#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Brickstorm - это киберугроза, характеризующаяся использованием методов обфускации, в частности, кодированием полезной нагрузки с помощью "Garble strings", чтобы избежать обнаружения. Вредоносное ПО, по-видимому, использует передовые методы атаки, возможно, используя уязвимости программного обеспечения для получения первоначального доступа. Постоянный мониторинг и анализ его развивающихся возможностей имеют решающее значение, поскольку вредоносное ПО может адаптировать свои методы для обхода мер безопасности.
-----

Brickstorm - заметная киберугроза, которая в последнее время привлекла к себе внимание. Анализ образца, связанного с Brickstorm, загруженного на VirusTotal, позволяет получить важную техническую информацию о его работе и характеристиках.

Вредоносное ПО использует методы обфускации, чтобы избежать обнаружения и анализа. Он использует "garble strings" в качестве метода кодирования своей полезной нагрузки, что затрудняет традиционным решениям безопасности определение его истинного назначения и функциональности. Этот метод обфускации предполагает, что вредоносное ПО разработано с учетом скрытности, направленной на то, чтобы избежать эвристического обнаружения и обнаружения на основе сигнатур средствами безопасности.

Кроме того, поведение Brickstorm указывает на то, что он может использовать передовые методы атаки для компрометации систем. Это включает в себя возможность использования уязвимостей в программном обеспечении для получения первоначального доступа. Хотя конкретные уязвимости не были подробно описаны в анализе, подразумевается, что злоумышленники могут постоянно сканировать системы на наличие незащищенных систем или использовать известные эксплойты для развертывания вредоносного ПО Brickstorm.

Понимание механизмов, лежащих в основе обфускации Brickstorm's, может помочь специалистам по безопасности в разработке более совершенных методов обнаружения. Анализируя закодированные строки и поведение, проявляемое вредоносным ПО, исследователи могут создавать более индивидуальные сигнатуры для стратегий обнаружения и реагирования.

Более того, в отчете подчеркивается важность мониторинга и анализа вновь обнаруженных образцов Brickstorm, поскольку его возможности и методы могут эволюционировать с течением времени. Этот постоянный анализ имеет решающее значение для поддержания в актуальном состоянии средств защиты от таких постоянных угроз. Таким образом, Brickstorm представляет собой развивающуюся киберугрозу, которая использует сложные методы для поддержания скрытности, подчеркивая необходимость постоянной бдительности и инноваций в мерах киберзащиты.

#ParsedReport #CompletenessHigh
05-12-2025

UDPGangster Campaigns Target Multiple Countries

https://www.fortinet.com/blog/threat-research/udpgangster-campaigns-target-multiple-countries

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)

Threats:
Udpgangster
Phoenix_keylogger

Victims:
Government, Organizations

Industry:
Government

Geo:
Israel, Middle east, Azerbaijan, Israeli, Turkish, Cyprus, Turkey

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.005, T1095, T1204.002, T1566.001

IOCs:
Domain: 1
File: 18
Path: 3
Registry: 1
IP: 2
Url: 2
Hash: 12

Soft:
Microsoft Word, VirtualBox, QEMU

Algorithms:
zip, base64

Functions:
Document_Open, SmartToggle

Win API:
CreateProcessA, GetLogicalProcessorInformation, GlobalMemoryStatusEx, GetAdaptersInfo, GetModuleHandleA

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампании UDPGangster, приписываемые хакерской группировке MuddyWater, используют передовые методы доставки, такие как механизмы на основе макросов, встроенные в документы, для проведения атак с помощью фишингов электронных писем, которые выдают себя за официальные источники. Связанное с ним вредоносное ПО представляет собой бэкдор на основе UDP, который взаимодействует со своим сервером C2 по протоколу пользовательских дейтаграмм и использует методы антианализа, чтобы избежать обнаружения. Нацеленные на организации в таких регионах, как Израиль, Азербайджан и Турция, эти кампании свидетельствуют о высоком уровне изощренности и координации, типичных для спонсируемых государством акторов.
-----

Кампании UDPGangster раскрывают использование передовых методов доставки и изощренных методов уклонения, связанных с хакерской группировкой MuddyWater. Прежде всего, в этих кампаниях используются механизмы доставки на основе макросов, которые часто встраиваются в документы в качестве средства инициирования атак. Электронные письма с фишингом, используемые в этих кампаниях, выдают себя за заслуживающие доверия источники, такие как Министерство иностранных дел Турецкой Республики Северного Кипра. Получателей заманивают на онлайн-семинар на тему "Президентские выборы и их результаты" с помощью электронных писем, содержащих вложения с названием seminer.doc и seminer.zip . Адрес отправителя составлен таким образом, чтобы максимально походить на официальное сообщение, а содержание представлено на официальном турецком языке для придания аутентичности.

Вредоносное ПО, связанное с UDPGangster, идентифицируется как бэкдор на основе UDP, который взаимодействует со своим сервером управления (C2), используя протокол пользовательских дейтаграмм (UDP). Обозначение "UDPGangster" происходит от пути к базе данных встроенных программ (PDB), найденного в файлах образцов, что указывает на предысторию разработки, связанную с исполняемым файлом. Эти пути примечательны и предполагают общую родословную различных вредоносных документов, что еще больше указывает на одних и тех же злоумышленников. Например, другой исполняемый файл, обнаруженный в отдельном вредоносном документе, содержит аналогичный путь к PDB.

UDPGangster использует различные методы антианализа, предназначенные для предотвращения обнаружения исследователями безопасности и автоматизированными системами анализа. Эти методы включают проверки, которые определяют, анализируется ли среда, тем самым позволяя вредоносному ПО изменять свое поведение, чтобы эффективно уклоняться от обнаружения. Эта возможность подчеркивает изощренность и намерение, стоящие за дизайном UDPGangster's, и представляет значительную угрозу для целевых организаций.

Кампании продемонстрировали, что они нацелены на организации в конкретных регионах, включая Израиль, Азербайджан и Турцию, что указывает на согласованные усилия группы MuddyWater. Общая инфраструктура и сходство кода предполагают более высокий уровень организации и планирования, типичный для спонсируемых государством злоумышленников, что еще раз подчеркивает серьезный характер рисков, связанных с такими кампаниями.

#ParsedReport #CompletenessHigh
05-12-2025

French NGO Reporters Without Borders targeted by Calisto in recent campaign

https://blog.sekoia.io/ngo-reporters-without-borders-targeted-by-calisto-in-recent-campaign/

Report completeness: High

Actors/Campaigns:
Calisto (motivation: cyber_espionage)
Seaborgium
Gamaredon
Fancy_bear

Threats:
Spear-phishing_technique
Clickfix_technique
Supply_chain_technique
Credential_harvesting_technique
Evilginx_tool
Aitm_technique

Victims:
Reporters without borders, Nonprofit organizations, Media organizations, Journalism support organizations, Entities supporting ukraine

Industry:
Military, Logistic, Ngo

Geo:
Ukraine, Australia, New zealand, Russia, Russian, Usa, Ukrainian, French

ChatGPT TTPs:
do not use without manual check
T1056.003, T1059.007, T1204.001, T1204.002, T1566.001, T1583.001

IOCs:
Email: 1
Domain: 86
File: 1
Url: 7
IP: 1

Soft:
Twitter, ProtonMail, ProtonDrive, Nginx

Algorithms:
zip

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В середине 2025 года вторжение Calisto нацелилось на "Репортеров без границ", используя тактику spear phishing, которая включала сбор учетных записей и потенциальное выполнение кода с помощью таких методов, как ClickFix. Попытки фишинга включали электронные письма, имитирующие доверенные контакты, и использовали специально разработанный набор для фишинга, предназначенный для обмана пользователей ProtonMail, используя метод Злоумышленника посередине для ретрансляции двухфакторной аутентификации. Операция продемонстрировала постоянный интерес Calisto's к политически мотивированным объектам, в первую очередь организациям, поддерживающим Украину.
-----

В мае и июне 2025 года группа взломщиков, известная как Calisto, также известная как ColdRiver или Star Blizzard, нацелилась на французскую неправительственную организацию "Репортеры без границ" (RSF) с помощью серии попыток spear phishing. Эта кампания согласуется с установленными Calisto's тактиками, техниками и процедурами (TTP), в первую очередь включающими сбор учетных записей и потенциальное выполнение кода с помощью таких методов, как техника ClickFix. Эти атаки конкретно нацелены на организации, поддерживающие Украину, что указывает на постоянный интерес актора к политически мотивированным целям.

Операция против "Репортеров без границ" началась в марте 2025 года, когда неправительственная организация сообщила о подозрительном электронном письме с фишингом, полученном одним из ее основных членов. Электронное письмо было отправлено с адреса ProtonMail, созданного для имитации доверенного контакта, с просьбой ознакомиться с несуществующим документом. Эта распространенная тактика в кампаниях Calisto's направлена на то, чтобы побудить получателя запросить недостающий файл, и в этот момент злоумышленник может отправить фактическую вредоносную полезную нагрузку в последующем сообщении. Сообщение о фишинге было составлено на французском языке и сопровождалось соответствующей подписью предполагаемого доверенного лица, однако вместо активного PDF-файла в нем содержалась неработающая ссылка.

В отдельном инциденте злоумышленники попытались обмануть другую жертву, прикрепив файл, помеченный как PDF. Однако этот файл представлял собой ZIP-архив, неверно представленный как PDF, что еще больше усложняло возможность жертвы запустить файл и усиливало уловку фишинга.

Анализ набора для фишинга показал, что он был специально создан для нацеливания на учетные записи ProtonMail, размещенные в домене, связанном с злоумышленником. Этот набор обладал уникальными характеристиками, которые не были связаны с известными фреймворками, такими как Evilginx, что подчеркивало его самодельный характер. Примечательно, что он использовал метод Злоумышленника посередине (AiTM) для ретрансляции двухфакторной аутентификации, который облегчает внедрение вредоносного JavaScript на страницы фишинга для входа в систему.

С точки зрения инфраструктуры, в недавних кампаниях Calisto's использовались серверы двух типов: в одной группе размещались веб-страницы для фишинга, в то время как другая функционировала как конечные точки API. Базовый анализ Passive DNS и сервисов позволил идентифицировать домены, используемые в этих кампаниях по фишингу, выявив операционную структуру, которая поддерживает постоянные усилия Calisto's по кибершпионажу и краже учетных данных.

#ParsedReport #CompletenessLow
05-12-2025

Weekly Threat Infrastructure Investigation(Week48)

https://disconinja.hatenablog.com/entry/2025/12/05/234503

Report completeness: Low

Threats:
Venomrat
Cobalt_strike_tool
Viper
Sliver_c2_tool
Octopus

Geo:
Japan

IOCs:
IP: 7

#ParsedReport #CompletenessMedium
05-12-2025

Atomic Stealer: Darktraces Investigation of a Growing macOS Threat

https://www.darktrace.com/blog/atomic-stealer-darktraces-investigation-of-a-growing-macos-threat

Report completeness: Medium

Threats:
Amos_stealer
Clickfix_technique
Realst

Victims:
Education sector, Apple users

Industry:
Education

Geo:
Americas, Apac, Africa, Asia pacific, Emea, Netherlands, Middle east

TTPs:
Tactics: 2
Technics: 3

IOCs:
IP: 4
File: 1

Soft:
macOS, Telegram, cURL

Wallets:
electrum

Algorithms:
base64, zip

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
windows: 5, code: 1, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2024 году пользователи macOS столкнулись со значительным всплеском вредоносного ПО от стиллера, количество зарегистрированных случаев увеличилось на 101%, что ознаменовало переход от угроз, нацеленных на Windows. Среди них появился Atomic macOS стиллер (AMOS), способный извлекать конфиденциальную информацию, такую как пароли для Связки ключей и данные веб-браузера. Активность вредоносного ПО начала распространяться в июне 2025 года и наиболее заметно затронула сектор образования, с несколькими IP-адресами командования и контроля (45.94.47.149, 45.94.47.144, 45.94.47.158, 45.94.47.211), связанными с его операциями.
-----

Ситуация с угрозами для пользователей macOS становится все более тревожной с появлением стиллеров информации, особенно в 2024 году, что знаменует собой значительный отход от среды вредоносного ПО, ориентированной на Windows. В недавнем отчете отмечается заметный рост на 101% числа внедрений стиллеров информации macOS всего за два квартала, что вызывает обеспокоенность у организаций, управляющих устройствами Apple. Стиллеры предназначены для извлечения конфиденциальной информации, включая учетные данные и финансовые данные, которые впоследствии могут быть проданы или использованы злоумышленниками в дальнейшем.

Одним из наиболее значимых выявленных угроз похититель атомной Стиллер (AMOS), впервые была зафиксирована в 2023 году. Это вредоносное ПО обладает расширенными возможностями для эксфильтрации множество конфиденциальной информации, такой как связка ключей Брелок, данные браузера, файлы cookie и криптовалюта кошелек информации. Методические разработки Atomic Stealer позволяет эффективно сбора критически важных данных из других систем.

Darktrace начала отслеживать рост популярности Atomic Stealer в июне 2025 года, наблюдая за его быстрым распространением со значительным воздействием на своих клиентов в 24 странах. Первоначально большинство обнаружений было сосредоточено в регионах Европы, Ближнего Востока и Африки (EMEA), но активность постепенно распространилась, затронув также пользователей в Северной и Южной Америке и Азиатско-Тихоокеанском регионе. Примечательно, что сектор образования испытал на себе самый высокий уровень воздействия, особенно в сентябре и октябре, которые совпали с возвращением учащихся в школу. Этот всплеск активности, вероятно, коррелирует с увеличением использования устройств, поскольку учащиеся повторно подключили свои потенциально скомпрометированные устройства к школьным сетям.

Расследование также предоставило индикаторы компрометации (IOCs), связанные с Atomic Stealer, включая несколько IP-адресов, связанных с конечными точками командования и контроля (C2) (45.94.47.149, 45.94.47.144, 45.94.47.158 и 45.94.47.211), а также файл с именем "out.zip "подозревается в использовании для эксфильтрации данных. Эти технические подробности подчеркивают продолжающуюся эволюцию угроз безопасности в экосистеме macOS и подчеркивают настоятельную необходимость усиления мер безопасности для защиты конфиденциальной информации от этой растущей угрозы.

#ParsedReport #CompletenessHigh
05-12-2025

Unveiling WARP PANDA: A New Sophisticated China-Nexus Adversary

https://www.crowdstrike.com/en-us/blog/warp-panda-cloud-threats/

Report completeness: High

Actors/Campaigns:
Warp_panda (motivation: cyber_espionage)

Threats:
Brickstorm
Junction
Guestconduit_tool
Timestomp_technique

Victims:
Legal sector, Technology sector, Manufacturing sector, Vmware vcenter environments, Cloud environments

Industry:
Government

Geo:
Asia pacific, Chinese, America, China

CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2021-22005 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud_foundation (<5.0)
- vmware vcenter_server (6.5, 6.7, 7.0)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-38812 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud_foundation (<5.2)

CVE-2023-34048 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware vcenter_server (le5.5, 7.0, 8.0)

CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip_access_policy_manager (le13.1.5, le14.1.5, le15.1.10, le16.1.4, le17.1.1)


TTPs:
Tactics: 9
Technics: 31

IOCs:
Hash: 4
IP: 2

Soft:
ESXi, Active Directory Domain Services, Ivanti, BIG-IP, Graph API, Office365

Algorithms:
exhibit, sha256

Languages:
golang

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CrowdStrike выявила изощренного китайского злоумышленника WARP PANDA, нацелившегося на американские организации путем использования уязвимостей VMware vCenter. Группа использует множество вредоносных инструментов, включая бэкдор BRICKSTORM на базе Golang и специфичные для ESXi имплантаты Junction и GuestConduit, которые облегчают выполнение команд и проксирование сетевого трафика. WARP PANDA демонстрирует передовые операционные методы, включая перемещение внутри компании по Облачным сервисам и тактику уклонения, такую как запутывание, для поддержания закрепления и использования устройств, подключенных к Интернету.
-----

В 2025 году CrowdStrike выявила изощренного китайского противника, известного как WARP PANDA, который нацелился на американские организации, используя уязвимости в средах VMware vCenter. WARP PANDA продемонстрировала передовые навыки операционной безопасности и обширные знания облачных сред и сред виртуальных машин, используя несколько вредоносных инструментов, включая вредоносное ПО BRICKSTORM, а также два новых имплантата, специально разработанных для сред ESXi — Junction и GuestConduit.

BRICKSTORM - это бэкдор, реализованный в Golang, который маскируется под законные процессы vCenter, такие как updatemgr и vami-http. Он обладает возможностями туннелирования и управления файлами, позволяя злоумышленнику перемещаться по файловым системам и выполнять передачу файлов. Тем временем Junction, который также работает на серверах ESXi, маскируется под легальный сервис, прослушивая порт 8090. Этот имплантат функционирует как HTTP-сервер с широкими возможностями выполнения команд, а также возможностью прокси-сервера сетевого трафика и взаимодействия с гостевыми виртуальными машинами через сокеты виртуальных машин (VSOCK). GuestConduit, еще один имплантат на базе Golang, предназначен для использования в гостевой виртуальной машине, устанавливая прослушиватель VSOCK на порт 5555 для облегчения связи между гостевыми виртуальными машинами и гипервизорами. Он обрабатывает запросы в формате JSON для зеркального отображения или перенаправления сетевого трафика, помогая Junction выполнять команды туннелирования.

WARP PANDA активно использовала различные уязвимости, особенно в подключенных к Интернету периферийных устройствах и средах VMware, подчеркивая свои возможности в качестве противника, ориентированного на облачные технологии. Было замечено, что группа применяла различные тактики, такие как получение действительных Облачных учетных записей, использование Веб-шеллов для постоянного доступа и использование методов запутывания, таких как Удаление файлов и манипулирование временными метками, чтобы избежать обнаружения. Противник активен по меньшей мере с 2022 года и демонстрирует уникальный арсенал средств, который отличает его от других злоумышленников.

Сетевая инфраструктура группы демонстрирует использование Cloudflare для регистрации доменов и использования услуг VPS-хостинга. Его механизмы командования и контроля работают с использованием WebSockets по протоколам TLS и DNS-over-HTTPS для обеспечения безопасности каналов связи. Примечательно, что злоумышленник продемонстрировал возможности по перемещению внутри компании через Облачные сервисы, используя учетные данные и SSH для перехода между серверами vCenter и хостами ESXi.

Таким образом, WARP PANDA воплощает в себе очень сложного злоумышленника, использующего передовые технологии вредоносного ПО и оперативные тактики для проникновения и закрепления в целевых облачных средах, особенно тех, которые основаны на технологии VMware. Продолжающаяся эволюция этого противника и специфические методы, которые он использует, подчеркивают сохраняющиеся риски, с которыми сталкиваются организации в сфере облачной инфраструктуры.

#ParsedReport #CompletenessMedium
05-12-2025

Behind the Walls: Techniques and Tactics in Castle RAT Client Malware

https://www.splunk.com/en_us/blog/security/castlerat-malware-detection-splunk-mitre-attck.html

Report completeness: Medium

Threats:
Nightshade
Dead_drop_technique
Uac_bypass_technique
Fodhelper_technique

Victims:
Windows users

TTPs:
Tactics: 4
Technics: 12

IOCs:
File: 15
Hash: 4

Soft:
chrome, firefox, Steam, Slack

Algorithms:
rc4, sha256

Functions:
SetWindowsHookEx, MFEnumDeviceSources

Win API:
SendInput, NtDuplicateObject, DuplicateHandle

Languages:
powershell, python, java

Platforms:
x86

Links:
have more...
https://github.com/Kudaes/Elevator/tree/main

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CastleRAT - это троян удаленного доступа (RAT), который собирает конфиденциальную информацию, такую как системные данные и Данные из буфера обмена, выполняя Регистрацию нажатий клавиш, Захват видеоданных и Перехват сессии браузера. Он взаимодействует со своим сервером командования и управления, используя зашифрованные передачи с помощью потокового шифра RC4, и устанавливает закрепление путем регистрации в качестве запланированной задачи. Меры безопасности могут включать мониторинг аномального поведения, особенно связанного с методами дублирования дескрипторов Windows, используемыми для повышения привилегий.
-----

CastleRAT - это троян удаленного доступа (RAT) с целым рядом разрушительных функций, которые он развертывает в вредоносных целях. Его основные возможности включают сбор системной информации, сбор Данных из буфера обмена, Регистрацию нажатий клавиш, Межпроцессное взаимодействие и Захват видеоданных. Когда устройство скомпрометировано, CastleRAT собирает основные системные данные, такие как имя компьютера, логин и общедоступный IP-адрес, часто отправляя эти данные обратно на свой сервер командования и контроля (C2) для постоянного наблюдения.

Вредоносное ПО использует несколько потоков для одновременного выполнения различных действий, включая извлечение Данных из буфера обмена. Этот метод особенно агрессивен, поскольку он нацелен на конфиденциальную информацию, такую как имена пользователей и пароли, которые часто копируются пользователями. Кроме того, CastleRAT использует потоковый шифр RC4 для защиты передачи данных между зараженным хостом и сервером C2, включая загрузку и выполнение своих плагинов с помощью утилиты Windows rundll32.exe .

Регистрация нажатий клавиш - еще одна важная функция, при которой CastleRAT фиксирует ввод с клавиатуры и шифрует данные перед отправкой их на сервер злоумышленника. Вредоносное ПО также может создать бэкдор для выполнения команд на компьютере жертвы с помощью анонимных каналов Межпроцессного взаимодействия (IPC), что позволяет выполнять скрытые команды без каких-либо очевидных признаков для пользователя.

CastleRAT еще больше усиливает свой контроль над зараженной системой посредством Перехвата сессии браузера, который включает в себя завершение существующих процессов браузера для их повторного открытия способом, позволяющим осуществлять необнаруженный мониторинг звука. Кроме того, он захватывает видео и аудио с помощью API Microsoft Media Foundation, позволяя злоумышленнику подтвердить существование устройств захвата перед началом шпионской деятельности.

Чтобы обеспечить закрепление, CastleRAT регистрирует себя как запланированную задачу, позволяя ей выполняться при запуске системы, тем самым сохраняя свою точку опоры после перезагрузки. Он также использует Закладки с данными, используя, казалось бы, безобидные онлайн-платформы, такие как страницы сообщества Steam, для запутывания процессов поиска команд и взаимодействия с данными.

Важным аспектом работы CastleRAT's является повышение привилегий с помощью методов дублирования дескрипторов Windows. В частности, он использует службу Appinfo для запуска выполнения доверенного двоичного файла в привилегированном контексте, что затем позволяет вредоносному ПО дублировать дескрипторы процессов. Этот метод облегчает скрытное повышение привилегий и создает проблемы для криминалистического анализа из-за его минимального объема на диске.

Обнаружение действий CastleRAT может быть достигнуто с помощью специальных аналитических стратегий, фокусирующихся на поведении, связанном с его операциями, таких как мониторинг необычного дублирования дескрипторов в законных двоичных файлах и выявление несанкционированного выполнения кода с помощью rundll32.exe . Эти методы обнаружения имеют решающее значение для выявления и смягчения угрозы, исходящей от CastleRAT и аналогичного вредоносного ПО.

#ParsedReport #CompletenessLow
05-12-2025

China-nexus cyber threat groups rapidly exploit React2Shell vulnerability (CVE-2025-55182)

https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/

Report completeness: Low

Actors/Campaigns:
Earth_lamia
Jackpot_panda

Threats:
React2shell_vuln

Victims:
React applications, Next.js applications

Industry:
Government, Retail, Education, Logistic

Geo:
Latin america, Middle east, China, Asia, Chinese

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-1338 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1190, T1587.006, T1595, T1598.003

IOCs:
File: 2
IP: 4

Soft:
Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4