#ParsedReport #CompletenessMedium
07-01-2026

The Great VM Escape: ESXi Exploitation in the Wild

https://www.huntress.com/blog/esxi-vm-escape-exploit

Report completeness: Medium

Threats:
Maestro
Vsockpuppet
Impacket_tool
Sharefinder_tool
Toctou_vuln
Getshell

Victims:
Enterprise it, Esxi environments

Geo:
Chinese

CVEs:
CVE-2025-22225 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-22224 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-22226 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1021.001, T1055, T1059.004, T1070.004, T1078.002, T1105, T1133, T1190, T1543.003, have more...

IOCs:
Path: 8
Command: 3
File: 9
Hash: 5

Soft:
ESXi, Microsoft Defender for Endpoint, Windows firewall, Linux, Unix, ChatGPT, Claude

Functions:
SetGuestInfo, socket, GetShell

Win API:
WSCInstallProvider64_32

Win Services:
bits

Platforms:
x86

YARA: Found
SIGMA: Found

Links:
have more...
https://github.com/hfiref0x/KDU

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 12

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В декабре 2025, значительное вторжение в средах VMware ESXi в сообщении, происходящих из скомпрометированных устройств SonicWall VPN-соединения. Злоумышленники использовали инструментарий, используя уязвимости в версиях ESXi с 5.1 до 8,0, в частности, уязвимость CVE-2025-22224 уязвимость CVE-2025-22226 и CVE-2025-22225, облегчая перемещение внутри компании после компрометации учетной записи администратора домена. Они разместили вредоносное ПО звонил MAESTRO для управления ВМ побегов и установили VSOCKpuppet для постоянного удаленного доступа, нарушения гипервизора и виртуальных машин на хост.
-----

В декабре 2025 года Huntress обнаружила вторжение с использованием эксплойтов VMware ESXi, что указывает на значительную угрозу виртуализированным средам. Сообщается, что злоумышленники получили первоначальный доступ через скомпрометированный SonicWall VPN, подчеркнув, что изоляция, обеспечиваемая виртуальными машинами, может быть нарушена с помощью уязвимостей в гипервизоре. Ключом к этому эксплойту был набор инструментов, предназначенный для широкого спектра сборок ESXi, в частности версий с 5.1 по 8.0, и подчеркивающий критическую важность своевременного исправления для этих систем, особенно для тех, на которых все еще работают версии с истекшим сроком службы.

Злоумышленник (TA) воспользовался скомпрометированной учетной записью администратора домена (DA) для перемещения по сети, сначала нацелившись на резервный контроллер домена, а затем на основной контроллер домена. Они попытались сбросить пароль DA, что было предотвращено решениями управляемой безопасности. Получив доступ к основному контроллеру домена, они развернули VMware ESXi exploit toolkit, впоследствии изменив брандмауэр Windows, чтобы изолировать хост от внешних сетей, сохранив при этом внутреннее подключение.

Во время этой атаки было использовано несколько уязвимостей, в том числе CVE-2025-22224, уязвимость TOCTOU высокой степени серьезности, позволяющая осуществлять запись за пределы системы и выполнение кода. Другие уязвимости, такие как CVE-2025-22226 и CVE-2025-22225, способствовали раскрытию потенциально опасной информации о памяти и возможности выхода из виртуальной машины.

В атаке использовалась часть вредоносного ПО, известная как exploit.exe , именуемый MAESTRO, который выступал в качестве организатора для операции escape виртуальной машины, не содержа фактической логики эксплуатации. Вместо этого он настраивал среду, управлял развертыванием эксплойта, контролировал его выполнение и выполнял необходимые операции по очистке для поддержания скрытности. Вредоносный драйвер MyDriver.sys сыграл ключевую роль, позволив осуществлять прямые манипуляции с памятью через каналы VMCI (Virtual Machine Communication Interface), что крайне важно для обхода традиционных мер безопасности.

Сложный характер атаки позволил злоумышленнику получить утечку адресов из процесса VMX и записать шелл-код непосредственно в его память. После эксплуатации злоумышленник установил VSOCKpuppet — исполняемый файл ELF, который обеспечивал постоянный удаленный доступ по соединениям VSOCK, эффективно позволяя осуществлять связь со скомпрометированным хостом ESXi без обнаружения обычными средствами мониторинга сети.

Важно отметить, что этот инцидент является примером многоэтапной атаки, которая приводит к полной компрометации гипервизора, тем самым угрожая целостности и безопасности всех виртуальных машин, работающих на хосте. Используемые методы эксплуатации, включая использование скрытых каналов связи и изоляцию эксплуатируемой среды, подчеркивают необходимость бдительного мониторинга и использования передовых мер обнаружения для смягчения таких сложных угроз в виртуализированных инфраструктурах.

#ParsedReport #CompletenessLow
08-01-2026

RMM tools (Syncro, SuperOps, NinjaOne, etc.) distributing video files in disguise

https://asec.ahnlab.com/ko/91933/

Report completeness: Low

Actors/Campaigns:
Muddywater

Threats:
Syncro_tool
Superops_tool
Ninjaone_tool
Screenconnect_tool
Pdq_connect_tool
Logmein_tool
Blackcat
Ninjarmm_tool

Victims:
Managed service providers, It teams, Organizations using rmm tools

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1204.002, T1219, T1553.002, T1566.001

IOCs:
File: 8
Domain: 2
Hash: 5
Url: 5

Soft:
NSIS installer

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кибератаки используют инструменты удаленного мониторинга и управления (RMM), такие как Syncro, SuperOps, NinjaOne и ScreenConnect, используя вредоносное ПО, замаскированное под PDF-файлы, чтобы обманом заставить жертв загрузить эти инструменты с поддельных страниц Google Диска. Злоумышленники задействовали уникальный характер РММ инструменты, облегчающие пульт дистанционного управления без срабатывания стандартных мер безопасности, таким образом, затрудняя обнаружение. Загрузчик вредоносное ПО создана с НСУ сопровождает установок РММ, что свидетельствует о тенденции использования легального программного обеспечения для вредоносных целей.
-----

Последние данные аналитического центра безопасности от шпионских программ (АПЭК) раскрыть серию кибератак, использования дистанционного мониторинга и управления (RMM) инструменты, такие как Syncro, SuperOps, NinjaOne, и ScreenConnect. Злоумышленники применяют обманный маневр, распространяющих вредоносное ПО замаскированный под PDF-документов, обманывая потерпевших на скачивание РММ по ОТ поддельную страницу распределение Google Диск. Факты свидетельствуют, что эти вредоносные действия продолжались с октября 2025 года, а указывается общая справка подписания вредоносное ПО.

Точный способ первичного распределения остается неясным; однако, считается, что PDF-файлы были названы с помощью общих терминов, как "расходная накладная", "заказ товара" и "платеж". Следовательно, эти документы, скорее всего, распространяются с помощью вложений электронной почты для фишинга, которые заманивают пользователей к использованию инструмента RMM.

Syncro RMM, предназначенный для поставщиков управляемых услуг (MSP) и ИТ-отделов, является одной из основных целей этих атак. Инструменты RMM особенно привлекательны для киберпреступников, поскольку они облегчают удаленный контроль и управление системой. В отличие от типичного вредоносного ПО, такого как бэкдоры или трояны удаленного доступа (RAT), инструменты RMM обычно используются системами безопасности организаций в законных целях. Эта уникальность позволяет злоумышленникам использовать их, не вызывая обычных мер безопасности, что затрудняет обнаружение и предотвращение для брандмауэров и антивирусных решений.

ScreenConnect, еще один используемый инструмент RMM, предоставляет возможности удаленного доступа и управления экраном, которые злоумышленники, в том числе из групп вымогателей, таких как ALPHV (BlackCat) и Hive, используют в вредоносных целях. Кроме того, один и тот же сертификат также объединяет NinjaOne и SuperOps, оба облачных решения RMM, которые обеспечивают широкие возможности управления ИТ. NinjaOne предлагает такие услуги, как удаленный доступ и мониторинг производительности, в то время как SuperOps интегрирует RMM с автоматизацией профессиональных сервисов для MSP.

Примечательно, что к установочным файлам RMM прилагается загрузчик вредоносного ПО, созданный с помощью NSIS. Этот загрузчик запрограммирован на получение дополнительных вредоносных полезных данных с использованием внутреннего скрипта NSI, с указанием на то, что он ранее распространял RMM NinjaOne. Растущая тенденция использования надежных инструментов RMM для кибератак представляет значительный риск для организаций, поскольку законный характер этих инструментов затрудняет их идентификацию как вредоносного программного обеспечения.

#ParsedReport #CompletenessLow
08-01-2026

Fake WinRAR downloads hide malware behind a real installer

https://www.malwarebytes.com/blog/threat-intel/2026/01/fake-winrar-downloads-hide-malware-behind-a-real-installer

Report completeness: Low

Threats:
Winzipper

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1036, T1204.002

IOCs:
File: 6
Domain: 3
Path: 1

Algorithms:
zip

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания распространяет поддельные установщики WinRAR, в частности "1winrar-x64-713scp1.exe ," с различных китайских веб-сайтов, чтобы обманом заставить пользователей загружать вредоносное ПО. Мошеннические установщики используют социальную инженерию, имитируя законное программное обеспечение, чтобы снизить подозрения, что может способствовать целому ряду кибератак. Эта тенденция указывает на растущие усилия злоумышленников по использованию загружаемого популярного программного обеспечения, особенно в регионах с меньшей бдительностью пользователей в отношении подлинности программного обеспечения.
-----

Недавнее открытие веб-исследователей выявило вредоносную кампанию с использованием поддельных установщиков WinRAR, распространяемых с различных китайских веб-сайтов. Мошеннический установщик с именем "1winrar-x64-713scp1.exe ," маскируется под законное приложение WinRAR, что является распространенным методом, используемым для снижения подозрительности пользователей. Наличие китайских иероглифов, которые переводятся как "установить", позволяет предположить, что эти ссылки направлены на то, чтобы обманом заставить пользователей загружать вредоносное ПО под видом легального программного обеспечения.

Такая тактика внедрения вредоносного ПО в легальный установщик может способствовать целому ряду кибератак, поскольку пользователи часто доверяют хорошо известным приложениям, таким как WinRAR. Эта кампания подчеркивает важность тщательного изучения загружаемого программного обеспечения, поскольку злоумышленники часто используют методы социальной инженерии, чтобы обманом заставить пользователей скомпрометировать свои системы.

Учитывая распространенность этих типов методов распространения вредоносного ПО, это свидетельствует о потенциально возрастающих усилиях злоумышленников по использованию популярных загрузок программного обеспечения, особенно в регионах, где пользователи могут быть менее бдительны в отношении подлинности источников программного обеспечения. Бдительность в области кибербезопасности имеет первостепенное значение, и следует поощрять пользователей следить за законностью загрузок и поддерживать обновленные меры безопасности, чтобы снизить риск, связанный с такой обманной практикой.

#ParsedReport #CompletenessLow
09-01-2026

New Threat Actor Group PayTool Targets Canadians with Traffic Scams

https://flare.io/learn/resources/blog/paytool-targets-canadians-traffic-scams/

Report completeness: Low

Actors/Campaigns:
Paytool (motivation: information_theft)

Threats:
Smishing_technique

Victims:
Consumers, Government transportation and traffic authorities

Industry:
Financial, Government

Geo:
Canadian, Chinese, Columbia, Ontario, Canada

ChatGPT TTPs:
do not use without manual check
T1204, T1583.001

IOCs:
Domain: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка PayTool нацелена на канадцев с помощью изощренных мошеннических действий, связанных с трафиком, с помощью незапрашиваемых текстовых сообщений, преимущественно на китайском языке. Их тактика включает в себя использование местных знаний путем использования кодов городов и контекстов, имеющих отношение к жертвам, таких как ссылки на неоплаченные сборы за проезд или штрафы за парковку. За прошедший год их деятельность привела к выявлению более 900 жертв и увеличению числа регистраций связанных с ними веб-сайтов, что указывает на постоянную и эволюционирующую угрозу.
-----

Новая хакерская группировка под названием PayTool нацелена на канадцев с помощью все более изощренных мошенничеств, связанных с трафиком, в основном осуществляемых с помощью нежелательных текстовых сообщений. Эти аферы, в основном совершаемые лицами, говорящими по-китайски, эволюционировали от ссылок на хорошо известные штаты США до включения местных канадских провинций, что делает их более понятными и правдоподобными для потенциальных жертв. За последние двенадцать месяцев произошел заметный всплеск регистрации веб-сайтов, связанных с PayTool, особенно с июля, что совпало с ростом сообщений о мошеннических текстовых сообщениях.

Методология работы PayTool предполагает отправку незапрашиваемых текстовых сообщений, которые предназначены для уведомления получателей о неоплаченных платах за проезд или штрафах за парковку. В типичном сценарии в тексте используется местный код провинции Онтарио, при этом ложно утверждается, что он из Британской Колумбии, о нарушении скорости в школьной зоне. Эта тактика использует знакомство с местными жителями, чтобы обманом заставить людей участвовать в мошенничестве.

Деятельность PayTool's привела к выявлению более 900 жертв, непосредственно связанных с этой кампанией, наряду с дополнительными жертвами предыдущих операций, которые, как полагают, были связаны с группой. Продолжающийся рост их мошеннической деятельности и появление новых доменов указывают на постоянную угрозу, которая требует постоянного мониторинга и реагирования.

Службам безопасности рекомендуется включить информацию о таких мошеннических действиях с трафиком в программы обучения своих сотрудников кибербезопасности, поскольку угроза, исходящая от PayTool и подобных групп, продолжает расти. Организации должны сохранять бдительность и проактивность в выявлении и снижении рисков, связанных с подобными видами мошенничества с целью эксплуатации.

#ParsedReport #CompletenessHigh
10-01-2026

Q4 2025 Malware Statistics Report for Linux SSH Servers

https://asec.ahnlab.com/ko/91969/

Report completeness: High

Actors/Campaigns:
Rubycarp (motivation: financially_motivated)

Threats:
P2pinfect
Prometei_botnet
Xmrig_miner
Mirai
Bashlite
Tsunami_botnet
Shellbot
Xorddos
Coinminer
Perlbot
Logcleaner_tool
Nmap_tool
Udpflood_technique

Industry:
Iot

Geo:
Romanian

ChatGPT TTPs:
do not use without manual check
T1021.004, T1110, T1190, T1496, T1498

IOCs:
Domain: 1
Hash: 5
Url: 5
IP: 5

Soft:
Linux

Algorithms:
md5

Languages:
perl

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В четвертом квартале 2025 года анализ AhnLab выявил всплеск атак методом грубой силы на небезопасные SSH-серверы Linux, когда злоумышленники использовали приманки для совершенствования своих методов. В отчете идентифицировано вредоносное ПО ShellBot, связанное с RUBYCARP, хакерской группировкой, которая использует уязвимости для создания ботнет-сетей и проводит такие действия, как майнинг монет и DDoS-атаки. Полученные данные подчеркивают эволюционирующую тактику киберпреступников, выдвигая на первый план серьезные проблемы безопасности организаций, управляющих системами Linux.
-----

В четвертом квартале 2025 года аналитический центр безопасности AhnLab (ASEC) проанализировал значительный рост числа атак методом перебора или по словарю, нацеленных на ненадлежащим образом защищенные SSH-серверы Linux. В этих атаках часто используются приманки для сбора данных, что позволяет злоумышленникам совершенствовать свои методы борьбы с уязвимыми системами. Отчет дает представление о векторах атак, выявленных за этот период, подробно описывает конкретные используемые вредоносные ПО и предлагает статистический анализ их эффективности.

Примечательно, что в отчете подчеркивается появление вредоносного ПО ShellBot, связанного с хакерской группировкой RUBYCARP. Эта группа, которая работает уже более десяти лет, в первую очередь занимается созданием ботнет-сетей путем использования общедоступных уязвимостей и проведения атак методом перебора. RUBYCARP известен своими разнообразными стратегиями атак, связанными с добычей монет, распределенными атаками типа "отказ в обслуживании" (DDoS) и фишингом, направленным на получение финансовой выгоды. Это подчеркивает тревожную тенденцию, поскольку киберпреступники используют автоматизацию и существующие уязвимости для расширения своих операционных возможностей в погоне за прибылью.

Закрепление и эволюция вредоносного ПО, такого как ShellBot, подчеркивают насущные проблемы безопасности при управлении SSH-серверами Linux, особенно теми, которые имеют неадекватную защиту. Отчет служит важным напоминанием организациям о необходимости усиления своих мер безопасности для предотвращения несанкционированного доступа и снижения рисков, связанных с такими сложными угрозами. По мере того как злоумышленники адаптируют и совершенствуют свои методологии, постоянная бдительность и проактивное управление безопасностью остаются необходимыми.

#ParsedReport #CompletenessLow
08-01-2026

Q4 2025 Malware Statistics Report for Windows Web Servers

https://asec.ahnlab.com/ko/91970/

Report completeness: Low

Actors/Campaigns:
Andariel

Threats:
Xmrig_miner
Tiger_rat
Procdump_tool
Petitpotato_tool
Printspoofer_tool
Juicypotato_tool
Regeorg_tool

ChatGPT TTPs:
do not use without manual check
T1059, T1190, T1505.003

IOCs:
File: 1
Hash: 5
Url: 5
Domain: 1

Soft:
Remote Desktop Services

Algorithms:
md5

Languages:
powershell, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В отчете AhnLab о статистике вредоносного ПО за 4 квартал 2025 года подчеркивается возрождение вредоносного ПО TigerRAT группы Andariel, нацеленного на веб-серверы Windows, особенно на те, на которых запущены информационные службы Интернета (IIS). Злоумышленники, вероятно, воспользовались уязвимостями сервера, используя такие методы, как веб-оболочки для первоначального доступа и выполняя вредоносные команды через рабочий процесс IIS".w3wp.exe ." Тактика систематического сбора информации указывает на передовые методологии злоумышленников, подчеркивающие необходимость проявлять бдительность в отношении таких постоянных угроз.
-----

В отчете о статистике вредоносного ПО за 4 квартал 2025 года Аналитический центр безопасности AhnLab (ASEC) выявил значительные угрозы, нацеленные на веб-серверы Windows, в первую очередь сосредоточив внимание на возрождении вредоносного ПО TigerRAT группы Andariel. Этот бэкдор исторически ассоциировался с атаками, направленными на захват контроля над скомпрометированными системами, которые в основном наблюдались в предыдущие годы, но вновь появились в октябре 2025 года. Аналитики отметили, что скомпрометированные системы обычно включали веб-серверы Internet Information Services (IIS), что позволяет предположить, что злоумышленники использовали уязвимости на этих серверах для восстановления работы вредоносного ПО.

Хотя точный метод первоначального проникновения остается неизвестным, есть подозрение, что злоумышленники использовали webshell для получения контроля над сервером IIS, поскольку последующие вредоносные команды выполнялись через "w3wp.exe " процесс, который является рабочим процессом для обработки веб-запросов в IIS. Это говорит о высокой осведомленности об архитектуре сервера и способности эффективно управлять системными процессами.

Команды сбора информации, используемые злоумышленниками, иллюстрируют системный подход, направленный на изучение окружающей среды и создание более надежного вектора атаки. Такая тактика подчеркивает важность комплексных мер безопасности и стратегий исправления для веб-серверов Windows, чтобы противодействовать риску, создаваемому акторами, создающими сложные целенаправленные угрозы, такими как Andariel Group. Появление TigerRAT в этом контексте подчеркивает эволюционирующую тактику злоумышленников и необходимость постоянной бдительности и проактивной защиты от угроз вредоносного ПО, нацеленных на конфигурации веб-серверов.

#ParsedReport #CompletenessMedium
09-01-2026

THE KNOWNSEC LEAK: Yet Another Leak of Chinas Contractor-Driven Cyber-Espionage Ecosystem

https://dti.domaintools.com/the-knownsec-leak-yet-another-leak-of-chinas-contractor-driven-cyber-espionage-ecosystem/

Report completeness: Medium

Actors/Campaigns:
Knownsec_leak (motivation: cyber_espionage, government_sponsored)
I-soon_leak
Red_delta
Apt31
Winnti

Threats:
Ghostx_tool
Dns_hijack_technique
Spear-phishing_technique
Dns_hijacking_technique
Polymorphism_technique
Credential_harvesting_technique
Supply_chain_technique

Victims:
Financial sector, Telecommunications sector, Energy sector, Critical infrastructure

Industry:
Financial, Ics, Critical_infrastructure, Telco, Government, E-commerce, Energy, Education, Military, Transport, Iot

Geo:
Chinas, China, India, Taiwan, Vietnam, Russia, Chinese, Korea, Tokyo, Asia, South africa, Taiwanese, Japan, Brazil, Korean, Indian, Polish

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 64

Soft:
ZoomEye, Zoom, Gmail, Outlook, Telegram, Instagram

Languages:
javascript

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, table: 1, windows: 1, code: 1