#ParsedReport #CompletenessLow
21-02-2026

Inside the Fix: Analysis of In-the-Wild Exploit of CVE-2026-21513

https://www.akamai.com/blog/security-research/2026/feb/inside-the-fix-cve-2026-21513-mshtml-exploit-analysis

Report completeness: Low

Actors/Campaigns:
Fancy_bear

Threats:
Motw_bypass_technique

Victims:
Windows users

Geo:
Russian

CVEs:
CVE-2026-21513 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1607 (<10.0.14393.8868)
- microsoft windows_10_1809 (<10.0.17763.8389)
- microsoft windows_10_21h2 (<10.0.19044.6937)
- microsoft windows_10_22h2 (<10.0.19045.6937)
- microsoft windows_11_23h2 (<10.0.22631.6649)
have more...

TTPs:

ChatGPT TTPs:
do not use without manual check
T1202, T1204, T1204.001, T1566.001

IOCs:
File: 3
Domain: 1
Hash: 1

Soft:
Internet Explorer

Functions:
The

Win API:
ShellExecuteExW

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-21513 - серьезная уязвимость для обхода функций безопасности, затрагивающая все версии Windows, с оценкой CVSS 8,8. Эксплуатируемая спонсируемым российским государством злоумышленник APT28, она позволяет злоумышленникам обходить защиту браузера и запускать произвольные файлы, используя недостатки в логике системы. ieframe.dll компонент. Изначально использовалось вредоносное по .В файлах LNK этот эксплойт позволяет злоумышленникам понизить уровень безопасности браузера и запускать контент за пределами установленных границ безопасности, что потенциально позволяет использовать дополнительные механизмы доставки в будущих атаках.
-----

В феврале 2026 года корпорация Майкрософт устранила CVE-2026-21513, значительную уязвимость в обходе функций безопасности, затрагивающую все версии Windows через фреймворк MSHTML. Эта уязвимость, которая имеет высокий балл CVSS - 8,8, активно эксплуатируется в дикой природе, в частности, спонсируемым российским государством злоумышленник APT28. Уязвимость позволяет злоумышленникам обходить границы безопасности браузера и запускать произвольные файлы, повышая риск эксплуатации.

Анализ основных причин уязвимости CVE-2026-21513, выполненных сотрудниками компании Akamai через автоматизированный инструмент, PatchDiff-Ай, указал на изъян в логике внутри компонента ieframe.dll ответственные за переходы по гиперссылкам. В частности, недостаточная проверка целевых URL-адресов позволяет контролируемому злоумышленником вводу данных достигать путей выполнения, которые вызывают функцию ShellExecuteExW. Этой уязвимостью можно воспользоваться, вызывая Internet Explorer с помощью ActiveX forms, что позволяет злоумышленникам использовать локальные или удаленные ресурсы вне предполагаемого контекста безопасности браузера.

Эксплойт, связанный с CVE-2026-21513, был впервые отправлен в VirusTotal 30 января 2026 года, незадолго до февральского обновления во вторник. В нем использовался вредоносный код .Файл LNK для инициирования связи с доменом, связанным с APT28, что эффективно снижает меры безопасности браузера и запускает уязвимый поток навигации. Этот метод позволяет обойти веб-метку (MotW) и расширенную конфигурацию безопасности Internet Explorer (IE ESC), позволяя выполнять контролируемый злоумышленником контент незащищенным способом.

В то время как текущая наблюдаемая кампания сосредоточена на файлах LNK, уязвимость также может быть использована с помощью любого компонента, который встраивает MSHTML. Это говорит о том, что для будущих атак могут появиться дополнительные механизмы доставки, помимо фишинг на основе LNK. Чтобы усилить защиту от этой угрозы, организациям необходимо отслеживать активность домена APT28's и использовать системы обнаружения, которые могут предупреждать о закономерностях, связанных с этим конкретным вектором атаки. Akamai Hunt предоставляет информацию о таких действиях и способен автоматически уведомлять пользователей об уязвимых ресурсах, повышая безопасность организации от этой уязвимости.

#ParsedReport #CompletenessMedium
20-02-2026

AI-augmented threat actor accesses FortiGate devices at scale

https://aws.amazon.com/blogs/security/ai-augmented-threat-actor-accesses-fortigate-devices-at-scale/

Report completeness: Medium

Threats:
Credential_harvesting_technique
Nuclei_tool
Meterpreter_tool
Mimikatz_tool
Dcsync_technique
Passthehash_technique
Impacket_tool

Victims:
Organizations using fortigate appliances, Managed service providers, Large organizational networks

Geo:
Africa, Asia, Latin america

CVEs:
CVE-2024-40711 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam_backup_\&_replication (<12.2.0.334)

CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam_backup_\&_replication (<11.0.1.1261, 12.0.0.1420)

CVE-2019-7192 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qnap photo_station (<6.0.3)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.006, T1036, T1046, T1053.005, T1059.001, T1069.002, T1078, T1105, T1110.001, T1110.003, have more...

IOCs:
IP: 2

Soft:
Active Directory, GuardDuty

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние расследования показывают, что финансово мотивированные русскоязычные злоумышленник используют коммерческие инструменты искусственного интеллекта для крупномасштабных кибератак на более чем 600 устройств FortiGate по всему миру, используя слабые методы обеспечения безопасности, такие как открытые порты управления и слабая защита учетные данные. Злоумышленники использовали автоматизированные скрипты для извлечения конфиденциальной информации — такой как учетные данные SSL-VPN — из конфигураций FortiGate, что позволило осуществлять дальнейшие сетевые вторжения с использованием базовых методов постэксплуатации. Эта кампания подчеркивает сдвиг в сторону менее квалифицированных операторов, проводящих обширные операции с помощью искусственного интеллекта, что приводит к оппортунистическому нацеливанию, а не к сложным методам, с заметным процентом неудач при атаке на хорошо защищенные цели.
-----

Злоумышленник, мотивированный финансовыми соображениями, использует коммерческие инструменты искусственного интеллекта для крупномасштабных кибератак, оказывая воздействие на более чем 600 устройств FortiGate в более чем 55 странах. Кампания проходила с 11 января по 18 февраля 2026 года. Злоумышленники сосредоточились на использовании слабых методов обеспечения безопасности, включая незащищенные порты управления и неадекватную защиту учетные данные, а не на конкретных уязвимостях в устройствах FortiGate. Автоматизированные сценарии с поддержкой искусственного интеллекта использовались для извлечения конфиденциальных данных из конфигураций FortiGate, включая учетные данные SSL-VPN и данные сетевой маршрутизации. Эта информация была использована для дальнейшего доступа к целевым сетям с использованием таких методов, как Meterpreter для атак DCSync на контроллеры домена. Нападавшие проявляли оппортунистическую нацеленность и часто меняли фокус, сталкиваясь с усиленной обороной. В инфраструктуре атаки отсутствовали меры безопасности для документации, созданной искусственным интеллектом, содержащей методы атаки и стратегии нацеливания. Инструменты искусственного интеллекта включали в себя фреймворк разведка, написанный на Go и Python. Последующая эксплуатация включала в себя простое извлечение учетные данные и перемещение внутри компании. Автоматизация злоумышленник позволяла им проводить масштабные операции с техническими возможностями от низкого до среднего уровня, что приводило к сбоям в работе с хорошо защищенными целями. Рекомендации для организаций включают обеспечение безопасности интерфейсов управления, ужесточение политики в отношении учетные данные, проведение аудитов и укрепление инфраструктуры резервного копирования для предотвращения несанкционированного доступа и использования программ-вымогателей.

#ParsedReport #CompletenessLow
20-02-2026

Scammers are Targeting Crypto Users Through the Mail

https://flare.io/learn/resources/blog/scammers-targeting-crypto-users-mail

Report completeness: Low

Victims:
Trezor users, Ledger users, Cryptocurrency users

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001, T1566.002, T1583.001

IOCs:
Url: 2

Soft:
Chrome

Wallets:
trezor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние фишинг-кампании, нацеленные на пользователей криптовалют, распространяются с цифровой почты на физическую, примером чего является мошенническое письмо, выдающее себя за поставщика кошельков для Аппаратное обеспечение Trezor. Сообщение ложно запрашивало "Обязательную проверку подлинности" и направляло получателей на вредоносный сайт для ввода фраз восстановления кошелька, которые могут предоставить злоумышленникам доступ к пользовательским средствам. Аналогичная тактика наблюдалась у пользователей Ledger, что указывает на тревожную тенденцию к постоянному фишинг-атакам с использованием данных о прошлых нарушениях.
-----

Недавние события указывают на изменение тактики фишинг-атак на пользователей криптовалют, которая теперь выходит за рамки традиционных цифровых каналов и распространяется на физическую почту. Инцидент, о котором сообщил исследователь безопасности Дмитрий Смилянец, указывает на мошенническое письмо, Маскировка под сообщение от Trezor, авторитетного поставщика кошельков для Аппаратное обеспечение. В письме утверждалось, что оно объявляет об "обязательной проверке подлинности", поощряя получателей загружать свои Закрытые ключи с помощью предоставленного QR-кода, фактически направляя их на вредоносный фишинг-сайт.

Фишинг-домен, связанный с этой кампанией, был разработан для имитации законных страниц, побуждая жертв вводить фразы для восстановления своего кошелька. Такие фразы служат отмычками к криптовалютным кошелькам, позволяя злоумышленникам, получившим эту информацию, получить контроль и истощить средства жертв. Хотя с тех пор фишинг-сайт был деактивирован и помечен предупреждениями о безопасности браузера, его существование иллюстрирует опасную тенденцию.

Были выявлены аналогичные инициативы по фишинг-атакам, нацеленные на пользователей Ledger, другой компании, занимающейся Аппаратное обеспечение кошельков, в которых использовались письма с предупреждением о необходимости "Проверки транзакции", снова связанные с QR-кодом, ведущим на сайт фишинг. Эти продолжающиеся атаки были отмечены еще в октябре 2025 года, что указывает на постоянные усилия злоумышленник.

Эта тактика основана на предыдущих примерах, когда злоумышленник использовал физическую почту для нацеливания на потребителей, в частности, ссылаясь на кампанию 2021 года, которая включала рассылку модифицированных кошельков Ledger, используя данные, полученные в результате взлома базы данных Ledger в 2020 году. В результате взлома было обнародовано 1,1 миллиона пользовательских записей, включая личные адреса, что эффективно предоставило злоумышленник информацию, необходимую для осуществления фишинг-рассылки по электронной почте.

Организациям и частным лицам рекомендуется сообщать о любой подозрительной переписке или попытках фишинг-рассылки непосредственно соответствующим компаниям (Trezor или Ledger) и соответствующим органам, таким как FTC и Google. Бдительность имеет решающее значение, поскольку эти мошенничества становятся все более частыми и изощренными, что подчеркивает необходимость надежного мониторинга и быстрой отчетности для уменьшения потенциальных потерь.

#ParsedReport #CompletenessHigh
21-02-2026

Operation Olalampo: Inside MuddyWaters Latest Campaign

https://www.group-ib.com/blog/muddywater-operation-olalampo/

Report completeness: High

Actors/Campaigns:
Olalampo
Muddywater

Threats:
Ghostfetch
Ghostbackdoor
Http_vip
Char
Spear-phishing_technique
Anydesk_tool
Blackbeard
Rustric

Victims:
Government, Telecommunications, Energy, Critical infrastructure, Contractors, Individuals of interest, System integrator companies

Industry:
Government, Energy, Telco, Critical_infrastructure, Healthcare

Geo:
Middleeast, Mena, Iranian, Middle east

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.001, T1027, T1027.013, T1029, T1030, T1036, T1036.003, T1059, T1059.001, have more...

IOCs:
File: 12
Command: 1
Path: 8
Domain: 5
IP: 5
Hash: 45
Url: 1

Soft:
Telegram, Microsoft Office, curl, sudo, flask, Microsoft Excel, Microsoft Word, linux

Algorithms:
aes, sha1, exhibit

Functions:
Workbook_Open, wait

Win API:
GetTickCount64, SeShutdownPrivilege, SeChangeNotifyPrivilege, SeUndockPrivilege, SeIncreaseWorkingSetPrivilege, SeTimeZonePrivilege

Languages:
rust, python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Olalampo, атрибутирован с иранской APT-группировка MuddyWater, нацелена на организации региона MENA, использующие новые варианты вредоносное ПО, начиная с 26 января 2026 года. Ключевые компоненты включают в себя бэкдор на основе Rust, CHAR, который обменивается данными через Телеграм, и два загрузчика с именами GhostFetch и HTTP_VIP, которые выполняют полезную нагрузку и проводят разведка системы, избегая обнаружения в виртуальных средах. В ходе операции особое внимание уделяется тактике фишинг с использованием вредоносных офисных документов и демонстрируются передовые механизмы командования и контроля, использующие зашифрованные коммуникации и сложную систему обфускации.
-----

Операция "Olalampo" - это новая киберкампания, атрибутирован с иранской APT-группировка MuddyWater, ориентированная на организации в регионе MENA. Запущенная 26 января 2026 года, эта операция использует несколько новых вариантов вредоносное ПО, поддерживает связь командования и контроля (C2) через бота Телеграм и демонстрирует действия после эксплуатации, соответствующие исторической тактике группы. Вредоносное ПО включает в себя бэкдор на основе Rust с именем CHAR и два загрузчика, известные как GhostFetch и HTTP_VIP, а также продвинутый бэкдор под названием GhostBackDoor.

Методы работы MuddyWater's эволюционировали, но остаются в строгом соответствии с предыдущими методами. Кампания была инициирована с помощью фишинг-писем, содержащих вредоносные документы Microsoft Office. В этих документах использовалось выполнение макросов для развертывания различных полезных нагрузок вредоносное ПО при открытии, специально предназначенных для отдельных лиц и организаций, связанных с энергетическим сектором. Например, один документ Excel имитировал законную компанию и развернул CHAR backdoor, в то время как другое приглашение на загрузку привело к выполнению GhostFetch, который извлекает GhostBackDoor.

GhostFetch функционирует как загрузчик первого этапа, предназначенный для загрузки вторичных полезных данных в память, сохраняя низкий уровень защиты от обнаружения в изолированной среде. Он особенно чувствителен к экологическим проверкам, чтобы избежать выполнения в виртуализированных средах, и кодирует базовые коммуникации C2. Напротив, HTTP_VIP - это загрузчик, который проводит разведка системы и связывается со своим сервером C2 для аутентификации и выполнения дополнительных команд. Вредоносное ПО предназначено для исключения узлов компрометация, связанных с определенными доменами, которые, по-видимому, коррелируют с "приманками", созданными для выявления угроз.

CHAR backdoor представляет собой заметный сдвиг в возможностях MuddyWater's, позволяющий отправлять команды через Телеграм. Он обеспечивает зашифрованную связь и специальные конечные точки API для выполнения команд, направленные на то, чтобы избежать обнаружения. Кампания также указывает на потенциальное использование искусственного интеллекта при разработке некоторых компонентов вредоносное ПО, о чем свидетельствуют аномалии в коде, предполагающие автоматизацию процесса создания.

Инфраструктура C2 для доступного вредоносное ПО охватывает множество доменов, включая те, которые были идентифицированы в ходе предыдущих операций MuddyWater. GhostFetch и HTTP_VIP используют различные серверные архитектуры, использующие фреймворк Python, а также реализуют эффективные методы запутывания, позволяющие оставаться скрытыми от механизмов безопасности.

#ParsedReport #CompletenessMedium
21-02-2026

January 2026 APT Attack Trends Report (Domestic)

https://asec.ahnlab.com/ko/92647/

Report completeness: Medium

Threats:
Spear-phishing_technique
Endrat
Hadesdoor
Mudsdoor
Thumbstealer
Xenorat

Victims:
Korea

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1053.005, T1056.001, T1059, T1059.001, T1083, T1105, T1204.002, T1218.005, have more...

IOCs:
File: 9
Hash: 5
Url: 5

Soft:
curl, task scheduler

Algorithms:
md5

Languages:
powershell, autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2026 года APT-атаки в Корее в основном использовали spear phishing, уделяя особое внимание вредоносным файлам LNK для доставки полезной нагрузки. Атаки типа A использовали файлы LNK для выполнения команд PowerShell, которые загружали вредоносное ПО AutoIt, обеспечивая постоянное управление с помощью запланированных сценариев. Используемые атаки типа В curl.exe загружать и запускать HTA-файлы с хостинговых платформ, облегчая развертывание вредоносное ПО стиллер, кейлоггера и бэкдора, тем самым усиливая контроль злоумышленников над компрометация систем.
-----

В январе 2026 года большинство APT-атак в Корее были осуществлены с помощью spear phishing, с заметным акцентом на вредоносные файлы LNK в качестве механизма доставки. Spear phishing - это метод нацелен-ной атаки, который включает в себя обширную разведка с целью сбора подробной информации о конкретных лицах или группах. Эта информация позволяет злоумышленникам создавать убедительные фишинг-письма, в которых часто указаны поддельные адреса отправителей и содержатся вредоносные вложения или ссылки, предназначенные для того, чтобы побудить получателей к совершению вредоносных действий.

В недавней тенденции наблюдались два основных типа атак. Первый, обозначенный как тип A, включал использование файлов LNK для выполнения команд PowerShell, которые инициируют загрузку вредоносное ПО AutoIt. Во время этого процесса файл LNK подключается к внешнему URL-адресу, загружает дополнительные файлы и переименовывает законный curl.exe программа для выполнения вредоносных скриптов. Эти скрипты, которые зарегистрированы в планировщике задач для постоянного выполнения, могут выполнять различные команды, получать доступ к каталогам, загружать файлы, что указывает на значительный уровень возможностей управления.

Атаки типа B использовали встроенные средства Windows, в частности curl.exe , чтобы загрузить и запустить вредоносный HTA-файл из папки %TEMP%. Эти HTA-файлы часто размещались на таких платформах, как Github или Google Drive, и были разработаны для создания загрузчика, который маскировался под файл-приманку и sys.имя библиотеки dll. Загрузчик активирует вредоносное ПО типа "стиллер", которое собирает конфиденциальную системную информацию, списки файлов и сведения о виртуальных активах. Кроме того, этот тип атаки включает в себя кейлоггер и бэкдор, которые предоставляют злоумышленникам возможность отдавать удаленные команды, значительно усиливая их контроль над зараженными системами.

#ParsedReport #CompletenessHigh
21-02-2026

Massive Winos 4.0 Campaigns Target Taiwan

https://www.fortinet.com/blog/threat-research/massive-winos-40-campaigns-target-taiwan

Report completeness: High

Actors/Campaigns:
Silver_fox

Threats:
Winos
Byovd_technique
Dll_sideloading_technique
Valleyrat
Uac_bypass_technique

Victims:
Organizations in taiwan, Organizations across asia, Tax administration related targets

Industry:
Financial

Geo:
Asia, Chinese, Taiwanese, China, Taiwan

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1064, T1071.001, T1102, T1105, T1106, T1112, T1140, T1204.001, have more...

IOCs:
File: 49
Path: 3
Domain: 11
Url: 5
IP: 2
Hash: 2

Soft:
curl, Windows kernel-mode driver, Microsoft Defender

Algorithms:
base64, sha256

Functions:
RunUAC

Win API:
RtlInitUnicodeString, NtLoadDriver, RtlAdjustPrivilege

Win Services:
MsMpEng, AvastSvc

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Silver Fox нацелен на тайваньские организации, используя изощренные фишинг-кампании для развертывания вредоносное ПО Winos 4.0 (ValleyRat). Их методы включают DLL Sideloading, вредоносные LNK-файлы и методы BYOVD с многоэтапными процессами заражения, инициируемыми с помощью поддельных документов, связанных с налогами. Winos 4.0 демонстрирует расширенные возможности уклонения за счет взаимодействия с Нативный API и включает постоянное подключение к своей инфраструктуре управление, обеспечивая постоянный доступ к системам компрометация.
-----

Недавние кампании группы Silver Fox были нацелен на организации на Тайване, используя сложные стратегии кибератак, сосредоточенные на вредоносное ПО Winos 4.0 (ValleyRat). Злоумышленники используют тактику фишинг, замаскированную под законные налоговые уведомления и электронные счета-фактуры, для распространения вредоносных полезных данных. Анализ, проведенный FortiGuard Labs, выявил две заметные кампании, использующие различные векторы атак, включая DLL Sideloading, вредоносные файлы LNK и методы "Принеси свой собственный уязвимый драйвер" (BYOVD).

В первой кампании злоумышленники создали многоэтапный процесс заражения, используя RAR-архив с надписью "taxIs_RX3001.rar " содержащий как документ-приманку, так и вредоносный LNK-файл. После выполнения скрипт создает рабочий каталог и использует системную двоичную Маскировка путем копирования и переименования законных утилит, чтобы скрыть присутствие вредоносное ПО. Этот процесс позволяет злоумышленнику загрузить исполняемый файл, который извлекает встроенную полезную нагрузку, ответственную за развертывание Winos 4.0 и облегчающую последующую загрузку драйвер для уклонения.

Вторая кампания также использует приманки на налоговую тематику, но меняет свою методологию, распространяя поддельные документы Министерства финансов через фишинг-электронные письма. Злоумышленники перенаправляют пользователей с поддельного официального домена на китайский облачный сервис для загрузки архива, содержащего вредоносную DLL-библиотеку. Эта библиотека DLL загружается через легальное приложение с использованием тех же методов, которые использовались в первой кампании, что подчеркивает адаптивность группы и эволюцию в области доставки вредоносное ПО.

Winos 4.0 демонстрирует расширенные возможности закрепление и уклонения. Вредоносное ПО использует драйвер в режиме ядра, wsftprm.sys , и спроектирован таким образом, чтобы обходить стандартный мониторинг путем динамического взаимодействия с Нативный API. Он активно запрашивает значения системного реестра, чтобы корректировать свои операции в зависимости от наличия или влияния мер безопасности. Вредоносное ПО включает в себя жестко запрограммированный список активных процессов, привязанных к различным продуктам безопасности, нацеленный на ряд антивирусных решений, чтобы отключить их для бесперебойной работы.

Примечательным аспектом Winos 4.0 является его инфраструктура управление (C2), идентифицируемая закодированным адресом 47.76.86.151. Вредоносное ПО поддерживает постоянное соединение с этим C2 для загрузки основных модулей, обеспечивая постоянный доступ и контроль над компрометация систем. Отнесение атак к группе Silver Fox подтверждается согласованными схемами регистрации доменов и наблюдаемыми метаданными, которые связывают недавние действия с предыдущими операциями, атрибутирован с этим актор - сложная целенаправленная угроза. Методы этой группы отличаются высоким уровнем изощренности, с акцентом на локализованную тактику, разработанную для использования конкретных региональных процессов и уязвимостей в рамках операционных фреймворк тайваньских организаций.

#ParsedReport #CompletenessLow
20-02-2026

Incident Response at the Edge: Unmasking the Massive Exploitation of Ivanti

https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_7_Greg_chen_Sharon_liu_en.pdf

Report completeness: Low

Actors/Campaigns:
Chimera
Slime68
Teleboyi

Threats:
Textdoor
Debttheft
Prawns
Spawnchimera
Spawnmole
Spawnsnail
Spawnsloth

Victims:
Ivanti vpn users, Technology sector, Telecommunications sector, Government sector, Financial services

Industry:
Ics

Geo:
Germany, Sweden, United arab emirates, United kingdom, Austria, Japan, Singapore, Korea, France, China, Pakistan, Poland, Turkey, Malaysia, Taiwan, Canada, Arab emirates, Spain, Australia, Barbados

CVEs:
CVE-2025-0283 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (<9.1, <22.7, 21.9, 21.12, 22.1)
- ivanti neurons_for_zero-trust_access (-, 22.2, 22.3, 22.4, 22.5)
- ivanti policy_secure (<22.7)

CVE-2025-22457 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (<22.7)
- ivanti policy_secure (<22.7)
- ivanti zero_trust_access_gateway (<22.8)

CVE-2025-0282 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (22.7)
- ivanti neurons_for_zero-trust_access (22.7)
- ivanti policy_secure (22.7)


TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 43
Email: 1

Soft:
Ivanti, Linux, BusyBox, SELinux, sudo, Ubuntu, Debian, UNIX

Algorithms:
crc-32, gzip, sha256

Functions:
strlcpy

Languages:
c_language, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Эксплуатация Ivanti привела к значительным угрозам, особенно в связи с обнаружением сложного бэкдора SSH и критической уязвимости CVE-2025-0282, которая связана с переполнением стека в двоичном коде, обрабатывающем протоколы HTTP и VPN. Злоумышленники использовали Prawns memory injector для развертывания бэкдора TextDoor, связанного с китайскими APT-группировка, позволяющего перехватывать трафик TLS и выполнять команды. Кроме того, вредоносная программа SPAWNCHIMERA расширяет возможности закрепление и перемещение внутри компании, обходя проверки целостности и нейтрализуя механизмы защиты.
-----

Недавнее использование Ivanti привело к возникновению значительных угроз для организаций в 25 регионах мира, при этом сообщения о заметных инцидентах поступают из таких стран, как Швеция, Япония и Соединенные Штаты. Реагирование на инцидент включало удаленную отладку и автономный анализ с помощью расшифровки образа диска, что выявило наличие сложного SSH-Backdoor.

Критическая уязвимость, идентифицированная как CVE-2025-0282, была связана с двоичным файлом, расположенным по адресу /home/bin/web, который отвечает за обработку HTTP-запросов и протоколов VPN. Эта уязвимость, связанная с переполнением стека, была использована с использованием утекшего доказательства концепции (PoC) от PHRACK, первоначально использовавшегося в 2024 году. Наряду с CVE-2025-0282, CVE-2025-0283 также актуален в этом контексте, указывая на текущие эксплуатационные риски.

Технология эксплуатации включала развертывание начальной полезной нагрузки, в которой использовался инжектор памяти, получивший название Prawns, который был специально использован для внедрения бэкдора под названием TextDoor в веб-процесс промышленной системы управления (ICS). TextDoor, который был связан с китайскими APT-группировка, функционирует как пассивный бэкдор, специально разработанный для веб-сервера Ivanti VPN. Примечательно, что он подключается к веб-серверу ICS для перехвата трафика TLS, что позволяет злоумышленник собирать адреса критически важных устройств в различных версиях ICS.

Бэкдор TextDoor отличается своей надежной функциональностью, включая выполнение команд, произвольный доступ к файлам, внедрение в память и возможность выполнять повышение привилегий, активно удаляя следы, такие как дампы ядра и журналы аудита. Кроме того, вредоносное ПО семейства SPAWN было использовано базирующимися в Китае актор APT для закрепление и перемещение внутри компании в сетях компрометация. В частности, SPAWNCHIMERA является частью этого пакета, в котором представлены передовые методы обхода проверок целостности открытых ключей Ivanti.

SPAWNCHIMERA может удалить измененные файлы, чтобы нейтрализовать стандартные механизмы защиты, и может отключить сканер проверки целостности в образе coreboot, что еще больше усугубляет риски для безопасности. Кроме того, исправление для связанной уязвимости, CVE-2025-22457, включает в себя подключение функции strlcpy() для предотвращения использования с помощью волшебных переполненных строк, что предполагает нацелен на устранение этих конкретных векторов атак для усиления защиты от текущих угроз.