#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания AiFrame нацелена примерно на 260 000 пользователей Google Chrome с помощью вредоносных расширений для браузера, замаскированных под помощников с искусственным интеллектом. Эти расширения используют полноэкранный iframe для имитации законных интерфейсов, собирая данные телеметрии при взаимодействии с тематическими поддоменами на tapnetic.pro домен. В атаке используются такие методы, как Теневая (drive-by) компрометация, Маскировка и тактика adversary-in-the-middle для получение учетных данных, что указывает на значительную угрозу безопасности браузера за счет использования доверия пользователей к инструментам искусственного интеллекта.
-----

Кампания AiFrame использует вредоносные браузерные расширения, Маскировка которых осуществляется под законных помощников с искусственным интеллектом, и нацелена примерно на 260 000 пользователей Google Chrome. Эта кампания подчеркивает растущую тенденцию, когда киберпреступники используют популярность инструментов генеративного искусственного интеллекта, таких как ChatGPT и Claude, для обмана пользователей и получения доступа к их информации.

Вредоносные расширения создаются таким образом, чтобы казаться независимыми, с разными названиями, фирменным стилем и идентификаторами расширений. Однако они имеют единую внутреннюю структуру и похожи друг на друга логикой JavaScript, разрешениями и серверной инфраструктурой. Основной метод заключается в отображении полноэкранного iframe, который указывает на удаленный домен (claude.tapnetic.pro). Этот iframe накладывается на текущую веб-страницу, создавая интерфейс, который имитирует внешний вид допустимого расширения.

Эти расширения предназначены для сбора телеметрических данных. Каждый вариант взаимодействует с определенным поддоменом tapnetic.pro тематика которого соответствует продукту с искусственным интеллектом, за который он себя выдает, что усиливает обманчивый характер кампании. Более того, злоумышленники используют тактику, позволяющую избежать обнаружения механизмами принудительного использования Chrome Web Store, что позволяет повторно загружать и распространять вредоносные расширения без существенных препятствий.

Тактика, методы и процедуры (TTP), используемые в этой кампании, соответствуют нескольким выявленным методологиям борьбы с угрозами. Этап разработки ресурса включает в себя приобретение инфраструктуры для поддержки вредоносных действий (T1583). Первоначальный доступ достигается с помощью Теневая (drive-by) компрометация (T1189), когда жертвы неосознанно устанавливают расширения, часто через Доверительные отношения (T1199). Выполнение характеризуется выполнением скрипта (T1036) и Маскировка (T1036), что еще больше скрывает злонамеренные намерения расширений.

Злоумышленник нацелен на получение учетных данных (T1557) с помощью методов adversary-in-the-middle, позволяющих ему собирать конфиденциальную пользовательскую информацию. Связь и командное управление устанавливаются с помощью методов, основанных на Веб-служба (T11.005) и выделенных поддоменов, облегчающих эксфильтрация данных (T12.001). Эта кампания знаменует собой критический прорыв в модели безопасности браузера, используя доверие пользователей к законным технологиям искусственного интеллекта, подчеркивая необходимость повышенной бдительности в отношении подобных угроз.

#ParsedReport #CompletenessMedium
12-02-2026

Unpacking the New Matryoshka ClickFix Variant: Typosquatting Campaign Delivers macOS Stealer

https://www.intego.com/mac-security-blog/matryoshka-clickfix-macos-stealer/

Report completeness: Medium

Actors/Campaigns:
Overload

Threats:
Clickfix_technique
Typosquatting_technique
Clipboard_injection_technique

Victims:
Macos users, Cryptocurrency users

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1056.002, T1059.004, T1105, T1204.001, T1204.002, T1583.001, T1584.005

IOCs:
Domain: 3
Url: 2
File: 2

Soft:
macOS, curl, url -s, url -X, Ledger Live, Electron

Wallets:
trezor

Algorithms:
base64, zip, gzip, sha256

Functions:
daemon_function

Languages:
applescript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Matryoshka ClickFix специально нацелена на пользователей macOS с помощью социальной инженерии и typosquatting, что приводит жертв к вредоносным доменам, которые запрашивают вводящие в заблуждение команды в терминале. Атака использует сложную технику обфускации для доставки сценария оболочки, который извлекает и декодирует полезную нагрузку для сбора конфиденциальной информации, особенно с акцентом на криптовалютные кошельки. Примечательно, что он использует сложные методы для манипулирования законными приложениями, повышая свою скрытность и эффективность.
-----

Вариант Matryoshka ClickFix представляет собой эволюцию кампании "ClickFix", которая специально ориентирована на пользователей macOS с помощью сложного подхода социальной инженерии. В этой кампании используется метод, известный как typosquatting, когда пользователи непреднамеренно переходят на вредоносный домен, ошибочно вводя URL-адреса законных сайтов проверки программного обеспечения, таких как "comparisions.org ." Попав на сайт, жертва перенаправляется через Система распределения трафика (TDS) и получает инструкции по выполнению вводящей в заблуждение команды в терминале macOS.

Техническая архитектура этой кампании демонстрирует технику вложенного запутывания, напоминающую русскую матрешку, отсюда и название "Matryoshka". В отличие от более ранних версий ClickFix, в которых использовались более понятные скрипты, в этом варианте используется сложная оболочка, которая скрывает его операционную логику как от сетевых сканеров, так и от статического анализа. Первоначальная команда, выполняемая жертвой, напрямую не загружает типичное приложение macOS; вместо этого она извлекает безобидный на вид сценарий оболочки, содержащий значительную закодированную полезную нагрузку.

Полезная нагрузка работает в два основных этапа. На этапе 0 введенная команда облегчает доступ к буферу обмена, позволяя извлекать закодированную, сжатую полезную нагрузку. На этапе 1 эта полезная нагрузка декодируется и распаковывается в памяти, что делает ее исполняемой только во время выполнения, что добавляет уровень сложности тактике уклонения вредоносное ПО.

После выполнения полезная нагрузка, в основном созданная в AppleScript, предназначена для сбора конфиденциальной информации. По своей сути, он пытается получить учетные данные с помощью автоматизированного процесса, который завершается неудачей, приводящей к циклу фишинг. Этот цикл имитирует диалоговое окно "Системные настройки" macOS, настойчиво запрашивающее у жертвы пароль. Примечательно, что вредоносное ПО явно нацелено на приложения для криптовалютных кошельков, используя две различные стратегии: для Trezor Suite оно принудительно закрывает процесс, удаляет приложение и устанавливает вредоносную замену; для Ledger Live оно использует более скрытный подход, который включает замену компонентов подлинного приложения и их повторную подпись, таким образом обходя защиту. проверка целостности.

Таким образом, кампания Matryoshka ClickFix иллюстрирует усовершенствованный метод обмана пользователей без использования традиционных эксплойтов, фокусируясь на убеждении жертв выполнить первоначальную команду. Вложенный механизм доставки и нацелен на полезную нагрузку AppleScript делают эту угрозу особенно опасной для нацелен на важные объекты, такие как учетные данные браузера и криптовалютные кошельки. Следует принять меры безопасности, чтобы проинформировать пользователей о рисках, связанных с typosquatting и несанкционированным выполнением команд в их системах.

#ParsedReport #CompletenessHigh
11-02-2026

Lotus Blossom (G0030) and the Notepad++ Supply-Chain Espionage Campaign

http://dti.domaintools.com/research/lotus-blossom-and-the-notepad-supply-chain-espionage-campaign

Report completeness: High

Actors/Campaigns:
Dragonfish (motivation: financially_motivated, cyber_espionage)
Stone_panda
Winnti

Threats:
Supply_chain_technique
Chrysalis
Sagerunex
Elise
Spear-phishing_technique
Dll_sideloading_technique
Cobalt_strike_tool
Lolbin_technique
Dllsearchorder_hijacking_technique

Victims:
Government, Financial institutions, Information technology service providers, Developers, System administrators

Industry:
Retail, Maritime, Military, Telco, Government

Geo:
China, Philippines, Asian, Australia, Taiwan, Hong kong, America, Indonesia, Vietnam, Asia, Chinese, El salvador, Oceania

TTPs:
Tactics: 4
Technics: 0

IOCs:
Domain: 3
IP: 3
File: 4
Url: 9
Hash: 6
Path: 3

Soft:
Outlook, Dropbox, Twitter, WireGuard, NSIS installer, Windows service

Algorithms:
exhibit

#ParsedReport #ExtractedSchema

Classified images:
schema: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Шпионская кампания Notepad++ supply-chain spionage, атрибутирован с китайской группой Lotus Blossom (G0030), использовала инфраструктуру распространения обновлений сторонних производителей вместо компрометации кода программного обеспечения, что позволило манипулировать пользовательскими обновлениями. Операция была нацелен на разработчиков и системных администраторов в Юго-Восточной Азии, которые внедрили пользовательский бэкдор под названием Chrysalis для предоставления дополнительной полезной нагрузки при сборе политически чувствительной информации. Это высвечивает уязвимости в экосистемах программного обеспечения, подчеркивая важность мониторинга шаблонов обновлений для защиты от подобных атак в будущем.
-----

Lotus Blossom (G0030) провела шпионскую кампанию supply-chain, нацелен на Notepad++, используя механизм обновления программного обеспечения с конца 2025 по начало 2026 года. Злоумышленники манипулировали сторонней инфраструктурой для получения обновлений, не изменяя код программного обеспечения. Кампания была нацелена на высокоценные технические должности, особенно на разработчиков и системных администраторов. Группа использовала несанкционированный доступ к хостингу обновлений для развертывания нескольких цепочек заражения с различными полезными нагрузками. Пользовательский бэкдор под названием Chrysalis был развернут для доставки дополнительной полезной нагрузки и поддержания скрытности. Теракт был нацелен на конкретных жертв в Юго-Восточной Азии, в частности во Вьетнаме и на Филиппинах, что соответствовало геополитическим интересам Китая. Шпионаж был сосредоточен на сборе разведданных в политической, экономической и военной областях, не занимаясь Кража денежных средств. Операция выявила уязвимости в системе доверия к экосистеме программного обеспечения, особенно в отношении сред разработчиков и администраторов. Бдительность при отслеживании шаблонов обновлений и поведения сети необходима для защиты от подобных атак в будущем.

#ParsedReport #CompletenessLow
09-02-2026

Sleeper Shells: How Attackers Are Planting Dormant Backdoors in Ivanti EPMM

https://defusedcyber.com/ivanti-epmm-sleeper-shells-403jsp

Report completeness: Low

Victims:
Governments, Major institutions, Ivanti epmm users

Industry:
Government

Geo:
America, Netherlands, Usa

CVEs:
CVE-2026-1340 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-1281 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (le12.5.0.0, 12.5.1.0, 12.6.0.0, 12.6.1.0, 12.7.0.0)


ChatGPT TTPs:
do not use without manual check
T1027, T1082, T1083, T1105, T1190, T1505.003, T1620

IOCs:
File: 2
Hash: 1
IP: 17

Soft:
Ivanti EPMM, Ivanti, appstore, Unix

Algorithms:
base64, sha256

Functions:
toString

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние уязвимости в Ivanti Endpoint Manager Mobile (EPMM), идентифицированные как CVE-2026-1281 и CVE-2026-1340, позволяют обходить аутентификацию и Удаленное Выполнение Кода, что приводит к успешным атакам на организации, включая государственные учреждения. Злоумышленники развертывают Java-класс с именем base.Info в качестве загрузчика этапа, который вызывает внешние классы на основе определенных параметров, собирая сведения об окружающей среде с хоста. Использование подчеркивает риск необнаруженных вторжений, требуя внимания к признакам компрометация, которые могут не включать традиционные подписи на основе файлов.
-----

Эксплуатация Ivanti Endpoint Manager Mobile (EPMM) продолжается, и недавно были обнаружены критические уязвимости CVE-2026-1281 и CVE-2026-1340, облегчающие обход аутентификации и Удаленное Выполнение Кода. Эти уязвимости обеспечивают неавторизованный доступ к конечным точкам прикладного уровня, что приводит к успешной компрометация различных крупных организаций, включая государственные структуры. После объявления об уязвимостях быстро началась эксплуатационная деятельность в дикой природе.

Злоумышленники развертывали полезную нагрузку, характеризуемую Java-классом с именем base.Info, который служит в качестве загрузчика этапа, а не традиционной веб-оболочки. Этому загрузчику не хватает интерактивных возможностей, вместо этого он фокусируется на получении и выполнении вторичного Java-класса, размещенного извне. При вызове загрузчик проверяет наличие HTTP-параметра с меткой k0f53cf964d387. Если этот параметр присутствует, он декодирует предоставленное значение и загружает его как класс в память с помощью отражающих вызовов без записи каких-либо файлов на диск. Загрузчик также собирает сведения об окружающей среде из хост-системы, такие как пути к каталогам, сведения об операционной системе и пользовательскую информацию, впоследствии передавая их классу второго этапа для потенциальной ориентации злоумышленником.

Показатели компрометация, связанные с этой деятельностью, имеют решающее значение для оценки безопасности систем, использующих Ivanti EPMM. Доказательства такой эксплуатации должны вызвать ответные действия, поскольку само присутствие этого загрузчика указывает на потенциальную компрометация или попытку ее совершения, даже при отсутствии последующих действий. Проверка журнала может выявить большие параметры Base64, начинающиеся со строки, указывающей байт-код Java, в частности "yv66vg", которая указывает на компонент загрузчика классов.

Были идентифицированы сетевые индикаторы компрометация (IOCs), относящиеся к известным вредоносным IP-адресам, что указывает на целый ряд источников атак. Примечательно, что традиционные антивирусные решения могут неточно улавливать эти специализированные полезные нагрузки, поскольку они работают только в памяти, не создавая артефактов на диске. Этот случай подчеркивает значительный риск неактивных вторжений, когда злоумышленники потенциально размещают бэкдор, оставаясь незаметными, тем самым подчеркивая, что наиболее опасными угрозами часто являются те, которые остаются неактивными до тех пор, пока не будут активированы. Эта реальность требует бдительного подхода к мониторингу и реагированию на инциденты, который охватывает как признаки явных, так и скрытых атак.

#ParsedReport #CompletenessHigh
11-02-2026

Odyssey Stealer: Inside a macOS Crypto-Stealing Operation

https://censys.com/blog/odyssey-stealer-macos-crypto-stealing-operation

Report completeness: High

Actors/Campaigns:
Rodrigo4
Ping3r

Threats:
Odyssey_stealer
Amos_stealer
Yamux_tool
Clickfix_technique
Poseidon_stealer

Victims:
Cryptocurrency users, Macos users

Geo:
Germany, Holland, Singapore, Moscow, Lithuania, Russian, Russia, Netherlands, Austria

TTPs:
Tactics: 5
Technics: 0

IOCs:
IP: 12
Domain: 3
File: 7
Url: 2
Hash: 13

Soft:
macOS, Ledger Live, Telegram, Chromium, Firefox, Chrome, sudo, curl, Gatekeeper, Vivaldi, have more...

Wallets:
metamask, electrum, trezor, coinbase, tronlink, ronin_wallet, exodus_wallet, bitcoincore, wassabi, ledger_wallet, have more...

Crypto:
monero, binance

Algorithms:
zip, sha256, md5, base64

Functions:
readFileContents, readFileContentsrepeat

Win API:
createDirectory, Arc

Languages:
javascript, applescript

Platforms:
arm, apple

#ParsedReport #ExtractedSchema

Classified images:
chats: 1, schema: 2, windows: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Odyssey Stealer - это вредоносное ПО для macOS, предназначенное для кражи информации и нацеленное на пользователей криптовалют, работающее по модели "Вредоносное ПОкак услуга". Его инфраструктура включает в себя десять идентифицированных серверов C2 по всей Европе и Азии, использующих запутанный AppleScript для первоначального заражения и минимальную Троянская программа удаленного доступа для закрепление. Вредоносное ПО извлекает конфиденциальные данные, включая файлы cookie браузера и учетные данные, используя тактику социальной инженерии, чтобы обманом заставить пользователей раскрыть системные пароли, при этом постоянное выполнение обеспечивается с помощью рандомизированных имен служб.
-----

Odyssey Stealer - это сложное вредоносное ПО для macOS, похищающее информацию, специально разработанное для нацелен на криптовалюты. Работая по модели "Вредоносное ПО как услуга" (MaaS), она позволяет независимым филиалам получать доступ к своей инфраструктуре, проводя вредоносные кампании и делясь доходами с основным контролирующим органом. Это вредоносное ПО было выявлено в ходе расследований нацелен на Вредоносная Кампания macOS, в частности, нацеленная на пользователей криптовалют.

Инфраструктура Odyssey примечательна своей отличительной панелью управления React и согласованными конечными точками API, упрощающими процесс снятия отпечатков пальцев с серверов командования и контроля (C2). Анализ с помощью Censys выявил десять физических хостов, связанных с инфраструктурой Odyssey's C2, с подключением к кластерам ASN в Европе, особенно в Нидерландах и Германии, и одиночные хосты в Сингапуре, Литве и России. Некоторые из этих серверов предоставляются пуленепробиваемыми хостинговыми службами, что предполагает дизайн, обеспечивающий устойчивость к попыткам взлома.

Поток атак Odyssey's состоит из нескольких этапов, начиная с начального дроппера, который использует запутанный AppleScript, завернутый в сценарий оболочки. Этот дроппер не только инициирует атаку, но и устанавливает минимальную Троянская программа для удаленного доступа (RAT), предназначенную для закрепление путем создания LaunchDaemon со случайными именами служб. Каждый экземпляр RAT считывает адрес C2 с диска, повышая его скрытность, поскольку C2 не закодирован жестко, что затрудняет его обнаружение с помощью статического анализа.

Вредоносное ПО в первую очередь нацелено на конфиденциальные данные, извлекая такую информацию, как файлы cookie веб-браузера и учетные данные, особенно с популярных платформ, таких как Firefox и MetaMask. Он использует тактику социальной инженерии, обманом заставляя пользователей предоставлять свои пароли macOS через поддельное системное диалоговое окно, которое позже используется для получения доступа к мастер-паролю Chrome, хранящемуся в системе Связка ключей.

Сохраняясь в зараженной системе, Odyssey использует случайное имя службы, чтобы гарантировать ее запуск при загрузке системы. Вредоносное ПО может выполнять произвольные команды оболочки и загружать свой прокси-сервер socks5 для эксфильтрация. Панель управления Odyssey предоставляет операторам различные функциональные возможности, включая настройки уведомлений и генератор сборок для создания различных полезных нагрузок.

Odyssey не является оригинальным творением; это ребрендинг Poseidon Stealer, который сам по себе является производным от Atomic macOS Stealer (AMOS), демонстрируя таким образом родословную в сообществе киберпреступников. Его разработка связана с пользователем, известным как Rodrigo4, который активен на русскоязычных форумах по киберпреступность.

Защитные стратегии против Odyssey включают мониторинг необычного использования osascript, тщательную проверку LaunchDaemons на наличие странных шаблонов именования и блокирование связанного с ними сетевого трафика. Кроме того, организациям рекомендуется обучать пользователей распознавать подозрительные запросы во время установки приложений и быть осторожными с ними.

#ParsedReport #CompletenessLow
14-02-2026

Threat Actors Exploit Claude Artifacts and Google Ads to Target macOS Users

https://cybersecuritynews.com/threat-actors-exploit-claude-artifacts-and-google-ads/

Report completeness: Low

Threats:
Macc_stealer
Clickfix_technique

Victims:
Macos users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.002, T1608.006

IOCs:
Url: 2
Domain: 3

Soft:
Claude, macOS, Twitter, curl

Algorithms:
base64, zip

Languages:
applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кибератака, нацеленная на пользователей macOS, использует рекламу Google для распространения вредоносное ПО, замаскированное под легальное программное обеспечение. Злоумышленник использует "артефакты Claude" для повышения достоверности своих атак, приводя пользователей к вредоносным URL-адресам, на которых размещаются мошеннические приложения. Вредоносное ПО способно выполнять вредоносные действия, такие как эксфильтрация данных и выполнение дополнительных полезных нагрузок, что подчеркивает растущую изощренность этих атак и их зависимость от методов социальной инженерии.
-----

Недавний анализ выявил кибератаку, направленную против пользователей macOS, которая использует рекламу Google для распространения вредоносных программ, замаскированных под легальное программное обеспечение. Эта операция включает в себя использование “артефактов Claude”, которые, вероятно, связаны с определенным инструментом или ресурсом, используемым для манипулирования поведением механизмов доставки вредоносное ПО. Эти артефакты служат средством для того, чтобы злоумышленник мог представить свои атаки в более правдоподобном свете, заставляя ничего не подозревающих пользователей загружать вредоносные версии широко используемых приложений.

Поскольку Google Ads упрощает метод распространения, эти злоумышленники создают кампании, имитирующие законную рекламу, привлекая пользователей к вредоносным URL-адресам. Как только пользователи взаимодействуют с этими объявлениями, они перенаправляются на веб-сайты, на которых размещены эти мошеннические приложения. Было замечено, что вредоносное ПО, распространяемое с помощью такой тактики, выполняет различные вредоносные действия, включая эксфильтрация данных и выполнение дополнительных полезных нагрузок, которые компрометация целостности экосистемы macOS.

Методология атаки не только подчеркивает растущую изощренность злоумышленник, но и подчеркивает зависимость от методов социальной инженерии, направленных на использование доверия к признанным платформам, таким как Google. Поскольку пользователей обманом заставляют загружать вредоносное программное обеспечение, представленное как авторитетные приложения, это вызывает серьезные опасения относительно эффективности существующих средств защиты от таких переносчиков. Использование артефактов Claude в этом контексте предполагает индивидуальный подход злоумышленников, потенциально указывающий на конкретные интересы в нацеливании на среды macOS с целью максимизации их воздействие.

Таким образом, это событие отражает растущую тенденцию в среде угроз, когда злоумышленники используют известные рекламные сервисы для распространения вредоносное ПО, специально нацеливаясь на пользователей macOS, используя стратегии социальной инженерии и потенциально используя передовые инструменты или тактику, связанные с артефактами Claude. Эта развивающаяся угроза требует повышенной осведомленности и усовершенствованных мер безопасности среди пользователей macOS для эффективной борьбы с такими киберугроза.

#ParsedReport #CompletenessMedium
15-02-2026

GreyNoise Labs Weekly OAST (Well-known Out-of-band Interaction Domains) Report Week Ending 2026-02-13

https://www.labs.greynoise.io/grimoire/2026-02-13-weekly-oast-report/

Report completeness: Medium

Threats:
Interactsh_tool
Nuclei_tool
Log4shell_vuln
Typosquatting_technique

Victims:
Enterprise it, Cloud services, Web applications, Ivanti epmm deployments

Industry:
Iot

Geo:
Denmark, Korea, France, Vietnamese, Panama, Vietnam, Netherlands, Estonia, Switzerland, Brazil, Brazilian, Russia

CVEs:
CVE-2026-0770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2018-10561 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dasannetworks gpon_router_firmware (-)

CVE-2024-32113 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache ofbiz (<18.12.13)

CVE-2026-1281 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (le12.5.0.0, 12.5.1.0, 12.6.0.0, 12.6.1.0, 12.7.0.0)

CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence_data_center (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)
- atlassian confluence_server (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)

CVE-2025-4123 [Vulners]
CVSS V3.1: 7.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- grafana (<10.4.18, <11.2.9, <11.3.6, <11.4.4, <11.5.4)

CVE-2025-2777 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sysaid (le23.3.40)

CVE-2025-8085 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- metaphorcreations ditty (<3.1.58)

CVE-2025-34028 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- commvault (<11.38.20)

CVE-2025-8943 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- flowiseai flowise (<3.0.1)

CVE-2021-39152 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- xstream (<1.4.18)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1046, T1059.004, T1071.001, T1090.003, T1189, T1190, T1210, T1583.001, T1595.002

IOCs:
IP: 16
Coin: 1
File: 3
Domain: 4

Soft:
Ivanti EPMM, Linux, Ivanti, WireGuard, Apache Log4j, Apache OFBiz, Confluence, WordPress, WebLogic, Adobe ColdFusion, have more...

Algorithms:
sha256

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4