#ParsedReport #CompletenessMedium
09-10-2025

NGC4141: East Asian group attacks custom web applications

https://1.rt-solar.ru/solar-4rays/blog/6097/?_x_tr_enc=1

Report completeness: Medium

Actors/Campaigns:
Ngc4141 (motivation: cyber_espionage)

Threats:
Hping3_tool
Netcat_tool
Netstat_tool
Nmap_tool
Proxychains_tool
Wso_webshell
Godzilla_webshell

Victims:
Web applications

Industry:
Government, Telco

Geo:
Russian, Asian, Asia, Korea

IOCs:
File: 7
IP: 14
Hash: 17

Soft:
WordPress, Bitrix, docker, vim-cmd, curl, sudo

Algorithms:
aes-256-cbc, aes, aes-256, base64, cbc, md5, xor, sha256, sha1

Functions:
eval, getBasicsInfo

Win API:
readfile

Languages:
python, php

Platforms:
x64

Links:
have more...
https://translate.google.com/website?sl=ru&tl=en&hl=ru&client=webapp&u=https://github.com/808Mak1r/GodzillaSource/blob/main/src/main/resources/shell/php/template/base64.bin
https://translate.google.com/website?sl=ru&tl=en&hl=ru&client=webapp&u=https://github.com/mIcHyAmRaNe/wso-webshell/blob/master/wso.php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка NGC4141, происходящая из Восточной Азии, нацелена на пользовательские веб-приложения, используя уязвимости, присущие программному обеспечению с открытым исходным кодом и на заказ. В их атаках используются передовые методы, типичные для киберугроз, включая внедрение SQL, межсайтовый скриптинг (XSS) и обход аутентификации, которые ставят под угрозу конфиденциальность, целостность и доступность этих приложений. Деятельность группы подчеркивает слабые места в системе безопасности, характерные для пользовательских веб-решений, что требует осведомленности об этих уязвимостях для снижения рисков эксплуатации в будущем.
-----

Хакерская группировка NGC4141, идентифицированная как происходящая из Восточной Азии, активно нацеливалась на пользовательские веб-приложения. Их деятельность выявляет уязвимости, присущие как платформам с открытым исходным кодом, так и индивидуальным программным решениям в области веб-приложений. Хотя пользовательские веб-приложения могут предлагать индивидуальные функциональные возможности, которые могут улучшить бизнес-операции, в них часто обнаруживаются уникальные пробелы в безопасности, которыми могут воспользоваться злонамеренные акторы.

Эти атаки NGC4141 продемонстрировали глубокое понимание безопасности веб-приложений и потенциальных слабых мест, которые могут быть использованы. Группа использует различные методы, типичные для продвинутых киберугроз, которые могут включать внедрение SQL, межсайтовый скриптинг (XSS) и методы обхода аутентификации. Использование этих методов позволяет NGC4141 потенциально ставить под угрозу конфиденциальность, целостность и доступность целевых приложений.

Более того, деятельность группы вызывает обеспокоенность по поводу общего уровня безопасности организаций, использующих пользовательские веб-решения. Поскольку эти приложения часто разрабатываются без строгих мер безопасности, которые присущи популярным программным платформам, они могут непреднамеренно предоставить злоумышленникам больше возможностей для использования. Постоянная бдительность и активные меры безопасности необходимы организациям для защиты от таких целенаправленных кампаний.

По мере развития ландшафта киберугроз понимание тактики и методов, используемых такими группами, как NGC4141, имеет решающее значение для разработки эффективных контрмер и повышения безопасности веб-приложений. Организации должны оставаться осведомленными о конкретных уязвимостях, связанных с пользовательскими разработками, чтобы эффективно снижать риск будущих атак.

#ParsedReport #CompletenessLow
09-10-2025

Oracle E-Business Suite Zero-Day Exploited in Widespread Extortion Campaign

https://cloud.google.com/blog/topics/threat-intelligence/oracle-ebusiness-suite-zero-day-exploitation/

Report completeness: Low

Actors/Campaigns:
Fin11 (motivation: information_theft)
Scattered_lapsus_hunters
Shinyhunters
Unc6240

Threats:
Clop
Goldvein
Sagegift
Sageleaf
Sagewave_tool
Goldtomb

Victims:
Oracle e business suite users, Enterprises using managed file transfer systems

CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1078, T1190, T1555.003, T1566.002, T1656

IOCs:
Email: 2
File: 2
IP: 5

Soft:
GoAnywhere, MOVEit, LexiCom, Telegram, Linux, WebLogic

Algorithms:
aes, zip, base64, cbc

Languages:
java, python, powershell

YARA: Found

Links:
https://github.com/ReaJason/MemShellParty/blob/0c041ee1a97b1af1d677f2d2bc47f325d278da3e/generator/src/main/java/com/reajason/javaweb/memshell/injector/weblogic/WebLogicFilterInjector.java
have more...

#ParsedReport #ExtractedSchema

Classified images:
chats: 2, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Масштабная кампания по вымогательству, связанная с актором CL0P, началась 29 сентября 2025 года, используя уязвимость zero-day в Oracle E-Business Suite, с большим объемом электронных писем, отправленных руководителям со взломанных сторонних учетных записей. Эта кампания свидетельствует о тревожной тенденции использования уязвимостей zero-day в корпоративных приложениях для крупномасштабного вымогательства, когда злоумышленники могут извлекать данные из нескольких организаций, оставаясь незамеченными. Деятельность группы указывает на потенциальное расширение партнерских отношений или появление новых акторов, использующих аналогичные методы.
-----

Начиная с 29 сентября 2025 года, стала известна масштабная кампания вымогательства, связанная с актором CL0P, использующим уязвимость zero-day в Oracle E-Business Suite (EBS). Эта кампания началась с большого количества электронных писем, отправленных руководителям со взломанных сторонних аккаунтов, которые, вероятно, получали учетные данные из журналов вредоносного ПО от стиллера, доступных на подпольных форумах. В электронных письмах ложно заявлялось о нарушениях в Oracle EBS, утверждая о краже конфиденциальных документов. Ко 2 октября Oracle сообщила, что уязвимости, использованные в этих атаках, были устранены в критических исправлениях, выпущенных в июле 2025 года, что побудило их рекомендовать немедленные обновления для всех клиентов.

Сайт утечки данных CL0P, действующий с 2020 года, ранее был связан с группой FIN11, известной многогранной тактикой вымогательства, часто с использованием Ransomware. Однако недавние действия указывают на то, что использование уязвимостей zero-day в системах управляемой передачи файлов (MFT), таких как Accellion и GoAnywhere MFT, стояло за недавними инцидентами с вымогательством данных, что свидетельствует либо о расширении партнерских отношений группы, либо о появлении новых акторов, использующих аналогичные методы.

Эксплуатация серверов Oracle EBS, по-видимому, началась еще до кампании по вымогательству и продолжалась до июля 2025 года. Несмотря на использование бренда CL0P и методов коммуникации, которые перекликаются с операциями FIN11, GTIG официально не приписывала эту конкретную деятельность какой-либо известной хакерской группировке. В то время как оперативная тактика напоминает те, которые исторически были связаны с FIN11, что указывает на потенциально взаимосвязанное или дублирующее взаимодействие, имеющиеся данные свидетельствуют о вовлечении акторов, использующих персонализированные подходы.

Эта кампания подчеркивает тревожную тенденцию, при которой злоумышленники используют уязвимости zero-day в широко используемых корпоративных приложениях и впоследствии предпринимают крупномасштабные попытки вымогательства неделями позже. Эта тактика повышает эффективность кражи данных, позволяя злоумышленникам осуществлять фильтрацию из нескольких организаций, не прибегая к защитным мерам, поскольку они избегают обнаружения во время перемещения внутри компании. Воздействие усиливается, поскольку злоумышленники могут нацеливаться на множество жертв одновременно. Более того, организации, связанные с CL0P, весьма вероятно, считают эту тактику массового использования успешной, и, таким образом, ожидается, что они будут упорствовать в своих усилиях по обеспечению использования эксплойтов zero-day для других приложений в обозримом будущем.

#ParsedReport #CompletenessMedium
09-10-2025

175 Malicious npm Packages Host Phishing Infrastructure Targeting 135+ Organizations

https://socket.dev/blog/175-malicious-npm-packages-host-phishing-infrastructure

Report completeness: Medium

Threats:
Supply_chain_technique
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Industrial sector, Technology sector, Energy sector, Croatian industrial organization

Industry:
Energy, Chemical

Geo:
Asia-pacific, Italy, Dutch, Belgium, Germany, Netherlands, Mozambique

TTPs:
Tactics: 1
Technics: 6

IOCs:
Domain: 7
File: 20

Soft:
Office 365, Nginx

Algorithms:
base64

Functions:
npm_logged_in, generate_random_package_name

Languages:
python, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена угроза кибербезопасности, связанная со 175 вредоносными пакетами npm, используемыми в кампаниях фишинга против более чем 135 организаций, в основном в промышленном, технологическом и энергетическом секторах. Эти пакеты используют npm в качестве услуги хостинга, включая скрипты, которые перенаправляют пользователей на страницы фишинга, предварительно заполняя формы входа с их Адресами эл. почты для повышения доверия. Акторы эксплуатируют unpkg.com для хостинга и применили автоматизацию с помощью скриптов на Python, что указывает на стратегический, скоординированный подход к их фишинг-атакам.
-----

Возникла серьезная угроза кибербезопасности, связанная с 175 вредоносными пакетами npm, связанными с кампаниями фишинга, нацеленными на более чем 135 организаций в различных секторах, включая промышленность, технологии и энергетику. Эти пакеты, которые были загружены более чем 26 000 раз, не выполняют вредоносный код при установке, а скорее используют npm в качестве инфраструктуры бесплатного хостинга для совершения фишинг-атак. Злоумышленники используют законный сервис CDN, unpkg.com , размещать свои ресурсы для фишинга без затрат на сервер или SSL-сертификат.

Автоматизированные инструменты, в частности скрипты на Python, были созданы злоумышленниками для облегчения их работы с несколькими пакетами npm. Примечательно, что redirect_generator.py скрипты и исполняемые файлы, скомпилированные PyInstaller, используются для автоматического перенаправления на страницы фишинга. При выполнении эти скрипты манипулируют адресом электронной почты жертвы в URL-адресе в виде фрагмента, который остается невидимым веб-серверами во время стандартных HTTP-запросов. Этот метод позволяет страницам фишинга предварительно заполнять регистрационные формы электронной почтой жертвы, что повышает достоверность атаки.

Инфраструктура фишинга использует HTML-файлы, запрограммированные для загрузки JavaScript из unpkg.com . Этот JavaScript имеет решающее значение, поскольку он инициирует перенаправление на страницы фишинга с учетными данными при доступе через веб-браузер. Для поддержания своей деятельности злоумышленники используют семь различных доменных имен для фишинга, что указывает на хорошо скоординированную кампанию. Частое появление конкретных целей, таких как хорватская промышленная организация, представленная электронной почтой sraka@hust.отдел кадров в 19 различных пакетах указывает либо на целенаправленных лиц, либо на продолжающиеся, настойчивые усилия против этой организации.

Дальнейшие исследования показали, что некоторые пакеты содержали документацию, в частности файл под названием cdn_setup_guide.txt , описывающий, как создать независимую инфраструктуру хостинга с использованием Виртуально выделенных серверов (VPS) и Nginx. Это предполагает долгосрочное стратегическое планирование, позволяющее акторам уменьшить зависимость от unpkg.com CDN с течением времени. Используемая тактика согласуется с методикой MITRE ATT&CK T1195.002, подчеркивающей компрометацию Цепочки поставок программного обеспечения как значительный вектор угрозы. В целом, этот случай иллюстрирует инновационное злоупотребление надежными системами распространения программного обеспечения для облегчения атак фишинга, подчеркивая необходимость постоянной бдительности и надежных мер безопасности в средах разработки и развертывания программного обеспечения.

#ParsedReport #CompletenessHigh
09-10-2025

New Rust Malware "ChaosBot" Uses Discord for Command and Control

https://www.esentire.com/blog/new-rust-malware-chaosbot-uses-discord-for-command-and-control

Report completeness: High

Actors/Campaigns:
Chaos_00019

Threats:
Chaosbot
Lolbin_technique
Frpc_tool

Victims:
Financial services

Industry:
Financial

Geo:
Hong kong, Vietnam, Vietnamese, Chinese, Asia pacific

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1078, T1090.001, T1102, T1140, T1204.002, T1218.011

IOCs:
Path: 2
File: 10
Hash: 37
Command: 30
Url: 9
IP: 1

Soft:
Discord, Visual Studio Code, Active Directory, Microsoft Edge, VirtualBox

Algorithms:
xor, sha256

Languages:
rust, powershell

YARA: Found

Links:
https://github.com/eSentire/iocs/blob/main/ChaosBot/ChaosBot-IoCs-09-24-2025.txt
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 5, dump: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце сентября 2025 года вредоносное ПО на базе Rust "ChaosBot" было обнаружено в среде финансовых служб, использующей скомпрометированные учетные данные Cisco VPN и учетную запись Active Directory для доступа. ChaosBot взаимодействует через Discord для C2 и развертывается с помощью удаленных команд с использованием Инструментария управления Windows(WMI) или кампаний фишинга с использованием вредоносных файлов ярлыков Windows. Вредоносное ПО включает конфигурацию с необходимыми идентификаторами Discord и использует такие инструменты, как быстрый обратный прокси-сервер и потенциальное туннелирование кода Visual Studio для постоянного доступа.
-----

В конце сентября 2025 года исследователи выявили вредоносное ПО на базе Rust под названием "ChaosBot", работающее в среде финансовых услуг. Это вредоносное ПО использует законные службы Discord для своих операций командования и контроля (C2), что делает его особенно сложным для обнаружения. В атаке в основном использовались скомпрометированные учетные данные, связанные с Cisco VPN, и чрезмерно привилегированная учетная запись Active Directory с надписью "serviceaccount". Злоумышленники выполняли команды удаленно по сети с помощью Инструментария управления Windows(WMI), что облегчило развертывание ChaosBot.

Альтернативный метод первоначального доступа, о котором сообщил Сабольч Шмидт, включает кампании фишинга, использующие вредоносные файлы ярлыков Windows, которые служат векторами для установки вредоносного ПО. Архитектура ChaosBot примечательна тем, что написана на Rust и использует сетевые библиотеки, такие как reqwest или serenity, для взаимодействия с Discord API. Этот вариант вредоносного ПО включает в себя определенную конфигурацию, которая содержит важные идентификаторы, включая токен Discord bot, идентификатор сервера (guild) и идентификатор канала, которые он использует для оповещения злоумышленника о новых скомпрометированных устройствах.

Злоумышленники, стоящие за ChaosBot, также использовали дополнительные инструменты для расширения своих командных возможностей. Примечательно, что они скачали быстрый обратный прокси (FRP), сохранив его как node.exe в общедоступном пользовательском каталоге, а его конфигурация хранится в файле с именем node.ini. Кроме того, они попытались настроить туннель кода Visual Studio (отмеченный SHA256: f764ff0750aab9f2fc4cd9ec90c58f1fc85ac74330fc623104d42dfaaf825103) в качестве дополнительного бэкдора для постоянного доступа. В результате анализа более двенадцати образцов ChaosBot были выявлены две конкретные учетные записи пользователей Discord, связанные с операционной деятельностью вредоносного ПО.

Чтобы помочь в обнаружении и реагировании, были разработаны правила YARA для идентификации известных вариантов ChaosBot, а также связанного с ним дроппера PowerShell, используемого совместно с вредоносным ПО.

#ParsedReport #CompletenessMedium
10-10-2025

Astaroth: Banking Trojan Abusing GitHub for Resilience

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/astaroth-banking-trojan-abusing-github-for-resilience/

Report completeness: Medium

Threats:
Astaroth
Ngrok_tool
Steganography_technique

Victims:
Banking users, Cryptocurrency users

Industry:
Financial

Geo:
Ecuador, Chile, Panama, Portugal, Mexico, Uruguay, American, Venezuela, America, Bolivia, Brazil, Argentina, Peru, Colombia, Italy, Paraguay

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.003, T1027.009, T1041, T1055, T1056.001, T1059.007, T1071.004, T1090, have more...

IOCs:
File: 6
Url: 15
Hash: 9
Domain: 11

Soft:
chrome

Wallets:
metamask

Crypto:
binance

Algorithms:
zip

Languages:
delphi, autoit, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, code: 3, dump: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Astaroth - это сложный банковский троянец, нацеленный в первую очередь на Южную Америку и некоторые европейские страны с помощью фишинг-писем, в которых используется файл быстрого доступа Windows для установки вредоносного ПО. Он использует Регистрацию нажатий клавиш для сбора конфиденциальной информации с банковских сайтов и сайтов с криптовалютами и взаимодействует с обратным прокси-сервисом Ngrok. Вредоносное ПО разработано на Delphi, использует методы антианализа и обновляет свою тактику с помощью конфигураций, размещенных на GitHub, используя Стеганографию для скрытности и закрепления.
-----

Astaroth - это сложный банковский троян, идентифицированный как серьезная угроза, нацеленный в первую очередь на пользователей в Южной Америке и некоторых европейских странах. Вредоносное ПО получает первоначальный доступ с помощью фишинг-писем, содержащих ссылку на сжатый файл ярлыка Windows (.lnk). После выполнения этот файл устанавливает вредоносное ПО Astaroth. Одной из его примечательных особенностей является его способность определять, когда пользователи посещают банковские сайты или веб-сайты с криптовалютами, используя методы Регистрации нажатием клавиш для сбора конфиденциальных учетных данных. Затем украденные данные передаются злоумышленникам через службу обратного прокси-сервера Ngrok.

Astaroth отличается тем, что использует GitHub в качестве хостинга для своих конфигурационных файлов. Эта стратегия позволяет вредоносному ПО обновлять свою тактику работы, обходя традиционные зависимости сервера командования и контроля (C2). Встраивая соответствующую информацию в изображения с помощью Стеганографии в репозиториях GitHub, Astaroth остается устойчивым к попыткам удаления. Даже когда о вредоносных репозиториях сообщается и они удаляются, вредоносное ПО может продолжать функционировать благодаря своей способности извлекать сведения о конфигурации из альтернативных источников на GitHub.

Вредоносное ПО создано на Delphi и включает в себя различные методы антианализа, предназначенные для предотвращения обнаружения и анализа, включая самоуничтожение при обнаружении среды отладки. Механизм закрепления инфекции использует ярлык, размещенный в папке автозагрузки системы, который запускает сценарий автозагрузки для повторного запуска вредоносного ПО во время загрузки системы.

Связь с его инфраструктурой C2 осуществляется с помощью пользовательских двоичных протоколов, что еще больше усложняет меры обнаружения. Данные конфигурации зашифрованы и хранятся в файле с именем dump.log, что указывает на высокий уровень изощренности вредоносного ПО в защите своих рабочих параметров.

Оперативные детали, связанные с Astaroth, включают в себя нацеливание на многочисленные страны Южной Америки, такие как Бразилия, Аргентина и Колумбия, а также на части Европы, включая Португалию и Италию. Обнаружение McAfee этой кампании привело к их сотрудничеству с GitHub для окончательного удаления вредоносных репозиториев, что временно нарушило работу Astaroth's, но указывает на продолжающуюся борьбу с такими скрытыми киберугрозами. Широкое использование вредоносным ПО законных платформ, таких как GitHub, подчеркивает эволюционирующую тактику, используемую киберпреступниками для поддержания закрепления и уклонения от обнаружения во все более защищенной цифровой экосистеме.

#ParsedReport #CompletenessLow
06-10-2025

CrowdStrike Identifies Campaign Targeting Oracle E-Business Suite via Zero-Day Vulnerability (now tracked as CVE-2025-61882)

https://www.crowdstrike.com/en-us/blog/crowdstrike-identifies-campaign-targeting-oracle-e-business-suite-zero-day-CVE-2025-61882/

Report completeness: Low

Actors/Campaigns:
Ta505
0ktapus
Lapsus
Shinyhunters

Threats:
Clop

Victims:
Oracle e business suite users

CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1190, T1505.003

IOCs:
Hash: 1
Email: 2

Soft:
Telegram

Algorithms:
sha256

Languages:
java

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена активная кампания по эксплуатации, нацеленная на приложения Oracle E-Business Suite (EBS) с помощью уязвимости zero-day (CVE-2025-61882), которая позволяет выполнять удаленный код без проверки подлинности. Группа GRACEFUL SPIDER взяла на себя ответственность за утечку данных с участием Oracle EBS, используя запросы GET и POST для загрузки вредоносного шаблона XSLT, который выполняет команды и развертывает Веб-шеллы. Определенные файлы Java, включая FileUtils.java и Log4jConfigQpgsubFilter.java , были идентифицированы как компоненты вредоносной полезной нагрузки.
-----

CrowdStrike выявила активную кампанию по эксплуатации приложений Oracle E-Business Suite (EBS), использующую недавно обнаруженную уязвимость zero-day, которая теперь обозначена как CVE-2025-61882. Эта уязвимость обеспечивает удаленное выполнение кода без проверки подлинности (RCE), позволяя злоумышленникам выполнять произвольный код без необходимости аутентификации.

29 сентября 2025 года хакерская группировка, известная как GRACEFUL SPIDER, взяла на себя ответственность за утечку данных, связанную с приложениями Oracle EBS, утверждая, что они получили доступ к данным и отфильтровали их. Вскоре после этого, 4 октября 2025 года, Oracle обнародовала информацию о CVE-2025-61882. Хотя в рекомендациях Oracle не указывалось на прямое использование в дикой природе, в них содержались индикаторы компрометации (IOCs), такие как подозрительные IP-адреса и поведение файлов, что позволяет предположить, что уязвимость действительно была использована.

Механизм использования включает в себя таргетинг на менеджер шаблонов Oracle XML Publisher. Злоумышленники отправляют запросы GET и POST, направленные на определенные URL-адреса в среде EBS, в частности /OA_HTML/RF.jsp и /OA_HTML/OA.jsp. Эти запросы используются для загрузки вредоносного шаблона XSLT, который при предварительном просмотре выполняет встроенные в него команды. Этот метод позволяет развернуть Веб-шелл с определенными идентифицированными файлами Java, включая FileUtils.java в качестве загрузчика и Log4jConfigQpgsubFilter.java функционирующий как Backdoor.

Аналитики разведывательной службы CrowdStrike выражают высокую степень уверенности в том, что один или несколько злоумышленников используют эту уязвимость zero-day в рамках скоординированной кампании по эксплуатации. Они подчеркивают срочность мониторинга этих действий, о чем свидетельствует предоставление шаблона правил обнаружения для клиентов Falcon следующего поколения SIEM, который фокусируется на выявлении подозрительного поведения процессов Java, указывающего на попытки эксплуатации, нацеленные на Oracle EBS.