#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Akira ransomware, которая значительно активизировалась в июле и августе 2025 года, использовала уязвимость неправильного контроля доступа CVE-2024-40766 в устройствах SonicWall SSL VPN. Используя модель "Программа-вымогатель как услуга", Akira применила тактику двойного вымогательства и нацелилась на службы удаленного доступа, используя методы, включающие кражу учетных данных и перемещение внутри компании. Аномальные сетевые действия включали разведку, получение учетных данных через Active Directory и эксфильтрацию данных объемом около 2 ГБ на облачную конечную точку, подключенную к Akira.
-----

Кампания Akira ransomware была нацелена на устройства SonicWall SSL VPN в июле и августе 2025 года. Он использовал CVE-2024-40766, уязвимость неправильного контроля доступа в SonicOS версий 7.0.1.5035 и более ранних. Akira ransomware активна с марта 2023 года и работает по модели "Программа-вымогатель как услуга" (RaaS). Они используют тактику двойного вымогательства, требуя плату за расшифровку данных и чтобы избежать публичного раскрытия конфиденциальной информации. Распространенные методы атак включают использование служб удаленного доступа, таких как RDP и VPN. Была обнаружена аномальная сетевая активность, в том числе устройство, выполняющее сканирование сети и поиск открытых портов. Устройство установило исходящее подключение Службы удаленного управления Windows (WinRM) к контроллерам домена и получило получение учетных данных путем получения сертификата Active Directory. Эксфильтрация данных началась около 07:00 UTC, при этом примерно 2 ГБ данных было загружено по SSH на внешнюю конечную точку, связанную с Akira group. Кампания подчеркивает риски, связанные с ранее раскрытыми уязвимостями и неправильными настройками, которые могут привести к первоначальному доступу и повышению привилегий. Индикаторы компрометации, связанные с атакой, включают конкретные IP-адреса, относящиеся к командной инфраструктуре акторов.

#ParsedReport #CompletenessLow
09-10-2025

From CPU Spikes to Defense: How Varonis Prevented a Ransomware Disaster

https://www.varonis.com/blog/varonis-prevents-ransomware-disaster

Report completeness: Low

Actors/Campaigns:
Ransomhub

Threats:
Ransomhub
Nltest_tool
Azcopy_tool
Socgholish_loader

Victims:
Enterprise networks

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 3

Soft:
Active Directory, KeePass, Chrome, ADFS, Microsoft Office, ESXi, Twitter

Win API:
SeTcbPrivilege

Languages:
javascript, python, powershell

Links:
https://github.com/joeavanzato/socgholish\_c2\_unpacker

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака программы-вымогателя, инициированная, когда пользователь запустил вредоносный файл JavaScript, привела к компрометации конечной точки и обширному сбору учетных записей. Злоумышленник воспользовался учетной записью ADFS скомпрометированного пользователя, получив доступ к контроллеру домена и повысив привилегии для доступа к конфиденциальным материалам, включая файлы RDP. В конечном счете, получив доступ администратора домена, злоумышленник развернул механизмы закрепления и провел тщательную разведку сети, что свидетельствует о сложном и методичном подходе.
-----

Описанный инцидент связан с атакой программ-вымогателей, которая началась, когда пользователь неосознанно запустил вредоносный файл JavaScript, замаскированный под законное обновление браузера. Этот первоначальный доступ позволил злоумышленнику скомпрометировать конечную точку и инициировать обширные операции по сбору учетных записей и повышению привилегий в сети.

Вскоре после первоначального взлома злоумышленник нацелился на сетевые ресурсы для получения конфиденциальных материалов, содержащих учетные данные, включая файлы Протокола удаленного рабочего стола (RDP) и хранилища паролей, в которых часто хранятся данные аутентификации. Злоумышленник смог пройти аутентификацию с использованием учетной записи ADFS скомпрометированного пользователя на контроллере домена, доступном только для чтения, два часа спустя, где он использовал повышенные привилегии, о чем свидетельствует наличие маркера с повышенными правами в журналах событий аутентификации.

Как только злоумышленник получил административные привилегии, он начал тщательное исследование сети, специально нацелившись на ноутбуки, принадлежащие администраторам домена. Они включили RDP на этих устройствах, предоставив им интерактивный доступ, гарантируя, что связанные с ними машины еще не использовались.

Примерно через 24 часа после начала атаки злоумышленник получил доступ администратора домена и развернул несколько механизмов закрепления в среде, что предполагало тщательное планирование и изощренность. Они провели обширный анализ Active Directory и выполнили детальное обнаружение сетей и файлов, что свидетельствует о хорошо обеспеченном ресурсами и методичном подходе к их усилиям по разведке.

Этот инцидент подчеркивает важность упреждающих мер в области кибербезопасности для предотвращения эскалации атак программ-вымогателей, приводящих к значительным сбоям. Эффективное обнаружение угроз и возможности быстрого реагирования имеют решающее значение для поддержания непрерывности бизнеса и защиты конфиденциальных данных.

#ParsedReport #CompletenessLow
09-10-2025

How Your AI Chatbot Can Become a Backdoor

https://www.trendmicro.com/en_gb/research/25/j/ai-chatbot-backdoor.html

Report completeness: Low

Threats:
Finbot
Supply_chain_technique

Victims:
Finopticorp, Customer service, Ai applications

ChatGPT TTPs:
do not use without manual check
T1059.004, T1078, T1190, T1213, T1530, T1552.001

#ParsedReport #ExtractedSchema

Classified images:
windows: 9, schema: 2, chats: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье освещаются уязвимости в чат-ботах с искусственным интеллектом на примере сценария с участием "FinOptiCorp" и ее чат-бота "FinBot". Злоумышленники используют косвенное внедрение подсказок для манипулирования чат-ботом, вызывая несанкционированные действия и используя недостатки внедрения команд во внутреннем API. Это позволяет злоумышленникам постоянно получать доступ к конфиденциальной информации, включая критически важные учетные данные API, подчеркивая значительные риски, связанные с развертыванием систем искусственного интеллекта при обработке конфиденциальных данных.
-----

В статье рассматриваются риски, связанные с внедрением чат-ботов с искусственным интеллектом, с использованием сценария, в котором задействована фиктивная компания "FinOptiCorp" и ее чат-бот "FinBot". Этот случай иллюстрирует, как злоумышленники могут использовать уязвимости в системах искусственного интеллекта для получения несанкционированного доступа и, в конечном итоге, для компрометации конфиденциальных данных.

Начальная фаза атаки начинается с того, что злоумышленники используют метод, известный как косвенное быстрое внедрение (OWASP LLM01:2025). Они публикуют положительный отзыв на стороннем форуме, который FinBot анализирует для получения отзывов пользователей. Однако в этом обзоре содержатся скрытые команды, предназначенные для управления чат-ботом. Как только чат-бот обрабатывает эти данные, он невольно выполняет инструкции злоумышленников, позволяя им запускать дальнейшие атаки.

После этого взломанный чат-бот действует как прокси-сервер, проверяя внутренний API FinOptiCorp на наличие традиционных уязвимостей. Выявленная ошибка при вводе команд (OWASP LLM05:2025) возникает из-за неправильной обработки выходных данных чат-ботом. API не выполняет надлежащую очистку команд перед их выполнением, что дает злоумышленникам возможность получить доступ к конфиденциальным внутренним системам.

Затем злоумышленникам удается получить постоянный доступ к серверу, где они находят важный конфигурационный файл. Этот файл содержит ключевые учетные данные API и информацию о доступе к различным ресурсам, включая векторную базу данных, используемую FinBot, и облачное хранилище для моделей искусственного интеллекта. Располагая этой информацией, они могут и дальше использовать систему FinOptiCorp.

Для снижения таких рисков крайне важны упреждающие меры перед развертыванием. В статье рассказывается о таких решениях, как Trend Vision One AI Application Security, которые позволяют выявлять уязвимости, такие как быстрое внедрение и раскрытие данных, перед развертыванием. В рабочей среде такие инструменты, как AI Guard, могут отслеживать вводимые данные для обнаружения вредоносных инструкций и анализировать ответы для предотвращения утечки данных.

Кроме того, решения с возможностями виртуального исправления могут защитить серверы от попыток эксплойта, даже если в коде приложения есть уязвимости. Функции поведенческого анализа в этих решениях могут обнаруживать и предотвращать вредоносные программы, такие как программы-вымогатели, тем самым предотвращая эскалацию атаки. В целом, внедрение надежных мер безопасности, ориентированных на системы искусственного интеллекта, может значительно снизить риск взломов и защитить конфиденциальные данные.

#ParsedReport #CompletenessHigh
09-10-2025

Velociraptor leveraged in ransomware attacks

https://blog.talosintelligence.com/velociraptor-leveraged-in-ransomware-attacks/

Report completeness: High

Actors/Campaigns:
Storm-2603

Threats:
Babuk
X2anylock
Lockbit
Toolshell_vuln
Smbexec_tool
Impacket_tool

Geo:
China

CVEs:
CVE-2025-6264 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 9
Technics: 10

IOCs:
File: 11
Url: 2
IP: 1
Domain: 2
Hash: 4

Soft:
Velociraptor, ESXi, Linux, Visual Studio Code, Microsoft Defender, Azure Active Directory, Active Directory

Algorithms:
zip, aes

Functions:
Get-Random, Write-Host, Write-Error, Get-ChildItem, Get-Job, Remove-Job

Win Services:
WebClient

Languages:
powershell, java, python, kotlin, swift, php

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2025/10

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cisco Talos обнаружила, что злоумышленник Storm-2603 использует инструмент DFIR с открытым исходным кодом Velociraptor в своих атаках с использованием программ-вымогателей, что свидетельствует о заметном изменении их тактики. Группа, связанная с программой-вымогателем Babuk и подозреваемая в использовании уязвимостей ToolShell в SharePoint, продемонстрировала передовые методы, включая создание вредоносных учетных записей администратора в Entra ID и доступ к консолям VMware vSphere для повышения их закрепления и увеличения площади атаки.
-----

Недавний анализ, проведенный Cisco Talos, показал, что операторы программ-вымогателей в настоящее время используют Velociraptor, инструмент цифровой криминалистики и реагирования на инциденты с открытым исходным кодом (DFIR), в своих атаках. Это примечательно, поскольку ранее инструмент не был напрямую связан с подобными инцидентами. Похоже, что эта активность связана с злоумышленником, известным как Storm-2603. Доказательства, подтверждающие эту атрибуцию, включают наличие файлов-вымогателей Babuk в сетях жертв, файлов, которые Storm-2603 ранее не использовал.

Velociraptor предназначен для оказания помощи командам безопасности в мониторинге конечных точек, развертывании клиентских агентов в различных операционных системах, включая Windows, Linux и Mac. Этот инструмент облегчает непрерывный сбор данных и оперативный подход к событиям безопасности, что делает его мощным средством для злоумышленников, стремящихся расширить свои оперативные возможности.

Ссылка на Storm-2603, предполагаемого злоумышленника из Китая, впервые выявленного в июле 2025 года, была сделана Talos с умеренной уверенностью. Группа известна тем, что использует уязвимости ToolShell в локальном SharePoint для проведения своих кампаний. Высокодостоверные индикаторы, сигнализирующие об их вредоносной активности, появились в середине августа 2025 года, включая усилия по повышению привилегий и перемещение внутри компании в скомпрометированных сетях.

Во время этой кампании было замечено, что Storm-2603 создает учетные записи администратора, которые синхронизируются с Entra ID, ранее известным как Azure Active Directory, через контроллер домена. Эта возможность позволила бы злоумышленнику поддерживать доступ к сети. Кроме того, эти учетные записи администратора использовались для доступа к консоли VMware vSphere, которая используется для управления виртуальными машинами. Доступ к этой консоли мог бы обеспечить устойчивое присутствие в виртуальной экосистеме и потенциально увеличить площадь атаки для дальнейшего использования.

#ParsedReport #CompletenessLow
09-10-2025

Pig Butchering Scams and Their DNS Trail: Linking Threats to Malicious Compounds

https://blogs.infoblox.com/threat-intelligence/pig-butchering-scams-and-their-dns-trail-linking-threats-to-malicious-compounds/

Report completeness: Low

Actors/Campaigns:
Pig_butchering (motivation: cyber_criminal)

Threats:
Vigorish_viper

Victims:
Consumers, Cryptocurrency users

Industry:
Transport, Financial, Entertainment, Aerospace, Government, Logistic

Geo:
Cambodian, Laos, Thailand, Taiwanese, Myanmar, Taiwan, United kingdom, Asia, Canada, Burmese, Asian, Cambodia, Chinese, Hong kong

ChatGPT TTPs:
do not use without manual check
T1071.001, T1566, T1583.001, T1584.006, T1585.003, T1608.006

IOCs:
Domain: 1

Soft:
WhatsApp

Algorithms:
exhibit

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайскоязычные преступные группировки активизировали кибермошенничество с помощью "pig butchering", долгосрочной инвестиционной схемы, в рамках которой жертв постепенно заманивают вносить деньги на мошеннические криптовалютные платформы. Этот подход использует модель "pig butchering-as-a-service" для автоматизации операций с использованием предварительно построенной инфраструктуры и скриптовых коммуникаций, что позволяет низкоквалифицированным преступникам нападать на множество жертв одновременно. Масштабы этих мошенничеств привели к значительным финансовым потерям, особенно в США, в то время как быстрое создание одноразовых мошеннических сайтов усложняет усилия правоохранительных органов по борьбе с этой промышленно развитой экономикой мошенничества.
-----

Китайскоязычные преступные группировки значительно активизировали свое участие в кибермошенничестве, в частности, с помощью схемы, известной как "pig butchering". Этот термин, возникший в результате долгосрочного инвестиционного мошенничества, описывает метод, при котором преступники со временем завоевывают доверие жертв, соблазняя их вносить все большие суммы на мошеннические платформы, связанные с криптовалютами. Эти мошенничества привели к значительным финансовым потерям во всем мире: Соединенные Штаты сообщили о потере более 5,6 миллиардов долларов из-за мошенничества с криптовалютами только в 2023 году, из которых примерно 4,4 миллиарда долларов были получены от схем pig Butchering, преимущественно действующих в Восточной и Юго-Восточной Азии.

Операционная модель pig Butchering является примером передовых стратегий мошенничества. Преступники используют подход "pig butchering-as-a-service" (PBaaS), который позволяет массово распространять мошеннический контент среди множества целей одновременно. Эта модель предоставляет преступникам необходимые ресурсы для автоматизации своих операций, используя готовую инфраструктуру, такую как готовые мошеннические веб-сайты, инвестиционные платформы, методы отмывания денег и сценарии общения. Такая автоматизация позволяет мошенникам с низкой квалификацией взаимодействовать с огромным числом жертв, что приводит к недорогим и легко воспроизводимым мошенническим операциям. Следовательно, домены, используемые для таких мошенничеств, рассматриваются как одноразовые активы, что делает обычные методы блокировки доменов неэффективными.

Масштабы этих операций привели к созданию промышленно развитой экономики мошенничества, в которой изощренные восточноазиатские преступные синдикаты ежегодно зарабатывают десятки миллиардов долларов. Эти группы могут быстро создавать сотни одноразовых веб-сайтов, создавая проблемы для правительств и правоохранительных органов, которые борются с такими быстро развивающимися угрозами. Оспариваемый ландшафт DNS стал решающим в борьбе с мошенничеством с pig Butchering, поскольку каждый домен должен разрешить подключение к жертвам. Выявление общих закономерностей и отпечатков пальцев среди мошеннических доменов может позволить защитникам и исследователям пресекать мошеннические действия в более широком масштабе, подчеркивая необходимость принятия упреждающих мер при анализе сети для противодействия постоянным угрозам, исходящим от этих киберпреступников.

#ParsedReport #CompletenessHigh
09-10-2025

BatShadows Latest Play

https://cgpavelchat.blob.core.windows.net/default-container/20250930-200932-BatShadow’s%20Latest%20Play%20-%20Threat%20Research%20Report.pdf?se=2026-09-30T20:09:33Z&sp=r&sv=2025-01-05&sr=b&sig=42Eb3AbMLT5km2HJHTAiKVORG4Q/C+VJw3L7KzmZRps=&v=2

Report completeness: High

Actors/Campaigns:
Batshadow (motivation: information_theft)

Threats:
Vampirebot
Agent_tesla
Lumma_stealer
Venomrat
Spear-phishing_technique

Victims:
Digital marketing professionals, Job seekers, Digital professionals

Geo:
Vietnamese

TTPs:
Tactics: 7
Technics: 7

IOCs:
File: 8
Url: 3
IP: 2
Domain: 3
Hash: 2

Soft:
Microsoft Edge, Chrome, Linux, macOS

Algorithms:
cbc, zip, aes-cbc, aes, sha256

Languages:
powershell, golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка BatShadow, связанная с вьетнамскими акторами, использует бота-вампира для нацеливания на специалистов по цифровому маркетингу и соискателей работы, используя передовые тактики социальной инженерии. Вредоносное ПО создает мьютекс и отправляет маячок в формате JSON с информацией о профилировании хоста на сервер C2 в samsungcareers.работает (IP 103.124.95.161). Бот способен осуществлять наблюдение за системой, эксфильтрацию данных и выполнять удаленные задачи, создавая значительные угрозы для своих целей.
-----

Хакерская группировка BatShadow, связанная с вьетнамскими кибер-акторами, недавно использовала вредоносное ПО, известное как Vampire bot, специально для специалистов по цифровому маркетингу и лиц, ищущих работу. Эта группа характеризуется своей изощренной тактикой социальной инженерии, эффективно использующей вводящие в заблуждение документы для инициирования атак.

После выполнения бот-вампир создает мьютекс и отправляет маячок инициализации на сервер управления (C2) злоумышленника, идентифицированный как samsungcareers.работа и разрешение на IP-адрес 103.124.95.161. Этот маяк структурирован как объект JSON и содержит исчерпывающие сведения о профилировании хоста. Он собирает важную информацию, такую как имя пользователя, операционная система, идентификатор Аппаратного обеспечения (HWID), характеристики процессора и графического процессора GPU, архитектура системы, как внешние, так и локальные IP-адреса, геолокация, а также уровень привилегий зараженной системы. Кроме того, вредоносное ПО перечисляет установленные продукты безопасности, измеряет скорость реагирования сети с помощью значения ping и отслеживает номер своей версии, что помогает идентифицировать конкретную используемую сборку.

Отнесение к вьетнамским злоумышленникам подтверждается историческим вниманием к лицам, занимающим должности в сфере цифрового маркетинга, что указывает на целенаправленный подход, который усиливает их операционную модель. Эта продолжающаяся кампания отражает средний уровень уверенности в отношении атрибуции, что позволяет предположить, что дальнейшие показатели будут иметь решающее значение для расширенного анализа угроз.

Бот-вампир предназначен для множества вредоносных действий, включая наблюдение за системой, эксфильтрацию данных и выполнение удаленных задач, что подчеркивает серьезные последствия этой угрозы для специалистов в области цифровых технологий. Благодаря своей многоэтапной цепочке заражения BatShadow продолжает бросать вызов средствам защиты от кибербезопасности, требуя бдительности среди потенциальных целей и усиливая необходимость в надежных мерах безопасности.

#ParsedReport #CompletenessMedium
09-10-2025

CVE-2024-36401 - GeoServer - tailoring a public PoC to enable at-scale high-confidence detection

https://www.bitsight.com/blog/cve-2024-36401-geoserver-tailoring-public-poc-enable-scale-high-confidence-detection

Report completeness: Medium

Threats:
Mirai

Victims:
Government, Transportation, Industry, Geospatial services

Industry:
Transport, Government

CVEs:
CVE-2024-36401 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059.004, T1105, T1190

IOCs:
File: 1
Hash: 12
IP: 6
Domain: 6

Soft:
GeoServer, Twitter, Docker

Algorithms:
sha256

Functions:
exec

Languages:
java

Links:
https://github.com/bigb0x/CVE-2024-36401/
https://github.com/geotools/geotools/pull/4797/
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2024-36401 - это уязвимость удаленного выполнения кода (RCE) в GeoServer, позволяющая злоумышленникам, не прошедшим проверку подлинности, выполнять произвольный код с помощью выражений имен свойств XPath. Попытки эксплойта были связаны с ботнет-вариантом Mirai, который использует скрипты для заражения систем и вовлечения их в ботнет-сети, используя такие инструменты, как "curl` и "wget" для извлечения двоичных файлов. Несмотря на сокращение числа уязвимых случаев, продолжающиеся случаи эксплуатации указывают на активные угрозы, за которыми организациям необходимо внимательно следить.
-----

CVE-2024-36401 относится к уязвимости удаленного выполнения кода (RCE), которая оказывает воздействие на GeoServer, платформу с открытым исходным кодом, широко используемую для обмена геопространственными данными, особенно в правительственных и зависящих от геопространственных данных секторах, таких как транспорт и промышленность. Уязвимость возникает из-за того, как GeoServer оценивает выражения имен свойств с использованием XPath, позволяя злоумышленникам, не прошедшим проверку подлинности, выполнять произвольный код. Хотя первоначальный метод обнаружения, основанный на управлении версиями геосервера, казался осуществимым, он столкнулся с несколькими существенными ограничениями.

Основная причина заключается в вводимых пользователем данных, обрабатываемых с помощью библиотеки commons-jxpath, которую GeoServer использует для управления выражениями XPath. GeoServer использует концепцию "Типов объектов", определяющую свойства наборов геопространственных данных, аналогично столбцам в базе данных. Такая структурная схема жизненно важна для управления геопространственными данными, что делает использование уязвимости все более критичным.

Обнаружение уязвимости ненавязчивым способом оказалось сложной задачей, особенно с учетом того, что типичные методы эксплуатации изменяли состояние целевых систем, препятствуя безопасному обнаружению в масштабе. Чтобы решить эту проблему, был разработан менее навязчивый механизм обнаружения, который исключил использование директивы Java exec() и заменил ее java.lang.Runtime.getRuntime().

После его включения в каталог известных эксплуатируемых уязвимостей CISA (KEV) мониторинг показал, что из 4606 идентифицированных экземпляров GeoServer 1071 изначально были уязвимы. Последующие усилия по выявлению значительно сократили это число примерно до 2074 в течение десяти месяцев. Однако попытки эксплуатации были особенно заметны в летнее время, особенно в период с июня по август, когда злоумышленники сбрасывали скрипты, предназначенные для вовлечения уязвимых серверов в ботнет.

Изучение скриптов, развертываемых во время этих атак, показало связь с ботнет-вариантом Mirai, известным своим самораспространением и возможностями DDoS-атак. Несмотря на то, что в 2025 году было идентифицировано только 27 уникальных IP-адресов, связанных с этим ботнет, что указывает на ограниченное распространение, поведение соответствовало действиям Mirai, которые включали разнообразные полезные нагрузки, нацеленные на различные уязвимости. Дальнейшее изучение этих скриптов показало, что они использовали `curl` и `wget` для извлечения двоичных файлов, совместимых с эксплуатируемыми архитектурами сервисов.

В конечном счете, пример CVE-2024-36401 подчеркивает необходимость тщательной оценки общедоступных доказательств концепции (POC) для обеспечения надежного применения в крупномасштабных сценариях обнаружения. Несмотря на то, что об уязвимости уже было известно широкой публике, продолжающиеся эксплойты подчеркивают необходимость того, чтобы организации активно контролировали свою уязвимость с помощью постоянного мониторинга и управления производительностью.

#ParsedReport #CompletenessLow
09-10-2025

AdaptixC2 Uncovered: Capabilities, Tactics & Hunting Strategies

https://hunt.io/blog/adaptixc2-uncovered-capabilities-tactics-hunting

Report completeness: Low

Threats:
Adaptixc2_tool
Dll_injection_technique
Process_injection_technique

Victims:
Organizations, Cloud hosting providers

Geo:
Ireland, Kazakhstan, Switzerland

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.002, T1027, T1041, T1050, T1055, T1055.001, T1071.001, T1090, T1090.001, T1105, have more...

IOCs:
File: 8
IP: 6

Algorithms:
base64, rc4