#ParsedReport #CompletenessLow
02-10-2025

VMware CVE-2025-41244 Exploited: What You Need to Know About the Latest Flaws

https://socradar.io/vmware-cve-2025-41244-exploited/

Report completeness: Low

Actors/Campaigns:
Unc5174

Threats:
Screenconnect_tool

Victims:
Enterprise environments, Hybrid cloud environments

Industry:
Government, Ngo

Geo:
Chinese

CVEs:
CVE-2025-41245 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41244 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41251 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41246 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41252 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41250 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1068, T1587.001

Soft:
BIG-IP, Linux

Functions:
get_version

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Критическая уязвимость CVE-2025-41244 в VMware позволяет злоумышленникам получать root-доступ к виртуальным машинам с помощью локальной ошибки повышения привилегий, связанной с китайской группой сложных целенаправленных угроз UNC5174. Этот недостаток, возникающий в результате проблемы с регулярным выражением в функции get_version(), создает риски эксплуатации, позволяя выполнять двоичные файлы из небезопасных каталогов. Сложность UNC5174, работающего в качестве посредника первоначального доступа, вызывает тревогу по поводу потенциальных дальнейших атак на ценные корпоративные среды.
-----

Недавняя аналитика по кибербезопасности выявила активное использование критической уязвимости в VMware, идентифицированной как CVE-2025-41244, которая позволяет злоумышленникам получать доступ корневого уровня к виртуальным машинам. Это местное повышение привилегий недостаток, оценили с CVSS оценка 7,8, влияет как функция VMware Ария и VMware инструменты, в частности, отнести к китайской сложная целенаправленная угроза группа UNC5174. Сообщается, что эта эксплуатация осуществляется с конца 2024 года, и изощренность злоумышленника еще больше подчеркивает срочность устранения этой уязвимости.

CVE-2025-41244 возникает из-за проблемы с регулярным выражением в функции get_version(), используемой во время обнаружения службы. Неправильная обработка входных данных означает, что функция может без ограничений использовать символы, не содержащие пробелов, что позволяет запускать двоичные файлы из любого каталога, включая небезопасные пути, такие как /tmp. Исследователи успешно опубликовали доказательство концепции (PoC), демонстрирующее, насколько просто использовать эту уязвимость.

Группа UNC5174 действует как посредник первоначального доступа, используя такие уязвимости для проникновения в ценные среды и эксплуатации корпоративного программного обеспечения. Их операции сосредоточены на важных целях, что вызывает серьезные опасения относительно возможности дальнейших взломов и атак на чувствительные системы.

Чтобы обнаружить потенциальную эксплуатацию, специалистам по безопасности рекомендуется искать конкретные индикаторы компрометации (IOCs), связанные с использованием CVE-2025-41244. Для организаций крайне важно применять последние исправления безопасности, рекомендованные в рекомендациях Broadcom для устранения этой уязвимости, наряду с сохранением бдительности в отношении других связанных уязвимостей, исправленных в продуктах VMware, включая Aria Operations, NSX и vCenter. Организациям также следует провести аудит конфигурации своих виртуальных машин, чтобы убедиться в том, что применяются методы безопасного обнаружения служб и что привилегии пользователей, не являющихся администраторами, ограничены везде, где это возможно.

Учитывая серьезность CVE-2025-41244 и его последствия для гибридных облачных и корпоративных сред, необходимо усилить меры защиты, особенно для подключенных к Интернету или не прошедших проверку подлинности компонентов VMware. Постоянный мониторинг необычной активности процессов и потенциальных эксплойтов будет иметь решающее значение для защиты от дальнейших попыток со стороны изощренных злоумышленников, таких как UNC5174.

#ParsedReport #CompletenessLow
03-10-2025

Hackers Demand $50 Million in Mass Extortion Attack Targeting Unpatched Systems

https://www.secureblink.com/cyber-security-news/hackers-demand-50-million-in-mass-extortion-attack-targeting-unpatched-systems

Report completeness: Low

Actors/Campaigns:
Cl0p
Fin11

Threats:
Clop

Victims:
Oracle ebs users

Industry:
Financial

Geo:
America

CVEs:
CVE-2025-30745 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-30743 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-30746 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-50107 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-30744 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1486, T1657, T1659

Soft:
MOVEit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа Clop инициировала массовую кампанию вымогательства, направленную против Oracle E-Business Suite, используя несколько незащищенных уязвимостей, включая CVE-2025-30746 и CVE-2025-30745, впервые выявленные в июле 2025 года. Требуя доступа к конфиденциальным данным, они оказывают давление на организации, требуя соблюдения требований о выкупе в размере 50 миллионов долларов. Атака подчеркивает риски, связанные с незащищенными общедоступными системами, и подчеркивает важность устранения критических уязвимостей для предотвращения эксплуатации.
-----

Хакерская группа Clop запустила кампанию массового вымогательства, требуя 50 миллионов долларов после взлома Oracle E-Business Suite (EBS). Атака использует несколько незащищенных уязвимостей, которые были выявлены в июле 2025 года, что подчеркивает острую необходимость применения организациями доступных исправлений для смягчения этих угроз. В частности, в качестве точек входа для злоумышленников были идентифицированы следующие уязвимости: CVE-2025-30746, CVE-2025-30745, CVE-2025-50107, CVE-2025-30743 и CVE-2025-30744. Каждая из этих проблем представляет значительный риск, особенно для общедоступных систем и критически важных информационных панелей Цепочки поставок, в которых отсутствуют необходимые меры аутентификации.

Группа Clop разработала коммуникационную стратегию, направленную на то, чтобы вселить страх и безотлагательность в целевые организации. Они утверждают, что получили доступ к конфиденциальным документам и базам данных компании, представляя пугающий сценарий полной компрометации. В качестве извращенного "бизнес-решения" хакеры предлагают предоставить доказательства своего взлома, поделившись частями украденных данных. Эта тактика направлена на то, чтобы заставить руководителей серьезно отнестись к угрозе и рассмотреть возможность удовлетворения их требования о выкупе.

Чтобы избежать подобных попыток вымогательства, организациям настоятельно рекомендуется принять незамедлительные меры. Первая и главная рекомендация заключается в безотлагательном применении критического исправления, выпущенного в июле 2025 года, поскольку невыполнение этого требования делает системы уязвимыми. Кроме того, компаниям рекомендуется действовать исходя из предположения, что они уже могут быть взломаны, что побуждает их к тщательному поиску угроз в своих средах EBS. Это включает мониторинг необычных входов в систему, экспорта большого объема данных и индикаторов компрометации (IOCS), связанных с текущей кампанией.

Обеспечение доступа к системам также имеет решающее значение. Организациям следует пересмотреть свои логины EBS, подключенные к Интернету, и уделить приоритетное внимание внедрению Многофакторной аутентификации (MFA), чтобы предотвратить атаки, основанные на учетных данных. Наконец, важно провести обучение руководителей C-suite, чтобы они были осведомлены о распространяющихся электронных письмах с вымогательством и установили протоколы для сообщения о них непосредственно в службы безопасности, тем самым поддерживая взвешенный подход, а не торопясь выплачивать выкуп.

#ParsedReport #CompletenessLow
03-10-2025

TamperedChef: Malvertising to Credential Theft

https://labs.withsecure.com/publications/tamperedchef.html

Report completeness: Low

Threats:
Tamperedchef

Victims:
European organizations

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1102, T1105, T1204.001, T1204.002, T1218.007, T1480.001, T1553.002, T1555.003, have more...

IOCs:
Domain: 3
File: 6
Url: 1

Soft:
Electron, NuGet

Languages:
javascript

Platforms:
x64

Links:
https://github.com/WithSecureLabs/iocs/TamperedChef
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания TamperedChef вредоносного ПО нацелена на европейские организации, использующие методы Вредоносной рекламы, маскирующиеся под PDF-редактор. Он поставляет вредоносный пакет MSI с законным лицензионным соглашением, чтобы избежать обнаружения, активируя его полезную нагрузку для кражи учетных данных браузера через два месяца. Исследователи также обратили внимание на приложение с аналогичным дизайном под названием AppSuite Print, которое, похоже, заброшено, в то время как злоумышленники перешли на новое приложение S3-Forge, что указывает на их адаптивные стратегии и продолжающуюся вредоносную активность.
-----

Кампания по борьбе с вредоносным ПО TamperedChef использует сложную стратегию Вредоносной рекламы, нацеленную на европейские организации путем Маскировки под законное приложение, в частности, редактор PDF. Эта кампания включала рекламный подход, который побуждал пользователей загружать вредоносный пакет Microsoft Installer (MSI). После загрузки пользователи столкнулись со стандартным диалоговым окном принятия лицензионного соглашения с конечным пользователем (EULA), что повысило легитимность приложения и помогло ему обойти определенные автоматизированные меры безопасности, такие как обнаружение в изолированной среде.

Вредоносное ПО, первоначально работавшее без проблем в течение почти двух месяцев, активировало свою вредоносную нагрузку 21 августа 2025 года, специально нацелившись на кражу учетных данных браузера. После этого разоблачения злоумышленники отреагировали выпуском якобы "чистых" версий приложения, но эти варианты все еще были подключены к их инфраструктуре, что сводит на нет любые гарантии безопасности. Наблюдаемое поведение указывает на то, что приложение функционировало как сборщик учетных данных, создавая значительный риск для безопасности пользователей.

В дополнение к варианту PDF-редактора исследователи обнаружили аналогичное, но, казалось бы, заброшенное приложение AppSuite Print, созданное примерно в то же время. Это приложение использовало запутанный файл JavaScript и имело сходство в коде и цифровых подписях с редактором PDF, но не было никаких свидетельств активного развертывания или использования, что позволяет предположить, что оно было отменено из-за недостаточного спроса.

После обнаружения TamperedChef злоумышленники быстро переключили свое внимание на разработку нового приложения под названием S3-Forge, которое демонстрирует продолжение злонамеренных намерений с использованием артефактов общего кода и установленных шаблонов разработки. Этот поворот указывает на адаптивный характер злоумышленников перед лицом контрмер, подчеркивая важность постоянной бдительности и обновленных стратегий обнаружения в областях кибербезопасности.

Меры обнаружения применяются с помощью различных продуктов безопасности, которые используют комбинацию общих и специфических сигнатур для эффективной идентификации и блокирования TamperedChef. Однако продолжающаяся эволюция тактики злоумышленников требует принятия упреждающих мер безопасности и внедрения передовых методик обнаружения для противодействия этим все более изощренным киберугрозам.

#ParsedReport #CompletenessMedium
30-09-2025

Check Your Socks - A Deep Dive into soopsocks PyPI Package

https://research.jfrog.com/post/check-your-socks-a-deep-dive-into-soopsocks-pypi/

Report completeness: Medium

Actors/Campaigns:
Soopsocks

Threats:
Uac_bypass_technique

Victims:
Software supply chain, General organizations

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1049, T1053.005, T1059.001, T1059.005, T1071.001, T1090, T1105, T1543.003, have more...

IOCs:
File: 15
Command: 3
Path: 2
Url: 1
Hash: 3

Soft:
Discord, BitTorrent, Windows service, Internet Explorer, Windows Firewall

Algorithms:
exhibit, zip

Functions:
main, _elevate_and_rerun, _try_pywin32_service, _auto_task_fallback

Languages:
powershell, python

Links:
http://github.com/kardianos/service

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет PyPI soopsocks обладает характеристиками вредоносного ПО, эволюционируя от базового сервера SOCKS5 до версий с расширенными механизмами развертывания и закрепления. Ключевые функции включают в себя развертывание скрытого исполняемого файла PE32+ (_AUTORUN.EXE ), который запускает скрипты PowerShell, использует жестко закодированные URL-адреса Discord webhook и манипулирует правилами брандмауэра. Вредоносное ПО функционирует как открытый прокси-сервер SOCKS5, связывается со своим сервером управления каждые 30 секунд и проводит разведку локальных IP-адресов, создавая значительную угрозу безопасности.
-----

Пакет PyPI soopsocks был идентифицирован как потенциальная угроза безопасности организации, обладающий характеристиками, типичными для вредоносного ПО. Его разработка претерпела множество итераций, эволюционировав от базовой серверной реализации SOCKS5 до продвинутых версий, включающих ряд механизмов развертывания и закрепления. Примечательно, что версии с 0.1.0 по 0.1.2 были сосредоточены на установке прокси-сервера SOCKS5, в то время как последующие версии включали дополнительные возможности, такие как запуск исполняемого файла (_AUTORUN.EXE ), поддерживающий Службы Windows и включающий методы развертывания на VBScript.

Основной вектор развертывания, _AUTORUN.EXE , представляет собой исполняемый файл PE32+, созданный из Go, который запускается с флагами Скрытого окна и выполняет встроенные сценарии PowerShell. Исполняемый файл содержит жестко закодированную информацию, такую как URL-адреса Discord webhook, и может манипулировать правилами брандмауэра. Более ранние версии также включали метод развертывания VBS, который при выполнении автоматически загружает переносимое программное обеспечение на Python и организует сценарии PowerShell с повышенными привилегиями.

SoopSocks использует протокол SOCKS5 на порту 1080 без аутентификации, функционируя как открытый прокси. Его сетевая связь вызывает тревогу, поскольку он периодически отправляет информацию о выходе из сети на предопределенный веб-узел Discord каждые 30 секунд, используя данные в формате JSON. Приложение также выполняет разведку, обнаруживая локальные и общедоступные IPv4-адреса и используя протокол STUN для обнаружения обхода NAT.

Технический анализ его компонентов показывает хорошо структурированную организацию: СЕРВЕР.PY реализует функциональность прокси-сервера SOCKS5, в то время как CLI.PY обрабатывает стратегии управления сервером и закрепления, часто отдавая приоритет установкам Служб Windows. Кроме того, пакет устанавливает автоматические операции после запуска системы с помощью автозапуска.Компонент PY и модифицирует брандмауэр Windows для управления трафиком.

Угроза, исходящая от SoopSocks, классифицируется как высокорисковая, учитывая ее способность к постоянному доступу, всесторонние возможности мониторинга сети и связь в режиме реального времени с сервером управления через Discord. Рекомендуемые шаги по исправлению включают изоляцию затронутых систем, блокировку связанных доменов и трафика, удаление компонентов, привязанных к SoopSocks, и усиление мер сетевой безопасности. Также рекомендуется отключить выполнение VBScript, внедрить внесение приложений в белый список и усилить возможности обнаружения конечных точек и реагирования на них, чтобы снизить связанные с этим риски. В целом, хотя SoopSocks маскируется под законную утилиту, ее глубокое шифрование и постоянное поведение сигнализируют о намерениях, связанных со вредоносной активностью.

#ParsedReport #CompletenessMedium
03-10-2025

SecuritySnack: 18+E-Crime

https://dti.domaintools.com/securitysnack-18e-crime/

Report completeness: Medium

Threats:
Credential_harvesting_technique

Victims:
Banking, Cryptocurrency exchanges, Social media users, Online gambling users, Government tax service users, Technology software users

Industry:
Financial, Government, Telco

ChatGPT TTPs:
do not use without manual check
T1204.001, T1204.002, T1556.003, T1566, T1566.002, T1583.001, T1584.001, T1587.001

IOCs:
Domain: 145
Url: 2
File: 1
Hash: 3
Email: 12

Soft:
Android, TikTok

Crypto:
binance

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2024 года финансово мотивированная группа киберпреступников начала операцию с более чем 80 поддельными доменами, имитирующими законные веб-сайты, включая государственные налоговые порталы и банковские платформы. Их основная цель - распространять троянские программы для Android и Windows через поддельные страницы входа в систему, тем самым похищая учетные данные пользователей. Эта операция характеризуется использованием вводящего в заблуждение контента, связанного с популярными приложениями и сервисами, что свидетельствует о стратегическом использовании доверия пользователей.
-----

В сентябре 2024 года финансово мотивированная группа киберпреступников начала операции с использованием обширной сети из более чем 80 поддельных доменных имен и веб-сайтов-приманок. Эти сайты были созданы для имитации законных государственных налоговых порталов, платформ потребительского банкинга, приложений для Социальных сетей 18+ и программ помощи Windows. Основной целью этой операции является распространение троянских программ для Android и Windows, способствующих краже учетных данных пользователей путем развертывания поддельных страниц входа в систему.

Злоумышленники использовали тематические веб-сайты, нацеленные, в частности, на популярную систему помощи при установке Windows. Среди рекламируемого мошеннического контента были вымышленные версии Помощника по установке Windows 11 и TrustCon VPN, которые были разработаны для того, чтобы обманом заставить пользователей загружать вредоносное программное обеспечение. Сеть также сосредоточилась на вводящем в заблуждение контенте, относящемся к тематике для лиц старше 18 лет, в частности, включающем макеты приложений для TikTok, YouTube и онлайн-гемблинга, а также имитации известных сайтов потребительского банкинга и криптовалютных бирж, таких как USAA, PMC, Bloomberg и Binance.

Эта операция является примером постоянной угрозы, характеризующейся использованием обманчивых стратегий, таких как поддельные домены и веб-сайты-приманки, не только для распространения вредоносного ПО, но и для активного сбора учетных данных пользователей. Целевые сектора указывают на продуманный подход, направленный на использование доверия пользователей, связанного с известными брендами и услугами.

#ParsedReport #CompletenessLow
03-10-2025

Palo Alto Scanning Surges \~500% in 48 Hours, Marking 90-Day High

https://www.greynoise.io/blog/palo-alto-scanning-surges

Report completeness: Low

Victims:
Technology vendors, Network security appliances

Geo:
Mexico, France, Canada, Pakistan, Netherlands, Australia, Russia

ChatGPT TTPs:
do not use without manual check
T1046, T1590, T1595, T1595.003, T1596

IOCs:
IP: 5

Soft:
Slack, PAN-OS

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
3 октября наблюдалось заметное увеличение активности сканирования устройств Palo Alto Networks: было обнаружено около 1300 уникальных IP-адресов, в основном из США, за которыми следуют Великобритания, Нидерланды, Канада и Россия. Сканирование было специально нацелено на Palo Alto GlobalProtect и PAN-OS, что указывает на преднамеренные попытки использования уязвимостей, и, вероятно, проводилось с использованием общедоступных инструментов разведки. Этот всплеск активности совпадает с аналогичными тенденциями, наблюдаемыми в устройствах Cisco ASA, что свидетельствует о скоординированных усилиях злоумышленников, потенциально связанных с ранее раскрытыми уязвимостями zero-day.
-----

3 октября наблюдался значительный всплеск активности сканирования устройств Palo Alto Networks: около 1300 уникальных IP-адресов вызвали оповещения от GreyNoise, что означает увеличение почти на 500% в течение 48 часов и самый высокий показатель за последние три месяца. Подавляющее большинство этих IP-адресов, примерно 93%, были классифицированы как подозрительные, в то время как остальные 7% были признаны вредоносными. Большая часть активности исходила из Соединенных Штатов, но были также заметные группы в Великобритании, Нидерландах, Канаде и России.

Целевыми профилями были, в первую очередь, Palo Alto GlobalProtect и PAN-OS, что указывает на то, что сканирование было преднамеренным, вероятно, оно было получено с помощью общедоступных инструментов разведки или непосредственно от злоумышленников, сканирующих уязвимости в устройствах Palo Alto. Появились отдельные кластеры сканирования, один из которых в основном направлял свой трафик в Соединенные Штаты, а другой - в Пакистан. Эти кластеры можно было бы дифференцировать на основе отпечатков пальцев TLS, предполагающих различное происхождение, но некоторые перекрывающиеся характеристики.

Интересно, что это увеличение активности сканирования, по-видимому, коррелирует с аналогичными действиями, направленными на устройства Cisco ASA, которые также испытали всплеск трафика сканирования примерно в тот же период времени. Анализ показал сходство региональной кластеризации и снятия отпечатков пальцев в инструментах, используемых для сканирования как порталов входа в систему Palo Alto, так и Cisco ASA, причем заметный отпечаток TLS связан с инфраструктурой, базирующейся в Нидерландах. Этот шаблон последовал за более ранними отчетами GreyNoise о сканировании Cisco ASA, связанными с раскрытием двух уязвимостей zero-day.

Последствия для защитников кибербезопасности значительны, учитывая, что этот всплеск 3 октября представляет собой самый большой приток IP-адресов, проверяющих порталы входа в систему в Пало-Альто за последние три месяца. Концентрированный и структурированный характер трафика, направленного в первую очередь на порталы входа в систему, подчеркивает необходимость усиленного мониторинга и защитных мер для защиты от потенциального использования этих сервисов.

#ParsedReport #CompletenessMedium
03-10-2025

Self-Propagating Malware Spreading Via WhatsApp, Targets Brazilian Users

https://www.trendmicro.com/en_us/research/25/j/self-propagating-malware-spreads-via-whatsapp.html

Report completeness: Medium

Actors/Campaigns:
Sorvepotel

Victims:
Whatsapp users

Industry:
Government, Healthcare, Education

Geo:
Brazilian, Brazil, Portuguese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1104, T1105, T1204.002, T1204.003, T1547, T1564.003, T1566, T1568

IOCs:
File: 5
Domain: 14
Hash: 8
Url: 1

Soft:
WhatsApp

Algorithms:
zip

Win Services:
WebClient

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4