#ParsedReport #CompletenessHigh
18-07-2025

Malware Identified in Attacks Exploiting Ivanti Connect Secure Vulnerabilities

https://blogs.jpcert.or.jp/en/2025/07/ivanti_cs.html

Report completeness: High

Threats:
Spawnchimera
Dslogdrat
Cobalt_strike_tool
Mdifyloader
Vshell
Dll_sideloading_technique
Junk_code_technique
Fscan_tool
Filelessremotepe_tool

Geo:
Chinese

CVEs:
CVE-2025-22457 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (<22.7)
- ivanti neurons_for_zero-trust_access (-, 22.2, 22.3, 22.4, 22.5)
- ivanti policy_secure (<22.7)

CVE-2025-0282 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (22.7)
- ivanti neurons_for_zero-trust_access (22.7)
- ivanti policy_secure (22.7)


TTPs:
Tactics: 9
Technics: 15

IOCs:
File: 5
IP: 1
Domain: 7
Url: 1
Path: 4
Hash: 9

Soft:
Ivanti, MSSQL, task scheduler, Windows service

Algorithms:
gzip, xor, base64, rc4, md5

Win API:
NetBIOS, CreateThread, NtQueueApcThread-s, CreateRemoteThread, RtlCreateUserThread, NtMapViewOfSection, VirtualAllocEx

Languages:
python, java, javascript

Platforms:
x64

Links:
https://github.com/hasherezade/libpeconv
have more...
https://github.com/ASkyeye/FilelessRemotePE
https://github.com/shadow1ng/Fscan

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, dump: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Продолжается эксплуатация уязвимостей в Ivanti Connect Secure (CVE-2025-0282, CVE-2025-22457) с использованием вредоносных программ, таких как MDifyLoader и DslogdRAT. Злоумышленники используют сложные методы, включая шифрование RC4 и стороннюю загрузку библиотек DLL, чтобы избежать обнаружения и сохранить работоспособность с помощью перебора учетных данных и использования протокола SMB.
-----

С декабря 2024 года JPCERT/CC наблюдала за продолжающейся эксплуатацией уязвимостей в Ivanti Connect Secure, в частности CVE-2025-0282 и CVE-2025-22457. Злоумышленники использовали различные вредоносные программы и методы, в частности MDifyLoader и DslogdRAT. MDifyLoader - это сложный загрузчик, основанный на проекте libPeConv, использующий шифрование RC4 для расшифровки файлов данных с ключом, полученным из хэша исполняемых файлов MD5. Этот многоступенчатый метод и использование аутентичных файлов, таких как rmic.exe и push_detect.exe, призваны затруднить анализ, в том числе использование нежелательного кода для автоматической деобфускации. В рамках параллельной операционной стратегии злоумышленники использовали Cobalt Strike, распространенный инструмент тестирования на проникновение. Однако в наблюдаемых случаях злоумышленники изменили расшифровку конфигурации с обычного метода XOR на RC4 с помощью жестко закодированного ключа "google", что предполагает индивидуальный подход, который, вероятно, улучшит тактику уклонения.

Другим вредоносным инструментом, выявленным в ходе этих операций, является vshell, мультиплатформенный RAT, написанный на Go и ранее размещенный на GitHub. Текущая используемая версия была отмечена своей функцией проверки языка, которая неожиданно остается активной во время развертывания, завершая попытки выполнения, если для системного языка не установлен китайский. Такое поведение отражает возможный недосмотр со стороны злоумышленников, выявляя потенциальную уязвимость в операционной системе.

Злоумышленники также используют Fscan, инструмент сетевого сканирования с открытым исходным кодом, выполняемый с помощью загрузчика, который включает в себя стороннюю загрузку библиотек DLL. Используя легитимный экземпляр python.exe и вредоносный dll-файл, который использует RC4 для декодирования, они скрытно выполняют функции Fscan, демонстрируя изощренность своей тактики уклонения.

После проникновения во внутреннюю сеть злоумышленники провели атаки с использованием учетных данных с использованием грубой силы на серверах Active Directory и выполнили сканирование внутренних систем, используя уязвимости в протоколах SMB (в частности, MS17-010) для перемещения по сетям в поперечном направлении. Они создавали новые учетные записи домена для обеспечения постоянного доступа и запускали вредоносное ПО в различных системах, часто используя свои инструменты в качестве служб Windows или запланированных задач для обеспечения долгосрочного доступа и устойчивости к обнаружению.

В сводке о коммуникациях командования и контроля (C2) показаны сложные конфигурации, включая HTTPS-трафик на порту 443, с различными параметрами, установленными для удобства эксплуатации. Такие параметры, как идентификаторы сеансов, конкретные места появления исполняемых процессов и сложные коммуникационные стратегии, указывают на адаптивную методологию, направленную на обход средств контроля безопасности и повышение скрытности работы. Постоянство и масштабный характер этих атак свидетельствуют о продолжающемся стратегическом нацеливании на VPN-устройства, такие как Ivanti Connect Secure, что делает их важным вектором угроз в современном хакерском мире.

#ParsedReport #CompletenessHigh
18-07-2025

Ghost Crypt Powers PureRAT with Hypnosis

https://www.esentire.com/blog/ghost-crypt-powers-purerat-with-hypnosis

Report completeness: High

Actors/Campaigns:
Purecoder

Threats:
Ghost_crypt_tool
Purerat
Purehvnc_tool
More_eggs
Process_hypnosis_technique
Dll_sideloading_technique
Runpe_tool
Polymorphism_technique
Lumma_stealer
Blueloader
Xworm_rat
Dcrat
Pureloader
Stealc
Kleenscan_tool
Process_hacker_tool
Process_injection_technique
Dotnet_reactor_tool

Victims:
Certified public accounting firm

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.009, T1036.007, T1055.012, T1056.001, T1071.001, T1082, T1083, T1105, T1113, have more...

IOCs:
File: 7
Url: 1
Coin: 1
IP: 2
Domain: 1
Hash: 3

Soft:
Windows Defender, Windows Registry, NET Reactor, Chrome, Chromium, QQBrowser, ChromePlus, 7Star, CentBrowser, Chedot, have more...

Wallets:
exodus_wallet, atomicwallet

Algorithms:
aes, chacha20, base64, cbc, aes-256, sha256, gzip, sha1, md5, zip

Functions:
Gunzip

Win API:
CreateProcessW, VirtualAllocEx, VirtualProtectEx, WriteProcessMemory, ZwManageHotpatch, SetThreadContext, DebugActiveProcessStop, SetThreadExecutionState

Win Services:
bits

Platforms:
x86

Links:
https://github.com/eSentire/iocs/blob/main/PureRAT/PureRAT\_IOCs\_27-06-2025.txt
have more...
https://github.com/holly-hacker/EazFixer
https://github.com/SychicBoy/NETReactorSlayer

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, table: 1, code: 7, chart: 1, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года хакеры использовали социальную инженерию для доставки вредоносного ПО PureRAT с помощью вредоносного ZIP-архива, используя шифровальщик "Ghost Crypt" для скрытности. PureRAT, троян для удаленного доступа, использовал передовые методы, позволяющие избежать обнаружения, и нацеливался на криптовалютные приложения, обеспечивая при этом устойчивость в зараженных системах.
-----

хакеры часто используют тактику социальной инженерии, такую как срочность и олицетворение, чтобы обманом заставить пользователей запускать вредоносные файлы. Примечательный инцидент, произошедший в мае 2025 года, был связан с атакой на сертифицированную государственную бухгалтерскую фирму в Соединенных Штатах, где злоумышленник использовал новый шифровальщик "Ghost Crypt" для распространения вредоносного ПО PureRAT. Первоначальное вторжение произошло, когда злоумышленник, представившись клиентом, отправил PDF-файл со ссылкой на вредоносный ZIP-архив, размещенный на Zoho WorkDrive. Этот ZIP-файл содержал исполняемый файл с двойным расширением и DLL-файл, критически важные для последующего процесса заражения.

Ghost Crypt, который привлек внимание хакерских форумов в апреле 2025 года, предлагает расширенные функции шифрования и дополнительной загрузки, позволяющие избежать обнаружения антивирусными решениями. Он поддерживает различные типы файлов и предоставляет возможности для обхода защиты в Windows 11. При запуске вредоносный исполняемый файл использовал DLL-библиотеку, которая использовала "Гипноз процессов" - сложную технологию внедрения, включающую манипулирование вызовами Windows API для обхода проверок безопасности при внедрении полезной нагрузки PureRAT.

Сам по себе PureRAT относится к категории троянских программ для удаленного доступа (RAT), которые обеспечивают постоянный доступ к скомпрометированным системам. Попав на компьютер жертвы, вредоносная программа устанавливает постоянство, копируя себя в папку "Документы" пользователя и изменяя реестр Windows для автоматического запуска при входе пользователя в систему. Его процесс загрузки является нетрадиционным и использует .Классы и методы NET вместо типичных методов выполнения, что обеспечивает скрытный подход во время заражения.

После активации PureRAT отправляет подробную информацию на свой сервер управления (C2), специально предназначенный для приложений и расширений криптовалютных кошельков. Вредоносная программа ищет папки с данными на платформах обмена сообщениями и в программном обеспечении для криптовалют, собирая конфиденциальную информацию о пользователях и системе. После сбора данных он ожидает дальнейших команд, которые могут привести к загрузке дополнительных вредоносных плагинов.

Методы и поведение, демонстрируемые PureRAT, подчеркивают растущую изощренность хакеров, подчеркивая необходимость строгой проверки неожиданных запросов и важность поддержания надежных мер безопасности, особенно в отношении тактик, использующих поведение человека и уязвимости системы.

#ParsedReport #CompletenessLow
18-07-2025

Secure Your (Microsoft) Teams: Defending Against Helpdesk Impersonation Attacks

https://www.esentire.com/blog/secure-your-microsoft-teams-defending-against-helpdesk-impersonation-attacks

Report completeness: Low

Threats:
Email_bombing_technique

ChatGPT TTPs:
do not use without manual check
T1078.004, T1105, T1204.002, T1219, T1566.002

IOCs:
Email: 4
Domain: 1

Soft:
Microsoft Teams

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В фишинговых атаках, в которых задействованы команды Microsoft, хакеры выдают себя за ИТ-специалистов и используют общий доступ к экрану для установки вредоносного ПО. Эта тактика часто сопровождается "рассылкой сообщений по электронной почте", чтобы создать срочность и использовать временные домены для повышения доверия. Организациям следует отслеживать подозрительные действия и рассмотреть возможность использования таких инструментов, как Microsoft Sentinel, для обнаружения.
-----

Недавние наблюдения указывают на рост числа фишинговых атак с использованием Microsoft Teams, при которых хакеры выдают себя за ИТ-специалистов или сотрудников службы технической поддержки. Эта тактика использует возможности совместной работы Microsoft Teams, которые позволяют использовать общий доступ к экрану и возможности удаленного управления, предназначенные для законного устранения неполадок. Однако эти функции могут быть использованы в злонамеренных целях. В типичном сценарии атаки хакер убеждает цель загрузить инструменты удаленного мониторинга и управления (RMM) или предоставить управление во время сеансов связи. Впоследствии это приводит к установке вредоносных приложений.

Кроме того, этим попыткам фишинга часто предшествует всплеск рассылки спама, адресованного жертвам, - такой подход называется "электронной атакой". Заваливая потенциальных жертв сообщениями, злоумышленники создают ощущение срочности, что повышает эффективность их тактики социальной инженерии. Данные свидетельствуют о том, что злоумышленники часто используют в своих схемах непроверенные пробные домены Microsoft, создавая временные доменные имена, которые включают такие термины, как "служба технической поддержки", "ИТ" или "Техподдержка". Эта повторяющаяся схема распространяется и на создание имени пользователя и отражает целенаправленную стратегию укрепления доверия среди потенциальных жертв.

После установления этих идентификационных данных хакеры вступают в контакт с пользователями в целевой организации посредством сообщений Microsoft Teams. Для организаций крайне важно знать об этой тактике и применять соответствующие меры по смягчению последствий для эффективной защиты от подобных атак. В качестве защитной стратегии использование специальных запросов мониторинга в таких системах, как Microsoft Sentinel, может помочь выявить подозрительные действия, которые соответствуют этим методам фишинга.

#ParsedReport #CompletenessMedium
18-07-2025

Android Cryptojacker Disguised as Banking App Exploits Device Lock State

https://www.seqrite.com/blog/android-cryptojacker-disguised-as-banking-app-exploits-device-lock-state/

Report completeness: Medium

Threats:
Cryptojacker
Xmrig_miner

Victims:
Axis bank users, Mobile users

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1406, T1407, T1422, T1435

IOCs:
Domain: 5
Url: 5
File: 1
Coin: 1
Hash: 3

Soft:
Android, Google Play, WhatsApp

Crypto:
monero

Algorithms:
aes, randomx

Functions:
NMuU8KNchX5bP8Oy

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Был обнаружен фишинговый веб-сайт, распространяющий поддельное банковское приложение, которое использует XMRig для скрытого майнинга криптовалюты на зараженных устройствах Android. Вредоносная программа незаметно активирует майнинг, когда устройство заблокировано, используя системные ресурсы и потенциально повреждая оборудование, при этом для связи используется шифрование TLS.
-----

Рост популярности криптовалют привел как к законным инновациям, так и к их использованию киберпреступниками. Недавние данные свидетельствуют о появлении фишингового веб-сайта, имитирующего известный банк, для распространения мошеннического приложения для Android, которое тайно занимается добычей криптовалют. Это вредоносное приложение, выдающее себя за банковский инструмент, на самом деле таковым не является и использует фирменный стиль банка для введения пользователей в заблуждение. Вместо того, чтобы облегчать банковскую деятельность, оно использует XMRig, программное обеспечение для майнинга с открытым исходным кодом, для использования вычислительных мощностей зараженных устройств для получения незаконной финансовой выгоды.

Работа такого вредоносного ПО очень сложна. Оно отслеживает состояние устройства на предмет таких событий, как уровень заряда батареи и состояние блокировки экрана. Когда устройство блокируется, приложение тайно загружает и расшифровывает вредоносную информацию, инициируя майнинг. Этот интеллектуальный анализ данных происходит без согласия пользователя и прекращается только после разблокировки устройства, что создает цикл, позволяющий постоянно и незаметно использовать системные ресурсы. Привязанному приложению часто требуются специальные разрешения, такие как WAKE_LOCK, для поддержания работы, когда устройство простаивает.

Вредоносная программа часто пытается получить доступ к своим компонентам по различным жестко запрограммированным URL-адресам, включая такие платформы, как GitHub и пользовательские домены. Она использует алгоритм AES для расшифровки своей полезной нагрузки, который называется d-miner, и впоследствии запускает этот файл для запуска операций майнинга. Вредоносная программа предназначена для подключения к пулу майнинга Monero, использует значительные вычислительные ресурсы и при запуске может вызвать чрезмерное нагревание, быструю разрядку аккумулятора и потенциально необратимый ущерб оборудованию.

Программное обеспечение для майнинга настроено на использование набора аргументов командной строки, которые определяют параметры подключения к пулу майнинга и предполагаемой криптовалюте Monero, сохраняя при этом соединение с использованием шифрования TLS для безопасной связи. Эта операция дополнительно облегчается благодаря возможности приложения регистрировать действия с помощью стандартных выходных данных, что дает представление о ходе их выполнения.

Обнаружению таких вредоносных действий способствуют решения для обеспечения безопасности, которые идентифицируют их в таких версиях, как Android.Dminer.A. В нем подчеркивается необходимость для конечных пользователей проявлять бдительность при загрузке приложений, в частности, избегать использования сторонних источников и опасаться попыток фишинга, которые маскируют вредоносное программное обеспечение под надежными именами. Обеспечение надежной мобильной безопасности с помощью надежных антивирусных решений может помочь в устранении этих угроз.

#ParsedReport #CompletenessLow
18-07-2025

Analysis of the suspected attack actions of APT-C-53 (Gamaredon) targeting government departments

https://www.ctfiot.com/261949.html

Report completeness: Low

Actors/Campaigns:
Gamaredon

Victims:
Government departments, Military institutions, Ukrainian government departments

Industry:
Critical_infrastructure, Military, Government

Geo:
Ukrainian, Ukraine

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.005, T1071.001, T1071.004, T1204.002, T1566.001

IOCs:
File: 2
Hash: 2
Domain: 1
Registry: 2

Soft:
WeChat

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-53, известный как Gamaredon, нацелен на правительственные учреждения Украины, использующие скрипты VBS для сбора информации и доставки вредоносных программ. Они используют такие методы, как внедрение шаблонов и разрешение DNS, чтобы избежать обнаружения и сохранить контроль. Усилия по обнаружению должны быть сосредоточены на поведении DNS наряду с HTTP-трафиком, чтобы смягчить эту угрозу.
-----

APT-C-53, также известная как Gamaredon, Primitive Bear, Winterflounder и BlueAlpha, - это группа APT, которая действует с 2013 года, в основном нацеливаясь на правительственные и военные учреждения, особенно в Украине. Группа нацелена на сбор разведывательной информации с помощью различных методов атаки и полезной нагрузки, включая внедрение шаблонов документов, вредоносных макрофайлов, файлов LNK, HTML-файлов и самораспаковывающихся файлов (SFX). Примечательно стратегическое использование ими документов DOCX в качестве начальной приманки; эти файлы после открытия загружают вредоносные макросы, которые запускают скрипт VBS. Этот скрипт предназначен для сбора базовой информации о пользователях и облегчения загрузки дополнительных вредоносных файлов путем динамического создания URL-адресов с помощью разрешения DNS.

Поведение вредоносных программ группы указывает на то, что они предпочитают скрипты VBS в качестве загрузчиков и дропперов, делая упор на методы обфускации, которые затрудняют анализ. Они часто взламывают и кодируют важные строки в скриптах, добавляя посторонний текст, что снижает четкость и затрудняет обнаружение. Важная тактика, применяемая группой, включает в себя использование разрешения DNS для извлечения IP-адресов, что позволяет им обходить жестко запрограммированные доменные имена и последовательно изменять адреса своих серверов, сохраняя при этом контроль через доменное имя. Благодаря такой инфраструктуре защитникам важно сосредоточиться не только на HTTP-трафике, но и на процессах разрешения DNS для эффективного обнаружения этих атак.

Основываясь на продолжающемся мониторинге Gamaredon, проводимом Институтом исследования угроз 360, группа, похоже, готова продолжать свои кибероперации против Украины, уделяя особое внимание получению конфиденциальной информации и потенциальному разрушению критически важной инфраструктуры. Внедрение надежных мер кибербезопасности, таких как усовершенствованные шлюзы электронной почты для фильтрации вредоносного контента, всесторонний мониторинг журналов в системах и сетях и обеспечение современных антивирусных решений на терминальных устройствах, имеет решающее значение для снижения рисков, связанных с APT-C-53 и подобными хакерами. Для защиты от их постоянных угроз потребуется постоянная бдительность и адаптация к их меняющимся стратегиям нападения.

#ParsedReport #CompletenessLow
18-07-2025

npm Phishing Email Targets Developers with Typosquatted Domain

https://socket.dev/blog/npm-phishing-email-targets-developers-with-typosquatted-domain

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Developers, Npm package maintainers

ChatGPT TTPs:
do not use without manual check
T1078, T1192, T1195.001, T1556.002, T1566.001, T1584.001

IOCs:
IP: 1
File: 1

Soft:
Node.js

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ходе фишинговой атаки использовался домен с опечатками (npnjs.com), имитирующий npm, для атаки на разработчиков, которые использовали поддельные электронные письма для получения учетных данных через поддельную страницу входа в систему. Проверки безопасности выявили вредоносный характер атаки, и этот инцидент подчеркивает необходимость повышения осведомленности о безопасности цепочки поставок.
-----

В недавней фишинговой атаке, направленной против разработчиков, использовался домен с опечатками, npnjs.com созданный таким образом, чтобы он напоминал законный веб-сайт npm. Этот изощренный подход включал использование фишингового электронного письма, которое подделывало законный адрес электронной почты службы поддержки npm (support@npmjs.org) и призывало получателей войти в систему с помощью тщательно разработанной ссылки на вредоносный сайт. Ссылка вела на поддельную страницу входа по адресу https://npnjs.com/login?токен=xxxxxx, где токен, вероятно, предназначался для отслеживания взаимодействия с пользователем или предварительного заполнения информации, чтобы фишинговый сайт выглядел более легитимным. Эта атака, по-видимому, была специально нацелена на активных разработчиков пакетов, особенно на тех, кто обладает значительным влиянием, поскольку этот разработчик управляет пакетами, которые еженедельно загружаются на 34 миллиона устройств.

Электронное письмо было идентифицировано как спам благодаря различным проверкам безопасности, которые выявили множество "красных флажков". Оно было отправлено с IP-адреса (45.9.148.108), на который неоднократно поступали сообщения о вредоносной активности, и было отправлено через VPS, известный своими злоупотреблениями, что еще раз указывает на его потенциальную угрозу. Меры аутентификации, такие как SPF, DKIM и DMARC, завершились неудачей, подтвердив, что электронное письмо пришло не с серверов npm, в то время как необычная маршрутизация в заголовках электронных писем указывала на дополнительную подозрительную активность.

Природа учетных записей npm делает их привлекательными мишенями для киберпреступников, поскольку компрометация учетной записи может привести к распространению вредоносных пакетов, затрагивающих бесчисленное количество пользователей. Несмотря на то, что эта конкретная попытка фишинга была зафиксирована спам-фильтрами, она продемонстрировала растущую сложность атак на цепочки поставок и необходимость проявлять бдительность в сообществе разработчиков. В случае подозрений на кражу учетных данных разработчикам рекомендуется немедленно поменять токены доступа к npm. Об этом инциденте было сообщено в службу безопасности npm, чтобы помочь предотвратить будущие инциденты с разработчиками.

Кроме того, фишинговый домен не только служил приманкой с законными ссылками на ресурсы npm, но и демонстрировал поведение прокси-сервера, клонируя содержимое npm при попытке получить учетные данные для входа. Время отправки электронного письма, рассчитанное на вечерние часы, соответствует распространенным стратегиям, используемым в фишинговых кампаниях, направленных на использование непиковых периодов, когда вероятность получения ответа может быть выше.

#ParsedReport #CompletenessMedium
18-07-2025

Ongoing SonicWall Secure Mobile Access (SMA) Exploitation Campaign using the OVERSTEP Backdoor

https://cloud.google.com/blog/topics/threat-intelligence/sonicwall-secure-mobile-access-exploitation-overstep-backdoor/

Report completeness: Medium

Actors/Campaigns:
Unc6148 (motivation: information_theft, financially_motivated)

Threats:
Overstep
Abyss_locker
Vsociety
Timestomp_technique

Victims:
Organizations using sonicwall sma 100 series appliances

Industry:
E-commerce

CVEs:
CVE-2021-20038 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sma_200_firmware (10.2.0.8-37sv, 10.2.1.1-19sv, 10.2.1.2-24sv)

CVE-2025-32819 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sma_100_firmware (<10.2.1.15-81sv)

CVE-2024-38475 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache http_server (<2.4.60)

CVE-2021-20035 [Vulners]
CVSS V3.1: 6.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sma_200_firmware (<9.0.0.11-31sv, <10.2.0.8-37sv, <10.2.1.1-19sv)

CVE-2021-20039 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sma_200_firmware (9.0.0.11-31sv, 10.2.0.8-37sv, 10.2.1.1-19sv)

CVE-2023-44221 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sma_200_firmware (le10.2.1.9-57sv)


ChatGPT TTPs:
do not use without manual check
T1005, T1014, T1021.004, T1036.005, T1041, T1055.012, T1059.004, T1070.004, T1078, T1140, have more...

IOCs:
File: 9
IP: 2
Hash: 4

Soft:
openssl, LINUX

Algorithms:
gzip, base64

Functions:
bootCurrentFirmware

Platforms:
intel, x86

YARA: Found