#ParsedReport #CompletenessHigh
09-10-2025

Velociraptor leveraged in ransomware attacks

https://blog.talosintelligence.com/velociraptor-leveraged-in-ransomware-attacks/

Report completeness: High

Actors/Campaigns:
Storm-2603

Threats:
Babuk
X2anylock
Lockbit
Toolshell_vuln
Smbexec_tool
Impacket_tool

Geo:
China

CVEs:
CVE-2025-6264 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 9
Technics: 10

IOCs:
File: 11
Url: 2
IP: 1
Domain: 2
Hash: 4

Soft:
Velociraptor, ESXi, Linux, Visual Studio Code, Microsoft Defender, Azure Active Directory, Active Directory

Algorithms:
zip, aes

Functions:
Get-Random, Write-Host, Write-Error, Get-ChildItem, Get-Job, Remove-Job

Win Services:
WebClient

Languages:
powershell, java, python, kotlin, swift, php

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2025/10

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cisco Talos обнаружила, что злоумышленник Storm-2603 использует инструмент DFIR с открытым исходным кодом Velociraptor в своих атаках с использованием программ-вымогателей, что свидетельствует о заметном изменении их тактики. Группа, связанная с программой-вымогателем Babuk и подозреваемая в использовании уязвимостей ToolShell в SharePoint, продемонстрировала передовые методы, включая создание вредоносных учетных записей администратора в Entra ID и доступ к консолям VMware vSphere для повышения их закрепления и увеличения площади атаки.
-----

Недавний анализ, проведенный Cisco Talos, показал, что операторы программ-вымогателей в настоящее время используют Velociraptor, инструмент цифровой криминалистики и реагирования на инциденты с открытым исходным кодом (DFIR), в своих атаках. Это примечательно, поскольку ранее инструмент не был напрямую связан с подобными инцидентами. Похоже, что эта активность связана с злоумышленником, известным как Storm-2603. Доказательства, подтверждающие эту атрибуцию, включают наличие файлов-вымогателей Babuk в сетях жертв, файлов, которые Storm-2603 ранее не использовал.

Velociraptor предназначен для оказания помощи командам безопасности в мониторинге конечных точек, развертывании клиентских агентов в различных операционных системах, включая Windows, Linux и Mac. Этот инструмент облегчает непрерывный сбор данных и оперативный подход к событиям безопасности, что делает его мощным средством для злоумышленников, стремящихся расширить свои оперативные возможности.

Ссылка на Storm-2603, предполагаемого злоумышленника из Китая, впервые выявленного в июле 2025 года, была сделана Talos с умеренной уверенностью. Группа известна тем, что использует уязвимости ToolShell в локальном SharePoint для проведения своих кампаний. Высокодостоверные индикаторы, сигнализирующие об их вредоносной активности, появились в середине августа 2025 года, включая усилия по повышению привилегий и перемещение внутри компании в скомпрометированных сетях.

Во время этой кампании было замечено, что Storm-2603 создает учетные записи администратора, которые синхронизируются с Entra ID, ранее известным как Azure Active Directory, через контроллер домена. Эта возможность позволила бы злоумышленнику поддерживать доступ к сети. Кроме того, эти учетные записи администратора использовались для доступа к консоли VMware vSphere, которая используется для управления виртуальными машинами. Доступ к этой консоли мог бы обеспечить устойчивое присутствие в виртуальной экосистеме и потенциально увеличить площадь атаки для дальнейшего использования.

#ParsedReport #CompletenessLow
09-10-2025

Pig Butchering Scams and Their DNS Trail: Linking Threats to Malicious Compounds

https://blogs.infoblox.com/threat-intelligence/pig-butchering-scams-and-their-dns-trail-linking-threats-to-malicious-compounds/

Report completeness: Low

Actors/Campaigns:
Pig_butchering (motivation: cyber_criminal)

Threats:
Vigorish_viper

Victims:
Consumers, Cryptocurrency users

Industry:
Transport, Financial, Entertainment, Aerospace, Government, Logistic

Geo:
Cambodian, Laos, Thailand, Taiwanese, Myanmar, Taiwan, United kingdom, Asia, Canada, Burmese, Asian, Cambodia, Chinese, Hong kong

ChatGPT TTPs:
do not use without manual check
T1071.001, T1566, T1583.001, T1584.006, T1585.003, T1608.006

IOCs:
Domain: 1

Soft:
WhatsApp

Algorithms:
exhibit

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайскоязычные преступные группировки активизировали кибермошенничество с помощью "pig butchering", долгосрочной инвестиционной схемы, в рамках которой жертв постепенно заманивают вносить деньги на мошеннические криптовалютные платформы. Этот подход использует модель "pig butchering-as-a-service" для автоматизации операций с использованием предварительно построенной инфраструктуры и скриптовых коммуникаций, что позволяет низкоквалифицированным преступникам нападать на множество жертв одновременно. Масштабы этих мошенничеств привели к значительным финансовым потерям, особенно в США, в то время как быстрое создание одноразовых мошеннических сайтов усложняет усилия правоохранительных органов по борьбе с этой промышленно развитой экономикой мошенничества.
-----

Китайскоязычные преступные группировки значительно активизировали свое участие в кибермошенничестве, в частности, с помощью схемы, известной как "pig butchering". Этот термин, возникший в результате долгосрочного инвестиционного мошенничества, описывает метод, при котором преступники со временем завоевывают доверие жертв, соблазняя их вносить все большие суммы на мошеннические платформы, связанные с криптовалютами. Эти мошенничества привели к значительным финансовым потерям во всем мире: Соединенные Штаты сообщили о потере более 5,6 миллиардов долларов из-за мошенничества с криптовалютами только в 2023 году, из которых примерно 4,4 миллиарда долларов были получены от схем pig Butchering, преимущественно действующих в Восточной и Юго-Восточной Азии.

Операционная модель pig Butchering является примером передовых стратегий мошенничества. Преступники используют подход "pig butchering-as-a-service" (PBaaS), который позволяет массово распространять мошеннический контент среди множества целей одновременно. Эта модель предоставляет преступникам необходимые ресурсы для автоматизации своих операций, используя готовую инфраструктуру, такую как готовые мошеннические веб-сайты, инвестиционные платформы, методы отмывания денег и сценарии общения. Такая автоматизация позволяет мошенникам с низкой квалификацией взаимодействовать с огромным числом жертв, что приводит к недорогим и легко воспроизводимым мошенническим операциям. Следовательно, домены, используемые для таких мошенничеств, рассматриваются как одноразовые активы, что делает обычные методы блокировки доменов неэффективными.

Масштабы этих операций привели к созданию промышленно развитой экономики мошенничества, в которой изощренные восточноазиатские преступные синдикаты ежегодно зарабатывают десятки миллиардов долларов. Эти группы могут быстро создавать сотни одноразовых веб-сайтов, создавая проблемы для правительств и правоохранительных органов, которые борются с такими быстро развивающимися угрозами. Оспариваемый ландшафт DNS стал решающим в борьбе с мошенничеством с pig Butchering, поскольку каждый домен должен разрешить подключение к жертвам. Выявление общих закономерностей и отпечатков пальцев среди мошеннических доменов может позволить защитникам и исследователям пресекать мошеннические действия в более широком масштабе, подчеркивая необходимость принятия упреждающих мер при анализе сети для противодействия постоянным угрозам, исходящим от этих киберпреступников.

#ParsedReport #CompletenessHigh
09-10-2025

BatShadows Latest Play

https://cgpavelchat.blob.core.windows.net/default-container/20250930-200932-BatShadow’s%20Latest%20Play%20-%20Threat%20Research%20Report.pdf?se=2026-09-30T20:09:33Z&sp=r&sv=2025-01-05&sr=b&sig=42Eb3AbMLT5km2HJHTAiKVORG4Q/C+VJw3L7KzmZRps=&v=2

Report completeness: High

Actors/Campaigns:
Batshadow (motivation: information_theft)

Threats:
Vampirebot
Agent_tesla
Lumma_stealer
Venomrat
Spear-phishing_technique

Victims:
Digital marketing professionals, Job seekers, Digital professionals

Geo:
Vietnamese

TTPs:
Tactics: 7
Technics: 7

IOCs:
File: 8
Url: 3
IP: 2
Domain: 3
Hash: 2

Soft:
Microsoft Edge, Chrome, Linux, macOS

Algorithms:
cbc, zip, aes-cbc, aes, sha256

Languages:
powershell, golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка BatShadow, связанная с вьетнамскими акторами, использует бота-вампира для нацеливания на специалистов по цифровому маркетингу и соискателей работы, используя передовые тактики социальной инженерии. Вредоносное ПО создает мьютекс и отправляет маячок в формате JSON с информацией о профилировании хоста на сервер C2 в samsungcareers.работает (IP 103.124.95.161). Бот способен осуществлять наблюдение за системой, эксфильтрацию данных и выполнять удаленные задачи, создавая значительные угрозы для своих целей.
-----

Хакерская группировка BatShadow, связанная с вьетнамскими кибер-акторами, недавно использовала вредоносное ПО, известное как Vampire bot, специально для специалистов по цифровому маркетингу и лиц, ищущих работу. Эта группа характеризуется своей изощренной тактикой социальной инженерии, эффективно использующей вводящие в заблуждение документы для инициирования атак.

После выполнения бот-вампир создает мьютекс и отправляет маячок инициализации на сервер управления (C2) злоумышленника, идентифицированный как samsungcareers.работа и разрешение на IP-адрес 103.124.95.161. Этот маяк структурирован как объект JSON и содержит исчерпывающие сведения о профилировании хоста. Он собирает важную информацию, такую как имя пользователя, операционная система, идентификатор Аппаратного обеспечения (HWID), характеристики процессора и графического процессора GPU, архитектура системы, как внешние, так и локальные IP-адреса, геолокация, а также уровень привилегий зараженной системы. Кроме того, вредоносное ПО перечисляет установленные продукты безопасности, измеряет скорость реагирования сети с помощью значения ping и отслеживает номер своей версии, что помогает идентифицировать конкретную используемую сборку.

Отнесение к вьетнамским злоумышленникам подтверждается историческим вниманием к лицам, занимающим должности в сфере цифрового маркетинга, что указывает на целенаправленный подход, который усиливает их операционную модель. Эта продолжающаяся кампания отражает средний уровень уверенности в отношении атрибуции, что позволяет предположить, что дальнейшие показатели будут иметь решающее значение для расширенного анализа угроз.

Бот-вампир предназначен для множества вредоносных действий, включая наблюдение за системой, эксфильтрацию данных и выполнение удаленных задач, что подчеркивает серьезные последствия этой угрозы для специалистов в области цифровых технологий. Благодаря своей многоэтапной цепочке заражения BatShadow продолжает бросать вызов средствам защиты от кибербезопасности, требуя бдительности среди потенциальных целей и усиливая необходимость в надежных мерах безопасности.

#ParsedReport #CompletenessMedium
09-10-2025

CVE-2024-36401 - GeoServer - tailoring a public PoC to enable at-scale high-confidence detection

https://www.bitsight.com/blog/cve-2024-36401-geoserver-tailoring-public-poc-enable-scale-high-confidence-detection

Report completeness: Medium

Threats:
Mirai

Victims:
Government, Transportation, Industry, Geospatial services

Industry:
Transport, Government

CVEs:
CVE-2024-36401 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059.004, T1105, T1190

IOCs:
File: 1
Hash: 12
IP: 6
Domain: 6

Soft:
GeoServer, Twitter, Docker

Algorithms:
sha256

Functions:
exec

Languages:
java

Links:
https://github.com/bigb0x/CVE-2024-36401/
https://github.com/geotools/geotools/pull/4797/
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2024-36401 - это уязвимость удаленного выполнения кода (RCE) в GeoServer, позволяющая злоумышленникам, не прошедшим проверку подлинности, выполнять произвольный код с помощью выражений имен свойств XPath. Попытки эксплойта были связаны с ботнет-вариантом Mirai, который использует скрипты для заражения систем и вовлечения их в ботнет-сети, используя такие инструменты, как "curl` и "wget" для извлечения двоичных файлов. Несмотря на сокращение числа уязвимых случаев, продолжающиеся случаи эксплуатации указывают на активные угрозы, за которыми организациям необходимо внимательно следить.
-----

CVE-2024-36401 относится к уязвимости удаленного выполнения кода (RCE), которая оказывает воздействие на GeoServer, платформу с открытым исходным кодом, широко используемую для обмена геопространственными данными, особенно в правительственных и зависящих от геопространственных данных секторах, таких как транспорт и промышленность. Уязвимость возникает из-за того, как GeoServer оценивает выражения имен свойств с использованием XPath, позволяя злоумышленникам, не прошедшим проверку подлинности, выполнять произвольный код. Хотя первоначальный метод обнаружения, основанный на управлении версиями геосервера, казался осуществимым, он столкнулся с несколькими существенными ограничениями.

Основная причина заключается в вводимых пользователем данных, обрабатываемых с помощью библиотеки commons-jxpath, которую GeoServer использует для управления выражениями XPath. GeoServer использует концепцию "Типов объектов", определяющую свойства наборов геопространственных данных, аналогично столбцам в базе данных. Такая структурная схема жизненно важна для управления геопространственными данными, что делает использование уязвимости все более критичным.

Обнаружение уязвимости ненавязчивым способом оказалось сложной задачей, особенно с учетом того, что типичные методы эксплуатации изменяли состояние целевых систем, препятствуя безопасному обнаружению в масштабе. Чтобы решить эту проблему, был разработан менее навязчивый механизм обнаружения, который исключил использование директивы Java exec() и заменил ее java.lang.Runtime.getRuntime().

После его включения в каталог известных эксплуатируемых уязвимостей CISA (KEV) мониторинг показал, что из 4606 идентифицированных экземпляров GeoServer 1071 изначально были уязвимы. Последующие усилия по выявлению значительно сократили это число примерно до 2074 в течение десяти месяцев. Однако попытки эксплуатации были особенно заметны в летнее время, особенно в период с июня по август, когда злоумышленники сбрасывали скрипты, предназначенные для вовлечения уязвимых серверов в ботнет.

Изучение скриптов, развертываемых во время этих атак, показало связь с ботнет-вариантом Mirai, известным своим самораспространением и возможностями DDoS-атак. Несмотря на то, что в 2025 году было идентифицировано только 27 уникальных IP-адресов, связанных с этим ботнет, что указывает на ограниченное распространение, поведение соответствовало действиям Mirai, которые включали разнообразные полезные нагрузки, нацеленные на различные уязвимости. Дальнейшее изучение этих скриптов показало, что они использовали `curl` и `wget` для извлечения двоичных файлов, совместимых с эксплуатируемыми архитектурами сервисов.

В конечном счете, пример CVE-2024-36401 подчеркивает необходимость тщательной оценки общедоступных доказательств концепции (POC) для обеспечения надежного применения в крупномасштабных сценариях обнаружения. Несмотря на то, что об уязвимости уже было известно широкой публике, продолжающиеся эксплойты подчеркивают необходимость того, чтобы организации активно контролировали свою уязвимость с помощью постоянного мониторинга и управления производительностью.

#ParsedReport #CompletenessLow
09-10-2025

AdaptixC2 Uncovered: Capabilities, Tactics & Hunting Strategies

https://hunt.io/blog/adaptixc2-uncovered-capabilities-tactics-hunting

Report completeness: Low

Threats:
Adaptixc2_tool
Dll_injection_technique
Process_injection_technique

Victims:
Organizations, Cloud hosting providers

Geo:
Ireland, Kazakhstan, Switzerland

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.002, T1027, T1041, T1050, T1055, T1055.001, T1071.001, T1090, T1090.001, T1105, have more...

IOCs:
File: 8
IP: 6

Algorithms:
base64, rc4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Платформа AdaptixC2 - это универсальная система управления (C2), используемая злоумышленниками для управления вредоносным ПО. Его природа с открытым исходным кодом позволяет развертывать его с помощью таких протоколов, как HTTP и SMB, включая методы обхода, позволяющие избежать обнаружения. Фреймворк обеспечивает закрепление с помощью Динамического разрешения API и облегчает перемещение внутри компании через скомпрометированные системы, действующие как прокси, что затрудняет обнаружение из-за его зависимости от законной инфраструктуры и динамических конфигураций.
-----

Платформа AdaptixC2 - это легкая и адаптируемая система управления (C2), используемая злоумышленниками для эффективного развертывания вредоносного ПО и управления им. Его дизайн с открытым исходным кодом обеспечивает значительную гибкость в различных операционных средах, облегчая развертывание с помощью различных протоколов, включая HTTP, SMB и TCP. Архитектура поддерживает различные векторы атак и сложные методы уклонения, направленные на обход традиционных методов обнаружения, таких как системы, основанные на сигнатурах.

Примечательно, что AdaptixC2 использует расширенные возможности для установления и поддержания закрепления в зараженных системах. Вредоносное ПО использует Динамическое разрешение API, что затрудняет статическое обнаружение за счет разрешения адресов функций Windows во время выполнения. Его методы развертывания могут включать автономные исполняемые файлы, Службы Windows, внедрение библиотек DLL и выполнение шелл-кода, предоставляя множество способов обойти механизмы безопасности. Кроме того, его надежная функция передачи файлов обеспечивает безопасный обмен данными по Зашифрованным каналам, используя разрозненную систему передачи, которая повышает устойчивость к сбоям в работе сети.

Beacon, который является компонентом вредоносного ПО, ответственным за взаимодействие команд и контроля, включает в себя функции для перемещения внутри компании. Это может превратить каждую скомпрометированную систему в прокси-сервер, способствуя более глубокому проникновению в сеть с помощью возможностей переадресации портов TCP и UDP. Эта поворотная функциональность подчеркивает важность сегментации сети как меры защиты, поскольку скомпрометированные системы могут передавать команды по нескольким уровням, нацеливаясь на системы, которые могут не подключаться напрямую к внешним серверам C2.

С точки зрения обнаружения, AdaptixC2 представляет собой уникальные задачи. Традиционные методы часто неэффективны из-за динамичного и настраиваемого подхода фреймворка. Попытки раскрыть его инфраструктуру показали, что было идентифицировано 102 активных сервера C2 у целого ряда хостинг-провайдеров. Такая зависимость от законных инфраструктур усложняет отслеживание и реагирование. Наличие определенных HTTP-заголовков и конфигураций, таких как порты прослушивания по умолчанию и имена сертификатов, может служить индикаторами компрометации, позволяя аналитикам создавать более эффективные правила обнаружения.

Стратегии снижения рисков для организаций включают комплексную защиту на сетевом уровне, включая глубокую проверку пакетов на предмет необычных моделей трафика и мониторинг подключений к Нестандартным портам. Средства защиты на базе хоста должны быть сосредоточены на подозрительной активности в памяти и изменениях реестра, связанных с механизмами закрепления. Организациям рекомендуется использовать методы обнаружения поведения, а не полагаться исключительно на статические индикаторы, что способствует более быстрому реагированию в случае инцидента.

#ParsedReport #CompletenessMedium
09-10-2025

NGC4141: East Asian group attacks custom web applications

https://1.rt-solar.ru/solar-4rays/blog/6097/?_x_tr_enc=1

Report completeness: Medium

Actors/Campaigns:
Ngc4141 (motivation: cyber_espionage)

Threats:
Hping3_tool
Netcat_tool
Netstat_tool
Nmap_tool
Proxychains_tool
Wso_webshell
Godzilla_webshell

Victims:
Web applications

Industry:
Government, Telco

Geo:
Russian, Asian, Asia, Korea

IOCs:
File: 7
IP: 14
Hash: 17

Soft:
WordPress, Bitrix, docker, vim-cmd, curl, sudo

Algorithms:
aes-256-cbc, aes, aes-256, base64, cbc, md5, xor, sha256, sha1

Functions:
eval, getBasicsInfo

Win API:
readfile

Languages:
python, php

Platforms:
x64

Links:
have more...
https://translate.google.com/website?sl=ru&tl=en&hl=ru&client=webapp&u=https://github.com/808Mak1r/GodzillaSource/blob/main/src/main/resources/shell/php/template/base64.bin
https://translate.google.com/website?sl=ru&tl=en&hl=ru&client=webapp&u=https://github.com/mIcHyAmRaNe/wso-webshell/blob/master/wso.php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка NGC4141, происходящая из Восточной Азии, нацелена на пользовательские веб-приложения, используя уязвимости, присущие программному обеспечению с открытым исходным кодом и на заказ. В их атаках используются передовые методы, типичные для киберугроз, включая внедрение SQL, межсайтовый скриптинг (XSS) и обход аутентификации, которые ставят под угрозу конфиденциальность, целостность и доступность этих приложений. Деятельность группы подчеркивает слабые места в системе безопасности, характерные для пользовательских веб-решений, что требует осведомленности об этих уязвимостях для снижения рисков эксплуатации в будущем.
-----

Хакерская группировка NGC4141, идентифицированная как происходящая из Восточной Азии, активно нацеливалась на пользовательские веб-приложения. Их деятельность выявляет уязвимости, присущие как платформам с открытым исходным кодом, так и индивидуальным программным решениям в области веб-приложений. Хотя пользовательские веб-приложения могут предлагать индивидуальные функциональные возможности, которые могут улучшить бизнес-операции, в них часто обнаруживаются уникальные пробелы в безопасности, которыми могут воспользоваться злонамеренные акторы.

Эти атаки NGC4141 продемонстрировали глубокое понимание безопасности веб-приложений и потенциальных слабых мест, которые могут быть использованы. Группа использует различные методы, типичные для продвинутых киберугроз, которые могут включать внедрение SQL, межсайтовый скриптинг (XSS) и методы обхода аутентификации. Использование этих методов позволяет NGC4141 потенциально ставить под угрозу конфиденциальность, целостность и доступность целевых приложений.

Более того, деятельность группы вызывает обеспокоенность по поводу общего уровня безопасности организаций, использующих пользовательские веб-решения. Поскольку эти приложения часто разрабатываются без строгих мер безопасности, которые присущи популярным программным платформам, они могут непреднамеренно предоставить злоумышленникам больше возможностей для использования. Постоянная бдительность и активные меры безопасности необходимы организациям для защиты от таких целенаправленных кампаний.

По мере развития ландшафта киберугроз понимание тактики и методов, используемых такими группами, как NGC4141, имеет решающее значение для разработки эффективных контрмер и повышения безопасности веб-приложений. Организации должны оставаться осведомленными о конкретных уязвимостях, связанных с пользовательскими разработками, чтобы эффективно снижать риск будущих атак.

#ParsedReport #CompletenessLow
09-10-2025

Oracle E-Business Suite Zero-Day Exploited in Widespread Extortion Campaign

https://cloud.google.com/blog/topics/threat-intelligence/oracle-ebusiness-suite-zero-day-exploitation/

Report completeness: Low

Actors/Campaigns:
Fin11 (motivation: information_theft)
Scattered_lapsus_hunters
Shinyhunters
Unc6240

Threats:
Clop
Goldvein
Sagegift
Sageleaf
Sagewave_tool
Goldtomb

Victims:
Oracle e business suite users, Enterprises using managed file transfer systems

CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1078, T1190, T1555.003, T1566.002, T1656

IOCs:
Email: 2
File: 2
IP: 5

Soft:
GoAnywhere, MOVEit, LexiCom, Telegram, Linux, WebLogic

Algorithms:
aes, zip, base64, cbc

Languages:
java, python, powershell

YARA: Found

Links:
https://github.com/ReaJason/MemShellParty/blob/0c041ee1a97b1af1d677f2d2bc47f325d278da3e/generator/src/main/java/com/reajason/javaweb/memshell/injector/weblogic/WebLogicFilterInjector.java
have more...

#ParsedReport #ExtractedSchema

Classified images:
chats: 2, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4