#ParsedReport #CompletenessLow
11-02-2026

AgreeToSteal: The First Malicious Outlook Add-In Leads to 4,000 Stolen Credentials

https://www.koi.ai/blog/agreetosteal-the-first-malicious-outlook-add-in-leads-to-4-000-stolen-credentials

Report completeness: Low

Actors/Campaigns:
Agreetosteal
Clawhavoc

Victims:
Email users, Bank customers, Internet service provider customers, Webmail users

Industry:
Telco, E-commerce, Financial

Geo:
Canadian

ChatGPT TTPs:
do not use without manual check
T1071.001, T1102, T1566.002, T1583.001

IOCs:
Domain: 1

Soft:
Outlook, Microsoft Outlook, Microsoft Office, Chrome, Graph API, Telegram

Functions:
ReadWriteItem, JavaScript, fetch

Languages:
typescript, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Надстройка Outlook "AgreeToSteal" использовала уязвимости Надстройки Office, что привело к краже около 4000 учетные данные пользователя с помощью метода динамической загрузки контента с сервера. Изначально это был законный инструмент планирования, но он был взломан, чтобы представить поддельную страницу входа в Microsoft, собирающую не только учетные данные электронной почты, но и конфиденциальную финансовую информацию с помощью сложного набора для фишинг-атак. Этот инцидент выявил существенные структурные недостатки в безопасности надстройки Office, поскольку традиционные меры аудита не в состоянии устранить возникающие угрозы, создаваемые такими вредоносными преобразованиями.
-----

Появление надстройки Outlook "AgreeToSteal" выявило значительные уязвимости в работе Надстройки Office, которые привели к краже около 4000 учетные данные пользователей. Вредоносное поведение надстройки атрибутирован с ее методом динамической загрузки содержимого с сервера разработчика каждый раз, когда оно открывается в Outlook. Эта модель сопряжена со значительными рисками, поскольку, как только пользователь взаимодействует с надстройкой, ему открывается обманчивая страница входа в систему Microsoft вместо предполагаемого интерфейса планирования собраний.

AgreeTo возник как законный инструмент планирования с открытым исходным кодом, с активной базой пользователей и хорошо поддерживаемым репозиторием GitHub, демонстрирующий, что он был создан кем-то, изначально намеревавшимся построить бизнес. Однако этот инструмент был захвачен в злонамеренных целях. Злоумышленник использовал четырехстраничный фишинг-набор, состоящий из поддельной страницы входа в систему, страницы сбора паролей, скрипта эксфильтрация и механизма перенаправления.

Масштабы операции вызывают особую тревогу, поскольку один и тот же злоумышленник связан по меньшей мере с дюжиной различных наборов для фишинг-атак, каждый из которых имитирует различные авторитетные бренды, включая канадских интернет-провайдеров и банки. Компрометация данных включает в себя не только учетные данные электронной почты, но и конфиденциальную информацию, такую как номера кредитных карт, CVV, PIN-коды и ответы на вопросы банковской безопасности. Это указывает на хорошо организованную фишинг-операцию, способную перехватывать финансовые транзакции с помощью таких методов, как электронный перевод Interac.

Этот случай подчеркивает критический структурный недостаток в том, как разрабатывались и отслеживались Надстройки Office, поскольку они являются динамическими объектами, которые могут изменять содержимое без каких-либо процессов информирования, предупреждающих пользователей или аудиторов во время их вредоносного преобразования. Это вызывает вопросы об адекватности применяемых мер безопасности, поскольку традиционных проверок на определенный момент времени недостаточно для защиты пользователей от возникающих угроз, которые используют законные приложения в качестве механизмов доставки. Инцидент иллюстрирует насущную потребность в усовершенствованных системах мониторинга, способных обнаруживать переход от доброкачественного к вредоносному поведению в зависимостях программного обеспечения.

#ParsedReport #CompletenessHigh
12-02-2026

How ClickFix Opens the Door to Stealthy StealC Information Stealer

https://www.levelblue.com/blogs/spiderlabs-blog/how-clickfix-opens-the-door-to-stealthy-stealc-information-stealer

Report completeness: High

Threats:
Clickfix_technique
Stealc
Process_injection_technique
Process_hollowing_technique
Donut

Victims:
Windows users, Hospitality

Industry:
Entertainment

Geo:
Vietnamese

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1027.009, T1041, T1055, T1059.001, T1070.004, T1071.001, T1082, T1102, have more...

IOCs:
Url: 6
File: 14
IP: 4
Hash: 2
Path: 3
Registry: 2
Command: 1

Soft:
Steam, Outlook, Microsoft Visual C++, Windows service, Chrome, Opera, Opera GX, Vivaldi, Chromium, Firefox, have more...

Wallets:
metamask, coinbase, atomicwallet, electrum, exodus_wallet, bitcoincore

Crypto:
ethereum, monero

Algorithms:
sha256, rc4, aes-gcm, base64

Functions:
DPAPI

Win API:
CryptUnprotectData, RegQueryValueExA, VirtualAlloc, CreateThread

Languages:
powershell, python, javascript, php

Platforms:
intel, x64

Links:
https://github.com/drole/StealC-C2-Traffic-Decryption-Tool

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix использует социальную инженерию для выполнения многоэтапной атаки на системы Windows, в ходе которой используется Stealer. StealC information (программа для кражи данных). information Пользователей заманивают с помощью мошеннического приглашения Cloudflare, запускающего вредоносные команды PowerShell, которые извлекают сценарий загрузки, что в конечном итоге приводит к загрузке StealC. Вредоносное ПО предназначено для обширного извлечения данных, нацеливаясь на учетные данные из браузеров и криптовалютных кошельков, используя при этом скрытые методы, включая выполнение без файлов и зашифрованную связь со своим сервером C2.
-----

Кампания ClickFix использует тактику социальной инженерии для проведения многоэтапной атаки, нацеленной на системы Windows, и в конечном итоге развертывает StealC. Атака начинается с мошеннического запроса на проверку Cloudflare, который поощряет выполнение вредоносных команд PowerShell, когда пользователи получают доступ к веб-сайтам с компрометация, таким как сайт вьетнамского ресторана. Это приводит к загрузке вредоносной полезной нагрузки JavaScript, которая создает поддельную страницу проверки CAPTCHA.

Первоначально, после выполнения, команда PowerShell извлекает сценарий загрузки с определенного IP-адреса. Последующий шаг включает загрузку независимого от позиции шеллкода, упакованного в файл (cptch.bin), который генерируется фреймворк Donut. Этот фреймворк обеспечивает скрытное выполнение, поскольку шелл-код может запускаться с любого адреса памяти, способствуя безфайловому поведению вредоносное ПО путем встраивания всего исполняемого файла.

Следующий этап включает в себя использование 64-разрядного исполняемого файла Windows PE, предназначенного для загрузки окончательной полезной нагрузки, которая позже вводится в законный процесс Windows. StealC, основное вредоносное ПО, имеет модульную конструкцию с различными возможностями извлечения данных. Он нацелен на учетные данные браузера, расширения криптовалютного кошелька, информацию об учетной записи игровой платформы и учетные данные электронной почты, особенно из Outlook.

Более подробно, StealC ищет и извлекает пароли, сеансовые файлы cookie и информацию о кредитной карте из баз данных браузера пользователя. Вредоносное ПО также тщательно собирает информацию о криптовалютных кошельках и использует запросы реестра для обнаружения путей установки Steam и сведений о профиле Outlook. Кроме того, в нем реализован системный модуль снятия отпечатков пальцев для сбора обширной информации о зараженной системе.

Одной из примечательных особенностей StealC является его способность делать скриншоты, используя Windows API, с последующим сохранением и загрузкой этих изображений на сервер управление (C2). Кроме того, он содержит функцию захвата файлов, которая выполняет поиск по каталогам файлов, соответствующих определенным критериям для эксфильтрация.

Для связи с сервером C2 используются структурированные полезные данные в формате JSON и различные методы шифрования как данных, так и трафика, что затрудняет обнаружение. Операционная система вредоносное ПО включает в себя функцию "самоудаления", которая удаляет его после успешной фильтрации данных.

Стратегии обнаружения, предлагаемые для выявления таких кампаний, включают мониторинг необычных строк пользовательского агента, помечение определенных HTTP-запросов POST и оповещение о значительных шаблонах загрузки данных в подозрительные домены. Кампания ClickFix иллюстрирует современные многогранные векторы атак, которые используют социальную инженерию, выполнение без файлов и сложные методы эксфильтрация данных для обхода традиционных мер безопасности.

#ParsedReport #CompletenessLow
16-02-2026

Tracking DigitStealer: How Operator Patterns Exposed C2 Infrastructure

https://cyberandramen.net/2026/02/16/tracking-digitstealer-how-operator-patterns-exposed-c2-infrastructure/

Report completeness: Low

Threats:
Digitstealer

Victims:
Cryptocurrency wallets, Browser data users, Macos users

Industry:
Entertainment

Geo:
Sweden

ChatGPT TTPs:
do not use without manual check
T1005, T1071.001, T1555.001, T1555.003, T1583.001, T1583.003, T1587.001

IOCs:
IP: 8
File: 2
Domain: 17

Soft:
macOS, nginx, OpenSSH

Crypto:
binance

Algorithms:
md5

Languages:
applescript, javascript, python

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DigitStealer - это вредоносное ПО для кражи информации, выявленное в ноябре 2025 года, предназначенное для нацеливания на криптовалютные кошельки и конфиденциальные данные macOS. Его структура управление (C2) включает в себя четыре отдельные конечные точки, все зарегистрированные в доменах .com и размещенные в одной сети в Швеции, что указывает на потенциал для дальнейшего анализа. Операторы, использующие вредоносное ПО, предпочитают доменный сервис Tucows для автоматической регистрации, при этом один выброс осуществляется в рамках другого сервиса, не участвующего в его основных операциях.
-----

DigitStealer - это вредоносное ПО для кражи информации, впервые замеченное Jamf Threat Labs в ноябре 2025 года, в первую очередь нацеленное на ряд криптовалютных кошельков, данные браузера и данные Связка ключей macOS, а также другую конфиденциальную информацию. Очевидно, что в нем нет веб-панели для совместного доступа между операторами или аффилированными лицами, что отличает его от других вредоносное ПО в этой категории.

Коммуникационная модель DigitStealer многогранна и использует четыре отдельные конечные точки для операций управление (C2). Примечательно, что все домены, связанные с DigitStealer, используют домен верхнего уровня .com, и проверка базовых IP-адресов осуществляется с помощью таких инструментов, как Hunt.io показывает, что эти IP-адреса размещены в одной и той же сети, в частности в сети Abstract Ltd, расположенной в Швеции. Эта общая инфраструктура предоставляет возможность для дальнейшего изучения и смягчения последствий.

Кроме того, операторы, использующие вредоносное ПО, отдают особое предпочтение службе регистрации доменов Tucows, что указывает на возможный автоматизированный процесс регистрации домена. В то время как большинство идентифицированных доменов относятся к .com, существует аномалия с одним доменом, зарегистрированным в Immaterialism Limited, который, несмотря на подключение к серверу DigitStealer, не соответствует установленному шаблону .com и, как полагают, не играет роли в деятельности вредоносное ПО.

В совместной работе эти характеристики инфраструктуры, включая использование определенных доменов, IP—хостинга, HTTPS—серверов nginx на порту 443 и двух версий OpenSSH, создают узнаваемый отпечаток операций DigitStealer. Такая согласованность в их структуре сети C2 способствовала выявлению других потенциально связанных доменов, о некоторых из которых еще не сообщалось. Таким образом, благодаря анализу общих сетевых атрибутов, привязанных к известным серверам C2, аналитики безопасности могут усилить усилия по обнаружению угроз и устранению неполадок в DigitStealer.

#ParsedReport #CompletenessHigh
12-02-2026

LummaStealer Is Getting a Second Life Alongside CastleLoader

https://www.bitdefender.com/en-us/blog/labs/lummastealer-second-life-castleloader

Report completeness: High

Actors/Campaigns:
Graybravo

Threats:
Lumma_stealer
Castleloader
Clickfix_technique
Rugmi
Donutloader
Anydesk_tool
Lolbin_technique

Victims:
Individual users, Consumers, General internet users

Industry:
Education, Entertainment, Healthcare, E-commerce, Media

Geo:
India

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1053.005, T1059.003, T1059.005, T1105, T1189, T1204.001, T1204.002, have more...

IOCs:
File: 36
Command: 5
Path: 1
Url: 14
Hash: 1302
Domain: 351
IP: 29

Soft:
Steam, KeePass, Authy, Gmail, Outlook, Discord, TradingView

Wallets:
metamask, electrum, coinomi, bitcoincore, jaxx, steem, trezor

Crypto:
binance, ethereum

Algorithms:
lznt1, xor

Win API:
CreateProcessW, RtlDecompressFragment

Win Services:
ekrn

Languages:
python, autoit, powershell

Links:
https://github.com/bitdefender/malware-ioc/blob/master/2026\_02\_11-Lumma-Stealer-ioc.csv

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вновь появился LummaStealer, нацеленный на системы Windows для эффективного сбора конфиденциальной информации, такой как учетные данные и криптовалютные кошельки, главным образом с помощью тактики социальной инженерии. Он поставляется CastleLoader, который запускает вредоносное ПО с помощью динамической загрузки и запутывания, используя обманчивые загрузки-приманки, замаскированные под законное программное обеспечение, часто из одноранговых сетей. Работа вредоносное ПО приводит к серьезным угрозам, включая захват учетных записей и финансовое мошенничество, путем извлечения обширных персональных данных у пользователей, подвергшихся компрометация.
-----

LummaStealer вновь проявила повышенную активность, несмотря на предыдущие усилия правоохранительных органов по демонтажу ее инфраструктуры в 2022 году. Вредоносное ПО, нацеленное в первую очередь на системы Windows, эффективно собирает конфиденциальные данные, такие как учетные данные, сеансовые файлы cookie и криптовалютные кошельки. Он использует методы социальной инженерии, а не прямые уязвимости программного обеспечения, часто обманом заставляя пользователей запускать вредоносное ПО с помощью таких обманчивых методов, как поддельные загрузки программного обеспечения, капчи и поддельные предложения игр или фильмов.

CastleLoader стал основным механизмом доставки для LummaStealer, использующим такие методы, как выполнение в памяти и сильное запутывание, чтобы избежать обнаружения. Этот загрузчик на основе скриптов, который может быть реализован на таких языках, как Python и AutoIt, облегчает загрузку LummaStealer в память. Он также использует интересную тактику, когда генерирует неудачные DNS-запросы к несуществующим доменам, создавая обнаруживаемый шаблон, который можно отследить. После выполнения он также изменяет среду пользователя, создавая ярлыки, которые автоматизируют закрепление вредоносное ПО.

Кампании, использующие LummaStealer и CastleLoader, в основном начинаются с загрузки приманки, которая заманивает пользователей к установке вредоносных программ, замаскированных под законное программное обеспечение. Часто в качестве приманки используется взломанное программное обеспечение для популярных приложений и игр, особенно тех, которые распространяются в одноранговых сетях. Эффективные методы распространения включают использование законных платформ и сетей доставки контента, что усложняет усилия по обнаружению.

Последствия деятельности LummaStealer серьезны и создают такие риски, как захват учетных записей, кража личных данных и масштабное финансовое мошенничество. После развертывания вредоносное ПО может извлекать огромный массив личной информации, что приводит к немедленному и устойчивому воздействие на конфиденциальность пользователей. Чтобы смягчить эти угрозы, организации и пользователи должны уделять особое внимание обучению осведомленности и контролю поведения, поскольку успех схемы в значительной степени зависит от действий пользователей. Эта постоянная угроза подчеркивает адаптивный и эволюционирующий ландшафт вредоносное ПО, который использует стратегии социальной инженерии и сложные механизмы доставки.

#ParsedReport #CompletenessLow
14-02-2026

New Clickfix Exploit Tricks Users into Changing DNS Settings for Malware Installation

https://cybersecuritynews.com/new-clickfix-attack-uses-dns-hijacking/

Report completeness: Low

Threats:
Clickfix_technique
Dns_hijacking_technique
Modelorat

Victims:
Consumers

ChatGPT TTPs:
do not use without manual check
T1204, T1565, T1566

IOCs:
File: 2
IP: 1

Soft:
Microsoft Defender

Algorithms:
zip

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Эксплойт Clickfix использует DNS hijacking для обеспечения возможности установки вредоносное ПО путем обмана пользователей с целью изменения их настроек DNS, что перенаправляет их на вредоносные сайты. Используя тактику социальной инженерии, злоумышленники создают убедительные рассказы, чтобы завоевать доверие пользователей, и манипулируют этими настройками, что приводит к потенциальному внедрению вредоносное ПО, которое может включать эксфильтрация данных и удаленный доступ. Этот метод не только компрометация безопасности отдельных пользователей, но и создает риск распространения вредоносное ПО по сетям.
-----

Эксплойт Clickfix представляет собой важный метод в области киберугроза, в частности, использующий DNS hijacking для облегчения установки вредоносное ПО. Этот метод направлен на то, чтобы обманом заставить пользователей изменить свои настройки DNS, что может эффективно перенаправлять веб-трафик на вредоносные сайты, контролируемые злоумышленник. Как только пользователи непреднамеренно изменяют свои настройки DNS, эксплойт может инициировать серию действий, которые внедряют вредоносное ПО в системы компрометация.

Основной механизм эксплойта Clickfix основан на социальной инженерии, когда злоумышленники создают убедительные повествования или интерфейсы, которые заставляют пользователей доверять законности изменения конфигураций DNS. Корректировка настроек DNS не только ставит под угрозу онлайн-безопасность отдельного пользователя, но и повышает вероятность более широких воздействие, таких как распространение вредоносное ПО по всей сети на нескольких устройствах, подключенных к уязвимой сети.

Вредоносное ПО, развертываемое с помощью этого типа атак, обычно демонстрирует поведение, соответствующее традиционным угрозам, таким как эксфильтрация данных, Троянская программа удаленного доступа и программы-вымогатели, в зависимости от целей злоумышленник. Системы компрометация могут быть использованы для дальнейших атак, включая фишинг или дополнительный несанкционированный доступ к конфиденциальным данным.

Учитывая природу эксплойта Clickfix, он подчеркивает важность осведомленности пользователей и необходимость принятия надежных мер безопасности, таких как фильтрация DNS и сегментация сети. Кроме того, в нем обращается внимание на продолжающуюся эволюцию киберугроза, которые используют наивность пользователей, подчеркивая необходимость непрерывного образования и адаптивных стратегий защиты в фреймворк Кибербезопасность.

#ParsedReport #CompletenessLow
12-02-2026

Have you tried turning it off and on again?On bricking OT devices (part 1)

https://www.midnightblue.nl/blog/have-you-tried-turning-it-off-and-on-again-part-1

Report completeness: Low

Threats:
Industoyer2
Metasploit_tool
Eternal_petya
Disttrack
Killdisk
Acidpour
Fuxnet

Victims:
Wind farms, Solar farms, Combined heat and power plant, Electric grid operators

Industry:
Critical_infrastructure, Energy, Ics

Geo:
Polish, Polands, Moscow, Poland, Ukrainian

CVEs:
CVE-2024-2617 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-8036 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2015-5374 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens siprotec_firmware (4.24)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.004, T1059, T1070.004, T1078, T1105, T1490, T1495, T1531, T1542.004, T1562.001, have more...

IOCs:
File: 1

Soft:
Linux

Platforms:
arm

Links:
have more...
https://github.com/torvalds/linux/blob/2687c848e57820651b9f69d30c4710f4219f7dbf/include/uapi/mtd/mtd-abi.h#L208
https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/dos/scada/siemens\_siprotec4.rb

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В декабре 2025 года скоординированная кибератака была нацелен на электросеть Польши, используя уязвимости в распределенных энергетических ресурсах (DERS), таких как Hitachi RTU560 и Mikronika RTUs. Злоумышленники осуществили компрометация этих устройств через открытые веб-интерфейсы и SSH, используя учетные данные по умолчанию, загрузив вредоносное прошивка, которая заблокировала RTU и стерла файловые системы. Эти методы включали Удаленное Выполнение Кода, внедрение команд и методы доступа к файловой системе, что представляло значительный риск для операционных технологических систем.
-----

В декабре 2025 года скоординированные кибератаки были нацелен на электросеть Польши, воздействие на различные инфраструктуры, включая ветряные и солнечные электростанции и комбинированную теплоэлектростанцию. Хотя непосредственное воздействие на энергосистему было ограниченным, методы, использованные во время атаки, вызвали серьезные опасения из-за их своевременности в условиях суровых погодных условий, которые могли усугубить ситуацию.

Метод атаки в первую очередь включал распределенные энергетические ресурсы (DERS), которые подают электроэнергию в сеть. Связь между этими ресурсами и операторами региональных распределительных систем (DSO) осуществляется через подстанции Grid Connection Point (GCP), где удаленные терминальные устройства (RTU) управляют взаимодействиями с системами диспетчерского управления и сбора данных (SCADA). Расследование показало, что использовались конкретные тактики, методы и процедуры (TTP), особое внимание уделялось уязвимостям, присутствующим в устройствах.

Среди устройств были компрометация контроллеров Hitachi RTU560 с использованием метода, при котором злоумышленники использовали открытые веб-интерфейсы с учетные данные по умолчанию. Вредоносная прошивка была загружена для "жесткой" блокировки устройств. Примечательно, что в RTU была функция "безопасного обновления", которая не была включена по умолчанию и имела уязвимость обхода (CVE-2024-2617), затрагивающую несколько версий прошивка до 13.7.7.

Еще одним набором устройств для компрометация были Mikronika RTUs. Злоумышленники получили доступ к этим системам через SSH, используя учетные записи root с учетные данные по умолчанию, что позволило им стереть файловые системы устройств. Хотя конкретные модели, на которые был нацелен вирус, не разглашались, многие использовали OMAP-системы Texas Instruments, что упрощало разработку вредоносных полезных нагрузок.

Устройства серии Moxa NPort 6000 также были задействованы, но злоумышленники не блокировали эти устройства. Вместо этого они использовали учетные данные по умолчанию для получения доступа, сбросили устройства к заводским настройкам и изменили параметры конфигурации, чтобы затруднить восстановление, сделав их недоступными.

Методы взлома заслуживают особого внимания, поскольку они отличаются от обычных атак типа "Отказ в обслуживании" (DoS). В отличие от DoS-атак, которые обычно усложняют усилия по восстановлению, но позволяют осуществлять восстановление без физической замены, блокирование приводит к полному выходу устройств из строя, что требует обширных восстановительных работ.

Способы компрометации устройств включали в себя установку вредоносных обновлений прошивка, получение доступа к файловой системе через такие службы, как FTP или SSH, использование методов Удаленное Выполнение Кода (RCE), а также внедрение команд или методы повреждения памяти. Осведомленность о безопасности и устойчивость к таким уязвимостям в системах операционных технологий (OT) являются обязательными, что требует детальных оценок и усовершенствованных политик безопасности для всех устройств в критически важных секторах.

#ParsedReport #CompletenessLow
10-02-2026

Active Ivanti Exploitation Traced to Single Bulletproof IPPublished IOC Lists Point Elsewhere

https://www.greynoise.io/blog/active-ivanti-exploitation

Report completeness: Low

Threats:
Gootkit
Spynote_rat

Victims:
Ivanti endpoint manager mobile users

Industry:
Government

Geo:
Hong kong, Netherlands, Dutch, Sweden, Russia, England

CVEs:
CVE-2026-1281 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (le12.5.0.0, 12.5.1.0, 12.6.0.0, 12.6.1.0, 12.7.0.0)

CVE-2026-21962 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle http_server (12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0)
- oracle weblogic_server_proxy_plug-in (12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0)

CVE-2026-1340 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-24799 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- glpi-project glpi (<10.0.18)

CVE-2026-24061 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gnu inetutils (le2.7)


ChatGPT TTPs:
do not use without manual check
T1059.004, T1071.004, T1190, T1505.003, T1583.003, T1583.006, T1587.003, T1595.001, T1595.002, T1608.004, have more...

IOCs:
File: 1
IP: 5

Soft:
Ivanti, Slack, WebLogic, Ivanti EPMM, Chrome, Firefox

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4