#ParsedReport #CompletenessHigh
10-12-2025
PeerBlight Linux Backdoor Exploits React2Shell CVE-2025-55182
https://www.huntress.com/blog/peerblight-linux-backdoor-exploits-react2shell
Report completeness: High
Threats:
Peerblight
React2shell_vuln
Rotajakiro
Cowtunnel_tool
Zinfoq
Timestomp_technique
Kaiji
Xmrig_miner
Torii_botnet
Bittorrent_tool
Utorrent_tool
Mstsc_tool
Sliver_c2_tool
Udpflood_technique
Victims:
React server components users, Next.js deployments, Linux systems, Windows systems
Industry:
Iot, Entertainment, Telco
Geo:
Chinese
CVEs:
CVE-2025-30406 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gladinet centrestack (<16.4.10315.56368)
CVE-2025-66478 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1036.005, T1059.003, T1059.004, T1070.006, T1071.001, T1082, T1090, T1105, T1136.001, T1140, have more...
IOCs:
File: 12
Command: 8
Path: 6
Url: 16
Domain: 5
IP: 9
Coin: 1
Hash: 6
Soft:
Linux, BitTorrent, curl, systemd, nginx, Unix, sudo, macOS, Mac OS, Docker, have more...
Crypto:
monero
Algorithms:
sha256, base64, prng, cbc, des, aes-256, aes, md5, xor, aes-128-cbc, rsa-2048, exhibit
Functions:
prctl
Win Services:
bits
Languages:
javascript
Platforms:
intel, amd64, x64
YARA: Found
SIGMA: Found
Links:
have more...
10-12-2025
PeerBlight Linux Backdoor Exploits React2Shell CVE-2025-55182
https://www.huntress.com/blog/peerblight-linux-backdoor-exploits-react2shell
Report completeness: High
Threats:
Peerblight
React2shell_vuln
Rotajakiro
Cowtunnel_tool
Zinfoq
Timestomp_technique
Kaiji
Xmrig_miner
Torii_botnet
Bittorrent_tool
Utorrent_tool
Mstsc_tool
Sliver_c2_tool
Udpflood_technique
Victims:
React server components users, Next.js deployments, Linux systems, Windows systems
Industry:
Iot, Entertainment, Telco
Geo:
Chinese
CVEs:
CVE-2025-30406 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gladinet centrestack (<16.4.10315.56368)
CVE-2025-66478 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036.005, T1059.003, T1059.004, T1070.006, T1071.001, T1082, T1090, T1105, T1136.001, T1140, have more...
IOCs:
File: 12
Command: 8
Path: 6
Url: 16
Domain: 5
IP: 9
Coin: 1
Hash: 6
Soft:
Linux, BitTorrent, curl, systemd, nginx, Unix, sudo, macOS, Mac OS, Docker, have more...
Crypto:
monero
Algorithms:
sha256, base64, prng, cbc, des, aes-256, aes, md5, xor, aes-128-cbc, rsa-2048, exhibit
Functions:
prctl
Win Services:
bits
Languages:
javascript
Platforms:
intel, amd64, x64
YARA: Found
SIGMA: Found
Links:
https://gist.github.com/import-pandas-as-numpy/aa73e4bc73bb6b23ec6e8ea982687ace#file-annotated\_react2shell-jshttps://gist.github.com/import-pandas-as-numpy/aa73e4bc73bb6b23ec6e8ea982687ace/raw/b11d75096a580720cf5744203ff00f411199e254/annotated\_react2shell.jshttps://github.comhave more...
Huntress
PeerBlight Linux Backdoor Exploits React2Shell CVE-2025-55182 | Huntress
Huntress is seeing threat actors exploit React2Shell (CVE-2025-55182) to deploy a Linux backdoor, a reverse proxy tunnel, and a Go-based post-exploitation implant.
CTT Report Hub
#ParsedReport #CompletenessHigh 10-12-2025 PeerBlight Linux Backdoor Exploits React2Shell CVE-2025-55182 https://www.huntress.com/blog/peerblight-linux-backdoor-exploits-react2shell Report completeness: High Threats: Peerblight React2shell_vuln Rotajakiro…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
CVE-2025-55182, известная как React2Shell, представляет собой критическую уязвимость в серверных компонентах React, которая позволяет выполнять удаленный код без проверки подлинности с помощью созданных HTTP-запросов. Злоумышленники внедряют различное вредоносное ПО, такое как бэкдор PeerBlight для закрепления и обратный прокси-сервер CowTunnel для обхода брандмауэров, наряду с инструментами криптомайнинга, такими как XMRig. Атаки характеризуются изощренными методами, включая использование систем Windows и Linux, установление закрепления и использование имплантата на базе Go под названием ZinFoq для дальнейшей эксплуатации.
-----
Уязвимость CVE-2025-55182, известная как React2Shell, является критической проблемой в серверных компонентах React, влияющей на процесс десериализации протокола React Flight. Это позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять удаленный код, отправляя специально созданные HTTP-запросы, что приводит к серьезным нарушениям безопасности. Эта уязвимость активно эксплуатировалась в дикой природе, о чем свидетельствуют недавние атаки, зафиксированные на различные организации.
Злоумышленники используют уязвимость React2Shell для развертывания целого ряда вредоносных ПО, включая бэкдор Linux под названием PeerBlight, а также другие вредоносные инструменты, такие как криптоминер и обратный прокси. Известные инструменты, связанные с этой кампанией, включают CowTunnel, который представляет собой обратный прокси-сервер, облегчающий исходящие подключения к серверам, контролируемым злоумышленниками, позволяя злоумышленникам обходить традиционные средства защиты брандмауэра. PeerBlight при запуске с правами root устанавливает Службу systemd, обеспечивающую закрепление, что позволяет ей выдерживать перезагрузки. Кроме того, CowTunnel использует динамически расшифровываемый конфигурационный файл для связи и рабочих параметров, обеспечивая маскировку от анализа при сохранении гибкости.
Полезная нагрузка cryptominer, XMRig, также играет важную роль в этих атаках. Он постоянно развертывается с помощью скриптов, которые настраивают майнер для подключения к определенным пулам майнинга Monero. Различные случаи атак демонстрируют согласованную модель поведения на конечных точках Linux и Windows: злоумышленники тестируют выполнение командной оболочки, загружают множество полезных данных с серверов command and control (C2) и устанавливают закрепление с помощью запланированных задач или служб.
Анализ других компонентов в рамках этих атак выявил постэксплуатационный имплант на базе Go под названием ZinFoq, который облегчает дальнейшую эксплуатацию с помощью таких возможностей, как интерактивные оболочки, файловые операции и поворот сети. Этот имплантат взаимодействует с серверами C2 через HTTP POST-запросы, умело Маскировка своего трафика, чтобы избежать обнаружения.
Возможности DDoS-атак также интегрированы в некоторые используемые вредоносные ПО, предоставляя злоумышленникам методы для выполнения атак типа "отказ в обслуживании". Полный размах этой продолжающейся кампании указывает на изощренный подход злоумышленников, использующих передовые методы закрепления, выполнения команд и эксфильтрации данных.
Для организаций, использующих уязвимые приложения React, немедленная установка исправлений имеет решающее значение для снижения этих рисков. Выявленные уязвимые пакеты включают версии 19.0, 19.1.0, 19.1.1 и 19.2.0 платформы React Framework. Рекомендуется осуществлять тщательный мониторинг и применять передовые методы обеспечения безопасности для противодействия попыткам использования, связанным с CVE-2025-55182.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
CVE-2025-55182, известная как React2Shell, представляет собой критическую уязвимость в серверных компонентах React, которая позволяет выполнять удаленный код без проверки подлинности с помощью созданных HTTP-запросов. Злоумышленники внедряют различное вредоносное ПО, такое как бэкдор PeerBlight для закрепления и обратный прокси-сервер CowTunnel для обхода брандмауэров, наряду с инструментами криптомайнинга, такими как XMRig. Атаки характеризуются изощренными методами, включая использование систем Windows и Linux, установление закрепления и использование имплантата на базе Go под названием ZinFoq для дальнейшей эксплуатации.
-----
Уязвимость CVE-2025-55182, известная как React2Shell, является критической проблемой в серверных компонентах React, влияющей на процесс десериализации протокола React Flight. Это позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять удаленный код, отправляя специально созданные HTTP-запросы, что приводит к серьезным нарушениям безопасности. Эта уязвимость активно эксплуатировалась в дикой природе, о чем свидетельствуют недавние атаки, зафиксированные на различные организации.
Злоумышленники используют уязвимость React2Shell для развертывания целого ряда вредоносных ПО, включая бэкдор Linux под названием PeerBlight, а также другие вредоносные инструменты, такие как криптоминер и обратный прокси. Известные инструменты, связанные с этой кампанией, включают CowTunnel, который представляет собой обратный прокси-сервер, облегчающий исходящие подключения к серверам, контролируемым злоумышленниками, позволяя злоумышленникам обходить традиционные средства защиты брандмауэра. PeerBlight при запуске с правами root устанавливает Службу systemd, обеспечивающую закрепление, что позволяет ей выдерживать перезагрузки. Кроме того, CowTunnel использует динамически расшифровываемый конфигурационный файл для связи и рабочих параметров, обеспечивая маскировку от анализа при сохранении гибкости.
Полезная нагрузка cryptominer, XMRig, также играет важную роль в этих атаках. Он постоянно развертывается с помощью скриптов, которые настраивают майнер для подключения к определенным пулам майнинга Monero. Различные случаи атак демонстрируют согласованную модель поведения на конечных точках Linux и Windows: злоумышленники тестируют выполнение командной оболочки, загружают множество полезных данных с серверов command and control (C2) и устанавливают закрепление с помощью запланированных задач или служб.
Анализ других компонентов в рамках этих атак выявил постэксплуатационный имплант на базе Go под названием ZinFoq, который облегчает дальнейшую эксплуатацию с помощью таких возможностей, как интерактивные оболочки, файловые операции и поворот сети. Этот имплантат взаимодействует с серверами C2 через HTTP POST-запросы, умело Маскировка своего трафика, чтобы избежать обнаружения.
Возможности DDoS-атак также интегрированы в некоторые используемые вредоносные ПО, предоставляя злоумышленникам методы для выполнения атак типа "отказ в обслуживании". Полный размах этой продолжающейся кампании указывает на изощренный подход злоумышленников, использующих передовые методы закрепления, выполнения команд и эксфильтрации данных.
Для организаций, использующих уязвимые приложения React, немедленная установка исправлений имеет решающее значение для снижения этих рисков. Выявленные уязвимые пакеты включают версии 19.0, 19.1.0, 19.1.1 и 19.2.0 платформы React Framework. Рекомендуется осуществлять тщательный мониторинг и применять передовые методы обеспечения безопасности для противодействия попыткам использования, связанным с CVE-2025-55182.
#ParsedReport #CompletenessMedium
10-12-2025
APT PROFILE GROUP 123
https://www.cyfirma.com/research/apt-profile-group-123/
Report completeness: Medium
Actors/Campaigns:
Scarcruft (motivation: cyber_espionage, information_theft)
Itg10
Threats:
Reaper
Slowdrift
Oceansalt
Happywork
Freenki
N1stagent
Kevdroid
Poohmilk
Winerack
Karae
Ruhappy
Gelcapsule
Ricecurry
Soundwave
Zumkong
Nokki
Syscon
Carrotball
Greezebackdoor
Navrat_rat
Rokrat
Carrotbat
Coraldeck
Pooraim
Milkdrop
Shutterspeed
Final1stspy
Erebus
Bluelight
Chinotto
Kospy
M2rat
Spear-phishing_technique
Mauicrypt
Dll_sideloading_technique
Process_injection_technique
Steganography_technique
Victims:
Government, Defense, Research, Critical infrastructure
Industry:
Critical_infrastructure, Government
Geo:
Romania, Kuwait, Middle east, Poland, North korean, Asia, Japan, Korea, China, Nepal, India, Vietnam, Czechia, Russia
CVEs:
CVE-2022-41128 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19567)
- microsoft windows_10_1607 (<10.0.14393.5501)
- microsoft windows_10_1809 (<10.0.17763.3650)
- microsoft windows_10_20h2 (<10.0.19042.2251)
- microsoft windows_10_21h1 (<10.0.19043.2251)
have more...
CVE-2018-4878 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player (<28.0.0.161)
CVE-2020-1380 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft internet_explorer (11)
CVE-2024-38178 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20751)
- microsoft windows_10_1607 (<10.0.14393.7259)
- microsoft windows_10_1809 (<10.0.17763.6189)
- microsoft windows_10_21h2 (<10.0.19044.4780)
- microsoft windows_10_22h2 (<10.0.19045.4780)
have more...
CVE-2017-8291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- artifex ghostscript (<9.21)
CVE-2016-4171 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player (le11.2.202.621)
TTPs:
Tactics: 10
Technics: 29
IOCs:
File: 1
Soft:
Flash Player, Scripting Engine, Internet Explorer
Languages:
python, visual_basic
10-12-2025
APT PROFILE GROUP 123
https://www.cyfirma.com/research/apt-profile-group-123/
Report completeness: Medium
Actors/Campaigns:
Scarcruft (motivation: cyber_espionage, information_theft)
Itg10
Threats:
Reaper
Slowdrift
Oceansalt
Happywork
Freenki
N1stagent
Kevdroid
Poohmilk
Winerack
Karae
Ruhappy
Gelcapsule
Ricecurry
Soundwave
Zumkong
Nokki
Syscon
Carrotball
Greezebackdoor
Navrat_rat
Rokrat
Carrotbat
Coraldeck
Pooraim
Milkdrop
Shutterspeed
Final1stspy
Erebus
Bluelight
Chinotto
Kospy
M2rat
Spear-phishing_technique
Mauicrypt
Dll_sideloading_technique
Process_injection_technique
Steganography_technique
Victims:
Government, Defense, Research, Critical infrastructure
Industry:
Critical_infrastructure, Government
Geo:
Romania, Kuwait, Middle east, Poland, North korean, Asia, Japan, Korea, China, Nepal, India, Vietnam, Czechia, Russia
CVEs:
CVE-2022-41128 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19567)
- microsoft windows_10_1607 (<10.0.14393.5501)
- microsoft windows_10_1809 (<10.0.17763.3650)
- microsoft windows_10_20h2 (<10.0.19042.2251)
- microsoft windows_10_21h1 (<10.0.19043.2251)
have more...
CVE-2018-4878 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player (<28.0.0.161)
CVE-2020-1380 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft internet_explorer (11)
CVE-2024-38178 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20751)
- microsoft windows_10_1607 (<10.0.14393.7259)
- microsoft windows_10_1809 (<10.0.17763.6189)
- microsoft windows_10_21h2 (<10.0.19044.4780)
- microsoft windows_10_22h2 (<10.0.19045.4780)
have more...
CVE-2017-8291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- artifex ghostscript (<9.21)
CVE-2016-4171 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player (le11.2.202.621)
TTPs:
Tactics: 10
Technics: 29
IOCs:
File: 1
Soft:
Flash Player, Scripting Engine, Internet Explorer
Languages:
python, visual_basic
CYFIRMA
APT PROFILE – GROUP 123 - CYFIRMA
Group123 is a North Korean state-sponsored advanced persistent threat (APT) group active since at least 2012. It is also tracked...
CTT Report Hub
#ParsedReport #CompletenessMedium 10-12-2025 APT PROFILE GROUP 123 https://www.cyfirma.com/research/apt-profile-group-123/ Report completeness: Medium Actors/Campaigns: Scarcruft (motivation: cyber_espionage, information_theft) Itg10 Threats: Reaper Slowdrift…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Group123, северокорейская APT-группировка, занимается кибершпионажем, в первую очередь нацеливаясь на Южную Корею и распространяясь на Японию, Вьетнам и Ближний Восток. Они активизируют операции, используя уязвимости в программном обеспечении, в частности, посредством spearphishing с использованием вредоносных документов Hangul/HWP, и используют различное пользовательское вредоносное ПО, такое как ROKRAT и Oceansalt, для облегчения эксфильтрации данных и перемещения внутри компании. Использование ими протокола HTTPS для связи C2 и интеграция уязвимостей zero-day повышает эффективность и скрытность их атак на критически важные секторы инфраструктуры.
-----
Group123, также известная как APT37, Reaper и ScarCruft, является спонсируемой государством северокорейской APT-группировкой, которая действует по меньшей мере с 2012 года. В первую очередь ориентированная на кибершпионаж, группа исторически нацеливалась на Южную Корею, но с 2017 года расширила свою деятельность, включив Японию, Вьетнам, Ближний Восток и другие регионы.
Недавно Group123 усилила свое внимание к средам Windows, применяя тактику spearphishing и используя вредоносные приманки для документов, особенно нацеленные на форматы файлов Hangul/HWP. Их деятельность характеризуется использованием недавно выявленных уязвимостей в различном программном обеспечении, включая офисные пакеты, операционные системы и веб-приложения. Эта тактика направлена на установление постоянного доступа к сетям в правительственных, оборонных, исследовательских и критически важных инфраструктурных секторах.
Инструментарий, используемый Group123, включает в себя ряд пользовательских семейств вредоносных ПО. Среди последних дополнений - ROKRAT, PoohMilk Loader, Freenki Loader, GELCAPSULE и Oceansalt, которые дополняют более старые варианты вредоносного ПО, такие как DOGCALL/Nokki и NavRAT. Эти варианты вредоносного ПО предназначены для облегчения различных вредоносных действий, таких как выполнение команд, эксфильтрация данных, кража учетных данных и перемещение внутри компании в зараженных сетях. Одной из примечательных особенностей их деятельности является использование механизмов командования и контроля на основе HTTPS (C2), что помогает их деятельности вписываться в законный сетевой трафик и усложняет усилия по обнаружению.
Group123 тоже умело использовать zero-day уязвимостей, что значительно повышает эффективность их атак. Их история включает в себя использование браузера и флеш нулевого дня, построена на уязвимости CVE-2016-4171, который может похвастаться критических CVSS оценку 9.8. Группа известна быстрой интеграции новых уязвимостей в цепи атак, тем самым повышая риски, с которыми сталкиваются организации, не применять своевременные патчи, особенно необновленных или устаревших систем. В целом, group123's целенаправленных методов, пользовательских вредоносное ПО и эксплуатации оппортунистических уязвимость представляет значительные трудности для кибербезопасность кибербезопасность в различных регионах они работают.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Group123, северокорейская APT-группировка, занимается кибершпионажем, в первую очередь нацеливаясь на Южную Корею и распространяясь на Японию, Вьетнам и Ближний Восток. Они активизируют операции, используя уязвимости в программном обеспечении, в частности, посредством spearphishing с использованием вредоносных документов Hangul/HWP, и используют различное пользовательское вредоносное ПО, такое как ROKRAT и Oceansalt, для облегчения эксфильтрации данных и перемещения внутри компании. Использование ими протокола HTTPS для связи C2 и интеграция уязвимостей zero-day повышает эффективность и скрытность их атак на критически важные секторы инфраструктуры.
-----
Group123, также известная как APT37, Reaper и ScarCruft, является спонсируемой государством северокорейской APT-группировкой, которая действует по меньшей мере с 2012 года. В первую очередь ориентированная на кибершпионаж, группа исторически нацеливалась на Южную Корею, но с 2017 года расширила свою деятельность, включив Японию, Вьетнам, Ближний Восток и другие регионы.
Недавно Group123 усилила свое внимание к средам Windows, применяя тактику spearphishing и используя вредоносные приманки для документов, особенно нацеленные на форматы файлов Hangul/HWP. Их деятельность характеризуется использованием недавно выявленных уязвимостей в различном программном обеспечении, включая офисные пакеты, операционные системы и веб-приложения. Эта тактика направлена на установление постоянного доступа к сетям в правительственных, оборонных, исследовательских и критически важных инфраструктурных секторах.
Инструментарий, используемый Group123, включает в себя ряд пользовательских семейств вредоносных ПО. Среди последних дополнений - ROKRAT, PoohMilk Loader, Freenki Loader, GELCAPSULE и Oceansalt, которые дополняют более старые варианты вредоносного ПО, такие как DOGCALL/Nokki и NavRAT. Эти варианты вредоносного ПО предназначены для облегчения различных вредоносных действий, таких как выполнение команд, эксфильтрация данных, кража учетных данных и перемещение внутри компании в зараженных сетях. Одной из примечательных особенностей их деятельности является использование механизмов командования и контроля на основе HTTPS (C2), что помогает их деятельности вписываться в законный сетевой трафик и усложняет усилия по обнаружению.
Group123 тоже умело использовать zero-day уязвимостей, что значительно повышает эффективность их атак. Их история включает в себя использование браузера и флеш нулевого дня, построена на уязвимости CVE-2016-4171, который может похвастаться критических CVSS оценку 9.8. Группа известна быстрой интеграции новых уязвимостей в цепи атак, тем самым повышая риски, с которыми сталкиваются организации, не применять своевременные патчи, особенно необновленных или устаревших систем. В целом, group123's целенаправленных методов, пользовательских вредоносное ПО и эксплуатации оппортунистических уязвимость представляет значительные трудности для кибербезопасность кибербезопасность в различных регионах они работают.
#ParsedReport #CompletenessLow
10-12-2025
New Vishing Attack Leverages Microsoft Teams Calls and QuickAssist to Deploy .NET Malware
https://cybersecuritynews.com/new-vishing-attack-leverages-microsoft-teams-call/
Report completeness: Low
Threats:
Microsoft_quick_assist_tool
ChatGPT TTPs:
T1105, T1204, T1566
IOCs:
Domain: 2
File: 2
Soft:
Microsoft Teams, NET Core
Algorithms:
xor, aes-cbc
Functions:
Teams
10-12-2025
New Vishing Attack Leverages Microsoft Teams Calls and QuickAssist to Deploy .NET Malware
https://cybersecuritynews.com/new-vishing-attack-leverages-microsoft-teams-call/
Report completeness: Low
Threats:
Microsoft_quick_assist_tool
ChatGPT TTPs:
do not use without manual checkT1105, T1204, T1566
IOCs:
Domain: 2
File: 2
Soft:
Microsoft Teams, NET Core
Algorithms:
xor, aes-cbc
Functions:
Teams
Cyber Security News
New Vishing Attack Leverages Microsoft Teams Calls and QuickAssist to Deploy .NET Malware
A new vishing attack uses fake Microsoft Teams calls and QuickAssist access to impersonate IT staff and deploy stealthy malware.
CTT Report Hub
#ParsedReport #CompletenessLow 10-12-2025 New Vishing Attack Leverages Microsoft Teams Calls and QuickAssist to Deploy .NET Malware https://cybersecuritynews.com/new-vishing-attack-leverages-microsoft-teams-call/ Report completeness: Low Threats: Micr…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Появилась рекламная кампания, для развертывания которой используются Microsoft Teams и QuickAssist .СЕТЕВОЕ вредоносное ПО проходит через многоэтапную цепочку заражения. Центральным элементом этой атаки является вредоносный исполняемый файл, updater.exe , который служит оболочкой для встроенной библиотеки, loader.dll , который осуществляет вредную деятельность. Этот подход подчеркивает сочетание социальной инженерии со сложным техническим использованием, иллюстрируя изменение тактики злоумышленников для эффективного манипулирования надежными системами.
-----
Недавняя кампания по вымогательсту объединила сложные методы с использованием вызовов Microsoft Teams и QuickAssist для облегчения развертывания .NET вредоносного ПО. Метод атаки использует многоэтапную цепочку заражения, в которой вредоносный исполняемый файл, идентифицированный как updater.exe , используется для выполнения вредоносного поведения.
В основе этой кампании лежит исполняемый файл .NET Core 8.0, который выступает в качестве вектора для дальнейшей эксплуатации. Тот updater.exe файл разработан как оболочка вокруг встроенной библиотеки, loader.dll , который содержит фактическую полезную нагрузку, которая после выполнения приводит к вредоносным действиям. Использование законных инструментов совместной работы, таких как Microsoft Teams, повышает уровень скрытности, позволяя злоумышленникам более эффективно обманывать жертв, используя протоколы, знакомые пользователям.
Эта фишинговая атака подчеркивает сочетание социальной инженерии и технической эксплуатации, демонстрируя значительную эволюцию в том, как злоумышленники могут манипулировать надежными системами и процессами для достижения своих вредоносных целей. Переход от обычных фишинг методов для этого более совершенные методики означает острую необходимость в повышении осведомленности уязвимости, присущие широко используемых платформ для совместной работы, а также важность действенных мер по обеспечению безопасности по выявлению и нейтрализации подобных угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Появилась рекламная кампания, для развертывания которой используются Microsoft Teams и QuickAssist .СЕТЕВОЕ вредоносное ПО проходит через многоэтапную цепочку заражения. Центральным элементом этой атаки является вредоносный исполняемый файл, updater.exe , который служит оболочкой для встроенной библиотеки, loader.dll , который осуществляет вредную деятельность. Этот подход подчеркивает сочетание социальной инженерии со сложным техническим использованием, иллюстрируя изменение тактики злоумышленников для эффективного манипулирования надежными системами.
-----
Недавняя кампания по вымогательсту объединила сложные методы с использованием вызовов Microsoft Teams и QuickAssist для облегчения развертывания .NET вредоносного ПО. Метод атаки использует многоэтапную цепочку заражения, в которой вредоносный исполняемый файл, идентифицированный как updater.exe , используется для выполнения вредоносного поведения.
В основе этой кампании лежит исполняемый файл .NET Core 8.0, который выступает в качестве вектора для дальнейшей эксплуатации. Тот updater.exe файл разработан как оболочка вокруг встроенной библиотеки, loader.dll , который содержит фактическую полезную нагрузку, которая после выполнения приводит к вредоносным действиям. Использование законных инструментов совместной работы, таких как Microsoft Teams, повышает уровень скрытности, позволяя злоумышленникам более эффективно обманывать жертв, используя протоколы, знакомые пользователям.
Эта фишинговая атака подчеркивает сочетание социальной инженерии и технической эксплуатации, демонстрируя значительную эволюцию в том, как злоумышленники могут манипулировать надежными системами и процессами для достижения своих вредоносных целей. Переход от обычных фишинг методов для этого более совершенные методики означает острую необходимость в повышении осведомленности уязвимости, присущие широко используемых платформ для совместной работы, а также важность действенных мер по обеспечению безопасности по выявлению и нейтрализации подобных угроз.
#ParsedReport #CompletenessMedium
10-12-2025
Goldeneye Dog (APT-Q-27) abuses AWS S3 storage buckets to distribute latest malicious payloads
https://www.ctfiot.com/286193.html
Report completeness: Medium
Actors/Campaigns:
Golden_eyed_dog
Threats:
Procmon_tool
Process_hacker_tool
Geo:
Tokyo, Philippines, China, California, India, Japan, San francisco, Hong kong
ChatGPT TTPs:
T1012, T1027, T1055, T1056, T1059, T1070.001, T1070.004, T1071, T1105, T1106, have more...
IOCs:
Hash: 26
File: 6
Registry: 3
IP: 38
Soft:
qemu, process explorer, Internet Explorer, Chrome, Firefox, Sogou, WeChat
Algorithms:
sha256, md5, crc-32, sha1, deflate, base64, gzip
Functions:
main
Win API:
decompress, ShellExecuteExA
Languages:
java
Platforms:
x64
10-12-2025
Goldeneye Dog (APT-Q-27) abuses AWS S3 storage buckets to distribute latest malicious payloads
https://www.ctfiot.com/286193.html
Report completeness: Medium
Actors/Campaigns:
Golden_eyed_dog
Threats:
Procmon_tool
Process_hacker_tool
Geo:
Tokyo, Philippines, China, California, India, Japan, San francisco, Hong kong
ChatGPT TTPs:
do not use without manual checkT1012, T1027, T1055, T1056, T1059, T1070.001, T1070.004, T1071, T1105, T1106, have more...
IOCs:
Hash: 26
File: 6
Registry: 3
IP: 38
Soft:
qemu, process explorer, Internet Explorer, Chrome, Firefox, Sogou, WeChat
Algorithms:
sha256, md5, crc-32, sha1, deflate, base64, gzip
Functions:
main
Win API:
decompress, ShellExecuteExA
Languages:
java
Platforms:
x64
CTF导航
金眼狗(APT-Q-27)滥用AWS S3存储桶分发最新恶意载荷 | CTF导航
文章首发地址:https://xz.aliyun.com/news/90793文章首发作者:筱一概述近日,笔者基于威胁情报挖掘发现了金眼狗(APT-Q-27)组织的最新攻击活动,基于样本分析、关联扩线等技术,笔者对此次攻击活动进行了详细...
CTT Report Hub
#ParsedReport #CompletenessMedium 10-12-2025 Goldeneye Dog (APT-Q-27) abuses AWS S3 storage buckets to distribute latest malicious payloads https://www.ctfiot.com/286193.html Report completeness: Medium Actors/Campaigns: Golden_eyed_dog Threats: Procmon_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа APT-Q-27, известная как GoldenEye Dog, использует пакеты AWS S3 для развертывания вредоносного ПО, уделяя особое внимание предотвращению обнаружения в виртуализированных средах путем проверки конкретных имен виртуальных машин. Вредоносное ПО содержит шелл-код, замаскированный под файл DataReport.log, который извлекает и запускает переносимый исполняемый файл (PE) в памяти, избегая традиционного сканирования файлов. Кроме того, он включает зашифрованные адреса команд и контроля, что позволяет осуществлять обширный удаленный контроль над зараженными системами, подчеркивая при этом закрепление и оперативную скрытность за счет управления процессами и манипуляций с реестром.
-----
Хакерская группировка GoldenEye Dog (APT-Q-27) была причастна к недавней серии атак, использующих хранилища Amazon Веб-сервисов (AWS) S3 для распространения вредоносных полезных нагрузок. Детальный анализ их вредоносного ПО показывает сложную методологию развертывания, начинающуюся с оценки записей реестра. Вредоносное ПО специально проверяет наличие имен виртуальных машин, таких как "vmware", "virtual", "vbox", "qemu" и "xen". Это наводит на мысль о намерении избежать обнаружения в виртуализированных средах, что является обычной тактикой для изощренных злоумышленников.
Анализ вредоносного ПО показывает, что оно включает компонент, замаскированный под расшифрованный файл DataReport.log, который служит в качестве шеллкода. При выполнении этот шелл-код распаковывает переносимый исполняемый файл (PE) в память и впоследствии загружает его для выполнения, тем самым обходя традиционные меры безопасности, которые могут сканировать файлы, хранящиеся на диске.
В образец встроен ряд зашифрованных адресов управления (C&C), предназначенных для динамического выбора на основе условий сети или стратегий предотвращения обнаружения. Вредоносное ПО способно выполнять множество команд удаленного управления, позволяя злоумышленнику осуществлять полный контроль над зараженными системами. Команды включают в себя функции для управления файлами, завершения процесса и возможность удаления следов атаки — например, удаление данных браузера на нескольких веб-платформах, таких как Internet Explorer, Chrome и Firefox.
Злоумышленник демонстрирует явный акцент на поддержании закрепления и оперативной скрытности. Например, вредоносное ПО может принудительно завершать такие процессы, как explorer.exe и cmd.exe , управлять реестром для стратегических корректировок и включать различные подключаемые модули для дальнейшего расширения возможностей.
Общий анализ указывает на сложный ландшафт угроз, при этом APT-Q-27 использует передовые технологии и инфраструктуру для проведения операций. Эти стратегии подчеркивают растущую изощренность методологий кибератак, используемых APT-группировка, которая занимается распространением устойчивых угроз, что указывает на потенциальную эскалацию в их будущих кампаниях.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа APT-Q-27, известная как GoldenEye Dog, использует пакеты AWS S3 для развертывания вредоносного ПО, уделяя особое внимание предотвращению обнаружения в виртуализированных средах путем проверки конкретных имен виртуальных машин. Вредоносное ПО содержит шелл-код, замаскированный под файл DataReport.log, который извлекает и запускает переносимый исполняемый файл (PE) в памяти, избегая традиционного сканирования файлов. Кроме того, он включает зашифрованные адреса команд и контроля, что позволяет осуществлять обширный удаленный контроль над зараженными системами, подчеркивая при этом закрепление и оперативную скрытность за счет управления процессами и манипуляций с реестром.
-----
Хакерская группировка GoldenEye Dog (APT-Q-27) была причастна к недавней серии атак, использующих хранилища Amazon Веб-сервисов (AWS) S3 для распространения вредоносных полезных нагрузок. Детальный анализ их вредоносного ПО показывает сложную методологию развертывания, начинающуюся с оценки записей реестра. Вредоносное ПО специально проверяет наличие имен виртуальных машин, таких как "vmware", "virtual", "vbox", "qemu" и "xen". Это наводит на мысль о намерении избежать обнаружения в виртуализированных средах, что является обычной тактикой для изощренных злоумышленников.
Анализ вредоносного ПО показывает, что оно включает компонент, замаскированный под расшифрованный файл DataReport.log, который служит в качестве шеллкода. При выполнении этот шелл-код распаковывает переносимый исполняемый файл (PE) в память и впоследствии загружает его для выполнения, тем самым обходя традиционные меры безопасности, которые могут сканировать файлы, хранящиеся на диске.
В образец встроен ряд зашифрованных адресов управления (C&C), предназначенных для динамического выбора на основе условий сети или стратегий предотвращения обнаружения. Вредоносное ПО способно выполнять множество команд удаленного управления, позволяя злоумышленнику осуществлять полный контроль над зараженными системами. Команды включают в себя функции для управления файлами, завершения процесса и возможность удаления следов атаки — например, удаление данных браузера на нескольких веб-платформах, таких как Internet Explorer, Chrome и Firefox.
Злоумышленник демонстрирует явный акцент на поддержании закрепления и оперативной скрытности. Например, вредоносное ПО может принудительно завершать такие процессы, как explorer.exe и cmd.exe , управлять реестром для стратегических корректировок и включать различные подключаемые модули для дальнейшего расширения возможностей.
Общий анализ указывает на сложный ландшафт угроз, при этом APT-Q-27 использует передовые технологии и инфраструктуру для проведения операций. Эти стратегии подчеркивают растущую изощренность методологий кибератак, используемых APT-группировка, которая занимается распространением устойчивых угроз, что указывает на потенциальную эскалацию в их будущих кампаниях.
#ParsedReport #CompletenessMedium
10-12-2025
APT-C-53 (Gamaredon) uses CVE-2025-8088 to conduct phishing attacks.
https://mp.weixin.qq.com/s/zerWPti8aO8ymhOT1Ij-ig
Report completeness: Medium
Actors/Campaigns:
Gamaredon
Threats:
Spear-phishing_technique
Victims:
Government
Industry:
Government
Geo:
Ukrainian, Ukraine
CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1203, T1566.001
IOCs:
Path: 1
File: 2
Url: 1
Hash: 2
IP: 2
Domain: 5
Algorithms:
base64, md5, zip
Languages:
powershell
10-12-2025
APT-C-53 (Gamaredon) uses CVE-2025-8088 to conduct phishing attacks.
https://mp.weixin.qq.com/s/zerWPti8aO8ymhOT1Ij-ig
Report completeness: Medium
Actors/Campaigns:
Gamaredon
Threats:
Spear-phishing_technique
Victims:
Government
Industry:
Government
Geo:
Ukrainian, Ukraine
CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1203, T1566.001
IOCs:
Path: 1
File: 2
Url: 1
Hash: 2
IP: 2
Domain: 5
Algorithms:
base64, md5, zip
Languages:
powershell
Vulners Database
CVE-2025-8088 - vulnerability database | Vulners.com
A path traversal vulnerability affecting the Windows version of WinRAR allows the attackers to execute arbitrary code by crafting malicious archive files. This vulnerability was exploited in the wild and was discovered by Anton Cherepanov, Peter Koš...
CTT Report Hub
#ParsedReport #CompletenessMedium 10-12-2025 APT-C-53 (Gamaredon) uses CVE-2025-8088 to conduct phishing attacks. https://mp.weixin.qq.com/s/zerWPti8aO8ymhOT1Ij-ig Report completeness: Medium Actors/Campaigns: Gamaredon Threats: Spear-phishing_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-C-53, известный как Gamaredon, использует уязвимость CVE-2025-8088, недостаток обхода пути в WinRAR, для усиления своих кампаний Целевого фишинга против украинских государственных структур. Эта тактика позволяет группе создавать вредоносные полезные программы, которые обходят меры безопасности, обеспечивая эффективные операции по краже разведывательных данных, направленные на получение конфиденциальной информации. Их деятельность отражает согласованные усилия по нацеливанию на украинские институты и проникновению в них, особенно в течение 2025 года.
-----
Apt-c-53, также известный как Gamaredon, активно эксплуатируя уязвимость идентифицирована как CVE-2025-8088, который представляет собой прохождение пути брешь в WinRAR. Этот эксплуатации является ключевым компонентом группы целевой фишинг-кампании, направленные на хищение разведданных от украинских государственных структур. Эта деятельность характеризуется как высокая плотность интеллект-кража операций, предполагая целенаправленный и агрессивный подход в планировании конфиденциальной информации в пределах Украины в течение 2025.
Использование CVE-2025-8088 позволяет злоумышленникам создавать вредоносные программы, которые могут обходить меры безопасности, что делает их особенно эффективными при попытках фишинга. Таким образом, в докладе подчеркивается настоятельная необходимость в усилении протоколов безопасности среди целевых учреждений. Рекомендации включают повышение осведомленности персонала о безопасности, совершенствование методов шифрования и усиление контроля доступа к секретным данным. Этот многогранный подход направлен на снижение риска утечки информации в результате злонамеренной деятельности группы Gamaredon.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-C-53, известный как Gamaredon, использует уязвимость CVE-2025-8088, недостаток обхода пути в WinRAR, для усиления своих кампаний Целевого фишинга против украинских государственных структур. Эта тактика позволяет группе создавать вредоносные полезные программы, которые обходят меры безопасности, обеспечивая эффективные операции по краже разведывательных данных, направленные на получение конфиденциальной информации. Их деятельность отражает согласованные усилия по нацеливанию на украинские институты и проникновению в них, особенно в течение 2025 года.
-----
Apt-c-53, также известный как Gamaredon, активно эксплуатируя уязвимость идентифицирована как CVE-2025-8088, который представляет собой прохождение пути брешь в WinRAR. Этот эксплуатации является ключевым компонентом группы целевой фишинг-кампании, направленные на хищение разведданных от украинских государственных структур. Эта деятельность характеризуется как высокая плотность интеллект-кража операций, предполагая целенаправленный и агрессивный подход в планировании конфиденциальной информации в пределах Украины в течение 2025.
Использование CVE-2025-8088 позволяет злоумышленникам создавать вредоносные программы, которые могут обходить меры безопасности, что делает их особенно эффективными при попытках фишинга. Таким образом, в докладе подчеркивается настоятельная необходимость в усилении протоколов безопасности среди целевых учреждений. Рекомендации включают повышение осведомленности персонала о безопасности, совершенствование методов шифрования и усиление контроля доступа к секретным данным. Этот многогранный подход направлен на снижение риска утечки информации в результате злонамеренной деятельности группы Gamaredon.
#ParsedReport #CompletenessHigh
10-12-2025
01flip: Multi-Platform Ransomware Written in Rust
https://unit42.paloaltonetworks.com/new-ransomware-01flip-written-in-rust/
Report completeness: High
Actors/Campaigns:
Lockbit
Threats:
01flip
Sliver_c2_tool
Lockbit
Credential_dumping_technique
Victims:
Critical infrastructure, Organizations in southeast asia
Industry:
Ics, Critical_infrastructure
Geo:
Taiwan, Asia, Philippines, Asia-pacific
CVEs:
CVE-2019-11580 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian crowd (<3.0.5, <3.1.6, <3.2.8, <3.3.5, <3.4.4)
TTPs:
Tactics: 4
Technics: 0
IOCs:
Email: 1
File: 1
IP: 1
Hash: 4
Url: 4
Soft:
Linux, Zimbra, fsutil
Crypto:
bitcoin
Algorithms:
aes, sha256, aes-128-cbc, rsa-2048
Functions:
setZeroData
Languages:
rust
Platforms:
cross-platform
Links:
have more...
10-12-2025
01flip: Multi-Platform Ransomware Written in Rust
https://unit42.paloaltonetworks.com/new-ransomware-01flip-written-in-rust/
Report completeness: High
Actors/Campaigns:
Lockbit
Threats:
01flip
Sliver_c2_tool
Lockbit
Credential_dumping_technique
Victims:
Critical infrastructure, Organizations in southeast asia
Industry:
Ics, Critical_infrastructure
Geo:
Taiwan, Asia, Philippines, Asia-pacific
CVEs:
CVE-2019-11580 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian crowd (<3.0.5, <3.1.6, <3.2.8, <3.3.5, <3.4.4)
TTPs:
Tactics: 4
Technics: 0
IOCs:
Email: 1
File: 1
IP: 1
Hash: 4
Url: 4
Soft:
Linux, Zimbra, fsutil
Crypto:
bitcoin
Algorithms:
aes, sha256, aes-128-cbc, rsa-2048
Functions:
setZeroData
Languages:
rust
Platforms:
cross-platform
Links:
https://github.com/BishopFox/sliverhave more...
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-06-24-IOCs-for-01flip-ransomware.txtUnit 42
01flip: Multi-Platform Ransomware Written in Rust
01flip is a new ransomware family fully written in Rust. Activity linked to 01flip points to alleged dark web data leaks.
CTT Report Hub
#ParsedReport #CompletenessHigh 10-12-2025 01flip: Multi-Platform Ransomware Written in Rust https://unit42.paloaltonetworks.com/new-ransomware-01flip-written-in-rust/ Report completeness: High Actors/Campaigns: Lockbit Threats: 01flip Sliver_c2_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В июне 2025 года появилось семейство программ-вымогателей 01flip, нацеленное на критически важную инфраструктуру в Юго-Восточной Азии и разработанное в Rust, обеспечивающее кроссплатформенную функциональность. Злоумышленники воспользовались уязвимостями, такими как CVE-2019-11580, и использовали версию фреймворка Sliver для перемещения внутри компании, прежде чем развернуть 01flip по сетям. Программа-вымогатель отличается отсутствием обфускации, методом удаления заметок о выкупе и методами стирания следов после шифрования, при этом, в частности, исключая из своих атак файлы с расширением "lockbit".
-----
В июне 2025 года появилось недавно идентифицированное семейство программ-вымогателей под названием 01flip, специально предназначенное для организаций в Азиатско-Тихоокеанском регионе, особенно для тех, кто управляет критически важной инфраструктурой в Юго-Восточной Азии. Эта программа-вымогатель примечательна тем, что полностью разработана на языке программирования Rust, что делает ее способной работать на нескольких платформах благодаря функциям кросс-компиляции Rust.
Первоначальное расследование 01flip началось, когда исследователи из подразделения 42 проанализировали подозрительный исполняемый файл Windows, который продемонстрировал поведение, похожее на поведение программы-вымогателя в контролируемой среде. Было установлено, что ответственные за это злоумышленники использовали более старые уязвимости, в частности CVE-2019-11580, в приложениях, ориентированных на Интернет, еще в апреле 2025 года. После успешных попыток эксплуатации они развернули Linux—версию Sliver - общедоступной платформы для моделирования противника, написанной на Go. К концу мая перемещение внутри компании было выполнено на другую машину Linux с использованием профилированного имплантата TCP Pivot из набора инструментов Sliver. Впоследствии несколько экземпляров программы-вымогателя 01flip были развернуты на различных устройствах в сетях жертв.
С технической точки зрения программа-вымогатель 01flip поддерживает как Windows, так и Linux версии. В отличие от многих инструментов киберпреступников, он не сильно запутан, что позволяет легче идентифицировать происхождение его исходного кода Rust. Одна из его основных функций заключается в размещении сообщений о выкупе в доступных для записи каталогах перед шифрованием файлов, предоставляя важную контактную информацию и данные, необходимые для расшифровки. Программа-вымогатель использует низкоуровневые API и системные вызовы, чтобы избежать обнаружения, сводя к минимуму свою видимость среди стандартных процессов операционной системы. Кроме того, после завершения шифрования файлов 01flip пытается стереть любые следы своего присутствия в зараженных системах, выполняя специальные команды как для своих версий Windows, так и для Linux.
По состоянию на конец октября 2025 года хакерская группировка, идентифицированная как CL-CRI-1036, по-видимому, не использует схему двойного вымогательства, которая обычно наблюдается при операциях "программа-вымогатель как услуга" (RaaS). Интересно, что во время анализа программы-вымогателя 01flip исследователи отметили исключение файлов с расширением "LockBit" из процесса шифрования, что указывает на потенциальные совпадения или связи с более известными операциями LockBit ransomware.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В июне 2025 года появилось семейство программ-вымогателей 01flip, нацеленное на критически важную инфраструктуру в Юго-Восточной Азии и разработанное в Rust, обеспечивающее кроссплатформенную функциональность. Злоумышленники воспользовались уязвимостями, такими как CVE-2019-11580, и использовали версию фреймворка Sliver для перемещения внутри компании, прежде чем развернуть 01flip по сетям. Программа-вымогатель отличается отсутствием обфускации, методом удаления заметок о выкупе и методами стирания следов после шифрования, при этом, в частности, исключая из своих атак файлы с расширением "lockbit".
-----
В июне 2025 года появилось недавно идентифицированное семейство программ-вымогателей под названием 01flip, специально предназначенное для организаций в Азиатско-Тихоокеанском регионе, особенно для тех, кто управляет критически важной инфраструктурой в Юго-Восточной Азии. Эта программа-вымогатель примечательна тем, что полностью разработана на языке программирования Rust, что делает ее способной работать на нескольких платформах благодаря функциям кросс-компиляции Rust.
Первоначальное расследование 01flip началось, когда исследователи из подразделения 42 проанализировали подозрительный исполняемый файл Windows, который продемонстрировал поведение, похожее на поведение программы-вымогателя в контролируемой среде. Было установлено, что ответственные за это злоумышленники использовали более старые уязвимости, в частности CVE-2019-11580, в приложениях, ориентированных на Интернет, еще в апреле 2025 года. После успешных попыток эксплуатации они развернули Linux—версию Sliver - общедоступной платформы для моделирования противника, написанной на Go. К концу мая перемещение внутри компании было выполнено на другую машину Linux с использованием профилированного имплантата TCP Pivot из набора инструментов Sliver. Впоследствии несколько экземпляров программы-вымогателя 01flip были развернуты на различных устройствах в сетях жертв.
С технической точки зрения программа-вымогатель 01flip поддерживает как Windows, так и Linux версии. В отличие от многих инструментов киберпреступников, он не сильно запутан, что позволяет легче идентифицировать происхождение его исходного кода Rust. Одна из его основных функций заключается в размещении сообщений о выкупе в доступных для записи каталогах перед шифрованием файлов, предоставляя важную контактную информацию и данные, необходимые для расшифровки. Программа-вымогатель использует низкоуровневые API и системные вызовы, чтобы избежать обнаружения, сводя к минимуму свою видимость среди стандартных процессов операционной системы. Кроме того, после завершения шифрования файлов 01flip пытается стереть любые следы своего присутствия в зараженных системах, выполняя специальные команды как для своих версий Windows, так и для Linux.
По состоянию на конец октября 2025 года хакерская группировка, идентифицированная как CL-CRI-1036, по-видимому, не использует схему двойного вымогательства, которая обычно наблюдается при операциях "программа-вымогатель как услуга" (RaaS). Интересно, что во время анализа программы-вымогателя 01flip исследователи отметили исключение файлов с расширением "LockBit" из процесса шифрования, что указывает на потенциальные совпадения или связи с более известными операциями LockBit ransomware.