#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Check Point Research проанализировала вредоносное ПО ValleyRAT, выделив его модульную архитектуру и руткит в режиме ядра, встроенный в плагин, который поддерживает действительные сигнатуры для обхода системы безопасности Windows 11. Вредоносное ПО содержит 38 плагинов, в том числе один, который позволяет внедрять шеллкод в пользовательском режиме и агрессивно удалять антивирусные драйверы, позволяя ему поддерживать соединения со своим сервером управления. Публичный выпуск его разработчика привел к увеличению числа развертываний, усложнив определение потенциальных злоумышленников, таких как группа Silver Fox.
-----

Check Point Research провела тщательный технический анализ вредоносного ПО ValleyRAT, также называемого Winos или Winos4.0. Исследование в первую очередь сосредоточено на сложной модульной архитектуре ValleyRAT's и системе подключаемых модулей, раскрывая важную информацию о ее потенциально широком внедрении после публичного выпуска ее конструктора. Это вредоносное ПО, в частности, включает руткит в режиме ядра в своем “Плагине драйвера”, который сохраняет действительные сигнатуры, позволяющие ему работать в обновленных системах Windows 11, тем самым обходя встроенные функции безопасности.

В ходе анализа исследовательская группа смогла провести реинжиниринг основных компонентов ValleyRAT, включая 38 основных плагинов. Они использовали как методы с помощью искусственного интеллекта, так и процессы ручной проверки для определения функциональных возможностей в builder, который действует как панель управления (C2). Модуль руткита встроен в один из этих плагинов и работает как 64-разрядный двоичный файл в режиме ядра, способный выполнять различные вредоносные действия при сохранении постоянного соединения с сервером C2.

Ключевые возможности руткита в режиме ядра включают внедрение шеллкода в пользовательском режиме посредством Асинхронных вызовов процедур (APCS) и агрессивное удаление антивирусных драйверов или средств обнаружения конечных точек и реагирования (EDR). Архитектура плагинов подразумевает, что может существовать больше вспомогательных плагинов, но их поведение остается спекулятивным, поскольку они не были включены в скомпилированный конструктор.

Статистические данные свидетельствуют о значительном росте использования ValleyRAT, причем около 85% обнаруженных образцов приходится на последние шесть месяцев. Полученные данные свидетельствуют о том, что доступность конструктора ValleyRAT и соответствующих артефактов разработки затрудняет традиционную привязку к конкретным злоумышленникам, таким как китайскоязычная группа, известная как Silver Fox.

Дизайн руткита ValleyRAT включает в себя модификации из проекта с открытым исходным кодом, известного как "Hidden", улучшающие совместимость с новыми версиями Windows и добавляющие новые функциональные возможности, которых нет в исходной кодовой базе. Конкретные функции, определенные в этой модифицированной версии, включают внедрение шеллкода в пользовательском режиме, принудительное удаление файлов на уровне ядра и механизмы повышенного закрепления с помощью изменений конфигурации службы.

#ParsedReport #CompletenessHigh
10-12-2025

PeerBlight Linux Backdoor Exploits React2Shell CVE-2025-55182

https://www.huntress.com/blog/peerblight-linux-backdoor-exploits-react2shell

Report completeness: High

Threats:
Peerblight
React2shell_vuln
Rotajakiro
Cowtunnel_tool
Zinfoq
Timestomp_technique
Kaiji
Xmrig_miner
Torii_botnet
Bittorrent_tool
Utorrent_tool
Mstsc_tool
Sliver_c2_tool
Udpflood_technique

Victims:
React server components users, Next.js deployments, Linux systems, Windows systems

Industry:
Iot, Entertainment, Telco

Geo:
Chinese

CVEs:
CVE-2025-30406 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gladinet centrestack (<16.4.10315.56368)

CVE-2025-66478 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059.003, T1059.004, T1070.006, T1071.001, T1082, T1090, T1105, T1136.001, T1140, have more...

IOCs:
File: 12
Command: 8
Path: 6
Url: 16
Domain: 5
IP: 9
Coin: 1
Hash: 6

Soft:
Linux, BitTorrent, curl, systemd, nginx, Unix, sudo, macOS, Mac OS, Docker, have more...

Crypto:
monero

Algorithms:
sha256, base64, prng, cbc, des, aes-256, aes, md5, xor, aes-128-cbc, rsa-2048, exhibit

Functions:
prctl

Win Services:
bits

Languages:
javascript

Platforms:
intel, amd64, x64

YARA: Found
SIGMA: Found

Links:
https://gist.github.com/import-pandas-as-numpy/aa73e4bc73bb6b23ec6e8ea982687ace#file-annotated\_react2shell-js
https://gist.github.com/import-pandas-as-numpy/aa73e4bc73bb6b23ec6e8ea982687ace/raw/b11d75096a580720cf5744203ff00f411199e254/annotated\_react2shell.js
https://github.com
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-55182, известная как React2Shell, представляет собой критическую уязвимость в серверных компонентах React, которая позволяет выполнять удаленный код без проверки подлинности с помощью созданных HTTP-запросов. Злоумышленники внедряют различное вредоносное ПО, такое как бэкдор PeerBlight для закрепления и обратный прокси-сервер CowTunnel для обхода брандмауэров, наряду с инструментами криптомайнинга, такими как XMRig. Атаки характеризуются изощренными методами, включая использование систем Windows и Linux, установление закрепления и использование имплантата на базе Go под названием ZinFoq для дальнейшей эксплуатации.
-----

Уязвимость CVE-2025-55182, известная как React2Shell, является критической проблемой в серверных компонентах React, влияющей на процесс десериализации протокола React Flight. Это позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять удаленный код, отправляя специально созданные HTTP-запросы, что приводит к серьезным нарушениям безопасности. Эта уязвимость активно эксплуатировалась в дикой природе, о чем свидетельствуют недавние атаки, зафиксированные на различные организации.

Злоумышленники используют уязвимость React2Shell для развертывания целого ряда вредоносных ПО, включая бэкдор Linux под названием PeerBlight, а также другие вредоносные инструменты, такие как криптоминер и обратный прокси. Известные инструменты, связанные с этой кампанией, включают CowTunnel, который представляет собой обратный прокси-сервер, облегчающий исходящие подключения к серверам, контролируемым злоумышленниками, позволяя злоумышленникам обходить традиционные средства защиты брандмауэра. PeerBlight при запуске с правами root устанавливает Службу systemd, обеспечивающую закрепление, что позволяет ей выдерживать перезагрузки. Кроме того, CowTunnel использует динамически расшифровываемый конфигурационный файл для связи и рабочих параметров, обеспечивая маскировку от анализа при сохранении гибкости.

Полезная нагрузка cryptominer, XMRig, также играет важную роль в этих атаках. Он постоянно развертывается с помощью скриптов, которые настраивают майнер для подключения к определенным пулам майнинга Monero. Различные случаи атак демонстрируют согласованную модель поведения на конечных точках Linux и Windows: злоумышленники тестируют выполнение командной оболочки, загружают множество полезных данных с серверов command and control (C2) и устанавливают закрепление с помощью запланированных задач или служб.

Анализ других компонентов в рамках этих атак выявил постэксплуатационный имплант на базе Go под названием ZinFoq, который облегчает дальнейшую эксплуатацию с помощью таких возможностей, как интерактивные оболочки, файловые операции и поворот сети. Этот имплантат взаимодействует с серверами C2 через HTTP POST-запросы, умело Маскировка своего трафика, чтобы избежать обнаружения.

Возможности DDoS-атак также интегрированы в некоторые используемые вредоносные ПО, предоставляя злоумышленникам методы для выполнения атак типа "отказ в обслуживании". Полный размах этой продолжающейся кампании указывает на изощренный подход злоумышленников, использующих передовые методы закрепления, выполнения команд и эксфильтрации данных.

Для организаций, использующих уязвимые приложения React, немедленная установка исправлений имеет решающее значение для снижения этих рисков. Выявленные уязвимые пакеты включают версии 19.0, 19.1.0, 19.1.1 и 19.2.0 платформы React Framework. Рекомендуется осуществлять тщательный мониторинг и применять передовые методы обеспечения безопасности для противодействия попыткам использования, связанным с CVE-2025-55182.

#ParsedReport #CompletenessMedium
10-12-2025

APT PROFILE GROUP 123

https://www.cyfirma.com/research/apt-profile-group-123/

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: cyber_espionage, information_theft)
Itg10

Threats:
Reaper
Slowdrift
Oceansalt
Happywork
Freenki
N1stagent
Kevdroid
Poohmilk
Winerack
Karae
Ruhappy
Gelcapsule
Ricecurry
Soundwave
Zumkong
Nokki
Syscon
Carrotball
Greezebackdoor
Navrat_rat
Rokrat
Carrotbat
Coraldeck
Pooraim
Milkdrop
Shutterspeed
Final1stspy
Erebus
Bluelight
Chinotto
Kospy
M2rat
Spear-phishing_technique
Mauicrypt
Dll_sideloading_technique
Process_injection_technique
Steganography_technique

Victims:
Government, Defense, Research, Critical infrastructure

Industry:
Critical_infrastructure, Government

Geo:
Romania, Kuwait, Middle east, Poland, North korean, Asia, Japan, Korea, China, Nepal, India, Vietnam, Czechia, Russia

CVEs:
CVE-2022-41128 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19567)
- microsoft windows_10_1607 (<10.0.14393.5501)
- microsoft windows_10_1809 (<10.0.17763.3650)
- microsoft windows_10_20h2 (<10.0.19042.2251)
- microsoft windows_10_21h1 (<10.0.19043.2251)
have more...
CVE-2018-4878 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player (<28.0.0.161)

CVE-2020-1380 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft internet_explorer (11)

CVE-2024-38178 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20751)
- microsoft windows_10_1607 (<10.0.14393.7259)
- microsoft windows_10_1809 (<10.0.17763.6189)
- microsoft windows_10_21h2 (<10.0.19044.4780)
- microsoft windows_10_22h2 (<10.0.19045.4780)
have more...
CVE-2017-8291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- artifex ghostscript (<9.21)

CVE-2016-4171 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player (le11.2.202.621)


TTPs:
Tactics: 10
Technics: 29

IOCs:
File: 1

Soft:
Flash Player, Scripting Engine, Internet Explorer

Languages:
python, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Group123, северокорейская APT-группировка, занимается кибершпионажем, в первую очередь нацеливаясь на Южную Корею и распространяясь на Японию, Вьетнам и Ближний Восток. Они активизируют операции, используя уязвимости в программном обеспечении, в частности, посредством spearphishing с использованием вредоносных документов Hangul/HWP, и используют различное пользовательское вредоносное ПО, такое как ROKRAT и Oceansalt, для облегчения эксфильтрации данных и перемещения внутри компании. Использование ими протокола HTTPS для связи C2 и интеграция уязвимостей zero-day повышает эффективность и скрытность их атак на критически важные секторы инфраструктуры.
-----

Group123, также известная как APT37, Reaper и ScarCruft, является спонсируемой государством северокорейской APT-группировкой, которая действует по меньшей мере с 2012 года. В первую очередь ориентированная на кибершпионаж, группа исторически нацеливалась на Южную Корею, но с 2017 года расширила свою деятельность, включив Японию, Вьетнам, Ближний Восток и другие регионы.

Недавно Group123 усилила свое внимание к средам Windows, применяя тактику spearphishing и используя вредоносные приманки для документов, особенно нацеленные на форматы файлов Hangul/HWP. Их деятельность характеризуется использованием недавно выявленных уязвимостей в различном программном обеспечении, включая офисные пакеты, операционные системы и веб-приложения. Эта тактика направлена на установление постоянного доступа к сетям в правительственных, оборонных, исследовательских и критически важных инфраструктурных секторах.

Инструментарий, используемый Group123, включает в себя ряд пользовательских семейств вредоносных ПО. Среди последних дополнений - ROKRAT, PoohMilk Loader, Freenki Loader, GELCAPSULE и Oceansalt, которые дополняют более старые варианты вредоносного ПО, такие как DOGCALL/Nokki и NavRAT. Эти варианты вредоносного ПО предназначены для облегчения различных вредоносных действий, таких как выполнение команд, эксфильтрация данных, кража учетных данных и перемещение внутри компании в зараженных сетях. Одной из примечательных особенностей их деятельности является использование механизмов командования и контроля на основе HTTPS (C2), что помогает их деятельности вписываться в законный сетевой трафик и усложняет усилия по обнаружению.

Group123 тоже умело использовать zero-day уязвимостей, что значительно повышает эффективность их атак. Их история включает в себя использование браузера и флеш нулевого дня, построена на уязвимости CVE-2016-4171, который может похвастаться критических CVSS оценку 9.8. Группа известна быстрой интеграции новых уязвимостей в цепи атак, тем самым повышая риски, с которыми сталкиваются организации, не применять своевременные патчи, особенно необновленных или устаревших систем. В целом, group123's целенаправленных методов, пользовательских вредоносное ПО и эксплуатации оппортунистических уязвимость представляет значительные трудности для кибербезопасность кибербезопасность в различных регионах они работают.

#ParsedReport #CompletenessLow
10-12-2025

New Vishing Attack Leverages Microsoft Teams Calls and QuickAssist to Deploy .NET Malware

https://cybersecuritynews.com/new-vishing-attack-leverages-microsoft-teams-call/

Report completeness: Low

Threats:
Microsoft_quick_assist_tool

ChatGPT TTPs:
do not use without manual check
T1105, T1204, T1566

IOCs:
Domain: 2
File: 2

Soft:
Microsoft Teams, NET Core

Algorithms:
xor, aes-cbc

Functions:
Teams

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Появилась рекламная кампания, для развертывания которой используются Microsoft Teams и QuickAssist .СЕТЕВОЕ вредоносное ПО проходит через многоэтапную цепочку заражения. Центральным элементом этой атаки является вредоносный исполняемый файл, updater.exe , который служит оболочкой для встроенной библиотеки, loader.dll , который осуществляет вредную деятельность. Этот подход подчеркивает сочетание социальной инженерии со сложным техническим использованием, иллюстрируя изменение тактики злоумышленников для эффективного манипулирования надежными системами.
-----

Недавняя кампания по вымогательсту объединила сложные методы с использованием вызовов Microsoft Teams и QuickAssist для облегчения развертывания .NET вредоносного ПО. Метод атаки использует многоэтапную цепочку заражения, в которой вредоносный исполняемый файл, идентифицированный как updater.exe , используется для выполнения вредоносного поведения.

В основе этой кампании лежит исполняемый файл .NET Core 8.0, который выступает в качестве вектора для дальнейшей эксплуатации. Тот updater.exe файл разработан как оболочка вокруг встроенной библиотеки, loader.dll , который содержит фактическую полезную нагрузку, которая после выполнения приводит к вредоносным действиям. Использование законных инструментов совместной работы, таких как Microsoft Teams, повышает уровень скрытности, позволяя злоумышленникам более эффективно обманывать жертв, используя протоколы, знакомые пользователям.

Эта фишинговая атака подчеркивает сочетание социальной инженерии и технической эксплуатации, демонстрируя значительную эволюцию в том, как злоумышленники могут манипулировать надежными системами и процессами для достижения своих вредоносных целей. Переход от обычных фишинг методов для этого более совершенные методики означает острую необходимость в повышении осведомленности уязвимости, присущие широко используемых платформ для совместной работы, а также важность действенных мер по обеспечению безопасности по выявлению и нейтрализации подобных угроз.

#ParsedReport #CompletenessMedium
10-12-2025

Goldeneye Dog (APT-Q-27) abuses AWS S3 storage buckets to distribute latest malicious payloads

https://www.ctfiot.com/286193.html

Report completeness: Medium

Actors/Campaigns:
Golden_eyed_dog

Threats:
Procmon_tool
Process_hacker_tool

Geo:
Tokyo, Philippines, China, California, India, Japan, San francisco, Hong kong

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1055, T1056, T1059, T1070.001, T1070.004, T1071, T1105, T1106, have more...

IOCs:
Hash: 26
File: 6
Registry: 3
IP: 38

Soft:
qemu, process explorer, Internet Explorer, Chrome, Firefox, Sogou, WeChat

Algorithms:
sha256, md5, crc-32, sha1, deflate, base64, gzip

Functions:
main

Win API:
decompress, ShellExecuteExA

Languages:
java

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа APT-Q-27, известная как GoldenEye Dog, использует пакеты AWS S3 для развертывания вредоносного ПО, уделяя особое внимание предотвращению обнаружения в виртуализированных средах путем проверки конкретных имен виртуальных машин. Вредоносное ПО содержит шелл-код, замаскированный под файл DataReport.log, который извлекает и запускает переносимый исполняемый файл (PE) в памяти, избегая традиционного сканирования файлов. Кроме того, он включает зашифрованные адреса команд и контроля, что позволяет осуществлять обширный удаленный контроль над зараженными системами, подчеркивая при этом закрепление и оперативную скрытность за счет управления процессами и манипуляций с реестром.
-----

Хакерская группировка GoldenEye Dog (APT-Q-27) была причастна к недавней серии атак, использующих хранилища Amazon Веб-сервисов (AWS) S3 для распространения вредоносных полезных нагрузок. Детальный анализ их вредоносного ПО показывает сложную методологию развертывания, начинающуюся с оценки записей реестра. Вредоносное ПО специально проверяет наличие имен виртуальных машин, таких как "vmware", "virtual", "vbox", "qemu" и "xen". Это наводит на мысль о намерении избежать обнаружения в виртуализированных средах, что является обычной тактикой для изощренных злоумышленников.

Анализ вредоносного ПО показывает, что оно включает компонент, замаскированный под расшифрованный файл DataReport.log, который служит в качестве шеллкода. При выполнении этот шелл-код распаковывает переносимый исполняемый файл (PE) в память и впоследствии загружает его для выполнения, тем самым обходя традиционные меры безопасности, которые могут сканировать файлы, хранящиеся на диске.

В образец встроен ряд зашифрованных адресов управления (C&C), предназначенных для динамического выбора на основе условий сети или стратегий предотвращения обнаружения. Вредоносное ПО способно выполнять множество команд удаленного управления, позволяя злоумышленнику осуществлять полный контроль над зараженными системами. Команды включают в себя функции для управления файлами, завершения процесса и возможность удаления следов атаки — например, удаление данных браузера на нескольких веб-платформах, таких как Internet Explorer, Chrome и Firefox.

Злоумышленник демонстрирует явный акцент на поддержании закрепления и оперативной скрытности. Например, вредоносное ПО может принудительно завершать такие процессы, как explorer.exe и cmd.exe , управлять реестром для стратегических корректировок и включать различные подключаемые модули для дальнейшего расширения возможностей.

Общий анализ указывает на сложный ландшафт угроз, при этом APT-Q-27 использует передовые технологии и инфраструктуру для проведения операций. Эти стратегии подчеркивают растущую изощренность методологий кибератак, используемых APT-группировка, которая занимается распространением устойчивых угроз, что указывает на потенциальную эскалацию в их будущих кампаниях.

#ParsedReport #CompletenessMedium
10-12-2025

APT-C-53 (Gamaredon) uses CVE-2025-8088 to conduct phishing attacks.

https://mp.weixin.qq.com/s/zerWPti8aO8ymhOT1Ij-ig

Report completeness: Medium

Actors/Campaigns:
Gamaredon

Threats:
Spear-phishing_technique

Victims:
Government

Industry:
Government

Geo:
Ukrainian, Ukraine

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1566.001

IOCs:
Path: 1
File: 2
Url: 1
Hash: 2
IP: 2
Domain: 5

Algorithms:
base64, md5, zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-53, известный как Gamaredon, использует уязвимость CVE-2025-8088, недостаток обхода пути в WinRAR, для усиления своих кампаний Целевого фишинга против украинских государственных структур. Эта тактика позволяет группе создавать вредоносные полезные программы, которые обходят меры безопасности, обеспечивая эффективные операции по краже разведывательных данных, направленные на получение конфиденциальной информации. Их деятельность отражает согласованные усилия по нацеливанию на украинские институты и проникновению в них, особенно в течение 2025 года.
-----

Apt-c-53, также известный как Gamaredon, активно эксплуатируя уязвимость идентифицирована как CVE-2025-8088, который представляет собой прохождение пути брешь в WinRAR. Этот эксплуатации является ключевым компонентом группы целевой фишинг-кампании, направленные на хищение разведданных от украинских государственных структур. Эта деятельность характеризуется как высокая плотность интеллект-кража операций, предполагая целенаправленный и агрессивный подход в планировании конфиденциальной информации в пределах Украины в течение 2025.

Использование CVE-2025-8088 позволяет злоумышленникам создавать вредоносные программы, которые могут обходить меры безопасности, что делает их особенно эффективными при попытках фишинга. Таким образом, в докладе подчеркивается настоятельная необходимость в усилении протоколов безопасности среди целевых учреждений. Рекомендации включают повышение осведомленности персонала о безопасности, совершенствование методов шифрования и усиление контроля доступа к секретным данным. Этот многогранный подход направлен на снижение риска утечки информации в результате злонамеренной деятельности группы Gamaredon.

#ParsedReport #CompletenessHigh
10-12-2025

01flip: Multi-Platform Ransomware Written in Rust

https://unit42.paloaltonetworks.com/new-ransomware-01flip-written-in-rust/

Report completeness: High

Actors/Campaigns:
Lockbit

Threats:
01flip
Sliver_c2_tool
Lockbit
Credential_dumping_technique

Victims:
Critical infrastructure, Organizations in southeast asia

Industry:
Ics, Critical_infrastructure

Geo:
Taiwan, Asia, Philippines, Asia-pacific

CVEs:
CVE-2019-11580 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian crowd (<3.0.5, <3.1.6, <3.2.8, <3.3.5, <3.4.4)


TTPs:
Tactics: 4
Technics: 0

IOCs:
Email: 1
File: 1
IP: 1
Hash: 4
Url: 4

Soft:
Linux, Zimbra, fsutil

Crypto:
bitcoin

Algorithms:
aes, sha256, aes-128-cbc, rsa-2048

Functions:
setZeroData

Languages:
rust

Platforms:
cross-platform

Links:
https://github.com/BishopFox/sliver
have more...
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-06-24-IOCs-for-01flip-ransomware.txt