#ParsedReport #CompletenessMedium
03-12-2025

Cydome Research Team Identified "Broadside", A New Mirai Botnet Variant, Active In The Wild

https://cydome.io/cydome-identifies-broadside-a-new-mirai-botnet-variant-targeting-maritime-iot/

Report completeness: Medium

Threats:
Broadside
Mirai
Polymorphism_technique
Udpflood_technique
Credential_dumping_technique

Victims:
Maritime logistics, Shipping companies, Tbk dvr devices

Industry:
Transport, Logistic, Maritime

CVEs:
CVE-2024-3721 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 8
Technics: 7

IOCs:
IP: 10
Url: 1
Hash: 15

Soft:
curl, Linux

Algorithms:
sha256

Win Services:
bits

Platforms:
mpsl, m68k, mips, arm, x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование Cydome выявило новый вариант ботнет Mirai под названием "Broadside", нацеленный на сектор морской логистики посредством использования CVE-2024-3721, уязвимости для удаленного ввода команд в устройствах TBK DVR. Вредоносное ПО использует типичную тактику Mirai наряду с продвинутыми методами уклонения, включая UDP flooding для DDoS-атак и процедуры самоочистки для поддержания скрытности. Broadside использует Нестандартные порты для командования и контроля и нацелен на повышение привилегий, одновременно угрожая сетям, имеющим решающее значение для судоходных операций.
-----

Исследовательская группа Cydome по кибербезопасности выявила новый вариант ботнет Mirai под названием "Broadside", который в настоящее время активен и специально нацелен на сектор морской логистики. Эта кампания использует критическую уязвимость, CVE-2024-3721, нашли в устройствах ТБК видеорегистратор, в котором используются транспортные компании на борту судна, начать атаку. Уязвимость позволяет удаленному команда инъекций и оказывает непосредственное воздействие на безопасность людей, использующих пострадавших цифровые видеорегистраторы.

Процесс заражения для Broadside следует типичным схемам Mirai, но также включает в себя сложную тактику уклонения. Первоначальный доступ осуществляется посредством удаленного ввода команды в уязвимую конечную точку HTTP POST TBK DVR, что обеспечивает надежный вход в сеть. После заражения ботнет использует высокоскоростной UDP flooding - метод, разработанный для распределенных атак типа "Отказ в обслуживании" (DDoS), и использует базовый polymorphism, чтобы избежать обнаружения. Вредоносное ПО также выполняет команды, которые расширяют его возможности скрытности, включая мониторинг процессов на основе netlink и удаление конкурирующих процессов, тем самым обеспечивая закрепление и доминирование в зараженной среде.

Операционные возможности Broadside's показывают, что он подготавливает зараженную среду, устанавливая ограничение на файловый дескриптор (ulimit -n 1024) для оптимизации производительности при больших объемах сетевой активности. Он примечателен своим неразборчивым подходом к архитектуре, попыткой загружать двоичные файлы с различных типов процессоров без проверки совместимости процессоров. После запуска вредоносное ПО также выполняет процедуру самоочистки, удаляя двоичные файлы из системы, чтобы скрыть свое присутствие.

Инфраструктура управления вредоносным ПО использует Нестандартные порты, в частности TCP/1026 для основной связи и TCP/6969 в качестве запасного варианта. Предупреждения указывают на то, что ботнет пытается получить повышение привилегий путем доступа к конфиденциальным файлам, таким как "/etc/passwd" и "/etc/shadow", что облегчает перечисление локальных учетных данных.

Эксплуатационное воздействие Broadside's значительно угрожает морским сетям, потенциально приводя к широкомасштабным сбоям, учитывая уникальные риски, связанные с нацеливанием на видеорегистраторы TBK. Индикаторами компрометации, связанной с этой угрозой, являются несколько IP-адресов управления, в частности 31.57.105.47, наряду с различными вторичными узлами, и IP-адрес-дроппер, на котором размещаются двоичные файлы вредоносного ПО. Усилия по обнаружению выявили множество хэшей полезной нагрузки, зависящих от архитектуры, которые указывают на способность ботнет нацеливаться на широкий спектр систем.

Подводя итог, можно сказать, что ботнет Broadside представляет собой сложную адаптацию штамма Mirai, использующего передовые методы эксплуатации и закрепления, создавая при этом значительные угрозы для морской и других отраслей промышленности, зависящих от уязвимых устройств DVR.

#ParsedReport #CompletenessLow
01-12-2025

Advent of Configuration Extraction Part 1: Pipeline Overview First Steps with Kaiji Configuration Unboxing

https://blog.sekoia.io/advent-of-configuration-extraction-part-1-pipeline-overview-first-steps-with-kaiji-configuration-unboxing/

Report completeness: Low

Threats:
Kaiji

Victims:
Linux systems, Iot devices

Industry:
Iot

Geo:
Canadian

CVEs:
CVE-2023-1389 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tp-link archer_ax21_firmware (<1.1.4)

CVE-2024-7954 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1110.001, T1190

IOCs:
Hash: 1
Email: 1

Soft:
Linux

Algorithms:
base64

Languages:
python

Links:
have more...
https://github.com/CybercentreCanada/assemblyline
https://github.com/CybercentreCanada/assemblyline-service-configextractor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье подробно описывается методология команды Sekoia по обнаружению угроз и исследованию для автоматизации извлечения конфигурации вредоносного ПО, уделяя особое внимание вредоносному ПО, написанному на Go, такому как Kaiji, которое нацелено на устройства Linux и Интернета вещей. Процесс использует Assemblyline, платформу с открытым исходным кодом, для извлечения критических элементов, таких как домены C2 и IP-адреса, из образцов вредоносного ПО с помощью службы ConfigExtractor. Анализ показывает, как Kaiji распространяется с помощью атак методом перебора по SSH и использует уязвимости, такие как CVE-2022-7954 и CVE-2023-1389, с четким подходом к извлечению конфигурации C2.
-----

Статья служит введением к первой части серии из четырех частей, в которой подробно описывается методология, используемая командой Sekoia по обнаружению и исследованию угроз (TDR) для автоматизации извлечения конфигурации вредоносного ПО. В нем описан систематический подход к идентификации и обработке данных конфигурации из различных образцов вредоносных ПО, включая .NET вредоносное ПО, и использование Capstone для дизассемблирования, демонстрирующий универсальность метода в различных семействах.

Ключевым компонентом этой методологии является Assemblyline, платформа анализа вредоносного ПО с открытым исходным кодом, разработанная Канадским центром кибербезопасности (CCCS). Assemblyline организует процесс анализа вредоносного ПО в несколько служб, причем конкретная служба ориентирована на извлечение конфигурации, которая идентифицирует такие элементы, как домены C2 (Command and Control), IP-адреса, URL-адреса URL-адресов и криптографические материалы в образцах вредоносного ПО. Платформа позволяет интегрироваться с другими системами через API, облегчая автоматическую отправку образцов вредоносного ПО, полученных из honeypots, платформ обмена вредоносным ПО или мониторинга open directory в Assemblyline для анализа.

Служба ConfigExtractor играет жизненно важную роль в этом рабочем процессе, используя библиотеку ConfigExtractor на Python для извлечения конфигураций вредоносного ПО. Он поддерживает различные платформы извлечения, при этом команда TDR использует MACO для своих экстракторов. Компонент обновления постоянно извлекает новые экстракторы из частного репозитория Git и устанавливает необходимые зависимости, чтобы не отставать от появляющихся семейств вредоносных ПО. Сервис также интегрирует общедоступные репозитории для расширения своих возможностей извлечения.

Сосредоточив внимание на конкретном варианте вредоносного ПО под названием Kaiji, который написан на Go и в первую очередь нацелен на системы Linux и устройства Интернета вещей, в статье обсуждается его способ действия, включая первоначальное распространение посредством атак методом перебора SSH и использование таких уязвимостей, как CVE-2022-7954 и CVE-2023-1389. Анализ включал в себя выполнение статического анализа образца вредоносного ПО, чтобы понять его внутреннюю структуру и то, как оно получает доступ к конфигурациям C2. Примечательно, что было замечено, что двоичный файл не запутан, что упрощает обратное проектирование.

В процессе извлечения конфигурации C2 используется подробный метод, который включает итерацию по извлеченным строкам и использование регулярных выражений для идентификации конкретных конфигураций. Процесс фокусируется на строках с префиксом "use ParseCertificate", декодировании любых найденных значений Base64 и синтаксическом анализе полученных данных для извлечения сведений о C2 и порту. Этот структурированный подход иллюстрирует стремление команды TDR автоматизировать извлечение ценной информации из вредоносного ПО, тем самым расширяя их возможности обнаружения угроз.

#ParsedReport #CompletenessMedium
02-12-2025

QuasarRAT Malware Campaign using CVE-2025-6218

https://blog.synapticsystems.de/quasarrat-malware-campaign-using-cve-2025-6218/

Report completeness: Medium

Threats:
Quasar_rat
Steganography_technique
Tinba
Kuaibu8

Victims:
Coinme users

Industry:
Financial

CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.003, T1105, T1204

IOCs:
Hash: 2
File: 22
Command: 3
Path: 2
Url: 4
Domain: 1

Soft:
Windows remote access

Algorithms:
sha256, gzip, base64

Win Services:
WebClient

Languages:
python, visual_basic

Platforms:
x64

Links:
https://github.com/Levbohol

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ выявил кампанию вредоносного ПО QuasarRAT, использующую уязвимость WinRAR CVE-2025-6218, позволяющую злоумышленникам распространять вредоносную полезную нагрузку с помощью скрипта на Python с именем Coin.me.py.txt , который извлекает Адреса эл. почты из coinme.com пользователи. Этот скрипт загружает стеганографическое изображение в формате PNG, которое скрывает вредоносные двоичные файлы, выполняя их в памяти, чтобы обойти обнаружение. Кроме того, размещенный на GitHub скрипт Python помогает извлекать полезную нагрузку, связанную с определенным хэшем SHA256.
-----

Недавний анализ образцов вредоносного ПО, использующих уязвимость WinRAR CVE-2025-6218, выявил появление кампании вредоносного ПО QuasarRAT. Эта уязвимость позволяет злоумышленникам использовать недостатки в WinRAR, что приводит к распространению вредоносной полезной нагрузки. Идентифицирован один примечательный образец, на который ссылаются как Coin.me.py.txt , содержит скрипт на Python, предназначенный для извлечения Адресов эл. почты у пользователей coinme.com .

Скрипт работает независимо от антивирусных обнаружений и запрограммирован на загрузку изображения в формате PNG с удаленного сервера. В этом изображении используются методы Стеганографии, встраивающие вредоносные двоичные данные в значения пикселей. После успешного извлечения изображения конечная полезная нагрузка, которая может включать в себя функции для кражи информации или облегчения дистанционного управления, полностью выполняется в памяти, что позволяет избежать традиционных методов обнаружения.

Чтобы помочь в извлечении вредоносной полезной нагрузки, скрытой в изображении, в репозитории GitHub предоставляется скрипт на Python. Этот скрипт упрощает процесс и генерирует файл с меткой stage2_payload.bin, который связан с хэшем SHA256 d6775da94945ff5cbd26a1711f69cecdce981386983d2f504914630639563c36. Кампания подчеркивает эффективность использования известных уязвимостей и инновационного использования Стеганографии для сокрытия вредоносных действий в, казалось бы, безобидных типах файлов.

#ParsedReport #CompletenessHigh
08-12-2025

Operation FrostBeacon: Multi-Cluster Cobalt Strike Campaign Targets Russia

https://www.seqrite.com/blog/operation-frostbeacon-multi-cluster-cobalt-strike-campaign-targets-russia/

Report completeness: High

Actors/Campaigns:
Frostbeacon (motivation: financially_motivated)
Cobalt
Sidewinder

Threats:
Cobalt_strike_tool
Spear-phishing_technique
Process_injection_technique
Amsi_bypass_technique
Metasploit_tool

Victims:
B2b enterprises, Finance departments, Legal departments

Industry:
Logistic, Government, Financial

Geo:
Russian, Asia, Russian federation, Sri lanka, Russia, Bangladesh, Pakistan

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows_7 (-)
- microsoft windows_server_2008 (-, r2)
- microsoft windows_server_2012 (-)
- microsoft windows_vista (-)
have more...
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 5
Technics: 12

IOCs:
Domain: 25
Hash: 65
Command: 1
File: 6
Url: 48
Path: 1
IP: 2

Soft:
Microsoft Word, openai

Algorithms:
base64, deflate, zip, md5, gzip, xor

Functions:
GetModuleHandle

Win API:
GetProcAddress, VirtualAlloc, LoadLibraryA, NtMapViewOfSection, CreateThread, NtQueueApcThread-s, CreateRemoteThread, RtlCreateUserThread

Languages:
powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 4, table: 1, code: 2, dump: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция FrostBeacon - это целенаправленная кампания вредоносного ПО, распространяющая Cobalt Strike Beacons среди российских организаций финансового и юридического секторов. Он использует фишинг-сообщения электронной почты с вредоносными архивными файлами и использует уязвимость CVE-2017-0199 во вложениях DOCX для выполнения удаленных файлов HTML-приложений. Злоумышленники используют команды PowerShell с обфускацией на уровне символов и сложную трехуровневую технику обфускации, чтобы избежать обнаружения, сочетая в своем подходе техническую эксплуатацию с тактикой социальной инженерии.
-----

Операция FrostBeacon - это целенаправленная кампания вредоносного ПО, выявленная Seqrite Labs, которая специально поставляет Cobalt Strike Beacons организациям на территории Российской Федерации, особенно тем, которые занимаются финансовыми и юридическими операциями. Кампания использует многоуровневую стратегию заражения с двумя различными кластерами: один использует архивные файлы с фишингом, содержащие вредоносные ярлыки, в то время как другой использует уязвимость CVE-2017-0199 с помощью вредоносных вложений DOCX.

Первый кластер инициирует инфекцию через фишинг-письма, которые несут сжимаются архивные файлы. Эти файлы предназначены, чтобы скрыть свою вредоносную нагрузку и избежать обнаружения. В отличие от этого, вторая группа использует файлы DOCX, который эксплуатирует уязвимость CVE-2017-0199, чтобы вызвать редактор формул, что впоследствии позволяет оформлении заявки на удаленной HTML (ОТЗ) файл. Эта уязвимость была центральным пунктом во многих кибератак несмотря на свой возраст, что свидетельствует о сохраняющейся эффективности таргетинга устаревшей недостатки программного обеспечения.

Стейджер Cobalt Strike, используемый в кампании, размещен по русскоязычному URL, "update.ecols.ru ," и дальнейшие разведывательные усилия выявили более 40 похожих URL-адресов для скачивания. Фаза выполнения вредоносного ПО включает в себя команды PowerShell, которые запускаются в скрытом режиме, что делает их невидимыми для пользователей. Примечательно, что злоумышленники используют запутывание на уровне символов (m ^ s ^ h ^ t ^ a) для активации mshta.exe , облегчающий скрытый поиск полезных данных для последующих атак.

Конечная полезная нагрузка PowerShell включает в себя сложную трехуровневую технологию запутывания для задержки обнаружения и защиты своей логики. Начальный этап содержится в сжатой с помощью gzip строке Base64, встроенной в MemoryStream. При распаковке это приводит к созданию вторичного скрипта PowerShell с критическими функциями, необходимыми для продвижения атаки.

Электронные письма с фишингом, используемые в этой операции, создаются таким образом, чтобы выглядеть как законные требования о погашении долга, создавая ощущение срочности и законности. Они угрожают судебным иском, если конкретные платежи не будут произведены к установленному сроку, используя точные формулировки контракта, которые также требуют отправки заверенного заявления о сверке по почте на их официальный адрес. Эта тактика манипулирования направлена на то, чтобы побудить жертв к ответным действиям, облегчая процесс проникновения.

В целом, операция FrostBeacon представляет собой подробные и последовательные усилия по финансово мотивированных хакеров для использования установленных уязвимостей, с использованием современных механизмов доставки и традиционных приемов социальной инженерии для достижения своих целей.

#ParsedReport #CompletenessHigh
09-12-2025

React2Shell: Technical Deep-Dive & In-the-Wild Exploitation of CVE-2025-55182

https://www.wiz.io/blog/nextjs-cve-2025-55182-react2shell-deep-dive

Report completeness: High

Threats:
React2shell_vuln
Credential_harvesting_technique
Sliver_c2_tool
Xmrig_miner
C3pool

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059

IOCs:
File: 11
Domain: 2
IP: 13
Url: 26
Hash: 16
Coin: 1

Soft:
curl, Node.js, Docker

Crypto:
monero

Algorithms:
base64, sha1

Functions:
Function, eval

Languages:
python, javascript

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-55182 - критическая уязвимость во фреймворке React2Shell, которую злоумышленники активно используют для таких сценариев, как сбор учетных записей и создание облачных бэкдоров. Эксплуатация включает в себя сложные методы, включая использование автоматизированных сценариев для обхода мер безопасности и получения несанкционированного контроля над системами. Текущие угрозы указывают на значительные риски для целостности облачной инфраструктуры, поскольку злоумышленники используют эту уязвимость для дальнейшего проникновения и вредоносной активности.
-----

В статье представлен всесторонний анализ CVE-2025-55182, критической уязвимости, которая активно эксплуатировалась в дикой природе. Эта уязвимость относится к платформе React2Shell, что приводит к различным сценариям атак, в первую очередь к сбору учетных записей и созданию продвинутых облачных бэкдоров. Техническая разбивка раскрывает механизм эксплойта, иллюстрируя, как злоумышленники могут использовать эту уязвимость для получения несанкционированного доступа и контроля над целевыми системами.

Наблюдалась активная эксплуатация CVE-2025-55182, демонстрирующая настоятельную необходимость для организаций исправления уязвимых систем и снижения рисков. В статье подробно рассматриваются методологии, используемые злоумышленниками, подробно описываются процессы получения первоначального доступа и выполнения полезных нагрузок в облачных средах. Процесс эксплуатации часто включает в себя обход мер безопасности и неправильную настройку, чтобы облегчить развертывание вредоносного ПО для дальнейшего проникновения.

В резюме подчеркивается важность ситуационной осведомленности об этой уязвимости, поскольку она создает значительные риски для целостности облачной инфраструктуры. В нем освещаются сложные методы, лежащие в основе эксплуатации, такие как использование хорошо проработанных сценариев, которые автоматизируют процесс сбора учетных данных и доступа к конфиденциальным ресурсам. Анализ служит важнейшим ресурсом для специалистов по кибербезопасности, стремящихся понять эволюционирующую тактику киберугроз, связанную с фреймворком React2Shell и использованием CVE-2025-55182, и защититься от нее.

#ParsedReport #CompletenessMedium
09-12-2025

LLM's M.O.: F6 analysts examine the attack using PureCrypter and DarkTrack RATs

https://www.f6.ru/blog/purecrypter-darktrack-rat/

Report completeness: Medium

Threats:
Purecryptor
Darktrack
Darktrack_rat
Process_hollowing_technique

Geo:
Norway

IOCs:
File: 12
Hash: 18
Url: 1
Domain: 1
Path: 1
IP: 1

Soft:
Opera_GX, Opera, Telegram, Viber, WhatsApp

Algorithms:
md5, sha256, sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
F6 Threat Intelligence сообщила об атаке с использованием PureCrypter crypter и DarkTrack RAT, связанных с злоумышленником LLM. Вредоносный архив с именем "продукт-44 DSP.rar," обнаруженных на 21 ноября 2025 служит как индикатор компромисс, с PureCrypter запутывание полезной нагрузки, чтобы избежать обнаружения и DarkTrack обеспечивая постоянный доступ к жидкости эксфильтрация. Этот инцидент иллюстрирует сложный подход ЛЛМ в эксплуатируя уязвимости для выполнения скоординированных кибератаках.
-----

F6 Threat Intelligence сообщила о кибератаке с использованием PureCrypter и DarkTrack RAT, связанных с LLM (злоумышленником). 21 ноября 2025 года аналитики обнаружили вредоносный архив под названием "Продукт-44 DSP.rar " (MD5: d3b6c14b4bbad6fd72881ff6b88a0de4) загружен в общедоступную онлайн-"песочницу", которая послужила ключевым показателем компрометации для атаки.

Известно, что PureCrypter является адаптируемым шифровальщиком, который запутывает полезные данные, чтобы избежать обнаружения, в то время как DarkTrack идентифицируется как троян удаленного доступа (RAT), способный предоставлять злоумышленникам постоянный доступ к скомпрометированным системам, облегчая эксфильтрацию данных и манипулирование ими. Комбинация этих инструментов предполагает сложный подход со стороны злоумышленника LLM, использующего методы шифрования, позволяющие оставаться незамеченными при выполнении вредоносных команд на компьютерах жертв.

Расследование освещает тактику, применяемую LLM при использовании этих инструментов, что указывает на постоянную угрозу инфраструктурам безопасности. Изучая характеристики и поведение вредоносного архива, можно получить дополнительную информацию о возможностях и намерениях LLM group, поскольку она продолжает использовать уязвимости и организовывать скоординированные кибератаки. Акцент на непрерывном мониторинге и анализе подчеркивает неотложность реагирования на подобные угрозы в условиях меняющегося ландшафта киберпреступности.