#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет-кампания RondoDox нацелена на более чем 50 уязвимостей на различных устройствах, используя эксплойты, такие как CVE-2023-1389, которые влияют на маршрутизаторы TP-Link. Эта операция, известная использованием ошибок ввода команд, эволюционировала, включив методы многовекторного заряжания и использования дробовика, что отражает передовую стратегию использования как публично раскрытых уязвимостей, так и тех, которые представлены в таких соревнованиях, как Pwn2Own. Активная эксплуатация наблюдается во всем мире с середины 2025 года, что создает значительные риски, такие как эксфильтрация данных и постоянные компрометации сети.
-----

Кампания RondoDox ботнет, выявленная Trend Research и ZDI Threat Hunters, представляет собой крупномасштабную операцию, направленную на устранение более 50 уязвимостей от более чем 30 поставщиков, включая несколько уязвимостей, впервые представленных на мероприятиях Pwn2Own. Эта кампания создает значительные риски для организаций, подвергая их потенциальной эксфильтрации данных, постоянным сетевым сбоям и сбоям в работе. Организациям, имеющим Сетевые устройства, подключенные к Интернету, следует быть особенно осторожными, поскольку активная эксплуатация была зафиксирована во всем мире с середины 2025 года. Некоторые из затронутых уязвимостей теперь перечислены в каталоге известных эксплуатируемых уязвимостей (KEV) CISA, что подчеркивает настоятельную необходимость для организаций определить приоритеты исправления.

Первоначальная попытка вторжения, приписываемая RondoDox, была отмечена 15 июня 2025 года с использованием уязвимости, отслеживаемой как CVE-2023-1389, которая нацелена на интерфейс WAN Wi-Fi маршрутизатора Archer AX21 от TP-Link. Этот инцидент подчеркивает нацеленность кампании на использование уязвимостей, выявленных в ходе конкурсов по безопасности, что отражает ее оперативные цели.

RondoDox появился как скрытый ботнет в середине 2025 года, воспользовавшись ошибками ввода команд в различных устройствах, включая маршрутизаторы, видеорегистраторы, NVR-системы и системы видеонаблюдения. Его нацеливание на эти устройства позволяет злоумышленникам получить доступ к оболочке, облегчая развертывание полезных нагрузок с несколькими архитектурами. Первоначальный анализ показал, что такие уязвимости, как CVE-2024-3721 и CVE-2024-12856, были ключевыми точками использования на ранних этапах кампании.

Кампания эволюционировала, теперь в ней используется расширенный арсенал эксплойтов, который включает в себя множество новых CVE и использование методов использования дробовика. Этот сдвиг означает переход от ориентации на отдельные устройства к выполнению более сложной многовекторной операции загрузки. Непрерывная эволюция тактики эксплуатации демонстрирует, как злоумышленники становятся все более искусными в использовании как публично раскрытых уязвимостей, так и тех, которые были обнаружены в ходе соревнований по безопасности, таких как Pwn2Own.

В свете этих изменений организациям рекомендуется внедрять проактивные стратегии управления уязвимостями, которые включают регулярные оценки, исправление известных уязвимостей — особенно тех, которые указаны в каталоге KEV, — и усиление мониторинга Сетевых устройств для обнаружения аномальных действий.

#ParsedReport #CompletenessLow
14-10-2025

Weaponized Trust: Microsofts Logo as a Gateway to Tech Support Scams

https://cofense.com/blog/weaponized-trust-microsoft-s-logo-as-a-gateway-to-tech-support-scams

Report completeness: Low

Victims:
Technology users

Geo:
Syria

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1566

IOCs:
Url: 10
IP: 12

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сообщалось о кампании фишинга с использованием бренда Microsoft, использующей тактику социальной инженерии, чтобы обмануть пользователей, заставив их поверить, что им требуется техническая помощь. Атака использует поддельные системные оповещения и вводящие в заблуждение наложения пользовательского интерфейса для повышения доверия и маскировки мошенничества, эффективно заставляя жертв участвовать в мошеннических сообщениях. Такой подход подчеркивает использование доверия, связанного с известными брендами, что создает риски финансовых потерь и дальнейшей эксплуатации системы.
-----

Центр защиты от фишинга Cofense сообщил о кампании, использующей бренд Microsoft для мошенничества с технической поддержкой. В этой операции используется ряд тактик социальной инженерии, направленных на то, чтобы заставить пользователей поверить, что они нуждаются в технической помощи. Он использует поддельные системные оповещения, имитирующие законные уведомления, что повышает доверие к нему.

Кроме того, в атаке используются обманчивые наложения пользовательского интерфейса (UI), что затрудняет жертвам распознать мошеннический характер сообщения. Этот метод эффективно маскирует мошенничество, побуждая пользователей обращаться к тому, что они считают подлинной поддержкой. Изощренное использование таких элементов пользовательского интерфейса предполагает преднамеренные усилия злоумышленников использовать доверие, связанное с таким известным брендом, как Microsoft, что в конечном итоге приводит к потенциальным финансовым потерям или дальнейшей эксплуатации систем жертв.

Поскольку организации продолжают бороться с подобными видами мошенничества, значительная зависимость от известных торговых марок подчеркивает сохраняющуюся проблему выявления развивающихся стратегий фишинга и реагирования на них. Пересечение брендинга и технологий в этих схемах иллюстрирует необходимость постоянной бдительности и осведомленности о такой тактике социальной инженерии в области кибербезопасности.

#ParsedReport #CompletenessHigh
14-10-2025

FileFix in the wild! New FileFix campaign goes beyond POC and leverages steganography

https://www.acronis.com/en/tru/posts/filefix-in-the-wild-new-filefix-campaign-goes-beyond-poc-and-leverages-steganography/

Report completeness: High

Threats:
Filefix_technique
Steganography_technique
Clickfix_technique
Stealc
Promptfix_technique

Victims:
Facebook users

Industry:
Education, Entertainment

Geo:
Nepal, Philippines, Germany, Spanish, Bangladesh, China, Polish, French, Chinese, Russian, Dominican republic, Tunisia, Serbia, Japanese, German, Peru

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1055, T1059.001, T1105, T1140, T1204.002, T1497, T1566.002, T1583.001, have more...

IOCs:
File: 2
Domain: 7
IP: 1
Hash: 9
Url: 4

Soft:
Chrome, FireFox, Maxthon, Electrum-LTC, Ledger Live, Telegram, Discord, Pidgin, OLLVM

Wallets:
daedalus, mainnet, wassabi, electrum, electron_cash, multidoge, jaxx, atomicwallet, coinomi, guarda_wallet, have more...

Crypto:
bitcoin, dogecoin, ethereum, binance

Algorithms:
base64, xor, gzip, rc4

Functions:
getNtAllocateVirtualMemory, getEnumDisplayDevicesA

Win API:
decompress, EnumDisplayDevicesA, NtAllocateVirtualMemory

Languages:
powershell, javascript

Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-05-16-IOCs-on-recent-ClickFix-activity.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была определена усовершенствованная кампания по FileFix, развивающаяся на основе оригинальной концепции, разработанной мистером d0x. Эта кампания начинается с фишинга электронных писем, маскирующихся под систему безопасности Facebook, что приводит жертв на сайт фишинга, использующий запутанный JavaScript для доставки полезной нагрузки, который включает команду PowerShell, извлекающую вредоносный контент из файла изображения. Окончательный исполняемый файл, обфускированный загрузчик на базе Go, развертывает вредоносное ПО StealC для кражи информации и демонстрирует глобальный подход к таргетингу, что указывает на адаптивный и сложный ландшафт киберугроз.
-----

Недавнее исследование, проведенное подразделением Acronis по исследованию угроз, выявило передовой пример кампании по FileFix, который свидетельствует о значительном отклонении от первоначальной концепции proof of concept (POC), разработанной мистером d0x. Эта кампания связана с более широким спектром атак *Fix, который также включает варианты ClickFix и PromptFix. Злоумышленники инициируют атаку с помощью сложного электронного письма с фишингом, выдавая себя за службу безопасности Facebook и направляя жертв на хорошо продуманный сайт для фишинга.

На сайте фишинга используются сложные методы, в том числе запутанный JavaScript, предназначенный для повышения эффективности атаки. Доставка полезной нагрузки особенно сложна, поскольку представляет собой команду PowerShell, которая частично запутана и фрагментирована в Base64. Этот подход превосходит типичные методы, наблюдаемые при аналогичных атаках, которые обычно включают более четкие инструкции по полезной нагрузке.

При взаимодействии с сайтом фишинга жертвы непреднамеренно запускают последовательность вредоносных действий. Первоначально пользователи вводят команду в панель загрузки файла, ожидая "Отчета об инциденте", который якобы объясняет процесс обжалования закрытия их аккаунта в Facebook. На самом деле это действие облегчает злоумышленнику извлечение вредоносной полезной нагрузки, скрытой в файле изображения. Сценарий второго этапа, созданный на основе образа, использует расшифровку RC4 и сжатие gzip для извлечения исполняемых полезных файлов, которые зашифрованы внутри образа, таким образом избегая обнаружения.

Конечная полезная нагрузка - это запутанный загрузчик, написанный на Go, который выполняет проверки виртуальной машины и расшифровывает шелл-код для выполнения. Этот шелл-код впоследствии распаковывает StealC, вредоносное ПО для кражи информации, которое также может функционировать как загрузчик. Структура кампании значительно изменилась за короткий период, перейдя от одноэтапного сценария к двухэтапному методу и намекая на дальнейшие модификации, включая потенциальное удаление дополнительных исполняемых файлов.

Более того, обзор заявок VirusTotal показывает, что кампания не ограничивается конкретным географическим регионом, с зарегистрированными заявками из нескольких стран, что предполагает глобальный подход к таргетингу. Поскольку метод FileFix превращается из POC в функциональную кампанию примерно за два месяца, он подчеркивает растущую сложность и адаптивность атак в условиях киберугроз. Использование Стеганографии остается важнейшим элементом этой развивающейся стратегии атаки, вызывая опасения по поводу ее потенциальных будущих повторений и воздействия.

#ParsedReport #CompletenessMedium
14-10-2025

Kaiji Malware: Anatomy, Persistence and Detection

https://www.aquasec.com/blog/kaiji-malware-anatomy-persistence-detection/

Report completeness: Medium

Threats:
Kaiji
Sshscan_tool
Billgates
Mirai

Victims:
Organizations with exposed ssh, Infrastructure targeted for ddos

Industry:
Software_development, Iot

CVEs:
CVE-2024-6387 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 4
Technics: 0

IOCs:
IP: 3
Hash: 12
File: 1

Soft:
SELinux, linux

Algorithms:
md5

Platforms:
amd64, mips

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Kaiji - это сложная угроза, использующая слабые учетные данные SSH, проявляющаяся в виде двоичного файла Go объемом 5,32 МБ, который поддерживает многопротокольные сетевые атаки по более чем 24 векторам, включая TCP, UDP и WebSocket. Он поддерживает закрепление, дублируя файлы в различных местах и создавая задания cron и сценарии инициализации для выполнения при запуске, используя методы, подобные руткитам, чтобы избежать обнаружения. Kaiji может выполнять крупномасштабные DDoS-атаки, прокси-сервер вредоносного трафика и обмениваться данными со своим сервером C2, привязанным к домену su6s.su и IP-адрес 198.251.81.61.
-----

Вредоносное ПО Kaiji - это сложная киберугроза, выявленная с помощью использования honeypot, использующего слабые учетные данные SSH. Вредоносное ПО, большой двоичный файл Go объемом 5,32 МБ, предназначенный для мультипротокольных сетевых атак, было идентифицировано с помощью хэша MD5 fd05b94c016fd2eb7e26c406fa2266d0. Он использует более 24 различных векторов атак, включая TCP, UDP и WebSocket, и имеет встроенный SOCKS5 и HTTP-прокси для связи со своим сервером управления (C2) через HTTP/HTTPS.

Kaiji использует несколько методов закрепления, чтобы поддерживать свое присутствие в скомпрометированных системах. Он дублирует себя в различных местах, включая /boot/system.pub и /usr/lib/libgdi.so.0.8.2, и создает задание cron для обеспечения его периодического запуска. Кроме того, он помещает скрипт в /etc/profile.d/bash.cfg, который выполняется при запуске оболочки, вместе со скриптом инициализации SysV в /etc/init.d/x11-common, который гарантирует его выполнение при запуске системы. Эти методы позволяют Kaiji уклоняться от обнаружения, одновременно закрепляясь в уязвимых системах.

Чтобы еще больше скрыть свою деятельность, Kaiji использует передовые методы запутывания. Он использует метод привязки монтирования, чтобы скрыть детали своего процесса, заменяя эти записи в файловой системе /proc доброкачественными данными. Эта манипулятивная тактика согласуется с поведением руткитов, разработанным для того, чтобы избежать обнаружения стандартными инструментами мониторинга. Кроме того, Kaiji изменяет выходные данные пользовательских команд, используя скрипт Bash, который отфильтровывает результаты критически важных системных команд, подавляя информацию о своем присутствии и активности.

Вредоносное ПО способно выполнять крупномасштабные DDoS-атаки на доступные сети и может прокси-серверировать вредоносный трафик, демонстрируя свой потенциал значительного разрушительного воздействия. Сервер C2, используемый при атаках, привязан к определенному домену, su6s.su , который был зарегистрирован в 2025 году, но не имеет прямого разрешения IP-адресов. Однако его поддомен указывает на IP-адрес 198.251.81.61.

Обнаружение Kaiji имеет решающее значение для смягчения его угроз, и организации могут повысить уровень своей безопасности от него, внедрив средства защиты во время выполнения для отслеживания аномального поведения, указывающего на его работу. Это включает в себя отслеживание несанкционированных действий прокси-сервера и необычных сетевых привязок, которые могут сигнализировать о присутствии этого вредоносного ПО в их среде.

#ParsedReport #CompletenessHigh
14-10-2025

LinkPro: eBPF rootkit analysis

https://www.synacktiv.com/en/publications/linkpro-ebpf-rootkit-analysis.html

Report completeness: High

Actors/Campaigns:
Unc5174

Threats:
Linkpro
Bpfdoor
Symbiote
J-magic
Ebpfexploit_tool
Mitm_technique
Vshell
Dns_tunneling_technique
Snowlight
Dynamic_linker_hijacking_technique
Timestomp_technique
Resocks_tool

Victims:
Cloud infrastructure, Aws eks environments, Jenkins servers, Gnu linux systems

CVEs:
CVE-2024-23897 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 7
Technics: 13

IOCs:
Url: 1
IP: 2
Hash: 8
File: 4

Soft:
Linux, Jenkins, docker, systemd, nginx, Ubuntu, Unix, Twitter

Algorithms:
base64, xor, sha256, aes-256-gcm

Functions:
LinkPro, direct, bpf_ktime_get_ns, get_in_port

Languages:
rust, golang

YARA: Found

Links:
https://github.com/synacktiv/synacktiv-rules/
https://github.com/link-pro
have more...

#ParsedReport #ExtractedSchema

Classified images:
dump: 1, code: 7, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Руткит LinkPro, обнаруженный в системах, размещенных на AWS, использует модули eBPF для скрытности и контроля после взлома сервера Jenkins, привязанного к CVE-2024-23897. Написанный на Golang, он маскирует свои операции, используя специальный "волшебный пакет" для связи C2, используя методы Перехвата динамического компоновщика и закрепления, такие как перемонтирование корневого раздела и установка Служб systemd. Это сложное вредоносное ПО может выполнять команды, создавать прокси-сервер SOCKS5 и использует продвинутую тактику уклонения, согласованную с платформой MITRE ATT&CK, подчеркивая необходимость надежного обнаружения в облачных средах.
-----

Руткит LinkPro, обнаруженный в инфраструктуре, размещенной на AWS, использует передовые технологии, включая модули eBPF (extended Berkeley Packet Filter) для скрытности и контроля над скомпрометированными системами GNU/Linux. Первоначальное нарушение было обнаружено на уязвимом сервере Jenkins, идентифицированном в соответствии с CVE-2024-23897, что предоставило злоумышленнику доступ к конвейеру интеграции и развертывания в Amazon Elastic Kubernetes Service (EKS).

Разработанный в Golang, LinkPro предназначен для сокрытия своего присутствия и связи с сервером управления (C2) при получении определенного "волшебного пакета" — TCP SYN-пакета с размером окна 54321. Этот руткит работает в двух режимах: пассивном, где он ожидает команд, и активном, где он напрямую взаимодействует с C2. В нем используются модули eBPF, которые становятся активными только при определенных условиях, что усложняет его возможности обнаружения и реагирования.

Механизм закрепления руткита включает в себя манипулирование системой путем перемонтирования корневого раздела с правами на чтение/запись, копирования его исполняемого файла в скрытый каталог и создания Службы systemd, которая выполняет вредоносный код при запуске. Он использует Перехват динамического компоновщика для дальнейшей маскировки своего присутствия, используя "/etc/ld.so.preload", чтобы скрыть свою общую библиотеку.

LinkPro использует специализированные программы eBPF для сокрытия своих артефактов. Модуль "Скрыть" eBPF подключается к точкам трассировки системных вызовов, изменяя поведение getdents и getdents64, чтобы предотвратить видимость файлов, связанных с руткитом, а также вводя перехватчики для sys_bpf, чтобы скрыть свои программы eBPF от инструментов мониторинга. Модуль "Knock" инициализирует связь, если выполняются условия "волшебного пакета", предоставляя злоумышленнику узкое окно для взаимодействия со взломанной системой.

Что касается возможностей, LinkPro может создавать полноценную интерактивную оболочку, выполнять произвольные команды, управлять файлами и устанавливать прокси-туннель SOCKS5 с помощью своей функции reverse_connect. Использование HTTP и DNS tunneling для связи C2 добавляет уровни запутывания, в то время как эксфильтрация данных осуществляется через блоки, закодированные в Base64, по установленному соединению.

Поведение LinkPro согласуется с различными тактиками в рамках платформы MITRE ATT&CK, включая создание Служб systemd для закрепления, использование функций руткита для уклонения от обнаружения и использование методов Изучения файлов и каталогов для изучения файловой системы жертвы. Этот анализ подчеркивает растущую сложность бэкдорных угроз, использующих функции уровня ядра в современных операционных системах, и подчеркивает острую необходимость в усовершенствованных стратегиях обнаружения и реагирования в облачных средах.

#technique #llm

Pattern Enhanced Multi-Turn Jailbreaking: Exploiting Structural Vulnerabilities in Large Language Models

https://arxiv.org/html/2510.08859v1

#ParsedReport #CompletenessHigh
15-10-2025

Mysterious Elephant: a growing threat

https://securelist.com/mysterious-elephant-apt-ttps-and-tools/117596/

Report completeness: High

Actors/Campaigns:
Mysterious_elephant (motivation: information_theft)
Apt59
Donot
Sidewinder

Threats:
Babshell
Memloader_tool
Vtyrei
Spear-phishing_technique
Remcos_rat
Vxrat
Chromestealer_exfiltrator

Victims:
Government entities, Diplomatic institutions, Foreign affairs sector

Industry:
Government

Geo:
Bangladesh, Asia, Apac, Asia-pacific, Sri lanka, Nepal, Afghanistan, Pakistan

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1020, T1027, T1041, T1059.001, T1071.001, T1082, T1105, T1203, T1204, T1218.011, have more...

IOCs:
File: 9
Hash: 16
Url: 6
Domain: 4
IP: 3

Soft:
WhatsApp, curl, Google Chrome, Chrome

Algorithms:
md5, xor, rc4, zip, base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mysterious Elephant - это APT группировка, нацеленная на государственные структуры в Азиатско-Тихоокеанском регионе, использующая адаптивные тактики, такие как WhatsApp, для эксфильтрации данных. Их инструментарий включает в себя обратную оболочку BabShell для установления постоянных подключений и использования пользовательских инструментов с открытым исходным кодом для целевых кампаний фишинга, особенно ориентированных на организации из Южной Азии. Группа использует сложные методы, такие как рекурсивный обход каталогов и методы DNS с подстановочными знаками, для усиления уклонения и поддержания оперативной секретности.
-----

Mysterious Elephant - это APT группировка, идентифицированная Kaspersky GReAT в 2023 году, известная тем, что она нацелена на государственные структуры и внешнеполитические ведомства в Азиатско-Тихоокеанском регионе. Эта группа продемонстрировала значительную способность адаптировать и развивать свои тактики, методы и процедуры (TTP), в частности, используя сообщения WhatsApp для извлечения конфиденциальных данных, таких как документы и изображения.

Первоначальные оценки классифицировали Mysterious Elephant наряду с злоумышленником Confucius, но дальнейшие исследования выявили сложную связь с несколькими группами сложных целенаправленных угроз, включая Origami Elephant и SideWinder. Их вредоносное ПО демонстрирует заимствованный у этих групп код, который Mysterious Elephant продолжает разрабатывать и перепрофилировать, создавая обновленные версии существующих инструментов. Одной из их ранних тактик было использование CVE-2017-11882 с использованием загрузчика под названием "Vtyrei", который ранее был связан с Origami Elephant.

Последняя кампания группы, раскрытая в начале 2025 года, знаменует собой стратегический сдвиг, включающий методы spear phishing, адаптированные к конкретным жертвам, особенно нацеленные на организации в Южной Азии, такие как Пакистан. Эти электронные письма с фишингом предназначены для имитации законной переписки и тесно связаны с дипломатической тематикой. Вместо использования известного вредоносного ПО Mysterious Elephant использует комбинацию пользовательских инструментов и инструментов с открытым исходным кодом, демонстрируя сложный подход к доступу к целям.

Одним из важных компонентов в их арсенале является BabShell, инструмент обратной оболочки, разработанный на C++, который помогает устанавливать постоянное подключение к скомпрометированным системам. После выполнения BabShell собирает системную информацию и может выполнять команды или развертывать дополнительные полезные нагрузки. Группа также использует скрипты PowerShell для облегчения выполнения команд и поддержания закрепления в скомпрометированных сетях. Их стратегии эксфильтрации включают специализированные инструменты, направленные на кражу данных из WhatsApp, используя такие методы, как рекурсивный обход каталогов и методы кодирования, чтобы избежать обнаружения при загрузке украденной информации на их серверы командования и контроля (C2).

Инфраструктура Mysterious Elephant использует сеть развивающихся доменов и IP-адресов, используя такие методы, как DNS-записи с подстановочными знаками, для создания уникальных доменов, что усложняет отслеживание. Они в значительной степени полагаются на Виртуальные выделенные серверы (VPS) и Облачные сервисы, позволяющие осуществлять масштабируемые операции и обходные маневры. Их атаки в основном нацелены на правительственный сектор и сектор иностранных дел преимущественно в Пакистане, Бангладеш и Шри-Ланке, используя специально разработанную полезную нагрузку для целенаправленного проникновения.

#ParsedReport #CompletenessHigh
15-10-2025

StealthServer: A Dual-Platform Backdoor from a South Asian APT Group

https://blog.xlab.qianxin.com/apt-stealthserver-en/

Report completeness: High

Actors/Campaigns:
Transparenttribe

Threats:
Stealthserver
Junk_code_technique
Antidebugging_technique

Victims:
Government sector, Defense sector, South asian region

Industry:
Military, Government

Geo:
Bulgaria, Switzerland, Israeli, Netherlands, Asian, France

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.005, T1071.001, T1105, T1204.002, T1497.001, T1566.001

IOCs:
Domain: 13
IP: 3
Hash: 12
File: 9
Url: 7
Command: 3
Registry: 1

Soft:
Linux, Firefox, curl, crontab, systemd, VirtualBox, QEMU, Hyper-V, Node.js, Windows Defender, have more...

Algorithms:
aes-gcm, exhibit, xor, base64, sha256, aes

Win API:
IsDebuggerPresent

Languages:
powershell, golang

#ParsedReport #GeneratedSchema
Generated with GPT-4