#ParsedReport #CompletenessLow
13-06-2024

Phishing with Cloudflare Workers: Transparent Phishing and HTML Smuggling

https://www.netskope.com/blog/phishing-with-cloudflare-workers-transparent-phishing-and-html-smuggling

Report completeness: Low

Threats:
Transparent_phishing_technique
Smuggling_technique
Azorult
Aitm_technique
Mitm_technique

Industry:
Financial

Geo:
America, Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1090.002, T1027.001, T1110.001

IOCs:
Url: 4174

Soft:
Gmail, cPanel, Cloudflare R2

Algorithms:
base64

Functions:
createObjectURL, click, addEventListener

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Phishing/CloudflareWorkers

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговые кампании, в которых задействованы Cloudflare Workers, включают контрабанду HTML и прозрачные методы фишинга для кражи конфиденциальной информации, нацеленной на пользователей по всему миру в различных секторах. Злоумышленники используют бесплатные облачные сервисы для размещения вредоносного контента, а лаборатория Netskope Threat Labs отмечает рост числа вредоносных приложений и доменов. Использование Cloudflare Workers позволяет избежать обнаружения и выполнять полезную нагрузку, подчеркивая необходимость постоянного совершенствования защиты от этих угроз.
-----

Фишинговые кампании, использующие Cloudflare Workers, вызывают все большую озабоченность у Netskope Threat Labs.

Злоумышленники используют два различных метода: контрабанду HTML-кода для загрузки вредоносного ПО и прозрачный фишинг для получения конфиденциальной информации, такой как учетные данные, файлы cookie и токены.

Кампании нацелены на технологический, финансовый и банковский секторы с акцентом на учетные данные для входа в систему Microsoft, Gmail, Yahoo Mail и веб-почту cPanel.

Злоумышленники обычно используют бесплатные облачные сервисы для размещения вредоносного контента, а облачные приложения уязвимы для злоупотреблений.

Значительный рост посещаемости фишинговых страниц, размещенных на Cloudflare, наблюдался во втором квартале 2023 года, достигнув своего пика в четвертом квартале 2023 года, когда тысячи пользователей Netskope ежеквартально сталкивались с вредоносным контентом.

Контрабандный HTML-код используется для доставки фишинговых страниц путем встраивания вредоносной полезной информации в безопасные веб-страницы.

Традиционные методы фишинга требуют обновлений, чтобы обойти многофакторную аутентификацию, в то время как прозрачный фишинг собирает и пересылает аутентификационные данные жертвы в целевое приложение.

Лаборатория Netskope Threat Labs воспроизвела прозрачные фишинговые страницы для улучшения механизмов защиты и продолжит мониторинг вредоносной активности Cloudflare и сообщать о ней.

Привет. Третий доклад в копилку 🗳️ второго CTI Meetup

🎤 Тема выступления: "CTI с позиции рисков ИБ"
Докладчик Сергей Муралев, занимается управлением рисками ИБ в банке.

☝️В своем докладе Сергей расскажет зачем заниматься CTI рисковикам, какую пользу это несёт в целом для компании и для безопасности отдельных инициатив бизнеса. А так же о влиянии на приоритизацию различных задач ИБ.

#ParsedReport #CompletenessLow
13-06-2024

Ransomware Attackers May Have Used Privilege Escalation Vulnerability as Zero-day

https://symantec-enterprise-blogs.security.com/threat-intelligence/black-basta-ransomware-zero-day

Report completeness: Low

Actors/Campaigns:
Storm_1811
Unc4393

Threats:
Blackbasta
Qakbot
Screenconnect_tool

CVEs:
CVE-2024-26169 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20526)
- microsoft windows 10 1607 (<10.0.14393.6796)
- microsoft windows 10 1809 (<10.0.17763.5576)
- microsoft windows 10 21h2 (<10.0.19044.4170)
- microsoft windows 10 22h2 (<10.0.19045.4170)
have more...

ChatGPT TTPs:
do not use without manual check
T1068, T1036, T1486

IOCs:
File: 1
Registry: 1
Hash: 6

Soft:
Windows Error Reporting

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: киберпреступная группа Cardinal, также известная как Storm-1811 и UNC4393, подозревается в использовании уязвимости повышения привилегий Windows, CVE-2024-26169, в качестве "нулевого дня" в недавних атаках с использованием программы-вымогателя Black Basta. Несмотря на то, что Microsoft исправила уязвимость, анализ показывает, что инструмент эксплойта, используемый при атаках, возможно, был скомпилирован до внесения исправлений, что указывает на потенциальную возможность использования с нулевого дня. Команда Symantec Threat Hunter расследовала неудачную атаку программ-вымогателей, приписываемую группе Cardinal, тактика которой очень напоминает тактику Black Basta. Этот инцидент подчеркивает настойчивость Cardinal в поиске жертв и совершенствовании своих методов после уничтожения ботнета Qakbot.
-----

Киберпреступная группа Cardinal, также известная как Storm-1811 и UNC4393, была связана с программой-вымогателем Black Basta. Недавние данные свидетельствуют о том, что злоумышленники, возможно, воспользовались уязвимостью CVE-2024-26169, связанной с повышением привилегий Windows, в качестве "нулевого дня". Эта уязвимость, присутствующая в службе отчетов об ошибках Windows, позволяет злоумышленникам повысить свои привилегии в уязвимых системах. Хотя корпорация Майкрософт исправила эту уязвимость 12 марта 2024 года, анализ эксплойт-инструмента, использовавшегося при недавних атаках, показывает, что он мог быть скомпилирован до установки исправления, что указывает на потенциальное использование уязвимости с нулевого дня по крайней мере одной группой.

Команда Symantec Threat Hunter расследовала недавнюю попытку атаки программ-вымогателей, в ходе которой был применен эксплойт. Несмотря на то, что злоумышленникам не удалось внедрить программу-вымогатель в ходе этого конкретного инцидента, их тактика, методы и процедуры (TTP) были очень похожи на те, что были связаны с программой-вымогателем Black Basta. Эти TTP включали использование пакетных сценариев, замаскированных под обновления программного обеспечения. Сходство в TTP убедительно указывает на то, что это была неудавшаяся атака Black Basta.

Программа-вымогатель Black Basta была запущена компанией Cardinal в апреле 2022 года и изначально была связана с ботнетом Qakbot в качестве основного источника заражения. Qakbot был известным ботнетом для распространения вредоносных программ, пока не был удален, что привело к снижению активности Black Basta. Однако с тех пор "Кардинал" возобновил атаки, что свидетельствует о том, что они упорно нацеливаются на потенциальных жертв и используют различные методы для получения доступа.

#ParsedReport #CompletenessLow
14-06-2024

Cisco Talos Blog. How we can separate botnets from the malware operations that rely on them

https://blog.talosintelligence.com/threat-source-newsletter-june-13-2024

Report completeness: Low

Actors/Campaigns:
Volt_typhoon
Cosmic_leopard (motivation: cyber_espionage)

Threats:
Icedid
Trickbot
Smokeloader
Gravity_rat
Heavylift
Spear-phishing_technique
Kuaibu8
Scar

Victims:
Snowflake, Ticketmaster, Santander bank, Lending tree, Hospitals, General practitioners offices, Synnovis

Industry:
Government, Healthcare, Financial

Geo:
Poland, Pakistani, Usa, England, London

ChatGPT TTPs:
do not use without manual check
T1078, T1110.001, T1078, T1083, T1566.001

IOCs:
Hash: 10
File: 5

Soft:
Windows Hello

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста сосредоточена на недавних событиях в области кибербезопасности, связанных со сбоями в работе ботнетов, затрагивающими основных участников угроз и семейства вредоносных программ, существенной утечке данных, затронувшей поставщика облачных хранилищ Snowflake, и кибератаке на больницы в Лондоне. В тексте также обсуждается операция по кибершпионажу, приписываемая пакистанской группе исполнителей угроз, известной как "Космический леопард"..
-----

Недавние сбои в работе ботнетов затронули основных участников угроз и семейства вредоносных программ, таких как банковский троян IcedID, программа-вымогатель Trickbot и вредоносный загрузчик Smokeloader.

Сбои в работе ботнетов не обязательно приводят к полному прекращению работы участников угроз, но могут препятствовать их способности осуществлять вредоносные действия.

Удаление устройств из ботнетов нарушает возможности злоумышленников, но не исключает использования конечных полезных программ, таких как программы-вымогатели.

Ботнеты используются для различных целей, включая рассылку спама по электронной почте, проведение DDoS-атак, целенаправленных сетевых вторжений и финансовых краж.

Утечка данных, затронувшая провайдера облачных хранилищ Snowflake, может стать одним из крупнейших событий в области безопасности за всю историю. Исследователи в области безопасности заявляют, что киберпреступники, мотивированные финансовыми соображениями, похитили значительный объем данных у сотен клиентов.

Специалисты по реагированию на инциденты обнаружили, что злоумышленники использовали украденные учетные данные для доступа к экземплярам Snowflake клиентов и кражи ценных данных.

Устранение последствий кибератаки, затронувшей несколько крупных больниц в Лондоне, может занять несколько месяцев, что затронет 2 миллиона пациентов.

Операция с использованием GravityRAT, вредоносного ПО для Android, и загрузчика вредоносных программ для Windows, известного как "HeavyLift", приписываемого пакистанской группе злоумышленников, известной как "Космический леопард", была сосредоточена на шпионаже и слежке.

Cosmic Leopard нацелен на высокопоставленных лиц, используя мобильное вредоносное ПО для шпионажа, шпионской рассылки электронных писем и попыток фишинга в социальных сетях.

#ParsedReport #CompletenessMedium
14-06-2024

Operation Celestial Force employs mobile and desktop malware to target Indian entities. Operation Celestial Force: A multi-campaign, multi-component infections operation

https://blog.talosintelligence.com/cosmic-leopard

Report completeness: Medium

Actors/Campaigns:
Celestial_force (motivation: cyber_espionage)
Cosmic_leopard (motivation: cyber_espionage)
Transparenttribe

Threats:
Gravity_rat
Heavylift
Spear-phishing_technique
Findzip
Foxtrot

Industry:
Government

Geo:
Pakistani, Indian, Quebec, India

ChatGPT TTPs:
do not use without manual check
T1071.001, T1070.004, T1053.005, T1566.002, T1071.003, T1057, T1218.005

IOCs:
Domain: 20
Command: 1
Hash: 17
Url: 45

Soft:
Android, macOS, crontab, VirtualBox

Algorithms:
zip

Languages:
javascript

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/06

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном анализе новой вредоносной кампании под названием "Операция Celestial Force", проводимой злоумышленниками, известными как "Космический леопард", базирующимися в Пакистане. Операция предполагает использование множества вредоносных программ, таких как GravityRAT и HeavyLift, нацеленных на индийские предприятия оборонного, государственного и смежных технологических секторов. Операция демонстрирует сходство с другой группой APT под названием Transparent Tribe и использует различные тактики, методы и виктимологию для ведения шпионажа и слежки, используя фишинг и социальную инженерию в качестве основных переносчиков инфекции. Анализ показывает эволюцию и постоянное совершенствование GravityRAT, нацеленного на устройства Android, а также использование вредоносных программ для распространения HeavyLift.
-----

Cisco Talos раскрыла вредоносную кампанию, известную как "Операция Celestial Force", в которой использовались вредоносные программы GravityRAT и HeavyLift, нацеленные на индийские компании.

Операция связана с группой исполнителей угроз под названием "Космический леопард", базирующейся в Пакистане и занимающейся шпионской деятельностью.

Кампания похожа на другую группу под названием Transparent Tribe и использует для атак социальную инженерию и точечный фишинг.

Компоненты операции включают GravityRAT, HeavyLift и GravityAdmin, управляющие различными панелями кампании.

GravityRAT, изначально предназначенный для Windows, был расширен для устройств на базе Android и обладает расширенными возможностями шпионажа в отношении индийских организаций.

#ParsedReport #CompletenessHigh
13-06-2024

DISGOMOJI Malware Used to Target Indian Government

https://www.volexity.com/blog/2024/06/13/disgomoji-malware-used-to-target-indian-government

Report completeness: High

Actors/Campaigns:
Uta0137 (motivation: cyber_espionage)
Sidecopy

Threats:
Disgomoji
Discord-c2
Dirty_pipe_vuln
Upx_tool
Wan_conf_tool
Nmap_tool
Chisel_tool
Ligolo
Zenity_tool

Victims:
Government entities

Industry:
Government

Geo:
Pakistani, India, Pakistan, Indian

CVEs:
CVE-2022-0847 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux kernel (<5.10.102, <5.15.25, <5.16.11)


TTPs:

ChatGPT TTPs:
do not use without manual check
T1543.001, T1053.003, T1059.004, T1071.001, T1105, T1567.002, T1210, T1140, T1562.001

IOCs:
File: 10
Domain: 105
Url: 2
IP: 5
Hash: 45

Soft:
Discord, crontab, Volexity Volcano

Algorithms:
md5, zip

Languages:
golang

Links:
https://github.com/sysdream/ligolo
https://github.com/AlexisAhmed/CVE-2022-0847-DirtyPipe-Exploits
https://github.com/bmdyy/discord-c2
https://github.com/volexity/threat-intel/blob/main/2024/2024-06-13%20DISGOMOJI/indicators/iocs.csv
https://github.com/jpillora/chisel
https://github.com/volexity/threat-intel/blob/main/2024/2024-06-13%20DISGOMOJI/indicators/rules.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии Volexity информации об операции кибершпионажа, проведенной предполагаемым злоумышленником, известным как UTA0137, базирующимся в Пакистане, целью которой были правительственные учреждения в Индии с использованием сложного вредоносного ПО DISGOMOJI. Вредоносное ПО использует серверы Discord для командной и контрольной связи, демонстрирует механизмы сохранения, использует уязвимости, такие как DirtyPipe, для повышения привилегий и использует различные тактики, включая утечку данных, оперативную адаптацию, обман и социальную инженерию, для компрометации важных целей.
-----

Недавно компания Volexity раскрыла информацию об операции кибершпионажа, проведенной предполагаемым злоумышленником, известным как UTA0137, который, как полагают, базируется в Пакистане. Эта кампания была направлена против правительственных учреждений в Индии с использованием сложного вредоносного ПО DISGOMOJI. Разработанный на Golang и адаптированный для платформ Linux, DISGOMOJI представляет собой вариант платформы discord-c2, использующий серверы Discord для обмена данными между командами и контролем (C2). Примечательно, что вредоносная программа демонстрирует механизмы сохранения, используя задания cron и способность выдерживать перезагрузки системы.

Успешная деятельность UTA0137 в основном сосредоточена на предприятиях в Индии, особенно на тех, которые используют дистрибутив BOSS Linux. Чтобы расширить свои возможности, злоумышленник использует эксплойт повышения привилегий DirtyPipe для систем, работающих под управлением "BOSS 9", что свидетельствует о стратегическом подходе к компрометации важных целей. Кроме того, UTA0137 использует скрипт с именем UEVENT_SEQNUM.sh для извлечения файлов с подключенных USB-устройств в целях эксфильтрации.

Анализ, проведенный Volexity, показал, что UTA0137 использует сторонние сервисы хранения данных для фильтрации данных, демонстрируя сложную операционную инфраструктуру. Вредоносная программа устанавливает связь с сервером C2 через Discord, отправляя сообщение о регистрации по выделенному каналу, используя эмодзи как часть своего коммуникационного протокола. Различные команды с эмодзи, такие как "Часы" и "Кнопка с галочкой", используются DISGOMOJI для выполнения инструкций, полученных с сервера C2.

В последних версиях DISGOMOJI были внесены улучшения, в том числе улучшены механизмы сохранения данных за счет добавления файлов рабочего стола в каталоги автозапуска и динамического управления токенами аутентификации и идентификаторами сервера. Эти изменения позволяют UTA0137 быстро адаптироваться к сбоям в работе, таким как блокировка сервера Discord или отзыв токенов, обеспечивая постоянную эффективность работы.

Кроме того, UTA0137 ввел в DISGOMOJI преднамеренный обман, включив вводящие в заблуждение строки, чтобы скрыть его истинную природу и назначение. Злоумышленник использует вспомогательные инструменты, такие как Nmap, Chisel, Ligolo и служба обмена файлами oshi.at для разведки сети, туннелирования и промежуточных операций. Тактика социальной инженерии с использованием утилиты Zenity также используется для обмана жертв с целью раскрытия конфиденциальной информации, демонстрируя многогранный подход UTA0137 к кибероперациям.

Особую обеспокоенность вызывает использование UTA0137 уязвимости DirtyPipe (CVE-2022-0847) для повышения привилегий, что подчеркивает готовность злоумышленника использовать известные уязвимости в злонамеренных целях. Оценка Volexity указывает на умеренную степень уверенности в том, что UTA0137 принадлежит злоумышленнику из Пакистана, ссылаясь на такие показатели, как жестко заданные часовые пояса, модели использования языка и предпочтения таргетинга.

#ParsedReport #CompletenessMedium
13-06-2024

New backdoor BadSpace delivered by high-ranking infected websites

https://www.gdatasoftware.com/blog/2024/06/37947-badspace-backdoor

Report completeness: Medium

Threats:
Warmcookie
Api_obfuscation_technique
Socgholish_loader
Revil

ChatGPT TTPs:
do not use without manual check
T1189, T1204.002, T1071, T1059.001, T1027, T1036.005

IOCs:
File: 1
Registry: 2
Hash: 23
IP: 2
Domain: 2

Soft:
WordPress, Google Chrome

Algorithms:
base64, sha256, crc-32, rc4

Win API:
LoadLibraryW, GetProcAddress

Languages:
javascript, python, powershell, jscript

Links:
https://github.com/struppigel/hedgehog-tools/blob/main/BadSpace/badspace\_idapython\_string\_decrypter.py
https://github.com/X-Junior/Malware-String-Decryptor-Scripts/blob/main/Badspace/badspace.py
https://gist.github.com/OALabs/04ef6b2d6203d162c5b3b0eefd49530c

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, code: 8, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении нового бэкдора под названием "BadSpace", который представляет серьезную угрозу кибербезопасности из-за своей сложной многоэтапной цепочки атак, методов доставки, нацеленных на веб-сайты и браузеры, методов обфускации и расширенной связи с серверами управления. Сообщество специалистов по кибербезопасности активно анализирует и разрабатывает стратегии обнаружения и смягчения угрозы, исходящей от BadSpace.
-----

19 мая аналитик по анализу угроз Gi7w0rm рассказал о новом бэкдоре под названием "BadSpace", первоначально обнаруженном исследователем @kevross33, который представляет серьезную угрозу кибербезопасности. Бэкдор распространяется по сложной многоэтапной цепочке атак, включающей зараженные веб-сайты, серверы управления, поддельные обновления браузера и загрузчики JScript, с целью внедрения вредоносного ПО в системы жертв.

Метод доставки BadSpace включает в себя установку зараженными веб-сайтами файлов cookie для отслеживания посещений пользователей, создание URL-адресов с информацией, относящейся к конкретному пользователю, и, в конечном счете, перезапись запрошенных веб-страниц вредоносной полезной информацией. Вредоносная программа, как правило, нацелена на сайты WordPress и внедряет вредоносный код в библиотеки JavaScript, такие как jQuery, или непосредственно в индексные страницы. Некоторые веб-сайты вводят пользователей в заблуждение с помощью поддельных обновлений Google Chrome, которые загружают бэкдор в систему после загрузки.

Бэкдор использует файлы JScript для развертывания, используя подмену расширений, например ".pdf.js", чтобы избежать обнаружения. Он использует методы обфускации, чтобы скрыть свои вредоносные намерения, при этом в каждом примере используются уникальные методы для переименования переменных и функций в коде. Запутанный файл JScript в конечном итоге загружает и запускает бэкдор BadSpace, который представляет собой DLL-файл PE32+, который запутан, но не упакован.

Исследователи в области безопасности разработали такие инструменты, как скрипты IDA на Python и автономные скрипты на Python для расшифровки строк и API-интерфейсов в вредоносной программе BadSpace для целей анализа и обнаружения. Вредоносная программа включает в себя проверки на защиту от "песочницы" и создает уникальный мьютекс для сохранения, что затрудняет ее обнаружение и удаление.

BadSpace обменивается данными со своим сервером управления, отправляя зашифрованную системную информацию в файле cookie, за что он получил прозвище "WarmCookie". Эти данные включают в себя такие детали, как название компьютера, версия операционной системы и ключ RC4, используемый для шифрования связи C2. Шаблон агента пользователя, используемый бэкдором для связи C2, содержит дополнительные пробелы по сравнению со стандартными шаблонами агентов, отсюда и его название "BadSpace"..

Совместные усилия специалистов в области кибербезопасности позволили глубже понять угрозу BadSpace и механизмы ее распространения. Анализируя поведение и код бэкдора, аналитики стремятся усовершенствовать стратегии обнаружения и смягчения последствий для защиты пользователей и систем от этой развивающейся киберугрозы. Сложность и малозаметные возможности BadSpace подчеркивают необходимость упреждающего сбора и анализа информации об угрозах для защиты от таких сложных вредоносных атак.