CTT Report Hub
#ParsedReport #CompletenessHigh 22-12-2025 React2Shell to real-world breach: How an unpatched dev server led to a Windows compromise https://www.threatlocker.com/blog/react2shell-unpatched-dev-server-windows-compromise Report completeness: High Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
CVE-2025-55182, известная как React2Shell, представляет собой критическую уязвимость в серверных компонентах React, которая позволяет Удаленное Выполнение Кода из-за недостаточной проверки данных с помощью созданных HTTP POST-запросов. Попытки эксплуатации, наблюдавшиеся на скомпрометированных серверах Windows под управлением IIS, включали выполнение двоичных файлов Linux и сценариев оболочки, которые завершились неудачей из-за неродной среды. Атака напоминает поведение криптоджекеров, что указывает на менее изощренную тактику, обычно применяемую неопытными злоумышленниками, а не на сложные целенаправленные угрозы.
-----
3 декабря 2025 года была раскрыта критическая уязвимость в серверных компонентах React под номером CVE-2025-55182, известная как React2Shell. Эта уязвимость позволяет злоумышленникам использовать недостаточную проверку данных на стороне сервера, в частности, с помощью специально созданных HTTP POST-запросов, отправляемых хостам, обслуживающим веб-приложения, использующие React. Недостаток возникает в результате оптимизаций, направленных на сокращение использования ресурсов, которые непреднамеренно приводят к выполнению кода без надлежащей проверки, делая системы уязвимыми для несанкционированного выполнения команд.
В ходе выявленных случаев эксплуатации скомпрометированных серверов Windows под управлением IIS злоумышленники пытались запустить несколько двоичных файлов Linux, включая такие команды, как "grep", "sh", "busybox", "chmod" и "bash". Однако эти двоичные файлы не удалось запустить, поскольку они не являются встроенными в среду Windows. Злоумышленники также попытались выполнить сценарии оболочки (sh-файлы), которые также не увенчались успехом из-за отсутствия необходимых двоичных файлов Linux.
Использование React2Shell соответствует типичному поведению, наблюдаемому в кампаниях по криптоджекингу, которые обычно фокусируются на краже ресурсов у широкого круга целей, а не полагаются на сложные и адаптированные стратегии атак. Характер атаки выглядит менее изощренным, напоминая тактику менее опытных злоумышленников, а не хорошо зарекомендовавших себя APT-группировок или синдикатов организованной финансовой преступности.
Чтобы снизить риски, связанные с такими уязвимостями, использование контроля приложений, такого как список разрешений ThreatLocker, может предотвратить выполнение несанкционированных приложений. Это позволяет использовать только явно разрешенные приложения, одновременно позволяя создавать специальные политики запрета для блокирования доступа к программному обеспечению высокого риска. Для критически важных приложений, которые необходимы для бизнес-операций, но также считаются рискованными, могут применяться такие стратегии, как кольцевая защита. Это ограничивает сферу взаимодействия этих приложений с системными ресурсами, ограничивая их потенциальную возможность злоупотреблений.
React2Shell представляет значительный риск из-за своей способности к Удаленному Выполнению Кода злоумышленниками, не прошедшими проверку подлинности, что подчеркивает важность оперативного исправления известных уязвимостей для защиты от эксплуатации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
CVE-2025-55182, известная как React2Shell, представляет собой критическую уязвимость в серверных компонентах React, которая позволяет Удаленное Выполнение Кода из-за недостаточной проверки данных с помощью созданных HTTP POST-запросов. Попытки эксплуатации, наблюдавшиеся на скомпрометированных серверах Windows под управлением IIS, включали выполнение двоичных файлов Linux и сценариев оболочки, которые завершились неудачей из-за неродной среды. Атака напоминает поведение криптоджекеров, что указывает на менее изощренную тактику, обычно применяемую неопытными злоумышленниками, а не на сложные целенаправленные угрозы.
-----
3 декабря 2025 года была раскрыта критическая уязвимость в серверных компонентах React под номером CVE-2025-55182, известная как React2Shell. Эта уязвимость позволяет злоумышленникам использовать недостаточную проверку данных на стороне сервера, в частности, с помощью специально созданных HTTP POST-запросов, отправляемых хостам, обслуживающим веб-приложения, использующие React. Недостаток возникает в результате оптимизаций, направленных на сокращение использования ресурсов, которые непреднамеренно приводят к выполнению кода без надлежащей проверки, делая системы уязвимыми для несанкционированного выполнения команд.
В ходе выявленных случаев эксплуатации скомпрометированных серверов Windows под управлением IIS злоумышленники пытались запустить несколько двоичных файлов Linux, включая такие команды, как "grep", "sh", "busybox", "chmod" и "bash". Однако эти двоичные файлы не удалось запустить, поскольку они не являются встроенными в среду Windows. Злоумышленники также попытались выполнить сценарии оболочки (sh-файлы), которые также не увенчались успехом из-за отсутствия необходимых двоичных файлов Linux.
Использование React2Shell соответствует типичному поведению, наблюдаемому в кампаниях по криптоджекингу, которые обычно фокусируются на краже ресурсов у широкого круга целей, а не полагаются на сложные и адаптированные стратегии атак. Характер атаки выглядит менее изощренным, напоминая тактику менее опытных злоумышленников, а не хорошо зарекомендовавших себя APT-группировок или синдикатов организованной финансовой преступности.
Чтобы снизить риски, связанные с такими уязвимостями, использование контроля приложений, такого как список разрешений ThreatLocker, может предотвратить выполнение несанкционированных приложений. Это позволяет использовать только явно разрешенные приложения, одновременно позволяя создавать специальные политики запрета для блокирования доступа к программному обеспечению высокого риска. Для критически важных приложений, которые необходимы для бизнес-операций, но также считаются рискованными, могут применяться такие стратегии, как кольцевая защита. Это ограничивает сферу взаимодействия этих приложений с системными ресурсами, ограничивая их потенциальную возможность злоупотреблений.
React2Shell представляет значительный риск из-за своей способности к Удаленному Выполнению Кода злоумышленниками, не прошедшими проверку подлинности, что подчеркивает важность оперативного исправления известных уязвимостей для защиты от эксплуатации.
#ParsedReport #CompletenessLow
26-12-2025
How a Compromised Browser Extension Drained $7 Million in Crypto
https://www.secureblink.com/cyber-security-news/how-a-compromised-browser-extension-drained-7-million-in-crypto
Report completeness: Low
Threats:
Supply_chain_technique
Victims:
Crypto users, Trust wallet users
Industry:
Financial
ChatGPT TTPs:
T1195, T1553.006, T1566
IOCs:
File: 1
Domain: 2
Soft:
Chrome
Crypto:
binance
Languages:
javascript
26-12-2025
How a Compromised Browser Extension Drained $7 Million in Crypto
https://www.secureblink.com/cyber-security-news/how-a-compromised-browser-extension-drained-7-million-in-crypto
Report completeness: Low
Threats:
Supply_chain_technique
Victims:
Crypto users, Trust wallet users
Industry:
Financial
ChatGPT TTPs:
do not use without manual checkT1195, T1553.006, T1566
IOCs:
File: 1
Domain: 2
Soft:
Chrome
Crypto:
binance
Languages:
javascript
Secureblink
How a Compromised Browser Extension Drained $7 Million in Crypto
$7M crypto heist after malicious Chrome extension update. Trust Wallet confirms supply-chain attack, pledges to cover all stolen user funds.
CTT Report Hub
#ParsedReport #CompletenessLow 26-12-2025 How a Compromised Browser Extension Drained $7 Million in Crypto https://www.secureblink.com/cyber-security-news/how-a-compromised-browser-extension-drained-7-million-in-crypto Report completeness: Low Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Скомпрометированная версия расширения Trust Wallet для Chrome, выпущенная 24 декабря 2025 года, привела к краже криптовалюты на сумму более 7 миллионов долларов из-за атаки по Цепочке поставок, в результате которой был внедрен вредоносный код. Атака использовала широкие привилегии расширения для манипулирования транзакциями, что привело к значительным потерям пользователей и спровоцировало кампанию фишинга, нацеленную на пострадавших пользователей. Этот инцидент выявил критические уязвимости в расширениях браузера и риски, связанные с обновлениями программного обеспечения.
-----
Значительный киберинцидент, связанный со взломанным браузерным расширением, привел к краже криптовалюты на сумму 7 миллионов долларов у пользователей Trust Wallet. Инцидент начался 24 декабря 2025 года, когда было незаметно выпущено вредоносное обновление версии 2.68.0 расширения Trust Wallet для Chrome. Trust Wallet - это широко используемый кошелек, который позволяет пользователям взаимодействовать с децентрализованными приложениями (dApps) и управлять цифровыми активами. Вскоре после обновления пользователи сообщили о потере средств во время обычных транзакций, и оценки потерь быстро превысили 2 миллиона долларов.
Судебно-медицинские исследования показали, что атака была Компрометацией цепочки поставок, в результате которой злоумышленники проникли в конвейер обновлений Trust Wallet, чтобы внедрить вредоносный код в официальный пакет расширений. Это изощренное проникновение позволило злоумышленникам манипулировать транзакциями и красть пользовательские активы. В качестве стратегического шага, когда среди пользователей Социальных сетей распространилась паника, злоумышленники инициировали кампанию фишинга, чтобы воспользоваться ситуацией. Они создали мошеннические учетные записи, перенаправляющие пользователей на поддельный веб-сайт с целью дальнейшего обмана жертв в условиях неразберихи.
Инцидент выявил критическую уязвимость в модели расширений браузера, подчеркивая обширные привилегии, которыми обладают эти расширения при взаимодействии с веб-страницами и блокчейн-сетями. Это по сути предоставляет злоумышленникам доступ к обширному интерфейсу для эксплуатации. Скомпрометированное расширение служит в качестве троянского коня, способного наблюдать за действиями пользователя и извлекать конфиденциальную информацию. В то время как Trust Wallet пообещал возместить украденные средства и заверил пользователей в сохранности их активов, это событие вызывает опасения по поводу надежности и безопасности браузерных кошельков и более широких последствий уязвимостей в Цепочке поставок обновлений программного обеспечения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Скомпрометированная версия расширения Trust Wallet для Chrome, выпущенная 24 декабря 2025 года, привела к краже криптовалюты на сумму более 7 миллионов долларов из-за атаки по Цепочке поставок, в результате которой был внедрен вредоносный код. Атака использовала широкие привилегии расширения для манипулирования транзакциями, что привело к значительным потерям пользователей и спровоцировало кампанию фишинга, нацеленную на пострадавших пользователей. Этот инцидент выявил критические уязвимости в расширениях браузера и риски, связанные с обновлениями программного обеспечения.
-----
Значительный киберинцидент, связанный со взломанным браузерным расширением, привел к краже криптовалюты на сумму 7 миллионов долларов у пользователей Trust Wallet. Инцидент начался 24 декабря 2025 года, когда было незаметно выпущено вредоносное обновление версии 2.68.0 расширения Trust Wallet для Chrome. Trust Wallet - это широко используемый кошелек, который позволяет пользователям взаимодействовать с децентрализованными приложениями (dApps) и управлять цифровыми активами. Вскоре после обновления пользователи сообщили о потере средств во время обычных транзакций, и оценки потерь быстро превысили 2 миллиона долларов.
Судебно-медицинские исследования показали, что атака была Компрометацией цепочки поставок, в результате которой злоумышленники проникли в конвейер обновлений Trust Wallet, чтобы внедрить вредоносный код в официальный пакет расширений. Это изощренное проникновение позволило злоумышленникам манипулировать транзакциями и красть пользовательские активы. В качестве стратегического шага, когда среди пользователей Социальных сетей распространилась паника, злоумышленники инициировали кампанию фишинга, чтобы воспользоваться ситуацией. Они создали мошеннические учетные записи, перенаправляющие пользователей на поддельный веб-сайт с целью дальнейшего обмана жертв в условиях неразберихи.
Инцидент выявил критическую уязвимость в модели расширений браузера, подчеркивая обширные привилегии, которыми обладают эти расширения при взаимодействии с веб-страницами и блокчейн-сетями. Это по сути предоставляет злоумышленникам доступ к обширному интерфейсу для эксплуатации. Скомпрометированное расширение служит в качестве троянского коня, способного наблюдать за действиями пользователя и извлекать конфиденциальную информацию. В то время как Trust Wallet пообещал возместить украденные средства и заверил пользователей в сохранности их активов, это событие вызывает опасения по поводу надежности и безопасности браузерных кошельков и более широких последствий уязвимостей в Цепочке поставок обновлений программного обеспечения.
#ParsedReport #CompletenessHigh
26-12-2025
SideWinder APT's Latest "Stealth" Attack Chain Analysis
https://www.ctfiot.com/288986.html
Report completeness: High
Actors/Campaigns:
Sidewinder
Threats:
Dll_sideloading_technique
Lolbin_technique
Procmon_tool
Victims:
Income taxpayers, Government, Military, Taxation, Service industry, Retail industry, Telecom industry, Healthcare industry
Industry:
Retail, Healthcare, Telco, Military, Government
Geo:
Asia-pacific, Indian, Asian, Chinese, India
TTPs:
Tactics: 2
Technics: 9
IOCs:
File: 5
Domain: 23
Url: 6
IP: 3
Hash: 4
Soft:
Microsoft Defender, Windows Defender, WeChat
Algorithms:
aes-128
26-12-2025
SideWinder APT's Latest "Stealth" Attack Chain Analysis
https://www.ctfiot.com/288986.html
Report completeness: High
Actors/Campaigns:
Sidewinder
Threats:
Dll_sideloading_technique
Lolbin_technique
Procmon_tool
Victims:
Income taxpayers, Government, Military, Taxation, Service industry, Retail industry, Telecom industry, Healthcare industry
Industry:
Retail, Healthcare, Telco, Military, Government
Geo:
Asia-pacific, Indian, Asian, Chinese, India
TTPs:
Tactics: 2
Technics: 9
IOCs:
File: 5
Domain: 23
Url: 6
IP: 3
Hash: 4
Soft:
Microsoft Defender, Windows Defender, WeChat
Algorithms:
aes-128
CTF导航
SideWinder(响尾蛇) APT最新“隐身”攻击链剖析 | CTF导航
在例行遥测中捕捉到一条极难发现的 SideWinder(又名 Rattlesnake、T-APT-04)攻击链。该组织长期以南亚政府、军工、财税等高价值目标为猎物,此次将矛头对准印度所得税纳税人,通过“退税核查”钓鱼邮件植入...
CTT Report Hub
#ParsedReport #CompletenessHigh 26-12-2025 SideWinder APT's Latest "Stealth" Attack Chain Analysis https://www.ctfiot.com/288986.html Report completeness: High Actors/Campaigns: Sidewinder Threats: Dll_sideloading_technique Lolbin_technique Procmon_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В SideWinder apt-группировка, против индейских доход налогоплательщиков, применяет сложные приемы "стелс", в том числе фишинг-писем, представляясь уведомления о возврате налога на имплантат бэкдоры. Их многоступенчатой атаки используются DLL Side-loading использовать законные Майкрософт защитник бинарный за неуплату, перенаправление пользователей на поддельные доход Налоговое управление сайтов при использовании гео-ограждения и облачные сервисы для маскировки деятельности. Индикаторы компромисса определены включают в себя вредоносные домены, редко дву, фишинг одной инициирование взаимодействия с их инфраструктуры и серверов С2 связан с AliCloud.
-----
Недавно было замечено, что APT-группировка SideWinder, также известная как Rattlesnake или T-APT-04, развернула цепочку скрытых атак, специально нацеленных на индийских налогоплательщиков. Эта кампания представляет собой продолжение их нацеленность на высокое значение цели в правительства стран Южной Азии и различных отраслях промышленности, в том числе военной, службе, розничной торговли, телекоммуникаций и здравоохранения. Злоумышленники использовали фишинг электронной почты маскировка как "проверка, возврат налога", чтобы внедрить бэкдор в системах своих жертв. В частности, они успешно обойти механизмы обнаружения, как правило, заняты на конечную точку обнаружения и реагирования на них, используя сложный многоэтапный подход, сочетающий в себе спящий режим и гео-ограждения методы.
Атака использовала тактику DLL side-loading для использования законных двоичных файлов Microsoft Defender, что способствовало обходу системы безопасности конечных точек. Кроме того, злоумышленники использовали метод уклонения от обнаружения, основанный на репутации, направляя свою деятельность через законные общедоступные облачные сервисы хранения данных и платформы для сокращения URL-адресов. Кампании по фишингу включали переадресацию на мошеннические веб-сайты, призванные выдавать себя за Департамент подоходного налога Индии, демонстрируя нацеленный метод манипулирования пользователями.
Методология включала технические моменты, представляющие интерес, такие как конкретные TTP, связанные с идентификаторами MITRE ATT&CK, включая T1566.002 (Фишинг - Вредоносная ссылка) и T1204.001 (Вредоносный файл). Злоумышленники направляли пользователей на скомпрометированный домен gfmqvip.vip, который служил мошенническим порталом по налогу на прибыль.
Индикаторы компрометации (IOCs), выявленные в ходе расследования, показывают ряд вредоносных доменов, URL-адресов и связанных с ними хэшей, указывающих на инструменты и методы, используемые SideWinder. Вредоносные домены содержат необычные домены верхнего уровня (TLD) и включают ksdfuefagfrukayhfka.eu.cc , zibenbang.vip и несколько экземпляров googlevip.icu среди прочих. Ссылки на фишинг, такие как surl.li/wijrvg и surl.li/oskzir , служили точками призыва к действию, инициирующими взаимодействие с вредоносной инфраструктурой. Загрузчик первоначального доступа был упакован как "Inspection.zip ," на котором размещались критические полезные файлы, необходимые для выполнения атаки, наряду с различными другими файлами, включая захваченные библиотеки DLL и загрузчик шелл-кода.
Инфраструктура командования и контроля (C2) указала на использование IP-адресов, привязанных к AliCloud, с конкретными ссылками как на промежуточный, так и на конечный серверы C2. Хэши, связанные с загруженными файлами и полезной нагрузкой, предоставляют важные отпечатки пальцев для идентификации и смягчения угрозы, исходящей от этих вредоносных действий. В целом, анализ подчеркивает изощренную тактику, применяемую SideWinder APT для достижения своих целей, сохраняя при этом малозаметность в постоянно меняющемся ландшафте киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В SideWinder apt-группировка, против индейских доход налогоплательщиков, применяет сложные приемы "стелс", в том числе фишинг-писем, представляясь уведомления о возврате налога на имплантат бэкдоры. Их многоступенчатой атаки используются DLL Side-loading использовать законные Майкрософт защитник бинарный за неуплату, перенаправление пользователей на поддельные доход Налоговое управление сайтов при использовании гео-ограждения и облачные сервисы для маскировки деятельности. Индикаторы компромисса определены включают в себя вредоносные домены, редко дву, фишинг одной инициирование взаимодействия с их инфраструктуры и серверов С2 связан с AliCloud.
-----
Недавно было замечено, что APT-группировка SideWinder, также известная как Rattlesnake или T-APT-04, развернула цепочку скрытых атак, специально нацеленных на индийских налогоплательщиков. Эта кампания представляет собой продолжение их нацеленность на высокое значение цели в правительства стран Южной Азии и различных отраслях промышленности, в том числе военной, службе, розничной торговли, телекоммуникаций и здравоохранения. Злоумышленники использовали фишинг электронной почты маскировка как "проверка, возврат налога", чтобы внедрить бэкдор в системах своих жертв. В частности, они успешно обойти механизмы обнаружения, как правило, заняты на конечную точку обнаружения и реагирования на них, используя сложный многоэтапный подход, сочетающий в себе спящий режим и гео-ограждения методы.
Атака использовала тактику DLL side-loading для использования законных двоичных файлов Microsoft Defender, что способствовало обходу системы безопасности конечных точек. Кроме того, злоумышленники использовали метод уклонения от обнаружения, основанный на репутации, направляя свою деятельность через законные общедоступные облачные сервисы хранения данных и платформы для сокращения URL-адресов. Кампании по фишингу включали переадресацию на мошеннические веб-сайты, призванные выдавать себя за Департамент подоходного налога Индии, демонстрируя нацеленный метод манипулирования пользователями.
Методология включала технические моменты, представляющие интерес, такие как конкретные TTP, связанные с идентификаторами MITRE ATT&CK, включая T1566.002 (Фишинг - Вредоносная ссылка) и T1204.001 (Вредоносный файл). Злоумышленники направляли пользователей на скомпрометированный домен gfmqvip.vip, который служил мошенническим порталом по налогу на прибыль.
Индикаторы компрометации (IOCs), выявленные в ходе расследования, показывают ряд вредоносных доменов, URL-адресов и связанных с ними хэшей, указывающих на инструменты и методы, используемые SideWinder. Вредоносные домены содержат необычные домены верхнего уровня (TLD) и включают ksdfuefagfrukayhfka.eu.cc , zibenbang.vip и несколько экземпляров googlevip.icu среди прочих. Ссылки на фишинг, такие как surl.li/wijrvg и surl.li/oskzir , служили точками призыва к действию, инициирующими взаимодействие с вредоносной инфраструктурой. Загрузчик первоначального доступа был упакован как "Inspection.zip ," на котором размещались критические полезные файлы, необходимые для выполнения атаки, наряду с различными другими файлами, включая захваченные библиотеки DLL и загрузчик шелл-кода.
Инфраструктура командования и контроля (C2) указала на использование IP-адресов, привязанных к AliCloud, с конкретными ссылками как на промежуточный, так и на конечный серверы C2. Хэши, связанные с загруженными файлами и полезной нагрузкой, предоставляют важные отпечатки пальцев для идентификации и смягчения угрозы, исходящей от этих вредоносных действий. В целом, анализ подчеркивает изощренную тактику, применяемую SideWinder APT для достижения своих целей, сохраняя при этом малозаметность в постоянно меняющемся ландшафте киберугроз.
#ParsedReport #CompletenessMedium
27-12-2025
UAC-0184 \| "Fallen Files Blackout" Fishing Operation
https://www.ctfiot.com/289066.html
Report completeness: Medium
Actors/Campaigns:
Uac-0184 (motivation: information_theft, cyber_espionage)
Threats:
Dll_sideloading_technique
Remcos_rat
Hijackloader
Rshell
Process_injection_technique
Victims:
Government, Military
Industry:
Military, Government
Geo:
Ukraine, Ukrainian
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1566.001
IOCs:
File: 18
Url: 1
IP: 1
Soft:
Viber, Windows Defender, Telegram, WeChat
Algorithms:
zip, crc-32, xor
Win API:
NetBIOS
Win Services:
avastsvc
Languages:
powershell
27-12-2025
UAC-0184 \| "Fallen Files Blackout" Fishing Operation
https://www.ctfiot.com/289066.html
Report completeness: Medium
Actors/Campaigns:
Uac-0184 (motivation: information_theft, cyber_espionage)
Threats:
Dll_sideloading_technique
Remcos_rat
Hijackloader
Rshell
Process_injection_technique
Victims:
Government, Military
Industry:
Military, Government
Geo:
Ukraine, Ukrainian
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566.001
IOCs:
File: 18
Url: 1
IP: 1
Soft:
Viber, Windows Defender, Telegram, WeChat
Algorithms:
zip, crc-32, xor
Win API:
NetBIOS
Win Services:
avastsvc
Languages:
powershell
CTF导航
UAC-0184 | "阵亡档案黑幕"钓鱼行动 | CTF导航
UAC-0184(也被追踪为Hive0156)是一个与俄罗斯结盟的威胁行为者,主要使用商用恶意软件和诱饵文档在乌克兰策划恶意网络攻击活动。通过投放恶意LNK文件或PowerShell脚本攻击乌克兰军事人员,导致Remcos感染。该组...
CTT Report Hub
#ParsedReport #CompletenessMedium 27-12-2025 UAC-0184 \| "Fallen Files Blackout" Fishing Operation https://www.ctfiot.com/289066.html Report completeness: Medium Actors/Campaigns: Uac-0184 (motivation: information_theft, cyber_espionage) Threats: Dll…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа UAC-0184 проводит фишинг-атаки на Верховную Раду Украины, уделяя особое внимание учетным записям военнослужащих и спорам о выплате компенсаций пострадавшим. Их операции, характеризующиеся кражей разведывательных данных, нацеленных на военный и правительственный секторы, активизировались к 2025 году, используя тактику социальной инженерии, связанную с текущими политическими и военными проблемами. Хотя конкретные методы фишинга подробно не описаны, деятельность группы указывает на значительную угрозу конфиденциальности конфиденциальной информации.
-----
Группа UAC-0184 активно участвовала в атаках фишинга, нацеленных на Верховную Раду Украины, уделяя особое внимание деликатным вопросам, связанным с манипуляциями с учетными записями военнослужащих и спорами о компенсации потерь. Эта продолжающаяся кампания характеризуется высокой интенсивностью кражи разведывательных данных, нацеленных на украинский военный и правительственный секторы. По состоянию на 2025 год деятельность группы активизировалась, что указывает на постоянную угрозу целостности конфиденциальной информации в этих учреждениях.
Методы фишинга, используемые UAC-0184, не были подробно описаны в доступных данных, но акцент на деликатных темах позволяет предположить, что они могут использовать тактику социальной инженерии, адаптированную для использования текущих политических и военных проблем. Эта тактика согласуется с распространенными методами, используемыми в операциях фишинга, когда злоумышленники создают сообщения, которые перекликаются с опасениями цели, чтобы повысить вероятность взаимодействия.
Чтобы снизить риски, связанные с такими угрозами, рекомендуется, чтобы пострадавшие учреждения усилили свои меры по кибербезопасности. Это включает в себя повышение осведомленности о протоколах безопасности, внедрение надежных методов шифрования конфиденциальных данных и установление строгого контроля доступа к секретной информации. Эти шаги имеют решающее значение для предотвращения утечек информации, которые могут возникнуть в результате вредоносных действий, осуществляемых злоумышленниками, такими как UAC-0184. Такие упреждающие меры направлены на противодействие изощренному характеру продолжающихся угроз фишинга и защиту жизненно важной государственной информации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа UAC-0184 проводит фишинг-атаки на Верховную Раду Украины, уделяя особое внимание учетным записям военнослужащих и спорам о выплате компенсаций пострадавшим. Их операции, характеризующиеся кражей разведывательных данных, нацеленных на военный и правительственный секторы, активизировались к 2025 году, используя тактику социальной инженерии, связанную с текущими политическими и военными проблемами. Хотя конкретные методы фишинга подробно не описаны, деятельность группы указывает на значительную угрозу конфиденциальности конфиденциальной информации.
-----
Группа UAC-0184 активно участвовала в атаках фишинга, нацеленных на Верховную Раду Украины, уделяя особое внимание деликатным вопросам, связанным с манипуляциями с учетными записями военнослужащих и спорами о компенсации потерь. Эта продолжающаяся кампания характеризуется высокой интенсивностью кражи разведывательных данных, нацеленных на украинский военный и правительственный секторы. По состоянию на 2025 год деятельность группы активизировалась, что указывает на постоянную угрозу целостности конфиденциальной информации в этих учреждениях.
Методы фишинга, используемые UAC-0184, не были подробно описаны в доступных данных, но акцент на деликатных темах позволяет предположить, что они могут использовать тактику социальной инженерии, адаптированную для использования текущих политических и военных проблем. Эта тактика согласуется с распространенными методами, используемыми в операциях фишинга, когда злоумышленники создают сообщения, которые перекликаются с опасениями цели, чтобы повысить вероятность взаимодействия.
Чтобы снизить риски, связанные с такими угрозами, рекомендуется, чтобы пострадавшие учреждения усилили свои меры по кибербезопасности. Это включает в себя повышение осведомленности о протоколах безопасности, внедрение надежных методов шифрования конфиденциальных данных и установление строгого контроля доступа к секретной информации. Эти шаги имеют решающее значение для предотвращения утечек информации, которые могут возникнуть в результате вредоносных действий, осуществляемых злоумышленниками, такими как UAC-0184. Такие упреждающие меры направлены на противодействие изощренному характеру продолжающихся угроз фишинга и защиту жизненно важной государственной информации.
#ParsedReport #CompletenessLow
26-12-2025
Bincrypter
https://rt-solar.ru/solar-4rays/blog/6303/
Report completeness: Low
Threats:
Bincrypter_tool
ChatGPT TTPs:
T1027, T1588.006
IOCs:
File: 9
Soft:
Telegram, openssl
Algorithms:
sha256, aes-256-cbc, gzip, base64
Languages:
python, perl
YARA: Found
Links:
have more...
26-12-2025
Bincrypter
https://rt-solar.ru/solar-4rays/blog/6303/
Report completeness: Low
Threats:
Bincrypter_tool
ChatGPT TTPs:
do not use without manual checkT1027, T1588.006
IOCs:
File: 9
Soft:
Telegram, openssl
Algorithms:
sha256, aes-256-cbc, gzip, base64
Languages:
python, perl
YARA: Found
Links:
have more...
https://github.com/hackerschoice/bincrypterrt-solar.ru
Bincrypter: анализ инструмента для обфускации бинарных файлов на bash
Разбор утилиты Bincrypter для обфускации bash-скриптов и бинарных файлов. Принцип работы, методы шифрования, деобфускация. Yara-правило для детектирования и инструмент bindecrypter для автоматической расшифровки
CTT Report Hub
#ParsedReport #CompletenessLow 26-12-2025 Bincrypter https://rt-solar.ru/solar-4rays/blog/6303/ Report completeness: Low Threats: Bincrypter_tool ChatGPT TTPs: do not use without manual check T1027, T1588.006 IOCs: File: 9 Soft: Telegram, openssl Algorithms:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Bincrypter - это инструмент обфускации, используемый для сокрытия двоичных файлов при кибератаках, препятствующий обнаружению путем изменения структуры двоичного файла. Этот инструмент использует специальные скрипты для маскировки полезной нагрузки вредоносного ПО, что затрудняет выявление угроз традиционными мерами безопасности. Кроме того, был создан дополнительный инструмент под названием bindecrypter для автоматизации процесса деобфускации, помогающий аналитикам обратить вспять обфускацию Bincrypter и восстановить исходные двоичные файлы для лучшего анализа.
-----
Bincrypter - это инструмент обфускации, обычно используемый для сокрытия двоичных файлов, особенно в сценариях кибератак. Он часто встречается в различных образцах вредоносного ПО, где играет решающую роль в маскировке истинной природы полезной нагрузки. Основной принцип обфускации Bincrypter заключается в изменении структуры двоичного файла, что затрудняет обнаружение вредоносного содержимого традиционными механизмами безопасности.
В статье подчеркивается важность анализа методов обфускации, дающих представление о конкретных сценариях, используемых для процесса обфускации. Эти скрипты манипулируют двоичным файлом, чтобы скрыть его функциональность и назначение, избегая типичных методов обнаружения, используемых в области кибербезопасности. Разбираясь в этих методах, аналитики могут лучше понять стратегии, применяемые злоумышленниками для распространения своего вредоносного ПО незамеченным.
Для расширения возможностей обнаружения в статью также включено правило Yara, специально разработанное для идентификации двоичных файлов, которые были запутаны с помощью Bincrypter. Правила Yara играют важную роль в автоматизации обнаружения вредоносного ПО, предоставляя основу для сопоставления шаблонов внутри файлов. Это способствует более эффективному выявлению угроз и реагированию групп безопасности, сталкивающихся с запутанными угрозами.
Более того, авторы разработали дополнительный инструмент под названием bindecrypter, направленный на автоматизацию процесса деобфускации. Этот инструмент помогает аналитикам устранить обфускацию, применяемую Bincrypter, тем самым восстанавливая исходный двоичный файл в его понятной форме. Интеграция таких автоматизированных решений имеет решающее значение в борьбе с вызовами, создаваемыми сложными методами запутывания в условиях киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Bincrypter - это инструмент обфускации, используемый для сокрытия двоичных файлов при кибератаках, препятствующий обнаружению путем изменения структуры двоичного файла. Этот инструмент использует специальные скрипты для маскировки полезной нагрузки вредоносного ПО, что затрудняет выявление угроз традиционными мерами безопасности. Кроме того, был создан дополнительный инструмент под названием bindecrypter для автоматизации процесса деобфускации, помогающий аналитикам обратить вспять обфускацию Bincrypter и восстановить исходные двоичные файлы для лучшего анализа.
-----
Bincrypter - это инструмент обфускации, обычно используемый для сокрытия двоичных файлов, особенно в сценариях кибератак. Он часто встречается в различных образцах вредоносного ПО, где играет решающую роль в маскировке истинной природы полезной нагрузки. Основной принцип обфускации Bincrypter заключается в изменении структуры двоичного файла, что затрудняет обнаружение вредоносного содержимого традиционными механизмами безопасности.
В статье подчеркивается важность анализа методов обфускации, дающих представление о конкретных сценариях, используемых для процесса обфускации. Эти скрипты манипулируют двоичным файлом, чтобы скрыть его функциональность и назначение, избегая типичных методов обнаружения, используемых в области кибербезопасности. Разбираясь в этих методах, аналитики могут лучше понять стратегии, применяемые злоумышленниками для распространения своего вредоносного ПО незамеченным.
Для расширения возможностей обнаружения в статью также включено правило Yara, специально разработанное для идентификации двоичных файлов, которые были запутаны с помощью Bincrypter. Правила Yara играют важную роль в автоматизации обнаружения вредоносного ПО, предоставляя основу для сопоставления шаблонов внутри файлов. Это способствует более эффективному выявлению угроз и реагированию групп безопасности, сталкивающихся с запутанными угрозами.
Более того, авторы разработали дополнительный инструмент под названием bindecrypter, направленный на автоматизацию процесса деобфускации. Этот инструмент помогает аналитикам устранить обфускацию, применяемую Bincrypter, тем самым восстанавливая исходный двоичный файл в его понятной форме. Интеграция таких автоматизированных решений имеет решающее значение в борьбе с вызовами, создаваемыми сложными методами запутывания в условиях киберугроз.
#ParsedReport #CompletenessHigh
22-12-2025
GeoServer is being attacked by various coin miners.
https://asec.ahnlab.com/ko/91678/
Report completeness: High
Actors/Campaigns:
Earth_baxia
Threats:
Netcat_tool
Spear-phishing_technique
Goreverse
Sidewalk
Mirai
Condi
Coinminer
Xmrig_miner
Nssm_tool
Anydesk_tool
Victims:
Geoserver installations
Geo:
Taiwan
CVEs:
CVE-2024-36401 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- geoserver (<2.22.6, <2.23.6, <2.24.4, <2.25.2)
- geotools (<29.6, <30.4, <31.2, 30.0, 31.0)
ChatGPT TTPs:
T1059.001, T1105, T1190, T1204.002
IOCs:
File: 14
Command: 2
Domain: 17
IP: 7
Coin: 4
Hash: 5
Url: 5
Soft:
GeoServer, GeoServers, Linux, systemd, Windows Defender, WebLogic
Crypto:
monero
Algorithms:
base64, md5
Languages:
powershell, java
22-12-2025
GeoServer is being attacked by various coin miners.
https://asec.ahnlab.com/ko/91678/
Report completeness: High
Actors/Campaigns:
Earth_baxia
Threats:
Netcat_tool
Spear-phishing_technique
Goreverse
Sidewalk
Mirai
Condi
Coinminer
Xmrig_miner
Nssm_tool
Anydesk_tool
Victims:
Geoserver installations
Geo:
Taiwan
CVEs:
CVE-2024-36401 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- geoserver (<2.22.6, <2.23.6, <2.24.4, <2.25.2)
- geotools (<29.6, <30.4, <31.2, 30.0, 31.0)
ChatGPT TTPs:
do not use without manual checkT1059.001, T1105, T1190, T1204.002
IOCs:
File: 14
Command: 2
Domain: 17
IP: 7
Coin: 4
Hash: 5
Url: 5
Soft:
GeoServer, GeoServers, Linux, systemd, Windows Defender, WebLogic
Crypto:
monero
Algorithms:
base64, md5
Languages:
powershell, java
ASEC
다양한 코인 마이너 공격 사례가 확인되고 있는 GeoServer - ASEC
다양한 코인 마이너 공격 사례가 확인되고 있는 GeoServer ASEC
CTT Report Hub
#ParsedReport #CompletenessHigh 22-12-2025 GeoServer is being attacked by various coin miners. https://asec.ahnlab.com/ko/91678/ Report completeness: High Actors/Campaigns: Earth_baxia Threats: Netcat_tool Spear-phishing_technique Goreverse Sidewalk Mirai…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
GeoServer, эксплуатируемый с помощью уязвимости CVE-2024-36401, сталкивается с атаками, позволяющими Удаленное Выполнение Кода, при этом злоумышленники устанавливают вредоносное ПО, в первую очередь майнеры монет, на скомпрометированные системы. Были идентифицированы три различных типа злоумышленников: один использует PowerShell и Bash для команд, другой использует certutil для удаления майнеров XMRig, а третий устанавливает AnyDesk вместе с coin miner, возможно, для дальнейшей полезной нагрузки. Атаки оказывают воздействие как на платформы Windows, так и на Linux, обеспечивая Несанкционированное использование ресурсов для майнинга Monero и возможность развертывания большего количества вредоносного ПО или извлечения конфиденциальных данных.
-----
GeoServer, сервер геоинформационной системы (ГИС) с открытым исходным кодом, написанный на Java, подвергался постоянным атакам из-за недавно обнаруженной уязвимости (CVE-2024-36401), которая позволяет Удаленное Выполнение Кода неавторизованными пользователями. Злоумышленники эксплуатируют уязвимость в установке различного рода вредоносное ПО, в первую очередь добытчики монет, в пораженных систем.
Были выявлены три различных типа злоумышленников, использующих эту уязвимость. Первый тип использует тот же адрес кошелька, что и в предыдущих инцидентах, и выполняет команды PowerShell, а также использует "bash.exe " для запуска сценариев Bash. Второй тип использует команду certutil для установки дроппера в формате RAR SFX, который содержит вредоносное ПО XMRig, используемое для криптомайнинга, и информацию о конфигурации. Третий тип злоумышленников примечателен тем, что устанавливает AnyDesk в дополнение к майнеру монет, используя специальный загрузчик для получения дополнительной полезной нагрузки; однако специфика этого загружаемого контента остается неизвестной.
Эти атаки происходят в средах, в которых запущены уязвимые экземпляры GeoServer, которые включают в себя как платформы Windows, так и Linux. Установленные майнеры монет захватывают системные ресурсы для майнинга криптовалюты Monero от имени злоумышленников. Помимо непосредственного воздействия эксплуатации ресурсов для майнинга, злоумышленники могут использовать скомпрометированные системы для развертывания дополнительного вредоносного ПО, извлечения конфиденциальных данных или выполнения дальнейших вредоносных действий с помощью таких инструментов, как NetCat. Постоянный характер этих атак подчеркивает острую необходимость своевременного исправления и принятия мер по устранению известных уязвимостей в широко используемом программном обеспечении.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
GeoServer, эксплуатируемый с помощью уязвимости CVE-2024-36401, сталкивается с атаками, позволяющими Удаленное Выполнение Кода, при этом злоумышленники устанавливают вредоносное ПО, в первую очередь майнеры монет, на скомпрометированные системы. Были идентифицированы три различных типа злоумышленников: один использует PowerShell и Bash для команд, другой использует certutil для удаления майнеров XMRig, а третий устанавливает AnyDesk вместе с coin miner, возможно, для дальнейшей полезной нагрузки. Атаки оказывают воздействие как на платформы Windows, так и на Linux, обеспечивая Несанкционированное использование ресурсов для майнинга Monero и возможность развертывания большего количества вредоносного ПО или извлечения конфиденциальных данных.
-----
GeoServer, сервер геоинформационной системы (ГИС) с открытым исходным кодом, написанный на Java, подвергался постоянным атакам из-за недавно обнаруженной уязвимости (CVE-2024-36401), которая позволяет Удаленное Выполнение Кода неавторизованными пользователями. Злоумышленники эксплуатируют уязвимость в установке различного рода вредоносное ПО, в первую очередь добытчики монет, в пораженных систем.
Были выявлены три различных типа злоумышленников, использующих эту уязвимость. Первый тип использует тот же адрес кошелька, что и в предыдущих инцидентах, и выполняет команды PowerShell, а также использует "bash.exe " для запуска сценариев Bash. Второй тип использует команду certutil для установки дроппера в формате RAR SFX, который содержит вредоносное ПО XMRig, используемое для криптомайнинга, и информацию о конфигурации. Третий тип злоумышленников примечателен тем, что устанавливает AnyDesk в дополнение к майнеру монет, используя специальный загрузчик для получения дополнительной полезной нагрузки; однако специфика этого загружаемого контента остается неизвестной.
Эти атаки происходят в средах, в которых запущены уязвимые экземпляры GeoServer, которые включают в себя как платформы Windows, так и Linux. Установленные майнеры монет захватывают системные ресурсы для майнинга криптовалюты Monero от имени злоумышленников. Помимо непосредственного воздействия эксплуатации ресурсов для майнинга, злоумышленники могут использовать скомпрометированные системы для развертывания дополнительного вредоносного ПО, извлечения конфиденциальных данных или выполнения дальнейших вредоносных действий с помощью таких инструментов, как NetCat. Постоянный характер этих атак подчеркивает острую необходимость своевременного исправления и принятия мер по устранению известных уязвимостей в широко используемом программном обеспечении.
#ParsedReport #CompletenessLow
23-12-2025
Recap of a Suspicious Surge in Cobalt Strike
https://censys.com/blog/recap-of-a-suspicious-surge-in-cobalt-strike
Report completeness: Low
Threats:
Cobalt_strike_tool
Geo:
Malaysia, American
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1090, T1583, T1588.002
IOCs:
IP: 7
Algorithms:
deflate, gzip, exhibit
Languages:
javascript
Platforms:
x64, x86
23-12-2025
Recap of a Suspicious Surge in Cobalt Strike
https://censys.com/blog/recap-of-a-suspicious-surge-in-cobalt-strike
Report completeness: Low
Threats:
Cobalt_strike_tool
Geo:
Malaysia, American
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1090, T1583, T1588.002
IOCs:
IP: 7
Algorithms:
deflate, gzip, exhibit
Languages:
javascript
Platforms:
x64, x86
Censys
Censys | Suspicious Surge in Cobalt Strike Listeners (Dec 2025)
A brief spike in Cobalt Strike listener infrastructure appeared across two ASNs in Dec 2025, including activity in newly allocated ARIN netblocks.
CTT Report Hub
#ParsedReport #CompletenessLow 23-12-2025 Recap of a Suspicious Surge in Cobalt Strike https://censys.com/blog/recap-of-a-suspicious-surge-in-cobalt-strike Report completeness: Low Threats: Cobalt_strike_tool Geo: Malaysia, American TTPs: Tactics: 1…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В период с начала декабря 2025 года по 18 декабря наблюдался значительный рост числа слушателей Cobalt Strike, особенно из автономных систем AS138415 (YANCY) и AS133199 (SonderCloud LTD). Это увеличение свидетельствует об эскалации вредоносной активности, когда злоумышленники могут создавать каналы связи для развертывания вредоносного ПО и управления системой. Распространенность этих прослушивателей может указывать на новые или продолжающиеся кампании атак, подчеркивая необходимость дальнейшего расследования сетей, привязанных к этим автономным системам.
-----
В период с начала декабря 2025 года по 18 декабря произошло заметное увеличение развертывания прослушивателей Cobalt Strike, которые обычно используются для командования и контроля в кибероперациях. Censys сообщила, что этот всплеск был вызван двумя конкретными автономными системами, идентифицированными как AS138415 (YANCY) и AS133199 (SonderCloud LTD).
Cobalt Strike - это инструмент тестирования на проникновение, который завоевал популярность среди злоумышленников благодаря своей способности имитировать продвинутые атаки и помогать в действиях после эксплуатации. Увеличение числа прослушивателей предполагает потенциальную эскалацию вредоносной активности с использованием этого инструмента, что, в частности, указывает на организованные усилия по созданию каналов связи для развертывания вредоносного ПО или управления скомпрометированными системами.
Наблюдение за слушателями в этих двух автономных системах указывает на географические или инфраструктурные закономерности в активности киберугроз, которые могут дать представление о тактике, используемой связанными с ними злоумышленниками. В сфере кибербезопасности повышенная активность слушателей обычно коррелирует либо с новыми кампаниями атак, либо с ответными мерами за существующие. Идентификация AS138415 и AS133199 в качестве источников всплеска может привести к дальнейшим расследованиям связанных с ними сетей и любых возможных связей с известными хакерскими группировками.
Эта появляющаяся тенденция прослушивания Cobalt Strike требует тщательного мониторинга, чтобы определить намерения, стоящие за развертыванием, и оценить любые последующие воздействия на организации и их оборонительные позиции. Команды по кибербезопасности должны сохранять бдительность в отношении этого показателя компрометации и принимать необходимые защитные меры для снижения рисков, связанных с этими типами угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В период с начала декабря 2025 года по 18 декабря наблюдался значительный рост числа слушателей Cobalt Strike, особенно из автономных систем AS138415 (YANCY) и AS133199 (SonderCloud LTD). Это увеличение свидетельствует об эскалации вредоносной активности, когда злоумышленники могут создавать каналы связи для развертывания вредоносного ПО и управления системой. Распространенность этих прослушивателей может указывать на новые или продолжающиеся кампании атак, подчеркивая необходимость дальнейшего расследования сетей, привязанных к этим автономным системам.
-----
В период с начала декабря 2025 года по 18 декабря произошло заметное увеличение развертывания прослушивателей Cobalt Strike, которые обычно используются для командования и контроля в кибероперациях. Censys сообщила, что этот всплеск был вызван двумя конкретными автономными системами, идентифицированными как AS138415 (YANCY) и AS133199 (SonderCloud LTD).
Cobalt Strike - это инструмент тестирования на проникновение, который завоевал популярность среди злоумышленников благодаря своей способности имитировать продвинутые атаки и помогать в действиях после эксплуатации. Увеличение числа прослушивателей предполагает потенциальную эскалацию вредоносной активности с использованием этого инструмента, что, в частности, указывает на организованные усилия по созданию каналов связи для развертывания вредоносного ПО или управления скомпрометированными системами.
Наблюдение за слушателями в этих двух автономных системах указывает на географические или инфраструктурные закономерности в активности киберугроз, которые могут дать представление о тактике, используемой связанными с ними злоумышленниками. В сфере кибербезопасности повышенная активность слушателей обычно коррелирует либо с новыми кампаниями атак, либо с ответными мерами за существующие. Идентификация AS138415 и AS133199 в качестве источников всплеска может привести к дальнейшим расследованиям связанных с ними сетей и любых возможных связей с известными хакерскими группировками.
Эта появляющаяся тенденция прослушивания Cobalt Strike требует тщательного мониторинга, чтобы определить намерения, стоящие за развертыванием, и оценить любые последующие воздействия на организации и их оборонительные позиции. Команды по кибербезопасности должны сохранять бдительность в отношении этого показателя компрометации и принимать необходимые защитные меры для снижения рисков, связанных с этими типами угроз.
#ParsedReport #CompletenessHigh
19-12-2025
BRICKSTORM Backdoor
https://www.cisa.gov/sites/default/files/2025-12/AR25-338A_Malware_Analysis_Report_Brickstorm_Backdoor.pdf
Report completeness: High
Actors/Campaigns:
Quietcrabs
Warp_panda
0ktapus
Threats:
Brickstorm
Yamux_tool
Credential_dumping_technique
Victims:
Government, Critical infrastructure, Technology sector, Legal sector
Industry:
Critical_infrastructure, Government
Geo:
Canadian, China
TTPs:
Tactics: 8
Technics: 13
IOCs:
File: 9
Hash: 29
Soft:
sudo, ESXI, Active Directory Federation Services, ADFS, Active Directory, PowerCLI, Linux, Nessus, Ivanti
Algorithms:
sha256, xor, md5, sha1, sha512
Functions:
Set-ExecutionPolicy, Get-Module
Win API:
pie
Languages:
rust, powershell, java, javascript, golang
YARA: Found
SIGMA: Found
19-12-2025
BRICKSTORM Backdoor
https://www.cisa.gov/sites/default/files/2025-12/AR25-338A_Malware_Analysis_Report_Brickstorm_Backdoor.pdf
Report completeness: High
Actors/Campaigns:
Quietcrabs
Warp_panda
0ktapus
Threats:
Brickstorm
Yamux_tool
Credential_dumping_technique
Victims:
Government, Critical infrastructure, Technology sector, Legal sector
Industry:
Critical_infrastructure, Government
Geo:
Canadian, China
TTPs:
Tactics: 8
Technics: 13
IOCs:
File: 9
Hash: 29
Soft:
sudo, ESXI, Active Directory Federation Services, ADFS, Active Directory, PowerCLI, Linux, Nessus, Ivanti
Algorithms:
sha256, xor, md5, sha1, sha512
Functions:
Set-ExecutionPolicy, Get-Module
Win API:
pie
Languages:
rust, powershell, java, javascript, golang
YARA: Found
SIGMA: Found