекций. Этот вариант выполняет автоматическую разведку и устанавливает канал C2 с использованием URL-адресов Cloudflare, демонстрируя изощренность группы в разработке вредоносных программ.
-----

Исследователи из отчета DFIR и Proofpoint выявили новый вариант трояна для удаленного доступа (RAT) группы вымогателей Interlock, который значительно отличается от ранее идентифицированного варианта на основе JavaScript, известного как NodeSnake. Эта новая вредоносная программа, разработанная на PHP, развертывается в рамках масштабной кампании, связанной с кластерами угроз LandUpdate808 (также известной как KongTuke). Атака начинается со взломанных веб-сайтов, на которые внедряется скрытый скрипт в HTML, вводящий в заблуждение владельцев сайтов и пользователей. Этот скрипт использует жесткую фильтрацию IP-адресов для обработки полезной нагрузки, инициируя взаимодействие с пользователем посредством проверки captcha перед выполнением сценария PowerShell, который приводит к блокировке RAT.

Proofpoint отследил оба Node.js и PHP-варианты Interlock RAT, причем вариант PHP появится в кампаниях с июня 2025 года. Недавно веб-разработчик KongTuke перешел на новый вариант FileFix, который, как было замечено, предоставляет вариант PHP Interlock RAT, который также может использовать версию Node.js. При выполнении RAT-блокировка использует команду, которая генерирует PHP с подозрительными аргументами, в частности, нацеленную на конфигурационный файл из нестандартного расположения, и использует исполняемый файл PHP, расположенный в каталоге AppData\Roaming пользователя, с указанными директивами для активации расширения ZIP.

Вредоносная программа немедленно проводит автоматизированную разведку скомпрометированной системы, используя команды PowerShell, которые собирают и извлекают подробную системную информацию в формате JSON, включая системные спецификации, запущенные процессы, службы, подключенные диски и локальные сети. Он проверяет свой уровень привилегий, чтобы определить операционный контекст, выделяя интерактивный сеанс. Блокировщик RAT устанавливает надежный канал управления (C2), используя законные URL-адреса туннеля Cloudflare, чтобы скрыть свою инфраструктуру, и использует жестко запрограммированные резервные IP-адреса для поддержания связи.

Возможности вредоносной программы по выполнению команд и управлению ими являются всеобъемлющими, позволяя ей выполнять различные инструкции, такие как загрузка исполняемых файлов или библиотек с динамической компоновкой, настройка постоянства с помощью изменений реестра, выполнение произвольных команд оболочки и завершение работы при необходимости. Эта эволюция отражает растущую изощренность группы Interlock в разработке вредоносных программ, переходящей с Node.js на PHP для поддержания и расширения своей деятельности в сетях жертв.

#ParsedReport #CompletenessLow
13-07-2025

Hunting China-Nexus Threat Actor

https://0xch4s3.gitbook.io/0xch4s3-or-threat-research/adversary-hunting/hunting-china-nexus-threat-actor

Report completeness: Low

Actors/Campaigns:
Earth_alux
Dragonclone

Threats:
Cobalt_strike_tool
Vshell
Supershell
Havoc
Sliver_c2_tool
Brc4_tool

Industry:
Government, Telco, Logistic

Geo:
Apac, China, Latin america

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1071.001, T1583.006, T1588.002

IOCs:
IP: 69

Links:
https://github.com/0xCH4S3/Adversary-Infrastructure-Mapping/blob/main/EarthAlux/ips.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Earth Alux, связанная с китайской деятельностью APT, проводит целенаправленные кампании по утечке конфиденциальных данных с использованием вредоносного ПО Cobalt Strike. Недавние расследования выявили 69 соответствующих IP-адресов из более широкого набора данных, что указывает на их зависимость от серверов C2, привязанных к крупным китайским компаниям.
-----

Группа компаний Earth Alux, связанная с деятельностью APT в Китае, известна своими целенаправленными и устойчивыми кампаниями, направленными на достижение долгосрочных стратегических целей, в первую очередь на изъятие конфиденциальных данных. Эта группа ориентирована на такие важнейшие секторы, как государственное управление, технологии, логистика, производство, телекоммуникации и ИТ-услуги, и осуществляет значительную деятельность в Азиатско-Тихоокеанском регионе и Латинской Америке. В ходе недавних анализов с их кампанией DragonClone был связан известный IP-адрес 62.234.24.38, который был классифицирован исследователями безопасности как индикатор вредоносного ПО Cobalt Strike. Это послужило толчком для дальнейших исследований инфраструктуры Earth Alux.

Исследование показало, что группа полагалась на серверы командования и контроля (C2), в основном Cobalt Strike, и несколько дополнительных IP-адресов были помечены службами анализа угроз как вредоносные. Благодаря детальному изучению баннера, связанного с забастовкой Cobalt в порту 8082, исследователи обнаружили ключевые связи в рамках операционной системы Earth Alux. Анализ выявил 569 новых случаев, связанных с инфраструктурой группы, сузив перечень основных элементов, таких как связанные команды, страны и инфраструктура.

В более широком плане, выявленные серверы C2 демонстрируют значительное предпочтение платформам, подключенным к крупным китайским компаниям, включая Tencent, Alibaba и Huawei, что еще раз подчеркивает географическую направленность деятельности группы. В ходе расследования, продолжавшегося с января 2025 года, был составлен каталог различных серверов C2, в котором были обнаружены инфраструктуры Cobalt Strike, Havoc C2 и Sliver C2.

Чтобы расширить возможности обнаружения, был начат процесс стратегического поиска с целью выявления дополнительных элементов инфраструктуры Earth Alux. Хотя на этом этапе был собран обширный набор данных из 33 040 потенциальных результатов, усилия по уточнению этих результатов привели к тому, что удалось отфильтровать 69 IP-адресов, которые были сочтены подходящими для более целенаправленных исследований. Этот методологический подход направлен на сокращение числа ложных срабатываний и точное определение узлов, которые могут быть неотъемлемой частью операционной системы Earth Alux, что закладывает основу для более глубокого понимания ее деятельности и потенциальных уязвимостей.

#ParsedReport #CompletenessLow
14-07-2025

Forensic journey: Breaking down the UserAssist artifact structure

https://securelist.com/userassist-artifact-forensic-value-for-incident-response/116911/

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1059, T1569.002

IOCs:
File: 6
Hash: 1

Soft:
Windows Explorer, Process Explorer, Sysinternals, PsExec, Chrome

Functions:
FireEvent

Links:
https://github.com/PacktPublishing/Learning-Python-for-Forensics/blob/master/Chapter%206/userassist\_parser.py
https://github.com/Awad93/Userassist\_parser

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UserAssist - это криминалистический артефакт, который отслеживает использование приложения и может выявлять враждебные действия с помощью регистрации параметров выполнения. Анализ выявляет роль значения UEME_CTLSESSION в представлении пользовательских данных и идентифицирует неизвестную структуру данных, которая помогает различать поведение доброкачественного и вредоносного программного обеспечения на основе количества запусков и методов выполнения.
-----

UserAssist - это ценный криминалистический инструмент, используемый в кибер-расследованиях, в частности, для отслеживания враждебных действий и выявления вредоносных программ. Несмотря на его значимость, UserAssist изучался ограниченно, что привело к пробелам в понимании его интерпретации данных, условий ведения журнала и триггеров. Этот анализ углубляется в UserAssist, проясняя его представление данных и процессы, связанные с его созданием и обновлением. В нем особо подчеркивается значение UEME_CTLSESSION и его роль в регистрации данных UserAssist, а также представлена ранее неизвестная структура данных UserAssist.

Записи UserAssist содержат различные параметры. В первом сценарии используются четыре параметра: количество запусков, количество фокусов, время фокусировки и время последнего выполнения, которые обычно указывают на приложение с графическим интерфейсом, запускаемое обычными способами, такими как двойной щелчок в проводнике Windows. Второй сценарий характеризуется записями, содержащими только количество запусков и время последнего выполнения, указывающими на программу, запущенную двойным щелчком по ярлыку LNK, или программу установки, которая переключает фокус на другой графический интерфейс. В качестве примера можно привести выполнение копии calc.exe, где отображаемый графический интерфейс был приложением UWP для калькулятора, а не ожидаемым настольным приложением.

В третьем сценарии присутствуют записи, содержащие только количество фокусов и время фокусировки, когда программа с графическим интерфейсом выполняется с помощью нестандартных средств, таких как командная строка. Например, при выполнении копии Process Explorer с помощью cmd записываются только количество фокусов и время фокусировки. Кроме того, проверка с помощью whoami.exe через PsExec показала, что инструмент появился как дочерний процесс, удовлетворяющий определенным условиям, необходимым для регистрации в UserAssist.

Класс CUASession, расположенный в shell32.dll, управляет статистикой, относящейся к сеансам ведения журнала UserAssist, включая общее количество выполненных сеансов и количество фокусов. Свойства CUASession заключены в значение UEME_CTLSESSION. Часто появляющиеся программы с большим количеством запусков указывают на предпочтения пользователей, в то время как программы с низким или нулевым количеством запусков предполагают отказ от них. Это различие служит не только для оценки опыта пользователей, но и помогает в поиске угроз, поскольку позволяет идентифицировать потенциально вредоносное программное обеспечение, которое может быть упущено из виду. Программы, отнесенные к категории с высоким значением -1, как правило, являются новыми, что указывает на отсутствие сброшенных данных в течение двух дней после взаимодействия с пользователем. Подробное изучение записей пользователей может облегчить расследование поведения как доброкачественных, так и вредоносных программ.

#ParsedReport #CompletenessLow
14-07-2025

Behind the Clouds: Attackers Targeting Governments in Southeast Asia Implement Novel Covert C2 Communication

https://unit42.paloaltonetworks.com/windows-backdoor-for-novel-c2-communication/

Report completeness: Low

Actors/Campaigns:
Cl-sta-1020

Threats:
Dll_sideloading_technique
Hazybeacon

Victims:
Governmental entities, Government agencies

Industry:
Government

Geo:
Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1036.005, T1071.001, T1071.004, T1074.001, T1082, T1105, T1543.003, T1567.002, T1573.001, have more...

IOCs:
Path: 8
File: 7
Hash: 7

Soft:
Dropbox, Windows service

Algorithms:
sha256, zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С конца 2024 года кластер угроз CL-STA-1020 нацелен на правительственные учреждения Юго-Восточной Азии с помощью бэкдора HazyBeacon, который использует URL-адреса AWS Lambda для управления. HazyBeacon использует дополнительную загрузку библиотек DLL для развертывания, компрометируя системы с помощью mscorsvc.dll и поддерживает постоянство работы с помощью службы Windows под названием msdnetsvc. Он пытается отфильтровать данные через Google Диск и Dropbox, выявляя сложные методы обхода в рамках законного облачного трафика.
-----

С конца 2024 года исследователи наблюдали за хакерской группой, идентифицированной как CL-STA-1020, которая нацелена на правительственные учреждения в Юго-Восточной Азии. Злоумышленники, стоящие за этой деятельностью, в основном сосредоточились на сборе конфиденциальных данных, связанных с тарифами и торговыми спорами. Примечательно, что они применили новый инновационный бэкдор для Windows под названием HazyBeacon, который использует лямбда-URL-адреса Amazon Web Services (AWS) для обмена данными между командами и контролерами (C2). Такой подход позволяет хакерам использовать законные облачные функции, скрывая свои вредоносные действия и создавая надежный канал связи, который в то же время трудно обнаружить.

Тщательное расследование показало, что HazyBeacon использует дополнительную загрузку библиотек DLL в качестве метода развертывания. Злоумышленники взломали систему, разместив вредоносную библиотеку динамических ссылок (DLL) в каталоге сборки Windows, специально предназначенном для mscorsvc.dll, и разместив ее рядом с подлинным исполняемым файлом mscorsvw.exe. При запуске легитимного исполняемого файла он непреднамеренно загрузил вредоносную библиотеку DLL, в результате чего было установлено соединение C2 с вредоносным лямбда-URL. Этот метод не только инициирует контакт с инфраструктурой злоумышленника, но и создает значительные трудности для традиционных методов обнаружения.

Чтобы сохранить работоспособность на зараженных компьютерах, злоумышленники создали службу Windows под названием msdnetsvc, гарантирующую, что DLL-библиотека HazyBeacon будет запускаться во время перезагрузки системы. Эта манипуляция важна, поскольку она позволяет злоумышленникам закрепиться на постоянной основе, позволяя их пользовательскому серверу C2 беспрепятственно обрабатывать запросы на использование маяков от скомпрометированных систем. Кроме того, злоумышленники использовали сервисы AWS для маскировки своих действий, используя либо свои собственные, либо скомпрометированные учетные записи AWS, чтобы обеспечить определенную степень легитимности, которая может ввести в заблуждение как механизмы обнаружения, так и усилия по мониторингу сети.

Во время атаки бэкдор HazyBeacon установил свой канал C2 через URL AWS Lambda, что позволило ему смешивать свой трафик с подлинными коммуникациями AWS. После создания этого канала вредоносная программа начала получать команды и дополнительные полезные файлы для загрузки, которые она сохраняла в каталоге C:\ProgramData. Исходная полезная нагрузка, обозначенная как igfx.exe, действовала как сборщик файлов, который аккуратно архивировал собранные файлы в соответствии с указанными расширениями и временными диапазонами.

Злоумышленники также попытались получить доступ к данным, используя инструменты для подключения к Google Диску и Dropbox, маскируя свои операции в рамках обычного сетевого трафика. Однако эти попытки загрузки были обнаружены и заблокированы принятыми мерами безопасности. Кампания иллюстрирует сложные методы, позволяющие избежать обнаружения при осуществлении шпионской деятельности за счет использования законных облачных сервисов как для связи C2, так и для утечки данных, подчеркивая проблемы, с которыми сталкиваются службы безопасности при выявлении и противодействии начинающим хакерам.

#ParsedReport #CompletenessMedium
14-07-2025

DarkWatchman malware: SFX archives, XOR encryption and domain generation algorithm

https://habr.com/ru/companies/usergate/articles/927442/

Report completeness: Medium

Threats:
Darkwatchman
Buhtrap
Process_hacker_tool
Dynamicwrapperx
Shadow_copies_delete_technique
Keilger

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.007, T1070.003, T1105, T1106, T1140, T1204.002, T1218.005, T1566.001, have more...

IOCs:
File: 13
Registry: 1
Url: 120
Hash: 38

Soft:
Outlook, Windows Explorer, Chrome, Firefox

Algorithms:
zip, xor, crc-32

Functions:
get_actually_url

Languages:
php, python, javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа DarkWatchman (Buhtrap) распространяется через фишинговые электронные письма с обманчивыми ZIP-файлами и самораспаковывающимися скриптами. Для выполнения она использует PowerShell, алгоритмы динамической генерации доменов для взаимодействия с сервером и методы обфускации, позволяющие избежать обнаружения. Вредоносная программа может стирать историю посещенных страниц и использует эффективную стратегию обхода средств безопасности.
-----

В основе анализа лежит вредоносная программа DarkWatchman (Buhtrap), которая распространяется с помощью фишинговых электронных писем, содержащих ZIP-архив, маскирующийся под обычный файл. ZIP-файл представляет собой самораспаковывающийся (SFX) архив, содержащий установочный скрипт на JavaScript и основной вредоносный модуль. Вредоносная программа использует тактику социальной инженерии, используя значок PDF-файла и функцию "Скрыть расширение для известных типов файлов", которая может ввести потенциальных жертв в заблуждение и побудить их запустить вредоносное ПО.

Чтобы изучить электронное письмо и его отправителя, аналитикам рекомендуется ознакомиться с заголовком электронного письма, чтобы убедиться в легитимности почтового сервера отправителя. В примере DarkWatchman, в частности, используется процесс выполнения скрипта, инициируемый командой PowerShell, которая запускает основной вредоносный файл, идентифицированный как 4157934657, через Windows Script Host (WSCRIPT), который выполняет такие скрипты, как JavaScript и VBS.

Дальнейший анализ извлеченного скрипта показывает его сложность и многофункциональность, в частности, благодаря алгоритму генерации домена (DGA), который он реализует для облегчения взаимодействия с командным сервером. Это позволяет выполнять команды динамически, когда вредоносная программа может выделять память и запускать дополнительные модули, поставляемые сервером. Кроме того, скрипт использует криптографические методы, такие как XOR-сдвиг, чтобы запутать свое поведение и избежать обнаружения автоматизированными системами безопасности.

Вредоносная программа обладает широкими возможностями, включая возможность удалять историю посещений различных веб-браузеров, таких как Chrome, Yandex, Firefox и Edge. Она инициирует атаку, внедряясь в кажущееся безобидным вложение в фишинговых письмах, тем самым подвергая опасности пользователей, не подозревающих о ее истинной природе. Для поддержания стабильного сетевого взаимодействия DarkWatchman использует свой DGA, улучшающий методы обхода по сравнению с методами статического анализа и инструментами обнаружения. Такой многоуровневый подход делает DarkWatchman серьезной угрозой в сфере киберпреступности.

#ParsedReport #CompletenessLow
07-07-2025

Mellow Drama: Turning Browsers Into Request Brokers

https://medium.com/@johnatsecureannex/mellow-drama-turning-browsers-into-request-brokers-c25bdd3e6455

Report completeness: Low

Actors/Campaigns:
Mellowtel (motivation: financially_motivated)

Threats:
Mitm_technique

Victims:
Perceptron networks, Blockmesh networks, Browser extension users

ChatGPT TTPs:
do not use without manual check
T1021, T1036.005, T1041, T1071.001, T1176

IOCs:
File: 1
Domain: 6

Soft:
chrome, Firefox, Electron, Flutter

Functions:
removeRuleIds

Languages:
javascript

Links:
https://github.com/PlasmoHQ/docs/pull/137#issuecomment-2448769654
https://github.com/mellowtel-inc/mellowtel-js
have more...
https://github.com/PlasmoHQ/docs/pull/137

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mellowtel, библиотека JavaScript для расширений браузера, передает конфиденциальную информацию об устройстве через WebSocket в AWS Lambda, позволяя выполнять операции очистки, которые нарушают конфиденциальность пользователей. Ее дизайн позволяет проводить потенциальные атаки с использованием повторных учетных данных, удаляя важные заголовки безопасности HTTP, что повышает уязвимость при веб-взаимодействиях. Несмотря на то, что он был помечен как вредоносное ПО, он по-прежнему используется в нескольких браузерах, и Google начинает удалять связанные с ним расширения.
-----

Mellowtel - это библиотека, предназначенная для использования в расширениях браузера, в основном построенных на JavaScript, что позволяет разработчикам легко интегрировать ее в свои проекты с помощью npm. Чтобы использовать Mellowtel, разработчики должны внести изменения в манифест расширения, включив в него такие разрешения, как declarativeNetRequest и all_urls для доступа. Примечательно, что процесс интеграции обеспечивает минимальное взаимодействие с пользователем в отношении конфиденциальности, поскольку библиотека может быть внедрена без явного уведомления пользователя, что вызывает опасения по поводу прозрачности и согласия.

После активации Mellowtel устанавливает канал WebSocket для функции AWS Lambda, передавая конфиденциальную информацию об устройстве, включая местоположение и доступную полосу пропускания. Библиотека может выполнять операции очистки, используя сетевые характеристики хост-устройства, что потенциально подвергает пользователей, подключенных через VPN на основе IP, уязвимостям этой сети. Несмотря на то, что Mellowtel включает в себя меры на стороне клиента для ограничения доступа к файлам cookie и аутентификационным данным, разработчики сохраняют за собой возможность изменять этот код, что создает дополнительные проблемы с безопасностью.

Архитектура Mellowtel предполагает, что она может допускать повторное использование учетных данных, что часто используется хакерами, использующими брокеры объектных запросов (ORB). В отличие от традиционных ORB, связанных со взломанными серверами, Mellowtel использует браузерные расширения, расширяющие возможности для атаки. Для корректной работы Mellowtel удаляет важные заголовки безопасности HTTP, защищающие от различных атак путем внедрения, создавая значительный риск при просмотре веб-страниц пользователем. Хотя сообщается, что эти заголовки восстанавливаются после запроса, период, в течение которого они отсутствуют, может быть критичным для использования.

Несмотря на свои возможности, присутствие Mellowtel вызвало споры, и многие разработчики назвали его вредоносным ПО, что привело к его удалению из интеграции с такими платформами, как PlasmoHQ. В настоящее время библиотека была обнаружена в многочисленных расширениях браузеров Chrome, Edge и Firefox, и, по оценкам, она может быть установлена почти у миллиона пользователей. Google инициировала удаление нескольких расширений, содержащих Mellowtel, что свидетельствует о выявлении потенциального вредоносного поведения, связанного с этим.

Индикаторы компрометации (IOCs), относящиеся к Mellowtel, доступны из его репозитория на GitHub, что свидетельствует о постоянном мониторинге его развертывания и угрозах безопасности, которые оно представляет. Несмотря на проблемы с разработкой и негативную реакцию на его использование, Mellowtel продолжает активно работать с несколькими дополнениями, предоставляя исследователям и аналитикам в области безопасности возможность внимательно следить за его влиянием и любыми возникающими угрозами, связанными с его интеграцией.

#ParsedReport #CompletenessLow
14-07-2025

Adversary Infrastructure and Indicators Behind the SAP NetWeaver 0-Day Exploitation

https://research.kudelskisecurity.com/2025/07/14/adversary-infrastructure-and-indicators-behind-the-sap-netweaver-0-day-exploitation/

Report completeness: Low

Threats:
Cobalt_strike_tool

CVEs:
CVE-2025-31324 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sap netweaver (7.50)


ChatGPT TTPs:
do not use without manual check
T1059.004, T1190, T1505.003

IOCs:
IP: 5
Domain: 5
Hash: 5
Url: 7

Soft:
SAP NetWeaver

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-31324 - это критическая уязвимость в SAP NetWeaver Visual Composer, которая позволяет злоумышленникам, не прошедшим проверку подлинности, загружать вредоносные JSP-файлы для удаленного выполнения кода, создавая значительный риск для незащищенных корпоративных систем.
-----

27 марта 2025 года в SAP NetWeaver Visual Composer была обнаружена новая уязвимость, получившая обозначение CVE-2025-31324. Этот конкретный недостаток активно использовался в дикой природе, создавая серьезную угрозу для корпоративных систем, которые оставались незащищенными. Уязвимость позволяет злоумышленникам, не прошедшим проверку подлинности, загружать вредоносные файлы JavaServer Pages (JSP), что облегчает удаленное выполнение кода. Возможность выполнения произвольного кода в уязвимых системах представляет собой критический риск для организаций, особенно для тех операционных экземпляров программного обеспечения, которые не были защищены от этой уязвимости. Специалистам по безопасности следует уделять приоритетное внимание оценке своей среды на наличие незащищенных систем и внедрять необходимые обновления для снижения рисков, связанных с этим эксплойтом.

#ParsedReport #CompletenessLow
11-07-2025

Malware Found in Official GravityForms Plugin Indicating Supply Chain Breach

https://patchstack.com/articles/critical-malware-found-in-gravityforms-official-plugin-site/

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Groundhogg, Gravity forms, Wordpress servers

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.004, T1041, T1059.001, T1070.004, T1071.001, T1087, T1105, T1136.001, T1195, T1204.002, have more...

IOCs:
IP: 2
Domain: 2
File: 2

Soft:
WordPress, Discord, curl

Algorithms:
base64

Functions:
update_entry_detail, list_sections

Languages:
php