#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Набор для фишинга "Spiderman" представляет собой сложную угрозу, нацеленную на клиентов европейских банков, объединяя несколько банковских учреждений в единый интерфейс для эффективных атак в разных регионах. Его продвинутая тактика уклонения, включая внесение в белый список интернет-провайдеров и геоблокировку, снижает вероятность обнаружения обычными инструментами, в то время как функции перехвата одноразовых паролей в режиме реального времени и криптографических исходных фраз повышают риск. Модульная конструкция обеспечивает непрерывную адаптацию к банковским обновлениям, обеспечивая постоянную актуальность в условиях угроз.
-----

Набор для фишинга от Spiderman представляет собой развивающуюся и изощренную угрозу, нацеленную на клиентов европейских банков. Он отличается своими широкими возможностями таргетинга, объединяя множество известных банковских учреждений в пяти странах в единый интерфейс для фишинга. Такая консолидация повышает эффективность, позволяя злоумышленникам без особых усилий переключаться между регионами и нацеливаться на несколько банков одновременно, тем самым увеличивая масштаб и потенциальное воздействие атак.

Одной из примечательных особенностей набора Spiderman является его продвинутая тактика уклонения. Используя белый список интернет-провайдеров, геоблокировку и стратегии фильтрации устройств, это значительно снижает видимость для экспертов по кибербезопасности. Многие обычные инструменты обнаружения фишинга неэффективны против такого индивидуального подхода, поскольку не позволяют проанализировать конкретную инфраструктуру, которой избегает Spiderman. Это сочетается с механизмами, поддерживающими кражу криптовалюты, поскольку включает модули для захвата начальных фраз криптовалюты, что указывает на переход к гибридным банковским операциям и крипто-мошенничеству.

Возможности набора для перехвата в режиме реального времени представляют собой значительный прогресс в методах фишинга. В него интегрированы функции для получения одноразовых паролей (OTP) с помощью таких инструментов, как Phototan, что создает повышенный риск для европейских банков, использующих методы аутентификации TAN. Такой уровень сложности иллюстрирует тенденцию, при которой перехват в режиме реального времени, вероятно, станет стандартной тактикой фишинга, что еще больше усложнит меры защиты.

Более того, модульный характер набора для фишинга от Spiderman обеспечивает его непрерывную эволюцию, поскольку злоумышленники могут добавлять новые банковские порталы и адаптироваться к меняющимся методам аутентификации. Это означает, что по мере того, как европейские банки обновляют свои онлайн-сервисы, Spiderman может развиваться в тандеме, сохраняя свою актуальность и эффективность в условиях угроз.

Панель управления для операторов отображает показатели сеансов жертвы в режиме реального времени, включая входные данные и сведения о компьютере пользователя, что облегчает отслеживание отдельных лиц и оптимизирует стратегии атак. Модуль контроля доступа, встроенный в комплект, позволяет злоумышленникам ограничивать загрузку фишинг-страниц, препятствуя доступу исследователей и гарантируя, что только подлинные цели смогут попасть на вредоносный сайт.

#ParsedReport #CompletenessLow
10-12-2025

macOS Stealers: How Modern Infostealers Harvest Credentials

https://deceptiq.com/blog/macos-stealers-technical-analysis

Report completeness: Low

Threats:
Chainbreaker_tool
Banshee_stealer
Banshee

Victims:
Macos users

Geo:
Russian

TTPs:
Tactics: 5
Technics: 14

IOCs:
File: 7

Soft:
macOS, Firefox, Chrome, Chromium, Unix

Algorithms:
aes-256-gcm, 3des, pbkdf2, xor, zip, aes, base64

Functions:
getMacOSPassword, getProfiles, getIP, writeToFile, NSUserName

Languages:
applescript, objective_c, c_language

Platforms:
arm, apple

Links:
https://github.com/n0fate/chainbreaker
have more...
https://github.com/vxunderground/MalwareSourceCode/blob/main/MacOS/MacOS.Stealer.Banshee.7z

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Banshee - это стиллер для macOS, который отслеживает учетные данные из нескольких веб-браузеров и Связки ключей macOS, используя методы с учетом профилей, собирая данные из всех профилей пользователей. Для повышения эффективности он использует фишинг паролей в режиме реального времени с помощью AppleScript, обеспечивая кражу как баз данных браузера, так и паролей для Связки ключей для расшифровки в автономном режиме. Благодаря быстрой эксфильтрации данных с помощью HTTP POST-запросов и отсутствию закрепления в зараженных системах действия Banshee's создают значительные проблемы для обнаружения и реагирования.
-----

В статье рассматриваются технические аспекты infostealers для macOS, с особым акцентом на вредоносное ПО вариант имени Banshee. Этот Стиллер предназначены для сбора конфиденциальной информации с помощью таргетинга учетные данные, хранящиеся в различных веб-браузерах и ОС macOS связка ключей. Banshee использует сложный подход к извлечению пользовательских данных, внедряя методы сбора с учетом профилей для восьми различных браузеров, гарантируя, что он может собирать данные из всех профилей пользователей, включая профили по умолчанию и пользовательские.

Одним из важных методов, используемых Banshee, является механизм фишинга паролей, который имеет решающее значение, поскольку позволяет вредоносному ПО проверять украденные учетные данные в режиме реального времени с помощью служб каталогов macOS. Использование AppleScript для создания визуально похожих запросов на аутентификацию повышает его эффективность. При краже различных типов данных браузера, включая пароли и файлы cookie, Banshee обязательно захватывает не только базы данных браузера, но и пароли Связки ключей, поскольку пароли Chromium зашифрованы с помощью ключа, хранящегося в Связке ключей. Это требует кражи обоих компонентов, чтобы облегчить злоумышленнику расшифровку в автономном режиме.

Вредоносное ПО выполняет ряд действий по разведке, собирая системную информацию, такую как идентификатор модели Аппаратного обеспечения, серийный номер, версию операционной системы и данные учетной записи пользователя. Он также манипулирует функциями конфиденциальности macOS (TCC), чтобы получить необходимые разрешения для повторного выполнения своих скриптов, не сталкиваясь с блокировками.

В конструкции Banshee реализована временная операционная модель, что приводит к отсутствию закрепления в зараженной системе, что затрудняет обнаружение. Используя тактику быстрой эксфильтрации данных, включая HTTP POST-запросы к серверам управления, вредоносное ПО гарантирует, что отфильтрованные данные попадут на подпольные рынки до того, как жертва узнает о взломе.

Поведение Banshee согласуется с различными техниками, сопоставленными с платформой MITRE ATT&CK. Методы включают в себя Перехват вводимых данных с помощью вводящих в заблуждение подсказок графического интерфейса, эксфильтрацию по HTTP-каналу, Изучение системы и методы запутывания, позволяющие избежать обнаружения. Суть работы Banshee подчеркивает насущную ситуацию для специалистов по кибербезопасности, поскольку к моменту обнаружения аномалий в системе конфиденциальные данные, возможно, уже были скомпрометированы и отправлены злоумышленникам акторам.

#ParsedReport #CompletenessMedium
10-12-2025

To be expected: CVE-2025-55182 is being actively exploited by attackers

https://securelist.ru/cve-2025-55182-exploitation/114236/

Report completeness: Medium

Threats:
Xmrig_miner
Mirai
Bashlite
Rondodox
Supply_chain_technique

Industry:
Iot

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


IOCs:
Url: 39
Hash: 6

Soft:
curl, AppArmor, SELinux, busybox, Linux

Crypto:
monero

Algorithms:
base64, md5

Languages:
powershell

#ParsedReport #CompletenessLow
10-12-2025

Pro-Russia Hacktivists Conduct Opportunistic Attacks Against US and Global Critical Infrastructure

https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-343a

Report completeness: Low

Actors/Campaigns:
Noname057 (motivation: hacktivism)
Z-pentest (motivation: hacktivism)
Sector16 (motivation: hacktivism)
Cyberarmyofrussia (motivation: hacktivism)
Peoples_cyber_army
Sandworm
Cyberarmyrussia
Z-pentest_alliance

Threats:
Password_spray_technique
Ddosia_botnet
Nmap_tool

Victims:
Critical infrastructure, Operational technology, Industrial control systems, Energy sector, Water and wastewater systems

Industry:
Ics, Military, Foodtech, Critical_infrastructure, Government, Logistic, Energy, Petroleum

Geo:
Czech, Swedish, Australian, French, Ukraine, United kingdom, Canadian, Russia, France, Russian, Ukrainian, Latvian, Romanian, Italian, Spain, New zealand, Spanish, German, Italy

TTPs:
Tactics: 8
Technics: 18

Soft:
Telegram

Links:
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пророссийские группы хактивистов активизировали атаки на критически важные объекты инфраструктуры по всему миру, особенно после российско-украинского конфликта. Кибервойска of Russia Reborn (CARR), связанная с ГРУ, и NoName057(16), которая создала инструмент для DDoS-атак под названием DDoSia, являются одними из главных акторов. Более новая группа, Z-Pentest, фокусируется на операциях вторжения, нацеленных на операционные технологические системы, используя низкоквалифицированную, легко воспроизводимую тактику, которая приводит к неизбирательным атакам.
-----

Пророссийские группы хактивистов все чаще нацеливаются на критически важные объекты инфраструктуры в США и во всем мире, особенно активизировав свои операции после эскалации российско-украинского конфликта в 2022 году. Эти группы часто используют инструменты с открытым исходным кодом для поиска IP-адресов целевых объектов с видимыми службами VNC. Мотивы, стоящие за их нападениями, якобы направлены на поддержку геополитических целей России, главным образом направленных против украинских или союзнических образований, и признаки указывают на то, что некоторые группы могут получать косвенную поддержку правительства.

Кибер-армии of Russia Reborn (Карр), связанных с российского Главного разведуправления Генштаба (ГРУ), является одним из заметных организации. Созданная в начале 2022 года, это было связано с инструментов финансирования, которые способствуют распределенного отказа в обслуживании (DDoS) атаки, продолжая эти операции, по крайней мере, до сентября 2024 года. Еще одной примечательной группы, NoName057(16), возник как проект Центра изучения и сетевого мониторинга молодежной среды (КИСМ), разрабатывает инструмент для ддос имени DDoSia для поражения выявленных целей. Эта группа работает с помощью телеграммы координировать и передавать информацию о своих кибер-деятельности.

В сентябре 2024 года была создана группа Z-Pentest, в которую вошли представители как CARR, так и NoName057(16). В отличие от других пророссийских акторов, Z-Pentest фокусируется на операциях по вторжению, нацеленных на операционные технологические системы, избегая DDoS-атак в пользу таких методов, как операции по взлому и утечке информации и атаки с дефейсом, намереваясь привлечь внимание средств массовой информации. Кроме того, появилась новая группа под названием Sector16, поддерживающая публичное присутствие, чтобы взять на себя ответственность за атаки на энергетическую инфраструктуру США, тем самым укрепляя свою связь с пророссийскими нарративами.

Тактика, методы и процедуры (TTP), используемые этими группами, характеризуются как легко воспроизводимые, способствующие широкомасштабным кибератакам, даже несмотря на то, что акторы обычно демонстрируют ограниченное понимание технологий, на которые они нацелены. Низкий технический уровень этих групп часто приводит к неизбирательным нападениям, когда они стремятся причинить вред, но не в состоянии точно оценить потенциальные последствия.

#ParsedReport #CompletenessHigh
10-12-2025

Cracking ValleyRAT: From Builder Secrets to Kernel Rootkits

https://research.checkpoint.com/2025/cracking-valleyrat-from-builder-secrets-to-kernel-rootkits/

Report completeness: High

Actors/Campaigns:
Silver_fox

Threats:
Valleyrat
Winos
Boxedapp_packer_tool
Uacme_tool
Uac_bypass_technique
Apc_injection_technique

Victims:
Multiple sectors, Regions using windows systems

Industry:
Entertainment

Geo:
Chinese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1055.004, T1056.001, T1106, T1112, T1547.006, T1562.001

IOCs:
Path: 50
File: 11
Registry: 2
Command: 3
Hash: 39

Soft:
Visual Studio, Windows kernel, Microsoft Defender, Windows Registry, Telegram, Chrome, Sogou, WeChat, telegram telegram

Wallets:
harmony_wallet

Algorithms:
sha512, sha384, sha1, sha256, xor

Functions:
main, DropAndInstallRootkit, GetProcID_dwm, CreateProcessMalseclogon, IrpDeviceControlHandler, UMInjection, ForceDeleteFile, SetDriverStartType_SystemStart, UMInjectionRoutine, UMInject, have more...

Win API:
RtlAdjustPrivilege, ShellExecuteEx, CreateProcessWithTokenW, CreateProcessWithLogonW

Languages:
python

Platforms:
x86

Links:
have more...
https://github.com/GkaMei/winos4.0
https://github.com/Logkiss/Rat-winos4.0-gh0st/tree/master/%E9%93%B6%E7%8B%90Winos

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Check Point Research проанализировала вредоносное ПО ValleyRAT, выделив его модульную архитектуру и руткит в режиме ядра, встроенный в плагин, который поддерживает действительные сигнатуры для обхода системы безопасности Windows 11. Вредоносное ПО содержит 38 плагинов, в том числе один, который позволяет внедрять шеллкод в пользовательском режиме и агрессивно удалять антивирусные драйверы, позволяя ему поддерживать соединения со своим сервером управления. Публичный выпуск его разработчика привел к увеличению числа развертываний, усложнив определение потенциальных злоумышленников, таких как группа Silver Fox.
-----

Check Point Research провела тщательный технический анализ вредоносного ПО ValleyRAT, также называемого Winos или Winos4.0. Исследование в первую очередь сосредоточено на сложной модульной архитектуре ValleyRAT's и системе подключаемых модулей, раскрывая важную информацию о ее потенциально широком внедрении после публичного выпуска ее конструктора. Это вредоносное ПО, в частности, включает руткит в режиме ядра в своем “Плагине драйвера”, который сохраняет действительные сигнатуры, позволяющие ему работать в обновленных системах Windows 11, тем самым обходя встроенные функции безопасности.

В ходе анализа исследовательская группа смогла провести реинжиниринг основных компонентов ValleyRAT, включая 38 основных плагинов. Они использовали как методы с помощью искусственного интеллекта, так и процессы ручной проверки для определения функциональных возможностей в builder, который действует как панель управления (C2). Модуль руткита встроен в один из этих плагинов и работает как 64-разрядный двоичный файл в режиме ядра, способный выполнять различные вредоносные действия при сохранении постоянного соединения с сервером C2.

Ключевые возможности руткита в режиме ядра включают внедрение шеллкода в пользовательском режиме посредством Асинхронных вызовов процедур (APCS) и агрессивное удаление антивирусных драйверов или средств обнаружения конечных точек и реагирования (EDR). Архитектура плагинов подразумевает, что может существовать больше вспомогательных плагинов, но их поведение остается спекулятивным, поскольку они не были включены в скомпилированный конструктор.

Статистические данные свидетельствуют о значительном росте использования ValleyRAT, причем около 85% обнаруженных образцов приходится на последние шесть месяцев. Полученные данные свидетельствуют о том, что доступность конструктора ValleyRAT и соответствующих артефактов разработки затрудняет традиционную привязку к конкретным злоумышленникам, таким как китайскоязычная группа, известная как Silver Fox.

Дизайн руткита ValleyRAT включает в себя модификации из проекта с открытым исходным кодом, известного как "Hidden", улучшающие совместимость с новыми версиями Windows и добавляющие новые функциональные возможности, которых нет в исходной кодовой базе. Конкретные функции, определенные в этой модифицированной версии, включают внедрение шеллкода в пользовательском режиме, принудительное удаление файлов на уровне ядра и механизмы повышенного закрепления с помощью изменений конфигурации службы.

#ParsedReport #CompletenessHigh
10-12-2025

PeerBlight Linux Backdoor Exploits React2Shell CVE-2025-55182

https://www.huntress.com/blog/peerblight-linux-backdoor-exploits-react2shell

Report completeness: High

Threats:
Peerblight
React2shell_vuln
Rotajakiro
Cowtunnel_tool
Zinfoq
Timestomp_technique
Kaiji
Xmrig_miner
Torii_botnet
Bittorrent_tool
Utorrent_tool
Mstsc_tool
Sliver_c2_tool
Udpflood_technique

Victims:
React server components users, Next.js deployments, Linux systems, Windows systems

Industry:
Iot, Entertainment, Telco

Geo:
Chinese

CVEs:
CVE-2025-30406 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gladinet centrestack (<16.4.10315.56368)

CVE-2025-66478 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059.003, T1059.004, T1070.006, T1071.001, T1082, T1090, T1105, T1136.001, T1140, have more...

IOCs:
File: 12
Command: 8
Path: 6
Url: 16
Domain: 5
IP: 9
Coin: 1
Hash: 6

Soft:
Linux, BitTorrent, curl, systemd, nginx, Unix, sudo, macOS, Mac OS, Docker, have more...

Crypto:
monero

Algorithms:
sha256, base64, prng, cbc, des, aes-256, aes, md5, xor, aes-128-cbc, rsa-2048, exhibit

Functions:
prctl

Win Services:
bits

Languages:
javascript

Platforms:
intel, amd64, x64

YARA: Found
SIGMA: Found

Links:
https://gist.github.com/import-pandas-as-numpy/aa73e4bc73bb6b23ec6e8ea982687ace#file-annotated\_react2shell-js
https://gist.github.com/import-pandas-as-numpy/aa73e4bc73bb6b23ec6e8ea982687ace/raw/b11d75096a580720cf5744203ff00f411199e254/annotated\_react2shell.js
https://github.com
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-55182, известная как React2Shell, представляет собой критическую уязвимость в серверных компонентах React, которая позволяет выполнять удаленный код без проверки подлинности с помощью созданных HTTP-запросов. Злоумышленники внедряют различное вредоносное ПО, такое как бэкдор PeerBlight для закрепления и обратный прокси-сервер CowTunnel для обхода брандмауэров, наряду с инструментами криптомайнинга, такими как XMRig. Атаки характеризуются изощренными методами, включая использование систем Windows и Linux, установление закрепления и использование имплантата на базе Go под названием ZinFoq для дальнейшей эксплуатации.
-----

Уязвимость CVE-2025-55182, известная как React2Shell, является критической проблемой в серверных компонентах React, влияющей на процесс десериализации протокола React Flight. Это позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять удаленный код, отправляя специально созданные HTTP-запросы, что приводит к серьезным нарушениям безопасности. Эта уязвимость активно эксплуатировалась в дикой природе, о чем свидетельствуют недавние атаки, зафиксированные на различные организации.

Злоумышленники используют уязвимость React2Shell для развертывания целого ряда вредоносных ПО, включая бэкдор Linux под названием PeerBlight, а также другие вредоносные инструменты, такие как криптоминер и обратный прокси. Известные инструменты, связанные с этой кампанией, включают CowTunnel, который представляет собой обратный прокси-сервер, облегчающий исходящие подключения к серверам, контролируемым злоумышленниками, позволяя злоумышленникам обходить традиционные средства защиты брандмауэра. PeerBlight при запуске с правами root устанавливает Службу systemd, обеспечивающую закрепление, что позволяет ей выдерживать перезагрузки. Кроме того, CowTunnel использует динамически расшифровываемый конфигурационный файл для связи и рабочих параметров, обеспечивая маскировку от анализа при сохранении гибкости.

Полезная нагрузка cryptominer, XMRig, также играет важную роль в этих атаках. Он постоянно развертывается с помощью скриптов, которые настраивают майнер для подключения к определенным пулам майнинга Monero. Различные случаи атак демонстрируют согласованную модель поведения на конечных точках Linux и Windows: злоумышленники тестируют выполнение командной оболочки, загружают множество полезных данных с серверов command and control (C2) и устанавливают закрепление с помощью запланированных задач или служб.

Анализ других компонентов в рамках этих атак выявил постэксплуатационный имплант на базе Go под названием ZinFoq, который облегчает дальнейшую эксплуатацию с помощью таких возможностей, как интерактивные оболочки, файловые операции и поворот сети. Этот имплантат взаимодействует с серверами C2 через HTTP POST-запросы, умело Маскировка своего трафика, чтобы избежать обнаружения.

Возможности DDoS-атак также интегрированы в некоторые используемые вредоносные ПО, предоставляя злоумышленникам методы для выполнения атак типа "отказ в обслуживании". Полный размах этой продолжающейся кампании указывает на изощренный подход злоумышленников, использующих передовые методы закрепления, выполнения команд и эксфильтрации данных.

Для организаций, использующих уязвимые приложения React, немедленная установка исправлений имеет решающее значение для снижения этих рисков. Выявленные уязвимые пакеты включают версии 19.0, 19.1.0, 19.1.1 и 19.2.0 платформы React Framework. Рекомендуется осуществлять тщательный мониторинг и применять передовые методы обеспечения безопасности для противодействия попыткам использования, связанным с CVE-2025-55182.

#ParsedReport #CompletenessMedium
10-12-2025

APT PROFILE GROUP 123

https://www.cyfirma.com/research/apt-profile-group-123/

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: cyber_espionage, information_theft)
Itg10

Threats:
Reaper
Slowdrift
Oceansalt
Happywork
Freenki
N1stagent
Kevdroid
Poohmilk
Winerack
Karae
Ruhappy
Gelcapsule
Ricecurry
Soundwave
Zumkong
Nokki
Syscon
Carrotball
Greezebackdoor
Navrat_rat
Rokrat
Carrotbat
Coraldeck
Pooraim
Milkdrop
Shutterspeed
Final1stspy
Erebus
Bluelight
Chinotto
Kospy
M2rat
Spear-phishing_technique
Mauicrypt
Dll_sideloading_technique
Process_injection_technique
Steganography_technique

Victims:
Government, Defense, Research, Critical infrastructure

Industry:
Critical_infrastructure, Government

Geo:
Romania, Kuwait, Middle east, Poland, North korean, Asia, Japan, Korea, China, Nepal, India, Vietnam, Czechia, Russia

CVEs:
CVE-2022-41128 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19567)
- microsoft windows_10_1607 (<10.0.14393.5501)
- microsoft windows_10_1809 (<10.0.17763.3650)
- microsoft windows_10_20h2 (<10.0.19042.2251)
- microsoft windows_10_21h1 (<10.0.19043.2251)
have more...
CVE-2018-4878 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player (<28.0.0.161)

CVE-2020-1380 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft internet_explorer (11)

CVE-2024-38178 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20751)
- microsoft windows_10_1607 (<10.0.14393.7259)
- microsoft windows_10_1809 (<10.0.17763.6189)
- microsoft windows_10_21h2 (<10.0.19044.4780)
- microsoft windows_10_22h2 (<10.0.19045.4780)
have more...
CVE-2017-8291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- artifex ghostscript (<9.21)

CVE-2016-4171 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player (le11.2.202.621)


TTPs:
Tactics: 10
Technics: 29

IOCs:
File: 1

Soft:
Flash Player, Scripting Engine, Internet Explorer

Languages:
python, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Group123, северокорейская APT-группировка, занимается кибершпионажем, в первую очередь нацеливаясь на Южную Корею и распространяясь на Японию, Вьетнам и Ближний Восток. Они активизируют операции, используя уязвимости в программном обеспечении, в частности, посредством spearphishing с использованием вредоносных документов Hangul/HWP, и используют различное пользовательское вредоносное ПО, такое как ROKRAT и Oceansalt, для облегчения эксфильтрации данных и перемещения внутри компании. Использование ими протокола HTTPS для связи C2 и интеграция уязвимостей zero-day повышает эффективность и скрытность их атак на критически важные секторы инфраструктуры.
-----

Group123, также известная как APT37, Reaper и ScarCruft, является спонсируемой государством северокорейской APT-группировкой, которая действует по меньшей мере с 2012 года. В первую очередь ориентированная на кибершпионаж, группа исторически нацеливалась на Южную Корею, но с 2017 года расширила свою деятельность, включив Японию, Вьетнам, Ближний Восток и другие регионы.

Недавно Group123 усилила свое внимание к средам Windows, применяя тактику spearphishing и используя вредоносные приманки для документов, особенно нацеленные на форматы файлов Hangul/HWP. Их деятельность характеризуется использованием недавно выявленных уязвимостей в различном программном обеспечении, включая офисные пакеты, операционные системы и веб-приложения. Эта тактика направлена на установление постоянного доступа к сетям в правительственных, оборонных, исследовательских и критически важных инфраструктурных секторах.

Инструментарий, используемый Group123, включает в себя ряд пользовательских семейств вредоносных ПО. Среди последних дополнений - ROKRAT, PoohMilk Loader, Freenki Loader, GELCAPSULE и Oceansalt, которые дополняют более старые варианты вредоносного ПО, такие как DOGCALL/Nokki и NavRAT. Эти варианты вредоносного ПО предназначены для облегчения различных вредоносных действий, таких как выполнение команд, эксфильтрация данных, кража учетных данных и перемещение внутри компании в зараженных сетях. Одной из примечательных особенностей их деятельности является использование механизмов командования и контроля на основе HTTPS (C2), что помогает их деятельности вписываться в законный сетевой трафик и усложняет усилия по обнаружению.

Group123 тоже умело использовать zero-day уязвимостей, что значительно повышает эффективность их атак. Их история включает в себя использование браузера и флеш нулевого дня, построена на уязвимости CVE-2016-4171, который может похвастаться критических CVSS оценку 9.8. Группа известна быстрой интеграции новых уязвимостей в цепи атак, тем самым повышая риски, с которыми сталкиваются организации, не применять своевременные патчи, особенно необновленных или устаревших систем. В целом, group123's целенаправленных методов, пользовательских вредоносное ПО и эксплуатации оппортунистических уязвимость представляет значительные трудности для кибербезопасность кибербезопасность в различных регионах они работают.

#ParsedReport #CompletenessLow
10-12-2025

New Vishing Attack Leverages Microsoft Teams Calls and QuickAssist to Deploy .NET Malware

https://cybersecuritynews.com/new-vishing-attack-leverages-microsoft-teams-call/

Report completeness: Low

Threats:
Microsoft_quick_assist_tool

ChatGPT TTPs:
do not use without manual check
T1105, T1204, T1566

IOCs:
Domain: 2
File: 2

Soft:
Microsoft Teams, NET Core

Algorithms:
xor, aes-cbc

Functions:
Teams

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4