CTT Report Hub
#ParsedReport #CompletenessLow 29-12-2025 Amazon Threat Intelligence identifies Russian cyber threat group targeting Western critical infrastructure https://aws.amazon.com/ru/blogs/security/amazon-threat-intelligence-identifies-russian-cyber-threat-group…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Спонсируемая российским государством киберкампания нацелена на критическую инфраструктуру Запада, в частности на энергетический сектор, используя неправильно сконфигурированные периферийные устройства клиентской сети для первоначального доступа, а не используя прямые уязвимости. Кампания включает в себя пассивный сбор учетных записей, при этом шаблоны атак указывают на возможность перехвата трафика аутентификации пользователей. Скомпрометированные устройства, размещенные на AWS из-за неправильных настроек клиентов, облегчают постоянный доступ, и существуют связи с другими хакерскими группировками, что свидетельствует о скоординированных усилиях, связанных с российским управлением военной разведки ГРУ.
-----
Amazon Threat Intelligence сообщила о масштабной спонсируемой российским государством киберкампании, нацеленной на критическую инфраструктуру Запада, с особым акцентом на энергетический сектор в период с 2021 по 2025 год. Эта кампания знаменует собой стратегический сдвиг, поскольку злоумышленники отошли от прямого использования уязвимостей и вместо этого используют неправильно сконфигурированные периферийные устройства клиентской сети в качестве основного средства для первоначального доступа. Такая адаптация не только облегчает сбор учетных записей, но и позволяет акторам сохранять более низкий статус и минимизировать затраты ресурсов.
Операции кампании по сбору учетных записей демонстрируют модель пассивного сбора, а не активного воровства, о чем свидетельствует промежуток времени, наблюдаемый между компрометацией устройств и последующими попытками аутентификации с помощью служб-жертв. Злоумышленники используют учетные данные скомпрометированной организации, что указывает на их способность перехватывать трафик аутентификации пользователей. Известные методики, согласующиеся с операциями, приписываемыми Sandworm, включают перехват сетевого трафика, а нацеливание на периферийные устройства сети играет решающую роль в размещении злоумышленников для перехвата учетных данных при передаче.
Дальнейший анализ показывает, что злоумышленники скомпрометировали инфраструктуру, размещенных на Amazon веб-сервисы (АРМ). Это не из-за каких-либо уязвимостей в себя АРМ; скорее, это произошло в результате ошибки в конфигурации устройства поддержки. Постоянные и интерактивный доступ был учрежден актор-контролируемых IP-адресов, подключение к зараженным экземпляры EC2, с указанием согласованного подхода к использованию программного обеспечения сетевой клиент бытовой техники.
Интересно, что полученные данные свидетельствуют о совпадении с другой хакерской группировкой, идентифицированной Bitdefender как "Curly COMrades". Эта связь указывает на потенциальное сотрудничество в рамках более широкой кампании, предположительно связанной с российским военным разведывательным управлением ГРУ.
В ответ на эти выводы Amazon предприняла меры по пресечению текущей деятельности этих злоумышленников, тем самым сократив доступную площадь для атак. Они взяли на себя обязательство продолжать сотрудничество с сообществом безопасности в целях усиления коллективной защиты от спонсируемых государством угроз, нацеленных на критически важную инфраструктуру. В преддверии 2026 года организациям энергетического сектора и других областей критически важной инфраструктуры рекомендуется уделять приоритетное внимание проверке журналов доступа на предмет попыток аутентификации, связанных с отмеченными индикаторами компрометации (IOCS).
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Спонсируемая российским государством киберкампания нацелена на критическую инфраструктуру Запада, в частности на энергетический сектор, используя неправильно сконфигурированные периферийные устройства клиентской сети для первоначального доступа, а не используя прямые уязвимости. Кампания включает в себя пассивный сбор учетных записей, при этом шаблоны атак указывают на возможность перехвата трафика аутентификации пользователей. Скомпрометированные устройства, размещенные на AWS из-за неправильных настроек клиентов, облегчают постоянный доступ, и существуют связи с другими хакерскими группировками, что свидетельствует о скоординированных усилиях, связанных с российским управлением военной разведки ГРУ.
-----
Amazon Threat Intelligence сообщила о масштабной спонсируемой российским государством киберкампании, нацеленной на критическую инфраструктуру Запада, с особым акцентом на энергетический сектор в период с 2021 по 2025 год. Эта кампания знаменует собой стратегический сдвиг, поскольку злоумышленники отошли от прямого использования уязвимостей и вместо этого используют неправильно сконфигурированные периферийные устройства клиентской сети в качестве основного средства для первоначального доступа. Такая адаптация не только облегчает сбор учетных записей, но и позволяет акторам сохранять более низкий статус и минимизировать затраты ресурсов.
Операции кампании по сбору учетных записей демонстрируют модель пассивного сбора, а не активного воровства, о чем свидетельствует промежуток времени, наблюдаемый между компрометацией устройств и последующими попытками аутентификации с помощью служб-жертв. Злоумышленники используют учетные данные скомпрометированной организации, что указывает на их способность перехватывать трафик аутентификации пользователей. Известные методики, согласующиеся с операциями, приписываемыми Sandworm, включают перехват сетевого трафика, а нацеливание на периферийные устройства сети играет решающую роль в размещении злоумышленников для перехвата учетных данных при передаче.
Дальнейший анализ показывает, что злоумышленники скомпрометировали инфраструктуру, размещенных на Amazon веб-сервисы (АРМ). Это не из-за каких-либо уязвимостей в себя АРМ; скорее, это произошло в результате ошибки в конфигурации устройства поддержки. Постоянные и интерактивный доступ был учрежден актор-контролируемых IP-адресов, подключение к зараженным экземпляры EC2, с указанием согласованного подхода к использованию программного обеспечения сетевой клиент бытовой техники.
Интересно, что полученные данные свидетельствуют о совпадении с другой хакерской группировкой, идентифицированной Bitdefender как "Curly COMrades". Эта связь указывает на потенциальное сотрудничество в рамках более широкой кампании, предположительно связанной с российским военным разведывательным управлением ГРУ.
В ответ на эти выводы Amazon предприняла меры по пресечению текущей деятельности этих злоумышленников, тем самым сократив доступную площадь для атак. Они взяли на себя обязательство продолжать сотрудничество с сообществом безопасности в целях усиления коллективной защиты от спонсируемых государством угроз, нацеленных на критически важную инфраструктуру. В преддверии 2026 года организациям энергетического сектора и других областей критически важной инфраструктуры рекомендуется уделять приоритетное внимание проверке журналов доступа на предмет попыток аутентификации, связанных с отмеченными индикаторами компрометации (IOCS).
#ParsedReport #CompletenessMedium
29-12-2025
The HoneyMyte APT evolves with a kernel-mode rootkit and a ToneShell backdoor
https://securelist.com/honeymyte-kernel-mode-rootkit/118590/
Report completeness: Medium
Actors/Campaigns:
Red_delta (motivation: cyber_espionage)
Threats:
Toneshell
Tonedisk_tool
Plugx_rat
Victims:
Organizations in asia
Industry:
Government
Geo:
Thailand, Asia, Myanmar
ChatGPT TTPs:
T1014, T1055, T1106, T1543.003, T1553.002, T1562.001
IOCs:
File: 4
Path: 1
Domain: 2
Hash: 3
Soft:
Microsoft Defender
Algorithms:
xor, prng
Win API:
ZwQuerySystemInformation, CmRegisterCallbackEx, ObRegisterCallbacks, PsSetCreateProcessNotifyRoutine, SeLocalSystemSid, CoCreateGuid
29-12-2025
The HoneyMyte APT evolves with a kernel-mode rootkit and a ToneShell backdoor
https://securelist.com/honeymyte-kernel-mode-rootkit/118590/
Report completeness: Medium
Actors/Campaigns:
Red_delta (motivation: cyber_espionage)
Threats:
Toneshell
Tonedisk_tool
Plugx_rat
Victims:
Organizations in asia
Industry:
Government
Geo:
Thailand, Asia, Myanmar
ChatGPT TTPs:
do not use without manual checkT1014, T1055, T1106, T1543.003, T1553.002, T1562.001
IOCs:
File: 4
Path: 1
Domain: 2
Hash: 3
Soft:
Microsoft Defender
Algorithms:
xor, prng
Win API:
ZwQuerySystemInformation, CmRegisterCallbackEx, ObRegisterCallbacks, PsSetCreateProcessNotifyRoutine, SeLocalSystemSid, CoCreateGuid
Securelist
The HoneyMyte APT now protects malware with a kernel-mode rootkit
Kaspersky discloses a 2025 HoneyMyte (aka Mustang Panda or Bronze President) APT campaign, which uses a kernel-mode rootkit to deliver and protect a ToneShell backdoor.
CTT Report Hub
#ParsedReport #CompletenessMedium 29-12-2025 The HoneyMyte APT evolves with a kernel-mode rootkit and a ToneShell backdoor https://securelist.com/honeymyte-kernel-mode-rootkit/118590/ Report completeness: Medium Actors/Campaigns: Red_delta (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В середине 2025 года APT-группировка HoneyMyte использовала руткит в режиме ядра и бэкдор под названием ToneShell, используя для эксплуатации скомпрометированный драйвер с истекшим сроком действия цифрового сертификата. Этот драйвер действует как мини-фильтр, облегчая внедрение бэкдора, избегая обнаружения и скрывая процессы с помощью встроенного шеллкода. Бэкдор ToneShell, поставляемый с помощью этого загрузчика в режиме ядра, позволяет вредоносному ПО обходить проверки безопасности, подчеркивая передовые методы группы в борьбе с киберугрозами.
-----
В середине 2025 года было замечено, что APT-группировка, известная как HoneyMyte, применяла усовершенствованную вредоносную тактику, в частности, с помощью руткита в режиме ядра и бэкдора, идентифицированного как ToneShell. Ключевым элементом этой атаки был скомпрометированный файл драйвера, содержащий цифровой сертификат от Guangzhou Kingteller Technology Co., Ltd., который был использован после истечения срока его действия в 2015 году. Этот файл драйвера действует как мини-фильтр, предназначенный для облегчения внедрения троянца-бэкдора в систему, скрывая при этом вредоносные процессы и ключи реестра от обнаружения.
Технический анализ показал, что драйвер содержит встроенные шелл-коды в своем двоичном коде, которые выполняются как отдельные потоки пользовательского режима. Функциональность руткита в основном направлена на защиту драйвера и внедренного в него кода от любого системного процесса, пытающегося получить к ним доступ. Драйвер достигает этого путем взаимодействия с основными системными компонентами, в частности, путем вызова "ZwQuerySystemInformation" для получения адресов основных библиотек DLL, таких как `ntoskrnl.exe ` и`fltmgr.sys `, который он использует для дальнейших вредоносных действий.
Чтобы сохранить свою скрытность, драйвер регистрируется в диспетчере фильтров и устанавливает функцию обратного вызова перед операцией для запросов ввода-вывода. Этот обратный вызов запускается при запросе конкретной информации о файле, позволяя вредоносному ПО нарушать операции, связанные с его файлами, путем отказа в доступе. Более того, для защиты разделов реестра вредоносное ПО регистрирует процедуру обратного вызова, присваивая себе жестко заданное значение высоты, которое гарантирует, что его операции выполняются под допустимыми фильтрами в стеке ввода-вывода, эффективно скрывая свое присутствие.
Реализация полезной нагрузки вредоносного ПО включает в себя запуск процесса svchost, в который он вводит дополнительный шелл-код, позволяющий ему отслеживать новый идентификатор процесса и манипулировать им для своих текущих операций. На заключительном этапе атаки запускается бэкдор ToneShell, отмечающий первый случай, когда эта полезная нагрузка была доставлена через загрузчик в режиме ядра. Это нововведение позволяет бэкдору обходить традиционные проверки безопасности, происходящие в пользовательском режиме, используя возможности руткита, чтобы скрывать свои действия от инструментов мониторинга.
Доказательств, однозначно указывает на HoneyMyte злоумышленник, особенно с учетом конкретного использования ToneShell в качестве окончательной грузоподъемности и наличием дополнительных вредоносное ПО вредоносные программы обычно ассоциируется с этой группой, например PlugX и ToneDisk. Эта эволюционирующая тактика подчеркивает растущую изощренность киберугроз в среде и необходимость принятия надежных мер безопасности против подобных манипуляций на уровне ядра.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В середине 2025 года APT-группировка HoneyMyte использовала руткит в режиме ядра и бэкдор под названием ToneShell, используя для эксплуатации скомпрометированный драйвер с истекшим сроком действия цифрового сертификата. Этот драйвер действует как мини-фильтр, облегчая внедрение бэкдора, избегая обнаружения и скрывая процессы с помощью встроенного шеллкода. Бэкдор ToneShell, поставляемый с помощью этого загрузчика в режиме ядра, позволяет вредоносному ПО обходить проверки безопасности, подчеркивая передовые методы группы в борьбе с киберугрозами.
-----
В середине 2025 года было замечено, что APT-группировка, известная как HoneyMyte, применяла усовершенствованную вредоносную тактику, в частности, с помощью руткита в режиме ядра и бэкдора, идентифицированного как ToneShell. Ключевым элементом этой атаки был скомпрометированный файл драйвера, содержащий цифровой сертификат от Guangzhou Kingteller Technology Co., Ltd., который был использован после истечения срока его действия в 2015 году. Этот файл драйвера действует как мини-фильтр, предназначенный для облегчения внедрения троянца-бэкдора в систему, скрывая при этом вредоносные процессы и ключи реестра от обнаружения.
Технический анализ показал, что драйвер содержит встроенные шелл-коды в своем двоичном коде, которые выполняются как отдельные потоки пользовательского режима. Функциональность руткита в основном направлена на защиту драйвера и внедренного в него кода от любого системного процесса, пытающегося получить к ним доступ. Драйвер достигает этого путем взаимодействия с основными системными компонентами, в частности, путем вызова "ZwQuerySystemInformation" для получения адресов основных библиотек DLL, таких как `ntoskrnl.exe ` и`fltmgr.sys `, который он использует для дальнейших вредоносных действий.
Чтобы сохранить свою скрытность, драйвер регистрируется в диспетчере фильтров и устанавливает функцию обратного вызова перед операцией для запросов ввода-вывода. Этот обратный вызов запускается при запросе конкретной информации о файле, позволяя вредоносному ПО нарушать операции, связанные с его файлами, путем отказа в доступе. Более того, для защиты разделов реестра вредоносное ПО регистрирует процедуру обратного вызова, присваивая себе жестко заданное значение высоты, которое гарантирует, что его операции выполняются под допустимыми фильтрами в стеке ввода-вывода, эффективно скрывая свое присутствие.
Реализация полезной нагрузки вредоносного ПО включает в себя запуск процесса svchost, в который он вводит дополнительный шелл-код, позволяющий ему отслеживать новый идентификатор процесса и манипулировать им для своих текущих операций. На заключительном этапе атаки запускается бэкдор ToneShell, отмечающий первый случай, когда эта полезная нагрузка была доставлена через загрузчик в режиме ядра. Это нововведение позволяет бэкдору обходить традиционные проверки безопасности, происходящие в пользовательском режиме, используя возможности руткита, чтобы скрывать свои действия от инструментов мониторинга.
Доказательств, однозначно указывает на HoneyMyte злоумышленник, особенно с учетом конкретного использования ToneShell в качестве окончательной грузоподъемности и наличием дополнительных вредоносное ПО вредоносные программы обычно ассоциируется с этой группой, например PlugX и ToneDisk. Эта эволюционирующая тактика подчеркивает растущую изощренность киберугроз в среде и необходимость принятия надежных мер безопасности против подобных манипуляций на уровне ядра.
#ParsedReport #CompletenessMedium
29-12-2025
Golden Eye Dog (APT-Q-27) abused AWS S3 buckets to distribute the latest malicious payloads
https://xz.aliyun.com/news/90793?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp
Report completeness: Medium
Actors/Campaigns:
Golden_eyed_dog
Threats:
Procmon_tool
Process_hacker_tool
Geo:
Hong kong, Japan, India, China, California, San francisco, Philippines, Tokyo
ChatGPT TTPs:
T1071.001, T1105, T1583.001, T1583.003, T1583.004
IOCs:
Hash: 26
File: 6
Registry: 3
IP: 37
Soft:
qemu, process explorer, Chrome, Firefox, Sogou
Algorithms:
zip, base64, md5, crc-32, sha256, sha1
Functions:
smethod_0
Win API:
ShellExecuteExA
Languages:
java
29-12-2025
Golden Eye Dog (APT-Q-27) abused AWS S3 buckets to distribute the latest malicious payloads
https://xz.aliyun.com/news/90793?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp
Report completeness: Medium
Actors/Campaigns:
Golden_eyed_dog
Threats:
Procmon_tool
Process_hacker_tool
Geo:
Hong kong, Japan, India, China, California, San francisco, Philippines, Tokyo
ChatGPT TTPs:
do not use without manual checkT1071.001, T1105, T1583.001, T1583.003, T1583.004
IOCs:
Hash: 26
File: 6
Registry: 3
IP: 37
Soft:
qemu, process explorer, Chrome, Firefox, Sogou
Algorithms:
zip, base64, md5, crc-32, sha256, sha1
Functions:
smethod_0
Win API:
ShellExecuteExA
Languages:
java
CTT Report Hub
#ParsedReport #CompletenessMedium 29-12-2025 Golden Eye Dog (APT-Q-27) abused AWS S3 buckets to distribute the latest malicious payloads https://xz.aliyun.com/news/90793?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp Report completeness: Medium …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-Q-27, также известный как Golden Eye Dog, использует пакеты AWS S3 для распространения вредоносных полезных данных, что отражает растущую изощренность хакерских группировок, использующих законные Облачные сервисы для своих операций. Действия, приписываемые этой группе, были связаны с IP-адресами в основном в Гонконге и Индии, что свидетельствует о хорошо скоординированной инфраструктуре для крупномасштабных атак. Хотя специфика вредоносного ПО остается неопределенной, использование AWS указывает на возможное размещение двоичных файлов вредоносного ПО или инфраструктуры управления в облаке.
-----
APT-Q-27, также известный как Golden Eye Dog, был идентифицирован как использующий пакеты Amazon Веб-служб (AWS) S3 для распространения вредоносных полезных данных. Эта тактика подчеркивает растущую изощренность хакерских группировок в использовании законных Облачных сервисов для облегчения своих операций, избегая при этом мер обнаружения.
Вредоносные действия, приписываемые APT-Q-27, были прослежены до ряда IP-адресов, преимущественно расположенных в Гонконге и Индии, что указывает на обширное присутствие инфраструктуры, направленное на поддержку их операций. Наличие нескольких IP-адресов в этих регионах свидетельствует о хорошо скоординированном подходе к атакам на основе облачных вычислений, подчеркивая потенциал широкомасштабного распространения вредоносного программного обеспечения без использования традиционных методов размещения.
Конкретный характер вредоносных полезных нагрузок в отчете не был подробно описан; однако использование сегментов AWS S3 обычно указывает на стратегию, которая может включать размещение двоичных файлов вредоносного ПО или инфраструктуры управления (C2) в облачной среде Amazon. Это позволяет злоумышленникам использовать надежные и масштабируемые ресурсы для своей незаконной деятельности, а также использовать надежную платформу для сокрытия своих оперативных следов.
Учитывая растущую частоту подобных атак с использованием облачной инфраструктуры, организациям настоятельно рекомендуется усовершенствовать свои методы обеспечения безопасности в облаке. Это включает в себя осуществление строгого контроля доступа и мониторинга, разрешения ведро S3, чтобы предотвратить неправильное использование облачных ресурсов по субъектам угрозы как apt-Q-27. В качестве угроз продолжает расти, приспосабливаясь меры безопасности для защиты от этих форм эксплуатации будет иметь решающее значение в защите конфиденциальных данных и снижение рисков, связанных с киберугрозами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-Q-27, также известный как Golden Eye Dog, использует пакеты AWS S3 для распространения вредоносных полезных данных, что отражает растущую изощренность хакерских группировок, использующих законные Облачные сервисы для своих операций. Действия, приписываемые этой группе, были связаны с IP-адресами в основном в Гонконге и Индии, что свидетельствует о хорошо скоординированной инфраструктуре для крупномасштабных атак. Хотя специфика вредоносного ПО остается неопределенной, использование AWS указывает на возможное размещение двоичных файлов вредоносного ПО или инфраструктуры управления в облаке.
-----
APT-Q-27, также известный как Golden Eye Dog, был идентифицирован как использующий пакеты Amazon Веб-служб (AWS) S3 для распространения вредоносных полезных данных. Эта тактика подчеркивает растущую изощренность хакерских группировок в использовании законных Облачных сервисов для облегчения своих операций, избегая при этом мер обнаружения.
Вредоносные действия, приписываемые APT-Q-27, были прослежены до ряда IP-адресов, преимущественно расположенных в Гонконге и Индии, что указывает на обширное присутствие инфраструктуры, направленное на поддержку их операций. Наличие нескольких IP-адресов в этих регионах свидетельствует о хорошо скоординированном подходе к атакам на основе облачных вычислений, подчеркивая потенциал широкомасштабного распространения вредоносного программного обеспечения без использования традиционных методов размещения.
Конкретный характер вредоносных полезных нагрузок в отчете не был подробно описан; однако использование сегментов AWS S3 обычно указывает на стратегию, которая может включать размещение двоичных файлов вредоносного ПО или инфраструктуры управления (C2) в облачной среде Amazon. Это позволяет злоумышленникам использовать надежные и масштабируемые ресурсы для своей незаконной деятельности, а также использовать надежную платформу для сокрытия своих оперативных следов.
Учитывая растущую частоту подобных атак с использованием облачной инфраструктуры, организациям настоятельно рекомендуется усовершенствовать свои методы обеспечения безопасности в облаке. Это включает в себя осуществление строгого контроля доступа и мониторинга, разрешения ведро S3, чтобы предотвратить неправильное использование облачных ресурсов по субъектам угрозы как apt-Q-27. В качестве угроз продолжает расти, приспосабливаясь меры безопасности для защиты от этих форм эксплуатации будет иметь решающее значение в защите конфиденциальных данных и снижение рисков, связанных с киберугрозами.
#ParsedReport #CompletenessLow
29-12-2025
RondoDoX Botnet Weaponizes React2Shell
https://www.cloudsek.com/blog/rondodox-botnet-weaponizes-react2shell
Report completeness: Low
Threats:
Rondodox
React2shell_vuln
Coinminer
Mirai
Credential_harvesting_technique
Victims:
Web applications, Iot devices
Industry:
Iot
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1071.001, T1105, T1190, T1496, T1505, T1583.001, T1583.003
IOCs:
File: 1
IP: 8
Hash: 4
Soft:
WebLogic, Drupal, WordPress, curl
Languages:
java
Platforms:
x86, mips, arm
29-12-2025
RondoDoX Botnet Weaponizes React2Shell
https://www.cloudsek.com/blog/rondodox-botnet-weaponizes-react2shell
Report completeness: Low
Threats:
Rondodox
React2shell_vuln
Coinminer
Mirai
Credential_harvesting_technique
Victims:
Web applications, Iot devices
Industry:
Iot
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1071.001, T1105, T1190, T1496, T1505, T1583.001, T1583.003
IOCs:
File: 1
IP: 8
Hash: 4
Soft:
WebLogic, Drupal, WordPress, curl
Languages:
java
Platforms:
x86, mips, arm
Cloudsek
RondoDoX Botnet Weaponizes React2Shell | CloudSEK
CloudSEK’s report details a persistent nine-month RondoDoX botnet campaign targeting IoT devices and web applications. Recently, the threat actors have shifted to weaponizing a critical Next.js vulnerability, deploying malicious payloads like "React2Shell"…
CTT Report Hub
#ParsedReport #CompletenessLow 29-12-2025 RondoDoX Botnet Weaponizes React2Shell https://www.cloudsek.com/blog/rondodox-botnet-weaponizes-react2shell Report completeness: Low Threats: Rondodox React2shell_vuln Coinminer Mirai Credential_harvesting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Ботнет RondoDoX активно использовал уязвимости, такие как React2Shell, для нацеливания на веб-приложения и устройства Интернета вещей, о чем свидетельствуют журналы команд и контроля, документирующие автоматические атаки с марта по декабрь 2025 года. После отчета о своей деятельности они быстро адаптировались, перейдя на новые серверы C2, продемонстрировав свою гибкость в реагировании на информацию о безопасности. Продолжающееся использование ими различных уязвимостей свидетельствует о постоянном и меняющемся ландшафте угроз.
-----
Было замечено, что ботнет RondoDoX использует ряд уязвимостей, в частности уязвимость React2Shell, в рамках продолжающейся многомесячной кампании, нацеленной на веб-приложения и устройства Интернета вещей. Действия по эксплуатации были задокументированы в журналах командования и контроля (C2), в которых описан обширный период автоматизированных атак с марта по декабрь 2025 года. Эти журналы показывают гибкость группы в адаптации к возникающим угрозам и их способность развертывать различные вредоносные полезные нагрузки, включая компоненты ботнет, Веб-шеллы и криптоминеры.
10 декабря Darktrace сообщила об использовании уязвимости React2Shell, основанной на их телеметрии honeypot. После этого отчета акторы, стоящие за RondoDoX, быстро изменили свою оперативную тактику, перейдя на новые серверы командования и контроля всего через три дня. Этот сдвиг подчеркивает способность группы быстро адаптировать свою инфраструктуру в ответ на разведывательные данные и усилия по обнаружению, предпринимаемые исследователями в области безопасности.
Непрерывное использование как существующих, так и вновь обнаруженных уязвимостей подчеркивает значительный спектр угроз, поскольку RondoDoX демонстрирует передовые навыки в нацеливании на неправильно сконфигурированные или незащищенные веб-приложения и устройства Интернета вещей. Различные методы, используемые этим злоумышленником, указывают на постоянную и эволюционирующую угрозу, которая угрожает устойчивости к кибербезопасности в различных секторах. Их деятельность представляет собой важнейшую область для мониторинга и защиты, поскольку организации все еще могут быть уязвимы для таких кампаний автоматизированного использования.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Ботнет RondoDoX активно использовал уязвимости, такие как React2Shell, для нацеливания на веб-приложения и устройства Интернета вещей, о чем свидетельствуют журналы команд и контроля, документирующие автоматические атаки с марта по декабрь 2025 года. После отчета о своей деятельности они быстро адаптировались, перейдя на новые серверы C2, продемонстрировав свою гибкость в реагировании на информацию о безопасности. Продолжающееся использование ими различных уязвимостей свидетельствует о постоянном и меняющемся ландшафте угроз.
-----
Было замечено, что ботнет RondoDoX использует ряд уязвимостей, в частности уязвимость React2Shell, в рамках продолжающейся многомесячной кампании, нацеленной на веб-приложения и устройства Интернета вещей. Действия по эксплуатации были задокументированы в журналах командования и контроля (C2), в которых описан обширный период автоматизированных атак с марта по декабрь 2025 года. Эти журналы показывают гибкость группы в адаптации к возникающим угрозам и их способность развертывать различные вредоносные полезные нагрузки, включая компоненты ботнет, Веб-шеллы и криптоминеры.
10 декабря Darktrace сообщила об использовании уязвимости React2Shell, основанной на их телеметрии honeypot. После этого отчета акторы, стоящие за RondoDoX, быстро изменили свою оперативную тактику, перейдя на новые серверы командования и контроля всего через три дня. Этот сдвиг подчеркивает способность группы быстро адаптировать свою инфраструктуру в ответ на разведывательные данные и усилия по обнаружению, предпринимаемые исследователями в области безопасности.
Непрерывное использование как существующих, так и вновь обнаруженных уязвимостей подчеркивает значительный спектр угроз, поскольку RondoDoX демонстрирует передовые навыки в нацеливании на неправильно сконфигурированные или незащищенные веб-приложения и устройства Интернета вещей. Различные методы, используемые этим злоумышленником, указывают на постоянную и эволюционирующую угрозу, которая угрожает устойчивости к кибербезопасности в различных секторах. Их деятельность представляет собой важнейшую область для мониторинга и защиты, поскольку организации все еще могут быть уязвимы для таких кампаний автоматизированного использования.
#ParsedReport #CompletenessLow
29-12-2025
The Industrialization of "ClickFix": Inside ErrTraffic
https://www.infostealers.com/article/the-industrialization-of-clickfix-inside-errtraffic/
Report completeness: Low
Threats:
Clickfix_technique
Errtraffic
Glitch
Lumma_stealer
Vidar_stealer
Cerberus
Amos_stealer
Victims:
Website owners, Users, Content management system administrators
Industry:
Financial, Critical_infrastructure
Geo:
Russian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1059.001, T1105, T1189, T1204, T1566, T1584.001
IOCs:
File: 1
Soft:
macOS, Android, Linux, Chrome, opera, WordPress, cPanel, Joomla
Languages:
javascript, powershell, php
Platforms:
cross-platform
29-12-2025
The Industrialization of "ClickFix": Inside ErrTraffic
https://www.infostealers.com/article/the-industrialization-of-clickfix-inside-errtraffic/
Report completeness: Low
Threats:
Clickfix_technique
Errtraffic
Glitch
Lumma_stealer
Vidar_stealer
Cerberus
Amos_stealer
Victims:
Website owners, Users, Content management system administrators
Industry:
Financial, Critical_infrastructure
Geo:
Russian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1059.001, T1105, T1189, T1204, T1566, T1584.001
IOCs:
File: 1
Soft:
macOS, Android, Linux, Chrome, opera, WordPress, cPanel, Joomla
Languages:
javascript, powershell, php
Platforms:
cross-platform
InfoStealers
The Industrialization of “ClickFix”: Inside ErrTraffic
The landscape of cybercrime is undergoing a profound structural shift. We are witnessing the transition from bespoke, high-skill intrusion methods to commoditized, service-based social engineering. At the center of this transformation is the rapid proliferation…
CTT Report Hub
#ParsedReport #CompletenessLow 29-12-2025 The Industrialization of "ClickFix": Inside ErrTraffic https://www.infostealers.com/article/the-industrialization-of-clickfix-inside-errtraffic/ Report completeness: Low Threats: Clickfix_technique Errtraffic Glitch…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Ландшафт киберпреступности развивается, и такие инструменты, как "ClickFix" и "ErrTraffic", подчеркивают переход к коммерциализированной социальной инженерии. ErrTraffic использует методы, которые изменяют объектную модель документа (DOM) веб-страниц, чтобы заставить пользователей выполнять вредоносные команды PowerShell с помощью механизма "Вставить и запустить", эффективно обходя традиционные меры безопасности. Этот инструмент нацелен на различные операционные системы и собирает конфиденциальную информацию, создавая самоподдерживающийся цикл кражи учетных данных и компрометации системы.
-----
Среда киберпреступности значительно смещается в сторону коммерциализированных методов социальной инженерии, примером чего является появление инструментов "ClickFix", которые предназначены для того, чтобы обманом заставить пользователей выполнять вредоносные скрипты. Это преобразование сигнализирует об отходе от традиционных атак высокой квалификации в сторону более доступных методов для менее опытных злоумышленников.
ClickFix использует уязвимости, присущие взаимодействию между веб-браузерами и операционными системами, используя преимущества улучшенных функций безопасности современных браузеров, которые сделали автоматическую загрузку без звука устаревшей. В результате злоумышленники теперь полагаются на более изощренные формы социальной инженерии, чтобы обманом заставить пользователей самостоятельно выполнять вредоносные действия.
Инструмент ErrTraffic, представленный злоумышленником по имени "LenAI", разработан таким образом, чтобы быть удобным в использовании, с Панелью управления, которая имитирует легальные платформы "Программное обеспечение как услуга" (SaaS). Его развертывание включает в себя модификацию объектной модели документа (DOM) веб-страниц, на которые нацелены, для создания обманчивых наложений, которые побуждают пользователей к действиям, ведущим к заражению. Эта модификация облегчается с помощью файла со специальным именем с символом .js.php расширение, позволяющее обрабатывать логику PHP при предоставлении пользователю JavaScript, таким образом обходя некоторые функции безопасности.
Заметное методе, при помощи которого ErrTraffic является его "вставить и работать" механизм, в котором пользователи должны запустить JavaScript-скопировать PowerShell PowerShell, который запускает вредоносную нагрузку на их системы. Этот метод эффективно привлекает пользователей к выполнению действий, инициирующих атаку, тем самым уменьшая потребность в методах прямого вторжения.
ErrTraffic работает как Система распределения трафика (TDS), которая доставляет файлы, адаптированные к операционной системе жертвы, постоянно облегчая цикл компрометации. Он собирает не только банковские учетные данные, но и доступ к различным системам управления контентом (CMS), тем самым расширяя свой потенциал для использования. Конечным результатом является самоподдерживающаяся экосистема для киберпреступников, усиливающая цикл кражи учетных данных и компрометации системы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Ландшафт киберпреступности развивается, и такие инструменты, как "ClickFix" и "ErrTraffic", подчеркивают переход к коммерциализированной социальной инженерии. ErrTraffic использует методы, которые изменяют объектную модель документа (DOM) веб-страниц, чтобы заставить пользователей выполнять вредоносные команды PowerShell с помощью механизма "Вставить и запустить", эффективно обходя традиционные меры безопасности. Этот инструмент нацелен на различные операционные системы и собирает конфиденциальную информацию, создавая самоподдерживающийся цикл кражи учетных данных и компрометации системы.
-----
Среда киберпреступности значительно смещается в сторону коммерциализированных методов социальной инженерии, примером чего является появление инструментов "ClickFix", которые предназначены для того, чтобы обманом заставить пользователей выполнять вредоносные скрипты. Это преобразование сигнализирует об отходе от традиционных атак высокой квалификации в сторону более доступных методов для менее опытных злоумышленников.
ClickFix использует уязвимости, присущие взаимодействию между веб-браузерами и операционными системами, используя преимущества улучшенных функций безопасности современных браузеров, которые сделали автоматическую загрузку без звука устаревшей. В результате злоумышленники теперь полагаются на более изощренные формы социальной инженерии, чтобы обманом заставить пользователей самостоятельно выполнять вредоносные действия.
Инструмент ErrTraffic, представленный злоумышленником по имени "LenAI", разработан таким образом, чтобы быть удобным в использовании, с Панелью управления, которая имитирует легальные платформы "Программное обеспечение как услуга" (SaaS). Его развертывание включает в себя модификацию объектной модели документа (DOM) веб-страниц, на которые нацелены, для создания обманчивых наложений, которые побуждают пользователей к действиям, ведущим к заражению. Эта модификация облегчается с помощью файла со специальным именем с символом .js.php расширение, позволяющее обрабатывать логику PHP при предоставлении пользователю JavaScript, таким образом обходя некоторые функции безопасности.
Заметное методе, при помощи которого ErrTraffic является его "вставить и работать" механизм, в котором пользователи должны запустить JavaScript-скопировать PowerShell PowerShell, который запускает вредоносную нагрузку на их системы. Этот метод эффективно привлекает пользователей к выполнению действий, инициирующих атаку, тем самым уменьшая потребность в методах прямого вторжения.
ErrTraffic работает как Система распределения трафика (TDS), которая доставляет файлы, адаптированные к операционной системе жертвы, постоянно облегчая цикл компрометации. Он собирает не только банковские учетные данные, но и доступ к различным системам управления контентом (CMS), тем самым расширяя свой потенциал для использования. Конечным результатом является самоподдерживающаяся экосистема для киберпреступников, усиливающая цикл кражи учетных данных и компрометации системы.
#ParsedReport #CompletenessLow
29-12-2025
Zestix Threat Actor Profile \| TTPs, Victims, and Breach Activity
https://cyberint.com/blog/threat-intelligence/zestix-threat-actor-profile-ttps-victims-and-breach-activity/
Report completeness: Low
Actors/Campaigns:
Zestix
Victims:
Transportation sector, Government sector, Major spanish airline, Health company
Industry:
Transport, Government, Aerospace, Healthcare, Military
Geo:
Brazilian, Brazil, Spanish, Spain
Soft:
Twitter, Telegram
29-12-2025
Zestix Threat Actor Profile \| TTPs, Victims, and Breach Activity
https://cyberint.com/blog/threat-intelligence/zestix-threat-actor-profile-ttps-victims-and-breach-activity/
Report completeness: Low
Actors/Campaigns:
Zestix
Victims:
Transportation sector, Government sector, Major spanish airline, Health company
Industry:
Transport, Government, Aerospace, Healthcare, Military
Geo:
Brazilian, Brazil, Spanish, Spain
Soft:
Twitter, Telegram
Cyberint
Zestix Threat Actor Profile | TTPs, Victims, and Breach Activity
An overview of Zestix, a criminal threat actor active since 2025, detailing victimology across transportation and government sectors, key tactics such as third-party compromise and large-scale data exfiltration, and activity on underground forums.
CTT Report Hub
#ParsedReport #CompletenessLow 29-12-2025 Zestix Threat Actor Profile \| TTPs, Victims, and Breach Activity https://cyberint.com/blog/threat-intelligence/zestix-threat-actor-profile-ttps-victims-and-breach-activity/ Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Zestix - криминальный злоумышленник, действующий с сентября 2025 года, нацеленный на транспортный и государственный секторы с целью личной финансовой выгоды. Этот человек применяет изощренную тактику, совершив значительные утечки данных, включая инциденты с участием крупной испанской авиакомпании и медицинской компании. Zestix участвует в дискуссиях на хакерских форумах, уделяя особое внимание обходу мер безопасности и обмену информацией об утечке данных, что указывает на потенциальную эскалацию угроз для конфиденциальной информации.
-----
Zestix - криминальный злоумышленник, который появился в сентябре 2025 года, руководствуясь преимущественно личной финансовой выгодой. Этот актор индивидуального уровня был связан со значительными утечками данных, особенно в отношении организаций транспортного и государственного секторов.
Тактика, методы и процедуры (TTP), используемые Zestix, демонстрируют глубокое понимание уязвимостей в области кибербезопасности. Хотя конкретные методы не детализированы, последствия утечки данных от известных организаций, включая крупную испанскую авиакомпанию и медицинскую компанию, указывают на возможность эффективного обхода систем безопасности. Известно, что актор активен на хакерских форумах, в частности forum.exploit.in , где Zestix обсуждает различные методы кибербезопасности, в том числе способы обхода средств защиты, и делится информацией о продолжающихся утечках данных. Общение с потенциальными сотрудниками или информаторами осуществляется через защищенные платформы обмена сообщениями, такие как qTox.
Участие Zestix's в сообществе киберпреступников предполагает уровень угрозы, который может возрасти еще больше, особенно учитывая сосредоточенность актора на громких целях. Извлечение конфиденциальной информации из государственного и транспортного секторов вызывает опасения по поводу потенциальных более широких последствий для безопасности и конфиденциальности. Методы, используемые Zestix, подчеркивают эволюционирующий характер киберугроз, подчеркивая необходимость бдительности и упреждающих мер в области защиты кибербезопасности, чтобы помешать таким лицам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Zestix - криминальный злоумышленник, действующий с сентября 2025 года, нацеленный на транспортный и государственный секторы с целью личной финансовой выгоды. Этот человек применяет изощренную тактику, совершив значительные утечки данных, включая инциденты с участием крупной испанской авиакомпании и медицинской компании. Zestix участвует в дискуссиях на хакерских форумах, уделяя особое внимание обходу мер безопасности и обмену информацией об утечке данных, что указывает на потенциальную эскалацию угроз для конфиденциальной информации.
-----
Zestix - криминальный злоумышленник, который появился в сентябре 2025 года, руководствуясь преимущественно личной финансовой выгодой. Этот актор индивидуального уровня был связан со значительными утечками данных, особенно в отношении организаций транспортного и государственного секторов.
Тактика, методы и процедуры (TTP), используемые Zestix, демонстрируют глубокое понимание уязвимостей в области кибербезопасности. Хотя конкретные методы не детализированы, последствия утечки данных от известных организаций, включая крупную испанскую авиакомпанию и медицинскую компанию, указывают на возможность эффективного обхода систем безопасности. Известно, что актор активен на хакерских форумах, в частности forum.exploit.in , где Zestix обсуждает различные методы кибербезопасности, в том числе способы обхода средств защиты, и делится информацией о продолжающихся утечках данных. Общение с потенциальными сотрудниками или информаторами осуществляется через защищенные платформы обмена сообщениями, такие как qTox.
Участие Zestix's в сообществе киберпреступников предполагает уровень угрозы, который может возрасти еще больше, особенно учитывая сосредоточенность актора на громких целях. Извлечение конфиденциальной информации из государственного и транспортного секторов вызывает опасения по поводу потенциальных более широких последствий для безопасности и конфиденциальности. Методы, используемые Zestix, подчеркивают эволюционирующий характер киберугроз, подчеркивая необходимость бдительности и упреждающих мер в области защиты кибербезопасности, чтобы помешать таким лицам.
#ParsedReport #CompletenessMedium
30-12-2025
EmEditor Supply Chain Incident Details Disclosed: Distribution of Information-Stealing Malware Sweeps Through Domestic Government and Enterprise Entities
https://ti.qianxin.com/blog/articles/emeditor-supply-chain-incident-details-disclosed-en/
Report completeness: Medium
Threats:
Supply_chain_technique
Putty_tool
Mitm_technique
Victims:
Government, Enterprise entities
Industry:
Government
Geo:
China, Iran
ChatGPT TTPs:
T1059, T1059.001, T1176, T1195, T1553.002
IOCs:
File: 4
Domain: 16
Hash: 2
IP: 3
Soft:
Discord, Slack, Zoom, WinSCP, Steam, Telegram
Algorithms:
md5
Languages:
powershell, javascript
30-12-2025
EmEditor Supply Chain Incident Details Disclosed: Distribution of Information-Stealing Malware Sweeps Through Domestic Government and Enterprise Entities
https://ti.qianxin.com/blog/articles/emeditor-supply-chain-incident-details-disclosed-en/
Report completeness: Medium
Threats:
Supply_chain_technique
Putty_tool
Mitm_technique
Victims:
Government, Enterprise entities
Industry:
Government
Geo:
China, Iran
ChatGPT TTPs:
do not use without manual checkT1059, T1059.001, T1176, T1195, T1553.002
IOCs:
File: 4
Domain: 16
Hash: 2
IP: 3
Soft:
Discord, Slack, Zoom, WinSCP, Steam, Telegram
Algorithms:
md5
Languages:
powershell, javascript
Qianxin
奇安信威胁情报中心
Nuxt.js project