#ParsedReport #CompletenessLow
13-02-2026

Phishing on the Edge of the Web and Mobile Using QR Codes

https://unit42.paloaltonetworks.com/qr-codes-as-attack-vector/

Report completeness: Low

Actors/Campaigns:
Unc4221

Threats:
Qshing_technique

Victims:
Financial services, High tech, Wholesale and retail, Telegram users, Mobile app users

Industry:
Education, Entertainment, Retail

Geo:
Ukraine, Ukrainian, Russia

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1556, T1566, T1584.006, T1608.002, T1608.004, T1608.005

IOCs:
Url: 23
Domain: 25
Email: 1
File: 5

Soft:
Outlook, Android, Telegram, WeChat, WhatsApp

Wallets:
metamask

Crypto:
bitcoin, ethereum

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Растущее использование QR-кодов при бесконтактных транзакциях привело к росту числа фишинг-атак, когда киберпреступники используют средства сокращения URL-адресов для маскировки Вредоносная ссылка, особенно нацеленная на финансовые услуги. Злоумышленники создают динамические QR-коды, которые перенаправляют пользователей на изменяющиеся вредоносные сайты, и используют встроенные ссылки для манипулирования законными функциями приложений в целях мошенничества. Кроме того, QR-коды могут способствовать прямой загрузке вредоносных приложений, повышая риск проникновения вредоносное ПО и кражи данных.
-----

Использование QR-кодов резко возросло, особенно в бесконтактных транзакциях и взаимодействиях, однако эта популярность также способствовала росту числа фишинг-атак. Киберпреступники используют QR-коды, используя средства сокращения URL-адресов для маскировки вредоносных адресатов, побуждая пользователей сканировать ссылки без должной осторожности. Эти укорочители, такие как qrco.de , me-qr.com , и qrs.ly , позволяют злоумышленникам создавать динамические QR-коды, которые могут перенаправлять пользователей на изменяющиеся вредоносные конечные точки, подрывая традиционные меры безопасности.

QR-коды особенно распространены в определенных отраслях, причем наиболее нацелен на финансовые услуги, на долю которых приходится 29% инцидентов с атаками, связанных с компрометация QR-кодов. Примечательно, что многим попыткам фишинг присуща временность; злоумышленники перестают перенаправлять на вредоносные веб-сайты в течение нескольких дней, что затрудняет обнаружение и смягчение последствий.

В дополнение к веб-перенаправлениям злоумышленники используют встроенные ссылки - менее изученный, но не менее опасный вектор угрозы. Эти глубокие ссылки позволяют злоумышленникам манипулировать функциональными возможностями законных приложений, такими как проведение платежных транзакций или отправка вредоносного контента с помощью встроенных коммуникаций. Например, финансовое мошенничество может сопровождаться перебоями в работе платежных приложений, в то время как захват аккаунтов в Социальные сети использует встроенные ссылки для несанкционированного доступа.

Риск усугубляется возможностью QR-кодов облегчать прямую загрузку вредоносных приложений, часто в обход системы безопасности app Store. Эта тактика особенно используется при распространении азартных игр и приложений для казино, где APK-файлы, связанные с помощью QR-кодов, могут содержать вредоносное ПО, предназначенное для извлечения конфиденциальной информации или выполнения несанкционированных действий.

В свете этих угроз обучение пользователей играет жизненно важную роль в борьбе с атаками QR code phishing. Люди должны быть осведомлены о том, что QR-коды могут использоваться для выполнения широкого спектра действий, выходящих за рамки простого открытия веб-сайтов, и при сканировании и взаимодействии с ними необходима должная осмотрительность. Меняющаяся тактика киберпреступников подчеркивает необходимость постоянной бдительности и осведомленности пользователей о безопасности для противодействия этим изощренным схемам фишинг.

#ParsedReport #CompletenessLow
11-02-2026

AgreeToSteal: The First Malicious Outlook Add-In Leads to 4,000 Stolen Credentials

https://www.koi.ai/blog/agreetosteal-the-first-malicious-outlook-add-in-leads-to-4-000-stolen-credentials

Report completeness: Low

Actors/Campaigns:
Agreetosteal
Clawhavoc

Victims:
Email users, Bank customers, Internet service provider customers, Webmail users

Industry:
Telco, E-commerce, Financial

Geo:
Canadian

ChatGPT TTPs:
do not use without manual check
T1071.001, T1102, T1566.002, T1583.001

IOCs:
Domain: 1

Soft:
Outlook, Microsoft Outlook, Microsoft Office, Chrome, Graph API, Telegram

Functions:
ReadWriteItem, JavaScript, fetch

Languages:
typescript, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Надстройка Outlook "AgreeToSteal" использовала уязвимости Надстройки Office, что привело к краже около 4000 учетные данные пользователя с помощью метода динамической загрузки контента с сервера. Изначально это был законный инструмент планирования, но он был взломан, чтобы представить поддельную страницу входа в Microsoft, собирающую не только учетные данные электронной почты, но и конфиденциальную финансовую информацию с помощью сложного набора для фишинг-атак. Этот инцидент выявил существенные структурные недостатки в безопасности надстройки Office, поскольку традиционные меры аудита не в состоянии устранить возникающие угрозы, создаваемые такими вредоносными преобразованиями.
-----

Появление надстройки Outlook "AgreeToSteal" выявило значительные уязвимости в работе Надстройки Office, которые привели к краже около 4000 учетные данные пользователей. Вредоносное поведение надстройки атрибутирован с ее методом динамической загрузки содержимого с сервера разработчика каждый раз, когда оно открывается в Outlook. Эта модель сопряжена со значительными рисками, поскольку, как только пользователь взаимодействует с надстройкой, ему открывается обманчивая страница входа в систему Microsoft вместо предполагаемого интерфейса планирования собраний.

AgreeTo возник как законный инструмент планирования с открытым исходным кодом, с активной базой пользователей и хорошо поддерживаемым репозиторием GitHub, демонстрирующий, что он был создан кем-то, изначально намеревавшимся построить бизнес. Однако этот инструмент был захвачен в злонамеренных целях. Злоумышленник использовал четырехстраничный фишинг-набор, состоящий из поддельной страницы входа в систему, страницы сбора паролей, скрипта эксфильтрация и механизма перенаправления.

Масштабы операции вызывают особую тревогу, поскольку один и тот же злоумышленник связан по меньшей мере с дюжиной различных наборов для фишинг-атак, каждый из которых имитирует различные авторитетные бренды, включая канадских интернет-провайдеров и банки. Компрометация данных включает в себя не только учетные данные электронной почты, но и конфиденциальную информацию, такую как номера кредитных карт, CVV, PIN-коды и ответы на вопросы банковской безопасности. Это указывает на хорошо организованную фишинг-операцию, способную перехватывать финансовые транзакции с помощью таких методов, как электронный перевод Interac.

Этот случай подчеркивает критический структурный недостаток в том, как разрабатывались и отслеживались Надстройки Office, поскольку они являются динамическими объектами, которые могут изменять содержимое без каких-либо процессов информирования, предупреждающих пользователей или аудиторов во время их вредоносного преобразования. Это вызывает вопросы об адекватности применяемых мер безопасности, поскольку традиционных проверок на определенный момент времени недостаточно для защиты пользователей от возникающих угроз, которые используют законные приложения в качестве механизмов доставки. Инцидент иллюстрирует насущную потребность в усовершенствованных системах мониторинга, способных обнаруживать переход от доброкачественного к вредоносному поведению в зависимостях программного обеспечения.

#ParsedReport #CompletenessHigh
12-02-2026

How ClickFix Opens the Door to Stealthy StealC Information Stealer

https://www.levelblue.com/blogs/spiderlabs-blog/how-clickfix-opens-the-door-to-stealthy-stealc-information-stealer

Report completeness: High

Threats:
Clickfix_technique
Stealc
Process_injection_technique
Process_hollowing_technique
Donut

Victims:
Windows users, Hospitality

Industry:
Entertainment

Geo:
Vietnamese

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1027.009, T1041, T1055, T1059.001, T1070.004, T1071.001, T1082, T1102, have more...

IOCs:
Url: 6
File: 14
IP: 4
Hash: 2
Path: 3
Registry: 2
Command: 1

Soft:
Steam, Outlook, Microsoft Visual C++, Windows service, Chrome, Opera, Opera GX, Vivaldi, Chromium, Firefox, have more...

Wallets:
metamask, coinbase, atomicwallet, electrum, exodus_wallet, bitcoincore

Crypto:
ethereum, monero

Algorithms:
sha256, rc4, aes-gcm, base64

Functions:
DPAPI

Win API:
CryptUnprotectData, RegQueryValueExA, VirtualAlloc, CreateThread

Languages:
powershell, python, javascript, php

Platforms:
intel, x64

Links:
https://github.com/drole/StealC-C2-Traffic-Decryption-Tool

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix использует социальную инженерию для выполнения многоэтапной атаки на системы Windows, в ходе которой используется Stealer. StealC information (программа для кражи данных). information Пользователей заманивают с помощью мошеннического приглашения Cloudflare, запускающего вредоносные команды PowerShell, которые извлекают сценарий загрузки, что в конечном итоге приводит к загрузке StealC. Вредоносное ПО предназначено для обширного извлечения данных, нацеливаясь на учетные данные из браузеров и криптовалютных кошельков, используя при этом скрытые методы, включая выполнение без файлов и зашифрованную связь со своим сервером C2.
-----

Кампания ClickFix использует тактику социальной инженерии для проведения многоэтапной атаки, нацеленной на системы Windows, и в конечном итоге развертывает StealC. Атака начинается с мошеннического запроса на проверку Cloudflare, который поощряет выполнение вредоносных команд PowerShell, когда пользователи получают доступ к веб-сайтам с компрометация, таким как сайт вьетнамского ресторана. Это приводит к загрузке вредоносной полезной нагрузки JavaScript, которая создает поддельную страницу проверки CAPTCHA.

Первоначально, после выполнения, команда PowerShell извлекает сценарий загрузки с определенного IP-адреса. Последующий шаг включает загрузку независимого от позиции шеллкода, упакованного в файл (cptch.bin), который генерируется фреймворк Donut. Этот фреймворк обеспечивает скрытное выполнение, поскольку шелл-код может запускаться с любого адреса памяти, способствуя безфайловому поведению вредоносное ПО путем встраивания всего исполняемого файла.

Следующий этап включает в себя использование 64-разрядного исполняемого файла Windows PE, предназначенного для загрузки окончательной полезной нагрузки, которая позже вводится в законный процесс Windows. StealC, основное вредоносное ПО, имеет модульную конструкцию с различными возможностями извлечения данных. Он нацелен на учетные данные браузера, расширения криптовалютного кошелька, информацию об учетной записи игровой платформы и учетные данные электронной почты, особенно из Outlook.

Более подробно, StealC ищет и извлекает пароли, сеансовые файлы cookie и информацию о кредитной карте из баз данных браузера пользователя. Вредоносное ПО также тщательно собирает информацию о криптовалютных кошельках и использует запросы реестра для обнаружения путей установки Steam и сведений о профиле Outlook. Кроме того, в нем реализован системный модуль снятия отпечатков пальцев для сбора обширной информации о зараженной системе.

Одной из примечательных особенностей StealC является его способность делать скриншоты, используя Windows API, с последующим сохранением и загрузкой этих изображений на сервер управление (C2). Кроме того, он содержит функцию захвата файлов, которая выполняет поиск по каталогам файлов, соответствующих определенным критериям для эксфильтрация.

Для связи с сервером C2 используются структурированные полезные данные в формате JSON и различные методы шифрования как данных, так и трафика, что затрудняет обнаружение. Операционная система вредоносное ПО включает в себя функцию "самоудаления", которая удаляет его после успешной фильтрации данных.

Стратегии обнаружения, предлагаемые для выявления таких кампаний, включают мониторинг необычных строк пользовательского агента, помечение определенных HTTP-запросов POST и оповещение о значительных шаблонах загрузки данных в подозрительные домены. Кампания ClickFix иллюстрирует современные многогранные векторы атак, которые используют социальную инженерию, выполнение без файлов и сложные методы эксфильтрация данных для обхода традиционных мер безопасности.

#ParsedReport #CompletenessLow
16-02-2026

Tracking DigitStealer: How Operator Patterns Exposed C2 Infrastructure

https://cyberandramen.net/2026/02/16/tracking-digitstealer-how-operator-patterns-exposed-c2-infrastructure/

Report completeness: Low

Threats:
Digitstealer

Victims:
Cryptocurrency wallets, Browser data users, Macos users

Industry:
Entertainment

Geo:
Sweden

ChatGPT TTPs:
do not use without manual check
T1005, T1071.001, T1555.001, T1555.003, T1583.001, T1583.003, T1587.001

IOCs:
IP: 8
File: 2
Domain: 17

Soft:
macOS, nginx, OpenSSH

Crypto:
binance

Algorithms:
md5

Languages:
applescript, javascript, python

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DigitStealer - это вредоносное ПО для кражи информации, выявленное в ноябре 2025 года, предназначенное для нацеливания на криптовалютные кошельки и конфиденциальные данные macOS. Его структура управление (C2) включает в себя четыре отдельные конечные точки, все зарегистрированные в доменах .com и размещенные в одной сети в Швеции, что указывает на потенциал для дальнейшего анализа. Операторы, использующие вредоносное ПО, предпочитают доменный сервис Tucows для автоматической регистрации, при этом один выброс осуществляется в рамках другого сервиса, не участвующего в его основных операциях.
-----

DigitStealer - это вредоносное ПО для кражи информации, впервые замеченное Jamf Threat Labs в ноябре 2025 года, в первую очередь нацеленное на ряд криптовалютных кошельков, данные браузера и данные Связка ключей macOS, а также другую конфиденциальную информацию. Очевидно, что в нем нет веб-панели для совместного доступа между операторами или аффилированными лицами, что отличает его от других вредоносное ПО в этой категории.

Коммуникационная модель DigitStealer многогранна и использует четыре отдельные конечные точки для операций управление (C2). Примечательно, что все домены, связанные с DigitStealer, используют домен верхнего уровня .com, и проверка базовых IP-адресов осуществляется с помощью таких инструментов, как Hunt.io показывает, что эти IP-адреса размещены в одной и той же сети, в частности в сети Abstract Ltd, расположенной в Швеции. Эта общая инфраструктура предоставляет возможность для дальнейшего изучения и смягчения последствий.

Кроме того, операторы, использующие вредоносное ПО, отдают особое предпочтение службе регистрации доменов Tucows, что указывает на возможный автоматизированный процесс регистрации домена. В то время как большинство идентифицированных доменов относятся к .com, существует аномалия с одним доменом, зарегистрированным в Immaterialism Limited, который, несмотря на подключение к серверу DigitStealer, не соответствует установленному шаблону .com и, как полагают, не играет роли в деятельности вредоносное ПО.

В совместной работе эти характеристики инфраструктуры, включая использование определенных доменов, IP—хостинга, HTTPS—серверов nginx на порту 443 и двух версий OpenSSH, создают узнаваемый отпечаток операций DigitStealer. Такая согласованность в их структуре сети C2 способствовала выявлению других потенциально связанных доменов, о некоторых из которых еще не сообщалось. Таким образом, благодаря анализу общих сетевых атрибутов, привязанных к известным серверам C2, аналитики безопасности могут усилить усилия по обнаружению угроз и устранению неполадок в DigitStealer.

#ParsedReport #CompletenessHigh
12-02-2026

LummaStealer Is Getting a Second Life Alongside CastleLoader

https://www.bitdefender.com/en-us/blog/labs/lummastealer-second-life-castleloader

Report completeness: High

Actors/Campaigns:
Graybravo

Threats:
Lumma_stealer
Castleloader
Clickfix_technique
Rugmi
Donutloader
Anydesk_tool
Lolbin_technique

Victims:
Individual users, Consumers, General internet users

Industry:
Education, Entertainment, Healthcare, E-commerce, Media

Geo:
India

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1053.005, T1059.003, T1059.005, T1105, T1189, T1204.001, T1204.002, have more...

IOCs:
File: 36
Command: 5
Path: 1
Url: 14
Hash: 1302
Domain: 351
IP: 29

Soft:
Steam, KeePass, Authy, Gmail, Outlook, Discord, TradingView

Wallets:
metamask, electrum, coinomi, bitcoincore, jaxx, steem, trezor

Crypto:
binance, ethereum

Algorithms:
lznt1, xor

Win API:
CreateProcessW, RtlDecompressFragment

Win Services:
ekrn

Languages:
python, autoit, powershell

Links:
https://github.com/bitdefender/malware-ioc/blob/master/2026\_02\_11-Lumma-Stealer-ioc.csv

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вновь появился LummaStealer, нацеленный на системы Windows для эффективного сбора конфиденциальной информации, такой как учетные данные и криптовалютные кошельки, главным образом с помощью тактики социальной инженерии. Он поставляется CastleLoader, который запускает вредоносное ПО с помощью динамической загрузки и запутывания, используя обманчивые загрузки-приманки, замаскированные под законное программное обеспечение, часто из одноранговых сетей. Работа вредоносное ПО приводит к серьезным угрозам, включая захват учетных записей и финансовое мошенничество, путем извлечения обширных персональных данных у пользователей, подвергшихся компрометация.
-----

LummaStealer вновь проявила повышенную активность, несмотря на предыдущие усилия правоохранительных органов по демонтажу ее инфраструктуры в 2022 году. Вредоносное ПО, нацеленное в первую очередь на системы Windows, эффективно собирает конфиденциальные данные, такие как учетные данные, сеансовые файлы cookie и криптовалютные кошельки. Он использует методы социальной инженерии, а не прямые уязвимости программного обеспечения, часто обманом заставляя пользователей запускать вредоносное ПО с помощью таких обманчивых методов, как поддельные загрузки программного обеспечения, капчи и поддельные предложения игр или фильмов.

CastleLoader стал основным механизмом доставки для LummaStealer, использующим такие методы, как выполнение в памяти и сильное запутывание, чтобы избежать обнаружения. Этот загрузчик на основе скриптов, который может быть реализован на таких языках, как Python и AutoIt, облегчает загрузку LummaStealer в память. Он также использует интересную тактику, когда генерирует неудачные DNS-запросы к несуществующим доменам, создавая обнаруживаемый шаблон, который можно отследить. После выполнения он также изменяет среду пользователя, создавая ярлыки, которые автоматизируют закрепление вредоносное ПО.

Кампании, использующие LummaStealer и CastleLoader, в основном начинаются с загрузки приманки, которая заманивает пользователей к установке вредоносных программ, замаскированных под законное программное обеспечение. Часто в качестве приманки используется взломанное программное обеспечение для популярных приложений и игр, особенно тех, которые распространяются в одноранговых сетях. Эффективные методы распространения включают использование законных платформ и сетей доставки контента, что усложняет усилия по обнаружению.

Последствия деятельности LummaStealer серьезны и создают такие риски, как захват учетных записей, кража личных данных и масштабное финансовое мошенничество. После развертывания вредоносное ПО может извлекать огромный массив личной информации, что приводит к немедленному и устойчивому воздействие на конфиденциальность пользователей. Чтобы смягчить эти угрозы, организации и пользователи должны уделять особое внимание обучению осведомленности и контролю поведения, поскольку успех схемы в значительной степени зависит от действий пользователей. Эта постоянная угроза подчеркивает адаптивный и эволюционирующий ландшафт вредоносное ПО, который использует стратегии социальной инженерии и сложные механизмы доставки.

#ParsedReport #CompletenessLow
14-02-2026

New Clickfix Exploit Tricks Users into Changing DNS Settings for Malware Installation

https://cybersecuritynews.com/new-clickfix-attack-uses-dns-hijacking/

Report completeness: Low

Threats:
Clickfix_technique
Dns_hijacking_technique
Modelorat

Victims:
Consumers

ChatGPT TTPs:
do not use without manual check
T1204, T1565, T1566

IOCs:
File: 2
IP: 1

Soft:
Microsoft Defender

Algorithms:
zip

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Эксплойт Clickfix использует DNS hijacking для обеспечения возможности установки вредоносное ПО путем обмана пользователей с целью изменения их настроек DNS, что перенаправляет их на вредоносные сайты. Используя тактику социальной инженерии, злоумышленники создают убедительные рассказы, чтобы завоевать доверие пользователей, и манипулируют этими настройками, что приводит к потенциальному внедрению вредоносное ПО, которое может включать эксфильтрация данных и удаленный доступ. Этот метод не только компрометация безопасности отдельных пользователей, но и создает риск распространения вредоносное ПО по сетям.
-----

Эксплойт Clickfix представляет собой важный метод в области киберугроза, в частности, использующий DNS hijacking для облегчения установки вредоносное ПО. Этот метод направлен на то, чтобы обманом заставить пользователей изменить свои настройки DNS, что может эффективно перенаправлять веб-трафик на вредоносные сайты, контролируемые злоумышленник. Как только пользователи непреднамеренно изменяют свои настройки DNS, эксплойт может инициировать серию действий, которые внедряют вредоносное ПО в системы компрометация.

Основной механизм эксплойта Clickfix основан на социальной инженерии, когда злоумышленники создают убедительные повествования или интерфейсы, которые заставляют пользователей доверять законности изменения конфигураций DNS. Корректировка настроек DNS не только ставит под угрозу онлайн-безопасность отдельного пользователя, но и повышает вероятность более широких воздействие, таких как распространение вредоносное ПО по всей сети на нескольких устройствах, подключенных к уязвимой сети.

Вредоносное ПО, развертываемое с помощью этого типа атак, обычно демонстрирует поведение, соответствующее традиционным угрозам, таким как эксфильтрация данных, Троянская программа удаленного доступа и программы-вымогатели, в зависимости от целей злоумышленник. Системы компрометация могут быть использованы для дальнейших атак, включая фишинг или дополнительный несанкционированный доступ к конфиденциальным данным.

Учитывая природу эксплойта Clickfix, он подчеркивает важность осведомленности пользователей и необходимость принятия надежных мер безопасности, таких как фильтрация DNS и сегментация сети. Кроме того, в нем обращается внимание на продолжающуюся эволюцию киберугроза, которые используют наивность пользователей, подчеркивая необходимость непрерывного образования и адаптивных стратегий защиты в фреймворк Кибербезопасность.

#ParsedReport #CompletenessLow
12-02-2026

Have you tried turning it off and on again?On bricking OT devices (part 1)

https://www.midnightblue.nl/blog/have-you-tried-turning-it-off-and-on-again-part-1

Report completeness: Low

Threats:
Industoyer2
Metasploit_tool
Eternal_petya
Disttrack
Killdisk
Acidpour
Fuxnet

Victims:
Wind farms, Solar farms, Combined heat and power plant, Electric grid operators

Industry:
Critical_infrastructure, Energy, Ics

Geo:
Polish, Polands, Moscow, Poland, Ukrainian

CVEs:
CVE-2024-2617 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-8036 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2015-5374 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens siprotec_firmware (4.24)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.004, T1059, T1070.004, T1078, T1105, T1490, T1495, T1531, T1542.004, T1562.001, have more...

IOCs:
File: 1

Soft:
Linux

Platforms:
arm

Links:
have more...
https://github.com/torvalds/linux/blob/2687c848e57820651b9f69d30c4710f4219f7dbf/include/uapi/mtd/mtd-abi.h#L208
https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/dos/scada/siemens\_siprotec4.rb

#ParsedReport #GeneratedSchema
Generated with GPT-4