#ParsedReport #CompletenessLow
14-10-2025

Search, Click, Steal: The Hidden Threat of Spoofed Ivanti VPN Client Sites

https://www.zscaler.com/blogs/security-research/spoofed-ivanti-vpn-client-sites

Report completeness: Low

Threats:
Seo_poisoning_technique
Credential_stealing_technique
Akira_ransomware
Hawkeye_keylogger

Victims:
Ivanti pulse secure users

ChatGPT TTPs:
do not use without manual check
T1005, T1036.005, T1041, T1071.001, T1078, T1552.001, T1566.002, T1574.001, T1583.001, T1583.006, have more...

IOCs:
File: 4
Domain: 4
Url: 2
Hash: 2
Path: 1
IP: 2

Soft:
Ivanti

Algorithms:
md5, xor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ указывает на всплеск поисковой системы SEO poisoning, нацеленной на пользователей, которые ищут программное обеспечение Ivanti Pulse Secure VPN, перенаправляя их на поддельные сайты, на которых размещен троянский установщик. Этот вредоносный установщик включает в себя библиотеку DLL, credential-stealing, и нацелен на файл connectionstore.dat для эксфильтрации данных, отправляя конфиденциальную информацию на сервер управления в Microsoft Azure. Эта тактика позволяет злоумышленникам получать учетные данные VPN, облегчая дальнейший доступ и перемещение внутри компании в корпоративных сетях, что связано с прошлыми атаками программ-вымогателей, такими как вариант Akira.
-----

Недавний анализ, проведенный командой Zscaler по поиску угроз, выявил рост вредоносных действий, связанных с Отравлением поисковой оптимизации (SEO), специально предназначенных для пользователей, которые ищут законное программное обеспечение Ivanti Pulse Secure VPN client. Злоумышленники перенаправляют этих пользователей на поддельные сайты, на которых размещена троянская версия VPN-клиента, в основном размещенная на доменах-двойниках, предназначенных для того, чтобы казаться заслуживающими доверия. Целью этой кампании является несанкционированное получение учетных данных VPN, что может способствовать дальнейшим нарушениям в корпоративных сетях.

Троянский установщик, который маскируется под законный MSI-файл, содержит credential-stealing библиотеку динамических ссылок (DLL). После выполнения он удаляет несколько файлов, включая вредоносные компоненты, такие как dwmapi.dll и pulse_extension.dll . Основной целью эксфильтрации данных является файл connectionstore.dat, который содержит сохраненные сведения о подключении, включая URI VPN-сервера. Эта информация дополняется жестко закодированными учетными данными и передается на сервер управления, расположенный в инфраструктуре Microsoft Azure.

Исторически сложилось так, что извлечение учетных данных VPN имело решающее значение для злоумышленников, обеспечивая первоначальный доступ, который позволяет осуществлять обширные перемещения внутри компании и дальнейшую разведку в скомпрометированных сетях. Эта тактика была связана с предыдущими атаками, которые привели к внедрению программ-вымогателей, в частности варианта Akira. Эта постоянная угроза подчеркивает постоянный риск, который представляют злонамеренные акторы, используя слабые места в законных каналах распространения программного обеспечения.

Чтобы снизить риски, специалистам по безопасности рекомендуется изолировать потенциально зараженные компьютеры от сети и быстро устранять любые заражения, обеспечивая полное удаление вредоносных артефактов. Внедрение Многофакторной аутентификации (MFA) для всего удаленного доступа может значительно снизить риск, связанный с кражей учетных данных. Кроме того, организациям следует тщательно проверять свои журналы на наличие признаков вредоносной активности, таких как исходящие подключения к определенным IP-адресам, связанным с эксплойтом, и применять дополнительные меры наблюдения за вновь зарегистрированными доменами.

Крайне важно информировать конечных пользователей об опасностях использования программного обеспечения из непроверенных источников, равно как и культивировать осторожный подход к результатам поиска - даже для программного обеспечения с хорошей репутацией. Кроме того, угроза Отравления поисковой оптимизации (SEO) подчеркивает важность упреждающего поиска угроз для эффективного обнаружения возникающих угроз и реагирования на них. Эта недавняя кампания является примером того, как тактика обмана может обойти традиционную защиту периметра, подчеркивая необходимость постоянной бдительности и адаптивных методов обеспечения кибербезопасности.

#ParsedReport #CompletenessLow
15-10-2025

Anatomy of an Attack: The "BlackSuit Blitz" at a Global Equipment Manufacturer

https://unit42.paloaltonetworks.com/anatomy-of-an-attack-blacksuit-ransomware-blitz/

Report completeness: Low

Actors/Campaigns:
Blacksuit

Threats:
Blacksuit_ransomware
Blitz_tool
Dcsync_technique
Smbexec_tool
Anydesk_tool
Rclone_tool
Petitpotam_vuln

Victims:
Global equipment manufacturer, Manufacturing

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1566.002, T1598.003

IOCs:
File: 1

Soft:
ESXi

Languages:
swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака программы-вымогателя "BlackSuit Blitz", осуществленная группой Ignoble Scorpius, иллюстрирует сложный подход, который начался с голосового фишинга для получения законных учетных данных VPN. Этот метод позволил злоумышленникам проникнуть в системы компании, продемонстрировав значительный риск, связанный с одиночными скомпрометированными учетными данными, и эволюционирующую природу программ-вымогателей, таких как BlackSuit. Инцидент подчеркивает необходимость совершенствования методов разведки противниками, чтобы закрепиться внутри организаций.
-----

Атака "BlackSuit Blitz" на мирового производителя оборудования является примером изощренного вымогательства, инициированного с помощью тактики социальной инженерии. Злоумышленники, идентифицированные как члены группы Ignoble Scorpius, начали свою операцию с голосового фишинга (vishing), где они выдавали себя за службу технической поддержки компании. Этот обман позволил им обманом заставить сотрудника ввести законные учетные данные VPN на мошенническом сайте, облегчив первоначальный доступ к системам компании.

Атака подчеркивает опасность, исходящую от отдельных скомпрометированных учетных данных, которые могут привести к обширным нарушениям безопасности, если им эффективно не противодействовать. Использование BlackSuit ransomware указывает на растущую изощренность угроз, связанных с вымогательством, когда противники используют методы разведки, чтобы закрепиться внутри организации.

Для устранения таких уязвимостей рекомендуется принять несколько защитных мер. Организациям следует заменить устаревшие брандмауэры Cisco ASA на брандмауэры нового поколения и внедрить стратегии сегментации сети. Административный доступ к критически важным системам, таким как контроллеры домена и хосты ESXi, должен быть ограничен выделенными сетями управления VLAN, чтобы предотвратить несанкционированный доступ.

Кроме того, протоколы управления идентификацией и доступом должны быть усилены путем применения Многофакторной аутентификации (MFA) для всего удаленного доступа, отключения NTLM и использования ротации учетных данных. Крайне важно ограничить использование учетных записей служб для интерактивного входа в систему, особенно для доступа по Протоколу удаленного рабочего стола (RDP).

Защита конечных точек и серверов также имеет решающее значение; это включает блокировку EFSRPC для предотвращения таких атак, как PetitPotam/DCSync, и поддержание в актуальном состоянии расширенного решения для обнаружения и реагирования (XDR) на всех конечных точках. Обеспечение поэтапного вывода из эксплуатации систем с истекшим сроком службы и строгая политика внесения исправлений могут значительно снизить вероятность атаки.

Необходимы улучшения в ведении журнала и мониторинге, такие как увеличение срока хранения журнала более чем до 90 дней для жизненно важных источников, что может расширить возможности судебной экспертизы при реагировании на инциденты. Надлежащие функции анализа и проверки журналов, такие как AWS CloudTrail log validation, необходимы для эффективного анализа инцидентов безопасности и реагирования на них.

#ParsedReport #CompletenessMedium
15-10-2025

Jewelbug: Chinese APT Group Widens Reach to Russia

https://www.security.com/threat-intelligence/jewelbug-apt-russia

Report completeness: Medium

Actors/Campaigns:
Earth_alux (motivation: cyber_espionage)
Cl-sta-0049

Threats:
Supply_chain_technique
Credential_dumping_technique
Anydesk_tool
Dll_sideloading_technique
Smbexec_tool
Bitsadmin_tool
Byovd_technique
Shadowpad
Burntcigar
Echodrv_tool
Mimikatz_tool
Coercedpotato_tool
Sweetpotato_tool
Printnotifypotato_tool
Earthworm_tool
Finaldraft
Pathloader
Guidloader
Squidoor
Winrm_tool
Wevtutil_tool

Industry:
Education, Government, Telco

Geo:
Chinese, Taiwanese, Russia, America, Taiwan, China, American, Ukraine, Russian, Asia

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 19
Path: 3
Hash: 25
Domain: 2
IP: 1
Registry: 5
Coin: 1
Command: 8

Soft:
curl, Graph API, Linux

Functions:
HttpSendRequestWPtr

Win API:
CreateDirectory

Languages:
cscript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская APT-группировка Jewelbug, также известная как REF7707, переключила свое внимание на российские цели, применив передовые атаки по Цепочке поставок программного обеспечения против тамошнего поставщика ИТ-услуг. Он использовал переименованный доброкачественный двоичный файл Microsoft (cdb.exe ) для выполнения шелл-кода и обхода мер безопасности, в то время как на Тайване компания продемонстрировала свои возможности с помощью DLL Sideloading и развертывания сложных инструментов, таких как ShadowPad, KillAV и EchoDrv, для поддержания закрепления и уклонения от обнаружения. Это иллюстрирует эволюционирующую тактику Jewelbug и долгосрочное оперативное присутствие в различных регионах.
-----

Jewelbug, китайская APT-группировка, также известная под различными псевдонимами, включая REF7707 и Earth Alux, недавно расширила сферу своей деятельности, включив в нее организации в России, что ознаменовало значительный сдвиг в фокусе ее деятельности. Исторически сложилось так, что Jewelbug была вовлечена в кибератаки по всей Южной Америке, Южной Азии и Тайваню. Недавние действия против российского поставщика ИТ-услуг указывают на совершенную атаку по Цепочке поставок программного обеспечения, направленную на клиентов организации в России, что иллюстрирует потенциал более широких последствий в регионе.

Тактика группы при атаке на российского поставщика ИТ-услуг включала в себя развертывание переименованного вредоносного двоичного файла Microsoft, cdb.exe, под названием 7zup.exe. Этот метод, характерный для деятельности Jewelbug, позволил злоумышленникам использовать возможности консольного отладчика для выполнения шеллкода, обхода белого списка приложений, запуска исполняемых файлов и отключения мер безопасности. Корпорация Майкрософт выступает за блокировку cdb.exe по умолчанию, за исключением случаев, когда это явно требуется для конкретных пользователей, что подчеркивает ее риск как инструмента вредоносных операций.

В Южной Америке закрепление Jewelbug было очевидно в сети правительственного департамента, что свидетельствует о том, что группа была активна по крайней мере с сентября 2024 года. Эта активность предполагает долгосрочное присутствие, поскольку последний обнаруженный инцидент произошел в июле 2025 года.

Тем временем на Тайване группа применила DLL Sideloading для установки полезной нагрузки вредоносного ПО во время своих операций против компании-разработчика программного обеспечения. Этот метод часто используется китайскими злоумышленниками. Развертывание ShadowPad, мощного модульного бэкдора, предназначенного исключительно для таких акторов, наряду с KillAV — инструментом, используемым для отключения программного обеспечения безопасности, и EchoDrv, который использует уязвимость ядра, иллюстрирует их сложный подход с использованием метода bring—your-own-vulnerable-driver (BYOVD). Эта многогранная стратегия направлена на повышение закрепления и уклонение от обнаружения в целевых сетях.

#ParsedReport #CompletenessMedium
15-10-2025

An Insider Look At The IRGC-linked APT35 Operations: Ep3 - Malware Arsenal & Tooling

https://www.cloudsek.com/blog/an-insider-look-at-the-irgc-linked-apt35-operations-ep3---malware-arsenal-tooling

Report completeness: Medium

Actors/Campaigns:
Irgc
Charming_kitten
Mosesstaff

Threats:
Saqeb
Rat-2ac2
Spear-phishing_technique
Steganography_technique

Victims:
Airlines, Law enforcement, Regional infrastructure, Industrial infrastructure, Scada

Industry:
Critical_infrastructure, Petroleum, Ics, Aerospace

Geo:
Turkey, Egypt, Saudi arabia, Israel, Jordan

TTPs:
Tactics: 12
Technics: 65

IOCs:
File: 30
Command: 1

Soft:
Flask, Visual Studio, Firefox, Telegram, NET Framework, Linux Debian, Windows Service

Algorithms:
base64, exhibit, xor, zip

Functions:
snrProc, SetWindowsHookEx

Win API:
CreateEventA, LoadLibrary, GetProcAddress

Languages:
python, php, powershell, c_language

Links:
https://github.com/KittenBusters/CharmingKitten

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT35, связанная с иранской IRGC, проводит сложные кибероперации с использованием продвинутого вредоносного ПО, включая систему Saqeb и RAT-2AC2, оба трояна удаленного доступа. Эти инструменты имеют модульную архитектуру для скрытности, используя сеть TOR для командования и контроля. Их методы атак включают фишинг для получения первоначального доступа, использование веб-оболочек и тактику кражи учетных данных, перемещения внутри компании и эксфильтрации данных, демонстрируя всестороннее понимание методов кибератак.
-----

APT35, также известный как Charming Kitten, является изощренным противником, связанным с Корпусом стражей Исламской революции (IRGC) и проводящим кибероперации, которые соответствуют геополитическим целям. В их деятельности широко используется профессиональная экосистема вредоносного ПО, которая включает в себя два основных семейства троянов удаленного доступа (RAT): Saqeb System и RAT-2AC2, а также пользовательские веб-оболочки. Эти инструменты предназначены для целенаправленных атак на авиакомпании, правоохранительные органы и региональную инфраструктуру в период с 2022 по 2025 год.

Система Saqeb - это мощная, усовершенствованная система Windows RAT, разработанная для длительного закрепления, отличающаяся модульной архитектурой, которая позволяет ей эффективно избегать обнаружения. Он разработан на C++ и состоит из пяти отдельных модулей. RAT-2AC2, построенный на платформе .NET framework, использует серверную часть Flask и включает возможности VNC. Оба RAT развертывают коммуникации командования и контроля (C2) через многоходовые прокси-серверы, использующие сеть TOR, что еще больше повышает их скрытность.

Пользовательские веб-оболочки, используемые APT35, включают в себя запутанные варианты, такие как m0s.asp, которые реализуют скрытые каналы через заголовок Accept-Language и шифры подстановки для скрытой связи. Кроме того, эти веб-оболочки могут выполнять команды и скрипты и облегчают доступ к скомпрометированным системам.

Группа также фокусируется на различных методах атаки, классифицированных в рамках MITRE ATT&CK framework. Первоначальный доступ в основном осуществляется в результате кампаний по фишингу, в частности, с помощью Целевых фишинг-вложений, содержащих вредоносную полезную нагрузку. Известно, что они используют Недостаток в общедоступных приложениях путем развертывания веб-оболочек на целевых серверах. Оказавшись внутри сети, APT35 использует сочетание методов для выполнения, закрепления, повышения привилегий, обхода защиты, получения учетных данных, обнаружения, перемещения внутри компании, сбора, командования и контроля, а также эксфильтрации.

Примечательно, что их крысы проявляют такие поведенческие черты, как доступ к хранилищу браузера для извлечения учетных данных, Регистрация нажатием клавиш и перечисление файлов для сбора конфиденциальной информации. Они также используют различные тактики уклонения, включая Маскировку законных служб, шестнадцатеричное кодирование модулей и методы защиты от отладки. Процессы эксфильтрации обычно проводятся по каналам C2 с использованием надежно закодированных данных, гарантируя, что извлеченная информация может быть отправлена обратно злоумышленникам без привлечения внимания.

Операции APT35's демонстрируют глубокое понимание как наступательной, так и оборонительной тактики, что делает их постоянной угрозой, от которой организации должны активно защищаться. Средства защиты должны быть сосредоточены на обнаружении попыток фишинга, мониторинге несанкционированного развертывания webshell и внедрении надежных методов обеспечения безопасности конечных точек для снижения рисков, создаваемых такими продвинутыми и организованными хакерскими группировками.

#ParsedReport #CompletenessLow
15-10-2025

TigerJack's Malicious VSCode Extensions Steal Code, Mine Crypto, and Plant Backdoors

https://www.secureblink.com/cyber-security-news/tiger-jack-s-malicious-vs-code-extensions-steal-code-mine-crypto-and-plant-backdoors

Report completeness: Low

Actors/Campaigns:
Tigerjack

Threats:
Supply_chain_technique
Coinimp

Victims:
Software development

Industry:
E-commerce

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1119, T1195, T1496, T1587.003

Soft:
VSCode, Visual Studio Code, Discord, Ethcode

Functions:
eval

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TigerJack - это злоумышленник, который создал множество вредоносных расширений кода Visual Studio, включая C++ Playground и HTTP Format, направленных на кражу исходного кода, майнинг криптовалют и создание бэкдоров. Их деятельность включает в себя по меньшей мере 11 различных расширений и хорошо организованную кампанию в нескольких аккаунтах, демонстрирующую адаптивность с помощью таких тактик, как повторное внедрение вредоносного кода через новые учетные записи издателей. Это указывает на постоянную угрозу, подчеркивая их способность к краже информации и эксплуатации инфраструктуры в сообществе разработчиков.
-----

TigerJack разработала серию вредоносных расширений Visual Studio Code (VS Code), в частности C++ Playground и HTTP Format, которые предназначены для кражи исходного кода, майнинга криптовалют и создания бэкдоров. Угроза является частью хорошо скоординированной кампании, проводимой актором с использованием нескольких учетных записей, конкретно идентифицированных как ab-498, 498 и 498-00, использующих по меньшей мере 11 различных вредоносных расширений для достижения своих целей.

Изощренность операций TigerJack демонстрируется их закреплением в вредоносных действиях. Они продемонстрировали способность адаптировать и развивать свои методы; например, в сентябре 2025 года произошел заметный инцидент с кампанией переиздания, в ходе которой они повторно внедрили тот же вредоносный код, используя недавно созданную учетную запись издателя "498-00". Этот акт переупаковки и распространения расширений подчеркивает сохраняющуюся угрозу, исходящую от TigerJack, поскольку они продолжают уклоняться от обнаружения, сохраняя при этом свои вредоносные цели.

Технические детали, связанные с этими вредоносными расширениями, указывают на многогранный подход, при котором исходный код скомпрометирован, а дополнительные уровни эксплуатации вводятся посредством крипто-майнинга и развертывания бэкдоров. Такая настройка не только ставит под угрозу непосредственную безопасность затронутых разработчиков и организаций, но и указывает на более широкую стратегию кражи информации и потенциального использования инфраструктуры. Эволюция их тактики говорит о том, что TigerJack остается серьезной угрозой в киберпространстве, что требует постоянной бдительности и обновленных мер безопасности в среде разработчиков, особенно в тех, где используются расширения VS Code.

#ParsedReport #CompletenessLow
15-10-2025

Scammers are still sending us their fake Robinhood security alerts

https://www.malwarebytes.com/blog/news/2025/10/scammers-are-still-sending-us-their-fake-robinhood-security-alerts

Report completeness: Low

Industry:
Financial

Geo:
Congo

IOCs:
Url: 1
Domain: 4

#ParsedReport #CompletenessMedium
15-10-2025

PhantomVAI Loader Delivers a Range of Infostealers

https://unit42.paloaltonetworks.com/phantomvai-loader-delivers-infostealers/

Report completeness: Medium

Threats:
Phantomvai_loader
Asyncrat
Formbook
Xworm_rat
Katz_stealer
Steganography_technique
Dcrat
Vmdetectloader
Vmdetector
Process_hollowing_technique

Industry:
Healthcare, Education, Government

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1055.012, T1059.001, T1059.005, T1059.007, T1105, T1497.001, T1566.001

IOCs:
Domain: 2
File: 3
Path: 4
Hash: 67

Soft:
Microsoft Edge, Telegram, Discord, Steam

Algorithms:
base64, sha256

Win API:
GetKeyboardLayout, GetLocaleInfoA, GetSystemDefaultLangID

Languages:
javascript, powershell

Links:
https://github.com/robsonfelix/VMDetector

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PhantomVAI Loader используется в фишинг-кампаниях для доставки Katz Stealer, вредоносного ПО для кражи информации, функционирующего как вредоносное ПО как услуга. Заражение начинается с вредоносных вложений JavaScript или VBS, приводящих к удалению загрузчика из PowerShell, что позволяет избежать обнаружения с помощью проверок виртуальной машины и обеспечивает закрепление в скомпрометированных системах. После активации он извлекает и внедряет Katz Stealer в целевые процессы, используя Внедрение в пустой процесс, что иллюстрирует продвинутую тактику в вредоносных кампаниях.
-----

PhantomVAI Loader стал ключевым игроком в недавних кампаниях по фишингу, облегчая доставку вредоносного ПО для кражи информации по сложной многоэтапной цепочке заражения. Этот загрузчик в первую очередь используется для развертывания Katz Stealer, недавно идентифицированного стиллера информации, который работает по модели "Вредоносное ПО как услуга" (MaaS), эффективно извлекая конфиденциальные данные из различных приложений на скомпрометированных компьютерах.

Заражение начинается с фишинга электронного письма, содержащего вредоносное вложение, часто с запутанными файлами JavaScript или Visual Basic Script (VBS). Эти скрипты предназначены для того, чтобы избежать обнаружения механизмами безопасности. После выполнения они приводят к загрузке скрипта PowerShell, который впоследствии запускает загрузчик PhantomVAI. Этот загрузчик, разработанный на C#, характеризуется тремя основными функциональными возможностями, включая надежное обнаружение виртуальной машины для предотвращения выполнения в виртуализированных средах, тем самым повышая его шансы на успешное развертывание в целевых системах.

После выполнения PhantomVAI Loader выполняет проверку на соответствие известным идентификаторам виртуальной машины, используя код из общедоступного проекта GitHub с именем VMDetector. Если эти проверки подтверждают, что код выполняется в виртуальной среде, загрузчик прерывает свою работу, чтобы избежать обнаружения. Если выполнение продолжится, оно установит закрепление на зараженном компьютере. Обычно это достигается с помощью одного или нескольких методов, которые гарантируют, что загрузчик остается активным при перезагрузке системы или входе пользователя в систему.

Кроме того, загрузчик запрограммирован на получение своей полезной нагрузки — часто стиллера Katz — по URL-адресу, указанному в скрипте PowerShell. Он использует метод Внедрения в пустой процесс для внедрения этой вредоносной полезной нагрузки в назначенный целевой процесс, который может изменяться в зависимости от параметров, предоставленных во время выполнения. Пути для внедрения определяются аргументами командной строки, передаваемыми загрузчику, что обеспечивает гибкий подход к его работе.

Таким образом, загрузчик PhantomVAI является примером изощренной тактики, применяемой злоумышленниками, включая социальную инженерию, запутывание сценариев и Стеганографию, для эффективной доставки стиллеров информации, таких как Katz Stealer. Этот многоуровневый подход не только высвечивает меняющийся ландшафт киберугроз, но и подчеркивает превентивные меры, которые специалисты по кибербезопасности должны принимать для борьбы с такими сложными целенаправленными угрозами.

#ParsedReport #CompletenessMedium
15-10-2025

Comprehensive Threat Intelligence Report: Charming Kitten

https://gist.github.com/Hamid-K/f4288dae3a1f2dea8905b1cf16d59c1b

Report completeness: Medium

Actors/Campaigns:
Charming_kitten (motivation: information_theft, cyber_espionage)
Mosesstaff

Threats:
Nuclei_tool
Proxyshell_vuln
Screenconnect_tool
Log4shell_vuln
Sqlmap_tool
Bellaciao
Rat-2ac2
Credential_dumping_technique
Nmap_tool
Process_hollowing_technique
Supply_chain_technique

Victims:
Government, Airlines, Technology, Finance, Telecommunications, Ministry of foreign affairs of the turkish republic of northern cyprus

Industry:
Ics, Critical_infrastructure, Foodtech, Ngo, Financial, Telco, Aerospace, Government, Military, Logistic, Transport, Software_development

Geo:
Jordan, Cyprus, Middle east, Iran, Arab emirates, Kuwait, Korea, United arab emirates, Israel, Turkish, Saudi arabia, Afghanistan, Deutsche, Lebanon, Turkey

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-1709 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-21893 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-34523 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-22024 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-34473 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-21887 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-31207 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 12
Technics: 0

IOCs:
File: 6
IP: 4

Soft:
ZoomEye, Microsoft Exchange, Ivanti, WordPress, Confluence, Jenkins, Gmail, ASP.NET, Windows Service, Active Directory, have more...

Algorithms:
xor

Languages:
powershell, python, delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4