#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GOLD BLADE, также известный как RedCurl или RedWolf, эволюционирует от кибершпионажа к гибридной модели, сочетающей кражу данных с внедрением пользовательского варианта программы-вымогателя QWCrypt. С начала 2024 года группа была причастна почти к 40 атакам, в основном нацеленным на канадские организации, с использованием методологии атаки, которая использует сторонние платформы для подбора персонала для фишинга и многоэтапной доставки вредоносного ПО. Использование ими таких инструментов, как RPivot для C2 communications и Terminator для отключения решений безопасности, подчеркивает их сложные методы уклонения и адаптацию к улучшениям обнаружения угроз.
-----

GOLD BLADE, также известная как RedCurl и RedWolf, перешла от кибершпионажа к гибридной модели кражи данных и выборочного внедрения программ-вымогателей с использованием QWCrypt. В период с февраля 2024 по август 2025 года аналитики отследили почти 40 вторжений, причем более 80% были нацелены на канадские организации. Группа исторически действовала по модели "hack-for-hire" без сайта утечки данных, но теперь, похоже, монетизируется с помощью Ransomware. Текущая методология атак включает в себя злоупотребление платформами подбора персонала для проведения кампаний фишинга, нацеленных на персонал отдела кадров, использование "оружейных" резюме, в которых размещается zip-файл, что приводит к развертыванию вредоносного ПО RedLoader. Цепи инфекции начинается с оружием резюме, в конечном счете соединяясь с командования и управления (C2) сервер после загрузки динамически подключаемые библиотеки (DLL). В Python Python с именем 'sra.py" или " osr.py используется для создания соединений С2, способствует RPivot для туннелирования трафика. Чтобы избежать обнаружения, они используют инструмент под названием Terminator, использующий уязвимый драйвер от Zemana AntiMalware для отключения решений обнаружения конечных точек. Успешные случаи вымогателей были отмечены в апреле и июле 2025 году, что свидетельствует об адаптации в тактику, основанную на результаты операционной деятельности.

#ParsedReport #CompletenessLow
08-12-2025

Advent of Configuration Extraction - Part 2: Unwrapping QuasarRAT s Configuration

https://blog.sekoia.io/advent-of-configuration-extraction-part-2-unwrapping-quasarrats-configuration/

Report completeness: Low

Threats:
Quasar_rat
Xrat_rat

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1112, T1140

IOCs:
File: 38
Hash: 1

Soft:
Jupyter Notebook, NET Framework, Docker

Algorithms:
cbc, aes-256, pbkdf2, hmac, aes, sha256

Languages:
powershell, python

Links:
https://github.com/pythonnet/pythonnet
https://github.com/dnSpy/dnSpy
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
QuasarRAT - это троян для удаленного доступа .NET, который был перепрофилирован киберпреступниками с момента его выпуска в 2014 году под названием xRAT из-за его природы с открытым исходным кодом. Анализ сосредоточен на извлечении зашифрованных конфигураций из двоичных файлов QuasarRAT с использованием Python и таких инструментов, как dnSpy и ILSpy. Процесс извлечения идентифицирует метод шифрования AES256 и извлекает необходимые ключи и параметры, эффективно расшифровывая настройки, которые управляют поведением RAT, хотя некоторые варианты могут обходить этот метод.
-----

QuasarRAT - это троянец удаленного доступа .NET (RAT), который первоначально появился в 2014 году под названием xRAT и изначально предназначался как инструмент удаленного администрирования. Его природа с открытым исходным кодом привела к значительному злоупотреблению со стороны киберпреступников из-за его упрощенной модификации и небольшого размера. Основное внимание в текущем анализе уделяется извлечению зашифрованной конфигурации из двоичных файлов QuasarRAT с использованием различных инструментов и методов.

В статье обсуждается создание экстрактора на основе Python, подчеркивается расположение конфигурации в двоичном коде и необходимая среда разработки, которая включает библиотеки для работы с файлами PE/ELF и фреймворки декомпиляции. Используя такие инструменты, как dnSpy и ILSpy, а также Jupyter Notebook и Docker для портативной установки, автор создает всеобъемлющую структуру для анализа образцов QuasarRAT.

Конфигурационные ключи, извлеченные из незафиксированного двоичного файла, включают важные настройки, которые определяют поведение RAT, такие как настройки подключения (задержка повторного подключения, хосты), параметры установки (имя установки, путь, запуск), функции безопасности (ключ шифрования, сертификаты сервера) и режим работы (автоматический режим). В статье описывается системный подход к извлечению этих настроек, в частности, с акцентом на проблемы, связанные с запутанными сборками.

Процесс извлечения включает в себя несколько ключевых этапов, начиная с определения криптографического метода, используемого для шифрования, в частности класса AES256. Далее следует значение salt для получения ключа, за которым следуют ссылки на криптографические функции в модуле. Процедура извлечения продолжается поиском криптографического материала в настройках класса, что позволяет получить ключ AES, необходимый для расшифровки.

Наконец, обнаружив статический конструктор целевого класса и последовательно считывая инициализаторы полей, экстрактор может расшифровать строки, используя идентифицированный ключ AES, соль и вектор инициализации (IV). Кульминацией процесса является тщательное перечисление аргументов для расшифровки и использование криптографической библиотеки Python для расшифровки зашифрованных значений. Хотя представленный метод, возможно, не учитывает все варианты QuasarRAT, особенно те, в которых используются различные шифры шифрования или упакованные образцы, он считается эффективным для большинства типичных сценариев, демонстрируя надежный подход к анализу вредоносного ПО и извлечению конфигурации.

#ParsedReport #CompletenessMedium
03-12-2025

Cydome Research Team Identified "Broadside", A New Mirai Botnet Variant, Active In The Wild

https://cydome.io/cydome-identifies-broadside-a-new-mirai-botnet-variant-targeting-maritime-iot/

Report completeness: Medium

Threats:
Broadside
Mirai
Polymorphism_technique
Udpflood_technique
Credential_dumping_technique

Victims:
Maritime logistics, Shipping companies, Tbk dvr devices

Industry:
Transport, Logistic, Maritime

CVEs:
CVE-2024-3721 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 8
Technics: 7

IOCs:
IP: 10
Url: 1
Hash: 15

Soft:
curl, Linux

Algorithms:
sha256

Win Services:
bits

Platforms:
mpsl, m68k, mips, arm, x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование Cydome выявило новый вариант ботнет Mirai под названием "Broadside", нацеленный на сектор морской логистики посредством использования CVE-2024-3721, уязвимости для удаленного ввода команд в устройствах TBK DVR. Вредоносное ПО использует типичную тактику Mirai наряду с продвинутыми методами уклонения, включая UDP flooding для DDoS-атак и процедуры самоочистки для поддержания скрытности. Broadside использует Нестандартные порты для командования и контроля и нацелен на повышение привилегий, одновременно угрожая сетям, имеющим решающее значение для судоходных операций.
-----

Исследовательская группа Cydome по кибербезопасности выявила новый вариант ботнет Mirai под названием "Broadside", который в настоящее время активен и специально нацелен на сектор морской логистики. Эта кампания использует критическую уязвимость, CVE-2024-3721, нашли в устройствах ТБК видеорегистратор, в котором используются транспортные компании на борту судна, начать атаку. Уязвимость позволяет удаленному команда инъекций и оказывает непосредственное воздействие на безопасность людей, использующих пострадавших цифровые видеорегистраторы.

Процесс заражения для Broadside следует типичным схемам Mirai, но также включает в себя сложную тактику уклонения. Первоначальный доступ осуществляется посредством удаленного ввода команды в уязвимую конечную точку HTTP POST TBK DVR, что обеспечивает надежный вход в сеть. После заражения ботнет использует высокоскоростной UDP flooding - метод, разработанный для распределенных атак типа "Отказ в обслуживании" (DDoS), и использует базовый polymorphism, чтобы избежать обнаружения. Вредоносное ПО также выполняет команды, которые расширяют его возможности скрытности, включая мониторинг процессов на основе netlink и удаление конкурирующих процессов, тем самым обеспечивая закрепление и доминирование в зараженной среде.

Операционные возможности Broadside's показывают, что он подготавливает зараженную среду, устанавливая ограничение на файловый дескриптор (ulimit -n 1024) для оптимизации производительности при больших объемах сетевой активности. Он примечателен своим неразборчивым подходом к архитектуре, попыткой загружать двоичные файлы с различных типов процессоров без проверки совместимости процессоров. После запуска вредоносное ПО также выполняет процедуру самоочистки, удаляя двоичные файлы из системы, чтобы скрыть свое присутствие.

Инфраструктура управления вредоносным ПО использует Нестандартные порты, в частности TCP/1026 для основной связи и TCP/6969 в качестве запасного варианта. Предупреждения указывают на то, что ботнет пытается получить повышение привилегий путем доступа к конфиденциальным файлам, таким как "/etc/passwd" и "/etc/shadow", что облегчает перечисление локальных учетных данных.

Эксплуатационное воздействие Broadside's значительно угрожает морским сетям, потенциально приводя к широкомасштабным сбоям, учитывая уникальные риски, связанные с нацеливанием на видеорегистраторы TBK. Индикаторами компрометации, связанной с этой угрозой, являются несколько IP-адресов управления, в частности 31.57.105.47, наряду с различными вторичными узлами, и IP-адрес-дроппер, на котором размещаются двоичные файлы вредоносного ПО. Усилия по обнаружению выявили множество хэшей полезной нагрузки, зависящих от архитектуры, которые указывают на способность ботнет нацеливаться на широкий спектр систем.

Подводя итог, можно сказать, что ботнет Broadside представляет собой сложную адаптацию штамма Mirai, использующего передовые методы эксплуатации и закрепления, создавая при этом значительные угрозы для морской и других отраслей промышленности, зависящих от уязвимых устройств DVR.

#ParsedReport #CompletenessLow
01-12-2025

Advent of Configuration Extraction Part 1: Pipeline Overview First Steps with Kaiji Configuration Unboxing

https://blog.sekoia.io/advent-of-configuration-extraction-part-1-pipeline-overview-first-steps-with-kaiji-configuration-unboxing/

Report completeness: Low

Threats:
Kaiji

Victims:
Linux systems, Iot devices

Industry:
Iot

Geo:
Canadian

CVEs:
CVE-2023-1389 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tp-link archer_ax21_firmware (<1.1.4)

CVE-2024-7954 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1110.001, T1190

IOCs:
Hash: 1
Email: 1

Soft:
Linux

Algorithms:
base64

Languages:
python

Links:
have more...
https://github.com/CybercentreCanada/assemblyline
https://github.com/CybercentreCanada/assemblyline-service-configextractor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье подробно описывается методология команды Sekoia по обнаружению угроз и исследованию для автоматизации извлечения конфигурации вредоносного ПО, уделяя особое внимание вредоносному ПО, написанному на Go, такому как Kaiji, которое нацелено на устройства Linux и Интернета вещей. Процесс использует Assemblyline, платформу с открытым исходным кодом, для извлечения критических элементов, таких как домены C2 и IP-адреса, из образцов вредоносного ПО с помощью службы ConfigExtractor. Анализ показывает, как Kaiji распространяется с помощью атак методом перебора по SSH и использует уязвимости, такие как CVE-2022-7954 и CVE-2023-1389, с четким подходом к извлечению конфигурации C2.
-----

Статья служит введением к первой части серии из четырех частей, в которой подробно описывается методология, используемая командой Sekoia по обнаружению и исследованию угроз (TDR) для автоматизации извлечения конфигурации вредоносного ПО. В нем описан систематический подход к идентификации и обработке данных конфигурации из различных образцов вредоносных ПО, включая .NET вредоносное ПО, и использование Capstone для дизассемблирования, демонстрирующий универсальность метода в различных семействах.

Ключевым компонентом этой методологии является Assemblyline, платформа анализа вредоносного ПО с открытым исходным кодом, разработанная Канадским центром кибербезопасности (CCCS). Assemblyline организует процесс анализа вредоносного ПО в несколько служб, причем конкретная служба ориентирована на извлечение конфигурации, которая идентифицирует такие элементы, как домены C2 (Command and Control), IP-адреса, URL-адреса URL-адресов и криптографические материалы в образцах вредоносного ПО. Платформа позволяет интегрироваться с другими системами через API, облегчая автоматическую отправку образцов вредоносного ПО, полученных из honeypots, платформ обмена вредоносным ПО или мониторинга open directory в Assemblyline для анализа.

Служба ConfigExtractor играет жизненно важную роль в этом рабочем процессе, используя библиотеку ConfigExtractor на Python для извлечения конфигураций вредоносного ПО. Он поддерживает различные платформы извлечения, при этом команда TDR использует MACO для своих экстракторов. Компонент обновления постоянно извлекает новые экстракторы из частного репозитория Git и устанавливает необходимые зависимости, чтобы не отставать от появляющихся семейств вредоносных ПО. Сервис также интегрирует общедоступные репозитории для расширения своих возможностей извлечения.

Сосредоточив внимание на конкретном варианте вредоносного ПО под названием Kaiji, который написан на Go и в первую очередь нацелен на системы Linux и устройства Интернета вещей, в статье обсуждается его способ действия, включая первоначальное распространение посредством атак методом перебора SSH и использование таких уязвимостей, как CVE-2022-7954 и CVE-2023-1389. Анализ включал в себя выполнение статического анализа образца вредоносного ПО, чтобы понять его внутреннюю структуру и то, как оно получает доступ к конфигурациям C2. Примечательно, что было замечено, что двоичный файл не запутан, что упрощает обратное проектирование.

В процессе извлечения конфигурации C2 используется подробный метод, который включает итерацию по извлеченным строкам и использование регулярных выражений для идентификации конкретных конфигураций. Процесс фокусируется на строках с префиксом "use ParseCertificate", декодировании любых найденных значений Base64 и синтаксическом анализе полученных данных для извлечения сведений о C2 и порту. Этот структурированный подход иллюстрирует стремление команды TDR автоматизировать извлечение ценной информации из вредоносного ПО, тем самым расширяя их возможности обнаружения угроз.

#ParsedReport #CompletenessMedium
02-12-2025

QuasarRAT Malware Campaign using CVE-2025-6218

https://blog.synapticsystems.de/quasarrat-malware-campaign-using-cve-2025-6218/

Report completeness: Medium

Threats:
Quasar_rat
Steganography_technique
Tinba
Kuaibu8

Victims:
Coinme users

Industry:
Financial

CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.003, T1105, T1204

IOCs:
Hash: 2
File: 22
Command: 3
Path: 2
Url: 4
Domain: 1

Soft:
Windows remote access

Algorithms:
sha256, gzip, base64

Win Services:
WebClient

Languages:
python, visual_basic

Platforms:
x64

Links:
https://github.com/Levbohol

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ выявил кампанию вредоносного ПО QuasarRAT, использующую уязвимость WinRAR CVE-2025-6218, позволяющую злоумышленникам распространять вредоносную полезную нагрузку с помощью скрипта на Python с именем Coin.me.py.txt , который извлекает Адреса эл. почты из coinme.com пользователи. Этот скрипт загружает стеганографическое изображение в формате PNG, которое скрывает вредоносные двоичные файлы, выполняя их в памяти, чтобы обойти обнаружение. Кроме того, размещенный на GitHub скрипт Python помогает извлекать полезную нагрузку, связанную с определенным хэшем SHA256.
-----

Недавний анализ образцов вредоносного ПО, использующих уязвимость WinRAR CVE-2025-6218, выявил появление кампании вредоносного ПО QuasarRAT. Эта уязвимость позволяет злоумышленникам использовать недостатки в WinRAR, что приводит к распространению вредоносной полезной нагрузки. Идентифицирован один примечательный образец, на который ссылаются как Coin.me.py.txt , содержит скрипт на Python, предназначенный для извлечения Адресов эл. почты у пользователей coinme.com .

Скрипт работает независимо от антивирусных обнаружений и запрограммирован на загрузку изображения в формате PNG с удаленного сервера. В этом изображении используются методы Стеганографии, встраивающие вредоносные двоичные данные в значения пикселей. После успешного извлечения изображения конечная полезная нагрузка, которая может включать в себя функции для кражи информации или облегчения дистанционного управления, полностью выполняется в памяти, что позволяет избежать традиционных методов обнаружения.

Чтобы помочь в извлечении вредоносной полезной нагрузки, скрытой в изображении, в репозитории GitHub предоставляется скрипт на Python. Этот скрипт упрощает процесс и генерирует файл с меткой stage2_payload.bin, который связан с хэшем SHA256 d6775da94945ff5cbd26a1711f69cecdce981386983d2f504914630639563c36. Кампания подчеркивает эффективность использования известных уязвимостей и инновационного использования Стеганографии для сокрытия вредоносных действий в, казалось бы, безобидных типах файлов.

#ParsedReport #CompletenessHigh
08-12-2025

Operation FrostBeacon: Multi-Cluster Cobalt Strike Campaign Targets Russia

https://www.seqrite.com/blog/operation-frostbeacon-multi-cluster-cobalt-strike-campaign-targets-russia/

Report completeness: High

Actors/Campaigns:
Frostbeacon (motivation: financially_motivated)
Cobalt
Sidewinder

Threats:
Cobalt_strike_tool
Spear-phishing_technique
Process_injection_technique
Amsi_bypass_technique
Metasploit_tool

Victims:
B2b enterprises, Finance departments, Legal departments

Industry:
Logistic, Government, Financial

Geo:
Russian, Asia, Russian federation, Sri lanka, Russia, Bangladesh, Pakistan

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows_7 (-)
- microsoft windows_server_2008 (-, r2)
- microsoft windows_server_2012 (-)
- microsoft windows_vista (-)
have more...
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 5
Technics: 12

IOCs:
Domain: 25
Hash: 65
Command: 1
File: 6
Url: 48
Path: 1
IP: 2

Soft:
Microsoft Word, openai

Algorithms:
base64, deflate, zip, md5, gzip, xor

Functions:
GetModuleHandle

Win API:
GetProcAddress, VirtualAlloc, LoadLibraryA, NtMapViewOfSection, CreateThread, NtQueueApcThread-s, CreateRemoteThread, RtlCreateUserThread

Languages:
powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 4, table: 1, code: 2, dump: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция FrostBeacon - это целенаправленная кампания вредоносного ПО, распространяющая Cobalt Strike Beacons среди российских организаций финансового и юридического секторов. Он использует фишинг-сообщения электронной почты с вредоносными архивными файлами и использует уязвимость CVE-2017-0199 во вложениях DOCX для выполнения удаленных файлов HTML-приложений. Злоумышленники используют команды PowerShell с обфускацией на уровне символов и сложную трехуровневую технику обфускации, чтобы избежать обнаружения, сочетая в своем подходе техническую эксплуатацию с тактикой социальной инженерии.
-----

Операция FrostBeacon - это целенаправленная кампания вредоносного ПО, выявленная Seqrite Labs, которая специально поставляет Cobalt Strike Beacons организациям на территории Российской Федерации, особенно тем, которые занимаются финансовыми и юридическими операциями. Кампания использует многоуровневую стратегию заражения с двумя различными кластерами: один использует архивные файлы с фишингом, содержащие вредоносные ярлыки, в то время как другой использует уязвимость CVE-2017-0199 с помощью вредоносных вложений DOCX.

Первый кластер инициирует инфекцию через фишинг-письма, которые несут сжимаются архивные файлы. Эти файлы предназначены, чтобы скрыть свою вредоносную нагрузку и избежать обнаружения. В отличие от этого, вторая группа использует файлы DOCX, который эксплуатирует уязвимость CVE-2017-0199, чтобы вызвать редактор формул, что впоследствии позволяет оформлении заявки на удаленной HTML (ОТЗ) файл. Эта уязвимость была центральным пунктом во многих кибератак несмотря на свой возраст, что свидетельствует о сохраняющейся эффективности таргетинга устаревшей недостатки программного обеспечения.

Стейджер Cobalt Strike, используемый в кампании, размещен по русскоязычному URL, "update.ecols.ru ," и дальнейшие разведывательные усилия выявили более 40 похожих URL-адресов для скачивания. Фаза выполнения вредоносного ПО включает в себя команды PowerShell, которые запускаются в скрытом режиме, что делает их невидимыми для пользователей. Примечательно, что злоумышленники используют запутывание на уровне символов (m ^ s ^ h ^ t ^ a) для активации mshta.exe , облегчающий скрытый поиск полезных данных для последующих атак.

Конечная полезная нагрузка PowerShell включает в себя сложную трехуровневую технологию запутывания для задержки обнаружения и защиты своей логики. Начальный этап содержится в сжатой с помощью gzip строке Base64, встроенной в MemoryStream. При распаковке это приводит к созданию вторичного скрипта PowerShell с критическими функциями, необходимыми для продвижения атаки.

Электронные письма с фишингом, используемые в этой операции, создаются таким образом, чтобы выглядеть как законные требования о погашении долга, создавая ощущение срочности и законности. Они угрожают судебным иском, если конкретные платежи не будут произведены к установленному сроку, используя точные формулировки контракта, которые также требуют отправки заверенного заявления о сверке по почте на их официальный адрес. Эта тактика манипулирования направлена на то, чтобы побудить жертв к ответным действиям, облегчая процесс проникновения.

В целом, операция FrostBeacon представляет собой подробные и последовательные усилия по финансово мотивированных хакеров для использования установленных уязвимостей, с использованием современных механизмов доставки и традиционных приемов социальной инженерии для достижения своих целей.

#ParsedReport #CompletenessHigh
09-12-2025

React2Shell: Technical Deep-Dive & In-the-Wild Exploitation of CVE-2025-55182

https://www.wiz.io/blog/nextjs-cve-2025-55182-react2shell-deep-dive

Report completeness: High

Threats:
React2shell_vuln
Credential_harvesting_technique
Sliver_c2_tool
Xmrig_miner
C3pool

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059

IOCs:
File: 11
Domain: 2
IP: 13
Url: 26
Hash: 16
Coin: 1

Soft:
curl, Node.js, Docker

Crypto:
monero

Algorithms:
base64, sha1

Functions:
Function, eval

Languages:
python, javascript

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1