#ParsedReport #CompletenessLow
10-06-2024

Malvertising Campaign Targets Windows Administrators Using PuTTy and WinSCP

https://socradar.io/malvertising-campaign-targets-windows-administrators-using-putty-and-winscp

Report completeness: Low

Threats:
Putty_tool
Typosquatting_technique

Victims:
Windows administrators, Putty users, Winscp users

ChatGPT TTPs:
do not use without manual check
T1072, T1204.001, T1204.002, T1078.003, T1036.004

Soft:
WinSCP

Algorithms:
zip

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1, table: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в распространенности и рисках вредоносных атак, нацеленных на администраторов Windows, которые используют такие важные инструменты, как PuTTY и WinSCP. В тексте рассказывается о том, как работают вредоносные атаки, как злоумышленники используют уязвимости в популярных приложениях, и даются рекомендации по защите от таких угроз. В нем подчеркивается важность постоянного информирования и принятия упреждающих мер безопасности для снижения рисков, связанных с вредоносными рекламными атаками.
-----

В сегодняшнем постоянно меняющемся мире цифровой безопасности одной из самых коварных киберугроз является вредоносная реклама - тактика, которая заключается во внедрении вредоносного программного обеспечения в онлайн-рекламу, предназначенную для ничего не подозревающих пользователей, когда они просматривают Интернет. Администраторы Windows, которые в значительной степени полагаются на средства безопасной связи и передачи файлов, такие как PuTTY и WinSCP, все чаще становятся объектами вредоносных атак из-за популярности и важности этих инструментов.

Вредоносные рекламные атаки - это изощренные формы киберпреступности, которые используют рекламные сети Онлайн для распространения вредоносных программ. Злоумышленники получают доступ к законным рекламным сетям, либо выдавая себя за настоящих рекламодателей, либо напрямую взламывая сетевую инфраструктуру. Оказавшись внутри, они создают обманчивую рекламу, которая кажется пользователям законной и привлекательной, включая баннеры, всплывающие окна и видеорекламу, предназначенные для того, чтобы обманом заставить пользователей перейти по ним.

Вредоносная реклама содержит скрытый код, который может перенаправлять пользователей на зараженные веб-сайты или загружать вредоносное ПО на их устройства, используя уязвимости в популярных приложениях, таких как PuTTY и WinSCP. Нацеливаясь на определенные уязвимости в программном обеспечении, злоумышленники повышают свои шансы на успешное заражение, сводя к минимуму вероятность обнаружения.

Недавняя рекламная кампания, нацеленная на пользователей PuTTY и WinSCP, продемонстрировала, как киберпреступники использовали тактику обмана, чтобы заманить жертв к загрузке троянских программ с поддельных сайтов загрузки. Создавая поддельные веб-сайты, имитирующие официальные страницы загрузки программного обеспечения, и используя домены с опечатками, чтобы казаться подлинными, злоумышленники направляли пользователей, которые искали загрузки PuTTY или WinSCP, на вредоносные сайты с помощью онлайн-рекламы. Троянские установщики содержали программы-вымогатели и другие вредоносные программы, которые при запуске могли привести к серьезной потере данных и сбоям в работе затронутых систем.

Для защиты пользователей PuTTY и WinSCP от вредоносных атак может быть предпринято несколько важных мер. К ним относятся использование комплексного программного обеспечения для обеспечения безопасности, постоянное обновление программного обеспечения, осторожность при работе с онлайн-рекламой, включение блокировщиков рекламы и практика безопасного просмотра веб-страниц. Средства блокировки рекламы играют важную роль в защите от вредоносных рекламных атак, отфильтровывая потенциально вредоносную рекламу из ненадежных источников.

Администраторам Windows важно осознавать риски, связанные с вредоносными рекламными атаками, направленными на PuTTY и WinSCP, и внедрять упреждающие меры безопасности для устранения этих угроз. Будучи в курсе меняющейся тактики киберпреступников и применяя ответственный за безопасность подход к онлайн-активности, администраторы могут использовать возможности PuTTY и WinSCP, сводя к минимуму свою уязвимость перед вредоносными атаками.

#ParsedReport #CompletenessHigh
10-06-2024

Technical Analysis of the Latest Variant of ValleyRAT

https://www.zscaler.com/blogs/security-research/technical-analysis-latest-variant-valleyrat

Report completeness: High

Actors/Campaigns:
Silver_fox

Threats:
Valleyrat
Dll_sideloading_technique
Process_injection_technique

Geo:
Chinese, China

TTPs:
Tactics: 1
Technics: 13

IOCs:
File: 9
Path: 3
IP: 1
Registry: 2
Hash: 28
Url: 20

Soft:
Microsoft Word

Algorithms:
md5, rc4, xor, zip

Win API:
SHCreateStreamOnFileEx, SetThreadContext, ResumeThread, InternetReadFile, CreateToolhelp32Snapshot, rectangle, StretchBlt, ClearEventLogW

Languages:
python

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ValleyRAT - это сложный троян удаленного доступа (RAT), который был недавно обнаружен в ходе кампании, связанной с базирующимся в Китае злоумышленником. RAT постоянно обновляется, и в последней версии появились новые команды и усовершенствования в области снятия отпечатков пальцев с устройств, генерации идентификаторов ботов и методов уклонения. Цепочка атак включает в себя несколько этапов, при этом вредоносная программа использует различные методы, такие как дополнительная загрузка библиотек DLL и внедрение процессов, для обеспечения постоянства и взаимодействия с сервером управления (C2). Обнаружение и мониторинг ValleyRAT осуществляются Zscaler ThreatLabZ, что позволяет выявить постоянную угрозу, исходящую от этого сложного вредоносного ПО.
-----

ValleyRAT - это троян для удаленного доступа (RAT), впервые обнаруженный в начале 2023 года, предназначенный для проникновения в системы и предоставления злоумышленникам несанкционированного доступа и контроля над зараженными машинами. Обычно он распространяется с помощью фишинговых электронных писем или вредоносных загрузок. В последней версии ValleyRAT появились новые команды, такие как создание скриншотов, фильтрация процессов, принудительное завершение работы и очистка журналов событий Windows. Zscaler ThreatLabZ раскрыл новую кампанию, в рамках которой была выпущена последняя версия ValleyRAT, связанная с разработчиком угроз из Китая.

Кампания включает в себя несколько этапов, при этом первоначальный загрузчик использует файловый сервер HTTP (HFS) для получения необходимых файлов для последующих атак. Используются такие методы, как антивирусная проверка, дополнительная загрузка библиотек DLL и внедрение процессов. Загрузчик извлекает конфигурационные данные для связи с сервером управления (C2), идентифицируя IP-адрес, порт и информацию о протоколе. Изменения в последней версии ValleyRAT включают в себя усовершенствование функции снятия отпечатков пальцев с устройства, изменение идентификатора бота и обновление поддерживаемых команд.

Цепочка атак иллюстрирует развитие ValleyRAT, показывая, как загрузчик извлекает файлы с сервера HFS. Вредоносная программа загружает дополнительные файлы, удаляет определенные каталоги и пытается выполнить WINWORD2013.EXE с правами администратора, что приводит ко второму этапу. WINWORD2013.EXE используется для дополнительной загрузки вредоносной библиотеки DLL (wwlib.dll) для продолжения цепочки атак путем расшифровки и внедрения шелл-кода в svchost.exe.

Постоянство устанавливается путем добавления WINWORD2013.EXE к ключам автоматического запуска и настройки атрибутов для скрытия файлов. Шелл-код, введенный в svchost.exe, динамически разрешает API, устанавливает соединение с сервером C2 и загружает последующие этапы вредоносного ПО. Шеллкод использует алгоритм хэширования, распознает API и загружает встроенную библиотеку DLL из данных C2 в память, выполняя определенные функции и анализ конфигурации.

Последняя полезная нагрузка, ValleyRAT, приписываемая Великому вору Долины (Серебряной лисе), демонстрирует улучшения в снятии отпечатков пальцев с устройств, генерации идентификаторов ботов и вводит новые команды. Китайский агент по борьбе с угрозами постоянно обновляет RAT, чтобы получать скриншоты, манипулировать системными событиями и обходить решения по обеспечению безопасности с помощью сложного многоэтапного процесса. Облачная песочница Zscaler эффективно выявляет эти кампании и варианты, продолжая отслеживать и делиться информацией с сообществом кибербезопасности.

#ParsedReport #CompletenessLow
11-06-2024

Update: CVE-2024-4577 quickly weaponized to distribute "TellYouThePass" Ransomware

https://www.imperva.com/blog/update-cve-2024-4577-quickly-weaponized-to-distribute-tellyouthepass-ransomware

Report completeness: Low

Threats:
Tellyouthepass
Log4shell_vuln

CVEs:
CVE-2023-46604 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)

CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (<2.3.1, <2.12.2, <2.15.0, 2.0)

CVE-2024-4577 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- php (<8.1.29, <8.2.20, <8.3.8)

CVE-2024-3577 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1059.005, T1027, T1071.001, T1036.005, T1486

IOCs:
File: 3
IP: 1
Hash: 3
Coin: 1
Url: 1

Soft:
Apache Log4j

Crypto:
bitcoin

Algorithms:
base64

Functions:
ReadMe

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в использовании злоумышленниками новой уязвимости PHP, CVE-2024-4577, для распространения программы-вымогателя TellYouThePass. Кампания развивалась таким образом, чтобы предоставлять образцы .NET с помощью HTML-приложений, а программа-вымогатель выполняла различные вредоносные задачи, включая шифрование файлов и взаимодействие с сервером управления. В тексте подчеркивается необходимость принятия надежных мер кибербезопасности и своевременного сбора информации об угрозах для снижения рисков, связанных с такими атаками.
-----

Компания Imperva Threat Research недавно сообщила об активности злоумышленников, использующих новую уязвимость в PHP, CVE-2024-4577. С 8 июня злоумышленники использовали эту уязвимость для распространения вредоносного ПО, связанного с кампанией по вымогательству "TellYouThePass". TellYouThePass - это программа-вымогатель, которая с 2019 года нацелена на компании и частных лиц в системах Windows и Linux. Он обычно использует такие уязвимости, как CVE-2021-44228 (Apache Log4j) и CVE-2023-46604.

Атаки с использованием CVE-2024-4577 включают в себя различные кампании, такие как попытки загрузки WebShell и развертывание программ-вымогателей на целевых системах. Злоумышленники используют эту уязвимость для выполнения произвольного PHP-кода на целевом сервере, используя "системную" функцию для запуска файла HTML-приложения, размещенного на сервере, контролируемом злоумышленником, с помощью двоичного файла mshta.exe. Это отражает тактику работы в стиле "жить за пределами земли", чтобы избежать обнаружения.

Компания Imperva Threat Research оперативно получила и проанализировала образец вредоносного HTML-приложения (HTA), связанного с этими атаками. Кампания по борьбе с программами-вымогателями развивалась на протяжении многих лет и в настоящее время приносит свои результаты.Образцы СЕТИ, полученные с помощью HTML-приложений. Процесс заражения начинается с HTA-файла (dd3.hta), содержащего вредоносный VBScript со строкой в кодировке base64, загружающей двоичные байты в память во время выполнения. Анализ исполняемого файла выявил .NET-версию программы-вымогателя TellYouThePass с основными функциональными возможностями.

После запуска программа-вымогатель отправляет HTTP-запросы на сервер управления (C2), уведомляя его о заражении и маскируя обратный вызов как запрос ресурсов CSS, что, вероятно, позволит избежать обнаружения. IP-адрес C2 в примере жестко задан и относительно неизвестен. Затем программа-вымогатель выполняет такие задачи, как перечисление каталогов, завершение процессов, генерация ключей шифрования и шифрование файлов с определенными расширениями. В заключение в корневом каталоге веб-сайта публикуется файл "READ_ME10.html", содержащий инструкции по получению ключа дешифрования.

Вскоре после обнаружения Imperva Threat Research провела мониторинг дискуссий об этой программе-вымогателе на различных онлайн-платформах, таких как компьютерные форумы Bleeping. Эволюция кампании, тактика и использование уязвимостей подчеркивают постоянный и эволюционирующий характер киберугроз, нацеленных как на предприятия, так и на частных лиц в различных операционных системах.

Кампания по борьбе с программами-вымогателями TellYouThePass проводится с 2019 года и постоянно адаптируется для использования новых уязвимостей, подчеркивая необходимость принятия надежных мер кибербезопасности и своевременного сбора информации об угрозах для снижения рисков, связанных с такими атаками. Организациям и частным лицам настоятельно рекомендуется устранять известные уязвимости, внедрять передовые методы обеспечения безопасности и быть в курсе возникающих киберугроз, чтобы защитить себя от атак программ-вымогателей и других вредоносных действий.

#ParsedReport #CompletenessMedium
12-06-2024

Insights on Cyber Threats Targeting Users and Enterprises in Brazil

https://cloud.google.com/blog/topics/threat-intelligence/cyber-threats-targeting-brazil

Report completeness: Medium

Actors/Campaigns:
Unc4841 (motivation: cyber_espionage)
Unc4899 (motivation: government_sponsored)
Paektusan (motivation: government_sponsored)
Dream_job (motivation: government_sponsored)
Pronto (motivation: government_sponsored, cyber_espionage)
Fancy_bear
Unc5176
Ransomhub
Pineapple (motivation: financially_motivated)
Fluxroot (motivation: financially_motivated)

Threats:
Agamemnon
Credential_harvesting_technique
Gopix
Astaroth
Grandoreiro

Victims:
Military, National government, Diplomatic organizations, Provincial governments, Brazilian cryptocurrency professionals, Brazilian aerospace and defense industry, Diplomats, Financial services, Technology, Healthcare, have more...

Industry:
Healthcare, Financial, E-commerce, Government, Military, Retail, Energy, Education, Aerospace

Geo:
China, Brazilian, Russian, Russia, Korea, Ukrainian, Chinese, American, Portuguese, Spanish, Ukraine, Brazil, Korean, America, Brasil

CVEs:
CVE-2022-41352 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zimbra collaboration (8.8.15, 9.0.0)


ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1105, T1136, T1071.004, T1078.003, T1078.002, T1190

IOCs:
Email: 2
Hash: 2
File: 2

Soft:
Chrome, Android, Gmail, Zimbra Collaboration Suite, WhatsApp, Telegram

Algorithms:
zip

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Бразилия сталкивается со сложным ландшафтом киберугроз, в котором сочетаются глобальные и локальные угрозы, направленные против отдельных лиц, организаций и критически важных секторов. Участники глобальных угроз, в том числе из Китая, России и Северной Кореи, занимаются кибершпионажем в Бразилии, в то время как внутренние киберпреступные рынки проводят атаки с финансовой мотивацией, такие как программы-вымогатели, кража данных и фишинг учетных данных. Сотрудничество между такими организациями, как Google и Mandiant, наряду с активными стратегиями кибербезопасности, необходимы для устранения этих развивающихся угроз и защиты предприятий и пользователей в Бразилии.
-----

Бразилия сталкивается со сложной ситуацией, связанной с киберугрозами, глобальными и локальными угрозами, направленными против отдельных лиц, организаций и критически важных секторов.

Заметная деятельность по кибершпионажу в Бразилии осуществлялась поддерживаемыми правительством группами из таких стран, как Китай, Россия и Северная Корея.

В Бразилии растет число программ-вымогателей и краж данных, что создает серьезные проблемы в области кибербезопасности.

Внутренние рынки киберпреступности в Бразилии занимаются такими видами деятельности, как захват счетов, кардинг, мошенничество и внедрение банковских вредоносных программ.

Угрозы с финансовой подоплекой представляют постоянную опасность для бразильских пользователей, поскольку подпольные форумы предлагают услуги по компрометации учреждений и частных лиц.

Злоумышленники используют платежные платформы для конкретных стран, такие как Pix, для нацеливания на жертв посредством распространения вредоносного ПО.

PINEAPPLE group нацелена на бразильских пользователей, злоупотребляя законными облачными сервисами для распространения вредоносных программ и применяя тактику, позволяющую избежать обнаружения.

UNC5176 распространяет вредоносное ПО, нацеленное на пользователей в Латинской Америке, включая Бразилию, с целью кражи учетных данных для входа в систему с банковских и криптовалютных веб-сайтов.

В Бразилии широко распространен фишинг с использованием учетных данных, а FLUXROOT распространяет банковские вредоносные программы, такие как Grandoreiro.

Сотрудничество между такими организациями, как Google и Mandiant, имеет решающее значение для анализа и устранения киберугроз в Бразилии.

Google применяет меры безопасности в таких продуктах, как Chrome OS и Android, для защиты от киберугроз, рекомендуя улучшенный безопасный просмотр веб-страниц в Chrome и регулярные обновления устройств.

#ParsedReport #CompletenessLow
13-06-2024

Beware of HTML Masquerading as PDF Viewer Login Pages

https://www.forcepoint.com/blog/x-labs/html-phishing-pdf-viewer-login-apac

Report completeness: Low

Victims:
Government departments

Industry:
Financial, Government

Geo:
Apac

ChatGPT TTPs:
do not use without manual check
T1027

IOCs:
File: 9
Url: 3
Email: 1
Hash: 1

Algorithms:
sha1

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фишинговые атаки, особенно изощренные, нацеленные на правительственные ведомства в Азиатско-Тихоокеанском регионе, используют вводящие в заблуждение электронные письма, чтобы обманом заставить пользователей разгласить личную информацию. В тексте подчеркивается использование запутанного кода в этих фишинговых письмах для сбора учетных данных пользователей и перенаправления их на вредоносные URL-адреса. В нем подчеркивается важность осторожности пользователей, сообщения о подозрительных действиях и роль исследователей безопасности в борьбе с киберугрозами. Кроме того, упоминается, что клиенты Forcepoint защищены от этих фишинговых угроз на различных этапах атаки.
-----

Фишинговые атаки становятся все более изощренными с использованием ложных электронных писем, маскирующихся под страницы входа в систему просмотра PDF, чтобы обманом заставить пользователей раскрыть свою личную информацию. Компания Forcepoint X-Labs обнаружила значительное количество фишинговых электронных писем, адресованных правительственным учреждениям в Азиатско-Тихоокеанском регионе, что представляет серьезную угрозу онлайн-безопасности. Эти фишинговые электронные письма, как правило, приходят от отправителя с указанным адресом hachemi52d31@live.fr.

При дальнейшем изучении HTML-кода этих фишинговых писем были обнаружены скрытые теги и запутанный JavaScript. Запутанный код, по-видимому, представляет собой попытку сбора учетных данных пользователя путем проверки введенных данных, обработки отправленных форм и взаимодействия с внутренним сервером с помощью AJAX. В конечном счете, этот код разработан по злому умыслу, перенаправляя пользователей на указанные URL-адреса при определенных условиях.

Крайне важно, чтобы пользователи проявляли осторожность при столкновении с такими попытками фишинга и избегали ввода личной информации на подозрительных веб-сайтах. В случае обнаружения таких кодов следует сообщать в соответствующие органы для предотвращения дальнейших атак. Клиенты Forcepoint защищены от этих угроз на различных этапах атаки, включая разведку, заманивание, перенаправление и вызов на дом, на которых собираются адреса электронной почты, по электронной почте доставляются HTML-файлы, а учетные данные отправляются на фишинговые URL-адреса.

Сайед Хассан Файзан, исследователь по безопасности в исследовательской группе Forcepoint X-Labs, специализируется на изучении кибератак, направленных на безопасность Интернета и электронной почты, уделяя особое внимание анализу URL-адресов и расследованию вредоносных кампаний. Его приверженность пониманию киберугроз и борьбе с ними подчеркивает важность бдительности и упреждающих мер для защиты от фишинговых атак.

#ParsedReport #CompletenessLow
12-06-2024

Gh0st and Pantegana: Two RATs that Refuse to Fade Away

https://hunt.io/blog/gh0st-and-pantegana-two-rats-that-refuse-to-fade-away

Report completeness: Low

Actors/Campaigns:
Driftingcloud

Threats:
Gh0st_rat
Pantegana
Shadowpad
Lightspy
Anydesk_tool
Dcrat
Cobalt_strike

Victims:
Healthcare organization

Industry:
Healthcare, Telco

Geo:
Pacific, Chinese, Asia, Taiwan

ChatGPT TTPs:
do not use without manual check
T1219, T1071.003, T1078.003

IOCs:
IP: 13
Hash: 3

Soft:
macOS

Languages:
golang

Platforms:
cross-platform

Links:
https://github.com/cassanof/pantegana
https://github.com/qwqdanchun/DcRat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в постоянной угрозе, исходящей от Gh0st RAT и Pantegana RAT, двух инструментов удаленного доступа/троянских программ, которые продолжают использоваться злоумышленниками, несмотря на то, что в последнее время им уделяется меньше внимания. В анализе рассматриваются история, характеристики, возможности, недавние инциденты и методы обнаружения, связанные с этими семействами вредоносных программ, подчеркивается необходимость постоянного мониторинга и анализа для борьбы с киберугрозами, создаваемыми этими вредоносными программами.
-----

Gh0st RAT и Pantegana RAT представляют собой постоянные угрозы в киберпространстве, а Gh0st RAT известна своей адаптивностью и широким использованием в кибершпионаже с начала 2000-х годов.

Pantegana RAT - это новая разработка, ботнет с открытым исходным кодом, разработанный в Golang и способный воздействовать на системы под управлением Windows, Linux и macOS посредством HTTPS-связи с сервером управления (C2).

Pantegana поддерживает различные функции, такие как прямое выполнение команд, управление несколькими сеансами, передача файлов и снятие отпечатков пальцев с системы, что делает ее универсальным и ценным инструментом для злоумышленников, осуществляющих вредоносную деятельность.

Недавние инциденты показали, что Gh0st RAT и Pantegana используются в сложных киберкампаниях, когда злоумышленники используют индивидуальные сертификаты TLS, чтобы избежать обнаружения и повысить оперативную безопасность.

Исследователи безопасности в ходе недавних проверок обнаружили ограниченное количество экземпляров инфраструктуры Gh0st и Pantegana, что позволяет предположить, что злоумышленники, возможно, перешли на другие инструменты или платформы, внеся незначительные изменения в исходный код, сетевые коммуникации и сертификаты TLS для снижения видимости.

Детальный анализ инфраструктуры Gh0st и Pantegana RATs выявил индикаторы и сертификаты, используемые участниками угроз для сокрытия своих операций, что подчеркивает важность постоянного мониторинга и анализа для противодействия развивающимся угрозам, исходящим от RATs.

#ParsedReport #CompletenessLow
13-06-2024

Phishing with Cloudflare Workers: Transparent Phishing and HTML Smuggling

https://www.netskope.com/blog/phishing-with-cloudflare-workers-transparent-phishing-and-html-smuggling

Report completeness: Low

Threats:
Transparent_phishing_technique
Smuggling_technique
Azorult
Aitm_technique
Mitm_technique

Industry:
Financial

Geo:
America, Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1090.002, T1027.001, T1110.001

IOCs:
Url: 4174

Soft:
Gmail, cPanel, Cloudflare R2

Algorithms:
base64

Functions:
createObjectURL, click, addEventListener

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Phishing/CloudflareWorkers