#ParsedReport
14-02-2023
Havoc Across the Cyberspace
https://www.zscaler.com/blogs/security-research/havoc-across-cyberspace
Actors/Campaigns:
Shathak
Threats:
Havoc
Kaynldr
Metasploit_tool
Meterpreter_tool
Industry:
Government
Geo:
Japanese, Usa
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 15
IP: 1
Url: 4
Domain: 2
Path: 2
Hash: 2
Softs:
event tracing for windows, bat2exe
Algorithms:
aes-256, xor, aes, zip
Functions:
EtwEventWrite, DemonConfig, DemonRoutine, TransportInit, CommandDispatcher, DemonMetaData, PackageTransmit, TransportSend
Win API:
CreateThreadpoolWait, GetModuleHandleA, GetProcAddress, EtwEventWrite, VirtualProtect, CryptDecrypt, CreateEventA, VirtualAlloc, WaitForSingleObject, NtAllocateVirtualMemory, have more...
Platforms:
x86, x64
Links:
14-02-2023
Havoc Across the Cyberspace
https://www.zscaler.com/blogs/security-research/havoc-across-cyberspace
Actors/Campaigns:
Shathak
Threats:
Havoc
Kaynldr
Metasploit_tool
Meterpreter_tool
Industry:
Government
Geo:
Japanese, Usa
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 15
IP: 1
Url: 4
Domain: 2
Path: 2
Hash: 2
Softs:
event tracing for windows, bat2exe
Algorithms:
aes-256, xor, aes, zip
Functions:
EtwEventWrite, DemonConfig, DemonRoutine, TransportInit, CommandDispatcher, DemonMetaData, PackageTransmit, TransportSend
Win API:
CreateThreadpoolWait, GetModuleHandleA, GetProcAddress, EtwEventWrite, VirtualProtect, CryptDecrypt, CreateEventA, VirtualAlloc, WaitForSingleObject, NtAllocateVirtualMemory, have more...
Platforms:
x86, x64
Links:
https://github.com/HavocFramework/HavocZscaler
Havoc Across the Cyberspace | Blog | Zscaler
ThreatLabz observed a new campaign targeting a Government organization in which the threat actors utilized a new Command & Control (C2) framework named Havoc
#ParsedReport
14-02-2023
TTPs $ ScarCruft Tracking Note
https://thorcert.notion.site/TTPs-ScarCruft-Tracking-Note-67acee42e4ba47398183db9fc7792aff
Actors/Campaigns:
Apt37
Threats:
Chinotto
Bitsadmin
Geo:
China, Korea
IOCs:
File: 18
Path: 10
Registry: 1
Functions:
API
Languages:
golang, jscript
Platforms:
x86
14-02-2023
TTPs $ ScarCruft Tracking Note
https://thorcert.notion.site/TTPs-ScarCruft-Tracking-Note-67acee42e4ba47398183db9fc7792aff
Actors/Campaigns:
Apt37
Threats:
Chinotto
Bitsadmin
Geo:
China, Korea
IOCs:
File: 18
Path: 10
Registry: 1
Functions:
API
Languages:
golang, jscript
Platforms:
x86
Notion
Notion | Where teams and agents work together
A collaborative AI workspace, built on your company context. Build and orchestrate agents right alongside your team's projects, meetings, and connected apps.
#ParsedReport
14-02-2023
NewsPenguin, a Previously Unknown Threat Actor, Targets Pakistan with Advanced Espionage Tool
https://blogs.blackberry.com/en/2023/02/newspenguin-a-previously-unknown-threat-actor-targets-pakistan-with-advanced-espionage-tool
Actors/Campaigns:
Newspenguin (motivation: financially_motivated, cyber_espionage)
Industry:
Maritime, Government
Geo:
Pakistani, Pakistan, Asian
TTPs:
Tactics: 6
Technics: 28
IOCs:
File: 15
Url: 3
IP: 2
Registry: 1
Domain: 2
Path: 10
Hash: 12
Email: 1
Softs:
visual basic for applications, microsoft office, curl, microsoft visual c++, (ubuntu)
Algorithms:
zip, xor, base64
Win API:
GetTickCount, GetLastError
14-02-2023
NewsPenguin, a Previously Unknown Threat Actor, Targets Pakistan with Advanced Espionage Tool
https://blogs.blackberry.com/en/2023/02/newspenguin-a-previously-unknown-threat-actor-targets-pakistan-with-advanced-espionage-tool
Actors/Campaigns:
Newspenguin (motivation: financially_motivated, cyber_espionage)
Industry:
Maritime, Government
Geo:
Pakistani, Pakistan, Asian
TTPs:
Tactics: 6
Technics: 28
IOCs:
File: 15
Url: 3
IP: 2
Registry: 1
Domain: 2
Path: 10
Hash: 12
Email: 1
Softs:
visual basic for applications, microsoft office, curl, microsoft visual c++, (ubuntu)
Algorithms:
zip, xor, base64
Win API:
GetTickCount, GetLastError
BlackBerry
NewsPenguin, a Previously Unknown Threat Actor, Targets Pakistan with Advanced Espionage Tool
A previously unknown threat actor is targeting organizations in Pakistan using a complex payload delivery mechanism. The attacker abuses the upcoming Pakistan International Maritime Expo & Conference (PIMEC-2023) as a lure to trick victims into opening phishing…
CTT Report Hub
#ParsedReport 14-02-2023 NewsPenguin, a Previously Unknown Threat Actor, Targets Pakistan with Advanced Espionage Tool https://blogs.blackberry.com/en/2023/02/newspenguin-a-previously-unknown-threat-actor-targets-pakistan-with-advanced-espionage-tool A…
#ParsedReport
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Ранее неизвестный злоумышленник нацелился на организации в Пакистане, используя предстоящую Пакистанскую международную морскую выставку и конференцию (PIMEC-2023) в качестве приманки и рассылая целевые фишинговые электронные письма с вложенным военным документом.
Домен, используемый для удаленного внедрения шаблонов, был зарегистрирован в июне 2022 года, что указывает на то, что злоумышленник, вероятно, уже некоторое время ведет свою деятельность.
Целевой аудиторией этой атаки являются пакистанские компании, производящие военные технологии, национальные государства и вооруженные силы; включая организаторов и участников мероприятия, особенно экспонентов.
Субъектом угрозы, скорее всего, является национальное государство или аутсорсинговая команда, работающая на субъект угрозы национального государства.
Вредоносная программа использует несколько методов антианализа для обхода функций сна, проверки размера жесткого диска и требует более 10 ГБ ОЗУ.
Организации должны защищаться от NewsPenguin, блокируя вредоносные IP-адреса, домены и URL-адреса, осознавая потенциальные угрозы, исходящие от кампаний целевого фишинга и подозрительных документов, а также регулярно обновляя свои решения по обеспечению безопасности и устраняя любые уязвимости.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Ранее неизвестный злоумышленник нацелился на организации в Пакистане, используя предстоящую Пакистанскую международную морскую выставку и конференцию (PIMEC-2023) в качестве приманки и рассылая целевые фишинговые электронные письма с вложенным военным документом.
Домен, используемый для удаленного внедрения шаблонов, был зарегистрирован в июне 2022 года, что указывает на то, что злоумышленник, вероятно, уже некоторое время ведет свою деятельность.
Целевой аудиторией этой атаки являются пакистанские компании, производящие военные технологии, национальные государства и вооруженные силы; включая организаторов и участников мероприятия, особенно экспонентов.
Субъектом угрозы, скорее всего, является национальное государство или аутсорсинговая команда, работающая на субъект угрозы национального государства.
Вредоносная программа использует несколько методов антианализа для обхода функций сна, проверки размера жесткого диска и требует более 10 ГБ ОЗУ.
Организации должны защищаться от NewsPenguin, блокируя вредоносные IP-адреса, домены и URL-адреса, осознавая потенциальные угрозы, исходящие от кампаний целевого фишинга и подозрительных документов, а также регулярно обновляя свои решения по обеспечению безопасности и устраняя любые уязвимости.
CTT Report Hub
#ParsedReport 14-02-2023 NewsPenguin, a Previously Unknown Threat Actor, Targets Pakistan with Advanced Espionage Tool https://blogs.blackberry.com/en/2023/02/newspenguin-a-previously-unknown-threat-actor-targets-pakistan-with-advanced-espionage-tool A…
chatgpt_summary_eng.txt
2 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
3.9 KB
ChatGPT RU summary
Пока Summary тоже будет публиковаться. Через недельку сделаю голосовалку, нужно ли саммари и полезно ли вообще такое сгенерированное описание.
🔥3
Vice Society spreads its own ransomware
https://www.intrinsec.com/wp-content/uploads/2023/02/20230119_TLPCLEAR_Vice_Society_BLOG_Version_EN.pdf
https://www.intrinsec.com/wp-content/uploads/2023/02/20230119_TLPCLEAR_Vice_Society_BLOG_Version_EN.pdf
#ParsedReport
15-02-2023
Paradise Ransomware Distributed Through AweSun Vulnerability Exploitation
https://asec.ahnlab.com/en/47590
Threats:
Paradise_ransomware
Sliver_tool
Byovd_technique
Cobalt_strike
Xmrig_miner
Firebird_rat
Trojan/win.agent.c4590824
Ransom/mdp.decoy.m1171
Industry:
Financial
Geo:
China, Chinese
IOCs:
File: 3
Url: 2
Email: 2
Path: 2
Command: 1
Coin: 1
Hash: 1
Softs:
awesun, sunlogin, chrome, opera, mysql, mssql, microsoft sql
Algorithms:
rsa-1024
15-02-2023
Paradise Ransomware Distributed Through AweSun Vulnerability Exploitation
https://asec.ahnlab.com/en/47590
Threats:
Paradise_ransomware
Sliver_tool
Byovd_technique
Cobalt_strike
Xmrig_miner
Firebird_rat
Trojan/win.agent.c4590824
Ransom/mdp.decoy.m1171
Industry:
Financial
Geo:
China, Chinese
IOCs:
File: 3
Url: 2
Email: 2
Path: 2
Command: 1
Coin: 1
Hash: 1
Softs:
awesun, sunlogin, chrome, opera, mysql, mssql, microsoft sql
Algorithms:
rsa-1024
ASEC
Paradise Ransomware Distributed Through AweSun Vulnerability Exploitation - ASEC
Paradise Ransomware Distributed Through AweSun Vulnerability Exploitation ASEC
CTT Report Hub
#ParsedReport 15-02-2023 Paradise Ransomware Distributed Through AweSun Vulnerability Exploitation https://asec.ahnlab.com/en/47590 Threats: Paradise_ransomware Sliver_tool Byovd_technique Cobalt_strike Xmrig_miner Firebird_rat Trojan/win.agent.c4590824…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Уязвимость в китайской программе удаленного управления AweSun недавно использовалась для распространения программы-вымогателя Paradise.
Программа-вымогатель Paradise — это программа-вымогатель на основе .NET, которая шифрует файлы с помощью ключей RSA, при этом определенные пути исключаются из шифрования.
Также было обнаружено, что тот же злоумышленник использует уязвимость Sunlogin и распространяет вредоносное ПО Sliver C2 и BYOVD, а также XMRig CoinMiner.
ASEC рекомендует пользователям обновить установленное программное обеспечение и программное обеспечение V3 до последней версии, чтобы предотвратить заражение вредоносным ПО.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Уязвимость в китайской программе удаленного управления AweSun недавно использовалась для распространения программы-вымогателя Paradise.
Программа-вымогатель Paradise — это программа-вымогатель на основе .NET, которая шифрует файлы с помощью ключей RSA, при этом определенные пути исключаются из шифрования.
Также было обнаружено, что тот же злоумышленник использует уязвимость Sunlogin и распространяет вредоносное ПО Sliver C2 и BYOVD, а также XMRig CoinMiner.
ASEC рекомендует пользователям обновить установленное программное обеспечение и программное обеспечение V3 до последней версии, чтобы предотвратить заражение вредоносным ПО.
CTT Report Hub
#ParsedReport 15-02-2023 Paradise Ransomware Distributed Through AweSun Vulnerability Exploitation https://asec.ahnlab.com/en/47590 Threats: Paradise_ransomware Sliver_tool Byovd_technique Cobalt_strike Xmrig_miner Firebird_rat Trojan/win.agent.c4590824…
chatgpt_summary_eng.txt
1 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
2 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
Disguised as an illegal game program, ChromeLoader is distributing
https://asec.ahnlab.com/ko/47775
Threats:
Chromeloader
Trojan/bat.runner.s2119
Trojan/vbs.runner.s2120
Trojan/html.obfus
IOCs:
File: 18
Path: 1
Domain: 3
Hash: 5
Softs:
microsoft office, photoshop, chromium, chrome
Algorithms:
7zip
15-02-2023
Disguised as an illegal game program, ChromeLoader is distributing
https://asec.ahnlab.com/ko/47775
Threats:
Chromeloader
Trojan/bat.runner.s2119
Trojan/vbs.runner.s2120
Trojan/html.obfus
IOCs:
File: 18
Path: 1
Domain: 3
Hash: 5
Softs:
microsoft office, photoshop, chromium, chrome
Algorithms:
7zip
ASEC BLOG
불법 게임 프로그램으로 위장하여 유포 중인 ChromeLoader - ASEC BLOG
작년부터 악성코드 유포에 ISO 나 VHD 와 같은 디스크 이미지 파일을 이용하는 사례가 꾸준하게 증가하고 있으며, ASEC 블로그를 통해 여러 차례 소개해왔다. 이번에는 VHD 파일을 이용한 ChromeLoader 의 유포 정황을 포착하여 소개하고자 한다. 해당 유형의 VHD 파일은 주로 닌텐도와 스팀 게임의 핵 및 크랙과 관련된 파일명으로 유포되고 있다. 유포 파일명 중 일부는 아래와 같으며, 유료 소프트웨어 크랙 관련 파일명도 존재한다. 관련 파일명으로…
CTT Report Hub
#ParsedReport 15-02-2023 Disguised as an illegal game program, ChromeLoader is distributing https://asec.ahnlab.com/ko/47775 Threats: Chromeloader Trojan/bat.runner.s2119 Trojan/vbs.runner.s2120 Trojan/html.obfus IOCs: File: 18 Path: 1 Domain: 3 Hash:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Случаи использования файлов образов дисков, таких как ISO или VHD, для распространения вредоносного кода в прошлом году неуклонно росли.
Вредоносные файлы внутри файлов VHD содержат node-webkit (nw.js) и вредоносные файлы JS.
ChromeLoader, вредоносное ПО рекламного типа, запускается через эти вредоносные JS-файлы, выполняя вредоносные действия, такие как перенаправление на рекламные сайты, сбор пользовательских данных, сбор учетных данных и изменение настроек браузера.
Пользователям следует проявлять осторожность при загрузке файлов из неизвестных источников и загружать программное обеспечение только с официальных сайтов.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Случаи использования файлов образов дисков, таких как ISO или VHD, для распространения вредоносного кода в прошлом году неуклонно росли.
Вредоносные файлы внутри файлов VHD содержат node-webkit (nw.js) и вредоносные файлы JS.
ChromeLoader, вредоносное ПО рекламного типа, запускается через эти вредоносные JS-файлы, выполняя вредоносные действия, такие как перенаправление на рекламные сайты, сбор пользовательских данных, сбор учетных данных и изменение настроек браузера.
Пользователям следует проявлять осторожность при загрузке файлов из неизвестных источников и загружать программное обеспечение только с официальных сайтов.
CTT Report Hub
#ParsedReport 15-02-2023 Disguised as an illegal game program, ChromeLoader is distributing https://asec.ahnlab.com/ko/47775 Threats: Chromeloader Trojan/bat.runner.s2119 Trojan/vbs.runner.s2120 Trojan/html.obfus IOCs: File: 18 Path: 1 Domain: 3 Hash:…
chatgpt_summary_eng.txt
1.7 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
3.5 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
Uncovering The Dark Side of DarkBit Ransomware
https://blog.cyble.com/2023/02/15/uncovering-the-dark-side-of-darkbit-ransomware
Threats:
Darkbit
Industry:
Financial, Education
Geo:
Israel
TTPs:
Tactics: 3
Technics: 5
IOCs:
Hash: 1
File: 2
Functions:
GetDriveType
Win API:
CreateMutexW, GetLogicalDrives, CreateProcessW, NtDeviceIoControlFile, GetQueuedCompletionStatusEx, PostQueuedCompletionStatus, ResumeThread
15-02-2023
Uncovering The Dark Side of DarkBit Ransomware
https://blog.cyble.com/2023/02/15/uncovering-the-dark-side-of-darkbit-ransomware
Threats:
Darkbit
Industry:
Financial, Education
Geo:
Israel
TTPs:
Tactics: 3
Technics: 5
IOCs:
Hash: 1
File: 2
Functions:
GetDriveType
Win API:
CreateMutexW, GetLogicalDrives, CreateProcessW, NtDeviceIoControlFile, GetQueuedCompletionStatusEx, PostQueuedCompletionStatus, ResumeThread
Cyble
Uncovering The Dark Side of DarkBit Ransomware
Cyble analyzes DarkBit Ransomware and their recent politically-motivated cyberattacks against the state of Israel.
CTT Report Hub
#ParsedReport 15-02-2023 Uncovering The Dark Side of DarkBit Ransomware https://blog.cyble.com/2023/02/15/uncovering-the-dark-side-of-darkbit-ransomware Threats: Darkbit Industry: Financial, Education Geo: Israel TTPs: Tactics: 3 Technics: 5 IOCs: Hash:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Программа-вымогатель DarkBit представляет собой угрозу кибербезопасности, нацеленную на операционные системы Windows.
Он использует многопоточность для процесса шифрования и оставляет записку о выкупе с инструкциями по восстановлению.
Предполагается, что нападение на один из крупнейших университетов Израиля было совершено бывшим сотрудником или пропалестинскими активистами.
В записке о выкупе указаны политические мотивы, включая обвинения в адрес режима апартеида, военных преступлений и несправедливого увольнения квалифицированных сотрудников.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Программа-вымогатель DarkBit представляет собой угрозу кибербезопасности, нацеленную на операционные системы Windows.
Он использует многопоточность для процесса шифрования и оставляет записку о выкупе с инструкциями по восстановлению.
Предполагается, что нападение на один из крупнейших университетов Израиля было совершено бывшим сотрудником или пропалестинскими активистами.
В записке о выкупе указаны политические мотивы, включая обвинения в адрес режима апартеида, военных преступлений и несправедливого увольнения квалифицированных сотрудников.
CTT Report Hub
#ParsedReport 15-02-2023 Uncovering The Dark Side of DarkBit Ransomware https://blog.cyble.com/2023/02/15/uncovering-the-dark-side-of-darkbit-ransomware Threats: Darkbit Industry: Financial, Education Geo: Israel TTPs: Tactics: 3 Technics: 5 IOCs: Hash:…
chatgpt_summary_eng.txt
1.8 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
3.6 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
Mirai Variant V3G4 Targets IoT Devices
https://unit42.paloaltonetworks.com/mirai-variant-v3g4
Threats:
Mirai
Moobot
Plugx_rat
Industry:
Iot
Geo:
Japanese, Chinese
CVEs:
CVE-2022-4257 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- cdatatec c-data web management system (-)
CVE-2020-15415 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Unavailable
Soft:
- draytek vigor3900 firmware (<1.5.1)
- draytek vigor2960 firmware (<1.5.1)
- draytek vigor300b firmware (<1.5.1)
CVE-2014-9727 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.8
X-Force: Patch: Unavailable
Soft:
- avm fritz\!box (*)
CVE-2019-15107 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- webmin (le1.920)
CVE-2012-4869 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- sangoma freepbx (2.9, le2.10)
CVE-2022-36267 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Unavailable
Soft:
- airspan airspot 5410 firmware (le0.3.4.1-4)
CVE-2017-5173 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- geutebrueck ip camera g-cam efd-2250 firmware (1.11.0.12)
CVE-2020-8515 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- draytek vigor2960 firmware (1.3.1)
- draytek vigor300b firmware (1.3.3, 1.4.2.1, 1.4.4)
- draytek vigor3900 firmware (1.4.4)
CVE-2022-26134 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
IOCs:
Domain: 1
IP: 3
Hash: 43
File: 3
Softs:
freepbx elastix, confluence, curl
Algorithms:
xor, exhibit
15-02-2023
Mirai Variant V3G4 Targets IoT Devices
https://unit42.paloaltonetworks.com/mirai-variant-v3g4
Threats:
Mirai
Moobot
Plugx_rat
Industry:
Iot
Geo:
Japanese, Chinese
CVEs:
CVE-2022-4257 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- cdatatec c-data web management system (-)
CVE-2020-15415 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Unavailable
Soft:
- draytek vigor3900 firmware (<1.5.1)
- draytek vigor2960 firmware (<1.5.1)
- draytek vigor300b firmware (<1.5.1)
CVE-2014-9727 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.8
X-Force: Patch: Unavailable
Soft:
- avm fritz\!box (*)
CVE-2019-15107 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- webmin (le1.920)
CVE-2012-4869 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- sangoma freepbx (2.9, le2.10)
CVE-2022-36267 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Unavailable
Soft:
- airspan airspot 5410 firmware (le0.3.4.1-4)
CVE-2017-5173 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- geutebrueck ip camera g-cam efd-2250 firmware (1.11.0.12)
CVE-2020-8515 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- draytek vigor2960 firmware (1.3.1)
- draytek vigor300b firmware (1.3.3, 1.4.2.1, 1.4.4)
- draytek vigor3900 firmware (1.4.4)
CVE-2022-26134 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
IOCs:
Domain: 1
IP: 3
Hash: 43
File: 3
Softs:
freepbx elastix, confluence, curl
Algorithms:
xor, exhibit
Unit 42
Mirai Variant V3G4 Targets IoT Devices
We observed Mirai variant V3G4 targeting IoT devices in three separate campaigns in 2022.
👍1