#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июле 2025 года кибершпионажная группа TransparentTribe, связанная с пакистанскими интересами, провела кампанию фишинга, нацеленную на системы Linux индийских правительственных организаций. Процесс заражения включал фишинг-рассылку по электронной почте, ведущую к ZIP-архиву, содержащему вредоносный файл DESKTOP со скрытыми командами Bash, с использованием вредоносного ПО DeskRAT, разработанного в Golang. DeskRAT после выполнения подключается к скрытым серверам управления по порту 8080, используя поддельные документы для повышения вероятности взаимодействия с пользователем.
-----

В июле 2025 года CYFIRMA сообщила о кампании фишинга, связанной с группой кибершпионажа TransparentTribe, также известной как APT36. Эта кампания была специально нацелена на операционные системы на базе Linux в индийских правительственных организациях, активность в которых началась в июне 2025 года. TransparentTribe связана с интересами Пакистана и действует по меньшей мере с 2013 года, уделяя особое внимание кибершпионажу для достижения дальнейших военных целей.

Процесс заражения начался с сообщения электронной почты, отправленного с помощью фишинга, хотя исходное электронное письмо было недоступно для анализа. Вероятно, он содержал URL-адрес, перенаправляющий на ZIP-архив, который мог быть либо прикреплен напрямую, либо размещен на законных сторонних Облачных сервисах, таких как Google Drive. В конце концов, кампания перешла к использованию выделенных промежуточных серверов для размещения этих ZIP-файлов. ZIP-архив содержал вредоносный файл рабочего стола, который скрывал вредоносные команды Bash в закомментированных PNG-данных, занимающих тысячи строк. Такой подход помог избежать немедленного обнаружения пользователями, что привело к запуску многоэтапного механизма доставки полезной нагрузки, направленного на развертывание дополнительного вредоносного ПО.

Основным вредоносным ПО, выявленным в ходе этой кампании, является DeskRAT, разработанное в Golang. DeskRAT работает путем установления соединения WebSocket с определенной конечной точкой на порту 8080 после выполнения. Серверы управления (C2), используемые DeskRAT, описываются как "скрытые серверы", что означает, что они не отображаются в общедоступных записях сервера имен для связанных с ними доменов. Кроме того, идентифицированные серверы C2 также предоставляют страницу аутентификации в конечной точке /login, указывающую на структурированный доступ к функциям управления вредоносным ПО.

Чтобы заманить цели к выполнению вредоносной полезной нагрузки, ZIP-архив содержал документы-приманки, предназначенные для того, чтобы побудить пользователей открыть файлы и запустить DeskRAT. Нацеливание на индийские правительственные структуры, особенно в отношении геополитики региона Ладакх — области интересов между Индией, Китаем и Пакистаном — подчеркивает стратегический характер операций TransparentTribe's.

#ParsedReport #CompletenessHigh
22-10-2025

PhantomCaptcha \| Multi-Stage WebSocket RAT Targets Ukraine in Single-Day Spearphishing Operation

https://www.sentinelone.com/labs/phantomcaptcha-multi-stage-websocket-rat-targets-ukraine-in-single-day-spearphishing-operation/

Report completeness: High

Actors/Campaigns:
Phantomcaptcha
Seaborgium

Threats:
Spear-phishing_technique
Clickfix_technique

Victims:
International red cross, Norwegian refugee council, Unicef, Nongovernmental organizations, Ukrainian regional government administration, Aid and relief organizations

Industry:
Ngo, Entertainment, Government

Geo:
Norwegian, Russia, India, Belarus, Russian, Finland, Slovakia, Donetsk, Ukraine, Italy, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1105, T1204.002, T1566.001

IOCs:
Hash: 12
Domain: 7
IP: 6
Url: 5
Command: 1
File: 1

Soft:
Android, Zoom

Algorithms:
sha256, xor, base64

Functions:
generateRandomId, JavaScript, copyToken, Set-PSReadlineOption, collectAndSendAllData

Languages:
powershell, javascript, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания PhantomCaptcha, выявленная SentinelLabs, нацелена на гуманитарные организации в Украине с помощью spearphishing, начиная с 8 октября 2025 года, используя защищенные PDF-файлы, чтобы привести жертв к поддельной странице Cloudflare captcha для запуска вредоносного ПО. Основной полезной нагрузкой является WebSocket RAT, размещенный на российских серверах, обеспечивающий удаленное выполнение команд и эксфильтрацию данных. Атака использует запутанные скрипты PowerShell для доставки полезной нагрузки, демонстрируя оперативную безопасность и планирование, с акцентом на мобильные угрозы, нацеленные на Android для сбора данных.
-----

Кампания PhantomCaptcha, раскрытая SentinelLabs и Лабораторией цифровой безопасности Украины, представляет собой скоординированную акцию spearphishing, направленную против гуманитарных организаций, оказывающих помощь в Украине. Эта кампания была запущена 8 октября 2025 года, когда злоумышленники выдавали себя за офис президента Украины. Метод включал отправку защищенных PDF-файлов, которые перенаправляли жертв на мошенническую страницу Cloudflare captcha, предназначенную для облегчения выполнения вредоносного ПО. Ключевой вредоносной полезной нагрузкой является троян удаленного доступа WebSocket (RAT), размещенный в российской инфраструктуре, позволяющий удаленно выполнять команды, эксфильтрацию данных и развертывание дополнительного вредоносного ПО.

На первом этапе атаки использовался запутанный скрипт PowerShell, идентифицированный по его хэшу SHA-256, который в первую очередь служил для загрузки вторичной полезной нагрузки с указанного URL. Эта начальная фаза демонстрирует, что злоумышленники полагаются на методы обфускации, чтобы избежать обнаружения. Второй этап состоял из облегченного бэкдора PowerShell, который устанавливал соединение с удаленным сервером WebSocket, облегчая обмен данными с помощью сообщений JSON в кодировке Base64. Инфраструктура просуществовала недолго и функционировала всего около 24 часов, что свидетельствует о высокой степени оперативной безопасности и тщательном планировании злоумышленниками.

Анализ инфраструктуры показал, что домен управления был подключен к VPS-серверу в России, с немедленными признаками отключения после атаки. Злоумышленники, начавшие свои операции еще в марте 2025 года, продемонстрировали тщательную проработку своего планирования: вредоносные скрипты были протестированы на VirusTotal до фактической отправки электронных писем с фишингом. Также был выявлен поворот к мобильным атакам с использованием поддельных приложений, нацеленных на устройства Android для сбора данных, что указывает на более широкую стратегию кампании.

#ParsedReport #CompletenessMedium
23-10-2025

The Rise of Collaborative Tactics Among China-aligned Cyber Espionage Campaigns

https://www.trendmicro.com/en_us/research/25/j/premier-pass-as-a-service.html

Report completeness: Medium

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage)
Earth_naga (motivation: cyber_espionage)
Flax_typhoon
Gamaredon
Turla
Red_delta

Threats:
Trillclient
Crowdoor
Shadowpad
Cobalt_strike_tool
Sparrowdoor
Draculoader
Hemigate
Dll_sideloading_technique
Logserver
Supply_chain_technique
Pteroodd
Pteropaste
Kazuar

Industry:
Government, Retail, Telco, Military

Geo:
Latin america, Taiwan, South africa, China, Apac, Asia-pacific, Asian, Asia, America, Russia, Middle east

CVEs:
CVE-2025-5777 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

IOCs:
Domain: 2
IP: 2
Path: 2
File: 6

Soft:
Windows registry, Ivanti, ORB networks, VSCode

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ показывает стратегии сотрудничества между APT-группировками, ориентированными на Китай, в частности, Earth Estries и Earth Naga, использующими модель под названием "Premier Pass-as-a-Service", где одна группа выступает в качестве посредника доступа для другой. Earth Estries нацелена на критически важные секторы, такие как телекоммуникации и правительственные учреждения, особенно в регионах APAC и НАТО, используя распространяемое вредоносное ПО, такое как TrillClient. Сотрудничество усложняет обнаружение, поскольку множество акторов скрывают свои личности, предоставляя общий доступ к скомпрометированным организациям, что указывает на значительную эволюцию тактики кибершпионажа.
-----

Недавний анализ высвечивает появление стратегий сотрудничества среди связанных с Китаем групп APT (Сложная целенаправленная угроза), в частности, при изучении взаимодействия между Earth Estries и Earth Naga. Это сотрудничество воплощено в развивающейся модели, называемой "Premier Pass-as-a-Service", где одна группа выступает в качестве посредника доступа, облегчая дальнейшую эксплуатацию для другой. Такая тактика усложняет обнаружение и атрибуцию, поскольку множество злоумышленников имеют общий доступ к целевым организациям, тем самым скрывая свою индивидуальность и деятельность.

Earth estries была сосредоточена на важнейших секторах, особенно в сфере телекоммуникаций и государственных учреждений, в различных регионах, включая США, Азиатско-Тихоокеанском регионе, на Ближнем Востоке, и, в более недавнее время, Южная Америка и Южная Африка. В частности, их операции выводится шаблон ориентации в розницу и государственных организаций в Азиатско-Тихоокеанском регионе. Факты свидетельствуют, что Earth estries функционирует в качестве посредника доступа, с общим поведением доступ наблюдается в атаки связаны с обеспечением вредоносное ПО определены как TrillClient.

В ходе совместной операции с участием как Earth Estries, так и Earth Naga, недавние действия выявили попытки скомпрометировать по крайней мере двух крупных телекоммуникационных провайдеров в период с конца апреля по июль этого года, сосредоточив внимание на организациях в странах Азиатско-Тихоокеанского региона и странах - членах НАТО. Набор инструментов для борьбы с вредоносным ПО, использованный в этих инцидентах, еще раз иллюстрирует взаимосвязь этих групп и их операционных структур.

В исследовании подчеркивается необходимость пересмотра аналитического подхода для лучшего понимания современного сотрудничества APT. Традиционная модель Diamond, которая рассматривает противника, инфраструктуру, возможности и жертву в качестве ключевых аспектов киберугрозы, может не учитывать нюансы, привносимые дублирующимися тактиками, техниками и процедурами (TTP) сотрудничающих злоумышленников. Предлагаемая модель предусматривает детальное изучение конкретных ролей каждого актора в рамках операционной динамики, способствуя более глубокому пониманию взаимоотношений и взаимодействий между этими изощренными киберпреступниками.

В результате исторического анализа, хотя Earth Estries и Earth Naga продемонстрировали разные методы работы, обнаружение совпадений инструментов предполагает наличие общего цифрового ресурса, а не прямое сотрудничество. Эта новая тенденция в общих ресурсов и тактика помещенный в "Премьер-пасс-а-а-сервис" модель представляет собой значительные изменения в ландшафте кибершпионаж, ставят новые задачи для кибербезопасность кибербезопасность занимается обнаружения угроз и усилий, атрибуция.

#ParsedReport #CompletenessLow
23-10-2025

The Smishing Deluge: China-Based Campaign Flooding Global Text Messages

https://unit42.paloaltonetworks.com/global-smishing-campaign/

Report completeness: Low

Actors/Campaigns:
Smishing_triad

Threats:
Smishing_technique
Supply_chain_technique
Typosquatting_technique

Victims:
Banking, Mail and delivery services, Toll services, Law enforcement agencies, Government agencies, Police forces, Investment banks, Savings banks, Ecommerce platforms, Online payment platforms, have more...

Industry:
Transport, E-commerce, Financial, Software_development, Healthcare, Entertainment, Government

Geo:
Germany, United arab emirates, Philippines, Poland, France, China, Russia, Middle east, Israel, Canada, Chinese, Malaysia, Arab emirates, Mexico, Hong kong, Ireland, Singapore, Lithuania, Australia, Argentina

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1204.001, T1566.002, T1583.001, T1583.002, T1583.004, T1583.006, T1589.001, T1589.002, T1654, have more...

IOCs:
Domain: 36

Soft:
Telegram, iMessage

Functions:
ReadME

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Текущая кампания Smishing Triad's иллюстрирует сложную эволюцию угроз фишинга с помощью SMS, включая мошеннические уведомления о нарушениях правил взимания платы и проблемах с пакетами, выдавая себя за ключевые сервисы. При значительной подпольной экосистеме фишинга как услуги 68,06% доменов, связанных с этой кампанией, зарегистрированы через Dominet (HK) Limited, а большинство полных доменных имен управляются AliDNS и Cloudflare. Кампания нацелена на различные секторы по всему миру, с акцентом на Имперсонацию почтовой службы США, способствующую краже конфиденциальной личной информации с помощью агрессивной регистрации доменов и разнообразных тактик Имперсонации.
-----

Продолжающаяся кампания smishing, относящаяся к Smishing Triad, представляет собой значительную эволюцию угроз фишинга с помощью текстовых сообщений. Эта кампания включает в себя мошеннические уведомления о нарушениях правил взимания платы за проезд и неправильной доставке посылок, выдавая себя за широкий спектр критически важных услуг в различных секторах, тем самым расширяя свой охват по всему миру. Кампания демонстрирует сложную инфраструктуру, поддерживаемую значительной подпольной экосистемой фишинга как услуги (PhaaS), которую можно наблюдать через Telegram-канал, который превратился из рынка наборов для фишинга в активный центр для различных злоумышленников.

Регистрация доменов, используемых в рамках этой кампании, является высококонцентрированной: ошеломляющие 68,06% (93 197) доменов принадлежат компании Dominet (HK) Limited, регистратору, базирующемуся в Гонконге. Другими крупными регистраторами являются Namesilo (11,85%) и Gname (7,94%). Это распределение дополняется оптимизированной инфраструктурой DNS, в которой более 80% полных доменных имен (FQDNs) управляются всего двумя поставщиками: AliDNS и Cloudflare.

Определение целей кампании показывает, что Почтовая служба США является наиболее обезличенной организацией, насчитывающей 28 045 полных доменных имен. В общей сложности более широкая категория платных сервисов содержит почти 90 000 выделенных доменов для фишинга. Географический охват кампании показывает домены, размещенные на IP-адресах, расположенных в нескольких странах, что указывает на согласованные усилия по нацеливанию на отдельных лиц в различных регионах, особенно в США. Сообщения часто маскируются под сообщения как коммерческих организаций, так и правительственных учреждений, что подчеркивает обширную тактику кампании по Имперсонации.

Сфера действия Имперсонации включает в себя критически важные сервисы в нескольких странах: банковские и почтовые службы США, немецкие инвестиционные банки и различные правительственные учреждения в Великобритании и ОАЭ, среди прочих. Также на видном месте находятся общие сервисы, в том числе приложения для объединения автомобилей и онлайн-платформы, в то время как тактика typosquatting способствует Имперсонации популярных приложений и платформ электронной коммерции. Тактика кампании распространяется на криптовалютные биржи и включает попытки фишинга, имитирующие страницы входа в систему и проверки личности известных фирм по производству бытовой электроники и финансовых услуг.

Особую тревогу вызывают попытки выдать себя за государственные службы, такие как Налоговое управление США и государственные транспортные департаменты, что свидетельствует о прямой угрозе конфиденциальной личной информации. Полученные данные указывают на то, что эта кампания по smishing не только широко распространена, но и в высшей степени децентрализована: злоумышленники быстро регистрируются и ежедневно просматривают тысячи доменов. Этот агрессивный и динамичный подход подчеркивает сложность и риск, связанные с Smishing Triad, подчеркивая необходимость повышенной осведомленности и упреждающих стратегий защиты от таких угроз фишинга.

#ParsedReport #CompletenessMedium
23-10-2025

ToolShell Used to Compromise Telecoms Company in Middle East

https://www.security.com/threat-intelligence/toolshell-china-zingdoor

Report completeness: Medium

Actors/Campaigns:
Ghostemperor
Unc5221
Emissary_panda (motivation: cyber_espionage)
Apt31 (motivation: cyber_espionage)
Storm-2603
Winnti
Axiom
Volt_typhoon

Threats:
Toolshell_vuln
Zingdoor
Krustyloader
X2anylock
Shadowpad
Dll_sideloading_technique
Dllsearchorder_hijacking_technique
Sliver_c2_tool
Lolbin_technique
Revsocks_tool
Procdump_tool
Minidump_tool
Powersploit_tool
Lsass_dumper_tool
Petitpotam_vuln

Victims:
Telecommunications, Government agencies

Industry:
Education, Telco, Government, Financial

Geo:
America, Chinese, American, Middle east, African, China, Africa

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-36942 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49704 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53771 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1505.003

IOCs:
File: 4
Hash: 16
Url: 2

Soft:
Adobe ColdFusion, Sysinternals, Local Security Authority, Windows LSA

Algorithms:
sha256

Languages:
rust

Platforms:
cross-platform

Links:
https://github.com/chainreactors/gogo
have more...
https://github.com/BishopFox/sliver

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Базирующиеся в Китае злоумышленники воспользовались уязвимостью ToolShell (CVE-2025-53770) вскоре после ее раскрытия в июле 2025 года, скомпрометировав телекоммуникационную компанию. Эта критическая уязвимость на локальных серверах SharePoint позволяет выполнять удаленный код без проверки подлинности, который злоумышленники использовали для получения доступа к содержимому сервера и файловым системам. Инцидент свидетельствует о быстром использовании уязвимостей в телекоммуникационном секторе более широким кругом злоумышленников, чем предполагалось ранее.
-----

Базирующиеся в Китае злоумышленники воспользовались уязвимостью ToolShell (CVE-2025-53770) для компрометации телекоммуникационной компании на Ближнем Востоке вскоре после ее публичного раскрытия и последующего исправления в июле 2025 года. ToolShell - это критическая уязвимость, затрагивающая локальные серверы SharePoint, которая допускает несанкционированный доступ, позволяя злоумышленникам удаленно выполнять код и получать доступ к содержимому сервера и файловым системам. Эта уязвимость, которая функционировала как эксплойт zero-day, последовала за связанной уязвимостью (CVE-2025-49704), которая также была исправлена в то же время. Кроме того, другая связанная с этим уязвимость (CVE-2025-53771), ошибка обхода пути, допускающая подмену сети авторизованными злоумышленниками, была устранена вместе с ToolShell, и она также была основана на более старой уязвимости (CVE-2025-49706), которая была устранена ранее.

Последовательность событий указывает на то, что вредоносные действия начались в телекоммуникационной компании 21 июля 2025 года, всего через два дня после установки исправления, поскольку злоумышленники развернули вероятную веб-оболочку. Этот инцидент подчеркивает серьезность уязвимости ToolShell, показывая, что она была нацелена не только на конкретные группы, но и на более широкий круг китайских злоумышленников, чем первоначально предполагалось. Своевременное использование таких уязвимостей подчеркивает риски, с которыми сталкиваются организации, особенно в таких секторах, как телекоммуникации, где системы безопасности могут быть уязвимы перед быстро развивающимися киберугрозами. Кроме того, это сигнализирует о необходимости повышенной бдительности и оперативного внедрения исправлений безопасности для предотвращения использования аналогичных уязвимостей в будущем.

#ParsedReport #CompletenessLow
23-10-2025

Bitter (APT-Q-37) uses diverse means to deliver new backdoor components

https://ti.qianxin.com/blog/articles/bitter-uses-diverse-means-to-deliver-new-backdoor-components-en/

Report completeness: Low

Actors/Campaigns:
Bitter

Victims:
Government, Electric power, Military

Industry:
Government, Energy, Military

Geo:
China, Asia, Asian, Pakistan

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.005, T1105, T1127, T1140, T1204.002, T1566.001, T1574.002, T1583.001, have more...

IOCs:
File: 7
Url: 6
Hash: 5

Soft:
NET framework

Algorithms:
zip, md5, base64, aes

Win API:
decompress

Win Services:
bits

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Биттер, также известный как APT-Q-37, является южноазиатским злоумышленником, нацеленным в первую очередь на правительственный, военный и электроэнергетический секторы Китая и Пакистана с целью получения конфиденциальных данных. Недавние результаты показывают, что они использовали бэкдор на C#, предоставляемый различными методами, включая макросы Excel и уязвимость WinRAR для обхода пути в версии 7.11. Бэкдор "cayote.log" использует шифрование AES и взаимодействует с недавно зарегистрированным сервером командования и контроля, что указывает на постоянные инновации и планирование в их методах атаки.
-----

Bitter, также известная как APT-Q-37, является хакерской группировкой, предположительно имеющей южноазиатское происхождение, в первую очередь нацеленной на правительственный, военный секторы и электроэнергетику в Китае, Пакистане и других странах. Их цель заключается в сборе конфиденциальных данных. Недавно Центр анализа угроз Qi'anxin обнаружил образцы атак, связанных с Bitter, которые используют различные методы для развертывания бэкдора на C#, способного получать произвольные исполняемые файлы с удаленного сервера.

Анализ этих образцов выявляет несколько способов доставки, включая макрос Excel, встроенный во вредоносный файл .xlam. Этот макрос декодирует исходный код бэкдора на C# и компилирует его в DLL-файл с использованием .NET Framework `csc.exe `, впоследствии устанавливая его через `InstallUtil.exe `. Кроме того, злоумышленники воспользовались уязвимостью в WinRAR, первоначально считавшейся связанной с CVE-2025-8088, но дальнейшее тестирование показало, что они использовали еще более старую уязвимость, которая позволяет обходить путь при использовании WinRAR версии 7.11, в то время как вредоносный архив RAR завершается сбоем в версии 7.12.

Бэкдор, идентифицированный как "cayote.log", содержит комментарии к функциям и использует шифрование AES для расшифровки строк. Исследование показывает, что командно-контрольная связь (C&C) бэкдора связана с поддоменом esanojinjasvc.com , который был зарегистрирован с апреля 2023 года, что указывает на согласованность методов развертывания и инфраструктуры, используемых этой хакерской группировкой.

Анализ подчеркивает инновационность Биттера в стратегиях атак, использующего новые приемы наряду с традиционными методами. Используя ресурсы устройства жертвы для компиляции бэкдора, злоумышленники стремятся избежать обнаружения с помощью статического анализа хэша. В целом, эта тактика предполагает тщательное планирование и сбор разведданных злоумышленниками для понимания оперативной обстановки своих целей, что указывает на то, что образцы могут служить как в качестве ознакомительных тестов для новых методологий, так и в качестве реальных инструментов для дальнейшего использования. Развертывание бэкдора C# создает плацдарм для выполнения дополнительных атак, подчеркивая постоянный и эволюционирующий характер угроз, исходящих от этой группы.

#ParsedReport #CompletenessLow
23-10-2025

SessionReaper (CVE-2025-54236): Critical Adobe Commerce Vulnerability Actively Exploited

https://socradar.io/sessionreaper-cve-2025-54236-adobe-commerce-exploit/

Report completeness: Low

Threats:
Cosmicsting_vuln
Trojanorder_vuln

Victims:
Online stores, Ecommerce sites using adobe commerce, Magento open source users

CVEs:
CVE-2025-54236 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1082, T1190, T1505.003

IOCs:
IP: 5

Functions:
phpinfo

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4