#ParsedReport #CompletenessHigh
09-12-2025

React2Shell exploited to deploy EtherRAT across cloud servers

https://cybersecsentinel.com/react2shell-exploited-to-deploy-etherrat-across-cloud-servers/

Report completeness: High

Actors/Campaigns:
Earth_lamia
Jackpot_panda

Threats:
React2shell_vuln
Etherrat

Victims:
Cloud servers, Web servers, React server components deployments, Next.js deployments

Industry:
Financial

Geo:
China, Dprk, North korea

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)


TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 4
IP: 14
Coin: 1
Hash: 11
Url: 18

Soft:
Node.js, Systemd, crontab, curl, linux

Crypto:
ethereum, monero

Algorithms:
md5, sha1, base64

Languages:
python, javascript

YARA: Found
SIGMA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
React2Shell - критическая уязвимость удаленного выполнения кода без проверки подлинности (CVE-2025-55182) в протоколе управления компонентами сервера React, позволяющая злоумышленникам выполнять произвольный код с помощью созданных HTTP-запросов, в частности, затрагивающая React 19 и Next.js приложения. Эксплуатация связана с EtherRAT, сложным трояном удаленного доступа, который использует множество механизмов закрепления, повышающих его живучесть. Различные хакерские группировки, в том числе из КНДР и Китая, используют эту уязвимость для таких действий, как криптомайнинг и кража облачных учетных данных, используя Ethereum для командования и контроля.
-----

React2Shell идентифицирован как критическая уязвимость удаленного выполнения кода без проверки подлинности в протоколе управления компонентами сервера React. Этот недостаток позволяет злоумышленникам выполнять произвольный код, отправляя специально созданный HTTP-запрос, особенно влияя на стандартные конфигурации в таких фреймворках, как серверные компоненты React 19 и Next.js приложения. Использование этой уязвимости было связано с внедрением EtherRAT, троянца удаленного доступа, который использует сложную поэтапную цепочку заражения, подчеркивающую скрытность и закрепление.

Подход EtherRAT's к заражению примечателен тем, что в нем используются множественные механизмы закрепления, получившие название "Агрессивной пятерки". Эти методы включают в себя создание пользовательской службы systemd со случайным именем файла unit, установку Записей автозапуска XDG со скрытыми настройками, настройку заданий cron для автоматического выполнения и внедрение вредоносного кода в файлы инициализации пользовательской оболочки, такие как .bashrc и .profile. Такая тактика повышает живучесть EtherRAT's в скомпрометированных системах.

Оценка рисков подчеркивает сочетание широко используемой серьезной уязвимости и расширенных возможностей скрытности EtherRAT в качестве новой серверной угрозы. Это особенно важно из-за его устойчивости к традиционной защите периметра и сложностей, связанных с его децентрализованным механизмом командования и контроля, использующим Ethereum для связи.

Уязвимость, кодируемая как CVE-2025-55182, в частности, является результатом ошибки десериализации при обработке структурированных полезных нагрузок в приложениях React. Атака включает в себя создание примитивов выполнения, которые манипулируют десериализатором для выполнения произвольного кода JavaScript. Хотя первоначальные обсуждения могут ограничить угрозу до Next.js , это фактически оказывает воздействие на любой сервер, использующий уязвимую библиотеку серверных компонентов React.

Различные хакерские группировки, в том числе связанные с КНДР и Китаем, быстро использовали React2Shell с намерениями, варьирующимися от криптомайнинга до кражи облачных учетных данных. Отличительной особенностью EtherRAT's является его зависимость от Ethereum для разрешения команд, что усложняет усилия по реагированию. Следовательно, меры безопасности, включая строгие наборы правил брандмауэра веб-приложений, сегментацию сети и немедленную изоляцию скомпрометированных ресурсов, имеют решающее значение для сдерживания этих угроз. В случае компрометации EtherRAT для эффективного устранения вредоносного ПО необходимы всесторонний судебный анализ и полная перестройка инфраструктуры, а не поверхностные исправления.

#ParsedReport #CompletenessMedium
10-12-2025

AMOS Stealer Exploits AI Trust: Malware Delivered Through ChatGPT and Grok

https://www.huntress.com/blog/amos-stealer-chatgpt-grok-ai-trust

Report completeness: Medium

Threats:
Amos_stealer
Credential_harvesting_technique
Clickfix_technique
Seo_poisoning_technique

Victims:
Macos users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.004, T1105, T1204.002, T1566, T1608.006

IOCs:
Url: 3
Hash: 5
IP: 2

Soft:
ChatGPT, macOS, OpenAI, Gatekeeper, curl, sudo, Node.js, Ledger Live, macOS Gatekeeper, Claude, have more...

Wallets:
ledger_wallet, trezor, electrum, metamask, coinbase

Algorithms:
sha256, base64, zip

Languages:
python, applescript

Platforms:
cross-platform, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО AMOS Stealer представляет собой серьезную угрозу, использующую платформы, управляемые искусственным интеллектом, для доставки, используя методы социальной инженерии, известные как атаки "ClickFix". Атака нацелена на устройства macOS, обманом заставляя пользователей выполнять вредоносные команды с помощью скриптов, замаскированных под решения распространенных проблем, инициируя многоэтапное заражение, направленное на сбор учетных записей и повышение привилегий. Вредоносное ПО использует закрепление с помощью функции LaunchDaemon в macOS, обеспечивая непрерывный доступ и эксфильтрацию данных в обход традиционных мер безопасности.
-----

Вредоносное ПО AMOS Stealer стало серьезной угрозой, особенно из-за его инновационных механизмов доставки, которые используют доверие пользователей к платформам, управляемым искусственным интеллектом, таким как ChatGPT и Grok. Эта киберугроза использует стратегию социальной инженерии, известную как атаки "ClickFix", которые обманом заставляют пользователей выполнять вредоносные команды, замаскированные под законные решения таких распространенных проблем, как очистка дискового пространства.

В ходе расследования, проведенного командой Huntress, было обнаружено, что атака начинается с, казалось бы, безобидных поисковых запросов, связанных с управлением дисками на устройствах macOS. Пользователи вступают в хорошо продуманные диалоги, имитирующие подлинное взаимодействие в чате. Эти взаимодействия усиливают доверие людей к знакомым доменам и форматирование типичных ответов искусственного интеллекта, что затрудняет пользователям обнаружение злого умысла, стоящего за передаваемыми командами.

Вредоносное ПО запускается с помощью строки в кодировке base64, встроенной в команду, которая при запуске подключается к URL-адресу, содержащему вредоносный bash-скрипт, предназначенный для инициирования многоэтапного заражения. Начальный этап фокусируется на сборе учетных записей и молчаливом повышении привилегий, что позволяет злоумышленнику получить несанкционированный доступ к пользовательской информации. Расшифрованная команда направляет пользователей к вредоносной полезной нагрузке, доступной по URL-адресу, подключенному к внешнему серверу.

Как только злоумышленник получает учетные данные, запускается загрузчик AppleScript, который загружает и устанавливает основную полезную нагрузку, исполняемый файл Mach-O, в скрытый каталог в домашнем каталоге пользователя. Этот исполняемый файл запрограммирован на эксфильтрацию ценных данных, что указывает на целенаправленный подход к краже данных.

Чтобы поддерживать закрепление в скомпрометированной системе, злоумышленник использует функцию LaunchDaemon в macOS, которая позволяет автоматически запускать сценарий bash при каждой перезагрузке системы. Этот механизм закрепления имеет решающее значение, поскольку он гарантирует, что присутствие злоумышленника на зараженной машине останется незамеченным.

Инфраструктура, поддерживающая эту кампанию, включает в себя конкретные URL-адреса командования и контроля (C2) и IP-адреса, связанные с различными компонентами вредоносного ПО. Заслуживающие внимания аспекты этой угрозы включают ее способность обходить традиционные меры безопасности, используя в своих интересах поведение пользователя, такое как копирование и вставка команд из предполагаемых надежных источников без каких-либо подозрений.

Эволюция угрозы AMOS свидетельствует об изменении подхода злоумышленников, переходящих от попыток обойти скептицизм пользователей к прямому использованию доверия пользователей к установленным платформам и Поисковым системам. Это достижение подчеркивает необходимость усиления бдительности в отношении социально спроектированных атак вредоносного ПО, особенно тех, которые используют тактику обмана, связанную с Искусственным интеллектом.

#ParsedReport #CompletenessLow
10-12-2025

Spiderman Phishing Kit Mimics Top European Banks With A Few Clicks

https://www.varonis.com/blog/spiderman-phishing-kit

Report completeness: Low

Threats:
Spiderman_tool
Bec_technique
Smishing_technique
Spamgpt_tool
Matrixpdf_tool
Atroposia

Victims:
Banking customers, Financial sector, Cryptocurrency users

Industry:
Financial, Telco, Government

Geo:
Germany, Polish, Deutsche, Switzerland, Belgium, Austria

ChatGPT TTPs:
do not use without manual check
T1036, T1056.6, T1111, T1204, T1566, T1583.001

Soft:
Android, Twitter

Wallets:
metamask, exodus_wallet

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Набор для фишинга "Spiderman" представляет собой сложную угрозу, нацеленную на клиентов европейских банков, объединяя несколько банковских учреждений в единый интерфейс для эффективных атак в разных регионах. Его продвинутая тактика уклонения, включая внесение в белый список интернет-провайдеров и геоблокировку, снижает вероятность обнаружения обычными инструментами, в то время как функции перехвата одноразовых паролей в режиме реального времени и криптографических исходных фраз повышают риск. Модульная конструкция обеспечивает непрерывную адаптацию к банковским обновлениям, обеспечивая постоянную актуальность в условиях угроз.
-----

Набор для фишинга от Spiderman представляет собой развивающуюся и изощренную угрозу, нацеленную на клиентов европейских банков. Он отличается своими широкими возможностями таргетинга, объединяя множество известных банковских учреждений в пяти странах в единый интерфейс для фишинга. Такая консолидация повышает эффективность, позволяя злоумышленникам без особых усилий переключаться между регионами и нацеливаться на несколько банков одновременно, тем самым увеличивая масштаб и потенциальное воздействие атак.

Одной из примечательных особенностей набора Spiderman является его продвинутая тактика уклонения. Используя белый список интернет-провайдеров, геоблокировку и стратегии фильтрации устройств, это значительно снижает видимость для экспертов по кибербезопасности. Многие обычные инструменты обнаружения фишинга неэффективны против такого индивидуального подхода, поскольку не позволяют проанализировать конкретную инфраструктуру, которой избегает Spiderman. Это сочетается с механизмами, поддерживающими кражу криптовалюты, поскольку включает модули для захвата начальных фраз криптовалюты, что указывает на переход к гибридным банковским операциям и крипто-мошенничеству.

Возможности набора для перехвата в режиме реального времени представляют собой значительный прогресс в методах фишинга. В него интегрированы функции для получения одноразовых паролей (OTP) с помощью таких инструментов, как Phototan, что создает повышенный риск для европейских банков, использующих методы аутентификации TAN. Такой уровень сложности иллюстрирует тенденцию, при которой перехват в режиме реального времени, вероятно, станет стандартной тактикой фишинга, что еще больше усложнит меры защиты.

Более того, модульный характер набора для фишинга от Spiderman обеспечивает его непрерывную эволюцию, поскольку злоумышленники могут добавлять новые банковские порталы и адаптироваться к меняющимся методам аутентификации. Это означает, что по мере того, как европейские банки обновляют свои онлайн-сервисы, Spiderman может развиваться в тандеме, сохраняя свою актуальность и эффективность в условиях угроз.

Панель управления для операторов отображает показатели сеансов жертвы в режиме реального времени, включая входные данные и сведения о компьютере пользователя, что облегчает отслеживание отдельных лиц и оптимизирует стратегии атак. Модуль контроля доступа, встроенный в комплект, позволяет злоумышленникам ограничивать загрузку фишинг-страниц, препятствуя доступу исследователей и гарантируя, что только подлинные цели смогут попасть на вредоносный сайт.

#ParsedReport #CompletenessLow
10-12-2025

macOS Stealers: How Modern Infostealers Harvest Credentials

https://deceptiq.com/blog/macos-stealers-technical-analysis

Report completeness: Low

Threats:
Chainbreaker_tool
Banshee_stealer
Banshee

Victims:
Macos users

Geo:
Russian

TTPs:
Tactics: 5
Technics: 14

IOCs:
File: 7

Soft:
macOS, Firefox, Chrome, Chromium, Unix

Algorithms:
aes-256-gcm, 3des, pbkdf2, xor, zip, aes, base64

Functions:
getMacOSPassword, getProfiles, getIP, writeToFile, NSUserName

Languages:
applescript, objective_c, c_language

Platforms:
arm, apple

Links:
https://github.com/n0fate/chainbreaker
have more...
https://github.com/vxunderground/MalwareSourceCode/blob/main/MacOS/MacOS.Stealer.Banshee.7z

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Banshee - это стиллер для macOS, который отслеживает учетные данные из нескольких веб-браузеров и Связки ключей macOS, используя методы с учетом профилей, собирая данные из всех профилей пользователей. Для повышения эффективности он использует фишинг паролей в режиме реального времени с помощью AppleScript, обеспечивая кражу как баз данных браузера, так и паролей для Связки ключей для расшифровки в автономном режиме. Благодаря быстрой эксфильтрации данных с помощью HTTP POST-запросов и отсутствию закрепления в зараженных системах действия Banshee's создают значительные проблемы для обнаружения и реагирования.
-----

В статье рассматриваются технические аспекты infostealers для macOS, с особым акцентом на вредоносное ПО вариант имени Banshee. Этот Стиллер предназначены для сбора конфиденциальной информации с помощью таргетинга учетные данные, хранящиеся в различных веб-браузерах и ОС macOS связка ключей. Banshee использует сложный подход к извлечению пользовательских данных, внедряя методы сбора с учетом профилей для восьми различных браузеров, гарантируя, что он может собирать данные из всех профилей пользователей, включая профили по умолчанию и пользовательские.

Одним из важных методов, используемых Banshee, является механизм фишинга паролей, который имеет решающее значение, поскольку позволяет вредоносному ПО проверять украденные учетные данные в режиме реального времени с помощью служб каталогов macOS. Использование AppleScript для создания визуально похожих запросов на аутентификацию повышает его эффективность. При краже различных типов данных браузера, включая пароли и файлы cookie, Banshee обязательно захватывает не только базы данных браузера, но и пароли Связки ключей, поскольку пароли Chromium зашифрованы с помощью ключа, хранящегося в Связке ключей. Это требует кражи обоих компонентов, чтобы облегчить злоумышленнику расшифровку в автономном режиме.

Вредоносное ПО выполняет ряд действий по разведке, собирая системную информацию, такую как идентификатор модели Аппаратного обеспечения, серийный номер, версию операционной системы и данные учетной записи пользователя. Он также манипулирует функциями конфиденциальности macOS (TCC), чтобы получить необходимые разрешения для повторного выполнения своих скриптов, не сталкиваясь с блокировками.

В конструкции Banshee реализована временная операционная модель, что приводит к отсутствию закрепления в зараженной системе, что затрудняет обнаружение. Используя тактику быстрой эксфильтрации данных, включая HTTP POST-запросы к серверам управления, вредоносное ПО гарантирует, что отфильтрованные данные попадут на подпольные рынки до того, как жертва узнает о взломе.

Поведение Banshee согласуется с различными техниками, сопоставленными с платформой MITRE ATT&CK. Методы включают в себя Перехват вводимых данных с помощью вводящих в заблуждение подсказок графического интерфейса, эксфильтрацию по HTTP-каналу, Изучение системы и методы запутывания, позволяющие избежать обнаружения. Суть работы Banshee подчеркивает насущную ситуацию для специалистов по кибербезопасности, поскольку к моменту обнаружения аномалий в системе конфиденциальные данные, возможно, уже были скомпрометированы и отправлены злоумышленникам акторам.

#ParsedReport #CompletenessMedium
10-12-2025

To be expected: CVE-2025-55182 is being actively exploited by attackers

https://securelist.ru/cve-2025-55182-exploitation/114236/

Report completeness: Medium

Threats:
Xmrig_miner
Mirai
Bashlite
Rondodox
Supply_chain_technique

Industry:
Iot

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


IOCs:
Url: 39
Hash: 6

Soft:
curl, AppArmor, SELinux, busybox, Linux

Crypto:
monero

Algorithms:
base64, md5

Languages:
powershell

#ParsedReport #CompletenessLow
10-12-2025

Pro-Russia Hacktivists Conduct Opportunistic Attacks Against US and Global Critical Infrastructure

https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-343a

Report completeness: Low

Actors/Campaigns:
Noname057 (motivation: hacktivism)
Z-pentest (motivation: hacktivism)
Sector16 (motivation: hacktivism)
Cyberarmyofrussia (motivation: hacktivism)
Peoples_cyber_army
Sandworm
Cyberarmyrussia
Z-pentest_alliance

Threats:
Password_spray_technique
Ddosia_botnet
Nmap_tool

Victims:
Critical infrastructure, Operational technology, Industrial control systems, Energy sector, Water and wastewater systems

Industry:
Ics, Military, Foodtech, Critical_infrastructure, Government, Logistic, Energy, Petroleum

Geo:
Czech, Swedish, Australian, French, Ukraine, United kingdom, Canadian, Russia, France, Russian, Ukrainian, Latvian, Romanian, Italian, Spain, New zealand, Spanish, German, Italy

TTPs:
Tactics: 8
Technics: 18

Soft:
Telegram

Links:
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пророссийские группы хактивистов активизировали атаки на критически важные объекты инфраструктуры по всему миру, особенно после российско-украинского конфликта. Кибервойска of Russia Reborn (CARR), связанная с ГРУ, и NoName057(16), которая создала инструмент для DDoS-атак под названием DDoSia, являются одними из главных акторов. Более новая группа, Z-Pentest, фокусируется на операциях вторжения, нацеленных на операционные технологические системы, используя низкоквалифицированную, легко воспроизводимую тактику, которая приводит к неизбирательным атакам.
-----

Пророссийские группы хактивистов все чаще нацеливаются на критически важные объекты инфраструктуры в США и во всем мире, особенно активизировав свои операции после эскалации российско-украинского конфликта в 2022 году. Эти группы часто используют инструменты с открытым исходным кодом для поиска IP-адресов целевых объектов с видимыми службами VNC. Мотивы, стоящие за их нападениями, якобы направлены на поддержку геополитических целей России, главным образом направленных против украинских или союзнических образований, и признаки указывают на то, что некоторые группы могут получать косвенную поддержку правительства.

Кибер-армии of Russia Reborn (Карр), связанных с российского Главного разведуправления Генштаба (ГРУ), является одним из заметных организации. Созданная в начале 2022 года, это было связано с инструментов финансирования, которые способствуют распределенного отказа в обслуживании (DDoS) атаки, продолжая эти операции, по крайней мере, до сентября 2024 года. Еще одной примечательной группы, NoName057(16), возник как проект Центра изучения и сетевого мониторинга молодежной среды (КИСМ), разрабатывает инструмент для ддос имени DDoSia для поражения выявленных целей. Эта группа работает с помощью телеграммы координировать и передавать информацию о своих кибер-деятельности.

В сентябре 2024 года была создана группа Z-Pentest, в которую вошли представители как CARR, так и NoName057(16). В отличие от других пророссийских акторов, Z-Pentest фокусируется на операциях по вторжению, нацеленных на операционные технологические системы, избегая DDoS-атак в пользу таких методов, как операции по взлому и утечке информации и атаки с дефейсом, намереваясь привлечь внимание средств массовой информации. Кроме того, появилась новая группа под названием Sector16, поддерживающая публичное присутствие, чтобы взять на себя ответственность за атаки на энергетическую инфраструктуру США, тем самым укрепляя свою связь с пророссийскими нарративами.

Тактика, методы и процедуры (TTP), используемые этими группами, характеризуются как легко воспроизводимые, способствующие широкомасштабным кибератакам, даже несмотря на то, что акторы обычно демонстрируют ограниченное понимание технологий, на которые они нацелены. Низкий технический уровень этих групп часто приводит к неизбирательным нападениям, когда они стремятся причинить вред, но не в состоянии точно оценить потенциальные последствия.

#ParsedReport #CompletenessHigh
10-12-2025

Cracking ValleyRAT: From Builder Secrets to Kernel Rootkits

https://research.checkpoint.com/2025/cracking-valleyrat-from-builder-secrets-to-kernel-rootkits/

Report completeness: High

Actors/Campaigns:
Silver_fox

Threats:
Valleyrat
Winos
Boxedapp_packer_tool
Uacme_tool
Uac_bypass_technique
Apc_injection_technique

Victims:
Multiple sectors, Regions using windows systems

Industry:
Entertainment

Geo:
Chinese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1055.004, T1056.001, T1106, T1112, T1547.006, T1562.001

IOCs:
Path: 50
File: 11
Registry: 2
Command: 3
Hash: 39

Soft:
Visual Studio, Windows kernel, Microsoft Defender, Windows Registry, Telegram, Chrome, Sogou, WeChat, telegram telegram

Wallets:
harmony_wallet

Algorithms:
sha512, sha384, sha1, sha256, xor

Functions:
main, DropAndInstallRootkit, GetProcID_dwm, CreateProcessMalseclogon, IrpDeviceControlHandler, UMInjection, ForceDeleteFile, SetDriverStartType_SystemStart, UMInjectionRoutine, UMInject, have more...

Win API:
RtlAdjustPrivilege, ShellExecuteEx, CreateProcessWithTokenW, CreateProcessWithLogonW

Languages:
python

Platforms:
x86

Links:
have more...
https://github.com/GkaMei/winos4.0
https://github.com/Logkiss/Rat-winos4.0-gh0st/tree/master/%E9%93%B6%E7%8B%90Winos

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Check Point Research проанализировала вредоносное ПО ValleyRAT, выделив его модульную архитектуру и руткит в режиме ядра, встроенный в плагин, который поддерживает действительные сигнатуры для обхода системы безопасности Windows 11. Вредоносное ПО содержит 38 плагинов, в том числе один, который позволяет внедрять шеллкод в пользовательском режиме и агрессивно удалять антивирусные драйверы, позволяя ему поддерживать соединения со своим сервером управления. Публичный выпуск его разработчика привел к увеличению числа развертываний, усложнив определение потенциальных злоумышленников, таких как группа Silver Fox.
-----

Check Point Research провела тщательный технический анализ вредоносного ПО ValleyRAT, также называемого Winos или Winos4.0. Исследование в первую очередь сосредоточено на сложной модульной архитектуре ValleyRAT's и системе подключаемых модулей, раскрывая важную информацию о ее потенциально широком внедрении после публичного выпуска ее конструктора. Это вредоносное ПО, в частности, включает руткит в режиме ядра в своем “Плагине драйвера”, который сохраняет действительные сигнатуры, позволяющие ему работать в обновленных системах Windows 11, тем самым обходя встроенные функции безопасности.

В ходе анализа исследовательская группа смогла провести реинжиниринг основных компонентов ValleyRAT, включая 38 основных плагинов. Они использовали как методы с помощью искусственного интеллекта, так и процессы ручной проверки для определения функциональных возможностей в builder, который действует как панель управления (C2). Модуль руткита встроен в один из этих плагинов и работает как 64-разрядный двоичный файл в режиме ядра, способный выполнять различные вредоносные действия при сохранении постоянного соединения с сервером C2.

Ключевые возможности руткита в режиме ядра включают внедрение шеллкода в пользовательском режиме посредством Асинхронных вызовов процедур (APCS) и агрессивное удаление антивирусных драйверов или средств обнаружения конечных точек и реагирования (EDR). Архитектура плагинов подразумевает, что может существовать больше вспомогательных плагинов, но их поведение остается спекулятивным, поскольку они не были включены в скомпилированный конструктор.

Статистические данные свидетельствуют о значительном росте использования ValleyRAT, причем около 85% обнаруженных образцов приходится на последние шесть месяцев. Полученные данные свидетельствуют о том, что доступность конструктора ValleyRAT и соответствующих артефактов разработки затрудняет традиционную привязку к конкретным злоумышленникам, таким как китайскоязычная группа, известная как Silver Fox.

Дизайн руткита ValleyRAT включает в себя модификации из проекта с открытым исходным кодом, известного как "Hidden", улучшающие совместимость с новыми версиями Windows и добавляющие новые функциональные возможности, которых нет в исходной кодовой базе. Конкретные функции, определенные в этой модифицированной версии, включают внедрение шеллкода в пользовательском режиме, принудительное удаление файлов на уровне ядра и механизмы повышенного закрепления с помощью изменений конфигурации службы.

#ParsedReport #CompletenessHigh
10-12-2025

PeerBlight Linux Backdoor Exploits React2Shell CVE-2025-55182

https://www.huntress.com/blog/peerblight-linux-backdoor-exploits-react2shell

Report completeness: High

Threats:
Peerblight
React2shell_vuln
Rotajakiro
Cowtunnel_tool
Zinfoq
Timestomp_technique
Kaiji
Xmrig_miner
Torii_botnet
Bittorrent_tool
Utorrent_tool
Mstsc_tool
Sliver_c2_tool
Udpflood_technique

Victims:
React server components users, Next.js deployments, Linux systems, Windows systems

Industry:
Iot, Entertainment, Telco

Geo:
Chinese

CVEs:
CVE-2025-30406 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gladinet centrestack (<16.4.10315.56368)

CVE-2025-66478 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059.003, T1059.004, T1070.006, T1071.001, T1082, T1090, T1105, T1136.001, T1140, have more...

IOCs:
File: 12
Command: 8
Path: 6
Url: 16
Domain: 5
IP: 9
Coin: 1
Hash: 6

Soft:
Linux, BitTorrent, curl, systemd, nginx, Unix, sudo, macOS, Mac OS, Docker, have more...

Crypto:
monero

Algorithms:
sha256, base64, prng, cbc, des, aes-256, aes, md5, xor, aes-128-cbc, rsa-2048, exhibit

Functions:
prctl

Win Services:
bits

Languages:
javascript

Platforms:
intel, amd64, x64

YARA: Found
SIGMA: Found

Links:
https://gist.github.com/import-pandas-as-numpy/aa73e4bc73bb6b23ec6e8ea982687ace#file-annotated\_react2shell-js
https://gist.github.com/import-pandas-as-numpy/aa73e4bc73bb6b23ec6e8ea982687ace/raw/b11d75096a580720cf5744203ff00f411199e254/annotated\_react2shell.js
https://github.com
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4