#ParsedReport #CompletenessHigh
09-12-2025

React2Shell: Technical Deep-Dive & In-the-Wild Exploitation of CVE-2025-55182

https://www.wiz.io/blog/nextjs-cve-2025-55182-react2shell-deep-dive

Report completeness: High

Threats:
React2shell_vuln
Credential_harvesting_technique
Sliver_c2_tool
Xmrig_miner
C3pool

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059

IOCs:
File: 11
Domain: 2
IP: 13
Url: 26
Hash: 16
Coin: 1

Soft:
curl, Node.js, Docker

Crypto:
monero

Algorithms:
base64, sha1

Functions:
Function, eval

Languages:
python, javascript

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-55182 - критическая уязвимость во фреймворке React2Shell, которую злоумышленники активно используют для таких сценариев, как сбор учетных записей и создание облачных бэкдоров. Эксплуатация включает в себя сложные методы, включая использование автоматизированных сценариев для обхода мер безопасности и получения несанкционированного контроля над системами. Текущие угрозы указывают на значительные риски для целостности облачной инфраструктуры, поскольку злоумышленники используют эту уязвимость для дальнейшего проникновения и вредоносной активности.
-----

В статье представлен всесторонний анализ CVE-2025-55182, критической уязвимости, которая активно эксплуатировалась в дикой природе. Эта уязвимость относится к платформе React2Shell, что приводит к различным сценариям атак, в первую очередь к сбору учетных записей и созданию продвинутых облачных бэкдоров. Техническая разбивка раскрывает механизм эксплойта, иллюстрируя, как злоумышленники могут использовать эту уязвимость для получения несанкционированного доступа и контроля над целевыми системами.

Наблюдалась активная эксплуатация CVE-2025-55182, демонстрирующая настоятельную необходимость для организаций исправления уязвимых систем и снижения рисков. В статье подробно рассматриваются методологии, используемые злоумышленниками, подробно описываются процессы получения первоначального доступа и выполнения полезных нагрузок в облачных средах. Процесс эксплуатации часто включает в себя обход мер безопасности и неправильную настройку, чтобы облегчить развертывание вредоносного ПО для дальнейшего проникновения.

В резюме подчеркивается важность ситуационной осведомленности об этой уязвимости, поскольку она создает значительные риски для целостности облачной инфраструктуры. В нем освещаются сложные методы, лежащие в основе эксплуатации, такие как использование хорошо проработанных сценариев, которые автоматизируют процесс сбора учетных данных и доступа к конфиденциальным ресурсам. Анализ служит важнейшим ресурсом для специалистов по кибербезопасности, стремящихся понять эволюционирующую тактику киберугроз, связанную с фреймворком React2Shell и использованием CVE-2025-55182, и защититься от нее.

#ParsedReport #CompletenessMedium
09-12-2025

LLM's M.O.: F6 analysts examine the attack using PureCrypter and DarkTrack RATs

https://www.f6.ru/blog/purecrypter-darktrack-rat/

Report completeness: Medium

Threats:
Purecryptor
Darktrack
Darktrack_rat
Process_hollowing_technique

Geo:
Norway

IOCs:
File: 12
Hash: 18
Url: 1
Domain: 1
Path: 1
IP: 1

Soft:
Opera_GX, Opera, Telegram, Viber, WhatsApp

Algorithms:
md5, sha256, sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
F6 Threat Intelligence сообщила об атаке с использованием PureCrypter crypter и DarkTrack RAT, связанных с злоумышленником LLM. Вредоносный архив с именем "продукт-44 DSP.rar," обнаруженных на 21 ноября 2025 служит как индикатор компромисс, с PureCrypter запутывание полезной нагрузки, чтобы избежать обнаружения и DarkTrack обеспечивая постоянный доступ к жидкости эксфильтрация. Этот инцидент иллюстрирует сложный подход ЛЛМ в эксплуатируя уязвимости для выполнения скоординированных кибератаках.
-----

F6 Threat Intelligence сообщила о кибератаке с использованием PureCrypter и DarkTrack RAT, связанных с LLM (злоумышленником). 21 ноября 2025 года аналитики обнаружили вредоносный архив под названием "Продукт-44 DSP.rar " (MD5: d3b6c14b4bbad6fd72881ff6b88a0de4) загружен в общедоступную онлайн-"песочницу", которая послужила ключевым показателем компрометации для атаки.

Известно, что PureCrypter является адаптируемым шифровальщиком, который запутывает полезные данные, чтобы избежать обнаружения, в то время как DarkTrack идентифицируется как троян удаленного доступа (RAT), способный предоставлять злоумышленникам постоянный доступ к скомпрометированным системам, облегчая эксфильтрацию данных и манипулирование ими. Комбинация этих инструментов предполагает сложный подход со стороны злоумышленника LLM, использующего методы шифрования, позволяющие оставаться незамеченными при выполнении вредоносных команд на компьютерах жертв.

Расследование освещает тактику, применяемую LLM при использовании этих инструментов, что указывает на постоянную угрозу инфраструктурам безопасности. Изучая характеристики и поведение вредоносного архива, можно получить дополнительную информацию о возможностях и намерениях LLM group, поскольку она продолжает использовать уязвимости и организовывать скоординированные кибератаки. Акцент на непрерывном мониторинге и анализе подчеркивает неотложность реагирования на подобные угрозы в условиях меняющегося ландшафта киберпреступности.

#ParsedReport #CompletenessLow
09-12-2025

Inside the Triada Battle: A Five-Year Investigation and the Security Upgrades It Triggered

https://adex.com/blog/triada-malvertising-case-study/

Report completeness: Low

Threats:
Triada_trojan
Cloaking_technique

Victims:
Advertising technology, Mobile users

Industry:
Financial, Government

Geo:
India, Turkey, France, Turkish

ChatGPT TTPs:
do not use without manual check
T1078, T1080, T1105, T1195, T1204, T1566.002, T1583.001, T1585

IOCs:
File: 1
Email: 11

Soft:
PropellerAds, Android, Discord, WhatsApp, Gmail, Chrome

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Triada - это троян для Android, впервые обнаруженный в 2016 году, известный своими модульными возможностями бэкдора и руткита, которые предоставляют злоумышленникам привилегированный доступ. Он распространяется через модифицированные приложения, такие как FMWhatsApp и YoWhatsApp, а также предустанавливается на поддельные устройства. Базирующийся в Турции злоумышленник на протяжении многих лет развивал тактику от обхода процедур KYC до компрометации проверенных аккаунтов рекламодателей и использования предустановленных программ фишинга, замаскированных под обновления Chrome, и теперь размещает Вредоносные файлы на GitHub.
-----

Triada - это троян для Android, впервые обнаруженный в 2016 году, отличающийся модульным бэкдором и возможностями руткита, которые предоставляют злоумышленникам привилегированный доступ к скомпрометированным устройствам. Основные методы распространения Triada включают модифицированные приложения, такие как FMWhatsApp и YoWhatsApp. Эти неофициальные версии часто продвигаются с помощью платной рекламы и Социальных сетей, заманивая пользователей обещаниями расширенных функциональных возможностей. В дополнение к зараженным приложениям, также была обнаружена Triada, предустановленная на поддельных устройствах и активирующаяся при первой загрузке.

Как только устройство находится под угрозой, Triada может осуществлять различные рекламные обзоры техники и схемы манипуляций трафика. С 2020 года, один особенно организованной злоумышленник, предположительно в Турции, был замечен работающим зарегистрировать рекламодателя счетов, которые действуют как каналы доставки для Triada. Первое столкновение с Triada было отмечено в августе 2020 года, когда была обнаружена необычная активность среди группы рекламодателей, утверждающих, что они из Турции.

За прошедшие годы тактика этих злоумышленников значительно эволюционировала. В первой волне (2020-2021 годы) они использовали сомнительные методы для обхода процедур "Знай своего клиента" (KYC). Однако на втором этапе (2022-2024 годы) они перешли к более стратегическому подходу, скомпрометировав установленные, проверенные аккаунты рекламодателей для распространения вредоносного ПО. Эта новая тактика позволила им перенаправлять трафик через доверенные домены и использовать методы cloaking, чтобы избежать обнаружения.

Последняя разработка в эволюции Triada (до 2025 года и далее) предполагает использование предустановленных программ для фишинга, замаскированных под обновления браузера Chrome. Вредоносные файлы, связанные с этой итерацией, размещены на GitHub, что указывает на повышение сложности и адаптацию тактики для использования надежных платформ.

#ParsedReport #CompletenessMedium
09-12-2025

JS#SMUGGLER: Multi-Stage - Hidden iframes, Obfuscated JavaScript, Silent Redirectors & NetSupport RAT Delivery

https://www.securonix.com/blog/jssmuggler-multi-stage-hidden-iframes-obfuscated-javascript-silent-redirectors-netsupport-rat-delivery/

Report completeness: Medium

Threats:
Js-smuggler
Netsupportmanager_rat
Lolbas_technique

Victims:
Enterprise users

TTPs:
Tactics: 7
Technics: 13

IOCs:
File: 22
Url: 4
Domain: 9
Command: 1
Path: 1
IP: 9
Hash: 11

Soft:
Android, Node.js, Windows ActiveX, Windows security, Windows Defender, Windows Powershell

Algorithms:
aes, gzip, aes-256-ecb, base64, sha256, zip

Functions:
_0x19d1, DOM, createScript, _0x4eba19, generateRandomString, checkLastVisit, setTimeout

Languages:
javascript, powershell, jscript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Описанная Вредоносная Кампания включает в себя многоэтапную операцию, направленную на скрытность и закрепление. Она начинается с кода JavaScript загрузчик запутанным со взломанных сайтов, использованием профилирования устройства и тонкие отслеживания. Нападение прогрессирует через приложение HTML, который работает в скрытом режиме для выполнения зашифрованной PowerShell стагер, в конечном счете, приводит к установке NetSupport Троян удаленного доступа (RAT) за самовольное управления, с методами выделения стратегии уклонения и закрепление постоянства.
-----

Вредоносная Кампания, проанализированная Securonix Threat Research, представляет собой сложную многоэтапную операцию, в которой используются передовые тактики для достижения скрытого и постоянного контроля над системами-жертвами. Атака разворачивается в три ключевых этапа, начиная с сильно запутанного загрузчика JavaScript, который внедряется на скомпрометированные веб-сайты. Этот загрузчик, извлекаемый по определенному URL-адресу, использует комбинацию сопоставления числовых индексов и динамического поворота массива, чтобы скрыть свое истинное назначение. Он включает стратегии профилирования устройств, позволяющие решить, следует ли внедрять полноэкранный iframe для мобильных устройств или загружать дополнительный удаленный скрипт для пользователей настольных компьютеров. Тонкие механизмы отслеживания гарантируют, что вредоносная логика выполняется только один раз для каждого пользователя, что повышает ее скрытность.

На втором этапе злоумышленник использует HTML-приложение (HTA), доставляемое по динамически генерируемому URL-адресу. Использование законного компонента Windows mshta.exe , HTA выполняется полностью скрытым от пользователя. Он записывает зашифрованный этап PowerShell на диск и после выполнения расшифровывает его, используя комплексную схему AES-256-ECB, применяемую со сжатием Base64 и GZIP. Полезная нагрузка запускается в памяти, а затем удаляет свои временные файлы, чтобы свести к минимуму криминалистическое обнаружение.

Заключительный этап состоит из полностью расшифрованной полезной нагрузки PowerShell, которая загружает и устанавливает троян удаленного доступа NetSupport (RAT). После выполнения эта полезная нагрузка извлекает ZIP-файл из инфраструктуры злоумышленника, извлекает его и запускает клиентский исполняемый файл через скрытую оболочку JScript. Чтобы обеспечить закрепление, скрипт создает замаскированный ярлык в папке автозагрузки, облегчающий автоматическое выполнение при входе пользователя в систему.

NetSupport, предназначенный для законного удаленного администрирования, был перепрофилирован злоумышленниками для несанкционированного контроля, который в обсуждениях threat intelligence называется NetSupport RAT. Кампания нацелена на обычных корпоративных пользователей, а не на конкретные отрасли, используя скомпрометированные веб-сайты и тихие перенаправления. Хотя операция демонстрирует современные методы, такие как запутывание и уклончивое выполнение, в настоящее время недостаточно доказательств, чтобы связать ее с каким-либо конкретным злоумышленником или нацией.

Используя фреймворк MITRE ATT&CK, эта кампания использует такие тактики, как "компромиссы по принципу "Теневой (drive-by) компрометации, выполнение JavaScript, злоупотребление подписанными двоичными файлами, такими как mshta.exe , и различные методы закрепления с помощью методов папки автозагрузки. Методы направлены на уклонение от обнаружения с помощью запутанных полезных нагрузок и Отражающей загрузки кода, демонстрируя сложный подход к атакам удаленного доступа.

#ParsedReport #CompletenessMedium
09-12-2025

Makop ransomware: GuLoader and privilege escalation in attacks against Indian businesses

https://www.acronis.com/en/tru/posts/makop-ransomware-guloader-and-privilege-escalation-in-attacks-against-indian-businesses/

Report completeness: Medium

Threats:
Makop
Cloudeye
Phobos
Mimikatz_tool
Agent_tesla
Formbook
Loki_bot
Credential_dumping_technique
Vmprotect_tool
Nlbrute_tool
Password_spray_technique
Netscan_tool
Advanced-port-scanner_tool
Masscan_tool
Defendercontrol_tool
Byovd_technique
Medusalocker
Akira_ransomware
Qilin_ransomware
Process_hacker_tool
Lazagne_tool
Netpass_tool
Ransomhub
Blackbasta
Rhysida
Av-killer

Victims:
Businesses

Geo:
Indian, Brazil, Germany, India

CVEs:
CVE-2022-24521 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19265)
- microsoft windows_10_1607 (<10.0.14393.5066)
- microsoft windows_10_1809 (le10.0.17763.2803)
- microsoft windows_10_1909 (<10.0.18363.2212)
- microsoft windows_10_20h2 (<10.0.19042.1645)
have more...
CVE-2019-1388 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1607 (-)
- microsoft windows_10_1709 (-)
- microsoft windows_10_1803 (-)
- microsoft windows_10_1809 (-)
have more...
CVE-2025-7771 [Vulners]
CVSS V3.1: 8.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2020-0796 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1903 (-)
- microsoft windows_10_1909 (-)
- microsoft windows_server_1903 (-)
- microsoft windows_server_1909 (-)

CVE-2020-0787 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1607 (-)
- microsoft windows_10_1709 (-)
- microsoft windows_10_1803 (-)
- microsoft windows_10_1809 (-)
have more...
CVE-2016-0099 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1511 (-)
- microsoft windows_7 (-)
- microsoft windows_8.1 (-)
- microsoft windows_server_2008 (-, r2)
have more...
CVE-2017-0213 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1511 (-)
- microsoft windows_10_1607 (-)
- microsoft windows_10_1703 (-)
- microsoft windows_7 (-)
have more...
CVE-2018-8639 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1607 (-)
- microsoft windows_10_1703 (-)
- microsoft windows_10_1709 (-)
- microsoft windows_10_1803 (-)
have more...
CVE-2020-1066 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft .net_framework (3.0)

CVE-2021-41379 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19119)
- microsoft windows_10_1607 (<10.0.14393.4770)
- microsoft windows_10_1809 (<10.0.17763.2300)
- microsoft windows_10_1909 (<10.0.18363.1916)
- microsoft windows_10_2004 (<10.0.19041.1348)
have more...

TTPs:
Tactics: 7
Technics: 0

IOCs:
Path: 4
File: 13
Hash: 68

Soft:
Windows Defender, Microsoft Defender, ThrottleStop, Local Security Authority, twitter

Win Services:
BITS

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 8, dump: 1, code: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Makop, вариант Phobos, нацелена на незащищенные системы Протокола удаленного рабочего стола (RDP), в первую очередь затрагивая индийские предприятия, используя слабые учетные данные с помощью атак методом перебора или по словарю. Злоумышленники используют локальные эксплойты с повышением привилегий, включая такие уязвимости, как CVE-2017-0213 и CVE-2021-41379, и применяют методы обхода защиты с помощью AV killers, чтобы отключить меры безопасности. Они также используют средства сброса учетных данных, такие как Mimikatz, для расширения своего доступа и внедрили GuLoader для эффективной доставки полезной нагрузки, что указывает на изменение стратегии, аналогичное другим группам программ-вымогателей.
-----

Makop вымогателей, вариант Phobos Фобос, наблюдается эксплуатации подвергаются протокол удаленного рабочего стола (RDP) на системы, в частности, индийского бизнеса. Последние исследования показали, что злоумышленники используют локальное повышение привилегий подвиги наряду с традиционными методами вымогателей, демонстрируя тщательного подхода к увеличению их оперативной эффективности. Приступы обычно начинаются с несанкционированным доступом полученные с помощью грубой силы или атака по словарю на слабом РДП учетные данные, часто из-за отсутствия многофакторная проверка подлинности (MFA) среди целевых организаций.

Оказавшись в среде жертвы, операторы Makop используют различные тактические приемы для облегчения своей вредоносной деятельности. Они используют инструменты сетевого сканирования, такие как NetScan и Advanced IP Scanner, для обнаружения систем и выполнения перемещения внутри компании в сети. Кроме того, они применяют методы обхода защиты, используя облегченные AV Killers, включая Defender Control и Disable Defender, для временного отключения мер безопасности, тем самым прокладывая путь для последующего использования известных уязвимостей.

Фаза повышения привилегий имеет решающее значение в этих атаках, связанных с использованием нескольких уязвимостей в компонентах Windows. Примечательно, что CVE-2017-0213, CVE-2018-8639, CVE-2021-41379 и CVE-2016-0099 были использованы для получения системных привилегий. Эти уязвимости особенно эффективны и содержат общедоступный код подтверждения концепции (PoC), что делает их доступными для эксплуатации. Группа Makop поддерживает разнообразный набор инструментов локального повышения привилегий (LPE) для обеспечения постоянной эффективности, даже если один подход терпит неудачу.

Получение учетных данных является еще одним жизненно важным элементом операций Makop, который включает в себя использование хранилищ учетных данных, таких как Mimikatz, LaZagne и NetPass, для извлечения конфиденциальных данных. Вместе с брутфорс инструменты, такие как CrackAccount и AccountRestore, эти методы позволяют злоумышленникам получить несанкционированный доступ к дополнительным счетам, тем самым усиливая их воздействие на инфраструктуру жертвы.

Заметным дополнением к арсеналу Makop's является использование GuLoader, который был идентифицирован как метод доставки последующих полезных нагрузок. Эта тактика отражает тенденции, наблюдаемые среди других групп программ-вымогателей, указывая на сдвиг в сторону использования загрузчиков для улучшения стратегий развертывания полезной нагрузки. 55% атак Makop, зафиксированных в Индии, предполагают сосредоточение внимания на средах с более слабыми мерами безопасности, хотя инциденты также происходили в Бразилии, Германии и спорадически в других местах.

#ParsedReport #CompletenessLow
09-12-2025

Deceptive Layoff-Themed HR Email Distributes Remcos RAT Malware

https://www.seqrite.com/blog/deceptive-layoff-themed-hr-email-distributes-remcos-rat-malware/

Report completeness: Low

Threats:
Remcos_rat

Victims:
Corporate employees

TTPs:
Tactics: 7
Technics: 11

IOCs:
File: 2
Path: 2
Registry: 1
Hash: 3
IP: 1

Soft:
UNIX

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга, нацеленная на сотрудников во время увольнений, использует обманчивые электронные письма для распространения троянца удаленного доступа Remcos (RAT) через RAR-архив, замаскированный под двойное расширение, Маскировку под PDF-документ. После запуска Remcos RAT выполняет Регистрацию нажатий клавиш, Захват экрана, мониторинг буфера обмена и устанавливает соединение для управления, обеспечивая при этом закрепление с помощью изменений реестра Windows. Атака использует социальную инженерию для получения первоначального доступа и методы уклонения, чтобы скрыть свои злонамеренные намерения.
-----

Недавно была выявлена кампания по фишингу, которая использует электронные письма на тему увольнений для распространения троянца удаленного доступа Remcos (RAT). Эти вводящие в заблуждение электронные письма часто выдаются за уведомления об увольнении или другие сообщения, связанные с персоналом, и наживаются на тревогах сотрудников во время сокращений рабочей силы. Эта тактика использует в своих интересах повышенный уровень стресса, повышая вероятность того, что люди непреднамеренно перейдут по Вредоносным ссылкам или вложениям.

Первоначальный вектор атаки включает в себя архив RAR, замаскированный соглашением об именовании с двойным расширением, таким как "pdf.rar ." Хотя оно напоминает PDF-документ, вложение содержит вредоносный исполняемый файл, скомпилированный NSIS (Nullsoft Scriptable Install System), предназначенный для имитации законного документа. При запуске Remcos RAT выполняет различные задачи инициализации и впоследствии участвует в нескольких вредоносных операциях.

Как только полезная нагрузка Remcos установлена, она порождает множество потоков, каждый из которых посвящен определенным функциям. К ним относятся Регистрация нажатий клавиш, Захват экрана, мониторинг буфера обмена и создание цикла обработки команд для поддержания постоянной связи со злоумышленником. RAT обходит меры безопасности, Маскировка под доброкачественный PDF-файл, используя формат упаковки NSIS, чтобы скрыть его истинное назначение.

Что касается закрепления, вредоносное ПО Remcos регистрируется в реестре Windows в расположении, позволяющем ему автоматически запускаться при запуске системы. Он также поддерживает сведения о конфигурации таким образом, что позволяет ему продолжать свою работу в разных сеансах. Кроме того, вредоносное ПО собирает информацию о хосте при запуске, включая идентификаторы пользователей и системные данные.

Тактика, используемая в этой кампании, согласуется с несколькими конкретными техниками, описанными в рамках MITRE ATT&CK. Первоначальный доступ получен с помощью вредоносной рассылки по электронной почте, использующей методы социальной инженерии. Выполнение полезной нагрузки зависит от взаимодействия с пользователем, в то время как методы обхода защиты включают маскировку исполняемых файлов и использование известных средств установки системы. Вредоносное ПО предназначено для закрепления на зараженных компьютерах и беспрепятственного выполнения операций по сбору данных, в конечном счете подключаясь к управляемому злоумышленником серверу управления.

#ParsedReport #CompletenessMedium
09-12-2025

EtherRAT: DPRK uses novel Ethereum implant in React2Shell attacks

https://www.sysdig.com/blog/etherrat-dprk-uses-novel-ethereum-implant-in-react2shell-attacks

Report completeness: Medium

Actors/Campaigns:
Contagious_interview
Earth_lamia
Jackpot_panda
Unc5174
Lazarus
Colortoolsv2
Unc5342

Threats:
Etherrat
React2shell_vuln
Cobalt_strike_tool
Sliver_c2_tool
Vshell
Xmrig_miner
Etherhiding_technique
Beavertail
Credential_harvesting_technique
Invisibleferret
Supply_chain_technique
Log4shell_vuln

Victims:
Technology sector, Open source focused companies, Web application developers

Industry:
Financial

Geo:
China, North korean, Korea, Dprk, North korea

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1053.003, T1059.004, T1071.001, T1102, T1105, T1140, T1190, T1546.004, have more...

IOCs:
File: 23
Coin: 2
IP: 1

Soft:
Linux, Node.js, curl, Systemd, crontab

Crypto:
ethereum

Algorithms:
base64, aes-256-cbc, aes, md5

Functions:
eval

Languages:
python, powershell, javascript