CTT Report Hub
#ParsedReport #CompletenessLow 01-09-2024 Malware targeting aerospace engineering and related people created by Kimsuky - Lecture request form (2024.8.29) https://wezard4u.tistory.com/429266 Report completeness: Low Actors/Campaigns: Kimsuky Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробный анализ кампании вредоносного ПО, нацеленной на специалистов в области аэрокосмической техники, с особым упором на инцидент с участием профессора Банг Хе Чунга из KAIST. Вредоносная программа под названием Lecture Request Form (2024.8.29) принадлежит группе разработчиков угроз Kimsuky, и ее ключевые данные указаны в целях идентификации. Электронное письмо, использованное при атаке, выглядит как законное приглашение на лекцию, чтобы обманом заставить получателей открыть вредоносное вложение. В тексте также обсуждаются средства обнаружения вредоносных программ, подчеркивающие, что вредоносное ПО классифицируется как общая угроза, связанная с Kimsuky, с высокой степенью достоверности. Кроме того, в нем содержится информация о потенциальной троянской природе вредоносного ПО, его формате файла с расширением msc и рекомендации по его анализу для извлечения важной информации и понимания его поведения.
-----
В тексте обсуждается кампания вредоносного ПО, нацеленная на специалистов в области аэрокосмической техники, в частности, на инцидент с участием профессора Банг Хе Чунга из департамента аэрокосмической техники в KAIST. Вредоносная программа, о которой идет речь, называется Lecture Request Form (2024.8.29) и принадлежит группе разработчиков угроз Kimsuky. Электронное письмо, использованное при атаке, было оформлено как приглашение на лекцию от профессора Банг Хе Чунга.
Основные сведения о вредоносном ПО включают имя файла, размер и хэш-значения для целей идентификации:.
Имя файла: Форма запроса на лекцию.msc.
Размер: 142 КБ.
MD5: ef8947d291107256cb5883ac3bc163d0.
SHA-1: cf8555a2d9fc8081ba8c8e29f7905dd926655df1.
SHA-256: 8028b918d06cf3635e7e77d29cb0a4622d8cf4ee30881fb297435f7328ff45e4.
Текст также содержит образец содержимого вредоносной программы, имитирующий форму запроса на лекцию, отправляемую жертве. В сообщении указывается принимающая организация, информация о лекторе (профессор Банг Хе Чунг), тема лекции, дата, время, местоположение, целевая аудитория, стоимость лекции и другие технические детали. На первый взгляд содержание кажется законным и направлено на то, чтобы обманом заставить получателя открыть вредоносное вложение.
Кроме того, в тексте содержится информация об обнаружении вредоносного ПО различными средствами безопасности, в том числе с помощью ALYac, Arcabit, BitDefender, Emsisoft, eScan, GData, Ikarus, Kaspersky, MAX, Trellix (HX), VIPRE, VirIT и ZoneAlarm от Check Point. Результаты обнаружения свидетельствуют о том, что вредоносное ПО идентифицировано как общая угроза, связанная с группой Kimsuky, с высокой степенью достоверности - 99%.
В тексте содержится намек на то, что вредоносная программа может быть трояном, предназначенным для выполнения вредоносных сценариев или действий в зараженной системе. Формат файла с расширением msc выделен, что указывает на то, что вредоносная программа может использовать этот формат для уклонения от обнаружения или выполнения определенных функций. Кроме того, есть упоминания об анализе вредоносного ПО в Notepad++ для извлечения важной информации и понимания его поведения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - подробный анализ кампании вредоносного ПО, нацеленной на специалистов в области аэрокосмической техники, с особым упором на инцидент с участием профессора Банг Хе Чунга из KAIST. Вредоносная программа под названием Lecture Request Form (2024.8.29) принадлежит группе разработчиков угроз Kimsuky, и ее ключевые данные указаны в целях идентификации. Электронное письмо, использованное при атаке, выглядит как законное приглашение на лекцию, чтобы обманом заставить получателей открыть вредоносное вложение. В тексте также обсуждаются средства обнаружения вредоносных программ, подчеркивающие, что вредоносное ПО классифицируется как общая угроза, связанная с Kimsuky, с высокой степенью достоверности. Кроме того, в нем содержится информация о потенциальной троянской природе вредоносного ПО, его формате файла с расширением msc и рекомендации по его анализу для извлечения важной информации и понимания его поведения.
-----
В тексте обсуждается кампания вредоносного ПО, нацеленная на специалистов в области аэрокосмической техники, в частности, на инцидент с участием профессора Банг Хе Чунга из департамента аэрокосмической техники в KAIST. Вредоносная программа, о которой идет речь, называется Lecture Request Form (2024.8.29) и принадлежит группе разработчиков угроз Kimsuky. Электронное письмо, использованное при атаке, было оформлено как приглашение на лекцию от профессора Банг Хе Чунга.
Основные сведения о вредоносном ПО включают имя файла, размер и хэш-значения для целей идентификации:.
Имя файла: Форма запроса на лекцию.msc.
Размер: 142 КБ.
MD5: ef8947d291107256cb5883ac3bc163d0.
SHA-1: cf8555a2d9fc8081ba8c8e29f7905dd926655df1.
SHA-256: 8028b918d06cf3635e7e77d29cb0a4622d8cf4ee30881fb297435f7328ff45e4.
Текст также содержит образец содержимого вредоносной программы, имитирующий форму запроса на лекцию, отправляемую жертве. В сообщении указывается принимающая организация, информация о лекторе (профессор Банг Хе Чунг), тема лекции, дата, время, местоположение, целевая аудитория, стоимость лекции и другие технические детали. На первый взгляд содержание кажется законным и направлено на то, чтобы обманом заставить получателя открыть вредоносное вложение.
Кроме того, в тексте содержится информация об обнаружении вредоносного ПО различными средствами безопасности, в том числе с помощью ALYac, Arcabit, BitDefender, Emsisoft, eScan, GData, Ikarus, Kaspersky, MAX, Trellix (HX), VIPRE, VirIT и ZoneAlarm от Check Point. Результаты обнаружения свидетельствуют о том, что вредоносное ПО идентифицировано как общая угроза, связанная с группой Kimsuky, с высокой степенью достоверности - 99%.
В тексте содержится намек на то, что вредоносная программа может быть трояном, предназначенным для выполнения вредоносных сценариев или действий в зараженной системе. Формат файла с расширением msc выделен, что указывает на то, что вредоносная программа может использовать этот формат для уклонения от обнаружения или выполнения определенных функций. Кроме того, есть упоминания об анализе вредоносного ПО в Notepad++ для извлечения важной информации и понимания его поведения.
#ParsedReport #CompletenessMedium
01-09-2024
Threat Actors Target the Middle East Using Fake Palo Alto GlobalProtect Tool. Summary and introduction
https://www.trendmicro.com/en_us/research/24/h/threat-actors-target-middle-east-using-fake-tool.html
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Threats:
Interactsh_tool
Industry:
Critical_infrastructure
Geo:
Emirates, Middle east
ChatGPT TTPs:
T1071.004, T1566.002, T1059.001, T1140, T1105, T1005, T1071.001
IOCs:
File: 4
Domain: 4
Url: 2
Hash: 2
IP: 1
Algorithms:
base64, aes
Languages:
powershell
Links:
01-09-2024
Threat Actors Target the Middle East Using Fake Palo Alto GlobalProtect Tool. Summary and introduction
https://www.trendmicro.com/en_us/research/24/h/threat-actors-target-middle-east-using-fake-tool.html
Report completeness: Medium
Actors/Campaigns:
Fancy_bear
Threats:
Interactsh_tool
Industry:
Critical_infrastructure
Geo:
Emirates, Middle east
ChatGPT TTPs:
do not use without manual checkT1071.004, T1566.002, T1059.001, T1140, T1105, T1005, T1071.001
IOCs:
File: 4
Domain: 4
Url: 2
Hash: 2
IP: 1
Algorithms:
base64, aes
Languages:
powershell
Links:
https://github.com/projectdiscovery/interactshTrend Micro
Threat Actors Target the Middle East Using Fake Palo Alto GlobalProtect Tool
Threat actors are targeting users in the Middle East by distributing sophisticated malware disguised as the Palo Alto GlobalProtect tool.
CTT Report Hub
#ParsedReport #CompletenessMedium 01-09-2024 Threat Actors Target the Middle East Using Fake Palo Alto GlobalProtect Tool. Summary and introduction https://www.trendmicro.com/en_us/research/24/h/threat-actors-target-middle-east-using-fake-tool.html Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что злоумышленники проводят сложную вредоносную кампанию на Ближнем Востоке, маскируя вредоносное ПО под законный инструмент Palo Alto GlobalProtect. Вредоносная программа использует передовые технологии, в том числе двухэтапные процедуры заражения, передовую инфраструктуру C&C, строковое шифрование, тактику обхода и использование проекта Interactsh для создания маяков. Он нацелен на конкретные организации на Ближнем Востоке, потенциально предназначенные для геополитического или экономического шпионажа, и подчеркивает важность того, чтобы специалисты по кибербезопасности оставались информированными и бдительными для эффективной борьбы с такими передовыми угрозами.
-----
Злоумышленники активно атакуют пользователей на Ближнем Востоке с помощью сложной вредоносной кампании, которая заключается в маскировке вредоносного ПО под законный инструмент Palo Alto GlobalProtect. Вредоносное ПО использует двухэтапную процедуру заражения и использует передовую инфраструктуру командования и контроля (C&C) для взаимодействия. Он использует проект Interactsh для создания маяков, подключаясь к определенным именам хостов в домене Interactsh. Вредоносная программа способна выполнять удаленные команды PowerShell, загружать и извлекать файлы, шифровать сообщения и обходить безопасные решения.
Конкретный способ доставки этой вредоносной программы остается неясным, хотя есть подозрения, что она является частью фишинговой атаки, которая вводит жертв в заблуждение, заставляя их поверить, что они устанавливают подлинный агент GlobalProtect. Цепочка заражения обычно начинается с файла с именем setup.exe, который развертывает основной компонент вредоносной программы, GlobalProtect.exe а также файлы конфигурации в определенном каталоге на компьютере жертвы.
Чтобы избежать обнаружения, вредоносная программа использует методы обхода анализа поведения и изолированных решений, проверяя наличие определенных файлов и процессов перед выполнением своего основного блока кода. Он также извлекает различную информацию из файлов конфигурации, такую как IP-адрес жертвы, сведения об операционной системе, имя пользователя, название компьютера и ключ шифрования трафика, отправляемого на сервер C&C.
Вредоносная программа использует строковое шифрование с использованием алгоритма AES и использует для своих операций четыре типа команд. Он использует проект Interactsh для создания маяков, отправляя DNS-запросы после каждого этапа процесса заражения в домен, который включает уникальные идентификаторы компьютеров и этапы работы, что позволяет отслеживать продвижение вредоносного ПО.
Обнаруженный образец вредоносного ПО, нацеленного на объекты на Ближнем Востоке, демонстрирует изощренное использование инфраструктуры C&C и методы обхода. Вредоносное ПО динамически переключается на зарегистрированные URL-адреса, имитирующие легальные сервисы в регионе, что повышает его способность вписываться в ожидаемый сетевой трафик. Маскируясь под знакомые региональные службы, злоумышленники используют доверительные отношения для повышения уровня успешности взаимодействия с C&C.
Использование недавно зарегистрированных доменов для ведения информационной деятельности позволяет злоумышленникам избегать попадания в черные списки и усложняет идентификацию. Специфика вредоносного ПО, нацеленного на объекты на Ближнем Востоке, предполагает потенциальную кампанию геополитического или экономического шпионажа. В целом, специалисты по кибербезопасности должны оставаться информированными и бдительными, чтобы эффективно противостоять таким распространенным угрозам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что злоумышленники проводят сложную вредоносную кампанию на Ближнем Востоке, маскируя вредоносное ПО под законный инструмент Palo Alto GlobalProtect. Вредоносная программа использует передовые технологии, в том числе двухэтапные процедуры заражения, передовую инфраструктуру C&C, строковое шифрование, тактику обхода и использование проекта Interactsh для создания маяков. Он нацелен на конкретные организации на Ближнем Востоке, потенциально предназначенные для геополитического или экономического шпионажа, и подчеркивает важность того, чтобы специалисты по кибербезопасности оставались информированными и бдительными для эффективной борьбы с такими передовыми угрозами.
-----
Злоумышленники активно атакуют пользователей на Ближнем Востоке с помощью сложной вредоносной кампании, которая заключается в маскировке вредоносного ПО под законный инструмент Palo Alto GlobalProtect. Вредоносное ПО использует двухэтапную процедуру заражения и использует передовую инфраструктуру командования и контроля (C&C) для взаимодействия. Он использует проект Interactsh для создания маяков, подключаясь к определенным именам хостов в домене Interactsh. Вредоносная программа способна выполнять удаленные команды PowerShell, загружать и извлекать файлы, шифровать сообщения и обходить безопасные решения.
Конкретный способ доставки этой вредоносной программы остается неясным, хотя есть подозрения, что она является частью фишинговой атаки, которая вводит жертв в заблуждение, заставляя их поверить, что они устанавливают подлинный агент GlobalProtect. Цепочка заражения обычно начинается с файла с именем setup.exe, который развертывает основной компонент вредоносной программы, GlobalProtect.exe а также файлы конфигурации в определенном каталоге на компьютере жертвы.
Чтобы избежать обнаружения, вредоносная программа использует методы обхода анализа поведения и изолированных решений, проверяя наличие определенных файлов и процессов перед выполнением своего основного блока кода. Он также извлекает различную информацию из файлов конфигурации, такую как IP-адрес жертвы, сведения об операционной системе, имя пользователя, название компьютера и ключ шифрования трафика, отправляемого на сервер C&C.
Вредоносная программа использует строковое шифрование с использованием алгоритма AES и использует для своих операций четыре типа команд. Он использует проект Interactsh для создания маяков, отправляя DNS-запросы после каждого этапа процесса заражения в домен, который включает уникальные идентификаторы компьютеров и этапы работы, что позволяет отслеживать продвижение вредоносного ПО.
Обнаруженный образец вредоносного ПО, нацеленного на объекты на Ближнем Востоке, демонстрирует изощренное использование инфраструктуры C&C и методы обхода. Вредоносное ПО динамически переключается на зарегистрированные URL-адреса, имитирующие легальные сервисы в регионе, что повышает его способность вписываться в ожидаемый сетевой трафик. Маскируясь под знакомые региональные службы, злоумышленники используют доверительные отношения для повышения уровня успешности взаимодействия с C&C.
Использование недавно зарегистрированных доменов для ведения информационной деятельности позволяет злоумышленникам избегать попадания в черные списки и усложняет идентификацию. Специфика вредоносного ПО, нацеленного на объекты на Ближнем Востоке, предполагает потенциальную кампанию геополитического или экономического шпионажа. В целом, специалисты по кибербезопасности должны оставаться информированными и бдительными, чтобы эффективно противостоять таким распространенным угрозам.
#ParsedReport #CompletenessLow
31-08-2024
Atlassian CVE-2023-22527 Cryptojacking Full-Scale Exploitation
https://www.secureblink.com/cyber-security-news/atlassian-cve-2023-22527-cryptojacking-full-scale-exploitation
Report completeness: Low
Threats:
Xmrig_miner
Coinminer
Malxmr_miner
CVEs:
CVE-2023-22527 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.5.4, 8.7.0)
TTPs:
Tactics: 7
Technics: 9
IOCs:
Hash: 6
File: 1
Url: 7
Soft:
Confluence, Unix
31-08-2024
Atlassian CVE-2023-22527 Cryptojacking Full-Scale Exploitation
https://www.secureblink.com/cyber-security-news/atlassian-cve-2023-22527-cryptojacking-full-scale-exploitation
Report completeness: Low
Threats:
Xmrig_miner
Coinminer
Malxmr_miner
CVEs:
CVE-2023-22527 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.5.4, 8.7.0)
TTPs:
Tactics: 7
Technics: 9
IOCs:
Hash: 6
File: 1
Url: 7
Soft:
Confluence, Unix
Secureblink
Atlassian CVE-2023-22527 Cryptojacking Full-Scale Exploitation
Explore CVE-2023-22527 in Atlassian Confluence: Detailed analysis of cryptojacking attacks, methods, and essential security recommendations
CTT Report Hub
#ParsedReport #CompletenessLow 31-08-2024 Atlassian CVE-2023-22527 Cryptojacking Full-Scale Exploitation https://www.secureblink.com/cyber-security-news/atlassian-cve-2023-22527-cryptojacking-full-scale-exploitation Report completeness: Low Threats: Xmrig_miner…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что в Atlassian Confluence была обнаружена критическая уязвимость (CVE-2023-22527), которая приводит к взлому криптовалюты злоумышленниками, использующими уязвимость для несанкционированного удаленного выполнения кода. В тексте освещается влияние уязвимости на версии центров обработки данных и серверов Confluence, тактика, используемая злоумышленниками для взлома криптографических систем, анализ действий участников угроз и даются рекомендации для организаций по снижению рисков путем обновления систем, внедрения методов обеспечения безопасности и совершенствования механизмов мониторинга и защиты.
-----
CVE-2023-22527 - это критическая уязвимость, обнаруженная в Atlassian Confluence с оценкой серьезности 10, которая активно используется для взлома криптосистем. Уязвимость затрагивает центры обработки данных и серверы Confluence в версиях от 8.0.x до 8.5.3, создавая значительные риски из-за возможности удаленного выполнения кода без проверки подлинности (RCE) посредством внедрения шаблона.
Злоумышленники, использующие эту уязвимость, используют различные методы для проведения криптографических атак. Один из методов заключается в использовании сценариев командной строки и майнеров XMRig для преобразования уязвимых сред в сети криптодобычи. Они нацелены на конечные точки SSH, устраняют конкурирующие процессы криптодобычи и обеспечивают постоянство с помощью манипуляций с заданиями cron.
Среди участников угроз, которые, как было замечено, используют CVE-2023-22527, первый участник развертывает майнер XMRig, используя полезную нагрузку ELF-файла. Их действия включают отправку вредоносных запросов, завершение известных процессов криптодобычи, удаление и создание заданий cron для сохранения, деинсталляцию служб безопасности и попытки распространения скриптов криптодобычи путем принудительного доступа по SSH. Второй участник атаки также участвует в атаке, сосредоточившись на завершении процесса, манипулировании заданиями cron, удалении служб безопасности, таких как Alibaba Cloud Shield, и сборе учетных данных пользователей и IP-адресов для будущих атак.
Чтобы снизить риски, связанные с этой уязвимостью и возможными с ее помощью атаками с использованием криптографических средств, организациям настоятельно рекомендуется своевременно обновлять свои экземпляры Atlassian Confluence. Важно внедрять надежные методы обеспечения безопасности, включая мониторинг подозрительных действий, регулярный аудит и защиту точек доступа SSH, поддержание в актуальном состоянии служб безопасности и применение строгих протоколов управления учетными данными.
Обеспечение своевременного применения исправлений безопасности, проведение аудита безопасности для выявления потенциальных уязвимостей и расширение возможностей мониторинга сети также являются важными шагами для предотвращения потенциальных атак с использованием криптоджекинга с использованием CVE-2023-22527. Кроме того, организациям следует рассмотреть возможность использования систем обнаружения вторжений (IDS) и регулярно информировать сотрудников о важности соблюдения правил кибербезопасности для повышения общей защиты от подобных угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что в Atlassian Confluence была обнаружена критическая уязвимость (CVE-2023-22527), которая приводит к взлому криптовалюты злоумышленниками, использующими уязвимость для несанкционированного удаленного выполнения кода. В тексте освещается влияние уязвимости на версии центров обработки данных и серверов Confluence, тактика, используемая злоумышленниками для взлома криптографических систем, анализ действий участников угроз и даются рекомендации для организаций по снижению рисков путем обновления систем, внедрения методов обеспечения безопасности и совершенствования механизмов мониторинга и защиты.
-----
CVE-2023-22527 - это критическая уязвимость, обнаруженная в Atlassian Confluence с оценкой серьезности 10, которая активно используется для взлома криптосистем. Уязвимость затрагивает центры обработки данных и серверы Confluence в версиях от 8.0.x до 8.5.3, создавая значительные риски из-за возможности удаленного выполнения кода без проверки подлинности (RCE) посредством внедрения шаблона.
Злоумышленники, использующие эту уязвимость, используют различные методы для проведения криптографических атак. Один из методов заключается в использовании сценариев командной строки и майнеров XMRig для преобразования уязвимых сред в сети криптодобычи. Они нацелены на конечные точки SSH, устраняют конкурирующие процессы криптодобычи и обеспечивают постоянство с помощью манипуляций с заданиями cron.
Среди участников угроз, которые, как было замечено, используют CVE-2023-22527, первый участник развертывает майнер XMRig, используя полезную нагрузку ELF-файла. Их действия включают отправку вредоносных запросов, завершение известных процессов криптодобычи, удаление и создание заданий cron для сохранения, деинсталляцию служб безопасности и попытки распространения скриптов криптодобычи путем принудительного доступа по SSH. Второй участник атаки также участвует в атаке, сосредоточившись на завершении процесса, манипулировании заданиями cron, удалении служб безопасности, таких как Alibaba Cloud Shield, и сборе учетных данных пользователей и IP-адресов для будущих атак.
Чтобы снизить риски, связанные с этой уязвимостью и возможными с ее помощью атаками с использованием криптографических средств, организациям настоятельно рекомендуется своевременно обновлять свои экземпляры Atlassian Confluence. Важно внедрять надежные методы обеспечения безопасности, включая мониторинг подозрительных действий, регулярный аудит и защиту точек доступа SSH, поддержание в актуальном состоянии служб безопасности и применение строгих протоколов управления учетными данными.
Обеспечение своевременного применения исправлений безопасности, проведение аудита безопасности для выявления потенциальных уязвимостей и расширение возможностей мониторинга сети также являются важными шагами для предотвращения потенциальных атак с использованием криптоджекинга с использованием CVE-2023-22527. Кроме того, организациям следует рассмотреть возможность использования систем обнаружения вторжений (IDS) и регулярно информировать сотрудников о важности соблюдения правил кибербезопасности для повышения общей защиты от подобных угроз.
#ParsedReport #CompletenessMedium
01-09-2024
Silent Intrusions: Godzilla Fileless Backdoors Targeting Atlassian Confluence
https://www.trendmicro.com/en_us/research/24/h/godzilla-fileless-backdoors.html
Report completeness: Medium
Threats:
Godzilla_webshell
Beichendream_tool
Backdoor.js.webshell.vsnw08h24
Process_injection_technique
CVEs:
CVE-2023-22527 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.5.4, 8.7.0)
TTPs:
Tactics: 6
Technics: 9
IOCs:
File: 3
Hash: 2
Soft:
Confluence, Unix
Algorithms:
aes-128, base64, md5, aes
Languages:
javascript, java
Links:
01-09-2024
Silent Intrusions: Godzilla Fileless Backdoors Targeting Atlassian Confluence
https://www.trendmicro.com/en_us/research/24/h/godzilla-fileless-backdoors.html
Report completeness: Medium
Threats:
Godzilla_webshell
Beichendream_tool
Backdoor.js.webshell.vsnw08h24
Process_injection_technique
CVEs:
CVE-2023-22527 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.5.4, 8.7.0)
TTPs:
Tactics: 6
Technics: 9
IOCs:
File: 3
Hash: 2
Soft:
Confluence, Unix
Algorithms:
aes-128, base64, md5, aes
Languages:
javascript, java
Links:
https://github.com/feihong-cs/memShell/tree/masterhttps://github.com/BeichenDream/GodzillaMemoryShellProject/tree/mainhttps://github.com/BeichenDream/GodzillaMemoryShellProjectTrend Micro
Silent Intrusions: Godzilla Fileless Backdoors Targeting Atlassian Confluence
CTT Report Hub
#ParsedReport #CompletenessMedium 01-09-2024 Silent Intrusions: Godzilla Fileless Backdoors Targeting Atlassian Confluence https://www.trendmicro.com/en_us/research/24/h/godzilla-fileless-backdoors.html Report completeness: Medium Threats: Godzilla_webshell…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении нового бэкдора без использования файлов в памяти под названием Godzilla webshell, который используется для использования старых версий Atlassian Confluence, затронутых CVE-2023-22527. Этот бэкдор, управляемый злоумышленником, известным как "BeichenDream", использует передовые методы, такие как шифрование AES и тактика обхода, чтобы избежать обнаружения традиционными мерами безопасности. В тексте подчеркивается важность постоянного обновления систем, использования передовых решений в области безопасности и упреждающих мер безопасности для защиты от возникающих киберугроз.
-----
Компания Trend Micro обнаружила использование старых версий Atlassian Confluence в CVE-2023-22527, работающем на базе Godzilla webshell.
Godzilla - это сложный бэкдор на китайском языке, использующий шифрование AES при работе в оперативной памяти, чтобы избежать обнаружения.
Злоумышленник, стоящий за Godzilla, известен как "BeichenDream" и разработал бэкдор, чтобы избежать обнаружения традиционными средствами безопасности.
Методы вредоносного ПО без файлов, такие как Godzilla, создают проблемы для организаций с устаревшими решениями безопасности.
Атака использует CVE-2023-22527 для выполнения объектов OGNL и скрытного развертывания вредоносных элементов.
Атака включает в себя декодирование значений Base64, использование класса MemGodValueShell и внедрение несанкционированных точек доступа в конвейер Tomcat.
Бэкдор указывает на продолжающуюся эксплуатацию CVE-2023-22527, подчеркивая необходимость немедленного исправления.
Рекомендации включают использование решений безопасности, таких как Trend Vision One, и специальных правил защиты от угроз, использующих CVE-2023-22527.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении нового бэкдора без использования файлов в памяти под названием Godzilla webshell, который используется для использования старых версий Atlassian Confluence, затронутых CVE-2023-22527. Этот бэкдор, управляемый злоумышленником, известным как "BeichenDream", использует передовые методы, такие как шифрование AES и тактика обхода, чтобы избежать обнаружения традиционными мерами безопасности. В тексте подчеркивается важность постоянного обновления систем, использования передовых решений в области безопасности и упреждающих мер безопасности для защиты от возникающих киберугроз.
-----
Компания Trend Micro обнаружила использование старых версий Atlassian Confluence в CVE-2023-22527, работающем на базе Godzilla webshell.
Godzilla - это сложный бэкдор на китайском языке, использующий шифрование AES при работе в оперативной памяти, чтобы избежать обнаружения.
Злоумышленник, стоящий за Godzilla, известен как "BeichenDream" и разработал бэкдор, чтобы избежать обнаружения традиционными средствами безопасности.
Методы вредоносного ПО без файлов, такие как Godzilla, создают проблемы для организаций с устаревшими решениями безопасности.
Атака использует CVE-2023-22527 для выполнения объектов OGNL и скрытного развертывания вредоносных элементов.
Атака включает в себя декодирование значений Base64, использование класса MemGodValueShell и внедрение несанкционированных точек доступа в конвейер Tomcat.
Бэкдор указывает на продолжающуюся эксплуатацию CVE-2023-22527, подчеркивая необходимость немедленного исправления.
Рекомендации включают использование решений безопасности, таких как Trend Vision One, и специальных правил защиты от угроз, использующих CVE-2023-22527.
#ParsedReport #CompletenessMedium
01-09-2024
Malware attacks exploiting AppDomainManager Injection
https://jp.security.ntt/tech_blog/appdomainmanager-injection
Report completeness: Medium
Actors/Campaigns:
Winnti
Threats:
Spear-phishing_technique
Grimresource_technique
Dll_sideloading_technique
Cobalt_strike
Victims:
Government agencies, Military, Energy organizations
Industry:
Military, Energy, Government
Geo:
China, Vietnam, Philippines, Korean, Japan, Japanese, Taiwan
ChatGPT TTPs:
T1566.001, T1027, T1574.002, T1059.007, T1219
IOCs:
Domain: 9
File: 5
Soft:
Microsoft Word, Windows certificate, NET Framework
Algorithms:
zip
Functions:
InitializeNewDomain
Languages:
javascript
01-09-2024
Malware attacks exploiting AppDomainManager Injection
https://jp.security.ntt/tech_blog/appdomainmanager-injection
Report completeness: Medium
Actors/Campaigns:
Winnti
Threats:
Spear-phishing_technique
Grimresource_technique
Dll_sideloading_technique
Cobalt_strike
Victims:
Government agencies, Military, Energy organizations
Industry:
Military, Energy, Government
Geo:
China, Vietnam, Philippines, Korean, Japan, Japanese, Taiwan
ChatGPT TTPs:
do not use without manual checkT1566.001, T1027, T1574.002, T1059.007, T1219
IOCs:
Domain: 9
File: 5
Soft:
Microsoft Word, Windows certificate, NET Framework
Algorithms:
zip
Functions:
InitializeNewDomain
Languages:
javascript
jp.security.ntt
AppDomainManager Injectionを悪用したマルウェアによる攻撃について | NTTセキュリティテクニカルブログ
👍1
CTT Report Hub
#ParsedReport #CompletenessMedium 01-09-2024 Malware attacks exploiting AppDomainManager Injection https://jp.security.ntt/tech_blog/appdomainmanager-injection Report completeness: Medium Actors/Campaigns: Winnti Threats: Spear-phishing_technique Gri…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте обсуждается возникновение атак с использованием внедрения AppDomainManager для запуска вредоносного ПО, подчеркивается относительная неизвестность этого метода, несмотря на его потенциал для проведения сложных киберкампаний. Атаки связаны с использованием вредоносных файлов MSC, использующих GrimResource, с выявленными схемами доставки через вредоносные веб-сайты и фишинговые электронные письма. В тексте также затрагивается использование радиомаяков CobaltStrike и потенциальное участие государства, что подчеркивает необходимость для организаций усилить свои возможности обнаружения и меры защиты от этой передовой техники.
-----
Атаки, использующие внедрение AppDomainManager для запуска вредоносного ПО, наблюдались примерно с июля 2024 года.
Несмотря на то, что этот метод был публично представлен в 2017 году, количество сообщений о реальных атаках с использованием этого метода было ограничено, что привело к его относительной малоизвестности.
В последнее время наблюдались атаки по двум основным схемам: загрузка ZIP-файла с вредоносного веб-сайта или получение ZIP-файла в виде вложения в электронном письме, предназначенном для фишинга. ZIP-файл содержит вредоносный MSC-файл, который запускает атаку при открытии.
Вредоносные файлы MSC используют технологию, известную как GrimResource, позволяющую выполнять вредоносные действия при открытии без необходимости перехода пользователя по каким-либо ссылкам.
В этих атаках использовались маяки CobaltStrike, указывающие на изощренность и соответствие тактике, связанной с APT41.
Спонсируемые государством атакующие группы используют скрытность внедрения AppDomainManager, что предполагает возможность более широкого использования в будущих киберкампаниях.
Организациям рекомендуется расширить свои возможности обнаружения для выявления и смягчения последствий атак, связанных с внедрением AppDomainManager.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте обсуждается возникновение атак с использованием внедрения AppDomainManager для запуска вредоносного ПО, подчеркивается относительная неизвестность этого метода, несмотря на его потенциал для проведения сложных киберкампаний. Атаки связаны с использованием вредоносных файлов MSC, использующих GrimResource, с выявленными схемами доставки через вредоносные веб-сайты и фишинговые электронные письма. В тексте также затрагивается использование радиомаяков CobaltStrike и потенциальное участие государства, что подчеркивает необходимость для организаций усилить свои возможности обнаружения и меры защиты от этой передовой техники.
-----
Атаки, использующие внедрение AppDomainManager для запуска вредоносного ПО, наблюдались примерно с июля 2024 года.
Несмотря на то, что этот метод был публично представлен в 2017 году, количество сообщений о реальных атаках с использованием этого метода было ограничено, что привело к его относительной малоизвестности.
В последнее время наблюдались атаки по двум основным схемам: загрузка ZIP-файла с вредоносного веб-сайта или получение ZIP-файла в виде вложения в электронном письме, предназначенном для фишинга. ZIP-файл содержит вредоносный MSC-файл, который запускает атаку при открытии.
Вредоносные файлы MSC используют технологию, известную как GrimResource, позволяющую выполнять вредоносные действия при открытии без необходимости перехода пользователя по каким-либо ссылкам.
В этих атаках использовались маяки CobaltStrike, указывающие на изощренность и соответствие тактике, связанной с APT41.
Спонсируемые государством атакующие группы используют скрытность внедрения AppDomainManager, что предполагает возможность более широкого использования в будущих киберкампаниях.
Организациям рекомендуется расширить свои возможности обнаружения для выявления и смягчения последствий атак, связанных с внедрением AppDomainManager.
#ParsedReport #CompletenessLow
01-09-2024
TLD Tracker: Exploring Newly Released Top-Level Domains
https://unit42.paloaltonetworks.com/tracking-newly-released-top-level-domains
Report completeness: Low
Threats:
Zipbomb_technique
Geo:
Apac, Emea, America, German, Japan
ChatGPT TTPs:
T1566, T1499, T1553
IOCs:
Domain: 29
File: 13
Soft:
YouTube music
Algorithms:
zip
Languages:
php
01-09-2024
TLD Tracker: Exploring Newly Released Top-Level Domains
https://unit42.paloaltonetworks.com/tracking-newly-released-top-level-domains
Report completeness: Low
Threats:
Zipbomb_technique
Geo:
Apac, Emea, America, German, Japan
ChatGPT TTPs:
do not use without manual checkT1566, T1499, T1553
IOCs:
Domain: 29
File: 13
Soft:
YouTube music
Algorithms:
zip
Languages:
php
Unit 42
TLD Tracker: Exploring Newly Released Top-Level Domains
Unit 42 researchers use a novel graph-based pipeline to detect misuse of 19 new TLDs for phishing, chatbots and more in several case studies. Unit 42 researchers use a novel graph-based pipeline to detect misuse of 19 new TLDs for phishing, chatbots and more…
CTT Report Hub
#ParsedReport #CompletenessLow 01-09-2024 TLD Tracker: Exploring Newly Released Top-Level Domains https://unit42.paloaltonetworks.com/tracking-newly-released-top-level-domains Report completeness: Low Threats: Zipbomb_technique Geo: Apac, Emea, America…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в расследовании недавно освобожденных доменов верхнего уровня (TLD) и связанных с ними вредоносных действий, таких как фишинговые кампании, распространение нежелательных программ, торрент-сайты и кампании с розыгрышами/мемами. В нем освещаются проблемы, с которыми сталкиваются организации при регистрации своих имен в этих новых доменах верхнего уровня, методы сбора данных, используемые для выявления вредоносных действий, и конкретные примеры, демонстрирующие различные типы вредоносных кампаний. Кроме того, подчеркивается важность мониторинга доменов в рамках новых TLD и роль своевременного обмена разведывательной информацией в борьбе с киберугрозами, а также решения для сетевой безопасности, предлагаемые Palo Alto Networks.
-----
В тексте обсуждается расследование 19 новых доменов верхнего уровня (TLD) за последний год, в ходе которого были выявлены различные вредоносные действия, такие как крупномасштабные фишинговые кампании, распространение нежелательных программ, торрент-сайты и кампании с розыгрышами/мемами. Поскольку в настоящее время существует более 1000 общих доменов верхнего уровня, добавление новых доменов верхнего уровня увеличивает риск вредоносных действий, таких как захват домена и фишинг, особенно если эти домены верхнего уровня напоминают популярные расширения файлов или идентификаторы сервисов.
В отчете подчеркиваются проблемы, с которыми сталкиваются организации при регистрации своих имен в целях защиты во всех недавно выпущенных доменах верхнего уровня, что дает злоумышленникам возможность использовать эти домены в злонамеренных целях. В нем также освещаются обязательные этапы, связанные с запуском новых доменов верхнего уровня, при этом важное значение имеют период запуска и общая доступность.
Методы сбора данных, упомянутые в тексте, включают пассивный DNS, WHOIS, сторонние источники информации об угрозах, статический и динамический анализ вредоносных программ, а также данные активного веб-обхода. Используя эти источники, была разработана автоматизированная система обнаружения для извлечения связанных данных, таких как URL, IP-адреса и образцы вредоносных программ. Система выявила кластеры доменов, связанных с недобросовестными действиями, такими как фишинговые кампании и перенаправление пользователей на вредоносные веб-сайты.
Представлены конкретные примеры, в том числе домены в TLD, используемые для фишинговых кампаний и атак с перенаправлением. Также обсуждаются такие тенденции, как использование QR-кодов для вовлечения жертв в SMS-мошенничество. В тексте указываются кампании, использующие популярные расширения файлов в качестве TLD для торрент- и пиратского распространения, иллюстрирующие потенциальные риски и уязвимости.
Заслуживающие внимания результаты включают анализ ранее зарегистрированных вредоносных доменов .zip, которые теперь превратились в NX-домены, заблокированные страницы или страницы, критикующие TLD. Некоторые из этих доменов теперь содержат розыгрышный контент вместо вредоносных действий, в то время как другие распространяют зараженный вредоносным по контент. Подчеркивается важность мониторинга доменов в рамках новых TLD для отслеживания вредоносных тенденций и атак.
Palo Alto Networks предлагает решения для сетевой безопасности, такие как расширенная защита DNS и фильтрация URL-адресов, для защиты от угроз, описанных в статье. Делясь результатами с членами Альянса по борьбе с киберугрозами, Palo Alto Networks стремится способствовать быстрому внедрению средств защиты от киберугроз. Подчеркивается роль своевременного обмена разведывательными данными в пресечении действий злоумышленников в киберпространстве как коллективных усилий в рамках сообщества кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в расследовании недавно освобожденных доменов верхнего уровня (TLD) и связанных с ними вредоносных действий, таких как фишинговые кампании, распространение нежелательных программ, торрент-сайты и кампании с розыгрышами/мемами. В нем освещаются проблемы, с которыми сталкиваются организации при регистрации своих имен в этих новых доменах верхнего уровня, методы сбора данных, используемые для выявления вредоносных действий, и конкретные примеры, демонстрирующие различные типы вредоносных кампаний. Кроме того, подчеркивается важность мониторинга доменов в рамках новых TLD и роль своевременного обмена разведывательной информацией в борьбе с киберугрозами, а также решения для сетевой безопасности, предлагаемые Palo Alto Networks.
-----
В тексте обсуждается расследование 19 новых доменов верхнего уровня (TLD) за последний год, в ходе которого были выявлены различные вредоносные действия, такие как крупномасштабные фишинговые кампании, распространение нежелательных программ, торрент-сайты и кампании с розыгрышами/мемами. Поскольку в настоящее время существует более 1000 общих доменов верхнего уровня, добавление новых доменов верхнего уровня увеличивает риск вредоносных действий, таких как захват домена и фишинг, особенно если эти домены верхнего уровня напоминают популярные расширения файлов или идентификаторы сервисов.
В отчете подчеркиваются проблемы, с которыми сталкиваются организации при регистрации своих имен в целях защиты во всех недавно выпущенных доменах верхнего уровня, что дает злоумышленникам возможность использовать эти домены в злонамеренных целях. В нем также освещаются обязательные этапы, связанные с запуском новых доменов верхнего уровня, при этом важное значение имеют период запуска и общая доступность.
Методы сбора данных, упомянутые в тексте, включают пассивный DNS, WHOIS, сторонние источники информации об угрозах, статический и динамический анализ вредоносных программ, а также данные активного веб-обхода. Используя эти источники, была разработана автоматизированная система обнаружения для извлечения связанных данных, таких как URL, IP-адреса и образцы вредоносных программ. Система выявила кластеры доменов, связанных с недобросовестными действиями, такими как фишинговые кампании и перенаправление пользователей на вредоносные веб-сайты.
Представлены конкретные примеры, в том числе домены в TLD, используемые для фишинговых кампаний и атак с перенаправлением. Также обсуждаются такие тенденции, как использование QR-кодов для вовлечения жертв в SMS-мошенничество. В тексте указываются кампании, использующие популярные расширения файлов в качестве TLD для торрент- и пиратского распространения, иллюстрирующие потенциальные риски и уязвимости.
Заслуживающие внимания результаты включают анализ ранее зарегистрированных вредоносных доменов .zip, которые теперь превратились в NX-домены, заблокированные страницы или страницы, критикующие TLD. Некоторые из этих доменов теперь содержат розыгрышный контент вместо вредоносных действий, в то время как другие распространяют зараженный вредоносным по контент. Подчеркивается важность мониторинга доменов в рамках новых TLD для отслеживания вредоносных тенденций и атак.
Palo Alto Networks предлагает решения для сетевой безопасности, такие как расширенная защита DNS и фильтрация URL-адресов, для защиты от угроз, описанных в статье. Делясь результатами с членами Альянса по борьбе с киберугрозами, Palo Alto Networks стремится способствовать быстрому внедрению средств защиты от киберугроз. Подчеркивается роль своевременного обмена разведывательными данными в пресечении действий злоумышленников в киберпространстве как коллективных усилий в рамках сообщества кибербезопасности.
#ParsedReport #CompletenessLow
01-09-2024
Malware Detailed Analysis Report
https://download.hauri.net/DownSource/down/dwn_detail_down.html?uid=68&file=.pdf
Report completeness: Low
Actors/Campaigns:
Kimsuky
Threats:
Babyshark
Geo:
Taiwan, Korean, North korean
ChatGPT TTPs:
T1140, T1059.005, T1036.005, T1053.005, T1204.002
IOCs:
File: 15
Path: 4
Url: 13
Hash: 7
Soft:
curl, task scheduler
Algorithms:
base64, md5
Languages:
php
01-09-2024
Malware Detailed Analysis Report
https://download.hauri.net/DownSource/down/dwn_detail_down.html?uid=68&file=.pdf
Report completeness: Low
Actors/Campaigns:
Kimsuky
Threats:
Babyshark
Geo:
Taiwan, Korean, North korean
ChatGPT TTPs:
do not use without manual checkT1140, T1059.005, T1036.005, T1053.005, T1204.002
IOCs:
File: 15
Path: 4
Url: 13
Hash: 7
Soft:
curl, task scheduler
Algorithms:
base64, md5
Languages:
php