#ParsedReport #CompletenessMedium
14-01-2026

Free Converter Software - Convert Any System from Clean to Infected in Seconds

https://www.nextron-systems.com/2026/01/14/free-converter-software-convert-any-system-from-clean-to-infected-in-seconds/

Report completeness: Medium

Actors/Campaigns:
Convertmate

Threats:
Timestomp_technique

Victims:
General users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1041, T1053.005, T1105, T1553.002, T1583.001, T1608.006

IOCs:
Domain: 17
File: 7
Hash: 154
Path: 5
Url: 3
Registry: 1

Soft:
Google Chrome, Task Scheduler

Algorithms:
zip, sha256, md5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье исследуются Вредоносные Кампании с использованием троянов удаленного доступа (RAT), распространяемых с помощью вредоносной рекламы, которые приводят к появлению поддельных приложений-конвертеров, таких как ConvertMate.exe . Эти приложения используют отозванные Сертификаты подписи кода, чтобы казаться легитимными, и работают как дропперы, развертывая полезные нагрузки, которые подключаются к серверам управления, оставаясь скрытыми. Метод заражения включает в себя создание запланированных задач для вредоносных исполняемых файлов в каталогах, доступных для записи пользователем, подчеркивая необходимость мониторинга связанных событий Windows для обнаружения.
-----

В статье рассматриваются различные Вредоносные Кампании, обычно включающие трояны удаленного доступа (RAT), и методы их распространения, в первую очередь с помощью вредоносной рекламы. В нем описано, как пользователи могут непреднамеренно загружать вредоносное ПО, нажимая на рекламу, которая ведет к поддельным приложениям-конвертерам. Эти приложения часто маскируются под законное программное обеспечение, используя Сертификаты подписи кода, чтобы казаться заслуживающими доверия, даже несмотря на то, что многие из этих сертификатов были отозваны.

Вредоносное ПО, после загрузки, обычно функционирует как дроппер, развертывая дополнительные полезные нагрузки, которые устанавливают связь с сервером управления, оставаясь незаметным для пользователя. В статье приводится конкретный пример, ConvertMate.exe , указывающий на то, что он распространяется через conmateapp.com домен и в конечном счете попадает в данные локального приложения пользователя. Выделена природа задействованных файлов и операционная структура цепочки заражения, при этом многие компоненты закодированы на C#, которые могут быть декомпилированы для дальнейшего анализа.

Ключевым аспектом метода заражения является создание запланированных задач, которые указывают на вредоносные исполняемые файлы в каталогах, доступных для записи пользователем, что делает важным для организаций отслеживать события Windows, связанные с созданием задачи, такие как идентификатор события 4698, и применять решения безопасности, такие как Sysmon, для более подробного ведения журнала событий. Меры контроля приложений, такие как внесение в разрешенный список с помощью таких технологий, как AppLocker или Windows Defender Application Control (WDAC), подчеркиваются в качестве превентивных стратегий против запуска такого вредоносного ПО, особенно из каталогов профилей пользователей.

В статье представлен THOR, инструмент, который можно использовать для оптимизации обнаружения и анализа этих типов инфекций. Это иллюстрирует, как этот инструмент упрощает рабочий процесс расследования, помогая аналитикам быстро выявлять первоначальные признаки компрометации без тщательной ручной проверки журнала. В целом, основное внимание уделяется распознаванию моделей заражения вредоносным ПО с помощью приложений на основе конверторов и внедрению надежных средств защиты для снижения рисков.

#ParsedReport #CompletenessMedium
12-01-2026

"Unsafe Fund": UAC-0190 targeted cyberattacks against CMAs using PLUGGYAPE (CERT-UA#19092)

https://cert.gov.ua/article/6286942

Report completeness: Medium

Actors/Campaigns:
Void_blizzard

Threats:
Pluggyape

Victims:
Ukrainian defense forces

Industry:
Military

Geo:
Ukrainian, Ukraine

IOCs:
Hash: 46
File: 13
IP: 8
Url: 14
Domain: 7
Path: 1
Registry: 1

Soft:
PyInstaller

Algorithms:
base64, sha256

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Период с октября по декабрь 2025, серия нацелен кибератак, помечены UAC-0190, были казнены против украинских Сил обороны, используя вредоносное ПО вредоносных программ, известный как PLUGGYAPE, маскировались под благотворительные фонды. Нападения указывают на стратегическое использование обман, чтобы завоевать доверие и проникнуть военных структур, отражающих геополитические мотивации к срыву операций и сбора разведданных. Операции кибер выделить постоянные угрозы, с которыми сталкиваются военные организации в условиях региональных конфликтов.
-----

В период с октября по декабрь 2025 года сообщалось о серии нацеленных кибератак, обозначенных как UAC-0190, против украинских сил обороны. Эти атаки проводились под предлогом благотворительных фондов и использовали вариант вредоносного ПО, известный как PLUGGYAPE. Национальная группа реагирования на киберинциденты (CERT-UA) и Группа реагирования на киберинциденты Вооруженных сил Украины (воинская часть A0334) сотрудничали в расследовании этих инцидентов.

Вредоносное ПО PLUGGYAPE использовалось для облегчения этих киберопераций, используя прикрытие гуманитарной и благотворительной деятельности в качестве мишени для военнослужащих. Эта тактика отражает стратегический выбор, направленный на завоевание доверия потенциальных жертв, позволяя злоумышленникам проникать в сети, не вызывая немедленных подозрений. Конкретные возможности и функционал вредоносного ПО PLUGGYAPE не были подробно описаны в отчетах, но его использование указывает на сложный уровень оперативного планирования злоумышленниками.

Фокус на украинские силы противовоздушной обороны предполагает, что нападавшие, скорее всего, продиктовано геополитической напряженности или конфликтов, прежде всего в интересах военной инфраструктуры и персонала. Характер нападений, указывает на более широких усилий, чтобы сорвать или скомпрометировать военных операций через обманным путем, возможно с целью сбора разведданных или вызвать функциональные нарушения в украинской оборонной сфере.

Расследование этих атак высвечивает сохраняющиеся киберугрозы, с которыми сталкиваются военные структуры, особенно в регионах конфликтов, и подчеркивает необходимость повышенной бдительности и усовершенствованных мер кибербезопасности для противодействия такой изощренной тактике.

#ParsedReport #CompletenessHigh
12-01-2026

ValleyRAT_S2 Chinese campaign

https://apophis133.medium.com/valleyrat-s2-chinese-campaign-4504b890f416

Report completeness: High

Threats:
Valleyrat
Dll_sideloading_technique
Shadow_copies_delete_technique
Api_obfuscation_technique
Credential_harvesting_technique
Spear-phishing_technique
Supply_chain_technique
Process_injection_technique
Process_hollowing_technique

Victims:
Chinese speaking regions

Industry:
Entertainment, Education

Geo:
China, Chinese, Hong kong, Taiwan, Asia

TTPs:
Tactics: 12
Technics: 22

IOCs:
File: 6
IP: 2
Hash: 2
Path: 4

Soft:
Task Scheduler, csgo, Steam, Telegram, WhatsApp

Algorithms:
sha256

Functions:
SetWindowsHookEx, FindFirstFileEx, GetLocaleInfo

Win API:
GetProcAddress, LoadLibrary, SetThreadContext, WriteProcessMemory, CreateRemoteThread, OpenFileMappingW, OpenEventW, SetEvent, QueryPerformanceFrequency, ShellExecuteExA, have more...

Languages:
cscript, visual_basic, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ValleyRAT_S2 - это сложный троян удаленного доступа (RAT), нацеленный на китайскоязычные регионы и предназначенный для кибершпионажа и финансовых целей. Он имеет модульную структуру C++ и использует различные тактики, такие как Windows Task Scheduler для закрепления, SEH для уклонения и DLL side-loading для скрытности. Вредоносное ПО использует методы MITRE ATT&CK, включая Целевой фишинг, Компрометацию цепочки поставок программного обеспечения и пользовательские протоколы TCP для командования и контроля, обеспечивающие эффективную эксфильтрацию данных и уклонение от обнаружения.
-----

ValleyRAT_S2 - это сложный троян удаленного доступа (RAT), относящийся к семейству вредоносных ПО ValleyRAT, предназначенный в первую очередь для регионов, где говорят на китайском языке. Вредоносное ПО предназначено как для кибершпионажа, так и для финансово мотивированных кампаний. Написанный на C++, он имеет модульную конструкцию и использует различные тактики для разведки системы, закрепления и уклонения.

Вредоносное ПО проводит тщательный анализ системы, выявляя свою способность собирать исчерпывающую информацию о зараженной среде. Чтобы обеспечить закрепление, он использует планировщик задач Windows с использованием COM API для автоматического запуска после перезагрузки системы. Это позволяет вредоносному ПО сохранять свое присутствие в зараженной системе, даже если оно завершено. Кроме того, он сам перезапускается с помощью скрипта Visual Basic, если он отключен, демонстрируя надежный механизм обеспечения устойчивости.

Один из примечательных методов уклонения, используемых ValleyRAT_S2, включает настройку пользовательской обработки структурированных исключений (SEH), чтобы избежать сбоев при анализе в изолированной среде, - обычная тактика, используемая продвинутым вредоносным ПО для обхода механизмов обнаружения. Вредоносное ПО уклоняется от проверки, выдавая себя за файлы законных приложений, в частности, Маскировку под игровые файлы Counter-Strike: Global Offensive (CS:GO), и манипулируя известными библиотеками, такими как steam_api64.dll для Обхода контроля учетных записей (UAC). Это также включает в себя DLL side-loading для обеспечения скрытности работы.

ValleyRAT_S2 использует различные методы атаки из фреймворка MITRE ATT&CK. Он использует тактику Целевого фишинга, доставляя вредоносные вложения в документы, которые могут содержать замаскированные исполняемые файлы. Кроме того, это ставит под угрозу Цепочки поставок программного обеспечения, используя механизмы обновления в популярном местном программном обеспечении, облегчая проникновение с помощью, казалось бы, законных процессов. Вредоносное ПО создано для генерации динамических имен файлов во временном каталоге системы, что еще больше усложняет обнаружение.

Связь между командами и контролем (C2) устанавливается посредством разрешения DNS, используя вызовы getaddrinfo для определенного IP-адреса и порта. Эксфильтрация данных происходит по пользовательскому протоколу TCP, что позволяет передавать собранную информацию злоумышленникам без предупреждения. Вредоносное ПО создает в памяти доброкачественные именованные процессы (например, Telegra.exe , WhatsApp.exe ) для введения в заблуждение пользователей и аналитиков безопасности, повышая его способность оставаться незамеченным.

#ParsedReport #CompletenessLow
14-01-2026

Inside Chinas Hosting Ecosystem: 18,000+ Malware C2 Servers Mapped Across Major ISPs

https://hunt.io/blog/china-hosting-malware-c2-infrastructure

Report completeness: Low

Actors/Campaigns:
Darkspectre
Silver_fox (motivation: cyber_espionage)

Threats:
Cobalt_strike_tool
Mozi
Arl_tool
Mirai
Vshell
Gophish_tool
Acunetix_tool
Nanocore_rat
Asyncrat
React2shell_vuln
Xmrig_miner
L3mon_tool
Rondodox
Supershell
Valleyrat

Victims:
Chinese isps, Chinese cloud providers, Telecom networks, Academic networks, Iot infrastructure

Industry:
E-commerce, Education, Retail, Entertainment, Iot, Telco

Geo:
China, Indian, India, Asia-pacific, Chinese, Chinas, Asia pacific

ChatGPT TTPs:
do not use without manual check
T1071, T1102, T1583, T1584, T1585, T1587

IOCs:
IP: 19

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ выявил более 18 000 активных серверов управления (C2) у 48 китайских хостинг-провайдеров, причем почти половина из них приходится на China Unicom. Доминирующие семейства вредоносных ПО включают Mozi, ARL, Cobalt Strike, Mirai и Vshell, что подчеркивает предпочтение подходов, основанных на фреймворках. Инфраструктура поддерживает различные киберугрозы, включая трояны удаленного доступа, криптоминеры и вредоносное ПО, связанное с государством, в частности, использующее надежные сети, такие как China169 Backbone и CHINANET.
-----

Обширный анализ выявил более 18 000 активных серверов управления (C2), расположенных у 48 хостинг-провайдеров в Китае, которые в основном служат основой для различных вредоносных действий, на долю которых приходится примерно 84% от общего числа наблюдаемых действий. Примечательно, что China Unicom отвечает почти за половину идентифицированных серверов C2, при этом другие крупные провайдеры, такие как Alibaba Cloud и Tencent, также занимают видное место. Полученные данные свидетельствуют о том, что злоумышленники отдают значительное предпочтение развертыванию инфраструктуры в крупномасштабных облачных средах с хорошей репутацией.

Анализ показывает, что горстка вредоносное ПО—в том числе вредоносных программ, Mozi, ARL, Cobalt Strike, Mirai, и Vshell—доминируют в ландшафте С2, что отражает стремление злоумышленники используют рамках подходов, которые способствуют повторяющиеся эксплуатации. В исследованиях подчеркивается, что постоянное присутствие IoT-устройств бот-сеть ботнет, особенно выделяя роль Mozi Мози в крупномасштабных много операций С2. Кроме того, китайцы таких условиях одновременно поддержка различных типов кибер-угроз, таких как трояны удаленного доступа (крысы), cryptominers, и фишинг рамки, наряду с государственными, связанных вредоносное ПО, демонстрирует многогранный экосистема, в которой, как киберпреступники и сложная целенаправленная угроза (APT) группы может работать.

Полученные данные также проливают свет на адресность высоким уровнем доверия сетях, таких как позвоночник China169, Китай-нет, и CERNET, где злоумышленники успешно воспользовавшийся связи и академической инфраструктуры. Отслеживаемая телеметрия включала не только серверы C2, но и вредоносные открытые каталоги и сайты фишинга, в результате чего за период наблюдения было выявлено в общей сложности 21 629 вредоносных артефактов.

Для эффективного анализа этой вредоносной инфраструктуры была внедрена система под названием Host Radar, которая сопоставляет различные сигналы, такие как обнаружения C2, инциденты с фишингом и индикаторы компрометации (IOCs), с конкретными поставщиками и сетями. Эта модель позволяет ориентироваться на принимающую сторону, что помогает понять злоупотребления инфраструктурой в более широком масштабе, позволяя принимать нацеленные ответные меры, а не сосредотачиваться исключительно на эфемерных отдельных показателях.

Наблюдения за инфраструктурой вредоносного ПО у различных китайских поставщиков услуг подчеркивают объем и разнообразие вредоносных действий, демонстрируя тревожную тенденцию в операциях по борьбе с киберугрозами в обширной экосистеме хостинга Китая.

#ParsedReport #CompletenessMedium
15-01-2026

UAT-8837 targets critical infrastructure sectors in North America

https://blog.talosintelligence.com/uat-8837/

Report completeness: Medium

Actors/Campaigns:
Uat-8837

Threats:
Earthworm_tool
Bloodhound_tool
Dwagent_tool
Certipy_tool
Viewstate_deserialization_vuln
Gotokentheft_tool
Impacket_tool
Sharpwmi_tool
Rubeus_tool
Supply_chain_technique
Lolbin_technique

Victims:
Critical infrastructure

Industry:
Critical_infrastructure

Geo:
China, America

CVEs:
CVE-2025-53690 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sitecore experience_commerce (le9.0)
- sitecore experience_manager (le9.0)
- sitecore experience_platform (le9.0)
- sitecore managed_cloud (-)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1033, T1059.003, T1069.002, T1087.002, T1090, T1105, T1134.001, T1136, T1136.001, T1190, have more...

IOCs:
File: 1
Path: 3
Hash: 32
IP: 5

Soft:
Active Directory, SiteCore

Languages:
golang

Links:
https://github.com/Aquilao/GoTokenTheft
have more...
https://github.com/Kevin-Robertson/Invoke-TheHash

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UAT-8837, Китая связаны АПТ объектам критической инфраструктуры в Северной Америке, применяя различные методы, включая использование N-ый день и zero-day уязвимостей, таких как недавний ViewState Deserialization использовать в Sitecore товаров (уязвимость CVE-2025-53690). Они используют такие инструменты, как GoTokenTheft для кражи токенов доступа, Earthworm для сетевого туннелирования и DWAgent для удаленного администрирования. Их деятельность сопряжена с большими активная разведка разведка, используя SharpHound и Certipy, а также поддержание закрепление через backdooring счета.
-----

UAT-8837, идентифицированный как связанная с Китаем сложная целенаправленная угроза (APT), в настоящее время нацелен на критически важные секторы инфраструктуры в Северной Америке. Cisco Talos оценивает эту группу со средней степенью уверенности, основываясь на их тактике, техниках и процедурах (TTP), которые демонстрируют совпадения с известными китайскими акторами APT. Операции UAT-8837's продолжаются по крайней мере с 2025 года, при этом основное внимание уделяется получению первоначального доступа к ценным организациям. Несмотря на кажущийся спорадическим характер их атак, намерения, по-видимому, носят систематический и стратегический характер.

Чтобы получить доступ к целевым средам, UAT-8837 использует уязвимости как n-го дня, так и zero-day. Недавним примечательным примером является использование ими уязвимости ViewState Deserialization zero-day в продуктах SiteCore, идентифицированной как CVE-2025-53690. Как только доступ получен, они используют целый ряд инструментов на протяжении всей своей деятельности по вторжению, часто перебирая различные варианты в ответ на обнаружения средствами безопасности.

Ключевые инструменты, используемые UAT-8837, включают GoTokenTheft, который крадет токены доступа для выполнения команд с повышенными привилегиями, и Earthworm, утилиту сетевого туннелирования, распространенную среди китайскоязычных злоумышленников, которая предоставляет доступ к внутренним системам удаленным серверам, контролируемым злоумышленниками. Группа также внедряет DWAgent, инструмент удаленного администрирования, для облегчения доступа к скомпрометированным конечным точкам и удаления дополнительного вредоносного ПО.

Для разведки Active Directory UAT-8837 использует SharpHound для сбора информации об объявлениях и пытается загрузить различные двоичные файлы на основе Impacket. В одном случае они прибегли к средству удаленного выполнения GoExec, позволяющему выполнять команды на подключенных конечных точках в сети жертвы. Кроме того, они используют Rubeus, набор инструментов для борьбы со злоупотреблениями Kerberos, и Certipy, который помогает обнаруживать рекламу и предотвращать злоупотребления.

UAT-8837 выполняет действия с помощью клавиатуры для извлечения конфиденциальной информации, включая учетные данные. Их методы разведки включают использование команды setspn для перечисления имен участников службы (SPN) в Active Directory в сочетании с такими инструментами, как SharpHound, Certipy, и встроенными командами Windows, такими как dsget и dsquery, для сбора конкретных данных из среды AD. Известно также, что они используют бэкдор для существующих учетных записей пользователей, добавляя их в Локальные группы для поддержания постоянного доступа.

#ParsedReport #CompletenessLow
14-01-2026

Analyzing the MonetaStealer macOS Threat

https://the-sequence.com/monetastealer-threat

Report completeness: Low

Threats:
Monetastealer
Clickfix_technique

Victims:
Macos users, Windows users, Financial platforms, Cryptocurrency platforms

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1074.001, T1083, T1115, T1204.002, T1497.003, T1552.004, T1555.001, have more...

IOCs:
File: 2
Hash: 4

Soft:
macOS, PyInstaller, Chrome, Google Chrome, telegram

Wallets:
exodus_wallet, electrum, metamask, coinbase

Crypto:
binance

Algorithms:
zip, base64

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MonetaStealer это вредоносное вредоносное ПО определены 6 января 2026,, замаскированный исполняемый файл Windows, используя Маха-О'бинарных составлен с PyInstaller. Он нацелен на данные браузера Chrome, извлекая пароли и сеансовые файлы cookie, а также крадя учетные данные Wi-Fi и конфиденциальные файлы на основе определенных ключевых слов. Самое вредоносное ПО пакеты украденных данных в zip-файл для эксфильтрация через Телеграмм API и имеет нулевой уровень обнаружения, что указывало на ее скрытый характер.
-----

MonetaStealer - это вредоносное ПО для macOS, идентифицированное 6 января 2026 года, маскирующееся под Windows .exe-файл. Он использует PyInstaller для скрытия вредоносного кода в файле .pyc и не использует продвинутые методы антианализа. Уровень обнаружения вредоносного ПО в VirusTotal равен нулю, что указывает на скрытность. Он создает неподписанный двоичный файл Mach-O с расширением .exe, чтобы обмануть пользователей. Основная полезная нагрузка включает в себя сжатый архив PyInstaller, примечательным содержимым которого является portfolio_app.pyc.

Методы кражи данных фокусируются на данных браузера Chrome путем доступа к копиям базы данных SQLite, использования "security find-generic-password" для извлечения паролей и определения ключевых слов для эксфильтрации файлов cookie сеанса. MonetaStealer также собирает учетные данные Wi-Fi с помощью "networksetup -listpreferredwirelessnetworks en0" и собирает данные Связки ключей macOS с помощью нескольких вызовов "security find-generic-password". Он сканирует пользовательские каталоги на наличие конфиденциальных документов с определенными ключевыми словами и захватывает Закрытые ключи SSH из каталога .ssh. Данные из буфера обмена собираются с помощью утилиты pbpaste и содержат 5000 символов.

Украденные данные сжимаются в zip-файл с именем "STOLEN{SessionID}.zip" для передачи через Telegram API. Вариант для Windows, "Portfolio_review.exe ," включает полезную нагрузку на Python, но является нефункциональной, возможно, предназначенной для введения пользователей в заблуждение.

#ParsedReport #CompletenessLow
14-01-2026

React2Shell Reflections: Cloud Insights, Finance Sector Impacts, and How Threat Actors Moved So Quickly

https://www.darktrace.com/blog/react2shell-reflections-cloud-insights-finance-sector-impacts-and-how-threat-actors-moved-so-quickly

Report completeness: Low

Actors/Campaigns:
Contagious_interview

Threats:
React2shell_vuln
Xmrig_miner
Beavertail
Etherrat

Victims:
Financial organizations, Cloud hosted services, Next.js applications

Industry:
Financial

Geo:
North korean, Qatar, Nigeria, Korea, United kingdom, Dprk, Sweden, Kenya, Chile, Portugal, Spain

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1059.004, T1090.003, T1105, T1190, T1219, T1496, T1583.006, T1595.001

IOCs:
File: 1
IP: 1

Soft:
Azure virtual machine, Linux, Microsoft Defender, curl, Node.js

Crypto:
ethereum

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость CVE 2025-55812, известная как React2Shell, была быстро использована злоумышленниками в облачных средах, в частности, для виртуальной машины Azure, на которой запущен Next.js применение. Они добились удаленного выполнения команд в течение нескольких часов и развернули RAT на базе Go наряду с полезными нагрузками для криптомайнинга с первоначальным доступом через скомпрометированную инфраструктуру VPN. Злоумышленники продемонстрировали изощренную тактику, включая использование Вредоносного файла, имитирующего двоичный файл "vim", для уклонения и выявили прямые действия по управлению, указывающие на продолжающуюся эксплуатацию для монетизации, особенно против финансовых учреждений, с возможными связями с северокорейскими акторами.
-----

Раскрытие CVE 2025-55812, также известного как React2Shell, высветило быстрое использование уязвимостей современными злоумышленниками, особенно в облачных средах, где сервисы часто доступны через Интернет по умолчанию. Отсутствие защитных уровней в облачных архитектурах позволяет злоумышленникам быстро использовать незащищенные сервисы, не прибегая к традиционным тактикам, таким как фишинг или кража учетных данных.

Примечательный случай был связан с тем, что злоумышленники скомпрометировали виртуальную машину Azure, подключенную к Интернету, под управлением Next.js применение. В течение нескольких часов после обнаружения уязвимости они добились удаленного выполнения команд, используя React/Next.js уязвимость. Впоследствии злоумышленники внедрили троян удаленного доступа на базе Go (RAT) наряду с полезными для криптомайнинга программами, включая XMrig. Первоначальный доступ к системе был получен из скомпрометированной инфраструктуры VPN, при этом исходный IP-адрес был идентифицирован как связанный с Surfshark.

Процесс выполнения полезной нагрузки начались вскоре после использования, с Darktrace идентификации подозрительного файла имитируя "ВИМ" бинарный. Эта тактика является распространенным способом, чтобы избежать обнаружения в среде Linux, что свидетельствует о наличии прямой связи между нагрузкой и взломанные приложения. Кроме того, сетевой поток журналы предусмотрено представление в управление деятельности (С2), раскрывая исходящие подключения на тот же внешний IP-адрес, участвующим в начальной компромисс. Такое поведение, характеризующееся постоянными исходящими обратными вызовами, является сильным показателем контроля после эксплуатации.

Получив контроль над скомпрометированной системой, злоумышленники быстро перешли к монетизации своего доступа, развернув операции по криптомайнингу. Защитник Microsoft зафиксировал данные о команде оболочки, направленной на получение двоичного файла с именем "x", демонстрируя гибкость в выборе между curl или wget для выполнения в зависимости от доступности виртуальной машины Azure.

На этом этапе эксплуатации деятельность по угрозам была особенно направлена против финансовых учреждений в нескольких странах, включая Великобританию, Швецию и Испанию, с потенциальными связями с северокорейскими акторами. Этот инцидент подчеркивает угрозы, исходящие от опытных, хорошо обеспеченных ресурсами злоумышленников, которые могут использовать автоматическое сканирование и заранее подготовленную инфраструктуру для быстрого использования, о чем свидетельствует случай, когда Darktrace honeypot был скомпрометирован всего за две минуты после настройки. Такое быстрое реагирование иллюстрирует насущную необходимость в усиленной защите в облачных средах от такой гибкой тактики злоумышленников.