GhostEmperor Analyse

💳 Purchase Required

You need to purchase an additional CTI license to see detailed indicators.

IOB - Indicator of Behavior (348)

Zeitverlauf

Sprache

en236
zh94
de8
es6
ko2

Land

cn210
us130
gb6

Akteure

GhostEmperor5
Andariel4
Meterpreter1
Kimsuky1
APT101

Aktivitäten

Interesse

Zeitverlauf

Typ

Not Defined106
Operating System28
Application Server Software14
Router Operating System14
Content Management System12

Hersteller

Not Defined96
Microsoft22
Oracle18
Cisco18
Apache14

Produkt

Microsoft Windows16
WordPress10
Cisco IOS XE10
Oracle VM VirtualBox8
Linux Kernel6

Schwachstellen

#SchwachstelleBaseTemp0dayHeuteAusMasEPSSCTICVE
1jforum User erweiterte Rechte5.35.3$0-$5k$0-$5kNot DefinedNot Defined0.002890.03CVE-2019-7550
2ipTIME NAS-I Bulletin Manage erweiterte Rechte7.17.1$0-$5k$0-$5kNot DefinedNot Defined0.009880.05CVE-2020-7847
3Cisco IOS XE schwache Authentisierung8.58.2$5k-$25k$0-$5kNot DefinedOfficial Fix0.003660.03CVE-2018-0150
4Cisco Secure Access Control System EAP-FAST Authentication Module schwache Authentisierung9.89.4$5k-$25k$0-$5kNot DefinedOfficial Fix0.005030.00CVE-2013-3466
5Codoforum New Topic Cross Site Scripting4.44.4$0-$5k$0-$5kNot DefinedNot Defined0.000580.00CVE-2020-9007
6LogicBoard CMS away.php Redirect6.36.1$0-$5k$0-$5kNot DefinedUnavailable0.000001.49
7Zoom On-Premise Meeting Connector Controller Network Proxy Page erweiterte Rechte4.74.5$0-$5k$0-$5kNot DefinedOfficial Fix0.001410.00CVE-2021-34414
8ThinkPHP index.php SQL Injection8.58.5$0-$5k$0-$5kNot DefinedNot Defined0.001790.02CVE-2018-10225
9KingView stgopenstorage API Pufferüberlauf6.56.5$0-$5k$0-$5kNot DefinedNot Defined0.000440.00CVE-2018-7471
10Zoho ManageEngine ADManager Plus Privilege Escalation5.75.6$0-$5k$0-$5kNot DefinedOfficial Fix0.001300.00CVE-2023-38743
11Palo Alto PAN-OS unbekannte Schwachstelle4.94.9$0-$5k$0-$5kNot DefinedNot Defined0.000750.07CVE-2023-0004
12Serendipity exit.php erweiterte Rechte6.36.0$0-$5k$0-$5kProof-of-ConceptNot Defined0.000000.30
13spring-boot-actuator-logview LogViewEndpoint.view Directory Traversal5.55.5$0-$5k$0-$5kNot DefinedNot Defined0.000490.04CVE-2023-29986
14Synacor Zimbra Collaboration Memcache Command erweiterte Rechte6.36.0$0-$5k$0-$5kHighOfficial Fix0.096650.04CVE-2022-27924
15PHPMailer validateAddress erweiterte Rechte5.65.4$0-$5k$0-$5kNot DefinedOfficial Fix0.003440.03CVE-2021-3603
16Dahua IPC-HX3XXX Data Packet schwache Authentisierung8.17.7$0-$5k$0-$5kNot DefinedOfficial Fix0.303590.03CVE-2021-33044
17Dahua IPC-HX3XXX Data Packet schwache Authentisierung8.17.7$0-$5k$0-$5kNot DefinedOfficial Fix0.064140.04CVE-2021-33045
18SoftEther VPN Server See.sys Kernel erweiterte Rechte6.56.5$0-$5k$0-$5kNot DefinedNot Defined0.000440.00CVE-2019-11868
19Cisco IOS XE Privileges erweiterte Rechte7.37.0$25k-$100k$0-$5kNot DefinedOfficial Fix0.000420.00CVE-2020-3215
20Winmail Server PHP File netdisk.php copy_folder_file Directory Traversal7.57.5$0-$5k$0-$5kNot DefinedNot Defined0.004400.04CVE-2018-5700

IOC - Indicator of Compromise (7)

These indicators of compromise highlight associated network ressources which are known to be part of research and attack activities.

IDIP-AdresseHostnameAkteurKampagnenIdentifiziertTypAkzeptanz
127.102.113.57yukonpick.netGhostEmperor22.03.2022verifiziertHigh
227.102.113.240power.playtimeins.netGhostEmperor22.03.2022verifiziertHigh
3XX.XXX.XXX.XXXxxxxxxxxxxx22.03.2022verifiziertHigh
4XX.XXX.XXX.XXXxxxxxxxxxxx22.03.2022verifiziertHigh
5XX.XXX.XXX.XXXXxxxxxxxxxxx22.03.2022verifiziertHigh
6XXX.XXX.XXX.XXXxxxxx.xxxxxxx.xxxXxxxxxxxxxxx22.03.2022verifiziertHigh
7XXX.XXX.XXX.XXXXxxxxxxxxxxx22.03.2022verifiziertHigh

TTP - Tactics, Techniques, Procedures (17)

Tactics, techniques, and procedures summarize the suspected MITRE ATT&CK techniques used. This data is unique as it uses our predictive model for actor profiling.

IDTechniqueKlassifizierungSchwachstellenZugriffsartTypAkzeptanz
1T1006CAPEC-126CWE-21, CWE-22, CWE-23Path TraversalprädiktivHigh
2T1040CAPEC-102CWE-294Authentication Bypass by Capture-replayprädiktivHigh
3T1055CAPEC-10CWE-74Improper Neutralization of Data within XPath ExpressionsprädiktivHigh
4T1059CAPEC-242CWE-94Argument InjectionprädiktivHigh
5TXXXX.XXXCAPEC-209CWE-XX, CWE-XXXxxxx Xxxx XxxxxxxxxprädiktivHigh
6TXXXXCAPEC-104CWE-XXX, CWE-XXX, CWE-XXX, CWE-XXXXxxxxxxxx Xxxx Xxxxxxxxxxx XxxxxxxxxxprädiktivHigh
7TXXXX.XXXCAPEC-CWE-XXXXxx Xx Xxxx-xxxxx XxxxxxxxprädiktivHigh
8TXXXX.XXXCAPEC-191CWE-XXXXxxx-xxxxx XxxxxxxxxxxprädiktivHigh
9TXXXXCAPEC-136CWE-XX, CWE-XXXxxxxxx Xxxxx Xx Xxxxxxxxxx Xxxxxxxxxx XxxxxxxxxprädiktivHigh
10TXXXX.XXXCAPEC-178CWE-XXXXxxx XxxxxxxxprädiktivHigh
11TXXXXCAPEC-CWE-XXX, CWE-XXX7xx Xxxxxxxx XxxxxxxxprädiktivHigh
12TXXXXCAPEC-CWE-XXXXxxxxxxxxx XxxxxxprädiktivHigh
13TXXXXCAPEC-108CWE-XXXxx XxxxxxxxxprädiktivHigh
14TXXXXCAPEC-102CWE-XXX, CWE-XXX, CWE-XXXXxxxxxxxxxx XxxxxxxxxxprädiktivHigh
15TXXXXCAPEC-116CWE-XXXXxxxxxxxxx Xx Xxxxxxx Xxxxx Xxxxxxx Xxxxxxxxx XxxxxxxxxxxprädiktivHigh
16TXXXXCAPEC-CWE-XXXXxxxxxxxxxxxx XxxxxxprädiktivHigh
17TXXXX.XXXCAPEC-1CWE-XXXXxxxxxxxxx Xxxxxxxxxxxxxx Xx Xxxxxxxx Xxxx XxxxxxxxxprädiktivHigh

IOA - Indicator of Attack (112)

These indicators of attack list the potential fragments used for technical activities like reconnaissance, exploitation, privilege escalation, and exfiltration. This data is unique as it uses our predictive model for actor profiling.

IDKlasseIndicatorTypAkzeptanz
1File/.envprädiktivLow
2File/admin/comment.phpprädiktivHigh
3File/admin/index.phpprädiktivHigh
4File/api/v1/terminal/sessions/?limit=1prädiktivHigh
5File/blogprädiktivLow
6File/cgi-bin/login.cgiprädiktivHigh
7File/etc/postfix/sender_loginprädiktivHigh
8File/forum/away.phpprädiktivHigh
9File/lists/index.phpprädiktivHigh
10File/login.htmlprädiktivMedium
11File/mobilebroker/ServiceToBroker.svc/Json/ConnectprädiktivHigh
12File/newprädiktivLow
13File/secure/QueryComponent!Default.jspaprädiktivHigh
14File/xxxxxx?xxxxxx=xxxxxxxxxxxxprädiktivHigh
15File/xxxxxx.xxxprädiktivMedium
16File/xxxxxxx/xxxxxxxxxxxxxxxxxx.xxxxprädiktivHigh
17File/xxx/xxx/xxxxxprädiktivHigh
18File/xx-xxxxprädiktivMedium
19Filexxxxxxx.xxxprädiktivMedium
20Filexxx_xxxxx.xxxprädiktivHigh
21Filexxxxx/xxxxx.xxx?x=xxxxxxxx&x=xxxprädiktivHigh
22Filexxxxx/xxxxxx.xxx?xxxxxx=xxx_xxxxprädiktivHigh
23Filexxxxx/xxxxxxx/xxxxxxxxxxprädiktivHigh
24Filexxxxxxxx.xxxprädiktivMedium
25Filexxxx/xxxxxx/xxxxxx_xxxprädiktivHigh
26Filexxxx_xxxxxxxxxx.xprädiktivHigh
27Filexxx_xxxxxxx.xxxprädiktivHigh
28Filexxxxxx/xx_xxx.xprädiktivHigh
29Filexxxxx.xxxprädiktivMedium
30Filexxxxxxx_xxxxxxx.xxprädiktivHigh
31Filexxxx.xxxprädiktivMedium
32Filexxxxxxxxxxxx.xxxprädiktivHigh
33Filexxxxxxxx.xxprädiktivMedium
34Filexxxx/xxxxxxxxxxxxxxxxprädiktivHigh
35Filexx/xx_xxxxx.xprädiktivHigh
36Filexxxxxxxxxxxxxxxxxx.xxxprädiktivHigh
37Filexxxxxx_xxx_xxxx_xxxxx_xx_xxxxx.xprädiktivHigh
38Filexxxxxxxxxx/xxxxxxxxxx/xxxxxxxxx.xxxprädiktivHigh
39Filexxx/xxxxxx.xxxprädiktivHigh
40Filexxxxx.xxxprädiktivMedium
41Filexxxxxxxxxxxxx.xxxprädiktivHigh
42Filexxx/xxx_xxxxxxxxxx.xprädiktivHigh
43Filexxxxxx/xxxxxx.xprädiktivHigh
44Filexxxxxxxxxxx/xxxxx.xprädiktivHigh
45Filexxxxxxx/xxxxx/xx/xxxxxx/xxxxx.xxxxx.xxxprädiktivHigh
46Filexxxxxxxxx.xxxprädiktivHigh
47Filexxxxxxx.xxxprädiktivMedium
48Filexxxxxxx/xxxx_xxx_xxxxx.xxxprädiktivHigh
49Filexxxxxxx.xxxprädiktivMedium
50Filexxxxxxx.xxxprädiktivMedium
51Filexxxxxxx.xxxprädiktivMedium
52Filexxx/xxxxxx/xxxxxxxx/xxxxx/xxxxxxxxx.xxxxprädiktivHigh
53Filexxxxxxxxxxxxx.xxxprädiktivHigh
54Filexxxxx_xxxx.xprädiktivMedium
55Filexxxxxx/?x=xxxxx/\xxxxx\xxx/xxxxxxxxxxxxxx&xxxxxxxx=xxxx_xxxx_xxxx_xxxxx&xxxx[x]=xxxxxx&xxxx[x][]prädiktivHigh
56Filexxxxxxxx.xxxprädiktivMedium
57Filexxxx.xxxprädiktivMedium
58Filexxxxxxx.xxprädiktivMedium
59Filexxxxxxxx/xxxxx/xxxxxxxx?xxxxxxxxprädiktivHigh
60Filexx_xxx.xxprädiktivMedium
61Filexxxx-xxxxxx.xprädiktivHigh
62Filexxxxxx/xxxxxxx.xxxprädiktivHigh
63Filexxxx.xxprädiktivLow
64Filexxxx/xxxxxxxx/xxxxxxxx.xxxxprädiktivHigh
65Filexxxxxxx/xxxxxxxx_xxxx_xx_xxx.xprädiktivHigh
66Filexx-xxxx.xxxprädiktivMedium
67Filexx-xxxxxxxx/xxxxx-xx-xxxxx.xxxprädiktivHigh
68Filexx-xxxxxxxx/xxxxxxxxx.xxxprädiktivHigh
69Filexx-xxxxxxxx/xxxx.xxxprädiktivHigh
70Filexx-xxxxx.xxxprädiktivMedium
71File__xxxx_xxxxxxxx.xxxprädiktivHigh
72Libraryxxxxxxxxx.xxxprädiktivHigh
73Libraryxxx/xxxxxxxx.xxprädiktivHigh
74Libraryxxxxxxxx.xxxprädiktivMedium
75Libraryxxx.xxxprädiktivLow
76Libraryxxxxxx.xxxxx.xxxxxxxxprädiktivHigh
77ArgumentxxxxxxxxprädiktivMedium
78ArgumentxxxprädiktivLow
79Argumentxxxxxxxxxx_xxxxx_xxxxxxprädiktivHigh
80Argumentxxxxxxx_xxx/xxxxxprädiktivHigh
81ArgumentxxxxxprädiktivLow
82Argumentxxxx/xxxxxxxxxxprädiktivHigh
83ArgumentxxxxxxxxprädiktivMedium
84Argumentxxxx xxxxprädiktivMedium
85ArgumentxxxxprädiktivLow
86ArgumentxxxxprädiktivLow
87ArgumentxxprädiktivLow
88Argumentxx xxxxxxxprädiktivMedium
89ArgumentxxxprädiktivLow
90ArgumentxxxxxxxxxprädiktivMedium
91Argumentxxxxx_xxxxxx_xxx/xxxxx_xxxx_xxxxxxxxprädiktivHigh
92Argumentxxxxx_xxxxprädiktivMedium
93Argumentxxxx_xxprädiktivLow
94ArgumentxxxxxxxxprädiktivMedium
95ArgumentxxxxxxxxxxxxxprädiktivHigh
96Argumentxxxxxxxxx_prädiktivMedium
97ArgumentxxxxxxprädiktivLow
98ArgumentxxxprädiktivLow
99ArgumentxxxxprädiktivLow
100ArgumentxxxxxxxxprädiktivMedium
101ArgumentxxxprädiktivLow
102ArgumentxxxprädiktivLow
103Argumentxxxxxxxxxxxx[xxxx]prädiktivHigh
104Argumentx-xxxx-xxxxxprädiktivMedium
105Argument_x_xxxxxxxxxxprädiktivHigh
106Input Value@xxxxxxx.xxx.xxxxxxx.xxxprädiktivHigh
107Input Valuexxxx.xxx::$xxxxprädiktivHigh
108Input Valuexxxxx&#xx;xxxx:prädiktivHigh
109Input Value\xxx\xxxprädiktivMedium
110Network Portxxx/xx & xxx/xxxprädiktivHigh
111Network Portxxx/xxxxprädiktivMedium
112Network Portxxx/xxxxxprädiktivMedium

Referenzen (2)

The following list contains external sources which discuss the actor and the associated activities:

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!