#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-55182 - это серьезная уязвимость Удаленного Выполнения Кода в React2Shell, которая широко использовалась, было зарегистрировано более 68 000 запросов, преимущественно направленных на эксфильтрацию данных. Ботнет InfectedSlurs и Rondo использовали эту уязвимость, сосредоточившись на развертывании полезных нагрузок Mirai и XMRig, в то время как Outlaw Botnet также начал использовать ее, используя методы майнинга криптовалют. Эта тенденция указывает на сдвиг среди злоумышленников в сторону концентрированных стратегий эксплуатации, подчеркивая необходимость проявлять бдительность в отношении возникающих угроз, связанных с широко распространенными структурами, такими как React.js и Next.js .
-----

CVE-2025-55182 был признан существенной уязвимостью Удаленного Выполнения Кода (RCE), используемой в компоненте React2Shell. Анализ данных honeypot с момента раскрытия уязвимости по 9 декабря выявил более 68 000 запросов, связанных с этим эксплойтом. Из них примерно 97% были попытками использовать RCE, но только около 5000 из них содержали вредоносный код, направленный на эксфильтрацию данных или получение дополнительной полезной нагрузки.

Ботнет InfectedSlurs, активный с 2023 года, быстро внедрил React2Shell в свою деятельность. Этот ботнет обычно развертывает полезные нагрузки как Mirai, так и XMRig. Другой известный ботнет, Rondo, также начал использовать уязвимость React2Shell, перейдя от использования широкого спектра эксплойтов к сосредоточению преимущественно на этой единственной уязвимости по состоянию на 6 декабря. Это знаменует собой значительный методологический сдвиг среди злоумышленников в сторону концентрированных стратегий использования.

Параллельно Outlaw Botnet, который функционирует с 2018 года и обменивается данными через IRC, начал использовать уязвимость в тот же день и продолжает активно участвовать в этих усилиях. Преобладающим методом эксплуатации, наблюдаемым у различных акторов, является внедрение программного обеспечения для майнинга криптовалют, которое служит простым, но прибыльным подходом для злоумышленников, нацеленных на уязвимые сервисы. Конкурентный характер этих угроз очевиден, поскольку акторы часто пытаются удалить конкурирующее программное обеспечение для майнинга из скомпрометированных систем и могут даже применять исправления к уязвимостям, чтобы сохранить контроль над ресурсами.

Кроме того, ботнет Mirai и его разновидности по-прежнему широко используются для сканирования и эксплуатации уязвимых устройств Интернета вещей. Наблюдения за эксплуатационной активностью с участием Mirai были особенно отмечены в период с 6 по 9 декабря. Быстрое использование уязвимости React2Shell подчеркивает гибкость злоумышленников в использовании критических уязвимостей, особенно учитывая широкое использование React.js и Next.js фреймворки. В то время как некоторые виды эксплуатации, такие как майнинг, могут показаться менее опасными, наличие более сложных угроз со стороны ботнет, таких как InfectedSlurs, Rondo и Outlaw, создает значительные риски, особенно из-за возможности контроля данных и эксфильтрации. Эти результаты представляют собой лишь фрагмент продолжающихся эксплуатаций, связанных с уязвимостью.

#ParsedReport #CompletenessLow
19-12-2025

27,500 Aussie Uni Records Dumped in Code Repo Catastrophe

https://www.secureblink.com/cyber-security-news/27-500-aussie-uni-records-dumped-in-code-repo-catastrophe

Report completeness: Low

Threats:
Spear-phishing_technique

Victims:
University of sydney, Higher education

Industry:
Education

Geo:
Sydney, Australian

TTPs:
Tactics: 6
Technics: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В Сиднейском университете произошла утечка данных о 27 500 сотрудниках и студентах, связанная со взломом средств контроля доступа или кражей учетных данных, причем первоначальный доступ, вероятно, был получен через общедоступные приложения или Существующие учетные записи в облачном сервисе. Атака использовала уязвимости в системах разработки программного обеспечения, используя такие методы, как получение учетных данных с помощью брутфорса или фишинга, а также эксфильтрацию данных по протоколу HTTPS. Инцидент вызывает опасения по поводу потенциальной кражи личных данных и нацеленных атак фишинга на затронутых лиц.
-----

Взлом в Сиднейском университете привел к раскрытию 27 500 записей сотрудников и студентов через взломанное онлайн-хранилище кода, вероятно, из-за компрометации учетных данных или сбоев в контроле доступа. Этот инцидент, обнаруженный в начале-середине декабря 2025 года, вызвал серьезные опасения по поводу безопасности, поскольку выявил уязвимости, связанные с менее строго защищенными системами, которые обычно используются для разработки программного обеспечения, такими как GitLab или GitHub, а не с основными базами данных, такими как студенческие или кадровые системы.

Атака, по-видимому, использовала слабые средства контроля доступа, потенциально используя методы, соответствующие платформе MITRE ATT&CK. Первоначальный доступ мог быть получен путем использования общедоступных приложений или путем использования Существующих учетных записей, связанных с облачным сервисом, в котором размещалось хранилище кода. Методы обхода защиты, хотя и не подтвержденные, могли включать манипулирование журналами, чтобы скрыть нарушение. Методы получения учетных данных могут включать атаки брутфорсом или кампании фишинга для извлечения конфиденциальной информации, необходимой для получения первоначального доступа к хранилищу.

Сбор данных был облегчен благодаря прямому доступу к серверу хранилища, что позволило злоумышленникам извлечь конфиденциальную личную информацию (PII). При эксфильтрации, возможно, использовались стандартные Веб-протоколы, такие как HTTPS, что делало ее менее обнаруживаемой. В ответ на инцидент университет изменил свои правила обнаружения, чтобы гарантировать, что политики предотвращения потери данных (DLP) помечают эксфильтрацию определенных конфиденциальных шаблонов из непроизводственных сред. Кроме того, основное внимание уделялось расследованию необычного исходящего трафика, исходящего с IP-адресов подсети разработки.

Чтобы снизить подобные риски в будущем, университету рекомендуется провести всестороннее сканирование всех непроизводственных систем для выявления любых теневых данных, которые могут содержать незашифрованные производственные PII. Внедрение строгого контроля доступа на основе ролей (RBAC) и обязательной Многофакторной аутентификации (MFA) на платформах разработки и совместной работы имеет решающее значение. Кроме того, проверка учетных записей пользователей на предмет удаления устаревших или чрезмерных привилегий, наряду с отделением сетей разработки от производственных сред, может значительно снизить вероятность перемещения внутри компании злоумышленников после взлома.

Последствия этого нарушения выходят за рамки немедленного раскрытия данных, повышая риск кражи личных данных и нацеленных атак фишинга. Пострадавшим лицам рекомендуется проявлять особую бдительность в отношении любых сообщений, в которых могут содержаться ссылки на личные данные в результате такого воздействия.

#ParsedReport #CompletenessMedium
18-12-2025

Acronis TRU Alliance {Hunt.io}: Hunting DPRK threats - New Global Lazarus & Kimsuky campaigns

https://www.acronis.com/en/tru/posts/acronis-tru-alliance-huntio-hunting-dprk-threats-new-global-lazarus-and-kimsuky-campaigns/

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: cyber_espionage)
Kimsuky (motivation: cyber_espionage)
Famous_chollima
Bluenoroff
Smoothoperator

Threats:
Clickfix_technique
Supply_chain_technique
Badcall
Poolrat
Passview_tool
Fastreverseproxy_tool
Opendir_technique
Credential_harvesting_technique
Http_troy
Blindingcan
Memload
Passwordfox_tool
Netpass_tool
Dialupass_tool
Pstpassword_tool
Rclone_tool
Mythic_c2
Quasar_rat
Sqlmap_tool
Masscan_tool
Nmap_tool
Ngrok_tool
Microsocks_tool
Frpc_tool
Impacket_tool
Nuclei_tool
Mimikatz_tool

Geo:
Singapore, Hong kong, Korean, Chinese, Dprk, Dutch, Ireland

ChatGPT TTPs:
do not use without manual check
T1090, T1105, T1199, T1555, T1583.004, T1584.004, T1587.003, T1588.002

IOCs:
Hash: 8
IP: 38
Domain: 1
File: 12

Soft:
Linux, twitter, Burp Suite

Algorithms:
zip, exhibit, sha256

Functions:
Fake_Cmd, logMessage

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследования в отношении северокорейских злоумышленников, в частности групп Lazarus и Kimsuky, выявили продвинутые кампании, использующие общие инструменты для сбора учетных записей и вредоносного ПО. Эти спонсируемые государством акторы эксплуатируют операционные схемы, используя такие методы, как туннели быстрого обратного прокси (FRP) и промежуточные области открытых каталогов. Недавние кампании, в том числе одна, замаскированная под приложение NVIDIA для работы, используют такие инструменты, как MailPassView, для кражи учетных данных, подчеркивая последовательное использование методологий атак, которые помогают отслеживать их действия.
-----

Недавние расследования в отношении северокорейских хакерских группировок, занимающихся киберугрозами, в частности групп Lazarus и Kimsuky, выявили серию изощренных кампаний, использующих как оперативные схемы, так и передовые инструменты. Эти злоумышленники, спонсируемые государством, очень активны и занимаются широким спектром вредоносных действий, включая шпионаж и Кражу денежных средств, используя общий набор инструментов, включающий инструменты для сбора учетных записей и вредоносное ПО.

Проведенный анализ выявил известные операционные методологии этих групп. Они регулярно используют открыть каталоги для сосредоточения их деятельности и демонстрировать последовательное поведение, как развертывание комплекты для кражи учетных данных и с помощью быстрого обратного прокси (ФРП) тоннели. Эти ФРП установок работают на одинаковых портов для различных виртуальных частных серверов (VPS), демонстрируя общую инфраструктуру, которая упрощает отслеживание их деятельности не смотря на различия во вредоносное ПО и приманки атаки.

В исследовании были выделены конкретные кампании, такие как недавняя операция группы Lazarus, замаскированная под процесс подачи заявок на работу в NVIDIA, которая была раскрыта для облегчения кражи учетных данных с использованием таких инструментов, как MailPassView и WebBrowserPassView. Продолжающийся поиск этих действий включал анализ группы Lazarus с помощью IOC Hunter, который, следовательно, выявил сложную связь между инфраструктурой группы и множеством других связанных доменов.

В ходе нескольких оперативных охот были выявлены последовательные закономерности, которые оказались критически важными для защитников. Одни и те же наборы инструментов для кражи учетных данных использовались в нескольких кампаниях в сочетании с повторным использованием сертификатов, связывающих разрозненные кластеры действий с одними и теми же злоумышленниками. Такое стабильное поведение позволяет эффективно отслеживать операции, связанные с КНДР, помогая в оборонительных стратегиях, даже если полезная нагрузка для конкретной кампании может измениться.

#ParsedReport #CompletenessMedium
19-12-2025

I am not a robot: ClickFix used to deploy StealC and Qilin

https://news.sophos.com/en-us/2025/12/18/i-am-not-a-robot-clickfix-used-to-deploy-stealc-and-qilin/

Report completeness: Medium

Actors/Campaigns:
Qilin

Threats:
Clickfix_technique
Stealc
Qilin_ransomware
Netsupportmanager_rat

Industry:
E-commerce

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1055.001, T1105, T1189, T1553.005

IOCs:
Domain: 2
Url: 2
File: 2
Path: 1
IP: 1
Hash: 4

Algorithms:
sha1, sha256, md5, zip

Languages:
php, javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 1, windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники осуществили кибератаку, включающую поддельный процесс верификации человеком, для распространения стиллера StealC и программ-вымогателей Qilin через скомпрометированный сайт. Цепочка заражения была инициирована вредоносным скриптом, который загрузил троян удаленного доступа NetSupport (RAT), который, в свою очередь, извлек пакет StealC V2 в ZIP-файле. Кроме того, загруженная сбоку DLL-библиотека с именем rtworkq.библиотека dll была использована для запуска вредоносного ПО StealC, что подчеркивает сложные методологии, используемые в этой атаке.
-----

В недавнем кибер-инциденте злоумышленники использовали поддельный процесс проверки человеком для доставки стиллера StealC и Qilin Ransomware. Эта цепочка атак началась, когда жертвы посетили скомпрометированный веб-сайт, aquafestonline.com , который содержал вредоносный скрипт. Скрипт был разработан для получения запутанного внешнего файла JavaScript (d.js) с внешнего сервера, islonline.org , облегчающий начальные стадии атаки.

Основным методом заражения было внедрение троянца удаленного доступа NetSupport (RAT). RAT отвечал за загрузку пакета StealC V2, который был заархивирован в ZIP-файл, идентифицированный хэш-значениями 0c71102046bea598d2369d2fca664472 для ZIP-архива, и дополнительными хэшами для его содержимого. Основные полезные нагрузки включали client32.exe , который также содержал конкретные идентифицируемые хэши, такие как 98dd757e1c1fa8b5605bda892aa0b82ebefa1f07 для самого исполняемого файла.

Кроме того, в атаке использовался вредоносный DLL-файл с именем rtworkq.dll , который был загружен для выполнения вредоносного ПО StealC. Эта библиотека DLL играла жизненно важную роль в инфраструктуре атаки, гарантируя, что полезная нагрузка может успешно выполняться в системе жертвы.

Индикаторы угрозы, связанные с этим инцидентом, подчеркивают сложный характер атаки и предоставляют важные данные для обнаружения и анализа. Серия хэшей SHA1 и SHA256, относящихся к полезной нагрузке StealC, NetSupport RAT и ZIP-файлам, необходима командам безопасности, стремящимся выявлять и смягчать воздействие таких инфекций в своих средах. В целом, этот инцидент подчеркивает постоянную эволюцию киберугроз и использование сложных методов для компрометации жертв.

#ParsedReport #CompletenessHigh
20-12-2025

APT36 sample analysis

https://www.ctfiot.com/287443.html

Report completeness: High

Actors/Campaigns:
Transparenttribe

Victims:
Government sector, Information technology sector

Industry:
Military, Iot

Geo:
Pakistan, India, Chinese, Indian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1105, T1204, T1204.002, T1204.004, T1218.005

IOCs:
Hash: 21
File: 27
Registry: 2
Url: 2
IP: 3
Command: 2

Soft:
Linux, systemd, PyInstaller, Zoom, WeChat

Algorithms:
aes, zip, xor, sha1, gzip, aes-ecb, sha256, base64, md5

Functions:
listall, upload, download, zip, runcmd, python, screenshot, clean, crack, CanPingGoogleDns, have more...

Win API:
gethostname, decompress, deletefile

Languages:
python, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36 использует два метода для развертывания вредоносного ПО в системах Linux и Windows, маскируя Вредоносные файлы под законные документы. В Linux он создает каталог ".local" и загружает файлы, выполняя скрипт, который открывает потенциально опасный PDF-файл. В Windows он использует вредоносный файл LNK для запуска выполнения встроенного кода с помощью `mshta.exe `, который запускает вредоносное HTML-приложение, что указывает на стратегию социальной инженерии, основанную на доверии пользователей.
-----

Было замечено, что APT36 использует два различных метода для запуска вредоносного ПО на платформах Linux и Windows, уделяя особое внимание распространению Вредоносных файлов, замаскированных под законные документы.

В Linux атака начинается с создания каталога `.local` с определенными разрешениями (0755), за которым следует загрузка трех файлов с целевого URL: `gkt3.1`, `gkt3.sh `, и "ПРИЛОЖЕНИЕ ДЛЯ ОБНОВЛЕНИЯ.pdf`. Тот самый `gkt3.sh После этой загрузки выполняется скрипт, который впоследствии использует команду "xdg-open" для открытия PDF-файла, что потенциально может привести к дальнейшей эксплуатации или запуску вредоносного ПО.

И наоборот, на платформах Windows APT36 использует вредоносный ярлык (файл LNK) с именем "APPL ДЛЯ ОБНОВЛЕНИЯ ИДЕНТИФИКАТОРА ЭЛЕКТРОННОЙ ПОЧТЫ НА ОСНОВЕ ИМЕНИ и ОФИЦИАЛЬНОЙ СЕТЕВОЙ КАРТЫ.pdf.LNK`. Этот файл инициирует выполнение встроенного кода с помощью `mshta.exe `инструмент, законное системное приложение Windows. Ярлык загружает и запускает вредоносное HTML-приложение `app.hta` (идентифицируемое по хэшу MD5 90796ed66e7f5f36b6317e6bdf9718ce), которое представляет значительную угрозу, способствуя дальнейшему компрометированию системы.

Используемые методы отражают стратегический подход к социальной инженерии, использующий знакомые названия документов, чтобы заманить жертв к запуску вредоносного ПО, тем самым подчеркивая сохраняющуюся тенденцию в киберугрозах, когда злоумышленники используют доверие пользователей к официальным сообщениям.

#ParsedReport #CompletenessMedium
17-12-2025

NuGet malware targets Nethereum tools

https://www.reversinglabs.com/blog/nuget-malware-crypto-oauth-tokens

Report completeness: Medium

Threats:
Nethereumnet
Supply_chain_technique

Victims:
Crypto users, Software developers

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1195, T1204, T1528, T1552, T1565

IOCs:
File: 1
Url: 1
Hash: 265

Soft:
NuGet, Nethereum, Twitter

Wallets:
bitcoincore, coinbase

Crypto:
solana, ethereum, binance

Algorithms:
xor, exhibit, sha1

Languages:
csharp, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ReversingLabs выявила вредоносные пакеты на платформах с открытым исходным кодом, нацеленные на разработчиков криптовалют, число которых увеличится с 2024 по 2025 год. Вредоносное ПО включает в себя специализированные стиллеры кошельков, которые маскируют вредоносный код в законных приложениях, пакеты NuGet, такие как Coinbase.Net.Api, которые манипулируют методами транзакций для перекачки средств, и GoogleAds.Пакет API, который извлекает данные OAuth. Эти атаки используют уязвимости в Цепочке поставок программного обеспечения с открытым исходным кодом, позволяя злоумышленникам создавать бесшумные бэкдоры.
-----

ReversingLabs выявила серию вредоносных пакетов на платформах программного обеспечения с открытым исходным кодом, в частности, нацеленных на разработчиков и пользователей криптовалют. Эта тенденция, которая начала усиливаться в 2024 году и сохранялась до 2025 года, указывает на значительный поворот злоумышленников к использованию криптографических приложений для получения финансовой выгоды.

Самое вредоносное ПО можно разделить в основном на три группы. Первая группа включает в себя специализированные кошелек похитителей, которые не сразу выполнить вредоносный код после установки, в отличие от обычных вредоносное ПО. Вместо этого, эти пакеты предназначены, чтобы замаскировать вредоносный код внутри легитимной базы кода. Это скрытый способ позволяет вредоносное ПО, которые должны быть включены в приложения, не вызывая немедленное подозрение.

Вторая группа включает специальные пакеты NuGet, такие как Coinbase.Net.Api, которые аналогичным образом внедряют вредоносные функции. В рамках этой платформы злоумышленник может манипулировать методом SendMoneyAsync, который обрабатывает транзакции с криптовалютой. Изменив адрес целевого кошелька на адрес, контролируемый злоумышленником, можно незаметно вывести средства из транзакций на сумму более 100 долларов, особенно во время небольших транзакций, которые представляют меньший риск срабатывания предупреждений.

К третьей группе относятся GoogleAds.Пакет API, который работает аналогично вышеупомянутому стиллеру кошельков, но нацелен на удаление конфиденциальных данных Google Ads OAuth вместо информации о криптовалюте. Это демонстрирует универсальность методов атаки, используемых злоумышленниками.

Последствия этих атак глубоки, они подчеркивают уязвимости в Цепочке поставок программного обеспечения с открытым исходным кодом, где доверием можно легко воспользоваться. Актеры опасный заработать на первый взгляд безобидные зависимости, чтобы создать то, что составляет молчит бэкдор для своих атак.

#ParsedReport #CompletenessLow
17-12-2025

From Linear to Complex: An Upgrade in RansomHouse Encryption

https://unit42.paloaltonetworks.com/ransomhouse-encryption-upgrade/

Report completeness: Low

Actors/Campaigns:
Ransomhouse (motivation: financially_motivated)

Threats:
Ransomhouse
Mragent
Spear-phishing_technique
Mario
Junk_code_technique
Esxiargs

Industry:
Healthcare, Transport, Government, Financial

Geo:
Japan, Korea, Middle east, India, Australia, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1203, T1486, T1560.001, T1566.001

IOCs:
File: 1
Hash: 4

Soft:
ESXi, Telegram, esxcli, VirtualBox

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RansomHouse, управляемый группой Jolly Scorpius, расширил свое предложение "программа-вымогатель как услуга" за счет улучшенного шифрования и эволюционирующих стратегий атак. Первоначальные вторжения используют spear phishing, социальную инженерию и использование уязвимостей zero-day, за которыми следуют методы эксфильтрации данных с использованием таких инструментов, как MrAgent и Mario. Новая версия Mario шифрует файлы сложными, многоуровневыми методами, ориентируясь на определенные расширения файлов и используя метод обхода каталогов, что указывает на расширение возможностей киберпреступников.
-----

RansomHouse - это усовершенствованная программа-вымогатель как услуга (RaaS), управляемая группой, известной как Jolly Scorpius, которая недавно обновила свои механизмы шифрования, что указывает на значительную эволюцию их стратегий атак. Акторы, стоящие за RansomHouse, в основном выступают в качестве разработчиков серверной части платформы RaaS, полагаясь на аффилированных лиц для осуществления первоначальных вторжений в сети жертв. Эти первоначальные атаки обычно выполняются с помощью spear phishing и социальной инженерии, а также путем использования уязвимых систем, использующих уязвимости zero-day.

Как только злоумышленники получают доступ, они используют методы для эксфильтрации эксфильтрация, в том числе для сжатия файлов и перенос инженерных сетей, и отправить этот украденные данные на собственных серверах. После эксфильтрация, вымогателей развернут, после чего наступает этап вымогательство где переговоров с жертвами происходят через платформы, такие как сайт, утечка телеграмму и специализированных данных.

В ransomhouse RansomHouse использует специальные инструменты, в том числе MrAgent и Марио, которые адаптированы для ущерба для виртуальных сред, особенно тех, кто работает на сети в ESXi. MrAgent-это основной инструмент развертывания, что способствует стойким и управления доступом взломанных систем. Его функционал включает в себя методы обфускации, чтобы затруднить реверс-инжиниринга и он сохраняет настройки и данные состояния через внутреннюю JSON структур.

Mario, специализированный инструмент шифрования, работает путем шифрования файлов, связанных с виртуальными машинами. Обновленная версия Mario внедрила более сложные методы шифрования по сравнению со своей предшественницей. Он нацелен на определенные расширения файлов и работает по методу обхода каталогов, в то время как зашифрованные файлы переименовываются с расширением, включающим ".emario". Новая версия Mario также повышает эффективность и устойчивость к анализу благодаря более сложному подходу, включающему выборочную обработку файлов.

Модернизация технологии шифрования RansomHouse отражают тревожную тенденцию в рекламных, переход от базового шифрования, к более сложным, многослойным одна, что усиливает эффективность этих злоумышленников. Эта модернизация предполагает непрерывное совершенствование потенциала субъектов опасным, подчеркивает необходимость участия защитников, чтобы адаптировать свои стратегии в ответ на эти новые угрозы.

#ParsedReport #CompletenessLow
18-12-2025

In depth analysis of the alleged Qilin, DragonForce and LockBit alliance

https://labs.yarix.com/2025/12/in-depth-analysis-of-the-alleged-qilin-dragonforce-and-lockbit-alliance/

Report completeness: Low

Actors/Campaigns:
Dragonforce (motivation: financially_motivated)
Lockbit
Shinyhunters (motivation: financially_motivated)
Lockbitsupp

Threats:
Qilin_ransomware
Lockbit
Dragonforce_ransomware
Blackcat
Ransomhub
Hunters_international
Hive_ransomware
Playcrypt
Akira_ransomware
Clop
Inc_ransomware
Safepay
Lynx
Babuk

Geo:
Russian

CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle concurrent_processing (le12.2.14)


Soft:
GoAnywhere, MOVEit, Salesforce

Languages:
solidity