#ParsedReport #CompletenessHigh
16-12-2025

Say hello to Nextron s RuneAI

https://www.nextron-systems.com/2025/12/16/say-hello-to-nextrons-runeai/

Report completeness: High

Threats:
Dll_sideloading_technique
Cobalt_strike_tool
Supply_chain_technique

Industry:
E-commerce

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059, T1059.001, T1071.001, T1102, T1105, T1547.009, T1552.001

IOCs:
File: 3
Hash: 4
IP: 1
Url: 2

Soft:
Dropbox

Algorithms:
zip, sha256, aes

Functions:
readFilePath, writeFilePath

Languages:
powershell

YARA: Found

Links:
https://github.com/Neo23x0/signature-base/blob/master/yara/mal\_etoroloro\_nodepackage\_dec25.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RuneAI от Nextron идентифицировал скрипт, действующий как троян удаленного доступа (RAT), с критическими уязвимостями, включая жестко закодированные учетные данные Dropbox и механизм доставки вредоносной полезной нагрузки с использованием Dropbox. Он использует PowerShell для загрузки и выполнения ZIP-файлов, обеспечивая при этом закрепление путем размещения вредоносного пакетного файла в папке автозагрузки Windows. Сценарий также допускает непроверенное удаленное выполнение команд, позволяя злоумышленникам запускать произвольные команды из размещенного файла, что вызывает серьезные проблемы с безопасностью.
-----

RuneAI от Nextron выявил скрипт, содержащий значительные уязвимости в системе безопасности, которые позиционируют его как троян удаленного доступа (RAT) с возможностями командования и контроля (C2). Анализ указывает на несколько критических недостатков безопасности, включая наличие жестко закодированных учетных данных Dropbox, механизм доставки вредоносной полезной нагрузки с использованием Dropbox, тактику закрепления через папку автозагрузки Windows и непроверенное удаленное выполнение команд, что может позволить злоумышленникам выполнять произвольные команды.

В процессе обнаружения были обнаружены жестко закодированные учетные данные, такие как идентификатор клиента Dropbox, секрет и токен обновления, встроенные в исходный код, который является общедоступным. Это создает риск кражи учетных данных. Кроме того, скрипт использует PowerShell для загрузки и выполнения вредоносных ZIP-файлов из Dropbox, функционируя как вредоносное ПО Dropper. Он также обеспечивает закрепление, копируя вредоносный пакетный файл в папку автозагрузки Windows, позволяя ему запускаться при каждой перезагрузке системы.

Одной из тревожных характеристик скрипта является его непроверенная возможность удаленного выполнения команд. Вредоносное ПО может выполнять команды из файла, размещенного в Dropbox, без каких-либо проверок, что вызывает серьезные опасения по поводу безопасности. Кроме того, связь C2 облегчается через Dropbox, где он может считывать команды из указанного пути к файлу и отправлять выходные данные обратно по пути записи в файл.

После автоматизированного анализа, проведенного RuneAI, дальнейшее расследование, проведенное командой Nextron по исследованию угроз, подтвердило эти выводы с помощью тщательного анализа вредоносного ПО и обратного инжиниринга. Их оценки подчеркивают важность логики обнаружения и методологий, которые команда использует для распознавания таких угроз и реагирования на них, гарантируя, что фактические вторжения отличаются от безобидной деятельности. Эти текущие исследования и анализ помогают в разработке эффективных мер защиты от этих возникающих угроз.

#ParsedReport #CompletenessMedium
17-12-2025

Kimwolf Exposed: The Massive Android Botnet with 1.8 Million Infected Devices

https://blog.xlab.qianxin.com/kimwolf-botnet-en/

Report completeness: Medium

Actors/Campaigns:
Badbox

Threats:
Kimwolf
Etherhiding_technique
Aisuru
Mirai
Bigpanzi
Vo1d

Victims:
Global internet infrastructure, Smart tv devices, Tv boxes, Android devices

Industry:
Financial, Media, Iot

Geo:
Philippines, Brazil, Argentina, Morocco, Saudi arabia, South africa, Germany, Usa, Algeria, Turkey, Chinese, France, Thailand, Pakistan, Indonesia, Mexico, Dprk, India, China, Iraq, Canada

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1090, T1095, T1102, T1498, T1547.005, T1573, T1583.001

IOCs:
Domain: 13
File: 9
Hash: 33
IP: 4
Coin: 1

Soft:
Android, wolfSSL, Unix

Crypto:
ethereum

Algorithms:
md5, crc-32, sha1, xor

Languages:
rust

Platforms:
x86, x64, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет Kimwolf - это крупномасштабная угроза для Android, выявленная примерно на 1,8 миллионах зараженных устройств, использующая библиотеку wolfSSL и работающая в основном через две версии, которые ориентированы на прокси-сервисы и DDoS-атаки. Его инфраструктура командования и контроля является сложной, использующей шифрование TLS и цифровые подписи с эллиптической кривой для связи. Несмотря на значительную активность, недавние усилия по удалению сократили его операционное влияние, что вызывает опасения по поводу неустойчивого поведения команд ботнет и его воздействия на уязвимости смарт-устройств.
-----

Ботнет Kimwolf, недавно идентифицированный как сверхмасштабный Android-ботнет, может похвастаться примерно 1,8 миллионами активных зараженных устройств и уникальной инфраструктурой командования и контроля (C2), примером чего является его заметный рейтинг домена. Захваченные образцы и оценки C2 от партнеров по безопасности показали, что этот ботнет использует библиотеку wolfSSL. Значительная активность наблюдалась после успешного захвата домена C2 1 декабря, что подчеркнуло его обширный охват с максимумом почти в 1,83 миллиона активных узлов. Тем не менее, активность ботнет впоследствии снизилась после агрессивных действий по уничтожению его инфраструктуры, в результате чего, по оценкам, ежедневное количество активных устройств составляет около 200 000.

Kimwolf работает в основном через две основные версии, v4 и v5, причем большинство команд сосредоточено на прокси-сервисах, что составляет 96,5% его директив, в то время как остальная часть посвящена DDoS-атакам, нацеленным на различные секторы в нескольких странах, главным образом в США, Китае, Франции, Германии и Канаде. Злоумышленники также используют компоненты на базе Rust, в частности командный клиент и ByteConnect SDK, для повышения эффективности использования полосы пропускания и общих операционных возможностей. Вредоносный APK-файл, идентифицированный в этом ботнете, связанный с образцом Aisuru, запускается автоматически при запуске устройства, что свидетельствует о стратегическом фокусе на устройствах Android, в частности на смарт-телевизорах и связанных с ними технологиях, страдающих различными уязвимостями.

При обмене данными в ботнете используется шифрование TLS, в то время как его внутренний протокол имеет определенную структуру сообщений с параметрами, важными для регистрации бота и верификации на его серверах C2. Бот проверяет свою легитимность с помощью цифровых подписей с эллиптической кривой и отвечает идентификаторами групп для эффективной обработки команд. Такая структурированная коммуникация подчеркивает сложный дизайн ботнет, направленный на поддержание его операционной целостности при внешних сбоях.

Поведенческие наблюдения в ходе оперативных разбирательств между 19 и 22 ноября показал Kimwolf испуская чудовищную 1,7 млрд команды целеуказания многочисленными ИПС под сомнение стратегическую последовательность этих операций, так как они не привели к значительным разрушениям. Этот перебоями подачи команды вызывает вопросы о возможных внутренних ошибок или преднамеренного хаоса от хакеров. В конечном счете, анализ Kimwolf подчеркивает ее поразительно агрессивную тактику, комплекс инфраструктуру, а насущная необходимость для сообщества безопасности для устранения уязвимостей, связанных с умных и подключенных устройств.

#ParsedReport #CompletenessHigh
16-12-2025

Inside Ink Dragon: Revealing the Relay Network and Inner Workings of a Stealthy Offensive Operation

https://research.checkpoint.com/2025/ink-dragons-relay-network-and-offensive-operation/

Report completeness: High

Actors/Campaigns:
Earth_alux (motivation: cyber_espionage)
Ref3927
Cl-sta-0049 (motivation: cyber_espionage)

Threats:
Shadowpad
Cdbloader
Lalsdumper
032loader
Finaldraft
Viewstate_deserialization_vuln
Credential_harvesting_technique
Toolshell_vuln
Printnotifypotato_tool
Scatterbrain_tool
Tollbooth
Gotohttp_tool

Victims:
Government, Telecom, Public sector

Industry:
Semiconductor_industry, Government, Telco

Geo:
Africa, Asia, Chinese, America

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)


TTPs:
Tactics: 7
Technics: 0

IOCs:
Hash: 17
File: 22
Path: 5
Registry: 2

Soft:
ASP.NET, Microsoft SharePoint, CredSSP, Graph API, Outlook, Remote Desktop Services, Windows security

Algorithms:
zip, base64, aes, rc4, xor

Win API:
HttpAddUrl, AddSecurityPackageA, MiniDumpWriteDump, CreateFileMappingW, MapViewOfFile, VirtualProtect, EvtQuery

Win Services:
MsMpEng

Links:
https://github.com/JKornev/hidden
https://github.com/mandiant/poisonplug-scatterbrain
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ink Dragon, группа кибершпионажа, связанная с китайскими государственными спонсорами, недавно нацелила правительственный и телекоммуникационный секторы в Европе, Юго-Восточной Азии и Южной Америке, используя пользовательский модуль прослушивания IIS ShadowPad. Группа использует уязвимости, связанные с ASP.NET machineKey задает значения для первоначального доступа, использует вредоносное ПО ShadowPad для сбора учетных записей и использует такие тактики, как запланированные задачи, для поддержания закрепления и облегчения перемещения внутри компании. Их операции отражают сложное сочетание скрытности и интеграции инфраструктуры, что усложняет усилия по обнаружению и предполагает потенциальное дублирование с другими злоумышленниками.
-----

Ink Dragon - это группа кибершпионажа, связанная с китайскими акторами, спонсируемыми государством. Они нацелены на правительственный и телекоммуникационный секторы в Европе, Юго-Восточной Азии и Южной Америке. Группа создает ретрансляционную сеть на основе жертвы, используя пользовательский модуль прослушивания IIS ShadowPad для построения распределенной инфраструктуры управления. Они эксплуатируют ASP.NET Уязвимости machineKey для выполнения атак ViewState deserialization на серверы IIS и SharePoint для первоначального доступа. Получив доступ, они развертывают вредоносное ПО ShadowPad и собирают учетные данные работника IIS для перемещения внутри компании по протоколу RDP. Ink Dragon использует такие тактики, как создание незаметных запланированных задач и изменение правил брандмауэра хоста для поддержания закрепления и эксфильтрации данных. Они повышают привилегии с локального уровня до уровня домена, развертывая дополнительные полезные нагрузки и интегрируясь с существующей инфраструктурой после защиты учетной записи администратора домена. Методы сбора учетных записей включают использование инструмента LalsDumper для извлечения учетных данных из LSASS. Необходим модуль прослушивателя IIS ShadowPad, маскирующий себя в стеке IIS при выполнении командных операций. Их набор инструментов включает фреймворк загрузчика ShadowPad, CDBLoader для полезных нагрузок, размещаемых в памяти, и RAT FinalDraft для долгосрочного шпионажа. Возможности FinalDraft's включают внутреннее проксирование и управление сетевым трафиком с помощью Microsoft Graph API. Операции группы предполагают стратегию, направленную на превращение жертв в расширение их сети атак, с признаками совпадения с другими злоумышленниками, такими как RudePanda.

#ParsedReport #CompletenessMedium
16-12-2025

French Interior Ministry Email Servers Compromised in Targeted Cyberattack

https://www.secureblink.com/cyber-security-news/french-interior-ministry-email-servers-compromised-in-targeted-cyberattack

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Credential_harvesting_technique

Victims:
French interior ministry, Government sector, Diplomatic sector

Industry:
Government

Geo:
French, America, Russia

CVEs:
CVE-2020-35730 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.2.13, <1.3.16, <1.4.10)

CVE-2020-12641 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.2.10, <1.3.11, <1.4.4)


TTPs:
Tactics: 9
Technics: 5

IOCs:
Domain: 1

Soft:
Roundcube

Algorithms:
base64

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В декабре 2025 года, Министерство внутренних дел Франции пережила нацелен кибератаки, приписываемые APT28, которые были взломаны серверы электронной почты и конфиденциальных файлов. Атака совпала с apt28's APT28 сосредоточился на использовании уязвимостей в инфраструктуре электронной почты, особенно на серверах с почтой. Никаких конкретных вредоносное ПО разглашается, но исторические данные свидетельствуют о том, методический подход, выделяя текущие риски для национальной безопасности от таких нарушений.
-----

В декабре 2025 года Министерство внутренних дел Франции столкнулось с нацеленной кибератакой, которая привела к компрометации его почтовых серверов. Вторжение было обнаружено в ночь с 11 на 12 декабря, что побудило министра внутренних дел Лорана Нуэза публично признать факт взлома 13 декабря, где он подтвердил, что злоумышленники получили доступ к конфиденциальным файлам. В последующих отчетах от 15 декабря подробно описывалась реакция министерства на инцидент, включая начало расследования. Исторические записи указывают на то, что это нарушение согласуется с тактикой группы APT28, известной своими длительными и нацеленными киберкампаниями против различных французских организаций, особенно тех, которые используют почтовые серверы Roundcube.

Хотя конкретное вредоносное ПО, связанное с этим инцидентом, пока не разглашается, эксперты могут сделать вывод о методологии атаки на основе известного поведения APT28. Группа продемонстрировала последовательный набор тактик, методов и процедур (TTP) в предыдущих проектах, уделяя особое внимание использованию уязвимостей в инфраструктурах электронной почты.

Чтобы противостоять таким угрозам, это очень важно для защитников, особенно в правительственных и дипломатических сферах, чтобы усилить свою бдительность в отношении их систем электронной почты. Немедленные действия должны включать тщательный аудит всех подключенных к Интернету серверов Roundcube на предмет выявления признаков компрометации и потенциальной изоляции уязвимых экземпляров для криминалистического анализа. Кроме того, крайне важно обеспечить сброс паролей для всех учетных записей привязано к пораженным системам электронной почты и применять срочные патчи безопасности для работы с почтой, наряду с любыми соответствующими базовым программным обеспечением, таким как PHP и веб-сервера. Особое внимание должно быть уделено решению известно авианосца, что APT28 ранее уже эксплуатировали.

Последствия этого нарушения являются существенными, так как Министерство внутренних дел Франции ручки важнейших аспектов национальной безопасности, в том числе полиции и иммиграционным контролем. Кибератаки классифицируется как высокий риск степени тяжести, подчеркивая актуальность для организаций на аналогичных должностях, чтобы укрепить их кибербезопасность кибербезопасность для защиты конфиденциальных операций, и данные граждан от будущих вторжений.

#ParsedReport #CompletenessHigh
16-12-2025

BlindEagle Targets Colombian Government Agency with Caminho and DCRAT

https://www.zscaler.com/blogs/security-research/blindeagle-targets-colombian-government-agency-caminho-and-dcrat

Report completeness: High

Actors/Campaigns:
Blindeagle (motivation: cyber_criminal)
Hive0131

Threats:
Caminho
Dcrat
Spear-phishing_technique
Steganography_technique
Vmdetectloader
Xworm_rat
Junk_code_technique
Process_hollowing_technique
Asyncrat
Remcos_rat
Amsi_bypass_technique
Smuggling_technique
Process_injection_technique

Victims:
Colombian government agency, Government sector

Industry:
Government, E-commerce

Geo:
Swedish, Brazilian, Colombian, Portuguese, Colombia, America

TTPs:
Tactics: 1
Technics: 22

IOCs:
File: 4
Url: 2
IP: 24
Hash: 7

Soft:
Discord

Algorithms:
aes-256, md5, sha1, base64, sha256

Functions:
int_to_char, chr, Create

Win API:
ShowWindow

Win Services:
WebClient

Languages:
python, javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, dump: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2025 года южноамериканский злоумышленник BlindEagle запустил кампанию spear phishing, направленную против Министерства торговли Колумбии, используя скомпрометированную учетную запись для отправки электронных писем с вредоносным вложением. В атаке использовался подход без использования файлов, включающий последовательность фрагментов JavaScript и команд PowerShell для развертывания Caminho, загрузчика вредоносного ПО, который впоследствии установил DCRAT, троян удаленного доступа, известный Регистрацией нажатий клавиш и уклонением от обнаружения с помощью модификации AMSI. Эта кампания демонстрирует продвинутую тактику уклонения, включая Стеганографию, запутывание и использование законных сервисов для размещения вредоносного ПО.
-----

В сентябре 2025 года Zscaler ThreatLabZ сообщил о кампании spear phishing, приписываемой южноамериканскому злоумышленнику BlindEagle, нацеленной на колумбийское правительственное агентство при Министерстве торговли, промышленности и туризма (MCIT). Операция началась с электронного письма с фишингом, отправленного со взломанной учетной записи в агентстве, предназначенного для того, чтобы казаться законным и использовать доверие получателей. В электронном письме содержался мошеннический веб-портал, который имитировал официальный ресурс, используя дизайн на юридическую тематику, чтобы принудительно побудить пользователей открыть вложение.

При взаимодействии с вложением была запущена последовательность атаки без использования файлов, включающая несколько фрагментов JavaScript, за которыми следовала команда PowerShell. Эта команда инициировала загрузку Caminho, загрузчика вредоносного ПО, который, как было установлено, находится в обращении с середины 2025 года. Появление Caminho знаменует собой сдвиг в тактике BlindEagle's от использования отдельных штаммов вредоносного ПО к использованию многоуровневого потока атак. После установки Caminho кульминацией атаки стало развертывание DCRAT — троянца удаленного доступа с открытым исходным кодом (RAT). DCRAT предоставляет такие функции, как Регистрация нажатий клавиш и доступ к диску, и известен своей функцией уклонения от обнаружения с помощью модификации интерфейса сканирования вредоносных программ Microsoft (AMSI).

Цепочка атак включает в себя сложные методы уклонения, такие как использование скриптов в памяти, Стеганография для сокрытия Caminho внутри изображения в формате PNG и разработка законных интернет-сервисов, таких как Discord, для размещения вредоносного ПО. Методы BlindEagle также обфускация JavaScript и PowerShell команды, чтобы увеличить шансы на успешное выполнение снижая механизмов обнаружения.

ThreatLabZ связал эту операцию с BlindEagle на основе различных показателей, включая схемы работы и конкретное вредоносное ПО, включенное в цепочку. Кампания отражает расширенную угрозу, постоянно нацеливаемую на колумбийские учреждения, что требует постоянного мониторинга и оборонительных маневров для смягчения потенциального воздействия на нацеленные учреждения.

#ParsedReport #CompletenessHigh
15-12-2025

Defending against the CVE-2025-55182 (React2Shell) vulnerability in React Server Components

https://www.microsoft.com/en-us/security/blog/2025/12/15/defending-against-the-cve-2025-55182-react2shell-vulnerability-in-react-server-components/

Report completeness: High

Threats:
React2shell_vuln
Cobalt_strike_tool
Meshagent_tool
Vshell
Etherrat
Snowlight
Shadowpad
Xmrig_miner
Trufflehog_tool
Trojan:js/cve-2025-55182.a
Trojan:vbs/cve-2025-55182.da
Lolbin_technique
Bitsadmin_tool

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2025-66478 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 7
Command: 1
Hash: 18
Url: 19
IP: 6
Domain: 10

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Linux, trycloudflare, OpenAI, Azure App Service Microsoft Defender for Endpoint, Node.js, Azure App Service, macOS, curl, have more...

Algorithms:
base64, sha256

Win API:
arc

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость CVE-2025-55182, или React2Shell, является важнейшим удаленное выполнение кода код в серверных компонентах React и фреймворки, такие как Next.js с CVSS оценку 10.0. Это позволяет злоумышленникам выполнять произвольный код на серверах с помощью вредоносного HTTP-запроса, создавая значительные риски в корпоративных настройках, где широко используется React. Эксплуатация воздействие зависит от конфигурации безопасности контейнера, усилив беспокойство по поводу возможного бокового движения внутри облачных сред.
-----

CVE-2025-55182, известная как React2Shell, представляет собой критическую уязвимость для Удаленного Выполнения Кода (RCE), которая затрагивает серверные компоненты React и связанные с ними фреймворки, такие как Next.js . Ему был присвоен балл CVSS 10,0, что делает его крайне тяжелым. Уязвимость позволяет злоумышленникам выполнять произвольный код на уязвимых серверах с помощью одного вредоносного HTTP-запроса. Это особенно важно, поскольку React широко распространен в корпоративных средах, а телеметрия Microsoft Defender показывает, что десятки тысяч устройств во многих организациях используют React или приложения на основе React. Некоторые из этих приложений развертываются внутри контейнеров, и воздействие на хост-систему в значительной степени зависит от конфигураций безопасности контейнера.

Для борьбы с использованием CVE-2025-55182 корпорация Майкрософт усовершенствовала свою систему обнаружения во всех операционных системах для Microsoft Defender для конечных пользователей, предоставляя оповещения о действиях, связанных с этой уязвимостью. Эти предупреждения являются частью механизма автоматического прерывания атак, предназначенного для эффективного предотвращения попыток эксплуатации. Кроме того, Microsoft Defender for Cloud также был обновлен для поддержки обнаружения этой уязвимости с помощью безагентного сканирования контейнеров и облачных виртуальных машин, что позволяет организациям лучше управлять своей системой безопасности.

Организации, использующие Microsoft Defender XDR, могут получать доступ к отчетам threat analytics, которые содержат информацию о действиях злоумышленников, вредоносном поведении и рекомендуемых действиях по устранению связанных угроз. Цель этих отчетов - предоставить пользователям самую свежую информацию о том, как предотвращать, смягчать последствия потенциальных атак или реагировать на них.

Кроме того, Microsoft Security Exposure Management предлагает автоматический анализ путей атак, который определяет незащищенные ресурсы и потенциальные маршруты угроз, выделяя уязвимые облачные вычислительные ресурсы, подверженные уязвимостям RCE, таким как React2Shell. Этот анализ служит для иллюстрации возможных маршрутов перемещения внутри компании, которые злоумышленники могут использовать в средах на различных облачных платформах, включая Azure, AWS и GCP, гарантируя, что организации смогут принимать упреждающие меры для защиты своих активов от этих угроз.