#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в Atlassian Confluence была обнаружена критическая уязвимость (CVE-2023-22527), которая приводит к взлому криптовалюты злоумышленниками, использующими уязвимость для несанкционированного удаленного выполнения кода. В тексте освещается влияние уязвимости на версии центров обработки данных и серверов Confluence, тактика, используемая злоумышленниками для взлома криптографических систем, анализ действий участников угроз и даются рекомендации для организаций по снижению рисков путем обновления систем, внедрения методов обеспечения безопасности и совершенствования механизмов мониторинга и защиты.
-----

CVE-2023-22527 - это критическая уязвимость, обнаруженная в Atlassian Confluence с оценкой серьезности 10, которая активно используется для взлома криптосистем. Уязвимость затрагивает центры обработки данных и серверы Confluence в версиях от 8.0.x до 8.5.3, создавая значительные риски из-за возможности удаленного выполнения кода без проверки подлинности (RCE) посредством внедрения шаблона.

Злоумышленники, использующие эту уязвимость, используют различные методы для проведения криптографических атак. Один из методов заключается в использовании сценариев командной строки и майнеров XMRig для преобразования уязвимых сред в сети криптодобычи. Они нацелены на конечные точки SSH, устраняют конкурирующие процессы криптодобычи и обеспечивают постоянство с помощью манипуляций с заданиями cron.

Среди участников угроз, которые, как было замечено, используют CVE-2023-22527, первый участник развертывает майнер XMRig, используя полезную нагрузку ELF-файла. Их действия включают отправку вредоносных запросов, завершение известных процессов криптодобычи, удаление и создание заданий cron для сохранения, деинсталляцию служб безопасности и попытки распространения скриптов криптодобычи путем принудительного доступа по SSH. Второй участник атаки также участвует в атаке, сосредоточившись на завершении процесса, манипулировании заданиями cron, удалении служб безопасности, таких как Alibaba Cloud Shield, и сборе учетных данных пользователей и IP-адресов для будущих атак.

Чтобы снизить риски, связанные с этой уязвимостью и возможными с ее помощью атаками с использованием криптографических средств, организациям настоятельно рекомендуется своевременно обновлять свои экземпляры Atlassian Confluence. Важно внедрять надежные методы обеспечения безопасности, включая мониторинг подозрительных действий, регулярный аудит и защиту точек доступа SSH, поддержание в актуальном состоянии служб безопасности и применение строгих протоколов управления учетными данными.

Обеспечение своевременного применения исправлений безопасности, проведение аудита безопасности для выявления потенциальных уязвимостей и расширение возможностей мониторинга сети также являются важными шагами для предотвращения потенциальных атак с использованием криптоджекинга с использованием CVE-2023-22527. Кроме того, организациям следует рассмотреть возможность использования систем обнаружения вторжений (IDS) и регулярно информировать сотрудников о важности соблюдения правил кибербезопасности для повышения общей защиты от подобных угроз.

#ParsedReport #CompletenessMedium
01-09-2024

Silent Intrusions: Godzilla Fileless Backdoors Targeting Atlassian Confluence

https://www.trendmicro.com/en_us/research/24/h/godzilla-fileless-backdoors.html

Report completeness: Medium

Threats:
Godzilla_webshell
Beichendream_tool
Backdoor.js.webshell.vsnw08h24
Process_injection_technique

CVEs:
CVE-2023-22527 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<8.5.4, 8.7.0)


TTPs:
Tactics: 6
Technics: 9

IOCs:
File: 3
Hash: 2

Soft:
Confluence, Unix

Algorithms:
aes-128, base64, md5, aes

Languages:
javascript, java

Links:
https://github.com/feihong-cs/memShell/tree/master
https://github.com/BeichenDream/GodzillaMemoryShellProject/tree/main
https://github.com/BeichenDream/GodzillaMemoryShellProject

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, code: 15

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении нового бэкдора без использования файлов в памяти под названием Godzilla webshell, который используется для использования старых версий Atlassian Confluence, затронутых CVE-2023-22527. Этот бэкдор, управляемый злоумышленником, известным как "BeichenDream", использует передовые методы, такие как шифрование AES и тактика обхода, чтобы избежать обнаружения традиционными мерами безопасности. В тексте подчеркивается важность постоянного обновления систем, использования передовых решений в области безопасности и упреждающих мер безопасности для защиты от возникающих киберугроз.
-----

Компания Trend Micro обнаружила использование старых версий Atlassian Confluence в CVE-2023-22527, работающем на базе Godzilla webshell.

Godzilla - это сложный бэкдор на китайском языке, использующий шифрование AES при работе в оперативной памяти, чтобы избежать обнаружения.

Злоумышленник, стоящий за Godzilla, известен как "BeichenDream" и разработал бэкдор, чтобы избежать обнаружения традиционными средствами безопасности.

Методы вредоносного ПО без файлов, такие как Godzilla, создают проблемы для организаций с устаревшими решениями безопасности.

Атака использует CVE-2023-22527 для выполнения объектов OGNL и скрытного развертывания вредоносных элементов.

Атака включает в себя декодирование значений Base64, использование класса MemGodValueShell и внедрение несанкционированных точек доступа в конвейер Tomcat.

Бэкдор указывает на продолжающуюся эксплуатацию CVE-2023-22527, подчеркивая необходимость немедленного исправления.

Рекомендации включают использование решений безопасности, таких как Trend Vision One, и специальных правил защиты от угроз, использующих CVE-2023-22527.

#ParsedReport #CompletenessMedium
01-09-2024

Malware attacks exploiting AppDomainManager Injection

https://jp.security.ntt/tech_blog/appdomainmanager-injection

Report completeness: Medium

Actors/Campaigns:
Winnti

Threats:
Spear-phishing_technique
Grimresource_technique
Dll_sideloading_technique
Cobalt_strike

Victims:
Government agencies, Military, Energy organizations

Industry:
Military, Energy, Government

Geo:
China, Vietnam, Philippines, Korean, Japan, Japanese, Taiwan

ChatGPT TTPs:
do not use without manual check
T1566.001, T1027, T1574.002, T1059.007, T1219

IOCs:
Domain: 9
File: 5

Soft:
Microsoft Word, Windows certificate, NET Framework

Algorithms:
zip

Functions:
InitializeNewDomain

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается возникновение атак с использованием внедрения AppDomainManager для запуска вредоносного ПО, подчеркивается относительная неизвестность этого метода, несмотря на его потенциал для проведения сложных киберкампаний. Атаки связаны с использованием вредоносных файлов MSC, использующих GrimResource, с выявленными схемами доставки через вредоносные веб-сайты и фишинговые электронные письма. В тексте также затрагивается использование радиомаяков CobaltStrike и потенциальное участие государства, что подчеркивает необходимость для организаций усилить свои возможности обнаружения и меры защиты от этой передовой техники.
-----

Атаки, использующие внедрение AppDomainManager для запуска вредоносного ПО, наблюдались примерно с июля 2024 года.

Несмотря на то, что этот метод был публично представлен в 2017 году, количество сообщений о реальных атаках с использованием этого метода было ограничено, что привело к его относительной малоизвестности.

В последнее время наблюдались атаки по двум основным схемам: загрузка ZIP-файла с вредоносного веб-сайта или получение ZIP-файла в виде вложения в электронном письме, предназначенном для фишинга. ZIP-файл содержит вредоносный MSC-файл, который запускает атаку при открытии.

Вредоносные файлы MSC используют технологию, известную как GrimResource, позволяющую выполнять вредоносные действия при открытии без необходимости перехода пользователя по каким-либо ссылкам.

В этих атаках использовались маяки CobaltStrike, указывающие на изощренность и соответствие тактике, связанной с APT41.

Спонсируемые государством атакующие группы используют скрытность внедрения AppDomainManager, что предполагает возможность более широкого использования в будущих киберкампаниях.

Организациям рекомендуется расширить свои возможности обнаружения для выявления и смягчения последствий атак, связанных с внедрением AppDomainManager.

#ParsedReport #CompletenessLow
01-09-2024

TLD Tracker: Exploring Newly Released Top-Level Domains

https://unit42.paloaltonetworks.com/tracking-newly-released-top-level-domains

Report completeness: Low

Threats:
Zipbomb_technique

Geo:
Apac, Emea, America, German, Japan

ChatGPT TTPs:
do not use without manual check
T1566, T1499, T1553

IOCs:
Domain: 29
File: 13

Soft:
YouTube music

Algorithms:
zip

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в расследовании недавно освобожденных доменов верхнего уровня (TLD) и связанных с ними вредоносных действий, таких как фишинговые кампании, распространение нежелательных программ, торрент-сайты и кампании с розыгрышами/мемами. В нем освещаются проблемы, с которыми сталкиваются организации при регистрации своих имен в этих новых доменах верхнего уровня, методы сбора данных, используемые для выявления вредоносных действий, и конкретные примеры, демонстрирующие различные типы вредоносных кампаний. Кроме того, подчеркивается важность мониторинга доменов в рамках новых TLD и роль своевременного обмена разведывательной информацией в борьбе с киберугрозами, а также решения для сетевой безопасности, предлагаемые Palo Alto Networks.
-----

В тексте обсуждается расследование 19 новых доменов верхнего уровня (TLD) за последний год, в ходе которого были выявлены различные вредоносные действия, такие как крупномасштабные фишинговые кампании, распространение нежелательных программ, торрент-сайты и кампании с розыгрышами/мемами. Поскольку в настоящее время существует более 1000 общих доменов верхнего уровня, добавление новых доменов верхнего уровня увеличивает риск вредоносных действий, таких как захват домена и фишинг, особенно если эти домены верхнего уровня напоминают популярные расширения файлов или идентификаторы сервисов.

В отчете подчеркиваются проблемы, с которыми сталкиваются организации при регистрации своих имен в целях защиты во всех недавно выпущенных доменах верхнего уровня, что дает злоумышленникам возможность использовать эти домены в злонамеренных целях. В нем также освещаются обязательные этапы, связанные с запуском новых доменов верхнего уровня, при этом важное значение имеют период запуска и общая доступность.

Методы сбора данных, упомянутые в тексте, включают пассивный DNS, WHOIS, сторонние источники информации об угрозах, статический и динамический анализ вредоносных программ, а также данные активного веб-обхода. Используя эти источники, была разработана автоматизированная система обнаружения для извлечения связанных данных, таких как URL, IP-адреса и образцы вредоносных программ. Система выявила кластеры доменов, связанных с недобросовестными действиями, такими как фишинговые кампании и перенаправление пользователей на вредоносные веб-сайты.

Представлены конкретные примеры, в том числе домены в TLD, используемые для фишинговых кампаний и атак с перенаправлением. Также обсуждаются такие тенденции, как использование QR-кодов для вовлечения жертв в SMS-мошенничество. В тексте указываются кампании, использующие популярные расширения файлов в качестве TLD для торрент- и пиратского распространения, иллюстрирующие потенциальные риски и уязвимости.

Заслуживающие внимания результаты включают анализ ранее зарегистрированных вредоносных доменов .zip, которые теперь превратились в NX-домены, заблокированные страницы или страницы, критикующие TLD. Некоторые из этих доменов теперь содержат розыгрышный контент вместо вредоносных действий, в то время как другие распространяют зараженный вредоносным по контент. Подчеркивается важность мониторинга доменов в рамках новых TLD для отслеживания вредоносных тенденций и атак.

Palo Alto Networks предлагает решения для сетевой безопасности, такие как расширенная защита DNS и фильтрация URL-адресов, для защиты от угроз, описанных в статье. Делясь результатами с членами Альянса по борьбе с киберугрозами, Palo Alto Networks стремится способствовать быстрому внедрению средств защиты от киберугроз. Подчеркивается роль своевременного обмена разведывательными данными в пресечении действий злоумышленников в киберпространстве как коллективных усилий в рамках сообщества кибербезопасности.

#ParsedReport #CompletenessLow
01-09-2024

Malware Detailed Analysis Report

https://download.hauri.net/DownSource/down/dwn_detail_down.html?uid=68&file=.pdf

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Babyshark

Geo:
Taiwan, Korean, North korean

ChatGPT TTPs:
do not use without manual check
T1140, T1059.005, T1036.005, T1053.005, T1204.002

IOCs:
File: 15
Path: 4
Url: 13
Hash: 7

Soft:
curl, task scheduler

Algorithms:
base64, md5

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание кампании BabyShark, проводимой северокорейской хакерской группой Kimsuky. Кампания включает в себя изощренную тактику борьбы с киберугрозами, включая использование различных типов файлов, команд CMD, маскировку Google Docs, подключение к C&C серверам, вредоносные программы-бэкдоры и индивидуальные атаки на конкретных жертв. Злоумышленники постоянно совершенствуют свои методы, позволяющие избежать обнаружения, подчеркивая необходимость проведения углубленного анализа и принятия упреждающих мер кибербезопасности для защиты от подобных угроз.
-----

В тексте описывается киберугроза, связанная с кампанией BabyShark, проводимой северокорейской хакерской группой Kimsuky. Эта кампания действует с 2018 года и продолжает развиваться. Изначально в кампании использовались файлы HWP с OLE-объектами, а также файлы .BAT и .VBS. Однако недавние изменения включают использование файлов MSC, чтобы избежать обнаружения решениями безопасности, и использование VbsEdits Launcher для запуска вредоносных программ вместо программ Windows по умолчанию для выполнения VBScript.

Атака включает в себя выполнение команд CMD, которые используют команду curl для загрузки вредоносных кодов и доступа к документам Google, чтобы замаскировать их под обычные файлы. Документ Google, связанный с вредоносными действиями, сохраняется как "Joka.DOCX", название которого отличается от названия в запущенном MSC-файле. Информация о конкретном северокорейском перебежчике включена в документ как на английском, так и на корейском языках. Кроме того, выполняемые команды получают доступ к серверу C&C с помощью команды curl для прямой загрузки и выполнения файлов документа с определенного URL-адреса.

Более подробная информация показывает, что файл с именем SAM1(default1.vbs) зарегистрирован в планировщике задач и запускается через 19 минут. Этот файл пытается загрузить вредоносное ПО, сохраняя его в пути %Appdata%wadoobe.gif в случае успешной загрузки. Загруженное вредоносное ПО представляет собой вредоносную программу-бэкдор, специально предназначенную для конкретной жертвы, что затрудняет дальнейший анализ.

Более того, запущенный VBScript устанавливает соединение с C&C-сервером для загрузки вредоносного ПО в формате "shinefrom- (данные BASE64)-shineto". Данные BASE64 извлекаются, декодируются и сохраняются по пути %Appdata%\Microsoft\Wqer.bat, где они впоследствии выполняются.

В тексте также упоминается выполнение MSC-файлов, которые побуждают пользователей нажать кнопку, чтобы открыть файл документа. Нажатие кнопки "Открыть" запускает выполнение вредоносной CMD-команды. Эти команды не имеют доступа к Google Docs, но напрямую взаимодействуют с сервером C&C для загрузки и выполнения файлов документов.

Таким образом, кампания BabyShark, организованная хакерской группой Kimsuky, включает в себя сложную тактику доставки и выполнения вредоносных программ. Со временем злоумышленники адаптировали свои методы, чтобы избежать обнаружения и нацеливаться на конкретные жертвы с помощью специальных команд бэкдора. Понимание таких угроз и противодействие им требуют углубленного анализа и принятия упреждающих мер кибербезопасности для защиты от потенциальных нарушений.

#ParsedReport #CompletenessHigh
02-09-2024

Head Mare: adventures of a unicorn in Russia and Belarus

https://securelist.com/head-mare-hacktivists/113555

Report completeness: High

Actors/Campaigns:
Head_mare (motivation: hacktivism, financially_motivated)

Threats:
Lockbit
Babuk
Phantomdl
Phantomcore
Sliver_c2_tool
Mimikatz_tool
Garble_tool
Meterpreter_tool
Nssm_tool
Xmrig_miner
Credential_harvesting_technique
Xenarmor_tool

Industry:
Transport, Entertainment, Energy, Government

Geo:
Belarus, Russian, Belarusian, Russia

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1193, T1486, T1547.001, T1071.001, T1003.001

IOCs:
IP: 11
Command: 5
Registry: 1
File: 23
Path: 16
Url: 2
Hash: 41

Soft:
ESXi, XenAllPasswordPro, Unix, esxcli

Algorithms:
curve25519, sha256, sosemanuk

Win API:
NetGetJoinInformation

Languages:
powershell, php

Platforms:
cross-platform, x64, amd64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, table: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Head Mare - это группа хактивистов, нацеленная на компании в России и Беларуси с помощью фишинговых кампаний, семейств программ-вымогателей и пользовательских вредоносных программ, которые наносят значительный ущерб и требуют выкуп за расшифровку данных. Их тактика заключается в использовании уязвимостей, различных инструментов в своих атаках и сохранении систем с помощью тактики маскировки и обфускации. Деятельность группы подчеркивает важность усиления защиты от кибербезопасности в организациях, сталкивающихся с растущими угрозами.
-----

Head Mare - это хактивистская группа, которая появилась в 2023 году в социальной сети X (ранее Twitter). Группа атакует компании в России и Беларуси, публикуя информацию о жертвах в публичных публикациях. Они были связаны с атаками на российские организации и используют фишинговые кампании для использования уязвимостей, таких как CVE-2023-38831 в WinRAR, для получения первоначального доступа. Head Mare использует два семейства программ-вымогателей - LockBit для Windows и Babuk для Linux (ESXi) - для шифрования устройств жертв.

Эта группа хакеров стремится нанести значительный ущерб компаниям в России и Беларуси, часто требуя выкуп за расшифровку данных. Руководитель Mare использует общедоступное программное обеспечение для своих атак, а также использует пользовательские вредоносные программы, такие как PhantomDL и PhantomCore, в фишинговых электронных письмах для получения первоначального доступа. Они используют различные инструменты, такие как Mimikatz и Sliver, как часть своей инфраструктуры атак.

В ходе расследования было обнаружено, что Head Mare использует образцы PhantomDL и PhantomCore в фишинговых кампаниях. Эти образцы используют уязвимость WinRAR и после выполнения устанавливают соединения с командными серверами. Группа продолжает работать в системах, добавляя образцы в разделы реестра или создавая запланированные задачи, а также используя тактику маскировки в своих фишинговых кампаниях. Они маскируют свои образцы и используют для этой цели такие инструменты, как Garble.

Более того, злоумышленники используют платформу Sliver C2 для управления скомпрометированными системами, что позволяет им выполнять команды и собирать данные после первоначального доступа. Они часто используют серверы VPS/VDS в качестве серверов C2 и утилиту rsockstun для обеспечения безопасных подключений. Для сбора учетных данных используются такие инструменты, как mimikatz и XenArmor All-In-One Password Recovery Pro3.

Head Mare использует два семейства программ-вымогателей - Babuk для Linux (ESXi) и LockBit для Windows - со специфическими функциями и алгоритмами шифрования. Злоумышленники распространяют эти варианты программ-вымогателей под разными именами и путями, последовательно шифруя файлы с помощью версий LockBitLite и LockbitHard. Kaspersky Threat Intelligence отмечает, что все образцы Head Mare были обнаружены только в России и Беларуси.

TTP группы похожи на другие кластеры, нацеленные на организации в России и Беларуси в условиях российско-украинского конфликта. Однако глава Mare выделяется тем, что использует пользовательское вредоносное ПО и новые уязвимости, подчеркивая необходимость совершенствования мер кибербезопасности. Организации в России и Беларуси должны быть осведомлены о возникающих угрозах и укреплять свою защиту от таких группировок.

#ParsedReport #CompletenessMedium
02-09-2024

Dark Web Profile: Abyss Ransomware

https://socradar.io/dark-web-profile-abyss-ransomware

Report completeness: Medium

Threats:
Abyss_locker
Hellokitty
Shadow_copies_delete_technique

Victims:
Medical institutions, Manufacturing companies, Tech firms

Industry:
Healthcare, Financial

Geo:
Italy, Canada, Germany, United kingdom, Switzerland, Hong kong, Georgia, Sweden

TTPs:
Tactics: 11
Technics: 18

IOCs:
Command: 1
File: 1
Hash: 25

Soft:
ESXi, Microsoft Exchange, bcdedit, esxcli

Win Services:
MSSQLServer

Languages:
c_language