#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость CVE-2025-55182, или React2Shell, является важнейшим удаленное выполнение кода код в серверных компонентах React и фреймворки, такие как Next.js с CVSS оценку 10.0. Это позволяет злоумышленникам выполнять произвольный код на серверах с помощью вредоносного HTTP-запроса, создавая значительные риски в корпоративных настройках, где широко используется React. Эксплуатация воздействие зависит от конфигурации безопасности контейнера, усилив беспокойство по поводу возможного бокового движения внутри облачных сред.
-----

CVE-2025-55182, известная как React2Shell, представляет собой критическую уязвимость для Удаленного Выполнения Кода (RCE), которая затрагивает серверные компоненты React и связанные с ними фреймворки, такие как Next.js . Ему был присвоен балл CVSS 10,0, что делает его крайне тяжелым. Уязвимость позволяет злоумышленникам выполнять произвольный код на уязвимых серверах с помощью одного вредоносного HTTP-запроса. Это особенно важно, поскольку React широко распространен в корпоративных средах, а телеметрия Microsoft Defender показывает, что десятки тысяч устройств во многих организациях используют React или приложения на основе React. Некоторые из этих приложений развертываются внутри контейнеров, и воздействие на хост-систему в значительной степени зависит от конфигураций безопасности контейнера.

Для борьбы с использованием CVE-2025-55182 корпорация Майкрософт усовершенствовала свою систему обнаружения во всех операционных системах для Microsoft Defender для конечных пользователей, предоставляя оповещения о действиях, связанных с этой уязвимостью. Эти предупреждения являются частью механизма автоматического прерывания атак, предназначенного для эффективного предотвращения попыток эксплуатации. Кроме того, Microsoft Defender for Cloud также был обновлен для поддержки обнаружения этой уязвимости с помощью безагентного сканирования контейнеров и облачных виртуальных машин, что позволяет организациям лучше управлять своей системой безопасности.

Организации, использующие Microsoft Defender XDR, могут получать доступ к отчетам threat analytics, которые содержат информацию о действиях злоумышленников, вредоносном поведении и рекомендуемых действиях по устранению связанных угроз. Цель этих отчетов - предоставить пользователям самую свежую информацию о том, как предотвращать, смягчать последствия потенциальных атак или реагировать на них.

Кроме того, Microsoft Security Exposure Management предлагает автоматический анализ путей атак, который определяет незащищенные ресурсы и потенциальные маршруты угроз, выделяя уязвимые облачные вычислительные ресурсы, подверженные уязвимостям RCE, таким как React2Shell. Этот анализ служит для иллюстрации возможных маршрутов перемещения внутри компании, которые злоумышленники могут использовать в средах на различных облачных платформах, включая Azure, AWS и GCP, гарантируя, что организации смогут принимать упреждающие меры для защиты своих активов от этих угроз.

#ParsedReport #CompletenessMedium
15-12-2025

LLMs & Ransomware \| An Operational Accelerator, Not a Revolution

https://www.sentinelone.com/labs/llms-ransomware-an-operational-accelerator-not-a-revolution/

Report completeness: Medium

Actors/Campaigns:
Gentlemen_ransomware
Shinyhunters
Dragonforce

Threats:
Lockbit
Conti
Revil
Termite
Punisher
Obscura
Babuk2
Qilin_ransomware
Blackcat
Promptlock
Quietvault
React2shell_vuln
Seo_poisoning_technique
Amos_stealer
Spamgpt_tool

Victims:
Ransomware victims, Macos users, Linux users

Industry:
Healthcare, Financial

Geo:
Japanese, German, Spanish, Turkish, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059, T1068, T1102, T1190, T1204, T1486, T1566, T1583, T1587, have more...

Soft:
Ollama, Claude, macOS, Linux

Wallets:
metamask, electrum, trezor, exodus_wallet, solflare

Algorithms:
base64

Functions:
AI-augmented

Languages:
javascript

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Большие языковые модели (LLM) все чаще используются операторами программ-вымогателей для повышения операционной эффективности без изменения основной тактики, облегчая такие задачи, как фишинг и создание уведомлений о выкупе на нескольких языках. Злоумышленники часто предпочитают автономные LLM с открытым исходным кодом, чтобы избежать обнаружения, используя их для автоматизации принятия решений в схемах вымогательства и улучшения возможностей таргетинга. Расширяющееся использование LLMS в киберпреступности, включая оперативную smuggling и сложные методы ведения переговоров, создает значительные проблемы в поддержании защиты от кибербезопасности.
-----

SentinelLabs подчеркивает, что большие языковые модели (LLM) повышают эффективность операций программ-вымогателей без фундаментального изменения их основных методов. Участие LLM в первую очередь ускоряет различные этапы жизненного цикла программ-вымогателей, включая разведку и фишинг, а также позволяет поддерживать многоязычную связь с потенциальными жертвами. Однако это не приводит к каким-либо существенным изменениям в тактике или технике. Примечательно, что злоумышленники предпочитают автономные модели с открытым исходным кодом, подобные моделям Ollama, чтобы обойти ограничения, налагаемые крупными поставщиками LLM.

Операторы программ-вымогателей все чаще внедряют стандартные корпоративные рабочие процессы, используя LLMS для составления фишингов -сообщений и заметок о выкупе на языке жертвы, тем самым улучшая свои возможности таргетинга. Это отражает то, как законные предприятия используют LLMS для обработки данных, подчеркивая тревожную конвергенцию методологий. Кроме того, вредоносные задачи часто разбиваются на, казалось бы, безобидные компоненты, что позволяет акторам снизить риски обнаружения, выполняя запросы в нескольких сеансах и моделях, прежде чем объединять выходные данные в автономном режиме.

Примером автоматизации в программах-вымогателях может служить кампания, в которой использовался код Claude для автономной обработки различных аспектов схемы вымогательства, отбора данных для эксфильтрации и установления суммы выкупа на основе анализа, выполненного моделью. Другой инновационный, но злонамеренный вариант использования связан с вредоносным ПО, таким как QUIETVAULT, которое использует локально размещенные инструменты командной строки искусственного интеллекта для расширения возможностей кражи данных, осуществляя поиск конфиденциальной информации в файлах жертв путем внедрения вредоносных подсказок.

В области разработки эксплойтов быстрое распространение PoC-эксплойта для уязвимости под названием React2Shell, созданного LLM, подчеркивает риск дезинформации, поскольку многие такие эксплойты могут быть скорее спекулятивными, чем применимыми. На фронте социальной инженерии акторы используют LLM для создания качественного контента, который вводит пользователей в заблуждение, что приводит к установке вредоносного ПО.

Забегая вперед, можно сказать, что интеграция LLM в программы-вымогатели, вероятно, будет развиваться, превращая в товар такие методы, как "быстрая smuggling", когда злоумышленники используют несколько моделей, чтобы избежать обнаружения. Это позволит использовать сложные переговорные агенты и ускорит разработку и развертывание вредоносного ПО. Команды программ-вымогателей выиграют от повышения операционной эффективности и расширения возможностей, что может привести к более точному выявлению целей и более разрушительным стратегиям вымогательства.

По мере того как злоумышленники переходят на автономные LLM, они могут избежать пристального внимания, присущего основным моделям, что усложняет защитные меры и снижает видимость, которую обеспечивают существующие ограждения. Последствия внедрения LLM в сфере киберпреступности указывают на острую необходимость в бдительности и адаптации специалистов по кибербезопасности для противодействия более гибкому и способному противнику.

#ParsedReport #CompletenessLow
16-12-2025

Cryptomining campaign targeting Amazon EC2 and Amazon ECS

https://aws.amazon.com/blogs/security/cryptomining-campaign-targeting-amazon-ec2-and-amazon-ecs/

Report completeness: Low

Actors/Campaigns:
Yenik65958

Victims:
Aws customers, Cloud infrastructure users

Geo:
Asia

TTPs:
Tactics: 4
Technics: 0

IOCs:
Domain: 4

Soft:
GuardDuty, Docker, AWS Fargate, FARGATE

Functions:
GetServiceQuota, CreateServiceLinkedRole, CreateRole, CreateService, CreateLaunchTemplate, CreateAutoScalingGroup, CreateFunctionUrlConfig, CreateUser, CreateAccessKey, CreateLoginProfile, have more...

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по добыче криптовалюты, нацеленная на сервисы Amazon EC2 и ECS, использовала скомпрометированные учетные данные пользователя IAM с повышенными привилегиями. Злоумышленники изначально обращались окружающей среды за счет аномального сетей, выполняя разведка и прощупывание нормы обслуживания до развертывания вредоносных образов Docker для майнинга через ФОВ кластера. Примечательно, что они изменили атрибуты экземпляра EC2, чтобы предотвратить завершение работы, уклоняясь от реагирования на инциденты, в то время как усилиям по обнаружению способствовали многоуровневая идентификация аномалий GuardDuty и расширенные возможности обнаружения угроз.
-----

Кампания по добыче криптовалюты, нацеленная на сервисы Amazon EC2 и ECS, впервые была замечена 2 ноября 2025 года, в основном с использованием скомпрометированных учетных данных пользователя IAM с повышенными привилегиями. Первоначальный доступ был получен благодаря использованию этих учетных данных из аномальных сетей, что вызвало обнаружение Amazon GuardDuty. Злоумышленники провели разведку среды, в частности, проверили квоты служб EC2, чтобы определить их возможности развертывания. Систематический характер их исследования включал многократный вызов API RunInstances с флагом DryRun для оценки разрешений перед выполнением вредоносных действий.

Во время их работы злоумышленник создал множество кластеров ECS — в некоторых случаях более 50 — и зарегистрировал вредоносный образ Docker Hub для задач криптодобычи через RegisterTaskDefinition API. Они использовали конкретные параметры запроса для настройки этих задач, что привело к развертыванию операций крипто-майнинга на ECS с использованием узлов Fargate.

Заметным использованным методом закрепления была модификация атрибутов экземпляра EC2, которая отключала завершение работы API, тем самым препятствуя усилиям по реагированию на инциденты. Это эффективно защищало их операции по добыче полезных ископаемых от прекращения в результате случайных административных действий или автоматизированных процедур, предназначенных для устранения нарушений.

Многоуровневая методология обнаружения GuardDuty доказала свою решающую роль в выявлении всех этапов цепочки атак, используя комбинацию анализа угроз и обнаружения аномалий. Что касается результатов EC2, GuardDuty может предупреждать о подозрительном поведении сети, указывающем на потенциальную деятельность по крипто-майнингу, включая попытки входа в систему методом грубой силы и подключения к известным вредоносным доменам. Кроме того, результаты IAM имели решающее значение для выявления скомпрометированных учетных данных путем обнаружения аномального поведения, связанного с действиями пользователя, которое включало необычные вызовы API.

Мониторинг времени выполнения, ключевая функция GuardDuty, позволял получить представление о действиях на уровне хоста, подтверждая выполнение процессов крипто-майнинга с помощью конкретных результатов, которые выявляли как сетевые подключения к доменам, связанным с криптографией, так и выполнение процессов, связанных с майнингом. Кроме того, недавно внедренные расширенные возможности обнаружения угроз в GuardDuty используют искусственный интеллект и машинное обучение для сопоставления данных из нескольких источников, помогая выявлять сложные схемы атак в скомпрометированных группах ресурсов EC2.

#ParsedReport #CompletenessHigh
16-12-2025

The APT35 Dump Episode 4: Leaking The Backstage Pass To An Iranian Intelligence Operation

https://dti.domaintools.com/the-apt35-dump-episode-4-leaking-the-backstage-pass-to-an-iranian-intelligence-operation/

Report completeness: High

Actors/Campaigns:
Charming_kitten (motivation: information_theft, financially_motivated, hacktivism, sabotage, politically_motivated, cyber_espionage, propaganda)
Mosesstaff (motivation: financially_motivated, hacktivism, sabotage, cyber_espionage, propaganda)
Irgc (motivation: financially_motivated, cyber_espionage, sabotage, propaganda)

Threats:
Credential_harvesting_technique
Pydcrypt
Dcsrv
Strifewater_rat
Spear-phishing_technique

Victims:
Journalists, Dissidents, Soldiers, Defense engineers, Municipal employees, Lawyers, It administrators, Israeli institutions

Industry:
Critical_infrastructure, E-commerce, Petroleum, Financial, Military, Telco, Education, Logistic, Energy, Government

Geo:
Netherlands, Israel, Cyprus, Iranian, Korea, Tehran, Israeli, Bulgarian, Russian, Bulgaria, Kuwait, American, Iran, Saudi arabia

TTPs:
Tactics: 13
Technics: 28

IOCs:
File: 3
Url: 3
IP: 7
Domain: 15
Email: 21
Coin: 26

Soft:
ProtonMail, WordPress, Microsoft Exchange, Ivanti

Crypto:
bitcoin

Algorithms:
exhibit

Platforms:
arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT35, известный как Charming Kitten, является иранским злоумышленником, который использует структурированный и бюрократический подход к кибероперациям, тщательно управляя ресурсами с помощью системы, подобной бухгалтерской. Их операции включают в себя нацеленную психологическую войну против израильских граждан, используя индивидуальные методы фишинга, разведку и одноразовые удостоверения личности для каждой кампании, чтобы свести к минимуму разоблачение. Методы, описанные в платформе MITRE ATT&CK, включают Активное сканирование, фишинг страниц для получения первоначального доступа и использование поддельных удостоверений личности для сокрытия их истинных мотивов.
-----

APT35, также известный как Charming Kitten, является иранским злоумышленником, известным бюрократическим подходом к кибероперациям. Недавние утечки раскрывают подробную систему управления инфраструктурой, отслеживающую ресурсы, такие как арендованные серверы и зарегистрированные домены. Кибератаки с помощью APT35 рассматриваются как процессы, регулируемые бюджетными ограничениями. Группа использует небольшие криптовалютные транзакции для управления ресурсами, обрабатываемые через Cryptomus для анонимных платежей. APT35 работает по модели подписки для киберопераций. Подразделение Moses Staff нацелено на израильский государственный персонал для ведения психологической войны в соответствии с доктриной асимметричной войны Ирана. APT35 использует операции разведки и фишинга с помощью специально разработанных электронных писем и одноразовых удостоверений личности, чтобы свести к минимуму разоблачение. Методы включают Активное сканирование, фишинг-страницы для первоначального доступа и одноразовые учетные записи ProtonMail для закрепления. Они также используют тактику Маскировки, чтобы имитировать организации из Израиля, США или Европы. В целом, операции APT35's сочетают в себе традиционные бюрократические методы с передовыми технологиями ведения информационной войны.

#ParsedReport #CompletenessHigh
17-12-2025

Phantom 3.5: Initial Vector Analysis & Forensics

https://labs.k7computing.com/index.php/phantom-3-5-initial-vector-analysis-forensics/

Report completeness: High

Threats:
Phantom_stealer
Process_injection_technique
Procdump_tool
Heavens_gate_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1539, T1555

IOCs:
Url: 2
File: 1
Hash: 5

Soft:
BLACKHAWK, Chromium, Chrome, outlook, Discord, Firefox, Telegram, Twitter

Algorithms:
base64, rc4, aes, md5

Win API:
WriteProcessMemory, VirtualAllocEx, ResumeThread

Languages:
javascript, powershell

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, code: 21, dump: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Phantom 3.5 - это вредоносное ПО-стиллер, которое нацелено на конфиденциальные данные, извлекая пароли пользователей, файлы cookie браузера, данные кредитной карты и учетные данные криптовалютного кошелька, что приводит к краже личных данных и захвату учетных записей. После установки в систему он также может способствовать дальнейшим кибератакам, используя скомпрометированный компьютер. Это вредоносное ПО является примером растущих угроз в области кибербезопасности, подчеркивая важность обнаружения и устранения таких атак.
-----

Phantom 3.5 - это вредоносное ПО-стиллер, которое компрометирует конфиденциальные данные из зараженных систем, что делает его серьезной угрозой в сфере киберпреступности. Вредоносное ПО предназначено для извлечения различных типов ценной информации, включая пароли пользователей, файлы cookie браузера, данные кредитной карты, учетные данные криптовалютного кошелька и даже IP-адреса жертвы. Такой сбор данных может способствовать краже личных данных и захвату учетных записей, создавая серьезные риски как для отдельных лиц, так и для организаций.

После установки Phantom 3.5 потенциально может превратить зараженный компьютер в платформу для более масштабных кибератак. Собранная информация не только помогает в прямой краже, но и может заложить основу для организации более сложных атак, используя скомпрометированную систему в качестве стартовой площадки. Эта возможность подчеркивает роль вредоносного ПО в более широком контексте угроз кибербезопасности, когда первоначальная кража данных может привести ко все более изощренным и разрушительным эксплойтам. Использование Phantom 3.5 подчеркивает необходимость принятия надежных мер по кибербезопасности для обнаружения и смягчения воздействия такого вредоносного ПО.

#ParsedReport #CompletenessHigh
16-12-2025

Parked Domains Become Weapons with Direct Search Advertising

https://blogs.infoblox.com/threat-intelligence/parked-domains-become-weapons-with-direct-search-advertising/

Report completeness: High

Actors/Campaigns:
Master134

Threats:
Fastflux_technique
Typosquatting_technique
Residential_proxy_technique
Tedy
Clickfix_technique
Babar
Cloaking_technique

Industry:
Financial, Education, Entertainment

Geo:
Canadian, Japanese, Russian

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1204.001, T1568.002, T1583.001, T1584.004, T1592.004, T1608.001, T1608.004

IOCs:
Domain: 24
Email: 1
File: 1
Hash: 3
IP: 1
Url: 1

Soft:
chrome, linux, Gmail, Opera GX, Firefox

Algorithms:
sha256, base64, zip

Languages:
javascript

Links:
https://github.com/infobloxopen/threat-intelligence

#ParsedReport #ExtractedSchema

Classified images:
chats: 1, schema: 2, windows: 2, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Припаркованные домены все чаще используются злоумышленниками-акторами для направления пользователей на вредоносные целевые страницы, используя сложные рекламные экосистемы, которые скрывают атрибуцию. Проанализированные случаи, такие как Scotaibank.com , выявляют запутанные пути перенаправления, которые подвергают пользователей воздействию вредоносного ПО и мошеннических действий, в то время как владельцы доменов извлекают выгоду из typosquatting и сложной техники "двойного" fast flux, которая усложняет отслеживание их вредоносных действий. Эта среда создает значительные риски для ничего не подозревающих пользователей Интернета, о чем свидетельствует растущее распространение доменов-двойников и манипулирование потоками трафика.
-----

Припаркованные домены, часто воспринимаемые как безобидные пространства, заполненные рекламой, превратились в серьезную киберугрозу из-за манипуляций с ними злонамеренными акторами и сложных рекламных экосистем. Исследования показывают, что когда пользователи посещают эти припаркованные домены, они часто попадают на вредоносные целевые страницы, причем большая часть трафика продается партнерским рекламным сетям. Такое несоответствие между припаркованным доменом и окончательной рекламой усложняет атрибуцию и представляет значительный риск для ничего не подозревающих пользователей.

Одним из наглядных примеров этих рисков является случай Scotaibank.com , где тщательный анализ выявил сложные пути перенаправления, ведущие к различным опасностям, включая вредоносное ПО, мошенничество и нерелевантный контент. Обнаруженные целевые страницы варьировались от подозрительных до откровенно вредоносных, демонстрируя, как распределение трафика по припаркованным доменам может создать опасную среду для пользователей Интернета.

Злонамеренные рекламодатели играют значительную роль в этом ландшафте угроз; однако владельцы доменов — физические или юридические лица, владеющие большими портфелями доменов, — в равной степени виновны. Эти доменщики часто владеют многочисленными доменами-двойниками, которые используют распространенные опечатки, направляя трафик на потенциально вредоносную рекламу. Монетизация этих доменов представляет собой прибыльную бизнес-модель, которую используют многие владельцы доменов, повышая ставки для пользователей, непреднамеренно попадающих на эти страницы.

Кроме того, некоторых владельцев доменов участвовать в технике сродни "двойной" fast flux, изменяя оба сервера имен и IP-адресов, связанных с их припаркованных доменах. Этот метод усложняет отслеживание, тем самым скрывая вредоносные действия, связанные с этими доменами. Редко используется из-за его сложности, использование двойных fast flux демонстрирует сложный уровень уклонения от нанятых актеров опасный, С около 80 000 доменов в свой портфель.

Еще одним тревожным аспектом является использование typosquatting, когда акторам нравится тот, кто стоит за domaincntrol.com используйте распространенные типографские ошибки в записях DNS для перенаправления пользователей на потенциально вредоносный контент. Было отмечено, что эта специфическая стратегия нацелена на пользователей Cloudflare DNS, что еще больше увеличивает риск.

#cyberthreattech

Вышла новая карта российского рынка информационной безопасности 2025, теперь мы там тоже есть :)

#ParsedReport #CompletenessMedium
17-12-2025

Operation ForumTroll continues: Russian political scientists targeted using plagiarism reports

https://securelist.com/operation-forumtroll-new-targeted-campaign/118492/

Report completeness: Medium

Actors/Campaigns:
Forumtroll
Memento_labs

Threats:
Leetagent
Dante
Com_hijacking_technique
Tuoni_tool
Spear-phishing_technique

Victims:
Political scientists, International relations scholars, Global economics scholars, Universities, Research institutions

Industry:
Education

Geo:
Russian, Russian federation, Russia, Belarus

CVEs:
CVE-2025-2783 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<134.0.6998.177)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1204, T1546.015, T1566, T1583.001

IOCs:
Email: 1
Domain: 4
Url: 1
IP: 1
Path: 1
Registry: 1

Soft:
Google Chrome

Algorithms:
zip

Languages:
php, powershell