#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lumma Stealer - это недавно выявленное вредоносное ПО, которое нацелено на пользователей с помощью поддельных обновлений игр на таких платформах, как Itch.io и Patreon, доставляющий исполняемый файл, замаскированный под "game.exe - в архиве. Это вредоносное ПО использует nexe для упаковки Node.js приложение и использует сложные методы антианализа, включая обнаружение виртуальных машин, чтобы обойти меры безопасности. Кроме того, он декодирует полезную нагрузку Base64, которая действует как вариант Lumma Stealer, указывая на методический подход злоумышленника к распространению вредоносного ПО через различные учетные записи и закодированные файлы.
-----

Lumma Stealer - это появляющаяся киберугроза, которая использует поддельные обновления игр на таких платформах, как Itch.io и Патреон. Злоумышленники создают несколько спам-аккаунтов для публикации комментариев к легальным играм, направляя ничего не подозревающих пользователей загружать архив с надписью "Обновлено Version.zip " под видом обновлений игры. В то время как большая часть содержимого этого архива кажется безобидной, основной исполняемый файл, "game.exe ," вот где кроется угроза.

После исполнения,"game.exe " не выполняет никаких законных действий по обновлению. Статический анализ показывает, что он скомпилирован с помощью nexe, что позволяет Node.js приложения должны быть упакованы в виде исполняемых файлов PE. Это примечательно, поскольку представляет собой новый метод доставки вредоносного ПО, о котором ранее широко не сообщалось в связи с угрозами, с которыми сталкивались.

Вредоносное ПО использует передовые методы антианализа, включая механизм обнаружения виртуальной машины (ВМ). Он проверяет системную память и количество ядер процессора, определяя, запущен ли он в среде виртуальной машины. Если система идентифицируется как виртуальная, вредоносное ПО прекращает выполнение, что эффективно защищает ее от анализа.

Кроме того, исполняемый файл декодирует полезную нагрузку в кодировке Base64, которая является вариантом Lumma Stealer, эффективно загружая ее как Node.js модуль. Это указывает на систематический подход одного злоумышленника, который использует несколько учетных записей и различные ссылки для скачивания для распространения различных файлов, скомпилированных nexe, с использованием различных методов кодирования. Несмотря на усилия по маскировке вредоносного ПО, различия в именах переменных и функций остаются идентифицируемыми даже после расшифровки, что свидетельствует о структурированной, но легко адаптируемой стратегии оператора. Такое динамичное использование nexe и внедренные контрмеры подчеркивают растущую сложность развертывания вредоносного ПО.

#ParsedReport #CompletenessMedium
09-12-2025

New BYOVD loader behind DeadLock ransomware attack

https://blog.talosintelligence.com/byovd-loader-deadlock-ransomware/

Report completeness: Medium

Threats:
Byovd_technique
Deadlock
Shadow_copies_delete_technique
Winrm_tool
Anydesk_tool
Mstsc_tool
Process_hollowing_technique
Rustdesk_tool

Victims:
Enterprise environments

CVEs:
CVE-2024-51324 [Vulners]
CVSS V3.1: 3.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 4
Technics: 3

IOCs:
File: 12
Command: 1

Soft:
Windows Defender, Windows service, Dropbox, Microsoft SQL Server, MySQL, QuickBooks, Microsoft Exchange, Apache Tomcat

Crypto:
bitcoin, monero

Algorithms:
sha256

Functions:
CreateFile, ZwTerminateProcess, Test-Admin

Win API:
DeviceIOControl, GetSystemTimeAsFileTime

Win Services:
Eventlog, msmpeng, MSSQL$VEEAMSQL2012, FishbowlMySQL, VeeamTransportSvc, ccEvtMgr, RTVscan, MVArmor

Languages:
powershell

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2025/12/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Талос компания Cisco сообщила о финансово мотивированный злоумышленник, используя DeadLock вымогателей, который реализует byovd BYOVD эксплуатации Байду антивирус драйвер уязвимость (CVE-2024-51324), чтобы отключить EDR и услуг. Актор использует сценарий PowerShell для bypass UAC, деактивации защитника Windows и удаления shadow copies томов, что затрудняет восстановление. DeadLock нацелен на Windows с пользовательскими шифрование с использованием временных ключей на базе, способствующие эффективной шифрования с помощью передовых методов, избегая при этом обнаружения с использованием нестандартных методов шифрования.
-----

Циско Талос был выявлен новый тактики финансово мотивированный злоумышленник, используя DeadLock вымогателей, отличается своей инновационной использование собственных уязвимых драйвер техника BYOVD BYOVD). Актор воспользовался уязвимостью в драйвере антивируса Baidu, обозначенной CVE-2024-51324, чтобы отключить службы обнаружения конечных точек и реагирования (EDR). Они инициировали нападения с PowerShell PowerShell, который обходит Контроль учетных записей (UAC), Защитник Windows отключается, прекращается критических обновлений и процессов базе и удаляет объема shadow copies, чтобы сорвать усилия по восстановлению системы.

Сама программа-вымогатель DeadLock нацелена на компьютеры Windows с помощью пользовательского механизма шифрования, который использует криптографические ключи, основанные на времени. Этот метод шифрует различные типы файлов, предотвращая при этом повреждение системы за счет выборочного нацеливания на файлы и использования стратегий защиты от криминалистики, что затрудняет восстановление для жертв. Этот вариант программы-вымогателя активен, по крайней мере, с июля 2025 года; однако злоумышленник воздерживается от обслуживания сайта утечки данных, вместо этого предпочитая напрямую взаимодействовать с жертвами через Session messenger.

Манипулирование актором процессами безопасности имеет большое значение. Они использовали законный исполняемый файл SystemSettingsAdminFlows.exe чтобы изменить настройки защитника Windows, отключив защиту в режиме реального времени и облачные защитные меры. Они выполняли команды, предотвращающие отправку подозрительных файлов для анализа, ставя под угрозу защитные возможности хостинга.

Дальнейшее расследование показало, что актор поддерживал постоянный доступ к сети жертвы. Они установили AnyDesk, включив удаленный доступ всего за день до развертывания Ransomware. Данные телеметрии указывают на то, что они находились внутри сети примерно пять дней до этапа шифрования, проводя внутреннюю разведку и перемещение внутри компании для выявления особо важных целей.

Процесс шифрования DeadLock's характеризуется сложной архитектурой. Он включает в себя рекурсивный обход каталогов, ввод/вывод файлов с отображением в памяти и многопоточность для эффективной оптимизации шифрования целых файловых систем. Двоичный файл содержит обширный конфигурационный блок размером 8 888 байт, который программа-вымогатель использует для определения своих операционных протоколов путем анализа этих данных во время выполнения. Примечательно, что реализация шифрования DeadLock's отличается от стандартных криптографических API Windows, что позволяет эффективно избегать обнаружения.

#technique

Stillepost - Or: How to Proxy your C2s HTTP-Traffic through Chromium

https://x90x90.dev/posts/stillepost/

#ParsedReport #CompletenessHigh
09-12-2025

React2Shell exploited to deploy EtherRAT across cloud servers

https://cybersecsentinel.com/react2shell-exploited-to-deploy-etherrat-across-cloud-servers/

Report completeness: High

Actors/Campaigns:
Earth_lamia
Jackpot_panda

Threats:
React2shell_vuln
Etherrat

Victims:
Cloud servers, Web servers, React server components deployments, Next.js deployments

Industry:
Financial

Geo:
China, Dprk, North korea

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)


TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 4
IP: 14
Coin: 1
Hash: 11
Url: 18

Soft:
Node.js, Systemd, crontab, curl, linux

Crypto:
ethereum, monero

Algorithms:
md5, sha1, base64

Languages:
python, javascript

YARA: Found
SIGMA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
React2Shell - критическая уязвимость удаленного выполнения кода без проверки подлинности (CVE-2025-55182) в протоколе управления компонентами сервера React, позволяющая злоумышленникам выполнять произвольный код с помощью созданных HTTP-запросов, в частности, затрагивающая React 19 и Next.js приложения. Эксплуатация связана с EtherRAT, сложным трояном удаленного доступа, который использует множество механизмов закрепления, повышающих его живучесть. Различные хакерские группировки, в том числе из КНДР и Китая, используют эту уязвимость для таких действий, как криптомайнинг и кража облачных учетных данных, используя Ethereum для командования и контроля.
-----

React2Shell идентифицирован как критическая уязвимость удаленного выполнения кода без проверки подлинности в протоколе управления компонентами сервера React. Этот недостаток позволяет злоумышленникам выполнять произвольный код, отправляя специально созданный HTTP-запрос, особенно влияя на стандартные конфигурации в таких фреймворках, как серверные компоненты React 19 и Next.js приложения. Использование этой уязвимости было связано с внедрением EtherRAT, троянца удаленного доступа, который использует сложную поэтапную цепочку заражения, подчеркивающую скрытность и закрепление.

Подход EtherRAT's к заражению примечателен тем, что в нем используются множественные механизмы закрепления, получившие название "Агрессивной пятерки". Эти методы включают в себя создание пользовательской службы systemd со случайным именем файла unit, установку Записей автозапуска XDG со скрытыми настройками, настройку заданий cron для автоматического выполнения и внедрение вредоносного кода в файлы инициализации пользовательской оболочки, такие как .bashrc и .profile. Такая тактика повышает живучесть EtherRAT's в скомпрометированных системах.

Оценка рисков подчеркивает сочетание широко используемой серьезной уязвимости и расширенных возможностей скрытности EtherRAT в качестве новой серверной угрозы. Это особенно важно из-за его устойчивости к традиционной защите периметра и сложностей, связанных с его децентрализованным механизмом командования и контроля, использующим Ethereum для связи.

Уязвимость, кодируемая как CVE-2025-55182, в частности, является результатом ошибки десериализации при обработке структурированных полезных нагрузок в приложениях React. Атака включает в себя создание примитивов выполнения, которые манипулируют десериализатором для выполнения произвольного кода JavaScript. Хотя первоначальные обсуждения могут ограничить угрозу до Next.js , это фактически оказывает воздействие на любой сервер, использующий уязвимую библиотеку серверных компонентов React.

Различные хакерские группировки, в том числе связанные с КНДР и Китаем, быстро использовали React2Shell с намерениями, варьирующимися от криптомайнинга до кражи облачных учетных данных. Отличительной особенностью EtherRAT's является его зависимость от Ethereum для разрешения команд, что усложняет усилия по реагированию. Следовательно, меры безопасности, включая строгие наборы правил брандмауэра веб-приложений, сегментацию сети и немедленную изоляцию скомпрометированных ресурсов, имеют решающее значение для сдерживания этих угроз. В случае компрометации EtherRAT для эффективного устранения вредоносного ПО необходимы всесторонний судебный анализ и полная перестройка инфраструктуры, а не поверхностные исправления.

#ParsedReport #CompletenessMedium
10-12-2025

AMOS Stealer Exploits AI Trust: Malware Delivered Through ChatGPT and Grok

https://www.huntress.com/blog/amos-stealer-chatgpt-grok-ai-trust

Report completeness: Medium

Threats:
Amos_stealer
Credential_harvesting_technique
Clickfix_technique
Seo_poisoning_technique

Victims:
Macos users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.004, T1105, T1204.002, T1566, T1608.006

IOCs:
Url: 3
Hash: 5
IP: 2

Soft:
ChatGPT, macOS, OpenAI, Gatekeeper, curl, sudo, Node.js, Ledger Live, macOS Gatekeeper, Claude, have more...

Wallets:
ledger_wallet, trezor, electrum, metamask, coinbase

Algorithms:
sha256, base64, zip

Languages:
python, applescript

Platforms:
cross-platform, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО AMOS Stealer представляет собой серьезную угрозу, использующую платформы, управляемые искусственным интеллектом, для доставки, используя методы социальной инженерии, известные как атаки "ClickFix". Атака нацелена на устройства macOS, обманом заставляя пользователей выполнять вредоносные команды с помощью скриптов, замаскированных под решения распространенных проблем, инициируя многоэтапное заражение, направленное на сбор учетных записей и повышение привилегий. Вредоносное ПО использует закрепление с помощью функции LaunchDaemon в macOS, обеспечивая непрерывный доступ и эксфильтрацию данных в обход традиционных мер безопасности.
-----

Вредоносное ПО AMOS Stealer стало серьезной угрозой, особенно из-за его инновационных механизмов доставки, которые используют доверие пользователей к платформам, управляемым искусственным интеллектом, таким как ChatGPT и Grok. Эта киберугроза использует стратегию социальной инженерии, известную как атаки "ClickFix", которые обманом заставляют пользователей выполнять вредоносные команды, замаскированные под законные решения таких распространенных проблем, как очистка дискового пространства.

В ходе расследования, проведенного командой Huntress, было обнаружено, что атака начинается с, казалось бы, безобидных поисковых запросов, связанных с управлением дисками на устройствах macOS. Пользователи вступают в хорошо продуманные диалоги, имитирующие подлинное взаимодействие в чате. Эти взаимодействия усиливают доверие людей к знакомым доменам и форматирование типичных ответов искусственного интеллекта, что затрудняет пользователям обнаружение злого умысла, стоящего за передаваемыми командами.

Вредоносное ПО запускается с помощью строки в кодировке base64, встроенной в команду, которая при запуске подключается к URL-адресу, содержащему вредоносный bash-скрипт, предназначенный для инициирования многоэтапного заражения. Начальный этап фокусируется на сборе учетных записей и молчаливом повышении привилегий, что позволяет злоумышленнику получить несанкционированный доступ к пользовательской информации. Расшифрованная команда направляет пользователей к вредоносной полезной нагрузке, доступной по URL-адресу, подключенному к внешнему серверу.

Как только злоумышленник получает учетные данные, запускается загрузчик AppleScript, который загружает и устанавливает основную полезную нагрузку, исполняемый файл Mach-O, в скрытый каталог в домашнем каталоге пользователя. Этот исполняемый файл запрограммирован на эксфильтрацию ценных данных, что указывает на целенаправленный подход к краже данных.

Чтобы поддерживать закрепление в скомпрометированной системе, злоумышленник использует функцию LaunchDaemon в macOS, которая позволяет автоматически запускать сценарий bash при каждой перезагрузке системы. Этот механизм закрепления имеет решающее значение, поскольку он гарантирует, что присутствие злоумышленника на зараженной машине останется незамеченным.

Инфраструктура, поддерживающая эту кампанию, включает в себя конкретные URL-адреса командования и контроля (C2) и IP-адреса, связанные с различными компонентами вредоносного ПО. Заслуживающие внимания аспекты этой угрозы включают ее способность обходить традиционные меры безопасности, используя в своих интересах поведение пользователя, такое как копирование и вставка команд из предполагаемых надежных источников без каких-либо подозрений.

Эволюция угрозы AMOS свидетельствует об изменении подхода злоумышленников, переходящих от попыток обойти скептицизм пользователей к прямому использованию доверия пользователей к установленным платформам и Поисковым системам. Это достижение подчеркивает необходимость усиления бдительности в отношении социально спроектированных атак вредоносного ПО, особенно тех, которые используют тактику обмана, связанную с Искусственным интеллектом.

#ParsedReport #CompletenessLow
10-12-2025

Spiderman Phishing Kit Mimics Top European Banks With A Few Clicks

https://www.varonis.com/blog/spiderman-phishing-kit

Report completeness: Low

Threats:
Spiderman_tool
Bec_technique
Smishing_technique
Spamgpt_tool
Matrixpdf_tool
Atroposia

Victims:
Banking customers, Financial sector, Cryptocurrency users

Industry:
Financial, Telco, Government

Geo:
Germany, Polish, Deutsche, Switzerland, Belgium, Austria

ChatGPT TTPs:
do not use without manual check
T1036, T1056.6, T1111, T1204, T1566, T1583.001

Soft:
Android, Twitter

Wallets:
metamask, exodus_wallet

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Набор для фишинга "Spiderman" представляет собой сложную угрозу, нацеленную на клиентов европейских банков, объединяя несколько банковских учреждений в единый интерфейс для эффективных атак в разных регионах. Его продвинутая тактика уклонения, включая внесение в белый список интернет-провайдеров и геоблокировку, снижает вероятность обнаружения обычными инструментами, в то время как функции перехвата одноразовых паролей в режиме реального времени и криптографических исходных фраз повышают риск. Модульная конструкция обеспечивает непрерывную адаптацию к банковским обновлениям, обеспечивая постоянную актуальность в условиях угроз.
-----

Набор для фишинга от Spiderman представляет собой развивающуюся и изощренную угрозу, нацеленную на клиентов европейских банков. Он отличается своими широкими возможностями таргетинга, объединяя множество известных банковских учреждений в пяти странах в единый интерфейс для фишинга. Такая консолидация повышает эффективность, позволяя злоумышленникам без особых усилий переключаться между регионами и нацеливаться на несколько банков одновременно, тем самым увеличивая масштаб и потенциальное воздействие атак.

Одной из примечательных особенностей набора Spiderman является его продвинутая тактика уклонения. Используя белый список интернет-провайдеров, геоблокировку и стратегии фильтрации устройств, это значительно снижает видимость для экспертов по кибербезопасности. Многие обычные инструменты обнаружения фишинга неэффективны против такого индивидуального подхода, поскольку не позволяют проанализировать конкретную инфраструктуру, которой избегает Spiderman. Это сочетается с механизмами, поддерживающими кражу криптовалюты, поскольку включает модули для захвата начальных фраз криптовалюты, что указывает на переход к гибридным банковским операциям и крипто-мошенничеству.

Возможности набора для перехвата в режиме реального времени представляют собой значительный прогресс в методах фишинга. В него интегрированы функции для получения одноразовых паролей (OTP) с помощью таких инструментов, как Phototan, что создает повышенный риск для европейских банков, использующих методы аутентификации TAN. Такой уровень сложности иллюстрирует тенденцию, при которой перехват в режиме реального времени, вероятно, станет стандартной тактикой фишинга, что еще больше усложнит меры защиты.

Более того, модульный характер набора для фишинга от Spiderman обеспечивает его непрерывную эволюцию, поскольку злоумышленники могут добавлять новые банковские порталы и адаптироваться к меняющимся методам аутентификации. Это означает, что по мере того, как европейские банки обновляют свои онлайн-сервисы, Spiderman может развиваться в тандеме, сохраняя свою актуальность и эффективность в условиях угроз.

Панель управления для операторов отображает показатели сеансов жертвы в режиме реального времени, включая входные данные и сведения о компьютере пользователя, что облегчает отслеживание отдельных лиц и оптимизирует стратегии атак. Модуль контроля доступа, встроенный в комплект, позволяет злоумышленникам ограничивать загрузку фишинг-страниц, препятствуя доступу исследователей и гарантируя, что только подлинные цели смогут попасть на вредоносный сайт.

#ParsedReport #CompletenessLow
10-12-2025

macOS Stealers: How Modern Infostealers Harvest Credentials

https://deceptiq.com/blog/macos-stealers-technical-analysis

Report completeness: Low

Threats:
Chainbreaker_tool
Banshee_stealer
Banshee

Victims:
Macos users

Geo:
Russian

TTPs:
Tactics: 5
Technics: 14

IOCs:
File: 7

Soft:
macOS, Firefox, Chrome, Chromium, Unix

Algorithms:
aes-256-gcm, 3des, pbkdf2, xor, zip, aes, base64

Functions:
getMacOSPassword, getProfiles, getIP, writeToFile, NSUserName

Languages:
applescript, objective_c, c_language

Platforms:
arm, apple

Links:
https://github.com/n0fate/chainbreaker
have more...
https://github.com/vxunderground/MalwareSourceCode/blob/main/MacOS/MacOS.Stealer.Banshee.7z

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Banshee - это стиллер для macOS, который отслеживает учетные данные из нескольких веб-браузеров и Связки ключей macOS, используя методы с учетом профилей, собирая данные из всех профилей пользователей. Для повышения эффективности он использует фишинг паролей в режиме реального времени с помощью AppleScript, обеспечивая кражу как баз данных браузера, так и паролей для Связки ключей для расшифровки в автономном режиме. Благодаря быстрой эксфильтрации данных с помощью HTTP POST-запросов и отсутствию закрепления в зараженных системах действия Banshee's создают значительные проблемы для обнаружения и реагирования.
-----

В статье рассматриваются технические аспекты infostealers для macOS, с особым акцентом на вредоносное ПО вариант имени Banshee. Этот Стиллер предназначены для сбора конфиденциальной информации с помощью таргетинга учетные данные, хранящиеся в различных веб-браузерах и ОС macOS связка ключей. Banshee использует сложный подход к извлечению пользовательских данных, внедряя методы сбора с учетом профилей для восьми различных браузеров, гарантируя, что он может собирать данные из всех профилей пользователей, включая профили по умолчанию и пользовательские.

Одним из важных методов, используемых Banshee, является механизм фишинга паролей, который имеет решающее значение, поскольку позволяет вредоносному ПО проверять украденные учетные данные в режиме реального времени с помощью служб каталогов macOS. Использование AppleScript для создания визуально похожих запросов на аутентификацию повышает его эффективность. При краже различных типов данных браузера, включая пароли и файлы cookie, Banshee обязательно захватывает не только базы данных браузера, но и пароли Связки ключей, поскольку пароли Chromium зашифрованы с помощью ключа, хранящегося в Связке ключей. Это требует кражи обоих компонентов, чтобы облегчить злоумышленнику расшифровку в автономном режиме.

Вредоносное ПО выполняет ряд действий по разведке, собирая системную информацию, такую как идентификатор модели Аппаратного обеспечения, серийный номер, версию операционной системы и данные учетной записи пользователя. Он также манипулирует функциями конфиденциальности macOS (TCC), чтобы получить необходимые разрешения для повторного выполнения своих скриптов, не сталкиваясь с блокировками.

В конструкции Banshee реализована временная операционная модель, что приводит к отсутствию закрепления в зараженной системе, что затрудняет обнаружение. Используя тактику быстрой эксфильтрации данных, включая HTTP POST-запросы к серверам управления, вредоносное ПО гарантирует, что отфильтрованные данные попадут на подпольные рынки до того, как жертва узнает о взломе.

Поведение Banshee согласуется с различными техниками, сопоставленными с платформой MITRE ATT&CK. Методы включают в себя Перехват вводимых данных с помощью вводящих в заблуждение подсказок графического интерфейса, эксфильтрацию по HTTP-каналу, Изучение системы и методы запутывания, позволяющие избежать обнаружения. Суть работы Banshee подчеркивает насущную ситуацию для специалистов по кибербезопасности, поскольку к моменту обнаружения аномалий в системе конфиденциальные данные, возможно, уже были скомпрометированы и отправлены злоумышленникам акторам.

#ParsedReport #CompletenessMedium
10-12-2025

To be expected: CVE-2025-55182 is being actively exploited by attackers

https://securelist.ru/cve-2025-55182-exploitation/114236/

Report completeness: Medium

Threats:
Xmrig_miner
Mirai
Bashlite
Rondodox
Supply_chain_technique

Industry:
Iot

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


IOCs:
Url: 39
Hash: 6

Soft:
curl, AppArmor, SELinux, busybox, Linux

Crypto:
monero

Algorithms:
base64, md5

Languages:
powershell

#ParsedReport #CompletenessLow
10-12-2025

Pro-Russia Hacktivists Conduct Opportunistic Attacks Against US and Global Critical Infrastructure

https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-343a

Report completeness: Low

Actors/Campaigns:
Noname057 (motivation: hacktivism)
Z-pentest (motivation: hacktivism)
Sector16 (motivation: hacktivism)
Cyberarmyofrussia (motivation: hacktivism)
Peoples_cyber_army
Sandworm
Cyberarmyrussia
Z-pentest_alliance

Threats:
Password_spray_technique
Ddosia_botnet
Nmap_tool

Victims:
Critical infrastructure, Operational technology, Industrial control systems, Energy sector, Water and wastewater systems

Industry:
Ics, Military, Foodtech, Critical_infrastructure, Government, Logistic, Energy, Petroleum

Geo:
Czech, Swedish, Australian, French, Ukraine, United kingdom, Canadian, Russia, France, Russian, Ukrainian, Latvian, Romanian, Italian, Spain, New zealand, Spanish, German, Italy

TTPs:
Tactics: 8
Technics: 18

Soft:
Telegram

Links:
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пророссийские группы хактивистов активизировали атаки на критически важные объекты инфраструктуры по всему миру, особенно после российско-украинского конфликта. Кибервойска of Russia Reborn (CARR), связанная с ГРУ, и NoName057(16), которая создала инструмент для DDoS-атак под названием DDoSia, являются одними из главных акторов. Более новая группа, Z-Pentest, фокусируется на операциях вторжения, нацеленных на операционные технологические системы, используя низкоквалифицированную, легко воспроизводимую тактику, которая приводит к неизбирательным атакам.
-----

Пророссийские группы хактивистов все чаще нацеливаются на критически важные объекты инфраструктуры в США и во всем мире, особенно активизировав свои операции после эскалации российско-украинского конфликта в 2022 году. Эти группы часто используют инструменты с открытым исходным кодом для поиска IP-адресов целевых объектов с видимыми службами VNC. Мотивы, стоящие за их нападениями, якобы направлены на поддержку геополитических целей России, главным образом направленных против украинских или союзнических образований, и признаки указывают на то, что некоторые группы могут получать косвенную поддержку правительства.

Кибер-армии of Russia Reborn (Карр), связанных с российского Главного разведуправления Генштаба (ГРУ), является одним из заметных организации. Созданная в начале 2022 года, это было связано с инструментов финансирования, которые способствуют распределенного отказа в обслуживании (DDoS) атаки, продолжая эти операции, по крайней мере, до сентября 2024 года. Еще одной примечательной группы, NoName057(16), возник как проект Центра изучения и сетевого мониторинга молодежной среды (КИСМ), разрабатывает инструмент для ддос имени DDoSia для поражения выявленных целей. Эта группа работает с помощью телеграммы координировать и передавать информацию о своих кибер-деятельности.

В сентябре 2024 года была создана группа Z-Pentest, в которую вошли представители как CARR, так и NoName057(16). В отличие от других пророссийских акторов, Z-Pentest фокусируется на операциях по вторжению, нацеленных на операционные технологические системы, избегая DDoS-атак в пользу таких методов, как операции по взлому и утечке информации и атаки с дефейсом, намереваясь привлечь внимание средств массовой информации. Кроме того, появилась новая группа под названием Sector16, поддерживающая публичное присутствие, чтобы взять на себя ответственность за атаки на энергетическую инфраструктуру США, тем самым укрепляя свою связь с пророссийскими нарративами.

Тактика, методы и процедуры (TTP), используемые этими группами, характеризуются как легко воспроизводимые, способствующие широкомасштабным кибератакам, даже несмотря на то, что акторы обычно демонстрируют ограниченное понимание технологий, на которые они нацелены. Низкий технический уровень этих групп часто приводит к неизбирательным нападениям, когда они стремятся причинить вред, но не в состоянии точно оценить потенциальные последствия.