#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа Clop инициировала массовую кампанию вымогательства, направленную против Oracle E-Business Suite, используя несколько незащищенных уязвимостей, включая CVE-2025-30746 и CVE-2025-30745, впервые выявленные в июле 2025 года. Требуя доступа к конфиденциальным данным, они оказывают давление на организации, требуя соблюдения требований о выкупе в размере 50 миллионов долларов. Атака подчеркивает риски, связанные с незащищенными общедоступными системами, и подчеркивает важность устранения критических уязвимостей для предотвращения эксплуатации.
-----

Хакерская группа Clop запустила кампанию массового вымогательства, требуя 50 миллионов долларов после взлома Oracle E-Business Suite (EBS). Атака использует несколько незащищенных уязвимостей, которые были выявлены в июле 2025 года, что подчеркивает острую необходимость применения организациями доступных исправлений для смягчения этих угроз. В частности, в качестве точек входа для злоумышленников были идентифицированы следующие уязвимости: CVE-2025-30746, CVE-2025-30745, CVE-2025-50107, CVE-2025-30743 и CVE-2025-30744. Каждая из этих проблем представляет значительный риск, особенно для общедоступных систем и критически важных информационных панелей Цепочки поставок, в которых отсутствуют необходимые меры аутентификации.

Группа Clop разработала коммуникационную стратегию, направленную на то, чтобы вселить страх и безотлагательность в целевые организации. Они утверждают, что получили доступ к конфиденциальным документам и базам данных компании, представляя пугающий сценарий полной компрометации. В качестве извращенного "бизнес-решения" хакеры предлагают предоставить доказательства своего взлома, поделившись частями украденных данных. Эта тактика направлена на то, чтобы заставить руководителей серьезно отнестись к угрозе и рассмотреть возможность удовлетворения их требования о выкупе.

Чтобы избежать подобных попыток вымогательства, организациям настоятельно рекомендуется принять незамедлительные меры. Первая и главная рекомендация заключается в безотлагательном применении критического исправления, выпущенного в июле 2025 года, поскольку невыполнение этого требования делает системы уязвимыми. Кроме того, компаниям рекомендуется действовать исходя из предположения, что они уже могут быть взломаны, что побуждает их к тщательному поиску угроз в своих средах EBS. Это включает мониторинг необычных входов в систему, экспорта большого объема данных и индикаторов компрометации (IOCS), связанных с текущей кампанией.

Обеспечение доступа к системам также имеет решающее значение. Организациям следует пересмотреть свои логины EBS, подключенные к Интернету, и уделить приоритетное внимание внедрению Многофакторной аутентификации (MFA), чтобы предотвратить атаки, основанные на учетных данных. Наконец, важно провести обучение руководителей C-suite, чтобы они были осведомлены о распространяющихся электронных письмах с вымогательством и установили протоколы для сообщения о них непосредственно в службы безопасности, тем самым поддерживая взвешенный подход, а не торопясь выплачивать выкуп.

#ParsedReport #CompletenessLow
03-10-2025

TamperedChef: Malvertising to Credential Theft

https://labs.withsecure.com/publications/tamperedchef.html

Report completeness: Low

Threats:
Tamperedchef

Victims:
European organizations

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1102, T1105, T1204.001, T1204.002, T1218.007, T1480.001, T1553.002, T1555.003, have more...

IOCs:
Domain: 3
File: 6
Url: 1

Soft:
Electron, NuGet

Languages:
javascript

Platforms:
x64

Links:
https://github.com/WithSecureLabs/iocs/TamperedChef
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания TamperedChef вредоносного ПО нацелена на европейские организации, использующие методы Вредоносной рекламы, маскирующиеся под PDF-редактор. Он поставляет вредоносный пакет MSI с законным лицензионным соглашением, чтобы избежать обнаружения, активируя его полезную нагрузку для кражи учетных данных браузера через два месяца. Исследователи также обратили внимание на приложение с аналогичным дизайном под названием AppSuite Print, которое, похоже, заброшено, в то время как злоумышленники перешли на новое приложение S3-Forge, что указывает на их адаптивные стратегии и продолжающуюся вредоносную активность.
-----

Кампания по борьбе с вредоносным ПО TamperedChef использует сложную стратегию Вредоносной рекламы, нацеленную на европейские организации путем Маскировки под законное приложение, в частности, редактор PDF. Эта кампания включала рекламный подход, который побуждал пользователей загружать вредоносный пакет Microsoft Installer (MSI). После загрузки пользователи столкнулись со стандартным диалоговым окном принятия лицензионного соглашения с конечным пользователем (EULA), что повысило легитимность приложения и помогло ему обойти определенные автоматизированные меры безопасности, такие как обнаружение в изолированной среде.

Вредоносное ПО, первоначально работавшее без проблем в течение почти двух месяцев, активировало свою вредоносную нагрузку 21 августа 2025 года, специально нацелившись на кражу учетных данных браузера. После этого разоблачения злоумышленники отреагировали выпуском якобы "чистых" версий приложения, но эти варианты все еще были подключены к их инфраструктуре, что сводит на нет любые гарантии безопасности. Наблюдаемое поведение указывает на то, что приложение функционировало как сборщик учетных данных, создавая значительный риск для безопасности пользователей.

В дополнение к варианту PDF-редактора исследователи обнаружили аналогичное, но, казалось бы, заброшенное приложение AppSuite Print, созданное примерно в то же время. Это приложение использовало запутанный файл JavaScript и имело сходство в коде и цифровых подписях с редактором PDF, но не было никаких свидетельств активного развертывания или использования, что позволяет предположить, что оно было отменено из-за недостаточного спроса.

После обнаружения TamperedChef злоумышленники быстро переключили свое внимание на разработку нового приложения под названием S3-Forge, которое демонстрирует продолжение злонамеренных намерений с использованием артефактов общего кода и установленных шаблонов разработки. Этот поворот указывает на адаптивный характер злоумышленников перед лицом контрмер, подчеркивая важность постоянной бдительности и обновленных стратегий обнаружения в областях кибербезопасности.

Меры обнаружения применяются с помощью различных продуктов безопасности, которые используют комбинацию общих и специфических сигнатур для эффективной идентификации и блокирования TamperedChef. Однако продолжающаяся эволюция тактики злоумышленников требует принятия упреждающих мер безопасности и внедрения передовых методик обнаружения для противодействия этим все более изощренным киберугрозам.

#ParsedReport #CompletenessMedium
30-09-2025

Check Your Socks - A Deep Dive into soopsocks PyPI Package

https://research.jfrog.com/post/check-your-socks-a-deep-dive-into-soopsocks-pypi/

Report completeness: Medium

Actors/Campaigns:
Soopsocks

Threats:
Uac_bypass_technique

Victims:
Software supply chain, General organizations

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1049, T1053.005, T1059.001, T1059.005, T1071.001, T1090, T1105, T1543.003, have more...

IOCs:
File: 15
Command: 3
Path: 2
Url: 1
Hash: 3

Soft:
Discord, BitTorrent, Windows service, Internet Explorer, Windows Firewall

Algorithms:
exhibit, zip

Functions:
main, _elevate_and_rerun, _try_pywin32_service, _auto_task_fallback

Languages:
powershell, python

Links:
http://github.com/kardianos/service

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет PyPI soopsocks обладает характеристиками вредоносного ПО, эволюционируя от базового сервера SOCKS5 до версий с расширенными механизмами развертывания и закрепления. Ключевые функции включают в себя развертывание скрытого исполняемого файла PE32+ (_AUTORUN.EXE ), который запускает скрипты PowerShell, использует жестко закодированные URL-адреса Discord webhook и манипулирует правилами брандмауэра. Вредоносное ПО функционирует как открытый прокси-сервер SOCKS5, связывается со своим сервером управления каждые 30 секунд и проводит разведку локальных IP-адресов, создавая значительную угрозу безопасности.
-----

Пакет PyPI soopsocks был идентифицирован как потенциальная угроза безопасности организации, обладающий характеристиками, типичными для вредоносного ПО. Его разработка претерпела множество итераций, эволюционировав от базовой серверной реализации SOCKS5 до продвинутых версий, включающих ряд механизмов развертывания и закрепления. Примечательно, что версии с 0.1.0 по 0.1.2 были сосредоточены на установке прокси-сервера SOCKS5, в то время как последующие версии включали дополнительные возможности, такие как запуск исполняемого файла (_AUTORUN.EXE ), поддерживающий Службы Windows и включающий методы развертывания на VBScript.

Основной вектор развертывания, _AUTORUN.EXE , представляет собой исполняемый файл PE32+, созданный из Go, который запускается с флагами Скрытого окна и выполняет встроенные сценарии PowerShell. Исполняемый файл содержит жестко закодированную информацию, такую как URL-адреса Discord webhook, и может манипулировать правилами брандмауэра. Более ранние версии также включали метод развертывания VBS, который при выполнении автоматически загружает переносимое программное обеспечение на Python и организует сценарии PowerShell с повышенными привилегиями.

SoopSocks использует протокол SOCKS5 на порту 1080 без аутентификации, функционируя как открытый прокси. Его сетевая связь вызывает тревогу, поскольку он периодически отправляет информацию о выходе из сети на предопределенный веб-узел Discord каждые 30 секунд, используя данные в формате JSON. Приложение также выполняет разведку, обнаруживая локальные и общедоступные IPv4-адреса и используя протокол STUN для обнаружения обхода NAT.

Технический анализ его компонентов показывает хорошо структурированную организацию: СЕРВЕР.PY реализует функциональность прокси-сервера SOCKS5, в то время как CLI.PY обрабатывает стратегии управления сервером и закрепления, часто отдавая приоритет установкам Служб Windows. Кроме того, пакет устанавливает автоматические операции после запуска системы с помощью автозапуска.Компонент PY и модифицирует брандмауэр Windows для управления трафиком.

Угроза, исходящая от SoopSocks, классифицируется как высокорисковая, учитывая ее способность к постоянному доступу, всесторонние возможности мониторинга сети и связь в режиме реального времени с сервером управления через Discord. Рекомендуемые шаги по исправлению включают изоляцию затронутых систем, блокировку связанных доменов и трафика, удаление компонентов, привязанных к SoopSocks, и усиление мер сетевой безопасности. Также рекомендуется отключить выполнение VBScript, внедрить внесение приложений в белый список и усилить возможности обнаружения конечных точек и реагирования на них, чтобы снизить связанные с этим риски. В целом, хотя SoopSocks маскируется под законную утилиту, ее глубокое шифрование и постоянное поведение сигнализируют о намерениях, связанных со вредоносной активностью.

#ParsedReport #CompletenessMedium
03-10-2025

SecuritySnack: 18+E-Crime

https://dti.domaintools.com/securitysnack-18e-crime/

Report completeness: Medium

Threats:
Credential_harvesting_technique

Victims:
Banking, Cryptocurrency exchanges, Social media users, Online gambling users, Government tax service users, Technology software users

Industry:
Financial, Government, Telco

ChatGPT TTPs:
do not use without manual check
T1204.001, T1204.002, T1556.003, T1566, T1566.002, T1583.001, T1584.001, T1587.001

IOCs:
Domain: 145
Url: 2
File: 1
Hash: 3
Email: 12

Soft:
Android, TikTok

Crypto:
binance

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2024 года финансово мотивированная группа киберпреступников начала операцию с более чем 80 поддельными доменами, имитирующими законные веб-сайты, включая государственные налоговые порталы и банковские платформы. Их основная цель - распространять троянские программы для Android и Windows через поддельные страницы входа в систему, тем самым похищая учетные данные пользователей. Эта операция характеризуется использованием вводящего в заблуждение контента, связанного с популярными приложениями и сервисами, что свидетельствует о стратегическом использовании доверия пользователей.
-----

В сентябре 2024 года финансово мотивированная группа киберпреступников начала операции с использованием обширной сети из более чем 80 поддельных доменных имен и веб-сайтов-приманок. Эти сайты были созданы для имитации законных государственных налоговых порталов, платформ потребительского банкинга, приложений для Социальных сетей 18+ и программ помощи Windows. Основной целью этой операции является распространение троянских программ для Android и Windows, способствующих краже учетных данных пользователей путем развертывания поддельных страниц входа в систему.

Злоумышленники использовали тематические веб-сайты, нацеленные, в частности, на популярную систему помощи при установке Windows. Среди рекламируемого мошеннического контента были вымышленные версии Помощника по установке Windows 11 и TrustCon VPN, которые были разработаны для того, чтобы обманом заставить пользователей загружать вредоносное программное обеспечение. Сеть также сосредоточилась на вводящем в заблуждение контенте, относящемся к тематике для лиц старше 18 лет, в частности, включающем макеты приложений для TikTok, YouTube и онлайн-гемблинга, а также имитации известных сайтов потребительского банкинга и криптовалютных бирж, таких как USAA, PMC, Bloomberg и Binance.

Эта операция является примером постоянной угрозы, характеризующейся использованием обманчивых стратегий, таких как поддельные домены и веб-сайты-приманки, не только для распространения вредоносного ПО, но и для активного сбора учетных данных пользователей. Целевые сектора указывают на продуманный подход, направленный на использование доверия пользователей, связанного с известными брендами и услугами.

#ParsedReport #CompletenessLow
03-10-2025

Palo Alto Scanning Surges \~500% in 48 Hours, Marking 90-Day High

https://www.greynoise.io/blog/palo-alto-scanning-surges

Report completeness: Low

Victims:
Technology vendors, Network security appliances

Geo:
Mexico, France, Canada, Pakistan, Netherlands, Australia, Russia

ChatGPT TTPs:
do not use without manual check
T1046, T1590, T1595, T1595.003, T1596

IOCs:
IP: 5

Soft:
Slack, PAN-OS

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
3 октября наблюдалось заметное увеличение активности сканирования устройств Palo Alto Networks: было обнаружено около 1300 уникальных IP-адресов, в основном из США, за которыми следуют Великобритания, Нидерланды, Канада и Россия. Сканирование было специально нацелено на Palo Alto GlobalProtect и PAN-OS, что указывает на преднамеренные попытки использования уязвимостей, и, вероятно, проводилось с использованием общедоступных инструментов разведки. Этот всплеск активности совпадает с аналогичными тенденциями, наблюдаемыми в устройствах Cisco ASA, что свидетельствует о скоординированных усилиях злоумышленников, потенциально связанных с ранее раскрытыми уязвимостями zero-day.
-----

3 октября наблюдался значительный всплеск активности сканирования устройств Palo Alto Networks: около 1300 уникальных IP-адресов вызвали оповещения от GreyNoise, что означает увеличение почти на 500% в течение 48 часов и самый высокий показатель за последние три месяца. Подавляющее большинство этих IP-адресов, примерно 93%, были классифицированы как подозрительные, в то время как остальные 7% были признаны вредоносными. Большая часть активности исходила из Соединенных Штатов, но были также заметные группы в Великобритании, Нидерландах, Канаде и России.

Целевыми профилями были, в первую очередь, Palo Alto GlobalProtect и PAN-OS, что указывает на то, что сканирование было преднамеренным, вероятно, оно было получено с помощью общедоступных инструментов разведки или непосредственно от злоумышленников, сканирующих уязвимости в устройствах Palo Alto. Появились отдельные кластеры сканирования, один из которых в основном направлял свой трафик в Соединенные Штаты, а другой - в Пакистан. Эти кластеры можно было бы дифференцировать на основе отпечатков пальцев TLS, предполагающих различное происхождение, но некоторые перекрывающиеся характеристики.

Интересно, что это увеличение активности сканирования, по-видимому, коррелирует с аналогичными действиями, направленными на устройства Cisco ASA, которые также испытали всплеск трафика сканирования примерно в тот же период времени. Анализ показал сходство региональной кластеризации и снятия отпечатков пальцев в инструментах, используемых для сканирования как порталов входа в систему Palo Alto, так и Cisco ASA, причем заметный отпечаток TLS связан с инфраструктурой, базирующейся в Нидерландах. Этот шаблон последовал за более ранними отчетами GreyNoise о сканировании Cisco ASA, связанными с раскрытием двух уязвимостей zero-day.

Последствия для защитников кибербезопасности значительны, учитывая, что этот всплеск 3 октября представляет собой самый большой приток IP-адресов, проверяющих порталы входа в систему в Пало-Альто за последние три месяца. Концентрированный и структурированный характер трафика, направленного в первую очередь на порталы входа в систему, подчеркивает необходимость усиленного мониторинга и защитных мер для защиты от потенциального использования этих сервисов.

#ParsedReport #CompletenessMedium
03-10-2025

Self-Propagating Malware Spreading Via WhatsApp, Targets Brazilian Users

https://www.trendmicro.com/en_us/research/25/j/self-propagating-malware-spreads-via-whatsapp.html

Report completeness: Medium

Actors/Campaigns:
Sorvepotel

Victims:
Whatsapp users

Industry:
Government, Healthcare, Education

Geo:
Brazilian, Brazil, Portuguese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1104, T1105, T1204.002, T1204.003, T1547, T1564.003, T1566, T1568

IOCs:
File: 5
Domain: 14
Hash: 8
Url: 1

Soft:
WhatsApp

Algorithms:
zip

Win Services:
WebClient

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Самораспространяющаяся кампания вредоносного ПО под названием SORVEPOTEL нацелена на бразильских пользователей в первую очередь через WhatsApp с помощью фишинг-сообщений, которые приводят к вложениям в ZIP-файлы. После извлечения ZIP-файла ярлык Windows запускает скрипт PowerShell для извлечения основной полезной нагрузки вредоносного ПО, а также перехватывает активные веб-сеансы WhatsApp для распространения среди контактов жертв. Этот подход сочетает социальную инженерию с автоматизированной эксплуатацией сеанса, повышая способность вредоносного ПО быстро распространяться при минимальном взаимодействии с пользователем.
-----

Недавнее исследование выявило самораспространяющуюся кампанию вредоносного ПО, нацеленную на бразильских пользователей, в основном распространяемую через WhatsApp с помощью вложений в ZIP-файлы. Процесс заражения начинается, когда пользователь получает сообщение о фишинге, созданное таким образом, чтобы оно выглядело так, как будто оно исходит от доверенного контакта, такого как друг или коллега, чья учетная запись была скомпрометирована. Такая тактика облегчает первоначальный компромисс, поскольку пользователи с большей вероятностью будут взаимодействовать с сообщениями от известных лиц.

Полезная нагрузка содержится в ZIP-файле; при извлечении он открывает файл быстрого доступа Windows (.LNK). Выполнение этого файла LNK активирует скрытый скрипт командной строки или PowerShell. Этот скрипт отвечает за извлечение основной полезной нагрузки вредоносного ПО из доменов, контролируемых злоумышленниками, тем самым продлевая цикл заражения.

Примечательным аспектом этого вредоносного ПО является его способность определять, активен ли в данный момент веб-сеанс WhatsApp на зараженном устройстве. Эта функция позволяет вредоносному ПО перехватывать текущие сеансы, эффективно распространяясь на контакты жертвы, не требуя дополнительного взаимодействия с пользователем. Использование автоматизированной эксплуатации сеанса в сочетании с традиционными методами фишинга значительно расширяет охват вредоносного ПО.

Кампания SORVEPOTEL иллюстрирует эволюционирующий ландшафт киберугроз, когда злоумышленники используют популярные коммуникационные платформы для быстрого распространения вредоносного ПО. Используя социальную инженерию и автоматизацию, эта кампания представляет значительный риск, демонстрируя, насколько быстрого и масштабного распространения вредоносного ПО можно добиться при минимальном участии пользователей.

#ParsedReport #CompletenessLow
02-10-2025

Coordinated Grafana Exploitation Attempts on 28 September

https://www.greynoise.io/blog/coordinated-grafana-exploitation-attempts

Report completeness: Low

Victims:
Grafana users

Geo:
Taiwan, China, Bangladesh, Germany, Slovakia

CVEs:
CVE-2021-43798 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-6023 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1583.003

IOCs:
IP: 2

Soft:
Slack

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
28 сентября 2023 года произошел всплеск попыток эксплуатации Grafana, в основном со 107 IP-адресов в Бангладеш, нацеленных на конечные точки в США. Эти атаки использовали более старые уязвимости, в частности CVE-2021-43798, для несанкционированного доступа и продемонстрировали одинаковое соотношение целей среди США, Словакии и Тайваня. Исторический анализ показал использование множества инструментов и уникальных отпечатков TCP, выявляя методический подход злоумышленников, который указывает на организованные усилия киберпреступников, использующих слабые места в системе безопасности в установках Grafana.
-----

28 сентября 2023 года была отмечена значительная волна попыток эксплуатации, нацеленных на Grafana, при этом 110 уникальных IP-адресов были задействованы в этой деятельности, преимущественно направленной на Соединенные Штаты, Словакию и Тайвань. Большая часть активности исходила из Бангладеш, где были отслежены 107 из 110 IP-адресов, в основном с конечными точками в США. Инцидент выявил хорошо скоординированную схему атаки, поскольку эти IP-адреса демонстрировали согласованное поведение в отношении целей в разных странах наблюдения, соблюдая четкое соотношение примерно 3:1:1, что соответствует США, Словакии и Тайваню, соответственно.

С точки зрения географического распределения, еще 2 IP-адреса из Китая и 1 из Германии также демонстрировали схожие модели таргетинга, хотя и в меньшем масштабе. Примечательно, что китайские IP-адреса были включены в число наиболее значимых, наблюдаемых в связи с этим событием, с идентифицируемыми отпечатками TCP, относящимися к тем же трем странам, что указывает на целый ряд инструментов, используемых для достижения этих целей. Кроме того, анализ исторических данных, проведенный GreyNoise, выявил по меньшей мере два уникальных отпечатка HTTP, свидетельствующих об использовании нескольких инструментов, нацеленных на общую целевую базу.

Попытки эксплуатации, в частности, использовали старые уязвимости, в частности CVE-2021-43798, уязвимость с высокой степенью воздействия, которая, как известно, допускает несанкционированный доступ. Такая схема использования старых уязвимостей указывает на стратегический выбор злоумышленников, отражающий потенциальный пробел в средствах защиты среди целевых установок Grafana.

Хотя GreyNoise не приписывает эту активность конкретному злоумышленнику, наблюдаемая конвергенция в моделях таргетинга и инструментарии позволяет предположить, что либо один оператор использует разнообразную инфраструктуру, либо несколько операторов используют общий набор эксплойтов против одного и того же набора целей. Скоординированный характер этих атак указывает на организованные усилия киберпреступников, а не на изолированные инциденты, подчеркивая сохраняющиеся риски, связанные с развертыванием уязвимого программного обеспечения в критических средах.

#ParsedReport #CompletenessMedium
02-10-2025

Larva-25010 APT Down PC

https://asec.ahnlab.com/ko/90408/

Report completeness: Medium

Actors/Campaigns:
Larva-25010
Kimsuky
Winnti
Unc3886
Unc5221
Apt31

Threats:
Cobalt_strike_tool
Syslogk_rootkit
Tinyshell

Industry:
Military, Telco, Government

Geo:
Chinese, North korean, Taiwan, Korean, Japan, North korea, Korea

CVEs:
CVE-2025-0282 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


IOCs:
Hash: 5
Domain: 1
IP: 1

Soft:
JBoss, Ivanti