#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Стиллер Sryxen использует передовые методы для сбора учетных данных пользователей, используя механизмы антианализа и стратегии уклонения. Примечательно, что он использует векторную обработку исключений (VEH) для сохранения конфиденциальных полезных данных в зашифрованном виде в состоянии покоя и нацелен на сохраненные веб-браузерами файлы cookie и пароли с помощью шифрования, связанного с приложениями Chrome. Работа Sryxen's включает в себя многопоточный поиск в браузерах и использует curl для эксфильтрации при отправке ключевых данных, таких как токены Discord, через POST-запросы к Telegram API.
-----

Современные стиллеры информации, в частности вариант Sryxen, используют сложные методы для сбора учетных данных пользователей из браузеров. Архитектура Sryxen демонстрирует передовые механизмы антианализа и инновационные стратегии обхода мер безопасности. Важным аспектом этого вредоносного ПО является использование VEH (векторной обработки исключений) для обеспечения того, чтобы конфиденциальные полезные данные оставались зашифрованными в состоянии покоя. Например, основная функция, ответственная за эксфильтрацию данных, зашифрована с помощью XOR и расшифровывается только во время выполнения с помощью обработчика VEH, что затрудняет аналитикам проверку вредоносного ПО без его выполнения.

Sryxen эффективно использует Windows Data Protection API (DPAPI), получая главный ключ шифрования путем запуска в пользовательском контексте жертвы. Это позволяет ему расшифровывать сохраненные данные, зашифрованные с помощью платформы DPAPI, в то время как попытки получить доступ к этим данным из другого пользовательского контекста не приведут ни к каким результатам. Вредоносное ПО нацелено на файлы cookie и пароли, хранящиеся в веб-браузерах, в частности, используя шифрование, привязанное к приложениям Chrome (ABE), которое связывает шифрование файлов cookie непосредственно с приложением Chrome. Запуская Chrome с флагами отладки, Sryxen обходит эту защиту и облегчает кражу файлов cookie.

Работа вредоносного ПО включает в себя проведение многопоточного поиска в ширину (BFS) для перечисления установленных браузеров и систематического сбора украденных данных, упорядоченных во временной папке. Для эксфильтрации Sryxen использует "curl" в зашумленном режиме, вызывая команды "system()", которые могут быть легко обнаружены с помощью телеметрии создания файла. Хотя этот метод уязвим для обнаружения, ключевые данные, такие как сессионные файлы cookie или токены Discord, отправляются во внешний Telegram API с помощью POST-запросов.

Кроме того, Sryxen умеет обращаться с зашифрованными учетными данными. Пароли Chromium, например, хранятся с использованием шифрования AES-256-GCM, и вредоносное ПО может расшифровать их перед эксфильтрацией. В нем также реализованы методы сбора учетных данных из других приложений, таких как Discord, которые могут хранить токены либо в виде открытого текста, либо в зашифрованном виде, аналогично шифрованию Chrome.

В контексте платформы MITRE ATT&CK Sryxen сопоставляется с различными методами, включая T1555.003 для сбора учетных записей, T1539 для кражи Сессионных куки и T1059 для выполнения утилит командной строки для эксфильтрации. Его подход отражает продолжающуюся борьбу между инструментами кражи учетных данных и инновациями в области безопасности браузера, в частности демонстрируя, насколько эффективно Sryxen обходит современные средства защиты, предназначенные для защиты пользовательских данных.

#ParsedReport #CompletenessHigh
04-12-2025

MuddyWater: Snakes by the riverbank

https://www.welivesecurity.com/en/eset-research/muddywater-snakes-riverbank/

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_espionage, cyber_criminal)
Siamesekitten (motivation: cyber_espionage)
Oilrig

Threats:
Fooder
Muddyviper
Gosocks5_tool
Quicksand
Muddyrot
Lazagne_tool
Crackmapexec_tool
Spear-phishing_technique
Danabot
Shark
Marlin
Mango
Oilforcegtx
Syncro_tool
Mimikatz_tool
Atera_tool
Simplehelp_tool
Anydesk_tool
Hackbrowser
Yamux_tool
Resocks_tool
Go-socks5_tool
Credential_harvesting_technique
Trojan-proxy

Victims:
Critical infrastructure, Government, Telecommunications, Healthcare, Oil and energy

Industry:
Military, Critical_infrastructure, Education, Transport, Telco, Government, Petroleum, Energy, Healthcare

Geo:
Iranian, Israel, Ukraine, Egypt, Iran, America, Middle east, Ireland, Israeli

TTPs:
Tactics: 11
Technics: 42

IOCs:
Path: 16
File: 10
Registry: 2
Domain: 3
IP: 11
Url: 1
Hash: 64

Soft:
Firefox, Windows Security, Chromium, Chrome, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Microsoft Edge, Google Chrome, steam, have more...

Algorithms:
aes, sha1, aes-cbc

Functions:
Sleep

Win API:
DuplicateTokenEx, CreateProcessAsUserA, CreateProcessW, WinHttpOpen, ImpersonateLoggedOnUser, WinMain, CredUIPromptForWindowsCredentialsW, CredUnPackAuthenticationBufferW, LogonUserW, CryptUnprotectData, have more...

Win Services:
AvastSvc

Languages:
powershell, golang

Platforms:
amd64

Links:
https://github.com/AlessandroZ/LaZagne
https://github.com/byt3bl33d3r/CrackMapExec
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, windows: 2, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MuddyWater, иранская APT-группировка, действующая с 2017 года, нацелена на критически важные объекты инфраструктуры в Израиле и Египте в рамках кампании, которая продлится с сентября 2024 по март 2025 года. Они используют такие тактики, как spearphishing для распространения пользовательского вредоносного ПО, включая загрузчик Fooder, который подготавливает бэкдор MuddyViper для широкого доступа к системе, и инструменты credential-stealing, такие как CE-Notes и LP-Notes. Их вредоносное ПО взаимодействует с серверами C&C по протоколу HTTPS, усложняя обнаружение из-за эксфильтрации большого объема данных.
-----

MuddyWater, связанная с Ираном APT-группировка, действующая по меньшей мере с 2017 года, в первую очередь нацелена на критически важные объекты инфраструктуры в Израиле и Египте. Эта кампания, которая продолжалась с 30 сентября 2024 года по 18 марта 2025 года, подчеркивает развивающиеся возможности MuddyWater's, использующие пользовательское вредоносное ПО наряду с устоявшейся тактикой ведения кибершпионажа.

Группа продемонстрировала четкую ориентацию на такие секторы, как телекоммуникации, государственное управление и энергетика, используя предсказуемые тактики, методы и процедуры (TTP). Их оперативный план действий, как правило, включает электронные письма для spearphishing, которые направляют жертв на загрузку программного обеспечения для удаленного мониторинга. Попав в сеть, MuddyWater развертывает множество вредоносных программ, включая недавно идентифицированный загрузчик Fooder и Backdoor. MuddyViper. Маскировка Fooder под простую игру представляет собой загрузчик, который подготавливает и запускает бэкдор MuddyViper, который обеспечивает широкий доступ к зараженным системам, включая кражу учетных данных, загрузку файлов и выполнение команд.

MuddyViper взаимодействует с серверами командования и контроля (C&C) через HTTP через порт 443, зашифрованный с помощью SSL/TLS. Идентифицированные серверы C&C включают processplanet.org и IP-адрес, связанный с Amazon Technologies. Процессы эксфильтрации данных включают отправку подробных обновлений статуса на эти серверы, что затрудняет системам обнаружения распознавание вредоносных действий из-за большого объема сообщений.

Кроме того, MuddyWater использует ряд инструментов credential-stealing, таких как CE-Notes и LP-Notes. Эти инструменты предназначены для того, чтобы выдавать себя за пользователей и собирать учетные данные с помощью вводящих в заблуждение подсказок. При запуске LP-Notes маскируется под диалоговое окно безопасности Windows, предлагая жертвам ввести свои имена пользователей и пароли, в то время как CE-Notes захватывает и сохраняет украденные данные браузера.

Группа также использует передовые методы уклонения, такие как использование функций сна, чтобы избежать анализа во время динамических исследований. Эта операционная зрелость отражается не только в сложных методах кодирования, но и в более разнообразном наборе инструментов, что указывает на эволюцию по сравнению с предыдущими кампаниями.

#ParsedReport #CompletenessHigh
04-12-2025

Hook for Gold: Inside GoldFactory's ampaign That Turns Apps Into Goldmines

https://www.group-ib.com/blog/turning-apps-into-gold/

Report completeness: High

Actors/Campaigns:
Goldfactory (motivation: cyber_criminal, information_theft)

Threats:
Gigaflower
Gigabud_rat
Skyhook_tool
Frihook
Pinehook
Mmrat
Smishing_technique
Remo_trojan
Dobby_hook_framework

Victims:
Banking users, Financial institutions

Industry:
Ics, Government, Healthcare, Financial, Foodtech

Geo:
Asia-pacific, Apac, Vietnamese, Thailand, Indonesia, Vietnam

ChatGPT TTPs:
do not use without manual check
T1401, T1404, T1407, T1409, T1412, T1446, T1471, T1513, T1516, T1566, have more...

IOCs:
Domain: 9
File: 1
Hash: 8
IP: 4

Soft:
Android, WebRTC, Google Play

Algorithms:
xor, sha256

Functions:
VoIP, onTransact, IPC

Win API:
getPackageInfo, updatewindow

Languages:
java

Platforms:
apple, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GoldFactory, злоумышленник, выявленный Group-IB, проводил кампании мобильного мошенничества, нацеленные на банковских пользователей в Азиатско-Тихоокеанском регионе, путем модификации банковских приложений, в частности, с использованием варианта вредоносного ПО Gigaflower. Их тактика включает в себя выдачу себя за государственные службы, чтобы завоевать доверие, использование таких фреймворков, как Frida и Dobby, для манипулирования законным поведением приложений и обхода системы безопасности. Оптимизированная цепочка атак группы начинается с контакта с приложением для обмена сообщениями и расширяется с помощью телефонных звонков, используя передовые методы, позволяющие избежать обнаружения и кражи конфиденциальной информации с помощью скомпрометированных устройств, которые обмениваются данными через WebRTC.
-----

Было замечено, что GoldFactory, злоумышленник, выявленный Group-IB, организует сложные кампании мобильного мошенничества, нацеленные на банковских пользователей по всему Азиатско-Тихоокеанскому региону, особенно с начала 2024 года. Эта группа использовала ряд модифицированных банковских приложений, включая варианты вредоносного ПО, такие как Gigaflower, которые демонстрируют расширенные функциональные возможности для компрометации пользовательских данных. В частности, операторы клонировали 27 законных банковских приложений в Индонезии, Вьетнаме и Таиланде, внедрив вредоносный код для выполнения своих атак.

Один из основных методов атаки, используемых GoldFactory, заключается в Имперсонации государственных служб для укрепления доверия к жертвам, что приводит к заражению устройств. Они используют общедоступные фреймворки, такие как Frida, Dobby и Pine, для перехвата и изменения законного поведения приложений с помощью инструментов под названием FriHook, SkyHook и PineHook. Эти методы позволяют вредоносному ПО обходить меры безопасности и шифрование, способствуя краже конфиденциальной информации. Например, FriHook может обходить проверки целостности, в то время как SkyHook использует DobbyHook framework для подключения к законным приложениям, изменяя их функциональность без обнаружения.

Вредоносное ПО продемонстрировало адаптивность, о чем свидетельствует новый вариант Gigaflower, который содержит экспериментальную кодовую базу с такими возможностями, как распознавание текста для сканирования удостоверений личности. Это показывает эволюцию тактики от использования исключительно прямого внедрения вредоносного ПО к внедрению комплексных стратегий социальной инженерии, при которых жертвы могут неосознанно предоставлять личную информацию под видом процессов проверки.

Цепочка атак начинается с первоначального контакта через приложения для обмена сообщениями, переходя к телефонным звонкам с инструкциями. Примечательно, что группа изменила тактику в отношении пользователей iOS, теперь поощряя жертв использовать Android-устройство для запуска вредоносного ПО, вероятно, из-за более строгих мер безопасности iOS. Скомпрометированные устройства могут обмениваться данными через WebRTC, что обеспечивает взаимодействие между злоумышленником и устройством жертвы в режиме реального времени, повышая скорость и эффективность атаки.

Анализ Group-IB позволил проследить развертывание этих вредоносных приложений в определенных доменах с открытыми каталогами, демонстрируя структурированный подход к распространению вредоносного ПО. Вредоносное ПО тщательно разработано, используя передовые упаковщики и обратное проектирование законных приложений, чтобы избежать обнаружения.

#ParsedReport #CompletenessHigh
04-12-2025

Albiriox Exposed: A New RAT Mobile Malware Targeting Global Finance and Crypto Wallets

https://www.cleafy.com/cleafy-labs/albiriox-rat-mobile-malware-targeting-global-finance-and-crypto-wallets#6

Report completeness: High

Threats:
Albiriox
Credential_harvesting_technique
Acvnc_tool
Hvnc_tool
Penny
Jsonpacker_tool

Victims:
Financial services, Cryptocurrency platforms

Industry:
Retail, Financial, Petroleum

Geo:
Austrian

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1095, T1104, T1105, T1204, T1406, T1410, T1412, T1414, have more...

IOCs:
Hash: 4
IP: 1
Domain: 7

Soft:
Google Play, Android, Telegram, WhatsApp

Algorithms:
md5, exhibit

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Albiriox - это новое семейство вредоносных ПО для Android, управляемое русскоязычными злоумышленниками, разработанное как вредоносное ПО как услуга (MaaS), нацеленное на финансовый сектор и криптовалютный сектор. Он использует двухэтапную стратегию развертывания с приложениями-дропперами, маскирующими его истинные намерения, используя методы социальной инженерии для обхода обнаружения. Albiriox обладает возможностями манипулирования устройствами в режиме реального времени, сбора учетных записей с помощью сложных атак наложения и поддерживает контроль с помощью незашифрованных TCP-соединений, что указывает на значительную эскалацию угроз мобильного банкинга.
-----

Albiriox - это недавно идентифицированное семейство вредоносных ПО для Android, появляющееся как вредоносное ПО как услуга (MaaS), нацеленное на глобальный финансовый сектор и криптовалютный сектор. Управляемый русскоязычными злоумышленниками, Albiriox демонстрирует активную разработку и сложную двухэтапную стратегию развертывания, направленную на то, чтобы избежать обнаружения. Первоначальный механизм доставки включает в себя приложения-дропперы, замаскированные под законное программное обеспечение, использующие тактику социальной инженерии, включая создание поддельных страниц Google Play.

В рамках своей операционной системы Albiriox осуществляет мошенничество на устройствах с помощью возможностей удаленного управления, позволяя злоумышленникам манипулировать устройствами жертв и взаимодействовать с ними в режиме реального времени. Он может отслеживать основные финансовые приложения и взаимодействовать с ними, поскольку в его исходном коде жестко задано более 400 целевых показателей. Ключевые функциональные возможности включают в себя сбор учетных записей с помощью оверлейных атак и возможность осуществлять наблюдение за зараженным устройством в режиме реального времени, аналогично троянцу удаленного доступа (RAT).

Процесс установки часто начинается с поддельного приложения, которое служит дроппером для основной полезной нагрузки Albiriox. Этот подход использует JSONPacker, метод запутывания, который усложняет статический анализ и усилия по обнаружению. Вредоносное ПО устанавливает постоянный канал связи со своей инфраструктурой управления (C2) через незашифрованное соединение через сокет TCP, что усиливает его способность поддерживать контроль над скомпрометированными устройствами.

Примечательно, что Albiriox использует сложные методы наложения для выполнения сбора учетных записей, развертывая несколько типов экранов наложения для сбора конфиденциальной информации. Разработчики вредоносного ПО уделяют приоритетное внимание тактике уклонения, активно обсуждая его статус полностью необнаруживаемого (FUD) на подпольных форумах и предлагая пользовательский конструктор как часть инфраструктуры MaaS.

Обширный набор команд, доступный для Albiriox, подтверждает его дизайн как надежного инструмента для проведения финансовых махинаций, с механизмами удаленного управления, манипуляций с экраном и мониторинга устройств, встроенными в вредоносное ПО. Это событие сигнализирует о тревожной тенденции в эволюции угроз мобильного банкинга, подчеркивая необходимость повышенной бдительности и передовых мер безопасности против таких сложных киберугроз. В целом, возможности и стратегии распространения Albiriox подчеркивают значительный прогресс в тактике, используемой киберпреступниками, нацеленными на финансовый сектор и криптовалютный сектор.

#ParsedReport #CompletenessLow
04-12-2025

Return of ClayRat: Expanded Features and Techniques

https://zimperium.com/blog/return-of-clayrat-expanded-features-and-techniques

Report completeness: Low

Threats:
Clayrat

Victims:
Mobile users

Geo:
Russian

TTPs:
Tactics: 9
Technics: 18

Soft:
Android, Dropbox, Google Play, Whatsapp

Algorithms:
aes, cbc

Functions:
onNotificationPosted

Links:
https://github.com/Zimperium/IOC/tree/master/2025-12-ClayRatv3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ClayRat, программа-шпион для Android, идентифицированная zLabs, значительно эволюционировала с момента своего первоначального обнаружения и теперь выполняет такие функции, как кража SMS и журнала вызовов, захват фотографий и массовые сообщения. Вредоносное ПО использует технологию dropper для обхода системы безопасности Android, при этом полезная нагрузка шифруется с использованием AES / CBC и запрашивает разрешения SMS по умолчанию для облегчения credential stealing. Версия 3.0.8 расширяет возможности Захвата экрана с помощью API MediaProjection и использует различные тактики уклонения, включая наложения и Имперсонацию законного приложения, подчеркивая его расширенный профиль угроз.
-----

Повторное появление ClayRat, программы-шпиона для Android, выявленной командой zLabs, знаменует заметную эволюцию ее возможностей и методов. Впервые обнаруженный в октябре, ClayRat предназначен для выполнения различных вредоносных действий, таких как кража SMS-сообщений, журналов вызовов, захват фотографий, инициирование телефонных звонков и массовая отправка SMS контактам жертвы. Это вредоносное ПО распространяется через более чем 25 доменов для фишинга, включая мошеннические Имперсонации популярных платформ, таких как YouTube, и приложений, таких как автомобильный сканер ELM, который связан с диагностикой транспортных средств.

Техническая структура ClayRat использует метод dropper, аналогичный его предшественнику, для обхода мер безопасности Android. Вредоносная полезная нагрузка скрыта в папке assets в зашифрованном формате и расшифровывается во время выполнения с использованием шифрования AES/CBC с жестко закодированным ключом. После установки вредоносное ПО предлагает жертве предоставить разрешения на отправку SMS по умолчанию, что имеет решающее значение для ее работы, включая включение служб специальных возможностей. Это разрешение позволяет ClayRat отслеживать взаимодействие с экраном блокировки, эффективно похищая учетные данные, наблюдая за действиями пользователя, такими как нажатие кнопок и ввод данных на экране блокировки.

Версия 3.0.8 ClayRat предоставляет расширенные возможности, в частности, связанные с взаимодействием с уведомлениями и манипуляциями с ними. Он использует API MediaProjection для облегчения Захвата экрана и записи, инициируемой командой, называемой turbo_screen, используя внутренние ресурсы, такие как VirtualDisplay, для зеркального отображения экрана в реальном времени. Эта функциональность поддерживается ForegroundService, даже если приложение не отображается активно.

Более того, ClayRat может использовать наложения, чтобы скрыть свои действия или получить конфиденциальную информацию, такую как PIN-код устройства, с помощью таких команд, как show_block_screen. Его командный арсенал включает в себя механизмы для Регистрации нажатий клавиш, фильтрации уведомлений и контроля вызовов, что подчеркивает комплексный подход к вторжению в частную жизнь и краже пользовательских данных.

Примечательно, что вредоносное ПО демонстрирует изощренные методы уклонения, маскируя свои вредоносные функции под видом законных приложений. Она включает в себя различные методы MITRE ATT&CK, начиная от кампаний фишинга и заканчивая тактикой получения учетных данных, демонстрирующей целый ряд наступательных возможностей. К ним относятся возможность получать SMS-сообщения и отвечать на них, документировать действия на экране и управлять функциями вызова устройства.

В свете этих расширенных возможностей ClayRat представляет все больший риск для безопасности устройств, что требует принятия надежных контрмер для защиты от его многогранных векторов атак. Эволюция вредоносного ПО иллюстрирует закрепление и адаптивность киберугроз, усиливая необходимость постоянной бдительности в практиках кибербезопасности.

#ParsedReport #CompletenessLow
04-12-2025

Shai Hulud 2.0, now with a wiper flavor

https://securelist.com/shai-hulud-2-0/118214/

Report completeness: Low

Threats:
Shai-hulud
Trufflehog_tool

Geo:
Vietnam, Brazil, India, France, Russia, China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1059.007, T1071.001, T1083, T1102.003, T1105, T1195.001, T1485, T1552, have more...

IOCs:
File: 3

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО "Shai Hulud 2.0" появилось в сентябре, используя скомпрометированные пакеты npm с новой функцией очистки. Он устанавливает скрипт, setup_bun.js , который подготавливает систему к дальнейшим действиям и собирает конфиденциальную информацию, такую как токены GitHub, для эксфильтрации данных. Если не удается получить действительные токены, он активирует функцию очистки для удаления пользовательских файлов, подчеркивая свою двойную функциональность как похитителя учетных данных, так и деструктивной угрозы внутри системы. Node.js экосистема.
-----

В сентябре появился новый вариант вредоносного ПО, известный как "Shai Hulud 2.0", распространяемый через скомпрометированные пакеты Node Package Manager (npm). В этой версии появилась функция стеклоочистителя, что ознаменовало значительную эволюцию его функциональности. Начальная полезная нагрузка использует скрипт с именем setup_bun.js , который намеренно оставлен нераскрытым и хорошо задокументированным, чтобы скрыть его истинное намерение подготовить систему к последующим этапам внедрения вредоносного ПО. Скрипт проверяет установку законной среды выполнения Bun JavaScript и устанавливает ее, если она отсутствует, одновременно создавая среду выполнения для дальнейших вредоносных действий.

После запуска Shai Hulud 2.0 предназначен для сбора конфиденциальной информации из нескольких источников. Он активно ищет учетные данные и секреты, используя методы, которые включают сканирование переменных среды в поисках токена доступа GitHub и извлечение данных из конфигурации интерфейса командной строки GitHub (CLI). Использование этих токенов позволяет вредоносному ПО создать канал связи с общедоступным репозиторием GitHub для эксфильтрации украденных данных.

В дополнение к этим возможностям Shai Hulud 2.0 демонстрирует функции саморепликации, встраиваясь в пакеты npm. Вредоносный скрипт сканирует файлы конфигурации .npmrc в домашнем каталоге пользователя и текущем рабочем каталоге, чтобы найти токен авторизации в реестре npm, способствующий его распространению.

Если вредоносному ПО не удается получить действительные токены npm или GitHub, что препятствует усилиям по эксфильтрации данных, оно прибегает к выполнению деструктивной полезной нагрузки. Этот деструктивный ответ запускает функцию очистки, которая систематически удаляет пользовательские файлы, особенно те, которые расположены в домашнем каталоге. Двойственная природа Shai Hulud 2.0 — его способность красть учетные данные и стирать данные — иллюстрирует меняющийся ландшафт угроз с последствиями для разработчиков и пользователей в рамках Node.js экосистема.

На нашем совместном с INSECA CTI Meetup (прошедшем в прошлую субботу) коллеги из Касперского и BI Zone говорили о сложности атрибуции.

Смотрю на эту новость...
Ну не знаю, мне кажется все просто и очевидно же. Что тут сложного-то?

З.ы. Шутка, конечно же. Коллеги правы в сложности и размытости атрибуции :)

#technique

Evading Detection to Ring0 Уклоняемся от детекта вплоть до уровня ядра

https://rt-solar.ru/solar-4rays/blog/6254/

#ParsedReport #CompletenessLow
05-12-2025

SessionReaper (CVE-2025-54236) Discussions on the Dark Web and Telegram

https://flare.io/learn/resources/blog/sessionreaper-cve-2025-54236-dark-web-and-telegram/

Report completeness: Low

Threats:
Sessionreaper_vuln
Residential_proxy_technique

Victims:
Ecommerce platforms, Online retail

Industry:
E-commerce

CVEs:
CVE-2025-54236 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe commerce (2.4.4, 2.4.5, 2.4.6, 2.4.7, 2.4.8)


TTPs:
Tactics: 6
Technics: 6

Soft:
Telegram, Redis, nginx, Unix

Languages:
javascript, php

Links:
https://github.com/amalpvatayam67/day01-sessionreaper-lab