#ParsedReport #CompletenessMedium
16-06-2026

GlassWASM: WebAssembly Malware Found in Trojanized Open VSX Extensions

https://socket.dev/blog/glasswasm-malware-open-vsx-extensions

Report completeness: Medium

Threats:
Glassworm
Dead_drop_technique
Typosquatting_technique
Supply_chain_technique

Victims:
Software developers, Cryptocurrency developers, Open vsx users, Visual studio code fork users

Industry:
Transport, E-commerce, Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.008, T1036.005, T1059.001, T1059.004, T1071.001, T1082, T1102.001, T1105, T1140, have more...

IOCs:
File: 15
Url: 7
Hash: 9
Command: 3
Coin: 1
Domain: 1
IP: 2

Soft:
Open VSX, Visual Studio Code, Node.js, pen VSX ex, url -f, inux, curl, linux, macOS, Unix, have more...

Wallets:
mainnet

Crypto:
solana

Algorithms:
sha256, exhibit, md5, sha1, chacha20

Functions:
JS, getSignaturesForAddress, getTransaction, RPC

Languages:
typescript, javascript, golang, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Обнаружение вредоносного ПО, использующего скомпилированный WebAssembly (WASM) в поддельных расширениях Visual Studio Code, вызвало обеспокоенность, особенно тех, что найдены на маркетплейсе Open VSX. ВПО, идентифицированное как snqpkebiwrxmoivl.wasm, активируется с помощью процесса загрузки и взаимодействует с блокчейном Solana для функций управления, избегая традиционных методов обнаружения благодаря зашифрованному содержимому. Связанное с группой GlassWorm, его архитектура позволяет динамические обновления и установку вторичных компонентов через кроссплатформенные команды, подчеркивая необходимость бдительности в отношении включений WASM в программные пакеты.
-----

Обнаружение скомпилированного вредоносного ПО WebAssembly (WASM) в троянизированных расширениях Visual Studio Code (VS Code) задокументировано командой Socket по исследованию угроз. Эти вредоносные расширения существуют на маркетплейсе Open VSX и используют payload WebAssembly, встроенный в загрузчик TinyGo. Вредоносное ПО, идентифицированное как snqpkebiwrxmoivl.wasm, выполняется при активации расширений через процесс загрузки, который вызывает модуль с помощью go.run(). Цель вредоносных расширений, по-видимому, сосредоточена на криптовалюте, что иллюстрируется пользовательским интерфейсом, имитирующим отладчик хешей транзакций блокчейна.

Стратегия обфускации, применяемая в ВПО, заслуживает внимания: модуль WASM шифрует все значимые строки с помощью шифра ChaCha20, что предотвращает обнаружение с помощью традиционных сигнатурных методов. Во время выполнения деобфусцированный модуль взаимодействует с блокчейном Solana, опрашивая API JSON-RPC на предмет транзакций, направленных на кошелек, контролируемый злоумышленником. Извлеченные команды, детализированные в поле SPL Memo этих транзакций, позволяют ВПО конструировать и выполнять платформозависимые команды загрузки и выполнения через утилиту child_process Node.

Атака использует сложную инфраструктуру управления (C2), применяя блокчейн Solana в качестве мёртвой точки для предотвращения изъятия или прерывания работы традиционными методами. Каждый полезный груз может быть динамически обновлён путём публикации новых транзакций в блокчейне. Ссылаясь на фиксированный адрес кошелька, вредоносное ПО получает свои операционные инструкции напрямую из блокчейна, избегая жёстко закодированных серверов управления, которые могли бы стать целью.

С точки зрения распространения, троянизированные расширения имитируют легитимные инструменты VS Code, воспроизводя точные идентификаторы издателей и элементы описания, чтобы эксплуатировать доверие, связанное с проверенными сущностями на других реестрах. Конкретные образцы, такие как ExarGD/vsblack и noellee-doc/flint-debug, были повторно опубликованы недавно созданным аккаунтом, что указывает на заранее спланированную стратегию Имперсонация.

Вредоносное ПО в основном использует кроссплатформенные команды, направленные на выполнение HTTP-запросов с помощью cURL или PowerShell в зависимости от операционной системы, для загрузки и выполнения вторичных полезной нагрузки, размещенных на динамически назначенных доменах. Архитектура вредоносного ПО подчеркивает важность тщательного анализа включений WebAssembly в пакетах npm, поскольку они представляют собой уникальные сигнатуры обхода.

Атрибуция этой вредоносной кампании, как полагают, связана с группой разработчиков GlassWorm, известной схожими техниками уклонения и использованием блокчейна Solana для целей C2. Учитывая общую инфраструктуру и методологии, включая извлечение метаданных из блокчейна и динамическую генерацию команд, этот вариант вредоносного ПО демонстрирует прогресс в тактиках обфускации по сравнению с предыдущими действиями GlassWorm. Для снижения рисков организациям рекомендуется отслеживать определенные шаблоны команд и улучшать свои возможности обнаружения угроз на основе WASM в программных пакетах, особенно тех, которые интегрируют JavaScript и WebAssembly.

#ParsedReport #CompletenessMedium
16-06-2026

Rokarolla : Android Banker with Complete Device Takeover Capabilities

https://zimperium.com/blog/rokarolla-android-banker-with-complete-device-takeover-capabilities

Report completeness: Medium

Threats:
Rokarolla
Jsonpacker_tool

Victims:
Banking, Cryptocurrency, Social media, Android users

Industry:
Financial

Geo:
Asia

TTPs:
Tactics: 9
Technics: 18

IOCs:
Url: 1

Soft:
Android, TikTok, Google Chrome, Google Play, Whatsapp

Links:
https://github.com/Zimperium/IOC/tree/master/2026-06-Rokarolla/commands.md
https://github.com/Zimperium/IOC/tree/master/2026-06-Rokarolla/apks.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Rokarolla — это Android-троян для банковского мошенничества, нацеленный на более чем 200 финансовых и криптовалютных приложений, распространяющийся через вредоносные сайты, имитирующие легитимные приложения. Используя дроппер, имитирующий Google Play Protect, он получает обширный контроль через службы доступности Android, что позволяет ему выполнять различные команды для финансового мошенничества, включая кражу учетных данных и перехват коммуникаций. Его функции скрытности позволяют маскировать свое присутствие, отключать меры безопасности и поддерживать операционную эффективность за счет динамических обновлений C2.
-----

Rokarolla — это недавно выявленный Android-троян, представляющий серьезную угрозу для пользователей, поскольку он нацелен на широкий спектр более чем 200 финансовых и криптовалютных приложений. В основном распространяется через вредоносные сайты, маскирующиеся под легитимные приложения, это ВПО может выполнять обширные административные команды для управления зараженными устройствами. Оно использует 137 команд, предназначенных для содействия финансовому мошенничеству путем кражи конфиденциальной информации, такой как учетные данные экрана блокировки, списки контактов и SMS-сообщения.

ВПО использует дроппер, который имитирует Google Play Protect, обманывая пользователей и заставляя их разрешить установку основного полезного груза. Этот метод обходит меры безопасности Android, предоставляя Rokarolla доступ к критическим функциям устройства через службы Accessibility. После заражения троян связывается со своим сервером управления (C2) по защищенному каналу HTTPS для извлечения телеметрии устройства и поддержания операционной устойчивости посредством динамических обновлений C2.

Rokarolla обладает возможностью сбора учетных данных для разблокировки с устройства путем создания поддельных оверлеев, имитирующих легитимный экран блокировки Android, что позволяет эффективно перехватывать пользовательский ввод. Для дальнейшего поддержания контроля над устройством она развертывает несколько оверлеев и использует специальные возможности Android для мониторинга пользовательского интерфейса и его маппинга для будущей эксплуатации.

Вредоносное ПО также проникает в банковские и криптовалютные приложения, извлекая информацию об этих приложениях вместе с их рабочим статусом. При обнаружении целевого приложения оно загружает и отображает поддельную фишинговую страницу на основе HTML для извлечения конфиденциальных данных, таких как учетные данные банков. Кроме того, оно может захватывать контактную информацию WhatsApp путем анализа содержимого экрана, эксфильтровать SMS-сообщения и перехватывать телефонные звонки, чтобы предотвратить получение пользователями оповещений от своих банков.

Rokarolla использует команды для регистрации нажатий клавиш, извлечения текста с экрана и манипуляции буфером обмена для подмены критических данных без согласия пользователя. Вместо традиционных методов удалённого доступа к экрану он применяет механизм создания снимков для захвата скриншотов активности пользователя, что обеспечивает скрытый мониторинг.

Скрытность и закрепление являются ключевыми особенностями Rokarolla, поскольку он активно работает над отключением мер безопасности и маскировкой своего присутствия. ВПО может скрывать значок своего приложения, отключать звуки устройства и удалять уведомления, которые могут предупредить пользователя о его присутствии. Оно также удерживает экран устройства включенным неограниченно долго, чтобы обеспечить непрерывность своих мошеннических операций.

#ParsedReport #CompletenessHigh
15-06-2026

Public and Private Medical Community Targeted by China-Nexus Threat Actor Pursuing Artificial Intelligence, Cyber, Medical, and National Defense Research

https://cloud.google.com/blog/topics/threat-intelligence/prc-targets-us-medical-research/

Report completeness: High

Actors/Campaigns:
Unc6508 (motivation: cyber_espionage)
Harvester

Threats:
Infinitered
Residential_proxy_technique

Victims:
Medical research institutions, Academic institutions, Military health institutions, Clinical providers, Health regulatory bodies, Public health organizations, Defense research organizations

Industry:
Education, Iot, Healthcare, Military

Geo:
China, Indo-pacific, Canada, American

TTPs:
Tactics: 6
Technics: 13

IOCs:
File: 3
IP: 1
Hash: 7

Soft:
Chrome, Gmail

Algorithms:
base64

Functions:
getcwd, php_uname, phpversion

Languages:
php

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник UNC6508, связанный с Китаем, с сентября 2023 года атакует академические, медицинские и военные секторы Северной Америки, фокусируясь на уязвимостях в серверах REDCap. Они развернули собственное ВПО INFINITERED, которое собирает учетные данные для входа и обеспечивает скрытую эксфильтрацию данных, используя такие методы, как троянизация легитимных файлов и создание веб-оболочек для закрепления. Их операции демонстрируют сложные методы обфускации со стратегическим акцентом на военные и медицинские исследования, что указывает на мотивы государственного шпионажа.
-----

Кампания, приписываемая UNC6508, злоумышленнику с китайскими связями, нацелена на академические, медицинские и военные исследовательские секторы Северной Америки в течение длительного периода, оставаясь незамеченной с сентября 2023 года. Актеры скомпрометировали внешние веб-приложения, в основном эксплуатируя серверы REDCap, используемые в медицинском исследовательском сообществе. Они развернули пользовательское ВПО под названием INFINITERED, предназначенное для захвата легитимных учетных данных и содействия скрытой эксфильтрации данных из целевых внутренних систем.

Первоначальный доступ к серверам REDCap был получен путем эксплуатации уязвимостей, особенно в устаревших версиях программного обеспечения. После закрепления UNC6508 провел внутреннюю разведку для обнаружения и сбора учетных данных учетных записей баз данных и служб, а также развернул Веб-шелл с именем help.php для закрепления. Спустя три месяца было развернуто INFINITERED, которое троянизировало легитимные системные файлы REDCap и реализовало модульные компоненты, позволяющие обеспечить расширенный контроль и функциональность. ВПО способно выполнять инъекцию кода в процессе обновления REDCap, обеспечивая его сохранение после обновлений и поддержание доступа.

Вредоносное ПО INFINITERED включает в себя краулер учетных данных, который захватывает учетные данные пользователей во время входа в систему, и механизм бэкдора, присутствующий в пользовательских хуках, который выполняется при каждой загрузке страницы. Бэкдор позволяет злоумышленнику выполнять команды, выполнять SQL-запросы и передавать файлы по мере необходимости. Примечательно, что после года операций UNC6508 получил доступ к учетной записи администратора, используя украденные учетные данные, и применил новую технику, которая эксплуатировала правила соответствия контента для эксфильтрации целевых электронных сообщений. Это было обеспечено через правило соответствия под названием «Patroit», которое отслеживало шаблоны ключевых слов для пересылки корреспонденции в скрытую копию (BCC) на учетную запись Gmail, контролируемую злоумышленником.

Амбиции кампании выходят за рамки медицинских исследований и включают сбор разведданных в сфере обороны и передовых технологий, что соответствует стратегическим интересам Китайской Народной Республики. Ключевые слова и целевые лица указывали на фокус на обороне, военной стратегии и конкретных областях медицинских исследований, таких как чикунгунья.

Меры безопасности операций (OpSec), принятые UNC6508, были сложными, с использованием сетей обфускации, включавших скомпрометированные маршрутизаторы и VPN, что значительно скрывало их деятельность. Они также создавали аккаунты, контролируемые злоумышленником, через сервисы массового создания, усиливая свою оперативную скрытность.

Атрибуция данной активности к UNC6508 выполняется с высокой степенью уверенности на основе вредоносной инфраструктуры, согласованных оперативных шаблонов и специфического подхода к целеполаганию, что соответствует историческим тенденциям государственного шпионажа, осуществляемого КНР. Данная атрибуция подчеркивает сохраняющийся риск, создаваемый акторами, мотивированными шпионажем, в значимых секторах, имеющих критическое значение для национальной безопасности и технологического развития.

#ParsedReport #CompletenessLow
17-06-2026

Steals Accounts and Wallets in Seconds! Electron Program Disguised as a Backdoor to Steal Encrypted Data

https://www.huorong.cn/document/tech/vir_report/1969

Report completeness: Low

Soft:
Electron

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, code: 5

#ParsedReport #CompletenessHigh
17-06-2026

The Invisible Stinger: Over 4,000 Outdated Routers Compromised by AryStinger, Turned into Launchpads for Hackers’ Global Attacks

https://blog.xlab.qianxin.com/arystinger-botnet-hijacks-legacy-routers-for-global-attacks/

Report completeness: High

Threats:
Arystinger
Dropbear_tool
Gs-netcat
Fscan_tool
Dropbearkey_tool
Masscan_tool

Victims:
Router devices, Network attached storage devices

Industry:
Iot

Geo:
Sweden, Singapore, South korea, Malaysia, China

CVEs:
CVE-2025-11837 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qnap malware_remover (<6.6.8.20251023)

CVE-2013-3307 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2016-5681 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-868l_firmware (le2.03)


ChatGPT TTPs:
do not use without manual check
T1001, T1016, T1018, T1021.004, T1041, T1046, T1057, T1059.004, T1059.006, T1071.001, have more...

IOCs:
File: 1
Domain: 1
Url: 3
Hash: 52
IP: 1

Soft:
hat offi, eChat of, curl

Algorithms:
xor, md5, gzip

Languages:
java, python

Platforms:
mips

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AryStinger — это семейство ВПО, эксплуатирующее устаревшие маршрутизаторы, особенно те, что оснащены чипами RTL819X, и использующее уязвимости CVE-2013-3307 и CVE-2016-5681 для разведки и эксфильтрации данных. Оно существует в двух версиях — одна для маршрутизаторов, другая для устройств NAS — и взаимодействует со своим C2-сервером через зашифрованные HTTP/HTTPS. AryStinger поддерживает широкий спектр вредоносных возможностей, включая сканирование сети, удаленное управление с помощью таких инструментов, как Dropbear, и было обнаружено на более чем 4300 маршрутизаторах по всему миру, представляя значительные риски из-за низких показателей обнаружения.
-----

Семейство ВПО AryStinger использует уязвимости в устаревших маршрутизаторах, в основном тех, что используют чипы серии RTL819X от Linksys и D-Link. Эти маршрутизаторы, не получавшие обновлений прошивки или безопасности, служат скомпрометированными точками входа для кибератак, направленных на разведку и эксфильтрацию данных. В частности, вредоносное ПО нацелено на две известные уязвимости: CVE-2013-3307 и CVE-2016-5681, обе из которых появились более десяти лет назад. AryStinger существует в двух версиях: версия RTL819X, реализованная на C, и стандартная версия, написанная на Go, предназначенная для устройств NAS.

Вредоносное ПО взаимодействует со своим сервером управления (управление) (C2) по протоколам HTTP/HTTPS, шифруя сетевой трафик с использованием кодирования Protobuf и XOR. Обе версии поддерживают широкий спектр вредоносных возможностей, включая сканирование сети, идентификацию служб и создание каналов постоянного удаленного управления с помощью таких инструментов, как Dropbear и gs-netcat. Зараженные устройства могут не только обеспечивать скрытый контроль для злоумышленников, но и служить платформами для запуска дополнительных атак, таких как операции распределенного отказа в обслуживании (DDoS) или развертывание дополнительных вредоносных загрузок.

Каждый экземпляр AryStinger называется «Исполнителем» (Executor), что позволяет злоумышленникам разделять задачи и выполнять операции разведки параллельно, повышая эффективность своих действий. ВПО обнаружено более чем на 4300 маршрутизаторах по всему миру, при этом значительные концентрации зафиксированы в Южной Корее, Китае и Швеции. Его низкий уровень обнаружения в основных средствах защиты создает повышенный риск, затрудняя отслеживание источников атак, исходящих из этих скомпрометированных устройств.

Деятельность AryStinger включает различные основные задачи, такие как аутентификация с сервером C2, загрузка дополнительного ВПО и выполнение задач сканирования. ВПО позволяет собирать конфиденциальную информацию посредством сетевой разведки, а также осуществлять потенциально вредоносные действия, такие как DNS-перехват для перенаправления пользователей на вредоносные сайты.

Кроме того, стандартная версия AryStinger была дополнена дополнительным функционалом, таким как возможность выполнения внутренних сканирований сети и запуска динамических полезной нагрузки, что повышает её универсальность и вероятность успеха в целевых средах. Эта эволюция возможностей ВПО значительно усиливает обеспокоенность относительно целостности и безопасности сетей, использующих устаревшее аппаратное обеспечение, подчеркивая необходимость постоянной бдительности и проактивных мер в практике кибербезопасности.

#ParsedReport #CompletenessLow
15-06-2026

Iran Hajj Organization Data Claim, Crypto Leads Sale, APT43 Tooling Claim, Sweden User Data, and Chrysler Breach Claim

https://socradar.io/blog/iran-hajj-organization-apt43-sweden-data/

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Sim_swapping_technique
Smishing_technique
Everest

Victims:
Government, Travel, Finance, Cryptocurrency, Marketing, Data services, Automotive

Industry:
Government, Financial

Geo:
Swedish, Sweden, North korea, Iran

ChatGPT TTPs:
do not use without manual check
T1014, T1068, T1110.004, T1204, T1566, T1566.004, T1656

Soft:
Android, Linux

Wallets:
coinbase

Crypto:
bitcoin, binance

Algorithms:
zip

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 2, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В последних отчетах подробно описываются значительные утечки, связанные с конфиденциальными данными, включая базу данных Организации по делам хаджа и паломничества Ирана, содержащую более 168 миллионов записей, что создает риски кражи личных данных. Пользовательские данные крупных криптовалютных платформ попали в открытый доступ, что позволяет проводить потенциальные фишинговые атаки и атаки с подменой SIM-карт. Кроме того, северокорейский злоумышленник APT43 связан с передовыми инструментами, способными нарушить работу систем Android и Linux, а группа вымогательского ПО Everest заявляет о похищении 1 ТБ данных у компании Chrysler, что повышает риски целевых фишинговых кампаний.
-----

Согласно последним отчетам по безопасности, зафиксировано несколько утечек данных и потенциальных угроз, связанных с конфиденциальной информацией. Появилось утверждение о том, что злоумышленник якобы продает базу данных, содержащую более 168 миллионов записей за период с 1984 по 2024 год, взятых из Организации по делам паломничества и хаджа Ирана. Этот набор данных включает личную информацию, такую как имена, номера удостоверений личности, данные паспортов, контактные данные, а также конфиденциальные документы, относящиеся к государственным служащим и военному персоналу. Если это утверждение соответствует действительности, оно создает значительные риски кражи личных данных и финансового мошенничества.

В другом случае данные пользователей с различных криптовалютных платформ, включая Binance.US, Coinbase и Crypto.com, якобы были агрегированы и предложены на продажу. Этот набор данных содержит сотни тысяч строк пользовательской информации, которые могут быть использованы для фишинговых атак, подмены SIM-карт и Подстановки украденных учетных данных, что дополнительно угрожает безопасности криптопользователей.

Еще одно тревожное развитие событий связано со злоумышленником, известным как APT43, который ассоциируется с кибердеятельностью Северной Кореи. Сообщается о публикации, которая, по утверждениям, содержит бэкдоры, руткиты и уязвимости нулевого дня, связанные с этой группой. alleged инструменты включают бэкдор на C++ с надежными мерами противодействия криминалистическому анализу и инструменты, способные нарушить работу систем Android и ядер Linux. Если какие-либо из этих утверждений окажутся верными, они представляют собой серьезную угрозу целостности систем, обеспечивая несанкционированный доступ и закрепление в целевых сетях.

В Швеции на продажу появился набор данных, связанный с AdressFakta, который, по сообщениям, включает более 5 миллионов уникальных записей пользователей. Наличие адресов проживания и контактных данных из этого набора данных указывает на возможность проведения масштабных фишинговых атак и атак социальной инженерии, что может дополнительно поставить под угрозу личную жизнь отдельных лиц.

Наконец, группа вымогательского ПО Everest взяла на себя ответственность за инцидент с нарушением безопасности, связанный с компанией Chrysler, утверждая, что было похищено более 1 ТБ данных, включая информацию из CRM-системы. Если эти утверждения будут подтверждены, раскрытие данных о взаимодействии с клиентами может привести к целевым фишинговым атакам и мошенническим схемам социальной инженерии, направленным против клиентов и деловых партнеров.

Последствия этих событий подчеркивают критическую необходимость бдительного сбора киберугроз для снижения рисков, связанных с утечками данных и вредоносной кибердеятельностью. Таким образом, непрерывный мониторинг угроз в даркнете остается необходимым для эффективного управления цифровыми рисками.

#ParsedReport #CompletenessHigh
16-06-2026

Hidden in Teams: DragonForce Attackers Weaponize Microsoft Teams Relays to Stay Hidden

https://www.security.com/threat-intelligence/dragonforce-msteams-backdoor

Report completeness: High

Actors/Campaigns:
Dragonforce

Threats:
Dragonforce_ransomware
Byovd_technique
Dll_hijacking_technique
Abyss_locker
Abyssworker
Av-killer
Netscan_tool

Victims:
Services

Geo:
Switzerland

CVEs:
CVE-2023-52271 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- topazevolution antifraud (le2.0.0.0)

CVE-2025-1055 [Vulners]
CVSS V3.1: 5.6,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-61155 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1055, T1068, T1090, T1105, T1112, T1136.001, T1190, T1211, have more...

IOCs:
File: 7
Hash: 22
Domain: 8
Url: 1
IP: 1

Soft:
Microsoft Teams, MSSQL, VirtualBox

Algorithms:
zip

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4