#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что злоумышленники проводят сложную вредоносную кампанию на Ближнем Востоке, маскируя вредоносное ПО под законный инструмент Palo Alto GlobalProtect. Вредоносная программа использует передовые технологии, в том числе двухэтапные процедуры заражения, передовую инфраструктуру C&C, строковое шифрование, тактику обхода и использование проекта Interactsh для создания маяков. Он нацелен на конкретные организации на Ближнем Востоке, потенциально предназначенные для геополитического или экономического шпионажа, и подчеркивает важность того, чтобы специалисты по кибербезопасности оставались информированными и бдительными для эффективной борьбы с такими передовыми угрозами.
-----

Злоумышленники активно атакуют пользователей на Ближнем Востоке с помощью сложной вредоносной кампании, которая заключается в маскировке вредоносного ПО под законный инструмент Palo Alto GlobalProtect. Вредоносное ПО использует двухэтапную процедуру заражения и использует передовую инфраструктуру командования и контроля (C&C) для взаимодействия. Он использует проект Interactsh для создания маяков, подключаясь к определенным именам хостов в домене Interactsh. Вредоносная программа способна выполнять удаленные команды PowerShell, загружать и извлекать файлы, шифровать сообщения и обходить безопасные решения.

Конкретный способ доставки этой вредоносной программы остается неясным, хотя есть подозрения, что она является частью фишинговой атаки, которая вводит жертв в заблуждение, заставляя их поверить, что они устанавливают подлинный агент GlobalProtect. Цепочка заражения обычно начинается с файла с именем setup.exe, который развертывает основной компонент вредоносной программы, GlobalProtect.exe а также файлы конфигурации в определенном каталоге на компьютере жертвы.

Чтобы избежать обнаружения, вредоносная программа использует методы обхода анализа поведения и изолированных решений, проверяя наличие определенных файлов и процессов перед выполнением своего основного блока кода. Он также извлекает различную информацию из файлов конфигурации, такую как IP-адрес жертвы, сведения об операционной системе, имя пользователя, название компьютера и ключ шифрования трафика, отправляемого на сервер C&C.

Вредоносная программа использует строковое шифрование с использованием алгоритма AES и использует для своих операций четыре типа команд. Он использует проект Interactsh для создания маяков, отправляя DNS-запросы после каждого этапа процесса заражения в домен, который включает уникальные идентификаторы компьютеров и этапы работы, что позволяет отслеживать продвижение вредоносного ПО.

Обнаруженный образец вредоносного ПО, нацеленного на объекты на Ближнем Востоке, демонстрирует изощренное использование инфраструктуры C&C и методы обхода. Вредоносное ПО динамически переключается на зарегистрированные URL-адреса, имитирующие легальные сервисы в регионе, что повышает его способность вписываться в ожидаемый сетевой трафик. Маскируясь под знакомые региональные службы, злоумышленники используют доверительные отношения для повышения уровня успешности взаимодействия с C&C.

Использование недавно зарегистрированных доменов для ведения информационной деятельности позволяет злоумышленникам избегать попадания в черные списки и усложняет идентификацию. Специфика вредоносного ПО, нацеленного на объекты на Ближнем Востоке, предполагает потенциальную кампанию геополитического или экономического шпионажа. В целом, специалисты по кибербезопасности должны оставаться информированными и бдительными, чтобы эффективно противостоять таким распространенным угрозам.

#ParsedReport #CompletenessLow
31-08-2024

Atlassian CVE-2023-22527 Cryptojacking Full-Scale Exploitation

https://www.secureblink.com/cyber-security-news/atlassian-cve-2023-22527-cryptojacking-full-scale-exploitation

Report completeness: Low

Threats:
Xmrig_miner
Coinminer
Malxmr_miner

CVEs:
CVE-2023-22527 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.5.4, 8.7.0)


TTPs:
Tactics: 7
Technics: 9

IOCs:
Hash: 6
File: 1
Url: 7

Soft:
Confluence, Unix

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в Atlassian Confluence была обнаружена критическая уязвимость (CVE-2023-22527), которая приводит к взлому криптовалюты злоумышленниками, использующими уязвимость для несанкционированного удаленного выполнения кода. В тексте освещается влияние уязвимости на версии центров обработки данных и серверов Confluence, тактика, используемая злоумышленниками для взлома криптографических систем, анализ действий участников угроз и даются рекомендации для организаций по снижению рисков путем обновления систем, внедрения методов обеспечения безопасности и совершенствования механизмов мониторинга и защиты.
-----

CVE-2023-22527 - это критическая уязвимость, обнаруженная в Atlassian Confluence с оценкой серьезности 10, которая активно используется для взлома криптосистем. Уязвимость затрагивает центры обработки данных и серверы Confluence в версиях от 8.0.x до 8.5.3, создавая значительные риски из-за возможности удаленного выполнения кода без проверки подлинности (RCE) посредством внедрения шаблона.

Злоумышленники, использующие эту уязвимость, используют различные методы для проведения криптографических атак. Один из методов заключается в использовании сценариев командной строки и майнеров XMRig для преобразования уязвимых сред в сети криптодобычи. Они нацелены на конечные точки SSH, устраняют конкурирующие процессы криптодобычи и обеспечивают постоянство с помощью манипуляций с заданиями cron.

Среди участников угроз, которые, как было замечено, используют CVE-2023-22527, первый участник развертывает майнер XMRig, используя полезную нагрузку ELF-файла. Их действия включают отправку вредоносных запросов, завершение известных процессов криптодобычи, удаление и создание заданий cron для сохранения, деинсталляцию служб безопасности и попытки распространения скриптов криптодобычи путем принудительного доступа по SSH. Второй участник атаки также участвует в атаке, сосредоточившись на завершении процесса, манипулировании заданиями cron, удалении служб безопасности, таких как Alibaba Cloud Shield, и сборе учетных данных пользователей и IP-адресов для будущих атак.

Чтобы снизить риски, связанные с этой уязвимостью и возможными с ее помощью атаками с использованием криптографических средств, организациям настоятельно рекомендуется своевременно обновлять свои экземпляры Atlassian Confluence. Важно внедрять надежные методы обеспечения безопасности, включая мониторинг подозрительных действий, регулярный аудит и защиту точек доступа SSH, поддержание в актуальном состоянии служб безопасности и применение строгих протоколов управления учетными данными.

Обеспечение своевременного применения исправлений безопасности, проведение аудита безопасности для выявления потенциальных уязвимостей и расширение возможностей мониторинга сети также являются важными шагами для предотвращения потенциальных атак с использованием криптоджекинга с использованием CVE-2023-22527. Кроме того, организациям следует рассмотреть возможность использования систем обнаружения вторжений (IDS) и регулярно информировать сотрудников о важности соблюдения правил кибербезопасности для повышения общей защиты от подобных угроз.

#ParsedReport #CompletenessMedium
01-09-2024

Silent Intrusions: Godzilla Fileless Backdoors Targeting Atlassian Confluence

https://www.trendmicro.com/en_us/research/24/h/godzilla-fileless-backdoors.html

Report completeness: Medium

Threats:
Godzilla_webshell
Beichendream_tool
Backdoor.js.webshell.vsnw08h24
Process_injection_technique

CVEs:
CVE-2023-22527 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.5.4, 8.7.0)


TTPs:
Tactics: 6
Technics: 9

IOCs:
File: 3
Hash: 2

Soft:
Confluence, Unix

Algorithms:
aes-128, base64, md5, aes

Languages:
javascript, java

Links:
https://github.com/feihong-cs/memShell/tree/master
https://github.com/BeichenDream/GodzillaMemoryShellProject/tree/main
https://github.com/BeichenDream/GodzillaMemoryShellProject

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, code: 15

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении нового бэкдора без использования файлов в памяти под названием Godzilla webshell, который используется для использования старых версий Atlassian Confluence, затронутых CVE-2023-22527. Этот бэкдор, управляемый злоумышленником, известным как "BeichenDream", использует передовые методы, такие как шифрование AES и тактика обхода, чтобы избежать обнаружения традиционными мерами безопасности. В тексте подчеркивается важность постоянного обновления систем, использования передовых решений в области безопасности и упреждающих мер безопасности для защиты от возникающих киберугроз.
-----

Компания Trend Micro обнаружила использование старых версий Atlassian Confluence в CVE-2023-22527, работающем на базе Godzilla webshell.

Godzilla - это сложный бэкдор на китайском языке, использующий шифрование AES при работе в оперативной памяти, чтобы избежать обнаружения.

Злоумышленник, стоящий за Godzilla, известен как "BeichenDream" и разработал бэкдор, чтобы избежать обнаружения традиционными средствами безопасности.

Методы вредоносного ПО без файлов, такие как Godzilla, создают проблемы для организаций с устаревшими решениями безопасности.

Атака использует CVE-2023-22527 для выполнения объектов OGNL и скрытного развертывания вредоносных элементов.

Атака включает в себя декодирование значений Base64, использование класса MemGodValueShell и внедрение несанкционированных точек доступа в конвейер Tomcat.

Бэкдор указывает на продолжающуюся эксплуатацию CVE-2023-22527, подчеркивая необходимость немедленного исправления.

Рекомендации включают использование решений безопасности, таких как Trend Vision One, и специальных правил защиты от угроз, использующих CVE-2023-22527.

#ParsedReport #CompletenessMedium
01-09-2024

Malware attacks exploiting AppDomainManager Injection

https://jp.security.ntt/tech_blog/appdomainmanager-injection

Report completeness: Medium

Actors/Campaigns:
Winnti

Threats:
Spear-phishing_technique
Grimresource_technique
Dll_sideloading_technique
Cobalt_strike

Victims:
Government agencies, Military, Energy organizations

Industry:
Military, Energy, Government

Geo:
China, Vietnam, Philippines, Korean, Japan, Japanese, Taiwan

ChatGPT TTPs:
do not use without manual check
T1566.001, T1027, T1574.002, T1059.007, T1219

IOCs:
Domain: 9
File: 5

Soft:
Microsoft Word, Windows certificate, NET Framework

Algorithms:
zip

Functions:
InitializeNewDomain

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается возникновение атак с использованием внедрения AppDomainManager для запуска вредоносного ПО, подчеркивается относительная неизвестность этого метода, несмотря на его потенциал для проведения сложных киберкампаний. Атаки связаны с использованием вредоносных файлов MSC, использующих GrimResource, с выявленными схемами доставки через вредоносные веб-сайты и фишинговые электронные письма. В тексте также затрагивается использование радиомаяков CobaltStrike и потенциальное участие государства, что подчеркивает необходимость для организаций усилить свои возможности обнаружения и меры защиты от этой передовой техники.
-----

Атаки, использующие внедрение AppDomainManager для запуска вредоносного ПО, наблюдались примерно с июля 2024 года.

Несмотря на то, что этот метод был публично представлен в 2017 году, количество сообщений о реальных атаках с использованием этого метода было ограничено, что привело к его относительной малоизвестности.

В последнее время наблюдались атаки по двум основным схемам: загрузка ZIP-файла с вредоносного веб-сайта или получение ZIP-файла в виде вложения в электронном письме, предназначенном для фишинга. ZIP-файл содержит вредоносный MSC-файл, который запускает атаку при открытии.

Вредоносные файлы MSC используют технологию, известную как GrimResource, позволяющую выполнять вредоносные действия при открытии без необходимости перехода пользователя по каким-либо ссылкам.

В этих атаках использовались маяки CobaltStrike, указывающие на изощренность и соответствие тактике, связанной с APT41.

Спонсируемые государством атакующие группы используют скрытность внедрения AppDomainManager, что предполагает возможность более широкого использования в будущих киберкампаниях.

Организациям рекомендуется расширить свои возможности обнаружения для выявления и смягчения последствий атак, связанных с внедрением AppDomainManager.

#ParsedReport #CompletenessLow
01-09-2024

TLD Tracker: Exploring Newly Released Top-Level Domains

https://unit42.paloaltonetworks.com/tracking-newly-released-top-level-domains

Report completeness: Low

Threats:
Zipbomb_technique

Geo:
Apac, Emea, America, German, Japan

ChatGPT TTPs:
do not use without manual check
T1566, T1499, T1553

IOCs:
Domain: 29
File: 13

Soft:
YouTube music

Algorithms:
zip

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в расследовании недавно освобожденных доменов верхнего уровня (TLD) и связанных с ними вредоносных действий, таких как фишинговые кампании, распространение нежелательных программ, торрент-сайты и кампании с розыгрышами/мемами. В нем освещаются проблемы, с которыми сталкиваются организации при регистрации своих имен в этих новых доменах верхнего уровня, методы сбора данных, используемые для выявления вредоносных действий, и конкретные примеры, демонстрирующие различные типы вредоносных кампаний. Кроме того, подчеркивается важность мониторинга доменов в рамках новых TLD и роль своевременного обмена разведывательной информацией в борьбе с киберугрозами, а также решения для сетевой безопасности, предлагаемые Palo Alto Networks.
-----

В тексте обсуждается расследование 19 новых доменов верхнего уровня (TLD) за последний год, в ходе которого были выявлены различные вредоносные действия, такие как крупномасштабные фишинговые кампании, распространение нежелательных программ, торрент-сайты и кампании с розыгрышами/мемами. Поскольку в настоящее время существует более 1000 общих доменов верхнего уровня, добавление новых доменов верхнего уровня увеличивает риск вредоносных действий, таких как захват домена и фишинг, особенно если эти домены верхнего уровня напоминают популярные расширения файлов или идентификаторы сервисов.

В отчете подчеркиваются проблемы, с которыми сталкиваются организации при регистрации своих имен в целях защиты во всех недавно выпущенных доменах верхнего уровня, что дает злоумышленникам возможность использовать эти домены в злонамеренных целях. В нем также освещаются обязательные этапы, связанные с запуском новых доменов верхнего уровня, при этом важное значение имеют период запуска и общая доступность.

Методы сбора данных, упомянутые в тексте, включают пассивный DNS, WHOIS, сторонние источники информации об угрозах, статический и динамический анализ вредоносных программ, а также данные активного веб-обхода. Используя эти источники, была разработана автоматизированная система обнаружения для извлечения связанных данных, таких как URL, IP-адреса и образцы вредоносных программ. Система выявила кластеры доменов, связанных с недобросовестными действиями, такими как фишинговые кампании и перенаправление пользователей на вредоносные веб-сайты.

Представлены конкретные примеры, в том числе домены в TLD, используемые для фишинговых кампаний и атак с перенаправлением. Также обсуждаются такие тенденции, как использование QR-кодов для вовлечения жертв в SMS-мошенничество. В тексте указываются кампании, использующие популярные расширения файлов в качестве TLD для торрент- и пиратского распространения, иллюстрирующие потенциальные риски и уязвимости.

Заслуживающие внимания результаты включают анализ ранее зарегистрированных вредоносных доменов .zip, которые теперь превратились в NX-домены, заблокированные страницы или страницы, критикующие TLD. Некоторые из этих доменов теперь содержат розыгрышный контент вместо вредоносных действий, в то время как другие распространяют зараженный вредоносным по контент. Подчеркивается важность мониторинга доменов в рамках новых TLD для отслеживания вредоносных тенденций и атак.

Palo Alto Networks предлагает решения для сетевой безопасности, такие как расширенная защита DNS и фильтрация URL-адресов, для защиты от угроз, описанных в статье. Делясь результатами с членами Альянса по борьбе с киберугрозами, Palo Alto Networks стремится способствовать быстрому внедрению средств защиты от киберугроз. Подчеркивается роль своевременного обмена разведывательными данными в пресечении действий злоумышленников в киберпространстве как коллективных усилий в рамках сообщества кибербезопасности.

#ParsedReport #CompletenessLow
01-09-2024

Malware Detailed Analysis Report

https://download.hauri.net/DownSource/down/dwn_detail_down.html?uid=68&file=.pdf

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Babyshark

Geo:
Taiwan, Korean, North korean

ChatGPT TTPs:
do not use without manual check
T1140, T1059.005, T1036.005, T1053.005, T1204.002

IOCs:
File: 15
Path: 4
Url: 13
Hash: 7

Soft:
curl, task scheduler

Algorithms:
base64, md5

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание кампании BabyShark, проводимой северокорейской хакерской группой Kimsuky. Кампания включает в себя изощренную тактику борьбы с киберугрозами, включая использование различных типов файлов, команд CMD, маскировку Google Docs, подключение к C&C серверам, вредоносные программы-бэкдоры и индивидуальные атаки на конкретных жертв. Злоумышленники постоянно совершенствуют свои методы, позволяющие избежать обнаружения, подчеркивая необходимость проведения углубленного анализа и принятия упреждающих мер кибербезопасности для защиты от подобных угроз.
-----

В тексте описывается киберугроза, связанная с кампанией BabyShark, проводимой северокорейской хакерской группой Kimsuky. Эта кампания действует с 2018 года и продолжает развиваться. Изначально в кампании использовались файлы HWP с OLE-объектами, а также файлы .BAT и .VBS. Однако недавние изменения включают использование файлов MSC, чтобы избежать обнаружения решениями безопасности, и использование VbsEdits Launcher для запуска вредоносных программ вместо программ Windows по умолчанию для выполнения VBScript.

Атака включает в себя выполнение команд CMD, которые используют команду curl для загрузки вредоносных кодов и доступа к документам Google, чтобы замаскировать их под обычные файлы. Документ Google, связанный с вредоносными действиями, сохраняется как "Joka.DOCX", название которого отличается от названия в запущенном MSC-файле. Информация о конкретном северокорейском перебежчике включена в документ как на английском, так и на корейском языках. Кроме того, выполняемые команды получают доступ к серверу C&C с помощью команды curl для прямой загрузки и выполнения файлов документа с определенного URL-адреса.

Более подробная информация показывает, что файл с именем SAM1(default1.vbs) зарегистрирован в планировщике задач и запускается через 19 минут. Этот файл пытается загрузить вредоносное ПО, сохраняя его в пути %Appdata%wadoobe.gif в случае успешной загрузки. Загруженное вредоносное ПО представляет собой вредоносную программу-бэкдор, специально предназначенную для конкретной жертвы, что затрудняет дальнейший анализ.

Более того, запущенный VBScript устанавливает соединение с C&C-сервером для загрузки вредоносного ПО в формате "shinefrom- (данные BASE64)-shineto". Данные BASE64 извлекаются, декодируются и сохраняются по пути %Appdata%\Microsoft\Wqer.bat, где они впоследствии выполняются.

В тексте также упоминается выполнение MSC-файлов, которые побуждают пользователей нажать кнопку, чтобы открыть файл документа. Нажатие кнопки "Открыть" запускает выполнение вредоносной CMD-команды. Эти команды не имеют доступа к Google Docs, но напрямую взаимодействуют с сервером C&C для загрузки и выполнения файлов документов.

Таким образом, кампания BabyShark, организованная хакерской группой Kimsuky, включает в себя сложную тактику доставки и выполнения вредоносных программ. Со временем злоумышленники адаптировали свои методы, чтобы избежать обнаружения и нацеливаться на конкретные жертвы с помощью специальных команд бэкдора. Понимание таких угроз и противодействие им требуют углубленного анализа и принятия упреждающих мер кибербезопасности для защиты от потенциальных нарушений.

#ParsedReport #CompletenessHigh
02-09-2024

Head Mare: adventures of a unicorn in Russia and Belarus

https://securelist.com/head-mare-hacktivists/113555

Report completeness: High

Actors/Campaigns:
Head_mare (motivation: hacktivism, financially_motivated)

Threats:
Lockbit
Babuk
Phantomdl
Phantomcore
Sliver_c2_tool
Mimikatz_tool
Garble_tool
Meterpreter_tool
Nssm_tool
Xmrig_miner
Credential_harvesting_technique
Xenarmor_tool

Industry:
Transport, Entertainment, Energy, Government

Geo:
Belarus, Russian, Belarusian, Russia

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1193, T1486, T1547.001, T1071.001, T1003.001

IOCs:
IP: 11
Command: 5
Registry: 1
File: 23
Path: 16
Url: 2
Hash: 41

Soft:
ESXi, XenAllPasswordPro, Unix, esxcli

Algorithms:
curve25519, sha256, sosemanuk

Win API:
NetGetJoinInformation

Languages:
powershell, php

Platforms:
cross-platform, x64, amd64