#ParsedReport #CompletenessMedium
01-10-2025

Silent Smishing : The Hidden Abuse of Cellular Router APIs

https://blog.sekoia.io/silent-smishing-the-hidden-abuse-of-cellular-router-apis/

Report completeness: Medium

Actors/Campaigns:
Csam_ebox
Grooza

Threats:
Smishing_technique
Typosquatting_technique

Victims:
Telecommunications, Postal services, Social security, Banking, Government digital services, Milesight industrial cellular routers users

Industry:
Healthcare, Government, Telco, E-commerce, Financial, Ics

Geo:
Italian, French, Swedish, Turkey, Australia, Sweden, Russian, Danish, France, Spain, Denmark, Thailand, Dutch, Belgium

CVEs:
CVE-2023-43261 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059.007, T1078, T1190, T1204.001, T1210, T1566.002, T1589, T1593, T1596.001

IOCs:
IP: 6
File: 6
Url: 128
Domain: 23
Hash: 2

Soft:
Telegram

Algorithms:
aes

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Тот Sekoia.io команда сообщила о целенаправленных атаках, использующих уязвимости в промышленных маршрутизаторах сотовой связи Milesight, в частности CVE-2023-43261, которые позволяют получить несанкционированный доступ к конфиденциальным файлам журнала. Злоумышленники используют действительные файлы cookie для аутентификации для отправки SMS-сообщений с этих маршрутизаторов, и более 19 000 уязвимых устройств находятся в сети, главным образом в Австралии и Франции. Кампании smishing, связанные с этими уязвимостями, основаны на тактике социальной инженерии и фишинга, использующей домены, связанные с мошенническими действиями.
-----

Недавние наблюдения, сделанные Sekoia.io Группа по обнаружению угроз и исследованию выявила целенаправленную киберугрозу, использующую уязвимости в промышленных сотовых маршрутизаторах Milesight. Анализ выявил структуру запросов POST, направленных на конечную точку маршрутизаторов /cgi, использующих данные в формате JSON, связанные с функциями SMS-сообщений. Похоже, что злоумышленники используют файл cookie аутентификации для выполнения этих запросов, предполагая, что они обладают действительными учетными данными для доступа.

Заметная уязвимость, обозначенная как CVE-2023-43261, затрагивает несколько моделей маршрутизаторов Milesight, включая UR5X и UR32, предоставляя доступ к конфиденциальным файлам журналов по протоколу HTTP без проверки подлинности. Эта ошибка позволяет потенциальным злоумышленникам более эффективно использовать маршрутизаторы. Анализ показывает, что злоумышленники, скорее всего, проверяют, может ли маршрутизатор отправлять SMS-сообщения, пытаясь доставить сообщения на номер телефона, который они контролируют, подтверждая возможности устройства.

Было выявлено значительное число уязвимых устройств, более 19 000 из которых имеют доступ к общедоступному Интернету, со значительной концентрацией в Австралии и Франции. Исторические данные показывают, что использование этих уязвимостей для smishing-кампаний относится к началу 2022 года. Бельгия становится основной мишенью этих кампаний, которые обычно выдают себя за официальные службы, в то время как Франция демонстрирует широкий спектр имитируемых служб в своих усилиях по smishing.

В проанализированных кампаниях использовались различные домены для фишинга, в частности те, которые имитируют сервисы eBox и CSAM. В URL-адресах фишинга, полученных в ходе анализа, был обнаружен файл JavaScript, который проверяет, получают ли пользователи доступ к странице с мобильных устройств, скорее всего, предназначенный для повышения вовлеченности пользователей с помощью специальной тактики фишинга. Такое поведение, возможно, служит механизмом отслеживания, определяющим, когда пользователи взаимодействуют с мошенническими сайтами.

Кроме того, два домена, в частности jnsi.xyz, были привязаны к нескольким smishing-кампаниям, сосредоточенным на проблемах с платежами в разных регионах. Этот домен был зарегистрирован незадолго до этих кампаний и ссылается на относительно новую российскую автономную систему. Расследования в отношении домена выявляют вредоносные классификации с помощью URLScan.io , подтверждающий его использование в мошеннических действиях.

Эволюционирующий характер smishing, в частности его таргетинг с помощью SMS для целей цифрового мошенничества, демонстрирует постоянную угрозу, которую он представляет для финансовой безопасности. Методология атаки основана на методах социальной инженерии, которые используют доверие, что делает такую тактику доступной для неквалифицированных злоумышленников. Несмотря на свою простоту, smishing остается мощным средством для киберпреступников, движимых легкодоступными наборами и сервисами для фишинга.

#ParsedReport #CompletenessLow
03-10-2025

We Say You Want a Revolution PRISONBREAK - An AI-Enabled Influence Operation Aimed at Overthrowing the Iranian Regime

https://citizenlab.ca/2025/10/ai-enabled-io-aimed-at-overthrowing-iranian-regime/

Report completeness: Low

Actors/Campaigns:
Prisonbreak (motivation: disinformation)

Victims:
Iranian population, Media outlets

Industry:
Petroleum, Government, Financial, Critical_infrastructure, Energy, Education, Military

Geo:
Iranians, Israel, Qatar, Middle east, Tehran, Iran, Israeli, Iranian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1585, T1601.003, T1646, T1647

IOCs:
Url: 4

Soft:
Twitter, Gmail, Outlook, Chrome, Instagram, Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция влияния "PRISONBREAK" включает в себя сеть из более чем 50 поддельных профилей на X, направленную на подстрекательство к восстанию против иранского режима, особенно после военных действий Армии обороны Израиля. Операция использует контент, созданный искусственным интеллектом, методы глубокой подделки и Имперсонацию законных новостных агентств, чтобы исказить повествования и усилить распространение сообщений о протестах. Свидетельства использования методов искусственного усиления указывают на попытку манипулировать общественным дискурсом, при этом происхождение и принадлежность сети остаются неясными, что наводит на мысль о возможных связях с израильскими организациями.
-----

Операция влияния "PRISONBREAK" включает в себя скоординированную сеть из более чем 50 недостоверных профилей в X (ранее Twitter), предназначенную для подстрекательства иранской аудитории к восстанию против Исламской Республики. Считается, что на эту операцию, которая в основном набирала обороты, начиная с января 2025 года, повлияли военные действия, проводимые Силами обороны Израиля (ЦАХАЛ) против иранских объектов, особенно во время так называемой "Двенадцатидневной войны", которая началась 13 июня 2025 года. Время проведения операции по PRISONBREAK предполагает синхронизацию с этими военными действиями, в частности, со взрывами в тюрьме Эвин 23 июня 2025 года, причем сообщения об операции появляются почти сразу после событий.

Факты указывают на то, что деятельность в рамках этой кампании характеризовалась широким использованием Искусственного интеллекта (ИИ), включая создание контента, предназначенного для искажения повествований о протестах и восстаниях. Например, сеть PRISONBREAK использовала методы глубокой подделки в сочетании с обработанным звуком из популярных песен протеста, чтобы улучшить свои сообщения. Кроме того, стратегия сети включала в себя выдачу себя за законные новостные агентства, такие как BBC Persian, чтобы придать достоверность их ложным рассказам. Видео и изображения часто перерабатывались или редактировались, чтобы ввести аудиторию в заблуждение относительно реальных событий, демонстрируя преднамеренную попытку создать путаницу и усилить призыв к восстанию.

Операция "PRISONBREAK" продемонстрировала методы искусственного усиления путем распространения контента в целевых онлайн-сообществах, которые уже предрасположены к антирежимным настроениям. Сеть использовала такую тактику, как взаимный обмен своими собственными постами и пометка основных средств массовой информации, чтобы еще больше повысить видимость и вовлеченность. Общий уровень вовлеченности постов был низким, вероятно, из-за их недостоверного характера, но сеть стремилась использовать общественные обсуждения и манипулировать ими для усиления своего влияния.

Принадлежность сети PRISONBREAK остается неопределенной, имеются признаки, указывающие на возможную связь с израильскими правительственными структурами или подрядчиками, хотя окончательные связи установить невозможно из-за отсутствия идентифицируемых профилей и метаданных. Анонимность операторов также подтверждается выбором ими изображений профиля и доменов электронной почты, которые не соответствуют обычно используемым сервисам.

Эта операция является примером той роли, которую операции по оказанию влияния могут играть в геополитических конфликтах, особенно в манипулировании информацией как средстве достижения более широких стратегических целей.

#ParsedReport #CompletenessLow
02-10-2025

Scam Facebook groups send malicious Android malware to seniors

https://www.malwarebytes.com/blog/news/2025/10/scam-facebook-groups-send-malicious-android-malware-to-seniors

Report completeness: Low

Actors/Campaigns:
Active_seniors
Zombinder

Threats:
Datzbro

Victims:
Seniors

Industry:
Financial

Geo:
Malaysia, Canada, South africa, Singapore, Australia, China

ChatGPT TTPs:
do not use without manual check
T1409, T1411, T1412, T1475, T1566.003

IOCs:
Domain: 1
File: 2

Soft:
Android, WhatsApp

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Datzbro - вредоносное ПО для Android, нацеленное на пожилых людей через группы в Facebook, функционирующее как инфокрад и банковский Trojan. Он извлекает финансовую информацию и может перехватывать транзакции для опустошения банковских счетов, демонстрируя поведение, подобное шпионскому ПО, которое отслеживает активность пользователей. Двойные возможности вредоносного ПО повышают риск для уязвимых лиц, которые могут взаимодействовать с этими потенциально опасными группами.
-----

Была выявлена новая киберугроза, связанная с распространением вредоносного ПО для Android, известного как Datzbro, через группы Facebook, ориентированные на пожилых людей. Это вредоносное ПО функционирует как инфокрад и банковский троян, специально разработанный для извлечения конфиденциальной финансовой информации и опустошения банковских счетов жертв.

Datzbro обладает возможностями, обычно присущими шпионским программам, что позволяет ему отслеживать активность пользователей и собирать конфиденциальные данные. Функции банковского трояна позволяют ему перехватывать финансовые транзакции и потенциально выводить средства непосредственно со взломанных счетов. Такая двойственная природа вредоносного ПО увеличивает риск для отдельных лиц, которые могут непреднамеренно присоединиться к этим группам Facebook и ознакомиться с потенциально вредоносным контентом.

Чтобы снизить риски, связанные с этими вредоносными действиями, пользователям рекомендуется проявлять осторожность при взаимодействии с группами Facebook, особенно с теми, которые были созданы недавно или не имеют установленной истории. Хотя может оказаться невозможным определить возраст группы до вступления, пользователи могут оценить доверие к группе, изучив даты исторических и закрепленных сообщений. Важным предупреждающим знаком является переход по ссылкам или установка приложений, рекомендованных в этих группах, или отправленных через личные сообщения из незнакомых источников. Крайне важно поддерживать актуальную защиту от вредоносного ПО в режиме реального времени на мобильных устройствах и сохранять бдительность в отношении групп, обещающих подозрительные или нереалистичные предложения. Кроме того, оценка профессионализма описания и правил группы может служить полезным показателем легитимности и потенциальных угроз.

#ParsedReport #CompletenessHigh
02-10-2025

Operation SouthNet: SideWinder Expands Phishing and Malware Operations in South Asia

https://hunt.io/blog/operation-southnet-sidewinder-south-asia-maritime-phishing

Report completeness: High

Actors/Campaigns:
Southnet (motivation: cyber_espionage)
Sidewinder (motivation: cyber_espionage)

Threats:
Credential_harvesting_technique

Victims:
Government, Defense, Finance ministry, Central bank, Space agency, Airports authority, Board of investment, National assembly, Power utility, Telecom, have more...

Industry:
Aerospace, Telco, Military, Financial, Maritime, Government

Geo:
Bangladesh, Pakistan, Asian, Asia, China, Turkey, Myanmar, Pakistani, Sri lanka, Singapore, Turkish, Nepal

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1566.002, T1583.006, T1584.004

IOCs:
Domain: 23
IP: 9
Url: 61
File: 9
Hash: 14

Soft:
Zimbra, Android, Outlook

Algorithms:
md5, base64

Languages:
javascript, php

#ParsedReport #ExtractedSchema

Classified images:
windows: 15, chats: 1, schema: 2, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Operation SouthNet, проведенная злоумышленником SideWinder, включала в себя обширную деятельность по фишингу и вредоносному ПО по всей Южной Азии, используя более 50 вредоносных доменов для сбора учетных данных через поддельные порталы Outlook и Zimbra. Эта операция была нацелена на правительственные и оборонные организации с использованием методов, включающих использование в качестве оружия документов, посвященных правительственным делам, и утилизацию инфраструктуры, которая была связана с историческими средствами командования и контроля. Ключевыми целями были Министерство обороны Бангладеш, Министерство финансов Непала и Центральный банк Мьянмы, что подчеркивало стратегическую направленность на ценные учреждения.
-----

Operation SouthNet, приписываемая злоумышленнику SideWinder, стала свидетелем масштабной эскалации фишинга и вредоносного ПО по всей Южной Азии. Анализ выявил более 50 вредоносных доменов, используемых для размещения поддельных порталов Outlook и Zimbra, нацеленных на сбор учетных записей. Кампания была диверсифицирована в пяти странах, причем примерно 40% идентифицированных доменов приходится на Пакистан. Используемые методы включают распространение документов, связанных с правительственными делами, с использованием оружия, что подчеркивает нацеленность на чувствительные секторы.

Операция была введена в действие в августе 2025 года и была конкретно нацелена на правительственные и оборонные организации по всему Непалу, Бангладеш и Турции. SideWinder использовал бесплатные хостинговые платформы, такие как Netlify и pages.разработчик для развертывания своей инфраструктуры фишинга. Примечательно, что инфраструктура имела общую связь с историческими активами SideWinder's command and control (C2), подтверждая модель утилизации инфраструктуры на протяжении многих лет. С точки зрения исполнения, страницы фишинга использовали прямые запросы POST для перехвата введенных учетных данных без перенаправлений, чтобы избежать обнаружения.

Действия по фишингу были нацелены на различные учреждения: в Бангладеш схемы Имперсонации были направлены против Министерства обороны; в Непале были совершены атаки на Министерство финансов с использованием поддельных порталов Outlook; в то время как Центральный банк Мьянмы был атакован мошенническими страницами входа в Zimbra, предназначенными для извлечения учетных данных пользователей.

В Пакистане кампания, в частности, угрожала различным учреждениям, включая Комиссию по исследованию космоса и верхних Atmosphere (SUPARCO) и другие в аэрокосмическом и телекоммуникационном секторах. Домены для фишинга выдавали себя за законные правительственные службы электронной почты, что еще раз подчеркивает комплексный характер операций SideWinder's, нацеленных на ценные учреждения.

Для снижения подверженности угрозам рекомендуются упреждающие меры, включая мониторинг бесплатных хостинговых платформ на предмет активности фишинга, постоянную корреляцию показателей компрометации (IOCs) с системами безопасности и обучение персонала выявлению приманок для фишинга. Региональное сотрудничество между подразделениями по кибербезопасности Южной Азии также рекомендуется, учитывая трансграничный характер деятельности SideWinder's. Эта операция является примером стойких и адаптивных возможностей акторов сложных целенаправленных угроз (APT), использующих быстрый отток доменов, стратегические приманки и кроссплатформенное вредоносное ПО для поддержки долгосрочных кампаний шпионажа.

#ParsedReport #CompletenessMedium
30-09-2025

Klopatra: exposing a new Android banking trojan operation with roots in Turkey

https://www.cleafy.com/cleafy-labs/klopatra-exposing-a-new-android-banking-trojan-operation-with-roots-in-turkey

Report completeness: Medium

Threats:
Klopatra
Virbox_tool
Hvnc_tool
Vmprotect_tool

Victims:
Financial institutions, Banking customers, Mobile users

Industry:
Financial, Media

Geo:
Spain, Italy, Georgia, Italian, Qatar, Chinese, Turkish, Germany, Lithuania, Spanish, Turkey, Kuwait

ChatGPT TTPs:
do not use without manual check
T1406, T1407, T1409, T1411, T1412, T1432, T1433, T1435, T1636

IOCs:
Domain: 3
IP: 5
File: 2
Hash: 30

Soft:
Android, Google Play

Algorithms:
base64, sha256

Languages:
java, kotlin

#ParsedReport #ExtractedSchema

Classified images:
code: 8, chart: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Klopatra - это усовершенствованный троян для удаленного доступа к Android (RAT), обнаруженный в августе 2025 года, управляемый тюркоязычной преступной группировкой, который скомпрометировал более 3000 устройств в рамках финансовых кампаний, особенно в Испании и Италии. Он маскируется под IPTV-приложение для развертывания вредоносного дроппера, используя службы специальных возможностей Android для получения расширенных разрешений, и реализует передовые методы обхода, включая собственные библиотеки и защиту Virbox. Вредоносное ПО может проводить оверлейные атаки с целью кражи учетных данных и автономно изменять системные настройки для закрепления, что указывает на непрерывную эволюцию и значительный риск для безопасности мобильного банкинга.
-----

Klopatra - это недавно обнаруженный троян удаленного доступа для Android (RAT), идентифицированный Cleafy в конце августа 2025 года, отличающийся высокой изощренностью и отсутствием связей с известными семействами вредоносных ПО. Этот банковский троянец в основном управляется тюркоязычной преступной группировкой и активно компрометирует более 3000 устройств, особенно в финансовых кампаниях, нацеленных на пользователей в Испании и Италии.

Вредоносное ПО выполняет атаки с использованием приманки социальной инженерии, замаскированной под IPTV-приложение, заманивая пользователей к установке вредоносного Dropper. После установки Klopatra использует службы специальных возможностей Android для получения обширных разрешений, что позволяет ей получить полный контроль над зараженными устройствами. Его усовершенствованный дизайн включает в себя сложную стратегию уклонения с использованием собственных библиотек и коммерческого пакета защиты кода Virbox, что значительно повышает его скрытность и устойчивость к обнаружению.

Klopatra обладает мощными возможностями, функционируя как комплексный банковский троян с функциями, позволяющими осуществлять удаленное управление и кражу учетных данных посредством оверлейных атак. Функциональные возможности RAT позволяют операторам активно отслеживать зараженные устройства и манипулировать ими. Вредоносное ПО создает оверлеи, которые могут обманом заставить пользователей предоставить конфиденциальную информацию для входа в финансовые приложения и криптовалютные системы, накладывая на них законные экраны.

Чтобы обеспечить свое закрепление, Klopatra может автономно предоставлять себе дополнительные разрешения, перемещаться по системным настройкам и добавлять себя в списки исключений для оптимизации заряда батареи, таким образом избегая завершения работы операционной системы. Операционная инфраструктура включает выделенные серверы командования и контроля (C2), которые затемняются с помощью Cloudflare, чтобы скрыть их истинные IP-адреса. Анализ показывает, что авторы находятся в непрерывном цикле разработки, часто совершенствуя вредоносное ПО и методы его обхода.

Ознакомление с профилем оператора Klopatra's указывает на сплоченную группу, говорящую по-турецки, что видно из языка, используемого в коде, и различных оперативных примечаний. Этот анализ не только подчеркивает технический прогресс Klopatra's, но и выявляет угрозу, которая является гибкой, постоянной и эволюционирующей, что представляет значительный риск для финансовых учреждений и пользователей мобильной связи в Европе. Расследование подчеркивает необходимость усиления мер защиты и бдительности в отношении таких сложных мобильных угроз.

#ParsedReport #CompletenessLow
03-10-2025

Red Hat Breach: Crimson Collective Claims Massive Theft of Private Repositories

https://socradar.io/red-hat-breach-crimson-collective-theft-repositories/

Report completeness: Low

Actors/Campaigns:
Crimson_collective

Victims:
Red hat, Telecommunications

Industry:
Telco, Government, Energy, Healthcare, E-commerce, Financial

Geo:
Colombia

CVEs:
CVE-2025-10725 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1589, T1658, T1659

Soft:
Telegram, Salesforce

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Crimson Collective, недавно созданная группа вымогателей, взяла на себя ответственность за взлом частных хранилищ Red Hat после аналогичных действий против Claro Colombia. Они используют Telegram для освещения своей деятельности и оказания давления с помощью доказательств своих утверждений. Утверждается, что в атаке на Red Hat использовались нераскрытые уязвимости, и, хотя группа сообщила о своих опасениях Red Hat, они получили неадекватный ответ, подчеркивающий потенциальные недостатки в практике реагирования организации на инциденты.
-----

1 октября 2025 года Crimson Collective, недавно созданная группа вымогателей в Telegram, взяла на себя ответственность за значительное нарушение работы частных репозиториев Red Hat. Эта группа привлекла внимание своими предыдущими претензиями, включая сообщение о взломе Claro Colombia, где они утверждали о краже более 50 миллионов клиентских счетов-фактур и конфиденциальных внутренних файлов.

Crimson Collective, по-видимому, использует Telegram в качестве платформы для обмена доказательствами своих действий и участия в вымогательстве. Несмотря на то, что они были созданы всего за неделю до инцидента с Red Hat, они быстро обзавелись последователями, демонстрируя свое намерение извлечь выгоду из нарушений кибербезопасности. Их подход включает в себя заявления о нападениях и демонстрацию предполагаемых доказательств для установления доверия и оказания давления на целевые организации.

В случае с Red Hat группа заявила, что пыталась связаться с ними по официальным каналам, но получила общий ответ о раскрытии уязвимости, который они сочли неадекватным. Они предоставили скриншоты, свидетельствующие о том, что несколько сотрудников Red Hat участвовали в обработке их запроса, который в конечном итоге остался без ответа. Это утверждение подчеркивает потенциальную слабость методов реагирования на инциденты и коммуникации Red Hat.

Red Hat заявила, что нарушение не связано с недавно раскрытой уязвимостью OpenShift AI, идентифицированной как CVE-2025-10725, что указывает на то, что атака может использовать другие слабые места, которые еще не были публично выявлены или раскрыты. Детали, касающиеся точных методов или техник, использованных Crimson Collective для осуществления взлома, остаются непроверенными, и потенциальное воздействие любых украденных данных еще предстоит полностью оценить. Инцидент свидетельствует о сохраняющихся уязвимостях в известных организациях и растущей наглости злоумышленников, использующих общедоступные каналы для вымогательства и кражи данных.

#ParsedReport #CompletenessLow
02-10-2025

VMware CVE-2025-41244 Exploited: What You Need to Know About the Latest Flaws

https://socradar.io/vmware-cve-2025-41244-exploited/

Report completeness: Low

Actors/Campaigns:
Unc5174

Threats:
Screenconnect_tool

Victims:
Enterprise environments, Hybrid cloud environments

Industry:
Government, Ngo

Geo:
Chinese

CVEs:
CVE-2025-41245 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41244 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41251 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41246 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41252 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41250 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1068, T1587.001

Soft:
BIG-IP, Linux

Functions:
get_version