#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сообщении в блоге рассматривается киберугроза, когда мошенники используют Canva для создания обманчивых дизайнов, напоминающих легальные веб-сайты, такие как Microsoft, что приводит пользователей на вредоносные страницы. Malwarebytes активно борется с этими угрозами, отслеживая такие действия и сообщая о них для защиты интернет-пользователей, а также рекомендуя расширение для своего браузера Guard для повышения безопасности.
-----

В сообщении в блоге обсуждается недавний инцидент, когда мошенники использовали Canva, популярный онлайн-инструмент графического дизайна, для осуществления хитроумного трюка в своей вредоносной кампании. Мошенники создали на Canva дизайн, который очень напоминает домашнюю страницу Canva, чтобы обмануть жертв, которые нажимают на вредоносную рекламу. Когда пользователи переходят на поддельную домашнюю страницу Canva, они перенаправляются на поддельное предупреждение Microsoft, которое блокирует их браузеры. Эта мошенническая деятельность не только ставит под угрозу работу пользователей в Интернете, но и представляет серьезную угрозу кибербезопасности.

Злоумышленники, стоящие за этой кампанией, используют сочетание фирменной рекламы Google и страниц-приманок, чтобы привлечь большое количество потенциальных жертв к своим мошенническим или вредоносным программам непосредственно из поисковых систем. Эта стратегия позволяет им охватить более широкую аудиторию и повысить вероятность успешных атак. Компания Malwarebytes, занимающаяся кибербезопасностью, активно отслеживает и расследует подобные схемы вредоносной рекламы и оперативно информирует пострадавшие платформы, такие как Google и Canva, об этих мошеннических действиях.

Постоянные усилия Malwarebytes по выявлению таких киберугроз и сообщению о них играют решающую роль в защите пользователей Интернета от онлайн-мошенничества и вредоносных программ. Кроме того, компания рекомендует использовать бесплатное расширение Browser Guard для повышения защиты от потенциальных угроз при работе в Интернете. Повышая осведомленность об этих сложных киберугрозах и сотрудничая с поставщиками платформ для снижения рисков, Malwarebytes стремится обеспечить онлайн-безопасность пользователей и сохранить целостность онлайн-сервисов.

#ParsedReport #CompletenessMedium
30-08-2024

Analysis of two arbitrary code execution vulnerabilities affecting WPS Office

https://www.welivesecurity.com/en/eset-research/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office

Report completeness: Medium

Actors/Campaigns:
Camouflaged_hunter (motivation: cyber_espionage)

Threats:
Spyglace
Procmon_tool

Geo:
Asia, China, Korea, Ukraine, Asian

CVEs:
CVE-2022-24934 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- wps wps office (le11.2.0.10382)

CVE-2024-7262 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- kingsoft wps office (le12.2.0.13489)

CVE-2924-7263 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-7672 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-7263 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- kingsoft wps office (<12.2.0.17153)


TTPs:
Tactics: 2
Technics: 6

IOCs:
File: 11
Hash: 3
Path: 6
Registry: 1
Domain: 1
IP: 2

Soft:
Windows Explorer

Algorithms:
sha1, base64, md5

Win API:
LoadLibraryExW, LoadLibraryW

Links:
https://github.com/eset/malware-ioc/tree/master/apt\_c\_60

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 7, dump: 3, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET обнаружили две уязвимости для выполнения кода в WPS Office для Windows, которые были использованы группой кибершпионажа APT-C-60, связанной с Южной Кореей. Эти уязвимости позволяли злоумышленникам запускать вредоносный код, обманом заставляя пользователей нажимать на документы, которые казались законными. Несмотря на первоначальные усилия по исправлению, логическая ошибка привела к дальнейшему использованию, что подчеркивает важность всесторонней проверки исправлений. Скоординированный процесс раскрытия информации и последующее исправление подчеркнули необходимость принятия надежных мер кибербезопасности для защиты от сложных угроз, подобных тем, которые исходят от APT-C-60.
-----

Исследователи ESET обнаружили две уязвимости при выполнении кода в WPS Office для Windows, CVE-2024-7262 и CVE-2024-7263, которые использовались группой кибершпионажа APT-C-60, связанной с Южной Кореей. Первоначальная уязвимость, CVE-2024-7262, была использована APT-C-60 для атаки на страны Восточной Азии с использованием специального бэкдора под названием SpyGlace. Эта уязвимость нулевого дня позволила злоумышленнику перехватить поток управления компонентом подключаемого модуля WPS Office promecefpluginhost.exe . Эксплойт заключался в запуске приложения с использованием вредоносной ссылки в электронной таблице, которая выглядела как законная, и при нажатии на нее запускался компонент загрузки троянской программы.

Несмотря на то, что Kingsoft выпустила исправление для CVE-2024-7262, логическая ошибка позволила оставшемуся дефектному коду оставаться доступным для использования, что привело к обнаружению CVE-2024-7263. Злоумышленники манипулировали протоколом ksoqing scheme, чтобы создать гиперссылку, которая загружала библиотеку с удаленного пути к файлу, что позволяло выполнять вредоносный код. Для эксплойта требовалось, чтобы пользователи нажимали на электронную таблицу, которая казалась подлинной, но содержала скрытую вредоносную гиперссылку во встроенном изображении.

До выхода исправления в марте 2024 года уязвимые версии WPS Office варьировались от 12.2.0.13110 до 12.1.0.16412. Патч ввел дополнительные проверки для проверки контролируемой злоумышленником переменной JSCefServicePath, но не охватывал CefPluginPathU8, оставляя пробел для использования. Использование APT-C-60 этих уязвимостей продемонстрировало их решимость скомпрометировать цели в Восточной Азии, что потребовало глубокого понимания внутреннего устройства приложения и процесса загрузки Windows. Выбор формата файла MHTML позволил злоумышленникам использовать уязвимости удаленно.

Скоординированный процесс раскрытия информации привел к устранению обеих уязвимостей, что подчеркивает важность тщательной проверки исправлений и полного устранения основных проблем. В сообщении в блоге ESET, направленном на предупреждение пользователей о необходимости обновления WPS Office для предотвращения дальнейшего использования. В целом, обнаружение и анализ этих уязвимостей пролили свет на изощренную тактику, используемую группами кибершпионажа, такими как APT-C-60, и подчеркнули необходимость принятия надежных мер кибербезопасности для защиты от подобных угроз.

#ParsedReport #CompletenessMedium
01-09-2024

Volt Typhoon vs. Flax Typhoon

https://eurepoc.eu/wp-content/uploads/2024/08/Advanced-Persistent-Threat-Profile-VoltFlax-Typhoon.pdf

Report completeness: Medium

Actors/Campaigns:
Volt_typhoon (motivation: information_theft, sabotage, cyber_espionage, disinformation)
Flax_typhoon (motivation: information_theft, sabotage, cyber_espionage)

Threats:
Lolbin_technique
Chinachopper
Mimikatz_tool
Ntdsutil_tool
Portproxy_tool
Impacket_tool
Metasploit_tool
Juicypotato_tool
Potato_tool
Kv-botnet
Devilzshell
Antsword
Acunetix_tool

Victims:
Taiwan, Usa, Guam, Southeast asia, North america, Africa, Laos, Kenya, Rwanda

Industry:
Education, Financial, Military, Government, Aerospace, Transport, Maritime, Critical_infrastructure

Geo:
United kingdom, Usa, Korea, Hong kong, Malaysia, Taiwanese, America, North korea, Djibouti, China, Laos, Chinese, Australian, Kenya, Taiwan, Guam, Rwanda, Asia, The us, Pacific, Canadian, Africa, New zealand

CVEs:
CVE-2024-22024 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: False
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.1, 22.4, 22.5)

CVE-2023-27997 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le1.1.6, le1.2.13, le2.0.12, le7.0.9, le7.2.3)
- fortinet fortios (le6.0.16, le6.2.13, le6.4.12, le7.0.11, le7.2.4)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2016-5195 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- canonical ubuntu linux (12.04, 14.04, 16.04, 16.10)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21762 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<2.0.14, <7.0.15, <7.2.9, <7.4.3)
- fortinet fortios (<6.2.16, <6.4.15, <7.0.14, <7.2.7, <7.4.3)

CVE-2024-23113 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le7.0.14, le7.2.8, le7.4.2)
- fortinet fortiswitchmanager (le7.0.3, le7.2.3)
- fortinet fortios (le7.0.13, le7.2.6, le7.4.2)
- fortinet fortipam (le1.0.3, le1.1.2, 1.2.0)

CVE-2021-40539 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zohocorp manageengine adselfservice plus (4.5, 5.0, 5.0.6, 5.1, 5.2)


TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 2

Soft:
Fortinet FortiOS, Ivanti, Local Security Authority, SoftEther

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении двух китайских хакерских группировок, спонсируемых государством, Volt Typhoon и Flax Typhoon, и их операций, связанных со стратегическими целями Китая в тайваньском конфликте, с акцентом на кибершпионаж, сбор разведданных и разрушение критически важной инфраструктуры связи. Эти группы используют передовые методы, чтобы избежать обнаружения, различные агентства приписывают их Китаю, и демонстрируют минимальное использование традиционных вредоносных программ, используя при этом собственные инструменты для своей киберактивности. В тексте также освещаются конкретные инциденты, такие как взлом ботнета Министерством юстиции США, и усилия китайских организаций по формированию легенды об этих хакерских группах.
-----

В тексте обсуждаются операции двух китайских хакерских групп, спонсируемых государством, известных как Volt Typhoon и Flax Typhoon, которые были названы Китайской Народной Республикой "спонсируемыми государством". Обе группировки связаны со стратегическими целями Китая, связанными с тайваньским конфликтом, и, как полагают, связаны с Силами стратегической поддержки (ССО) Народно-освободительной армии Китая (НОАК). SSF, созданная в 2015 году, стремится к военному господству в космосе, киберпространстве и электромагнитной сфере. Flax Typhoon специализируется на кибершпионаже и сборе разведданных, потенциально связанных с Министерством государственной безопасности (МГБ) в области шпионажа и кражи информации.

Volt Typhoon - это новая и мощная угроза повышенной стойкости (APT), о которой имеются ограниченные сводные научные или официальные исследования. Microsoft и различные агентства США, Австралии, Великобритании и Канады опубликовали отчеты и рекомендации, в которых говорится, что Volt Typhoon связан с Китаем. Аналогичным образом, "Тайфун льна" был идентифицирован как спонсируемый государством и связанный с Китаем, который в значительной степени нацелен на тайваньские организации.

Обе группы используют методы "удаленного доступа" (LOTL), чтобы избежать обнаружения в целевых сетях. Volt Typhoon фокусируется на разрушении критически важной инфраструктуры связи между Соединенными Штатами и Азией, в то время как Flax Typhoon обеспечивает долгосрочный доступ в тайваньских организациях с минимальным использованием вредоносных программ. Схемы атак этих групп включают в себя первоначальный доступ путем использования уязвимостей в общедоступных сетевых устройствах, горизонтальное перемещение внутри сетей и использование встроенных инструментов для сбора разведданных и поддержания постоянства.

Microsoft отмечает минимальное использование традиционных вредоносных программ обеими группами, которые полагаются на встроенные утилиты Windows и пользовательские версии инструментов с открытым исходным кодом для действий после взлома. Также существует неопределенность в отношении соответствия Flax Typhoon и Ethereal Panda, что указывает на потенциальное совпадение в их деятельности.

В декабре 2023 года Министерство юстиции США успешно взломало ботнет, состоящий из маршрутизаторов small office/home office в США (SOHO), захваченных Volt Typhoon. Эта операция была направлена на предотвращение повторного заражения, подчеркивая острую необходимость принятия мер по смягчению последствий и повышению бдительности в области кибербезопасности.

Китайский национальный центр реагирования на чрезвычайные ситуации, связанные с компьютерными вирусами, Национальная инженерная лаборатория технологий предотвращения компьютерных вирусов и Группа 360 Digital Security Group опубликовали отчеты, в которых попытались изменить представление о Volt Typhoon, отразив высокие ставки и деликатный характер операций по кибербезопасности.

#ParsedReport #CompletenessLow
01-09-2024

So-Phish-ticated Attacks

https://www.guidepointsecurity.com/blog/so-phish-ticated-attacks

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1046

IOCs:
Domain: 8
IP: 11

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Злоумышленник нацелен на организации, регистрируя доменные имена, напоминающие технологии VPN, используя тактику социальной инженерии, чтобы обманом заставить пользователей перейти по вредоносным ссылкам, ведущим на поддельные сайты VPN. Затем злоумышленник создает пользовательские страницы входа в систему VPN для дальнейшего обмана пользователей, получения несанкционированного доступа к сетям с целью получения финансовой выгоды, что может привести к краже данных, уничтожению резервных копий и развертыванию программ-вымогателей. Организациям рекомендуется отслеживать подозрительную активность, связанную с VPN, обучать пользователей тактике социальной инженерии и обращаться за помощью в защите от этой угрозы.
-----

Злоумышленник, о котором идет речь, с 26 июня 2024 года активно регистрирует доменные имена, которые очень напоминают технологии VPN, используемые организациями-мишенями. Они используют тактику социальной инженерии, связываясь с отдельными пользователями по телефону, выдавая себя за сотрудников службы поддержки или ИТ-специалистов, которые решают проблемы с подключением к VPN. В случае успеха злоумышленник отправляет пользователю вредоносную ссылку, замаскированную под решение проблемы, которая ведет на поддельный VPN-сайт, связанный с компанией.

Кроме того, злоумышленник создал пользовательские страницы входа в систему VPN для каждой целевой организации, дублируя законные, но добавляя в выпадающее меню потенциально мошеннические группы VPN, такие как "TestVPN" и "RemoteVPN". Такая настройка, вероятно, помогает в их схемах социальной инженерии. Заключительный этап их работы включает в себя перенаправление пользователей на законный VPN-адрес целевой организации, предлагая им снова войти в систему для уверенности.

Проникнув в сеть через VPN-доступ, злоумышленник немедленно проводит сканирование сети, чтобы определить цели для перемещения по сети, сохранения и дальнейшего повышения привилегий. Его основной мотивацией является финансовая выгода, а успешное проникновение может привести к краже данных, уничтожению резервных копий и внедрению программ-вымогателей. Организациям рекомендуется отслеживать журналы на предмет подозрительной активности, связанной с IP-адресами, назначенными через VPN, в течение последних 30 дней с даты уведомления, поскольку признаки компрометации могут указывать на готовящуюся атаку программ-вымогателей.

При обнаружении каких-либо тревожных признаков организации должны заявить об инциденте и провести тщательное расследование. Кроме того, крайне важно информировать пользователей об этой тактике социальной инженерии, призывая их сообщать о любых звонках с неизвестных номеров, которые якобы принадлежат ИТ-специалистам или сотрудникам службы технической поддержки. Связанные с кампанией доменные имена и IP-адреса приведены для справки, и организациям рекомендуется обращаться за дополнительной помощью в защите от этой угрозы.

#ParsedReport #CompletenessLow
01-09-2024

The PolySwarm Blog

https://blog.polyswarm.io/devpopper-campaign-targets-software-developers

Report completeness: Low

Actors/Campaigns:
Dev_popper

Victims:
Software developers

Industry:
Software_development

Geo:
America, North korean, North korea, Middle east, Korea

ChatGPT TTPs:
do not use without manual check
T1059.007, T1059.006, T1083, T1059, T1082

IOCs:
Hash: 4

Soft:
MacOS, curl, Node.js

Algorithms:
zip

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кампания социальной инженерии нацелена на разработчиков программного обеспечения и распространяет троянскую программу удаленного доступа (RAT) на базе Python под названием DevPopper. Участники кампании изменили свою тактику, в результате чего появился новый вариант DevPopper с расширенными возможностями для атак на устройства Linux, Windows и macOS. Кампания включает в себя маскировку под потенциальных работодателей во время фальшивых собеседований, инструктаж разработчиков о загрузке и выполнении кода, который устанавливает вредоносное ПО для удаленного доступа к компьютеру жертвы. DevPopper способен собирать системную информацию, устанавливать соединения для удаленного управления, выполнять удаленные команды, вести кейлоггинг и многое другое. Злоумышленники расширили сферу своей деятельности и внедрили дополнительные варианты вредоносных программ, в последней версии DevPopper появились расширенные функциональные возможности FTP, улучшенное шифрование для передачи файлов, поддержка нескольких операционных систем, улучшенное кодирование и возможности кражи учетных данных. Несколько организаций, занимающихся обеспечением безопасности, выявили и собрали образцы, связанные с этой кампанией.
-----

Продолжающаяся кампания социальной инженерии, нацеленная на разработчиков программного обеспечения с помощью трояна удаленного доступа на базе Python под названием DevPopper.

Злоумышленники, выдающие себя за подставных работодателей, проводят собеседования с разработчиками программного обеспечения, чтобы обманом заставить их загрузить и запустить вредоносное ПО.

DevPopper использует многоступенчатую цепочку заражения с тактикой, сильно зависящей от социальной инженерии.

Процесс заражения включает загрузку ZIP-файла, содержащего пакет NPM, выполнение запутанного файла JavaScript и получение последующей полезной нагрузки с сервера C2.

Возможности DevPopper включают сбор данных, удаленный доступ, создание сетей, постоянные подключения, исследование файловой системы, выполнение команд, ведение журнала в буфере обмена и кейлоггинге.

Недавнее обновление показывает, что злоумышленники адаптируют TTP для устройств с Linux, Windows и macOS, вводя дополнительные варианты вредоносного ПО.

Последняя версия DevPopper включает расширенную функциональность FTP, улучшенную передачу зашифрованных файлов, поддержку нескольких ОС, улучшенное кодирование и запутывание, обход каталогов и кражу учетных данных.

PolySwarm собрала несколько образцов DevPopper, что указывает на широко распространенную угрозу.

Аналитики по безопасности посоветовали использовать специальные команды CLI для поиска образцов DevPopper для анализа и устранения неполадок.

#ParsedReport #CompletenessLow
01-09-2024

Malware created by North Korean hacking group Konni (Koni) - integration.pdf.lnk (2024.8.22)

https://wezard4u.tistory.com/429260

Report completeness: Low

Actors/Campaigns:
Scarcruft
Kimsuky

Threats:
Phonzy
Boxter
Powecod
Artemis
Remcos_rat

Geo:
North korean, North korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1027, T1486

IOCs:
File: 3
Hash: 3
Url: 1

Algorithms:
xor, zip, md5, base64, sha256, sha1

Win API:
decompress

Languages:
autoit, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Integration.pdf.lnk - это вредоносный файл, связанный с северокорейской хакерской группой Konni, известной своими изощренными методами и связями с другими северокорейскими хакерскими группами. Файл содержит полезную нагрузку, которая при запуске загружает и сохраняет дополнительные вредоносные файлы в папке AppData пользователя, используя скрипт AutoIt для выполнения своих вредоносных действий. Многие поставщики систем безопасности определяют это вредоносное ПО как троянскую программу из-за его сложной и запутанной природы.
-----

Integration.pdf.lnk (2024.8.22) - это вредоносный файл, связанный с северокорейской хакерской группой Konni, первоначально идентифицированный исследователями Cisco Talos в 2017 году. Конни связан с Thallium, APT 37 и, возможно, Kimsuky - всеми известными северокорейскими хакерскими группами, действующими под эгидой Главного разведывательного управления. Вредоносный файл имеет размер 122 КБ и хэш-значения MD5: ffde299028d48cb2258d274f44d56766, SHA-1: 678fe2a8a01339138194a70763d69d18d2772beb и SHA-256: 3a37c34e5b677b4388176fdcb41ce5c8971f6dc82116adc99309ca744c58ba66.

Когда файл malware LNK открывается, в нем обнаруживается содержимое, закодированное в Base64. Файл был загружен с hxxp://2(.)58(.)56(.)124/ API481f(.)zip и использует технологию загрузки и сохранения ZIP-файлов в папке AppData пользователя. Вредоносная программа распаковывает загруженный ZIP-файл и сохраняет его содержимое в папке AppData. Вредоносные действия выполняются с помощью AutoIt3.exe и файла скрипта с именем script(.)a3x. Скрипт создает несколько графических пользовательских интерфейсов и шифрует входные данные с помощью указанного ключа. Зашифрованные команды выполняются в скрипте AutoIt с помощью функции Execute.

Различные поставщики систем безопасности обнаруживают вредоносное ПО как различные типы троянских программ. В это вредоносное ПО включены многие функции, характерные для угроз, основанных на AutoIt. В версиях для компиляции сценариев AutoIt используются магические строки EA06 и 90C01. Это указывает на то, что вредоносная программа является сложной и использует методы обфускации, чтобы избежать обнаружения.

#ParsedReport #CompletenessMedium
01-09-2024

North Korean threat actor Citrine Sleet exploiting Chromium zero-day

https://www.microsoft.com/en-us/security/blog/2024/08/30/north-korean-threat-actor-citrine-sleet-exploiting-chromium-zero-day

Report completeness: Medium

Actors/Campaigns:
Lazarus
Bluenoroff

Threats:
Fudmodule_rootkit
Byovd_technique
Kaolin_rat

Industry:
Government, Entertainment

Geo:
North korea, North korean

CVEs:
CVE-2024-4947 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<125.0.6422.60)

CVE-2024-21338 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1809 (<10.0.17763.5458)
- microsoft windows 10 21h2 (<10.0.19044.4046)
- microsoft windows 10 22h2 (<10.0.19045.4046)
- microsoft windows 11 21h2 (<10.0.22000.2777)
- microsoft windows 11 22h2 (<10.0.22621.3155)
have more...
CVE-2024-38193 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20751)
- microsoft windows 10 1607 (<10.0.14393.7259)
- microsoft windows 10 1809 (<10.0.17763.6189)
- microsoft windows 10 21h2 (<10.0.19044.4780)
- microsoft windows 10 22h2 (<10.0.19045.4780)
have more...
CVE-2024-5274 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<125.0.6422.112)

CVE-2024-38106 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20751)
- microsoft windows 10 1607 (<10.0.14393.7259)
- microsoft windows 10 1809 (<10.0.17763.6189)
- microsoft windows 10 21h2 (<10.0.19044.4780)
- microsoft windows 10 22h2 (<10.0.19045.4780)
have more...
CVE-2024-7971 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<128.0.6613.84)


ChatGPT TTPs:
do not use without manual check
T1190, T1203, T1068, T1003, T1059, T1105, T1562, T1189, T1071

IOCs:
Domain: 2
File: 2

Soft:
Chromium, Microsoft Defender for Endpoint, Microsoft Defender, Windows kernel, Google Chrome, Microsoft Edge

Algorithms:
aes

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что северокорейский злоумышленник, идентифицированный Microsoft, использовал уязвимость нулевого дня в Chromium, известную как CVE-2024-7971, для удаленного выполнения кода (RCE) с целью получения финансовой выгоды в секторе криптовалют. Исполнитель угрозы, Цитрин Слит, связана с бюро 121 Главного разведывательного управления Северной Кореи и использует тактику социальной инженерии для нападения на финансовые учреждения и частных лиц, связанных с криптовалютой. В тексте подчеркивается важность обновления программного обеспечения для предотвращения подобных киберугроз и даются рекомендации по защите от этих атак.
-----

Microsoft выявила северокорейского злоумышленника, который использовал уязвимость нулевого дня в Chromium, теперь известную как CVE-2024-7971, для удаленного выполнения кода (RCE) 19 августа 2024 года. Эта деятельность была нацелена на криптовалютный сектор с целью получения финансовой выгоды, и средняя степень уверенности была приписана Citrine Sleet, северокорейской организации, известной своими атаками на финансовые учреждения и частных лиц, занимающихся управлением криптовалютами. Руткит FudModule, использованный в этой атаке, также был связан с Diamond Sleet, другим северокорейским агентом, создающим угрозы, что указывает на общую инфраструктуру и инструменты между этими группами.

CVE-2024-7971 - это уязвимость, вызывающая путаницу типов в движке JavaScript и WebAssembly версии 8, которая затрагивает более ранние версии Chromium до 128.0.6613.84. Использование этой уязвимости может позволить злоумышленникам достичь RCE в изолированном процессе рендеринга Chromium. 21 августа 2024 года Google выпустила исправление для этой уязвимости. Кроме того, это уже третья уязвимость типа путаницы в версии 8, используемая в этом году, что подчеркивает важность поддержания программного обеспечения в актуальном состоянии.

Citrine Sleet, также известный как AppleJeus, Labyrinth Chollima, UNC4736 и Hidden Cobra, связан с бюро 121 Главного разведывательного управления Северной Кореи. Этот злоумышленник в основном использует тактику социальной инженерии, например, создает поддельные платформы для торговли криптовалютами для распространения вредоносных инструментов, таких как криптокошельки с оружием. Одним из последствий стало использование организации, ранее ставшей мишенью Sapphire Sleet.

Атака Citrine Sleet проводилась по типичной цепочке браузерных эксплойтов, направляя цели на контролируемый домен, где использовался эксплойт RCE нулевого дня для CVE-2024-7971. Атака также включала в себя эксплойт sandbox escape и развертывание руткита FudModule, который использует технологии DKOM для манипулирования объектами ядра. Несмотря на успешное использование, на целевых устройствах не наблюдалось дополнительной активности вредоносного ПО.

FudModule - это сложная вредоносная программа-руткит, которая нацелена на доступ к ядру, избегая обнаружения. Diamond Sleet использует FudModule с октября 2021 года с обновленным вариантом, известным как "FudModule 2.0", который включает вредоносные загрузчики и троянскую программу удаленного доступа (RAT), такую как Kaolin RAT. Этот вариант использует уязвимость нулевого дня в appid.sys, что делает ее очень сложной для обнаружения.

Для устранения этих угроз крайне важно поддерживать операционные системы и приложения в актуальном состоянии, своевременно устанавливать исправления безопасности и обеспечивать использование обновленных веб-браузеров, таких как Google Chrome и Microsoft Edge. Кроме того, включение защиты от несанкционированного доступа и защиты сети в Microsoft Defender для Endpoint может помочь блокировать вредоносные артефакты и снизить риск взломов. Клиенты Майкрософт могут получать доступ к отчетам в продуктах Майкрософт для получения аналитических данных, сведений о защите и практических рекомендаций по предотвращению, смягчению последствий или реагированию на связанные с ними угрозы.