#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Canon стала мишенью хакерской кампании, связанной с программой-вымогателем Clop, использующей критическую уязвимость CVE-2025-61882 в пакете Oracle E-Business Suite для zero-day. Этот недостаток позволяет злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять произвольный код, создавая значительные риски, такие как несанкционированный доступ к системе, развертывание вредоносного ПО и эксфильтрация данных. Инцидент подчеркивает растущую изощренность программ-вымогателей, использующих критические уязвимости.
-----

Canon подтвердила, что подверглась хакерской кампании, связанной с программой-вымогателем Clop, которая использовала критическую уязвимость zero-day в Oracle E-Business Suite (EBS). Конкретная уязвимость, идентифицированная как CVE-2025-61882, была описана как серьезный недостаток безопасности, который позволяет злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять произвольный код на скомпрометированных серверах.

Этот тип эксплойта подчеркивает значительные риски, связанные с Oracle EBS, поскольку он позволяет злоумышленникам получать несанкционированный доступ к системам и потенциально внедрять вредоносное ПО или извлекать конфиденциальные данные. Учитывая природу программы-вымогателя Clop, которая известна тем, что шифрует данные жертв и требует выкуп за расшифровку, организациям, использующим Oracle EBS, следует уделить первоочередное внимание исправлению этой уязвимости и тщательной оценке своей системы безопасности для предотвращения подобных угроз в будущем.

Поскольку кампания демонстрирует растущую изощренность атак программ-вымогателей, использующих критические уязвимости, она служит напоминанием организациям о необходимости сохранять бдительность в отношении своих методов обеспечения безопасности, особенно при управлении исправлениями и мониторинге попыток несанкционированного доступа.

#ParsedReport #CompletenessLow
25-11-2025

Shai Huluds The Second Coming: New npm Campaign Hits Zapier, ENS, Postman

https://socradar.io/shai-hulud-the-second-coming-npm-campaign/

Report completeness: Low

Threats:
Shai-hulud
Trufflehog_tool
Supply_chain_technique

Victims:
Zapier, Ens domains, Asyncapi, Posthog, Postman, Open source ecosystem, Software development ecosystem

Industry:
Financial

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021, T1041, T1078, T1105, T1190, T1195, T1199, T1550, T1552, T1553, have more...

IOCs:
File: 2

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая волна атак, связанных с червем Shai Hulud npm, скомпрометировала около 492 пакетов npm, затронув такие известные проекты, как Zapier и Postman, с момента его обнаружения 24 ноября 2025 года. Этот самораспространяющийся червь использует уязвимости в экосистеме npm, позволяя злоумышленникам красть данные, получать доступ к конфиденциальной информации и публиковать вредоносные пакеты, тем самым угрожая рабочим процессам разработчиков. Кампания совпадает с предстоящим отзывом npm "классических токенов", что увеличивает риски для сопровождающих из-за небезопасных методов публикации.
-----

Появилась новая кампания, связанная с червем npm Shai Hulud, которая оказала значительное воздействие на различные громкие проекты, включая Zapier, ENS Domains, AsyncAPI, PostHog и Postman. Обнаруженная 24 ноября 2025 года, эта волна атак привела к троянизации примерно 492 пакетов npm, которые в совокупности получают около 132 миллионов загрузок каждый месяц. Атака использует уязвимости в экосистеме npm, нацеливаясь на библиотеки и инструменты, являющиеся неотъемлемой частью рабочих процессов разработчиков и автоматизации инфраструктуры.

Вариант Shai Hulud разработан как самораспространяющийся червь npm, обладающий скоординированными и стратегическими возможностями для проникновения и компрометации широко распространенных пакетов. Эта атака не только представляет непосредственный риск из-за кражи данных, но и позволяет злоумышленникам получить доступ к конфиденциальной информации, включая действительные секреты, которые могут привести к манипулированию или эксфильтрации закрытого исходного кода, публикации вредоносных пакетов под доверенными учетными записями и потенциальному перемещению внутри компании в рамках операций CI/CD.

Текущая волна совпадает с запланированным npm отзывом "классических токенов", запланированным на 9 декабря 2025 года, что затронет многих сопровождающих, которые еще не перешли на более безопасные методы публикации. Наличие долгоживущих токенов, оставшихся незащищенными, увеличивает риск эксплуатации в течение этого переходного периода.

Чтобы снизить риски, связанные с червем Shai Hulud, организациям рекомендуется выявлять и помечать версии пакетов npm, которые скомпрометированы, и предпринимать шаги по понижению версии или временному удалению этих пакетов из своих систем. По мере усиления угроз в Цепочке поставок решающее значение приобретает акцент на своевременном реагировании и повышении осведомленности об экосистеме. Службы безопасности должны сосредоточиться на раннем обнаружении утечек учетных данных, выявлении уязвимостей третьих лиц и мониторинге появляющихся показателей, связанных с такими кампаниями, как Shai Hulud, чтобы эффективно усилить свою защиту.

#ParsedReport #CompletenessMedium
25-11-2025

Build script exposes PyPI to domain takeover attacks

https://www.reversinglabs.com/blog/build-script-exposes-pypi-to-domain-takeover-attacks

Report completeness: Medium

Threats:
Supply_chain_technique

Victims:
Open source software ecosystem, Software supply chain

Industry:
Transport

CVEs:
CVE-2023-45311 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fsevents_project fsevents (<1.2.11)


ChatGPT TTPs:
do not use without manual check
T1059.006, T1105, T1190, T1195, T1204.002

IOCs:
Domain: 1
File: 3
Url: 1
Hash: 11

Soft:
Twitter

Algorithms:
sha1

Languages:
python

Links:
https://github.com/pypiserver/pypiserver/pull/642
have more...
https://github.com/tornadoweb/tornado/blob/master/maint/vm/windows/bootstrap.py
https://github.com/IMIO/imio.pm.locales/commit/a8976219d86de139388ff9892135661658aed7a1

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сценариях сборки некоторых пакетов Python на PyPI была обнаружена значительная уязвимость, подвергающая их атакам захвата домена из-за перехода с distutils на setuptools. Был продемонстрирован метод эксплойта, который обходит стандартную загрузку пакета с помощью загрузочного скрипта на базе Python 2, позволяя вносить вредоносные изменения. Беспорядочное управление python-distribute.org домен повышает риск эксплуатации, повторяя аналогичные уязвимости, наблюдаемые в других экосистемах управления пакетами, связанные с жестко закодированными URL-адресами и проблемами управления зависимостями.
-----

В сценариях сборки определенных пакетов Python в индексе пакетов Python (PyPI) была выявлена уязвимость, которая подвергает их потенциальным атакам на захват домена. Ключевая проблема возникает из-за исторического перехода от библиотеки distutils к setuptools. Distutils устарел и был удален в версии Python 3.12, а setuptools стал предпочтительным решением для управления пакетами. В то время как сообщество в значительной степени отошло от дистрибутивного форка setuptools, многие пакеты по-прежнему используют сценарий начальной загрузки, который по умолчанию устанавливает или разрешает его установку, создавая возможности для использования.

Исследователи продемонстрировали эту уязвимость с помощью эксплойта proof-of-concept, умело используя сценарий начальной загрузки на основе Python 2 из пакета slapos.core. Стратегия эксплойта включала выполнение сценария начальной загрузки с флагом, который обходит стандартную загрузку пакета, тем самым позволяя внедрять вредоносные модификации. Этот метод демонстрирует критическую слабость в том, как пакеты Python управляют зависимостями и процессами начальной загрузки.

Кроме того, обработка python-distribute.org домен иллюстрирует потенциал для использования. Неустойчивое управление доменом — он был удален и впоследствии перерегистрирован - создает риск того, что злонамеренные акторы могут завладеть им и доставлять вредоносную полезную нагрузку, Маскировку под законные скрипты. Этот сценарий не единичен; аналогичный инцидент произошел в 2023 году с пакетом npm fsevents, когда был захвачен невостребованный облачный ресурс для предоставления пользователям вредоносных исполняемых файлов. Уязвимость в данном случае была задокументирована как CVE-2023-45311 и затронула определенные версии пакетов, которые указывали на жестко закодированные URL-адреса для извлечения ресурсов.

Фундаментальная проблема, по-видимому, коренится в шаблонах программирования, используемых в этих пакетах, в частности, в зависимости от жестко закодированных интернет-доменов для выполнения полезных нагрузок. Такие шаблоны напоминают поведение вредоносного ПО, в частности загрузчиков, которые извлекают и выполняют код из потенциально скомпрометированных доменов. Таким образом, отсутствие надзора и специальные подходы к управлению пакетами в сообществе разработчиков с открытым исходным кодом привели к уязвимостям, которые могут быть легко использованы хакерскими группировками. Решение этих проблем имеет решающее значение для обеспечения целостности управления пакетами на Python в будущем.

#ParsedReport #CompletenessHigh
25-11-2025

Raging Panda Attacks: APT31 Today

https://ptsecurity.com/research/pt-esc-threat-intelligence/striking-panda-attacks-apt31-today/

Report completeness: High

Actors/Campaigns:
Apt31 (motivation: cyber_espionage)

Threats:
Coffproxy
Vtchatter
Yaleak
Cloudyloader
Onedrivedoor
Dev_tunnels_tool
Localplugx
Vmprotect_tool
Plugx_rat
Cloudsorcerer
Spear-phishing_technique
Wevtutil_tool
Dll_sideloading_technique
Passthehash_technique
Mimikatz_tool
Radmin_tool
Mstsc_tool
Smbexec_tool
Impacket_tool
Coffloader
Credential_dumping_technique
Owowa
Grewapacha
Cobalt_strike_tool
Tailscale_tool
Wmiexec_tool
Garble_tool

Victims:
Russian it sector

Industry:
Government

Geo:
Peruvian, Russian, Russia, Asian, Peru

TTPs:
Tactics: 11
Technics: 31

IOCs:
File: 33
Domain: 6
Path: 13
Command: 6
Registry: 4
Email: 2
Hash: 32
Url: 1
IP: 1

Soft:
Windows Task Scheduler, Unix, macOS, Linux, Windows Firewall, Dropbox, WolfSSL, Microsoft Exchange, MACOSX, Chrome, have more...

Algorithms:
xor, sha256, aes, rc4, md5, lznt1, ror13, sha1, base64

Functions:
Get-WinEvent, is, Write-Output, number, ComputeZwHash, name

Win API:
MessageBoxW, SHFileOperationW, GetUserNameW, NetUseEnum, NetShareEnum, ImpersonateLoggedOnUser, ZwAllocateVirtualMemory, ZwWriteVirtualMemory, ZwProtectVirtualMemory, ZwResumeThread, have more...

Languages:
python, golang, powershell

Links:
https://github.com/jnqpblc/SharpDir
https://github.com/V1V1/SharpScribbles
https://github.com/GhostPack/SharpDPAPI
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT31, группа кибершпионажа, нацелилась на российский ИТ-сектор, используя передовые технологии и целый ряд вредоносных ПО. Они получают первоначальный доступ с помощью Целевого фишинга и используют Облачные сервисы для управления, используя такие инструменты, как WmiExec от Impacket's и RDP для перемещения внутри компании. Их вредоносное ПО, включая CloudyLoader и LocalPlugx, использует тактику уклонения, такую как шифрование и запутывание, в то время как они извлекают данные из облачных хранилищ, используя.Сетевые утилиты и используют эффективную тактику обхода защиты, включая очистку журналов и VPN-подключения.
-----

APT31, группа кибершпионажа, специализирующаяся на промышленных кражах и интеллектуальной собственности, недавно нацелилась на российский ИТ-сектор, используя сложные методы и разнообразное вредоносное ПО. Злоумышленник использует Облачные сервисы, в частности российские платформы, в качестве механизмов управления (C2), повышая свою способность действовать скрытно.

Их первоначальный доступ был обеспечен с помощью скомпрометированной инфраструктуры, начиная уже с конца 2022 года. Заметным методом, использованным для закрепления, было использование методов Целевого фишинга с помощью специально созданных вложений, которые развертывали вредоносное ПО, такое как CloudyLoader. Злоумышленники используют подготовленные сценарии для перемещения внутри компании в сетях, используя такие инструменты, как WmiExec от Impacket's, SmbExec и Протокол удаленного рабочего стола (RDP) для привилегированного доступа и управления системой.

Примечательно, что APT31's использует механизмы закрепления, которые включают в себя манипулирование планировщиком задач Windows с именами задач, напоминающими законные приложения, тем самым создавая запланированные задачи для выполнения их полезной нагрузки. Такие методы, как DLL sideloading, были широко распространены, примером чего являются бэкдоры LocalPlugx и COFFProxy. LocalPlugx, например, маскирует свою функциональность в рамках общей исполняемой структуры, в то время как COFFProxy поддерживает команды для туннелирования и манипулирования файлами.

Арсенал APT31's вредоносного ПО пополнился различными образцами, такими как AufTime, который взаимодействует через библиотеку wolfSSL и нацелен на системы Linux, и CloudSorcerer, структурированный аналогично LocalPlugx, но использующий другой механизм доставки полезной нагрузки. Каждый из этих бэкдоров использует тактику уклонения, такую как шифрование и обфускация, чтобы избежать обнаружения при выполнении своих функций.

Группа также продемонстрировала эффективную тактику эксфильтрации данных, используя утилиты, разработанные в .NET, для передачи украденной информации в облачные хранилища, такие как Яндекс. Их сообщения управления тщательно шифруются с использованием пользовательской реализации RC4, гарантирующей защиту коммуникаций от перехвата.

Кроме того, APT31 обладает мощными возможностями обхода защиты, включая очистку журналов и создание исключений в брандмауэре Windows для облегчения работы вредоносного ПО без запуска предупреждений. Они также устанавливают зашифрованные одноранговые VPN-соединения, используя законные программные средства, эффективно маскируя свою деятельность от систем мониторинга безопасности.

Поскольку APT31 продолжает совершенствовать свои методы и расширять свой инструментарий новыми уязвимостями и векторами атак, угроза, которую они представляют, остается значительной, особенно в целевом секторе. Такая изощренность требует от потенциальных жертв постоянной бдительности и передовых контрмер.

#ParsedReport #CompletenessLow
25-11-2025

Commercial-Grade Mobile Spyware LANDFALL Underscores Evolving Mobile Threats

https://zimperium.com/blog/mobile-threat-watch/commercial-grade-mobile-spyware-landfall-underscores-evolving-mobile-threats

Report completeness: Low

Actors/Campaigns:
Landfall (motivation: cyber_espionage)

Victims:
Mobile users

ChatGPT TTPs:
do not use without manual check
T1123, T1203, T1430

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания шпионских программ для Android "LANDFALL" использует уязвимость zero-day в библиотеке обработки изображений крупного производителя смартфонов, используя в качестве способа доставки искаженные файлы изображений DNG, отправляемые через приложения для обмена сообщениями. Он использует цепочку эксплойтов с нулевым щелчком мыши, что позволяет устанавливать его без участия пользователя и получать обширный доступ к конфиденциальным данным, таким как микрофон, местоположение и контакты. Это подчеркивает растущую ориентацию мобильных устройств на шпионаж и значительные риски, которые они представляют для кибербезопасности.
-----

Недавний анализ выявил сложную шпионскую программу для Android под названием "LANDFALL", которая использует уязвимость zero-day в библиотеке обработки изображений известного производителя смартфонов. Эта кампания демонстрирует меняющийся ландшафт угроз, в котором мобильные устройства все чаще становятся мишенью для шпионажа. Механизм доставки шпионского ПО включал маскировку его вредоносной полезной нагрузки в искаженных файлах изображений DNG, которые распространялись через приложения для обмена сообщениями. Примечательно, что в атаке использовалась цепочка эксплойтов с нулевым щелчком мыши, позволяющая обойти традиционную антивирусную защиту, не требуя каких-либо действий от пользователя.

Как только шпионское ПО успешно устанавливается на устройство, оно получает широкие привилегии, позволяющие ему получать доступ к конфиденциальной информации, включая микрофон, данные о местоположении, журналы вызовов, фотографии и контакты. Такой уровень вторжения подчеркивает высокую степень риска мобильных конечных точек, что делает их главными мишенями для изощренных атак. Появление таких угроз подчеркивает важность обеспечения безопасности мобильных устройств, особенно в средах, где используются политики "Принеси свое собственное устройство" (BYOD), неуправляемые приложения или гибридные системы доступа. Обеспечение надежной мобильной безопасности становится важнейшим компонентом эффективной стратегии кибербезопасности для защиты от этих развивающихся угроз.

Итоговая версия нашего фришного портальчика.
Уже в эту субботу представлю его на CTI Meetup (который мы проводим с ребятами из INSECA)

З.ы. Как и обещал, в паблик версии все будет на русском (ну и аглицком) :)

Кто сегодня на ZN в Питере, пишите, пересечемся :)

#ParsedReport #CompletenessMedium
26-11-2025

The Golden Scale: 'Tis the Season for Unwanted Gifts

https://unit42.paloaltonetworks.com/new-shinysp1d3r-ransomware/

Report completeness: Medium

Actors/Campaigns:
Shinyhunters (motivation: information_theft, financially_motivated)
Scattered_lapsus_hunters (motivation: information_theft, cyber_criminal)
Shiny_spider

Threats:
Supply_chain_technique

Victims:
Salesforce, Gainsight, Crowdstrike, Saas platforms

Industry:
Retail, Entertainment

Geo:
New york

ChatGPT TTPs:
do not use without manual check
T1078, T1195, T1486, T1566.003, T1585.001

IOCs:
Url: 5
Hash: 3

Soft:
Salesforce, Telegram, Salesloft Drift, Linux, ESXi, HubSpot

Algorithms:
sha256

Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-11-21-IOCs-for-ShinySp1d3r-ransomware.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В октябре 2025 года Scattered LAPSUS$ Hunters (SLSH) активизировали кибер-активность, в частности, выявив программу-вымогателя под названием "ShinySp1d3r", нацеленную на Windows, с планами на Linux и ESXi. Система Salesforce обнаружила необычное поведение, связанное с приложениями Gainsight, и потребовала принятия мер безопасности после потенциального нарушения, связанного со сторонними интеграциями. Кроме того, инсайдер скомпрометировал конфиденциальную информацию на сумму 25 000 долларов от Bling Libra, что свидетельствует о продолжающихся инсайдерских угрозах, связанных с SLSH.
-----

В октябре 2025 года альянс киберпреступников, известный как Scattered LAPSUS$ Hunters (SLSH), возобновил деятельность после непродолжительного периода бездействия, что ознаменовало всплеск киберугроз с приближением сезона отпусков. Подразделение 42 сообщило о возросшей активности этой группы, основываясь на результатах разведки с открытым исходным кодом и сообщениях, полученных из нового Telegram-канала, посвященного SLSH.

20 ноября 2025 года Salesforce признала необычную активность, связанную с приложениями, опубликованными Gainsight, что побудило компанию ограничить весь активный доступ и токены обновления, связанные с этими приложениями, и временно отозвать их из своего AppExchange на время расследования инцидента. Этот шаг указывает на потенциальное нарушение безопасности, влияющее на сторонние интеграции, и подчеркивает текущие угрозы со стороны SLSH.

Кроме того, 19 ноября 2025 года появилась программа под названием "ShinySp1d3r" в качестве новой инициативы "Программа-вымогатель как услуга", которая все еще находится в разработке SLSH. Изначально разработанный для систем Windows, существуют планы по выпуску будущих версий, ориентированных на системы Linux и ESXi, что указывает на намерение акторов расширить вектор своих атак.

Также появились инсайдерские угрозы, о чем свидетельствует событие 21 ноября 2025 года, когда инсайдер поделился с SLSH конфиденциальными скриншотами внутренней системы, которые впоследствии были опубликованы в их Telegram-канале. Хотя CrowdStrike подтвердила, что вовлеченное лицо было уволено и что их системы оставались в безопасности, сообщалось, что Bling Libra предложила инсайдеру 25 000 долларов за доступ к сети CrowdStrike, демонстрируя сохраняющиеся риски, связанные с сотрудничеством инсайдеров с киберпреступными группами.

В свете этих событий 24 ноября 2025 года Gainsight объявила о приостановке подключений к другим платформам SaaS, включая HubSpot и Zendesk, в качестве меры предосторожности в ответ на атаку Цепочки поставок. Они также посоветовали клиентам поменять свои ключи S3, чтобы снизить дальнейшие риски. В совокупности эти инциденты иллюстрируют тревожную тенденцию в киберугрозах со стороны SLSH group и служат напоминанием организациям о необходимости усилить свою защиту по мере приближения сезона высокого риска кибератак.

#ParsedReport #CompletenessMedium
26-11-2025

Old tech, new vulnerabilities: NTLM abuse, ongoing exploitation in 2025

https://securelist.com/ntlm-abuse-in-2025/118132/

Report completeness: Medium

Actors/Campaigns:
Blindeagle (motivation: cyber_espionage)
Head_mare (motivation: hacktivism)

Threats:
Smbrelay_tool
Mitm_technique
Petitpotam_vuln
Printerbug_tool
Passthehash_technique
Mimikatz_tool
Impacket_tool
Ntlmrelayx_tool
Wmiexec_tool
Remcos_rat
Smokeloader
Shadowladder
Secretsdump_tool
Smbexec_tool
Smbmap_tool
Phantomcore
Avemaria_rat

Victims:
Colombian entities, Financial sector

Industry:
Education, Government

Geo:
Uzbekistan, Russian, Belarusian, Colombian, Russia, Latin american

CVEs:
CVE-2024-43451 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20826)
- microsoft windows_10_1607 (<10.0.14393.7515)
- microsoft windows_10_1809 (<10.0.17763.6532)
- microsoft windows_10_21h2 (<10.0.19044.5131)
- microsoft windows_10_22h2 (<10.0.19045.5131)
have more...
CVE-2025-24071 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20947)
- microsoft windows_10_1607 (<10.0.14393.7876)
- microsoft windows_10_1809 (<10.0.17763.7009)
- microsoft windows_11_23h2 (<10.0.22631.5039)
- microsoft windows_11_24h2 (<10.0.26100.3476)
have more...
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)

CVE-2025-24054 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20947)
- microsoft windows_10_1607 (<10.0.14393.7876)
- microsoft windows_10_1809 (<10.0.17763.7009)
- microsoft windows_10_21h2 (<10.0.19044.5608)
- microsoft windows_10_22h2 (<10.0.19045.5608)
have more...
CVE-2025-33073 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.21034)
- microsoft windows_10_1607 (<10.0.14393.8148)
- microsoft windows_10_1809 (<10.0.17763.7434)
- microsoft windows_10_21h2 (<10.0.19044.5965)
- microsoft windows_10_22h2 (<10.0.19045.5965)
have more...

ChatGPT TTPs:
do not use without manual check
T1187, T1210, T1550.002, T1557, T1557.001, T1566

IOCs:
File: 5
Domain: 1
IP: 2

Soft:
MSSQL, Active Directory, PsExec, MSHTML engine, Internet Explorer, SMB server, Windows SMB client

Algorithms:
zip, base64

Functions:
Out-Minidump

Win API:
MiniDumpWriteDump

Win Services:
NTLMSSP

Languages:
powershell

Platforms:
apple