#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-55182, известная как React2Shell, представляет собой критическую уязвимость в серверных компонентах React, которая позволяет выполнять удаленный код без проверки подлинности с помощью созданных HTTP-запросов. Злоумышленники внедряют различное вредоносное ПО, такое как бэкдор PeerBlight для закрепления и обратный прокси-сервер CowTunnel для обхода брандмауэров, наряду с инструментами криптомайнинга, такими как XMRig. Атаки характеризуются изощренными методами, включая использование систем Windows и Linux, установление закрепления и использование имплантата на базе Go под названием ZinFoq для дальнейшей эксплуатации.
-----

Уязвимость CVE-2025-55182, известная как React2Shell, является критической проблемой в серверных компонентах React, влияющей на процесс десериализации протокола React Flight. Это позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять удаленный код, отправляя специально созданные HTTP-запросы, что приводит к серьезным нарушениям безопасности. Эта уязвимость активно эксплуатировалась в дикой природе, о чем свидетельствуют недавние атаки, зафиксированные на различные организации.

Злоумышленники используют уязвимость React2Shell для развертывания целого ряда вредоносных ПО, включая бэкдор Linux под названием PeerBlight, а также другие вредоносные инструменты, такие как криптоминер и обратный прокси. Известные инструменты, связанные с этой кампанией, включают CowTunnel, который представляет собой обратный прокси-сервер, облегчающий исходящие подключения к серверам, контролируемым злоумышленниками, позволяя злоумышленникам обходить традиционные средства защиты брандмауэра. PeerBlight при запуске с правами root устанавливает Службу systemd, обеспечивающую закрепление, что позволяет ей выдерживать перезагрузки. Кроме того, CowTunnel использует динамически расшифровываемый конфигурационный файл для связи и рабочих параметров, обеспечивая маскировку от анализа при сохранении гибкости.

Полезная нагрузка cryptominer, XMRig, также играет важную роль в этих атаках. Он постоянно развертывается с помощью скриптов, которые настраивают майнер для подключения к определенным пулам майнинга Monero. Различные случаи атак демонстрируют согласованную модель поведения на конечных точках Linux и Windows: злоумышленники тестируют выполнение командной оболочки, загружают множество полезных данных с серверов command and control (C2) и устанавливают закрепление с помощью запланированных задач или служб.

Анализ других компонентов в рамках этих атак выявил постэксплуатационный имплант на базе Go под названием ZinFoq, который облегчает дальнейшую эксплуатацию с помощью таких возможностей, как интерактивные оболочки, файловые операции и поворот сети. Этот имплантат взаимодействует с серверами C2 через HTTP POST-запросы, умело Маскировка своего трафика, чтобы избежать обнаружения.

Возможности DDoS-атак также интегрированы в некоторые используемые вредоносные ПО, предоставляя злоумышленникам методы для выполнения атак типа "отказ в обслуживании". Полный размах этой продолжающейся кампании указывает на изощренный подход злоумышленников, использующих передовые методы закрепления, выполнения команд и эксфильтрации данных.

Для организаций, использующих уязвимые приложения React, немедленная установка исправлений имеет решающее значение для снижения этих рисков. Выявленные уязвимые пакеты включают версии 19.0, 19.1.0, 19.1.1 и 19.2.0 платформы React Framework. Рекомендуется осуществлять тщательный мониторинг и применять передовые методы обеспечения безопасности для противодействия попыткам использования, связанным с CVE-2025-55182.

#ParsedReport #CompletenessMedium
10-12-2025

APT PROFILE GROUP 123

https://www.cyfirma.com/research/apt-profile-group-123/

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: cyber_espionage, information_theft)
Itg10

Threats:
Reaper
Slowdrift
Oceansalt
Happywork
Freenki
N1stagent
Kevdroid
Poohmilk
Winerack
Karae
Ruhappy
Gelcapsule
Ricecurry
Soundwave
Zumkong
Nokki
Syscon
Carrotball
Greezebackdoor
Navrat_rat
Rokrat
Carrotbat
Coraldeck
Pooraim
Milkdrop
Shutterspeed
Final1stspy
Erebus
Bluelight
Chinotto
Kospy
M2rat
Spear-phishing_technique
Mauicrypt
Dll_sideloading_technique
Process_injection_technique
Steganography_technique

Victims:
Government, Defense, Research, Critical infrastructure

Industry:
Critical_infrastructure, Government

Geo:
Romania, Kuwait, Middle east, Poland, North korean, Asia, Japan, Korea, China, Nepal, India, Vietnam, Czechia, Russia

CVEs:
CVE-2022-41128 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19567)
- microsoft windows_10_1607 (<10.0.14393.5501)
- microsoft windows_10_1809 (<10.0.17763.3650)
- microsoft windows_10_20h2 (<10.0.19042.2251)
- microsoft windows_10_21h1 (<10.0.19043.2251)
have more...
CVE-2018-4878 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player (<28.0.0.161)

CVE-2020-1380 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft internet_explorer (11)

CVE-2024-38178 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20751)
- microsoft windows_10_1607 (<10.0.14393.7259)
- microsoft windows_10_1809 (<10.0.17763.6189)
- microsoft windows_10_21h2 (<10.0.19044.4780)
- microsoft windows_10_22h2 (<10.0.19045.4780)
have more...
CVE-2017-8291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- artifex ghostscript (<9.21)

CVE-2016-4171 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player (le11.2.202.621)


TTPs:
Tactics: 10
Technics: 29

IOCs:
File: 1

Soft:
Flash Player, Scripting Engine, Internet Explorer

Languages:
python, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Group123, северокорейская APT-группировка, занимается кибершпионажем, в первую очередь нацеливаясь на Южную Корею и распространяясь на Японию, Вьетнам и Ближний Восток. Они активизируют операции, используя уязвимости в программном обеспечении, в частности, посредством spearphishing с использованием вредоносных документов Hangul/HWP, и используют различное пользовательское вредоносное ПО, такое как ROKRAT и Oceansalt, для облегчения эксфильтрации данных и перемещения внутри компании. Использование ими протокола HTTPS для связи C2 и интеграция уязвимостей zero-day повышает эффективность и скрытность их атак на критически важные секторы инфраструктуры.
-----

Group123, также известная как APT37, Reaper и ScarCruft, является спонсируемой государством северокорейской APT-группировкой, которая действует по меньшей мере с 2012 года. В первую очередь ориентированная на кибершпионаж, группа исторически нацеливалась на Южную Корею, но с 2017 года расширила свою деятельность, включив Японию, Вьетнам, Ближний Восток и другие регионы.

Недавно Group123 усилила свое внимание к средам Windows, применяя тактику spearphishing и используя вредоносные приманки для документов, особенно нацеленные на форматы файлов Hangul/HWP. Их деятельность характеризуется использованием недавно выявленных уязвимостей в различном программном обеспечении, включая офисные пакеты, операционные системы и веб-приложения. Эта тактика направлена на установление постоянного доступа к сетям в правительственных, оборонных, исследовательских и критически важных инфраструктурных секторах.

Инструментарий, используемый Group123, включает в себя ряд пользовательских семейств вредоносных ПО. Среди последних дополнений - ROKRAT, PoohMilk Loader, Freenki Loader, GELCAPSULE и Oceansalt, которые дополняют более старые варианты вредоносного ПО, такие как DOGCALL/Nokki и NavRAT. Эти варианты вредоносного ПО предназначены для облегчения различных вредоносных действий, таких как выполнение команд, эксфильтрация данных, кража учетных данных и перемещение внутри компании в зараженных сетях. Одной из примечательных особенностей их деятельности является использование механизмов командования и контроля на основе HTTPS (C2), что помогает их деятельности вписываться в законный сетевой трафик и усложняет усилия по обнаружению.

Group123 тоже умело использовать zero-day уязвимостей, что значительно повышает эффективность их атак. Их история включает в себя использование браузера и флеш нулевого дня, построена на уязвимости CVE-2016-4171, который может похвастаться критических CVSS оценку 9.8. Группа известна быстрой интеграции новых уязвимостей в цепи атак, тем самым повышая риски, с которыми сталкиваются организации, не применять своевременные патчи, особенно необновленных или устаревших систем. В целом, group123's целенаправленных методов, пользовательских вредоносное ПО и эксплуатации оппортунистических уязвимость представляет значительные трудности для кибербезопасность кибербезопасность в различных регионах они работают.

#ParsedReport #CompletenessLow
10-12-2025

New Vishing Attack Leverages Microsoft Teams Calls and QuickAssist to Deploy .NET Malware

https://cybersecuritynews.com/new-vishing-attack-leverages-microsoft-teams-call/

Report completeness: Low

Threats:
Microsoft_quick_assist_tool

ChatGPT TTPs:
do not use without manual check
T1105, T1204, T1566

IOCs:
Domain: 2
File: 2

Soft:
Microsoft Teams, NET Core

Algorithms:
xor, aes-cbc

Functions:
Teams

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Появилась рекламная кампания, для развертывания которой используются Microsoft Teams и QuickAssist .СЕТЕВОЕ вредоносное ПО проходит через многоэтапную цепочку заражения. Центральным элементом этой атаки является вредоносный исполняемый файл, updater.exe , который служит оболочкой для встроенной библиотеки, loader.dll , который осуществляет вредную деятельность. Этот подход подчеркивает сочетание социальной инженерии со сложным техническим использованием, иллюстрируя изменение тактики злоумышленников для эффективного манипулирования надежными системами.
-----

Недавняя кампания по вымогательсту объединила сложные методы с использованием вызовов Microsoft Teams и QuickAssist для облегчения развертывания .NET вредоносного ПО. Метод атаки использует многоэтапную цепочку заражения, в которой вредоносный исполняемый файл, идентифицированный как updater.exe , используется для выполнения вредоносного поведения.

В основе этой кампании лежит исполняемый файл .NET Core 8.0, который выступает в качестве вектора для дальнейшей эксплуатации. Тот updater.exe файл разработан как оболочка вокруг встроенной библиотеки, loader.dll , который содержит фактическую полезную нагрузку, которая после выполнения приводит к вредоносным действиям. Использование законных инструментов совместной работы, таких как Microsoft Teams, повышает уровень скрытности, позволяя злоумышленникам более эффективно обманывать жертв, используя протоколы, знакомые пользователям.

Эта фишинговая атака подчеркивает сочетание социальной инженерии и технической эксплуатации, демонстрируя значительную эволюцию в том, как злоумышленники могут манипулировать надежными системами и процессами для достижения своих вредоносных целей. Переход от обычных фишинг методов для этого более совершенные методики означает острую необходимость в повышении осведомленности уязвимости, присущие широко используемых платформ для совместной работы, а также важность действенных мер по обеспечению безопасности по выявлению и нейтрализации подобных угроз.

#ParsedReport #CompletenessMedium
10-12-2025

Goldeneye Dog (APT-Q-27) abuses AWS S3 storage buckets to distribute latest malicious payloads

https://www.ctfiot.com/286193.html

Report completeness: Medium

Actors/Campaigns:
Golden_eyed_dog

Threats:
Procmon_tool
Process_hacker_tool

Geo:
Tokyo, Philippines, China, California, India, Japan, San francisco, Hong kong

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1055, T1056, T1059, T1070.001, T1070.004, T1071, T1105, T1106, have more...

IOCs:
Hash: 26
File: 6
Registry: 3
IP: 38

Soft:
qemu, process explorer, Internet Explorer, Chrome, Firefox, Sogou, WeChat

Algorithms:
sha256, md5, crc-32, sha1, deflate, base64, gzip

Functions:
main

Win API:
decompress, ShellExecuteExA

Languages:
java

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа APT-Q-27, известная как GoldenEye Dog, использует пакеты AWS S3 для развертывания вредоносного ПО, уделяя особое внимание предотвращению обнаружения в виртуализированных средах путем проверки конкретных имен виртуальных машин. Вредоносное ПО содержит шелл-код, замаскированный под файл DataReport.log, который извлекает и запускает переносимый исполняемый файл (PE) в памяти, избегая традиционного сканирования файлов. Кроме того, он включает зашифрованные адреса команд и контроля, что позволяет осуществлять обширный удаленный контроль над зараженными системами, подчеркивая при этом закрепление и оперативную скрытность за счет управления процессами и манипуляций с реестром.
-----

Хакерская группировка GoldenEye Dog (APT-Q-27) была причастна к недавней серии атак, использующих хранилища Amazon Веб-сервисов (AWS) S3 для распространения вредоносных полезных нагрузок. Детальный анализ их вредоносного ПО показывает сложную методологию развертывания, начинающуюся с оценки записей реестра. Вредоносное ПО специально проверяет наличие имен виртуальных машин, таких как "vmware", "virtual", "vbox", "qemu" и "xen". Это наводит на мысль о намерении избежать обнаружения в виртуализированных средах, что является обычной тактикой для изощренных злоумышленников.

Анализ вредоносного ПО показывает, что оно включает компонент, замаскированный под расшифрованный файл DataReport.log, который служит в качестве шеллкода. При выполнении этот шелл-код распаковывает переносимый исполняемый файл (PE) в память и впоследствии загружает его для выполнения, тем самым обходя традиционные меры безопасности, которые могут сканировать файлы, хранящиеся на диске.

В образец встроен ряд зашифрованных адресов управления (C&C), предназначенных для динамического выбора на основе условий сети или стратегий предотвращения обнаружения. Вредоносное ПО способно выполнять множество команд удаленного управления, позволяя злоумышленнику осуществлять полный контроль над зараженными системами. Команды включают в себя функции для управления файлами, завершения процесса и возможность удаления следов атаки — например, удаление данных браузера на нескольких веб-платформах, таких как Internet Explorer, Chrome и Firefox.

Злоумышленник демонстрирует явный акцент на поддержании закрепления и оперативной скрытности. Например, вредоносное ПО может принудительно завершать такие процессы, как explorer.exe и cmd.exe , управлять реестром для стратегических корректировок и включать различные подключаемые модули для дальнейшего расширения возможностей.

Общий анализ указывает на сложный ландшафт угроз, при этом APT-Q-27 использует передовые технологии и инфраструктуру для проведения операций. Эти стратегии подчеркивают растущую изощренность методологий кибератак, используемых APT-группировка, которая занимается распространением устойчивых угроз, что указывает на потенциальную эскалацию в их будущих кампаниях.

#ParsedReport #CompletenessMedium
10-12-2025

APT-C-53 (Gamaredon) uses CVE-2025-8088 to conduct phishing attacks.

https://mp.weixin.qq.com/s/zerWPti8aO8ymhOT1Ij-ig

Report completeness: Medium

Actors/Campaigns:
Gamaredon

Threats:
Spear-phishing_technique

Victims:
Government

Industry:
Government

Geo:
Ukrainian, Ukraine

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1566.001

IOCs:
Path: 1
File: 2
Url: 1
Hash: 2
IP: 2
Domain: 5

Algorithms:
base64, md5, zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-53, известный как Gamaredon, использует уязвимость CVE-2025-8088, недостаток обхода пути в WinRAR, для усиления своих кампаний Целевого фишинга против украинских государственных структур. Эта тактика позволяет группе создавать вредоносные полезные программы, которые обходят меры безопасности, обеспечивая эффективные операции по краже разведывательных данных, направленные на получение конфиденциальной информации. Их деятельность отражает согласованные усилия по нацеливанию на украинские институты и проникновению в них, особенно в течение 2025 года.
-----

Apt-c-53, также известный как Gamaredon, активно эксплуатируя уязвимость идентифицирована как CVE-2025-8088, который представляет собой прохождение пути брешь в WinRAR. Этот эксплуатации является ключевым компонентом группы целевой фишинг-кампании, направленные на хищение разведданных от украинских государственных структур. Эта деятельность характеризуется как высокая плотность интеллект-кража операций, предполагая целенаправленный и агрессивный подход в планировании конфиденциальной информации в пределах Украины в течение 2025.

Использование CVE-2025-8088 позволяет злоумышленникам создавать вредоносные программы, которые могут обходить меры безопасности, что делает их особенно эффективными при попытках фишинга. Таким образом, в докладе подчеркивается настоятельная необходимость в усилении протоколов безопасности среди целевых учреждений. Рекомендации включают повышение осведомленности персонала о безопасности, совершенствование методов шифрования и усиление контроля доступа к секретным данным. Этот многогранный подход направлен на снижение риска утечки информации в результате злонамеренной деятельности группы Gamaredon.

#ParsedReport #CompletenessHigh
10-12-2025

01flip: Multi-Platform Ransomware Written in Rust

https://unit42.paloaltonetworks.com/new-ransomware-01flip-written-in-rust/

Report completeness: High

Actors/Campaigns:
Lockbit

Threats:
01flip
Sliver_c2_tool
Lockbit
Credential_dumping_technique

Victims:
Critical infrastructure, Organizations in southeast asia

Industry:
Ics, Critical_infrastructure

Geo:
Taiwan, Asia, Philippines, Asia-pacific

CVEs:
CVE-2019-11580 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian crowd (<3.0.5, <3.1.6, <3.2.8, <3.3.5, <3.4.4)


TTPs:
Tactics: 4
Technics: 0

IOCs:
Email: 1
File: 1
IP: 1
Hash: 4
Url: 4

Soft:
Linux, Zimbra, fsutil

Crypto:
bitcoin

Algorithms:
aes, sha256, aes-128-cbc, rsa-2048

Functions:
setZeroData

Languages:
rust

Platforms:
cross-platform

Links:
https://github.com/BishopFox/sliver
have more...
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-06-24-IOCs-for-01flip-ransomware.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2025 года появилось семейство программ-вымогателей 01flip, нацеленное на критически важную инфраструктуру в Юго-Восточной Азии и разработанное в Rust, обеспечивающее кроссплатформенную функциональность. Злоумышленники воспользовались уязвимостями, такими как CVE-2019-11580, и использовали версию фреймворка Sliver для перемещения внутри компании, прежде чем развернуть 01flip по сетям. Программа-вымогатель отличается отсутствием обфускации, методом удаления заметок о выкупе и методами стирания следов после шифрования, при этом, в частности, исключая из своих атак файлы с расширением "lockbit".
-----

В июне 2025 года появилось недавно идентифицированное семейство программ-вымогателей под названием 01flip, специально предназначенное для организаций в Азиатско-Тихоокеанском регионе, особенно для тех, кто управляет критически важной инфраструктурой в Юго-Восточной Азии. Эта программа-вымогатель примечательна тем, что полностью разработана на языке программирования Rust, что делает ее способной работать на нескольких платформах благодаря функциям кросс-компиляции Rust.

Первоначальное расследование 01flip началось, когда исследователи из подразделения 42 проанализировали подозрительный исполняемый файл Windows, который продемонстрировал поведение, похожее на поведение программы-вымогателя в контролируемой среде. Было установлено, что ответственные за это злоумышленники использовали более старые уязвимости, в частности CVE-2019-11580, в приложениях, ориентированных на Интернет, еще в апреле 2025 года. После успешных попыток эксплуатации они развернули Linux—версию Sliver - общедоступной платформы для моделирования противника, написанной на Go. К концу мая перемещение внутри компании было выполнено на другую машину Linux с использованием профилированного имплантата TCP Pivot из набора инструментов Sliver. Впоследствии несколько экземпляров программы-вымогателя 01flip были развернуты на различных устройствах в сетях жертв.

С технической точки зрения программа-вымогатель 01flip поддерживает как Windows, так и Linux версии. В отличие от многих инструментов киберпреступников, он не сильно запутан, что позволяет легче идентифицировать происхождение его исходного кода Rust. Одна из его основных функций заключается в размещении сообщений о выкупе в доступных для записи каталогах перед шифрованием файлов, предоставляя важную контактную информацию и данные, необходимые для расшифровки. Программа-вымогатель использует низкоуровневые API и системные вызовы, чтобы избежать обнаружения, сводя к минимуму свою видимость среди стандартных процессов операционной системы. Кроме того, после завершения шифрования файлов 01flip пытается стереть любые следы своего присутствия в зараженных системах, выполняя специальные команды как для своих версий Windows, так и для Linux.

По состоянию на конец октября 2025 года хакерская группировка, идентифицированная как CL-CRI-1036, по-видимому, не использует схему двойного вымогательства, которая обычно наблюдается при операциях "программа-вымогатель как услуга" (RaaS). Интересно, что во время анализа программы-вымогателя 01flip исследователи отметили исключение файлов с расширением "LockBit" из процесса шифрования, что указывает на потенциальные совпадения или связи с более известными операциями LockBit ransomware.

#ParsedReport #CompletenessHigh
10-12-2025

NANOREMOTE, cousin of FINALDRAFT

https://www.elastic.co/security-labs/nanoremote

Report completeness: High

Actors/Campaigns:
Earth_alux (motivation: cyber_espionage)

Threats:
Nanoremote
Finaldraft
Wmloader
Minidump_tool
Pathloader

Industry:
Software_development, Transport

Geo:
Chinese, Philippines

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 8
Hash: 7
IP: 1

Algorithms:
aes, xor, base64, aes-cbc, sha256, md5, exhibit

Functions:
GetStdHandle

Win API:
VirtualAlloc, VirtualProtect, CoCreateGuid, WSAIoctl, GetUserNameW, GetComputerNameW, GetModuleFileNameW, GetCurrentProcessID, GetLogicalDrives, GetDiskFreeSpaceExW, have more...

Platforms:
x86, x64

YARA: Found

Links:
have more...
https://github.com/hasherezade/libpeconv

#ParsedReport #GeneratedSchema
Generated with GPT-4