#ParsedReport #CompletenessMedium
04-12-2025

Dangerous Invitations: Russian Threat Actor Spoofs European Security Events in Targeted Phishing Attacks

https://www.volexity.com/blog/2025/12/04/dangerous-invitations-russian-threat-actor-spoofs-european-security-events-in-targeted-phishing-attacks/

Report completeness: Medium

Actors/Campaigns:
Uta0355

Threats:
Spear-phishing_technique
Device_code_phishing_technique
Credential_stealing_technique

Victims:
Microsoft users, Google users, Conference attendees, Volexity customers

Industry:
Government

Geo:
Serbia, Russia, Indo pacific, Russian, Indo-pacific, Belgium

ChatGPT TTPs:
do not use without manual check
T1078.004, T1204.001, T1566.002, T1583.001, T1585.003, T1591

IOCs:
Domain: 7
Url: 11

Soft:
WhatsApp, Microsoft Entra, Linux, Android, Gmail, Volexity Volcano

Algorithms:
base64

Platforms:
apple

Links:
have more...
https://github.com/denniskniep/DeviceCodePhishing
https://github.com/volexity/threat-intel/blob/main/2025/2025-12-03%20UTA0355/iocs.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2025 году российский злоумышленник UTA0355 использовал передовые методы фишинга, нацеленные на пользователей Microsoft 365 и Google, в частности, с помощью OAuth и рабочих процессов с кодом устройства. Они начали операции с использованием мошеннического веб-сайта, связанного с Белградской конференцией по безопасности, используя тактику социальной инженерии, общаясь с лицами, которые отказываются от участия, тем самым расширяя свою сеть потенциальных жертв. Эта стратегия включает в себя запрос дополнительных контактов по электронной почте, что увеличивает общий риск компрометации.
-----

В 2025 году российские злоумышленники стали применять все более изощренные методы фишинга, в частности, используя OAuth Microsoft 365 и рабочие процессы аутентификации по коду устройства. Анализ Volexity показывает, что эти акторы постоянно ориентируются на пользователей платформ Microsoft и Google, адаптируя свои методы и темы для социальной инженерии, чтобы повысить их эффективность. Несмотря на предыдущие предупреждения, распространенность этих методов свидетельствует о тенденции, которая продолжает развиваться.

Злоумышленники расширили свои операции по фишингу, используя учетную запись Gmail для отправки электронных писем с Целевым фишингом, связанных с мошенническим веб-сайтом, bsc2025.org , которая ложно представляет себя связанной с Белградской конференцией по безопасности. Эта тактика иллюстрирует преднамеренную попытку использовать законные ассоциации событий для обмана целей, демонстрируя сочетание социальной инженерии и веб-Имперсонации.

Более того, злоумышленник, идентифицированный под кодовым именем UTA0355, демонстрирует стратегию расширения своего охвата путем общения с теми, кто отказывается от участия в поддельном мероприятии. После ответа потенциальной жертвы, указывающего, что они не могут присутствовать, UTA0355 извлекает выгоду из этого взаимодействия, поощряя их регистрироваться для получения обновлений, а также запрашивая дополнительные имена и Адреса эл. почты заинтересованных коллег. Эта тактика не только способствует более эффективному нацеливанию, но и оказалась успешной в расширении сети потенциальных жертв злоумышленника. В некоторых случаях сообщалось даже о случаях социального знакомства жертв, что еще больше усугубляло риск.

#ParsedReport #CompletenessHigh
05-12-2025

Weyhro C2: Because Ransomware Wasnt Paying the Bills Anymore

https://lumma-labs.com/weyhro-c2-because-ransomware-wasnt-paying-the-bills-anymore-b136fd7ef100?gi=0d5f4ec2222c

Report completeness: High

Threats:
Weyhro-c2_tool
Lumma_stealer
Residential_proxy_technique
Proxychains_tool
Hvnc_tool
Polymorphism_technique
Process_injection_technique
Process_hollowing_technique

Victims:
Enterprises, Windows users

Industry:
Healthcare

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1055, T1055.012, T1059.003, T1090.003, T1106, T1140, T1518.001, have more...

IOCs:
File: 4
Path: 3
Hash: 3
IP: 1

Soft:
Event Tracing for Windows, Local Security Authority

Algorithms:
xor, aes-128, chacha20, aes-128-ctr, aes

Functions:
FindFirstFile, FindNextFile, CreateRemoteThread-based, send

Win API:
CreateFileW, GetFileSize, VirtualAlloc, ReadFile, CloseHandle, EtwEventWrite, AmsiScanBuffer, SHGetFolderPathW, GetFileAttributesW, RegOpenKeyExA, have more...

Win Services:
bits

Platforms:
x86, x64

YARA: Found

Links:
https://github.com/RussianPanda95/Yara-Rules/blob/main/WeyhroC2/win\_mal\_weyhroc2.yar?source=post\_page-----b136fd7ef100---------------------------------------

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Полезная нагрузка Weyhro C2 использует передовые методы обхода, включая шифрование ChaCha20 для запутывания и Disabling Event Tracing для телеметрии Windows путем перезаписи функции "EtwEventWrite". Он достигает закрепления, копируя себя в каталог AppData, и использует Внедрение в пустой процесс для ввода кода в `cmd.exe `, и все это при использовании hidden VNC для необнаруженной работы. Вредоносное ПО включает в себя возможности для извлечения заявок Kerberos и устанавливает прокси-сервер SOCKS5 для маршрутизации трафика, хотя его передача данных по управлению, в частности, незашифрована, что создает потенциальный риск перехвата.
-----

Полезная нагрузка Weyhro C2 является примером сложного подхода к киберугрозам, в основном использующего различные методы уклонения и функциональные возможности, которые подчеркивают его злонамеренный умысел. Он использует шифрование ChaCha20 для запутывания путей к файлам, в частности для расшифровки целевых путей к файлам, таких как `C:\Windows\System32\ntdll.dll `. Он отключает отслеживание событий для телеметрии Windows (ETW) путем прямой перезаписи функции 'EtwEventWrite` в ntdll.dll , облегчающий скрытное поведение во время работы.

Для закрепления Weyhro C2 копирует себя в каталог AppData пользователя, заменяя любой существующий файл, чтобы обеспечить чистую установку. Это выполняется с помощью прямых вызовов API, проверки наличия существующих файлов с помощью `GetFileAttributesW` и выполнения удалений при необходимости.

Одним из ключевых методов атаки, используемых этой полезной нагрузкой, является Внедрение в пустой процесс. Он расшифровывает путь для `cmd.exe `, затем запускает его в подвешенном состоянии. Это позволяет полезной нагрузке внедрять свой код в законный процесс, выполняя операции, не вызывая немедленных подозрений. В сочетании с этим полезная нагрузка включает функцию скрытых виртуальных сетевых вычислений (HVNC), создающую невидимый сеанс рабочего стола для evasion, который позволяет приложениям запускаться незамеченными жертвой.

Кроме того, Weyhro C2 интегрирует возможности для извлечения билетов Kerberos, используя локальные службы безопасности (LSA) для сбора конфиденциальной аутентификационной информации. Загрузчик уникальным образом разрешает функции Windows API с помощью поиска по хэшу DJB2 вместо типичных таблиц импорта, добавляя еще один уровень скрытности.

Коммуникация по управлению (C2) примечательна использованием незашифрованного открытого текста, несмотря на использование внутреннего шифрования для запутывания строк. Эта уязвимость может подвергнуть трафик полезной нагрузки перехвату, потенциально раскрывая оперативную информацию защитникам.

Кроме того, команды C2 включают в себя различные функциональные возможности, такие как установка прокси-сервера SOCKS5 для маршрутизации трафика с скомпрометированного компьютера, создание обратной оболочки для выполнения команд и реализация механизма сердцебиения для поддержания соединения с сервером C2. Возможности Внедрения кода в процесс еще больше расширяются благодаря классическим методам, таким как "CreateRemoteThread", подчеркивающим способность полезной нагрузки выполнять свои команды в контексте законных процессов.

Weyhro C2 отражает полный набор функций, предназначенных для скрытности, закрепления и эксплуатационной гибкости, что представляет значительные риски для затронутых сетей.

#ParsedReport #CompletenessLow
04-12-2025

Decoding Brickstorms Garble strings

https://medium.com/walmartglobaltech/decoding-brickstorms-garble-strings-b0a60828b3cc?source=rss-36e34fe15919------2

Report completeness: Low

Threats:
Brickstorm
Garble_tool

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Brickstorm - это киберугроза, характеризующаяся использованием методов обфускации, в частности, кодированием полезной нагрузки с помощью "Garble strings", чтобы избежать обнаружения. Вредоносное ПО, по-видимому, использует передовые методы атаки, возможно, используя уязвимости программного обеспечения для получения первоначального доступа. Постоянный мониторинг и анализ его развивающихся возможностей имеют решающее значение, поскольку вредоносное ПО может адаптировать свои методы для обхода мер безопасности.
-----

Brickstorm - заметная киберугроза, которая в последнее время привлекла к себе внимание. Анализ образца, связанного с Brickstorm, загруженного на VirusTotal, позволяет получить важную техническую информацию о его работе и характеристиках.

Вредоносное ПО использует методы обфускации, чтобы избежать обнаружения и анализа. Он использует "garble strings" в качестве метода кодирования своей полезной нагрузки, что затрудняет традиционным решениям безопасности определение его истинного назначения и функциональности. Этот метод обфускации предполагает, что вредоносное ПО разработано с учетом скрытности, направленной на то, чтобы избежать эвристического обнаружения и обнаружения на основе сигнатур средствами безопасности.

Кроме того, поведение Brickstorm указывает на то, что он может использовать передовые методы атаки для компрометации систем. Это включает в себя возможность использования уязвимостей в программном обеспечении для получения первоначального доступа. Хотя конкретные уязвимости не были подробно описаны в анализе, подразумевается, что злоумышленники могут постоянно сканировать системы на наличие незащищенных систем или использовать известные эксплойты для развертывания вредоносного ПО Brickstorm.

Понимание механизмов, лежащих в основе обфускации Brickstorm's, может помочь специалистам по безопасности в разработке более совершенных методов обнаружения. Анализируя закодированные строки и поведение, проявляемое вредоносным ПО, исследователи могут создавать более индивидуальные сигнатуры для стратегий обнаружения и реагирования.

Более того, в отчете подчеркивается важность мониторинга и анализа вновь обнаруженных образцов Brickstorm, поскольку его возможности и методы могут эволюционировать с течением времени. Этот постоянный анализ имеет решающее значение для поддержания в актуальном состоянии средств защиты от таких постоянных угроз. Таким образом, Brickstorm представляет собой развивающуюся киберугрозу, которая использует сложные методы для поддержания скрытности, подчеркивая необходимость постоянной бдительности и инноваций в мерах киберзащиты.

#ParsedReport #CompletenessHigh
05-12-2025

UDPGangster Campaigns Target Multiple Countries

https://www.fortinet.com/blog/threat-research/udpgangster-campaigns-target-multiple-countries

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)

Threats:
Udpgangster
Phoenix_keylogger

Victims:
Government, Organizations

Industry:
Government

Geo:
Israel, Middle east, Azerbaijan, Israeli, Turkish, Cyprus, Turkey

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.005, T1095, T1204.002, T1566.001

IOCs:
Domain: 1
File: 18
Path: 3
Registry: 1
IP: 2
Url: 2
Hash: 12

Soft:
Microsoft Word, VirtualBox, QEMU

Algorithms:
zip, base64

Functions:
Document_Open, SmartToggle

Win API:
CreateProcessA, GetLogicalProcessorInformation, GlobalMemoryStatusEx, GetAdaptersInfo, GetModuleHandleA

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампании UDPGangster, приписываемые хакерской группировке MuddyWater, используют передовые методы доставки, такие как механизмы на основе макросов, встроенные в документы, для проведения атак с помощью фишингов электронных писем, которые выдают себя за официальные источники. Связанное с ним вредоносное ПО представляет собой бэкдор на основе UDP, который взаимодействует со своим сервером C2 по протоколу пользовательских дейтаграмм и использует методы антианализа, чтобы избежать обнаружения. Нацеленные на организации в таких регионах, как Израиль, Азербайджан и Турция, эти кампании свидетельствуют о высоком уровне изощренности и координации, типичных для спонсируемых государством акторов.
-----

Кампании UDPGangster раскрывают использование передовых методов доставки и изощренных методов уклонения, связанных с хакерской группировкой MuddyWater. Прежде всего, в этих кампаниях используются механизмы доставки на основе макросов, которые часто встраиваются в документы в качестве средства инициирования атак. Электронные письма с фишингом, используемые в этих кампаниях, выдают себя за заслуживающие доверия источники, такие как Министерство иностранных дел Турецкой Республики Северного Кипра. Получателей заманивают на онлайн-семинар на тему "Президентские выборы и их результаты" с помощью электронных писем, содержащих вложения с названием seminer.doc и seminer.zip . Адрес отправителя составлен таким образом, чтобы максимально походить на официальное сообщение, а содержание представлено на официальном турецком языке для придания аутентичности.

Вредоносное ПО, связанное с UDPGangster, идентифицируется как бэкдор на основе UDP, который взаимодействует со своим сервером управления (C2), используя протокол пользовательских дейтаграмм (UDP). Обозначение "UDPGangster" происходит от пути к базе данных встроенных программ (PDB), найденного в файлах образцов, что указывает на предысторию разработки, связанную с исполняемым файлом. Эти пути примечательны и предполагают общую родословную различных вредоносных документов, что еще больше указывает на одних и тех же злоумышленников. Например, другой исполняемый файл, обнаруженный в отдельном вредоносном документе, содержит аналогичный путь к PDB.

UDPGangster использует различные методы антианализа, предназначенные для предотвращения обнаружения исследователями безопасности и автоматизированными системами анализа. Эти методы включают проверки, которые определяют, анализируется ли среда, тем самым позволяя вредоносному ПО изменять свое поведение, чтобы эффективно уклоняться от обнаружения. Эта возможность подчеркивает изощренность и намерение, стоящие за дизайном UDPGangster's, и представляет значительную угрозу для целевых организаций.

Кампании продемонстрировали, что они нацелены на организации в конкретных регионах, включая Израиль, Азербайджан и Турцию, что указывает на согласованные усилия группы MuddyWater. Общая инфраструктура и сходство кода предполагают более высокий уровень организации и планирования, типичный для спонсируемых государством злоумышленников, что еще раз подчеркивает серьезный характер рисков, связанных с такими кампаниями.

#ParsedReport #CompletenessHigh
05-12-2025

French NGO Reporters Without Borders targeted by Calisto in recent campaign

https://blog.sekoia.io/ngo-reporters-without-borders-targeted-by-calisto-in-recent-campaign/

Report completeness: High

Actors/Campaigns:
Calisto (motivation: cyber_espionage)
Seaborgium
Gamaredon
Fancy_bear

Threats:
Spear-phishing_technique
Clickfix_technique
Supply_chain_technique
Credential_harvesting_technique
Evilginx_tool
Aitm_technique

Victims:
Reporters without borders, Nonprofit organizations, Media organizations, Journalism support organizations, Entities supporting ukraine

Industry:
Military, Logistic, Ngo

Geo:
Ukraine, Australia, New zealand, Russia, Russian, Usa, Ukrainian, French

ChatGPT TTPs:
do not use without manual check
T1056.003, T1059.007, T1204.001, T1204.002, T1566.001, T1583.001

IOCs:
Email: 1
Domain: 86
File: 1
Url: 7
IP: 1

Soft:
Twitter, ProtonMail, ProtonDrive, Nginx

Algorithms:
zip

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В середине 2025 года вторжение Calisto нацелилось на "Репортеров без границ", используя тактику spear phishing, которая включала сбор учетных записей и потенциальное выполнение кода с помощью таких методов, как ClickFix. Попытки фишинга включали электронные письма, имитирующие доверенные контакты, и использовали специально разработанный набор для фишинга, предназначенный для обмана пользователей ProtonMail, используя метод Злоумышленника посередине для ретрансляции двухфакторной аутентификации. Операция продемонстрировала постоянный интерес Calisto's к политически мотивированным объектам, в первую очередь организациям, поддерживающим Украину.
-----

В мае и июне 2025 года группа взломщиков, известная как Calisto, также известная как ColdRiver или Star Blizzard, нацелилась на французскую неправительственную организацию "Репортеры без границ" (RSF) с помощью серии попыток spear phishing. Эта кампания согласуется с установленными Calisto's тактиками, техниками и процедурами (TTP), в первую очередь включающими сбор учетных записей и потенциальное выполнение кода с помощью таких методов, как техника ClickFix. Эти атаки конкретно нацелены на организации, поддерживающие Украину, что указывает на постоянный интерес актора к политически мотивированным целям.

Операция против "Репортеров без границ" началась в марте 2025 года, когда неправительственная организация сообщила о подозрительном электронном письме с фишингом, полученном одним из ее основных членов. Электронное письмо было отправлено с адреса ProtonMail, созданного для имитации доверенного контакта, с просьбой ознакомиться с несуществующим документом. Эта распространенная тактика в кампаниях Calisto's направлена на то, чтобы побудить получателя запросить недостающий файл, и в этот момент злоумышленник может отправить фактическую вредоносную полезную нагрузку в последующем сообщении. Сообщение о фишинге было составлено на французском языке и сопровождалось соответствующей подписью предполагаемого доверенного лица, однако вместо активного PDF-файла в нем содержалась неработающая ссылка.

В отдельном инциденте злоумышленники попытались обмануть другую жертву, прикрепив файл, помеченный как PDF. Однако этот файл представлял собой ZIP-архив, неверно представленный как PDF, что еще больше усложняло возможность жертвы запустить файл и усиливало уловку фишинга.

Анализ набора для фишинга показал, что он был специально создан для нацеливания на учетные записи ProtonMail, размещенные в домене, связанном с злоумышленником. Этот набор обладал уникальными характеристиками, которые не были связаны с известными фреймворками, такими как Evilginx, что подчеркивало его самодельный характер. Примечательно, что он использовал метод Злоумышленника посередине (AiTM) для ретрансляции двухфакторной аутентификации, который облегчает внедрение вредоносного JavaScript на страницы фишинга для входа в систему.

С точки зрения инфраструктуры, в недавних кампаниях Calisto's использовались серверы двух типов: в одной группе размещались веб-страницы для фишинга, в то время как другая функционировала как конечные точки API. Базовый анализ Passive DNS и сервисов позволил идентифицировать домены, используемые в этих кампаниях по фишингу, выявив операционную структуру, которая поддерживает постоянные усилия Calisto's по кибершпионажу и краже учетных данных.

#ParsedReport #CompletenessLow
05-12-2025

Weekly Threat Infrastructure Investigation(Week48)

https://disconinja.hatenablog.com/entry/2025/12/05/234503

Report completeness: Low

Threats:
Venomrat
Cobalt_strike_tool
Viper
Sliver_c2_tool
Octopus

Geo:
Japan

IOCs:
IP: 7

#ParsedReport #CompletenessMedium
05-12-2025

Atomic Stealer: Darktraces Investigation of a Growing macOS Threat

https://www.darktrace.com/blog/atomic-stealer-darktraces-investigation-of-a-growing-macos-threat

Report completeness: Medium

Threats:
Amos_stealer
Clickfix_technique
Realst

Victims:
Education sector, Apple users

Industry:
Education

Geo:
Americas, Apac, Africa, Asia pacific, Emea, Netherlands, Middle east

TTPs:
Tactics: 2
Technics: 3

IOCs:
IP: 4
File: 1

Soft:
macOS, Telegram, cURL

Wallets:
electrum

Algorithms:
base64, zip

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
windows: 5, code: 1, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2024 году пользователи macOS столкнулись со значительным всплеском вредоносного ПО от стиллера, количество зарегистрированных случаев увеличилось на 101%, что ознаменовало переход от угроз, нацеленных на Windows. Среди них появился Atomic macOS стиллер (AMOS), способный извлекать конфиденциальную информацию, такую как пароли для Связки ключей и данные веб-браузера. Активность вредоносного ПО начала распространяться в июне 2025 года и наиболее заметно затронула сектор образования, с несколькими IP-адресами командования и контроля (45.94.47.149, 45.94.47.144, 45.94.47.158, 45.94.47.211), связанными с его операциями.
-----

Ситуация с угрозами для пользователей macOS становится все более тревожной с появлением стиллеров информации, особенно в 2024 году, что знаменует собой значительный отход от среды вредоносного ПО, ориентированной на Windows. В недавнем отчете отмечается заметный рост на 101% числа внедрений стиллеров информации macOS всего за два квартала, что вызывает обеспокоенность у организаций, управляющих устройствами Apple. Стиллеры предназначены для извлечения конфиденциальной информации, включая учетные данные и финансовые данные, которые впоследствии могут быть проданы или использованы злоумышленниками в дальнейшем.

Одним из наиболее значимых выявленных угроз похититель атомной Стиллер (AMOS), впервые была зафиксирована в 2023 году. Это вредоносное ПО обладает расширенными возможностями для эксфильтрации множество конфиденциальной информации, такой как связка ключей Брелок, данные браузера, файлы cookie и криптовалюта кошелек информации. Методические разработки Atomic Stealer позволяет эффективно сбора критически важных данных из других систем.

Darktrace начала отслеживать рост популярности Atomic Stealer в июне 2025 года, наблюдая за его быстрым распространением со значительным воздействием на своих клиентов в 24 странах. Первоначально большинство обнаружений было сосредоточено в регионах Европы, Ближнего Востока и Африки (EMEA), но активность постепенно распространилась, затронув также пользователей в Северной и Южной Америке и Азиатско-Тихоокеанском регионе. Примечательно, что сектор образования испытал на себе самый высокий уровень воздействия, особенно в сентябре и октябре, которые совпали с возвращением учащихся в школу. Этот всплеск активности, вероятно, коррелирует с увеличением использования устройств, поскольку учащиеся повторно подключили свои потенциально скомпрометированные устройства к школьным сетям.

Расследование также предоставило индикаторы компрометации (IOCs), связанные с Atomic Stealer, включая несколько IP-адресов, связанных с конечными точками командования и контроля (C2) (45.94.47.149, 45.94.47.144, 45.94.47.158 и 45.94.47.211), а также файл с именем "out.zip "подозревается в использовании для эксфильтрации данных. Эти технические подробности подчеркивают продолжающуюся эволюцию угроз безопасности в экосистеме macOS и подчеркивают настоятельную необходимость усиления мер безопасности для защиты конфиденциальной информации от этой растущей угрозы.

#ParsedReport #CompletenessHigh
05-12-2025

Unveiling WARP PANDA: A New Sophisticated China-Nexus Adversary

https://www.crowdstrike.com/en-us/blog/warp-panda-cloud-threats/

Report completeness: High

Actors/Campaigns:
Warp_panda (motivation: cyber_espionage)

Threats:
Brickstorm
Junction
Guestconduit_tool
Timestomp_technique

Victims:
Legal sector, Technology sector, Manufacturing sector, Vmware vcenter environments, Cloud environments

Industry:
Government

Geo:
Asia pacific, Chinese, America, China

CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2021-22005 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud_foundation (<5.0)
- vmware vcenter_server (6.5, 6.7, 7.0)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-38812 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud_foundation (<5.2)

CVE-2023-34048 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware vcenter_server (le5.5, 7.0, 8.0)

CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip_access_policy_manager (le13.1.5, le14.1.5, le15.1.10, le16.1.4, le17.1.1)


TTPs:
Tactics: 9
Technics: 31

IOCs:
Hash: 4
IP: 2

Soft:
ESXi, Active Directory Domain Services, Ivanti, BIG-IP, Graph API, Office365

Algorithms:
exhibit, sha256

Languages:
golang

Platforms:
intel