CTT Report Hub
#ParsedReport #CompletenessMedium 03-09-2024 DeFied Expectations - Examining Web3 Heists https://cloud.google.com/blog/topics/threat-intelligence/examining-web3-heists Report completeness: Medium Actors/Campaigns: Lazarus Threats: Covertcatch Rustbucket…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что растущий уровень угроз в пространстве Web3, особенно в секторе децентрализованных финансов (DeFi), открыл новые возможности для киберпреступников, что привело к росту числа ограблений и киберпреступлений, которые превосходят традиционные нарушения в финансовом секторе. В тексте обсуждаются тактики, используемые киберпреступниками в пространстве Web3, уязвимости смарт-контрактов, атаки на управление децентрализованными автономными организациями и важность понимания прошлых компромиссов для улучшения системы безопасности.
-----
В тексте описывается растущий уровень угроз в пространстве Web3, особенно в секторе децентрализованного финансирования (DeFi). В нем подчеркивается, что стремительный рост Web3 предоставил новые возможности для участников угроз, что привело к резкому росту числа краж и киберпреступлений, превзошедших традиционные нарушения в финансовом секторе.
Известная фирма по кибербезопасности Mandiant имеет опыт расследования крупных банковских ограблений, включая печально известный случай в Банке Бангладеш в 2016 году, связанный с северокорейской компанией APT38, которая похитила 81 миллион долларов. Однако количество ограблений Web3 в настоящее время превзошло подобные инциденты, а крупнейшее ограбление DeFi в 2022 году привело к значительной потере цифровых активов.
В статье рассматриваются различные тактики, используемые киберпреступниками в пространстве Web3, включая социальную инженерию, крипто-слив, мошенничество с использованием мошеннических схем. В нем подчеркивается, что наиболее значимые инциденты, как правило, связаны с кражей ключей крипто-кошелька, эксплойтами смарт-контрактов и атаками на цепочки поставок.
Криптобиржи выделяются в качестве основных целей для киберпреступников, поскольку в последние годы произошло несколько громких ограблений и атак. Эти атаки часто следуют схеме, которая соответствует жизненному циклу целевой атаки, включая социальную инженерию разработчиков, атаки на цепочки поставок и использование менеджера паролей.
Смарт-контракты, основной компонент технологии блокчейн, уязвимы для использования при выявлении недостатков в логике кода. Для использования смарт-контрактов не требуются традиционные методы, такие как кража учетных данных или вредоносное ПО, что делает их прибыльной мишенью для киберпреступников.
В тексте также рассматриваются атаки на децентрализованные автономные организации (DAO), которые используют голосование без разрешения для принятия управленческих решений. Эти атаки направлены на манипулирование правом голоса для контроля над проектом, что потенциально может привести к сбоям в работе и финансовым потерям.
В статье приводятся конкретные примеры прошлых краж, включая использование смарт-контрактов и атаки на управление, демонстрирующие, как киберпреступники адаптируются к использованию уязвимостей в меняющемся ландшафте Web3. В статье подчеркивается важность понимания прошлых компрометаций и новых угроз для улучшения системы безопасности и предотвращения будущих атак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что растущий уровень угроз в пространстве Web3, особенно в секторе децентрализованных финансов (DeFi), открыл новые возможности для киберпреступников, что привело к росту числа ограблений и киберпреступлений, которые превосходят традиционные нарушения в финансовом секторе. В тексте обсуждаются тактики, используемые киберпреступниками в пространстве Web3, уязвимости смарт-контрактов, атаки на управление децентрализованными автономными организациями и важность понимания прошлых компромиссов для улучшения системы безопасности.
-----
В тексте описывается растущий уровень угроз в пространстве Web3, особенно в секторе децентрализованного финансирования (DeFi). В нем подчеркивается, что стремительный рост Web3 предоставил новые возможности для участников угроз, что привело к резкому росту числа краж и киберпреступлений, превзошедших традиционные нарушения в финансовом секторе.
Известная фирма по кибербезопасности Mandiant имеет опыт расследования крупных банковских ограблений, включая печально известный случай в Банке Бангладеш в 2016 году, связанный с северокорейской компанией APT38, которая похитила 81 миллион долларов. Однако количество ограблений Web3 в настоящее время превзошло подобные инциденты, а крупнейшее ограбление DeFi в 2022 году привело к значительной потере цифровых активов.
В статье рассматриваются различные тактики, используемые киберпреступниками в пространстве Web3, включая социальную инженерию, крипто-слив, мошенничество с использованием мошеннических схем. В нем подчеркивается, что наиболее значимые инциденты, как правило, связаны с кражей ключей крипто-кошелька, эксплойтами смарт-контрактов и атаками на цепочки поставок.
Криптобиржи выделяются в качестве основных целей для киберпреступников, поскольку в последние годы произошло несколько громких ограблений и атак. Эти атаки часто следуют схеме, которая соответствует жизненному циклу целевой атаки, включая социальную инженерию разработчиков, атаки на цепочки поставок и использование менеджера паролей.
Смарт-контракты, основной компонент технологии блокчейн, уязвимы для использования при выявлении недостатков в логике кода. Для использования смарт-контрактов не требуются традиционные методы, такие как кража учетных данных или вредоносное ПО, что делает их прибыльной мишенью для киберпреступников.
В тексте также рассматриваются атаки на децентрализованные автономные организации (DAO), которые используют голосование без разрешения для принятия управленческих решений. Эти атаки направлены на манипулирование правом голоса для контроля над проектом, что потенциально может привести к сбоям в работе и финансовым потерям.
В статье приводятся конкретные примеры прошлых краж, включая использование смарт-контрактов и атаки на управление, демонстрирующие, как киберпреступники адаптируются к использованию уязвимостей в меняющемся ландшафте Web3. В статье подчеркивается важность понимания прошлых компрометаций и новых угроз для улучшения системы безопасности и предотвращения будущих атак.
#ParsedReport #CompletenessLow
03-09-2024
ToneShell Backdoor Used to Target Attendees of the IISS Defence Summit
https://hunt.io/blog/toneshell-backdoor-used-to-target-attendees-of-the-iiss-defence-summit
Report completeness: Low
Actors/Campaigns:
Red_delta (motivation: cyber_espionage)
Golden_eyed_dog
Dragon_breath
Threats:
Toneshell
Pubload
Gh0st_rat
Dll_sideloading_technique
Victims:
Government organizations, Attendees of the 2024 international institute for strategic studies (iiss) defence summit
Industry:
Military, Government
Geo:
Dutch, Asia, Hong kong, China
ChatGPT TTPs:
T1566, T1132.002, T1553.002, T1073
IOCs:
File: 1
Path: 1
Command: 2
IP: 8
Hash: 4
Algorithms:
zip
03-09-2024
ToneShell Backdoor Used to Target Attendees of the IISS Defence Summit
https://hunt.io/blog/toneshell-backdoor-used-to-target-attendees-of-the-iiss-defence-summit
Report completeness: Low
Actors/Campaigns:
Red_delta (motivation: cyber_espionage)
Golden_eyed_dog
Dragon_breath
Threats:
Toneshell
Pubload
Gh0st_rat
Dll_sideloading_technique
Victims:
Government organizations, Attendees of the 2024 international institute for strategic studies (iiss) defence summit
Industry:
Military, Government
Geo:
Dutch, Asia, Hong kong, China
ChatGPT TTPs:
do not use without manual checkT1566, T1132.002, T1553.002, T1073
IOCs:
File: 1
Path: 1
Command: 2
IP: 8
Hash: 4
Algorithms:
zip
hunt.io
Toneshell Backdoor Used to Target Attendees of the IISS Defence Summit
Learn how the ToneShell backdoor was used to target attendees of the upcoming IISS Defence Summit..
CTT Report Hub
#ParsedReport #CompletenessLow 03-09-2024 ToneShell Backdoor Used to Target Attendees of the IISS Defence Summit https://hunt.io/blog/toneshell-backdoor-used-to-target-attendees-of-the-iiss-defence-summit Report completeness: Low Actors/Campaigns: Red_delta…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в возрождении вредоносного ПО ToneShell backdoor, приписываемого группе разработчиков угроз Mustang Panda, в целях кибершпионажа, нацеленного на правительственные организации, в частности на участников оборонного саммита Международного института стратегических исследований в Праге в 2024 году. Цель этой киберкампании - проникнуть в конфиденциальные обсуждения по вопросам безопасности и обороны, чтобы получить стратегические преимущества в условиях глобальных конфликтов, демонстрируя взаимосвязь кибершпионажа и международной стратегии. Злоумышленники использовали сложные тактические приемы, такие как подделка PDF-документов и дополнительная загрузка DLL-файлов, для выполнения своих вредоносных операций и уклонения от обнаружения. Конечная цель злоумышленников после взлома остается неизвестной, но, вероятно, заключается в сборе информации о планах защиты и политике крупных глобальных игроков. Рекомендации по устранению последствий включают повышение осведомленности о фишинге, проверку отправителей электронной почты и внедрение решений для обнаружения конечных точек и реагирования на них.
-----
Бэкдор ToneShell, связанный с группой Mustang Panda threat actor group, используется в кибершпионаже, направленном против правительственных организаций в Юго-Восточной и Восточной Азии.
Наблюдается возрождение вредоносной программы ToneShell, и есть признаки того, что она может быть нацелена на участников оборонного саммита IISS 2024 года в Праге.
Целенаправленное проведение таких громких мероприятий, как оборонный саммит IISS, указывает на пересечение кибершпионажа и международной стратегии с акцентом на получение информации о планах и политике в области обороны.
Злоумышленники использовали поддельные PDF-документы, имитирующие законные материалы IISS, чтобы снизить подозрения и повысить эффективность проникновения.
Злоумышленники использовали PIF-файлы в качестве отправителей вредоносного кода и использовали метод дополнительной загрузки DLL для установления сетевого соединения с сервером C2, имитируя трафик TLS по протоколу TCP для обхода.
Сервер C2, идентифицированный в результате атаки, размещен в ASN в Гонконге и кратко представил самозаверяющий сертификат RDP, указывающий на уровень осведомленности об операционной безопасности.
Атака предполагает координацию и оперативный контроль со стороны одного субъекта угрозы или группы лиц.
Конкретные цели участников угроз после достижения компромисса остаются неизвестными, но цель саммита по обороне подразумевает стратегическое намерение собрать разведданные о деликатных дискуссиях.
Рекомендации по устранению последствий включают проведение регулярных мероприятий по информированию о фишинге, проверку отправителей электронной почты и доменов, а также внедрение решений для обнаружения конечных точек и реагирования на них.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в возрождении вредоносного ПО ToneShell backdoor, приписываемого группе разработчиков угроз Mustang Panda, в целях кибершпионажа, нацеленного на правительственные организации, в частности на участников оборонного саммита Международного института стратегических исследований в Праге в 2024 году. Цель этой киберкампании - проникнуть в конфиденциальные обсуждения по вопросам безопасности и обороны, чтобы получить стратегические преимущества в условиях глобальных конфликтов, демонстрируя взаимосвязь кибершпионажа и международной стратегии. Злоумышленники использовали сложные тактические приемы, такие как подделка PDF-документов и дополнительная загрузка DLL-файлов, для выполнения своих вредоносных операций и уклонения от обнаружения. Конечная цель злоумышленников после взлома остается неизвестной, но, вероятно, заключается в сборе информации о планах защиты и политике крупных глобальных игроков. Рекомендации по устранению последствий включают повышение осведомленности о фишинге, проверку отправителей электронной почты и внедрение решений для обнаружения конечных точек и реагирования на них.
-----
Бэкдор ToneShell, связанный с группой Mustang Panda threat actor group, используется в кибершпионаже, направленном против правительственных организаций в Юго-Восточной и Восточной Азии.
Наблюдается возрождение вредоносной программы ToneShell, и есть признаки того, что она может быть нацелена на участников оборонного саммита IISS 2024 года в Праге.
Целенаправленное проведение таких громких мероприятий, как оборонный саммит IISS, указывает на пересечение кибершпионажа и международной стратегии с акцентом на получение информации о планах и политике в области обороны.
Злоумышленники использовали поддельные PDF-документы, имитирующие законные материалы IISS, чтобы снизить подозрения и повысить эффективность проникновения.
Злоумышленники использовали PIF-файлы в качестве отправителей вредоносного кода и использовали метод дополнительной загрузки DLL для установления сетевого соединения с сервером C2, имитируя трафик TLS по протоколу TCP для обхода.
Сервер C2, идентифицированный в результате атаки, размещен в ASN в Гонконге и кратко представил самозаверяющий сертификат RDP, указывающий на уровень осведомленности об операционной безопасности.
Атака предполагает координацию и оперативный контроль со стороны одного субъекта угрозы или группы лиц.
Конкретные цели участников угроз после достижения компромисса остаются неизвестными, но цель саммита по обороне подразумевает стратегическое намерение собрать разведданные о деликатных дискуссиях.
Рекомендации по устранению последствий включают проведение регулярных мероприятий по информированию о фишинге, проверку отправителей электронной почты и доменов, а также внедрение решений для обнаружения конечных точек и реагирования на них.
#ParsedReport #CompletenessMedium
03-09-2024
Threat actors using MacroPack to deploy Brute Ratel, Havoc and PhantomCore payloads
https://blog.talosintelligence.com/threat-actors-using-macropack
Report completeness: Medium
Actors/Campaigns:
Ghostwriter
Head_mare (motivation: hacktivism, cyber_espionage)
Threats:
Brc4_tool
Macropack_tool
Havoc
Phantomcore
Cobalt_strike
Garble_tool
Process_hacker_tool
Procmon_tool
Windbg_tool
Industry:
Government, Military
Geo:
Chinese, French, Pakistan, Taiwan, Russia, Russian, China, Pakistani, Ukrainian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1574.002, T1497.003, T1027, T1568
IOCs:
Domain: 5
Url: 16
File: 1
Hash: 8
Soft:
Microsoft Office, Microsoft Word
Algorithms:
base64, rc4
Languages:
golang, autoit
03-09-2024
Threat actors using MacroPack to deploy Brute Ratel, Havoc and PhantomCore payloads
https://blog.talosintelligence.com/threat-actors-using-macropack
Report completeness: Medium
Actors/Campaigns:
Ghostwriter
Head_mare (motivation: hacktivism, cyber_espionage)
Threats:
Brc4_tool
Macropack_tool
Havoc
Phantomcore
Cobalt_strike
Garble_tool
Process_hacker_tool
Procmon_tool
Windbg_tool
Industry:
Government, Military
Geo:
Chinese, French, Pakistan, Taiwan, Russia, Russian, China, Pakistani, Ukrainian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1574.002, T1497.003, T1027, T1568
IOCs:
Domain: 5
Url: 16
File: 1
Hash: 8
Soft:
Microsoft Office, Microsoft Word
Algorithms:
base64, rc4
Languages:
golang, autoit
Cisco Talos
Threat actors using MacroPack to deploy Brute Ratel, Havoc and PhantomCore payloads
The threat of VBA macros has diminished since Microsoft prevented the execution of macros in Microsoft Office documents downloaded from the internet, but not all users are using the latest up-to-date Office versions and can still be vulnerable.
CTT Report Hub
#ParsedReport #CompletenessMedium 03-09-2024 Threat actors using MacroPack to deploy Brute Ratel, Havoc and PhantomCore payloads https://blog.talosintelligence.com/threat-actors-using-macropack Report completeness: Medium Actors/Campaigns: Ghostwriter…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Cisco Talos обнаружила серию вредоносных документов Microsoft Office, созданных с использованием платформы MacroPack framework, которая изначально предназначалась для учений Red Team, но теперь используется несколькими участниками угроз для развертывания вредоносной полезной нагрузки. Документы содержат запутанные макросы VBA со сходной структурой кода, позволяющие доставлять различные вредоносные программы, такие как фреймворки для последующей эксплуатации Havoc и Brute Ratel, а также новый вариант трояна для удаленного доступа PhantomCore. Анализ выявил связи между полезной нагрузкой и мотивацией, при этом документы демонстрировали согласованную структуру и содержали безопасные подпрограммы, позволяющие избежать обнаружения. Вредоносная деятельность включала в себя различные приманки и связи с конкретными странами, что указывало на уровень изощренности действий участников и потенциальный кибершпионаж, нацеленный на правительственные организации и компании.
-----
Cisco Talos выявила серию вредоносных документов Microsoft Office, сгенерированных с помощью платформы MacroPack payload framework, первоначально разработанной для учений Red Team, но перепрофилированной злоумышленниками для доставки вредоносной полезной нагрузки, такой как Havoc, Brute Ratel и PhantomCore RAT.
Вредоносные документы содержали запутанные макросы VBA с общими структурами кода, связанными с MacroPack, включая незлокачественные подпрограммы, позволяющие избежать обнаружения вредоносных программ средствами защиты от вредоносных программ.
В документах использовалась последовательная структура из нескольких этапов кода, ведущих к подключению к серверам управления, что позволяет злоумышленникам контролировать зараженные системы.
Талос сгруппировал образцы в кластеры на основе сходства приманок и полезной нагрузки, используя документы, полученные из таких стран, как Китай, Пакистан, Россия и США.
Конкретные кластеры включали в себя постэксплуатационные платформы Havoc и Brute Ratel в качестве конечной полезной нагрузки, адаптированные для различных целей, с различными серверами C2 и методами уклонения, демонстрирующими сложность эксплуатации.
Один документ, отправленный с российского IP-адреса, отличался от обычного формата Word, отличаясь уникальным оформлением в Excel и отличным методом выполнения кода на VBA. Кроме того, был обнаружен бэкдор PhantomCore на базе Golang, связанный с украинским хактивистским сайтом "Head Mare", что указывает на потенциальный кибершпионаж, нацеленный на правительственные организации и предприятия в России.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что Cisco Talos обнаружила серию вредоносных документов Microsoft Office, созданных с использованием платформы MacroPack framework, которая изначально предназначалась для учений Red Team, но теперь используется несколькими участниками угроз для развертывания вредоносной полезной нагрузки. Документы содержат запутанные макросы VBA со сходной структурой кода, позволяющие доставлять различные вредоносные программы, такие как фреймворки для последующей эксплуатации Havoc и Brute Ratel, а также новый вариант трояна для удаленного доступа PhantomCore. Анализ выявил связи между полезной нагрузкой и мотивацией, при этом документы демонстрировали согласованную структуру и содержали безопасные подпрограммы, позволяющие избежать обнаружения. Вредоносная деятельность включала в себя различные приманки и связи с конкретными странами, что указывало на уровень изощренности действий участников и потенциальный кибершпионаж, нацеленный на правительственные организации и компании.
-----
Cisco Talos выявила серию вредоносных документов Microsoft Office, сгенерированных с помощью платформы MacroPack payload framework, первоначально разработанной для учений Red Team, но перепрофилированной злоумышленниками для доставки вредоносной полезной нагрузки, такой как Havoc, Brute Ratel и PhantomCore RAT.
Вредоносные документы содержали запутанные макросы VBA с общими структурами кода, связанными с MacroPack, включая незлокачественные подпрограммы, позволяющие избежать обнаружения вредоносных программ средствами защиты от вредоносных программ.
В документах использовалась последовательная структура из нескольких этапов кода, ведущих к подключению к серверам управления, что позволяет злоумышленникам контролировать зараженные системы.
Талос сгруппировал образцы в кластеры на основе сходства приманок и полезной нагрузки, используя документы, полученные из таких стран, как Китай, Пакистан, Россия и США.
Конкретные кластеры включали в себя постэксплуатационные платформы Havoc и Brute Ratel в качестве конечной полезной нагрузки, адаптированные для различных целей, с различными серверами C2 и методами уклонения, демонстрирующими сложность эксплуатации.
Один документ, отправленный с российского IP-адреса, отличался от обычного формата Word, отличаясь уникальным оформлением в Excel и отличным методом выполнения кода на VBA. Кроме того, был обнаружен бэкдор PhantomCore на базе Golang, связанный с украинским хактивистским сайтом "Head Mare", что указывает на потенциальный кибершпионаж, нацеленный на правительственные организации и предприятия в России.
#ParsedReport #CompletenessMedium
04-09-2024
Attempted cyberattacks on military systems using mobile malware
https://cert.gov.ua/article/6280563
Report completeness: Medium
Actors/Campaigns:
Uac-0210
Threats:
Hydra
Victims:
Military personnel
Industry:
Government, Military
Geo:
Ukraine
ChatGPT TTPs:
T1056.001, T1074.001, T1566.001
IOCs:
Hash: 8
File: 2
Email: 2
IP: 5
Domain: 6
Url: 5
Languages:
java
04-09-2024
Attempted cyberattacks on military systems using mobile malware
https://cert.gov.ua/article/6280563
Report completeness: Medium
Actors/Campaigns:
Uac-0210
Threats:
Hydra
Victims:
Military personnel
Industry:
Government, Military
Geo:
Ukraine
ChatGPT TTPs:
do not use without manual checkT1056.001, T1074.001, T1566.001
IOCs:
Hash: 8
File: 2
Email: 2
IP: 5
Domain: 6
Url: 5
Languages:
java
cert.gov.ua
CERT-UA
Урядова команда реагування на комп’ютерні надзвичайні події України, яка функціонує в складі Державної служби спеціального зв’язку та захисту інформації України.
CTT Report Hub
#ParsedReport #CompletenessMedium 04-09-2024 Attempted cyberattacks on military systems using mobile malware https://cert.gov.ua/article/6280563 Report completeness: Medium Actors/Campaigns: Uac-0210 Threats: Hydra Victims: Military personnel Industry:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается растущее использование высоких технологий в современной войне с акцентом на кибератаки на мобильные устройства военнослужащих. В частности, в нем упоминаются кибератаки на украинские военные системы, такие как GRISELDA и система наблюдения "Eyes", целью которых была кража аутентификационных данных и GPS-координат. Украинское правительство сотрудничало с министерством обороны и вооруженными силами для расследования и предотвращения этих атак.
-----
В тексте подчеркивается растущее использование высоких технологий в современной войне для управления боевыми действиями, разведки и других военных операций. Мобильные устройства имеют решающее значение для использования специальных военных систем, что делает их главными мишенями для кибератак, стремящихся взломать смартфоны и планшеты военнослужащих. Эти злоумышленники стремятся украсть аутентификационные данные для доступа к информационным системам и получить GPS-координаты, что потенциально угрожает жизни персонала. Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) сотрудничала с Министерством обороны Украины и Вооруженными силами Украины в расследовании и предотвращении двух кибератак.
Атаки были связаны с рассылкой военнослужащим сообщений, содержащих ссылки на скачивание APK-файлов, связанных с военными системами, такими как GRISELDA и система наблюдения "Eyes". В случае с GRISELDA ссылка перенаправляла на поддельную версию мобильного приложения официального веб-сайта проекта. Это приложение, обозначенное как мобильная версия GRISELDA, на самом деле было вредоносной программой HYDRA, предназначенной для кражи данных сеансов, контактов и ведения кейлоггинга. С другой стороны, ссылка на систему "Eyes" вела на APK-файл, размещенный на Google Диске. Этот файл содержал сторонний код, предназначенный для кражи учетных данных пользователя и GPS-координат путем модификации законной программы с помощью стороннего JAVA-класса.
Чтобы справиться с угрозами, создаваемыми этими кибератаками, был создан идентификатор UAC-0210 для отслеживания вредоносной активности, связанной с модифицированным приложением Eyes. Конкретные файловые хэши и классы Java, выявленные при анализе вредоносных файлов, включают c27ff4f44289c5c66cac5bfdeca9a391 (вредоносная программа Griselda.apk HYDRA), d6171caf4a5e9ff657558f30b595f8b0 (1.9.4.apk), 9275cb60e85eb039c2806548381af78d (Crew.java ) и eb58e0e223c84a46b4e5ad6154e869d1 (LocationEntity.java).
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждается растущее использование высоких технологий в современной войне с акцентом на кибератаки на мобильные устройства военнослужащих. В частности, в нем упоминаются кибератаки на украинские военные системы, такие как GRISELDA и система наблюдения "Eyes", целью которых была кража аутентификационных данных и GPS-координат. Украинское правительство сотрудничало с министерством обороны и вооруженными силами для расследования и предотвращения этих атак.
-----
В тексте подчеркивается растущее использование высоких технологий в современной войне для управления боевыми действиями, разведки и других военных операций. Мобильные устройства имеют решающее значение для использования специальных военных систем, что делает их главными мишенями для кибератак, стремящихся взломать смартфоны и планшеты военнослужащих. Эти злоумышленники стремятся украсть аутентификационные данные для доступа к информационным системам и получить GPS-координаты, что потенциально угрожает жизни персонала. Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) сотрудничала с Министерством обороны Украины и Вооруженными силами Украины в расследовании и предотвращении двух кибератак.
Атаки были связаны с рассылкой военнослужащим сообщений, содержащих ссылки на скачивание APK-файлов, связанных с военными системами, такими как GRISELDA и система наблюдения "Eyes". В случае с GRISELDA ссылка перенаправляла на поддельную версию мобильного приложения официального веб-сайта проекта. Это приложение, обозначенное как мобильная версия GRISELDA, на самом деле было вредоносной программой HYDRA, предназначенной для кражи данных сеансов, контактов и ведения кейлоггинга. С другой стороны, ссылка на систему "Eyes" вела на APK-файл, размещенный на Google Диске. Этот файл содержал сторонний код, предназначенный для кражи учетных данных пользователя и GPS-координат путем модификации законной программы с помощью стороннего JAVA-класса.
Чтобы справиться с угрозами, создаваемыми этими кибератаками, был создан идентификатор UAC-0210 для отслеживания вредоносной активности, связанной с модифицированным приложением Eyes. Конкретные файловые хэши и классы Java, выявленные при анализе вредоносных файлов, включают c27ff4f44289c5c66cac5bfdeca9a391 (вредоносная программа Griselda.apk HYDRA), d6171caf4a5e9ff657558f30b595f8b0 (1.9.4.apk), 9275cb60e85eb039c2806548381af78d (Crew.java ) и eb58e0e223c84a46b4e5ad6154e869d1 (LocationEntity.java).
#ParsedReport #CompletenessMedium
04-09-2024
Unpacking the unpleasant FIN7 gift: PackXOR
https://harfanglab.io/insidethelab/unpacking-packxor
Report completeness: Medium
Actors/Campaigns:
Carbanak
Threats:
Packxor_tool
Aukill_tool
Silentcryptominer_tool
R77rk_tool
Xmrig_miner
ChatGPT TTPs:
T1027, T1562.001, T1027.002, T1140
IOCs:
Hash: 4
Domain: 2
Algorithms:
lznt1, xor, sha256
Functions:
GetModuleHandle
Win API:
LoadLibrary, GetProcAddress
YARA: Found
Links:
04-09-2024
Unpacking the unpleasant FIN7 gift: PackXOR
https://harfanglab.io/insidethelab/unpacking-packxor
Report completeness: Medium
Actors/Campaigns:
Carbanak
Threats:
Packxor_tool
Aukill_tool
Silentcryptominer_tool
R77rk_tool
Xmrig_miner
ChatGPT TTPs:
do not use without manual checkT1027, T1562.001, T1027.002, T1140
IOCs:
Hash: 4
Domain: 2
Algorithms:
lznt1, xor, sha256
Functions:
GetModuleHandle
Win API:
LoadLibrary, GetProcAddress
YARA: Found
Links:
https://github.com/SilentCryptoMiner/SilentCryptoMinerhttps://github.com/HarfangLab/iocs/tree/main/packxorhttps://github.com/xmrig/xmrighttps://github.com/HarfangLab/iocs/tree/main/packxor/unpacker\_packXOR.pyHarfangLab
Unpacking the unpleasant FIN7 gift: PackXOR
Discover our detailed analysis of PackXOR, a private packer linked to FIN7's AvNeutralizer tool, with insights into its usage and unpacking.
CTT Report Hub
#ParsedReport #CompletenessMedium 04-09-2024 Unpacking the unpleasant FIN7 gift: PackXOR https://harfanglab.io/insidethelab/unpacking-packxor Report completeness: Medium Actors/Campaigns: Carbanak Threats: Packxor_tool Aukill_tool Silentcryptominer_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обсуждении полезной нагрузки вредоносных программ, упаковщиков, используемых для их маскировки, и внедрении таких инструментов, как AvNeutralizer, предназначенных для отключения программного обеспечения обнаружения конечных точек и реагирования на них (EDR). В нем также анализируется частный упаковщик под названием PackXOR, его связь с FIN7 и использование нескольких уровней обфускации злоумышленниками. Кроме того, в тексте объясняется концепция динамического связывания во время выполнения как метода, используемого вредоносными программами для уклонения от обнаружения.
-----
В тексте содержится подробная информация о различных вредоносных программах и связанных с ними пакетах, используемых для их маскировки. В начале июля 2024 года исследователи Sentinel Labs опубликовали статью, в которой обсуждался инструментарий "FIN7 reboot", представляющий инструмент, известный как "AvNeutralizer", который действует как средство защиты от EDR. AvNeutralizer, также называемый "AuKill", предназначен для отключения программного обеспечения обнаружения конечных точек и реагирования на них (EDR) путем завершения связанных процессов с использованием уязвимых драйверов из ядра.
В тексте также упоминается частный упаковщик под названием "PackXOR", который был проанализирован исследователями. Было обнаружено, что PackXOR, первоначально связанный с FIN7, использовался для упаковки AvNeutralizer и продавался на подпольных форумах, связанных с кластером FIN7. Однако дальнейшее расследование показало, что PackXOR использовался не только FIN7, но и для защиты несвязанных полезных данных, таких как шифровальщик "XMRig" и руткит "R77", которые были дополнительно замаскированы с помощью "SilentCryptoMiner" с открытым исходным кодом..
Упаковщики вредоносных программ - это инструменты, используемые для сжатия, шифрования и обфускации вредоносной полезной нагрузки. Упакованный двоичный файл, созданный упаковщиками, требует распаковки перед выполнением полезной нагрузки, часто с использованием заглушки для расшифровки. Использование упаковщиков направлено на то, чтобы помешать аналитикам вредоносных программ и антивирусному программному обеспечению/EDR, скрывая полезную нагрузку.
В тексте подчеркивается, что данные, полученные с помощью PackXOR, структурированы в два раздела и определены несколько дополнительных полезных функций, включая криптоминер XMRig и руткит R77, поставляемые с PackXOR. Кроме того, в некоторых случаях были обнаружены многочисленные уровни обфускации, указывающие на сложные механизмы защиты, используемые участниками угроз.
Кроме того, в тексте объясняется концепция динамического связывания во время выполнения - метод, используемый вредоносными программами для загрузки библиотек DLL и импорта функций только при необходимости, что позволяет избежать обнаружения средствами статического анализа. Этот метод предполагает расшифровку строк перед использованием в таких функциях, как GetModuleHandle, LoadLibrary и GetProcAddress.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обсуждении полезной нагрузки вредоносных программ, упаковщиков, используемых для их маскировки, и внедрении таких инструментов, как AvNeutralizer, предназначенных для отключения программного обеспечения обнаружения конечных точек и реагирования на них (EDR). В нем также анализируется частный упаковщик под названием PackXOR, его связь с FIN7 и использование нескольких уровней обфускации злоумышленниками. Кроме того, в тексте объясняется концепция динамического связывания во время выполнения как метода, используемого вредоносными программами для уклонения от обнаружения.
-----
В тексте содержится подробная информация о различных вредоносных программах и связанных с ними пакетах, используемых для их маскировки. В начале июля 2024 года исследователи Sentinel Labs опубликовали статью, в которой обсуждался инструментарий "FIN7 reboot", представляющий инструмент, известный как "AvNeutralizer", который действует как средство защиты от EDR. AvNeutralizer, также называемый "AuKill", предназначен для отключения программного обеспечения обнаружения конечных точек и реагирования на них (EDR) путем завершения связанных процессов с использованием уязвимых драйверов из ядра.
В тексте также упоминается частный упаковщик под названием "PackXOR", который был проанализирован исследователями. Было обнаружено, что PackXOR, первоначально связанный с FIN7, использовался для упаковки AvNeutralizer и продавался на подпольных форумах, связанных с кластером FIN7. Однако дальнейшее расследование показало, что PackXOR использовался не только FIN7, но и для защиты несвязанных полезных данных, таких как шифровальщик "XMRig" и руткит "R77", которые были дополнительно замаскированы с помощью "SilentCryptoMiner" с открытым исходным кодом..
Упаковщики вредоносных программ - это инструменты, используемые для сжатия, шифрования и обфускации вредоносной полезной нагрузки. Упакованный двоичный файл, созданный упаковщиками, требует распаковки перед выполнением полезной нагрузки, часто с использованием заглушки для расшифровки. Использование упаковщиков направлено на то, чтобы помешать аналитикам вредоносных программ и антивирусному программному обеспечению/EDR, скрывая полезную нагрузку.
В тексте подчеркивается, что данные, полученные с помощью PackXOR, структурированы в два раздела и определены несколько дополнительных полезных функций, включая криптоминер XMRig и руткит R77, поставляемые с PackXOR. Кроме того, в некоторых случаях были обнаружены многочисленные уровни обфускации, указывающие на сложные механизмы защиты, используемые участниками угроз.
Кроме того, в тексте объясняется концепция динамического связывания во время выполнения - метод, используемый вредоносными программами для загрузки библиотек DLL и импорта функций только при необходимости, что позволяет избежать обнаружения средствами статического анализа. Этот метод предполагает расшифровку строк перед использованием в таких функциях, как GetModuleHandle, LoadLibrary и GetProcAddress.
#ParsedReport #CompletenessLow
04-09-2024
CERT-In Advisory and WikiLoader Campaign: Comprehensive Overview of Recent Security Threats
https://cyble.com/blog/cert-in-advisory-and-wikiloader-campaign-comprehensive-overview-of-recent-security-threats
Report completeness: Low
Threats:
Wikiloader
Seo_poisoning_technique
CVEs:
CVE-2024-5916 [Vulners]
CVSS V3.1: 4.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.8, <11.0.4)
CVE-2024-5915 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks globalprotect (le5.1.9, le6.0.6, <6.1.5, <6.2.4, 6.3.0)
CVE-2024-5914 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks cortex xsoar commonscripts (<1.12.33)
ChatGPT TTPs:
T1068, T1202, T1036.005, T1574.002, T1027, T1497.001
IOCs:
Domain: 1
Soft:
PAN-OS
04-09-2024
CERT-In Advisory and WikiLoader Campaign: Comprehensive Overview of Recent Security Threats
https://cyble.com/blog/cert-in-advisory-and-wikiloader-campaign-comprehensive-overview-of-recent-security-threats
Report completeness: Low
Threats:
Wikiloader
Seo_poisoning_technique
CVEs:
CVE-2024-5916 [Vulners]
CVSS V3.1: 4.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.8, <11.0.4)
CVE-2024-5915 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks globalprotect (le5.1.9, le6.0.6, <6.1.5, <6.2.4, 6.3.0)
CVE-2024-5914 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks cortex xsoar commonscripts (<1.12.33)
ChatGPT TTPs:
do not use without manual checkT1068, T1202, T1036.005, T1574.002, T1027, T1497.001
IOCs:
Domain: 1
Soft:
PAN-OS
Cyble
CERT-In Advisory And WikiLoader Campaign: Comprehensive Overview Of Recent Security Threats - Cyble
CERT-In's advisory on Palo Alto Networks vulnerabilities and WikiLoader’s fake GlobalProtect installers highlight major security risks.
CTT Report Hub
#ParsedReport #CompletenessLow 04-09-2024 CERT-In Advisory and WikiLoader Campaign: Comprehensive Overview of Recent Security Threats https://cyble.com/blog/cert-in-advisory-and-wikiloader-campaign-comprehensive-overview-of-recent-security-threats Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что в различных приложениях Palo Alto Networks существуют критические уязвимости, которые используются злоумышленниками с помощью нового метода распространения вредоносных программ с использованием WikiLoader. В рекомендациях подчеркивается необходимость немедленных действий, включая обновление программного обеспечения, ограничения доступа, средства обнаружения угроз и меры предосторожности в отношении продвинутых вредоносных кампаний. Превентивные меры, такие как своевременные обновления, ограничения доступа и надежные механизмы защиты, жизненно важны для организаций, чтобы снизить риски и повысить уровень их безопасности перед лицом новых киберугроз.
-----
CERT-In выпустила критическое заключение, в котором указываются уязвимости в нескольких приложениях Palo Alto Networks, включая GlobalProtect, Cloud NGFW, PAN-OS и Cortex XSOAR. Наряду с этим был выявлен новый метод распространения вредоносного ПО с использованием WikiLoader, при котором злоумышленники распространяли вредоносное ПО через поддельные установщики GlobalProtect. Уязвимости в приложениях Palo Alto Networks связаны с повышением привилегий, раскрытием информации и внедрением команд, которые были идентифицированы как CVE-2024-5915, CVE-2024-5916 и CVE-2024-5914 соответственно.
WikiLoader, сложный загрузчик, использует передовые методы уклонения, такие как SEO-отравление, для распространения своей полезной информации. Злоумышленники используют поддельные установщики GlobalProtect для распространения вредоносного ПО, пользуясь доверием к законным источникам программного обеспечения. После заражения WikiLoader использует методы обфускации, легитимные двоичные файлы для дополнительной загрузки и меры защиты от анализа, чтобы избежать обнаружения и анализа средствами безопасности.
В рекомендациях подчеркивается важность немедленных действий, включая обновление уязвимого программного обеспечения, ограничение доступа, использование средств обнаружения угроз и сохранение бдительности в отношении сложных вредоносных кампаний, таких как WikiLeader. В них подчеркивается острая необходимость в своевременных обновлениях и надежных механизмах защиты для снижения рисков, связанных с этими уязвимостями и развитием киберугроз.
Решение этих проблем безопасности с помощью упреждающих мер, таких как своевременное обновление, ограничение доступа и надежные механизмы защиты, имеет решающее значение для снижения риска использования. Постоянное информирование о сложных кампаниях вредоносного ПО и постоянное совершенствование методов обеспечения безопасности являются жизненно важными шагами в защите систем и конфиденциальных данных. Выполняя рекомендуемые действия, изложенные в рекомендациях, организации могут повысить свою общую безопасность и лучше защититься от этих рисков.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что в различных приложениях Palo Alto Networks существуют критические уязвимости, которые используются злоумышленниками с помощью нового метода распространения вредоносных программ с использованием WikiLoader. В рекомендациях подчеркивается необходимость немедленных действий, включая обновление программного обеспечения, ограничения доступа, средства обнаружения угроз и меры предосторожности в отношении продвинутых вредоносных кампаний. Превентивные меры, такие как своевременные обновления, ограничения доступа и надежные механизмы защиты, жизненно важны для организаций, чтобы снизить риски и повысить уровень их безопасности перед лицом новых киберугроз.
-----
CERT-In выпустила критическое заключение, в котором указываются уязвимости в нескольких приложениях Palo Alto Networks, включая GlobalProtect, Cloud NGFW, PAN-OS и Cortex XSOAR. Наряду с этим был выявлен новый метод распространения вредоносного ПО с использованием WikiLoader, при котором злоумышленники распространяли вредоносное ПО через поддельные установщики GlobalProtect. Уязвимости в приложениях Palo Alto Networks связаны с повышением привилегий, раскрытием информации и внедрением команд, которые были идентифицированы как CVE-2024-5915, CVE-2024-5916 и CVE-2024-5914 соответственно.
WikiLoader, сложный загрузчик, использует передовые методы уклонения, такие как SEO-отравление, для распространения своей полезной информации. Злоумышленники используют поддельные установщики GlobalProtect для распространения вредоносного ПО, пользуясь доверием к законным источникам программного обеспечения. После заражения WikiLoader использует методы обфускации, легитимные двоичные файлы для дополнительной загрузки и меры защиты от анализа, чтобы избежать обнаружения и анализа средствами безопасности.
В рекомендациях подчеркивается важность немедленных действий, включая обновление уязвимого программного обеспечения, ограничение доступа, использование средств обнаружения угроз и сохранение бдительности в отношении сложных вредоносных кампаний, таких как WikiLeader. В них подчеркивается острая необходимость в своевременных обновлениях и надежных механизмах защиты для снижения рисков, связанных с этими уязвимостями и развитием киберугроз.
Решение этих проблем безопасности с помощью упреждающих мер, таких как своевременное обновление, ограничение доступа и надежные механизмы защиты, имеет решающее значение для снижения риска использования. Постоянное информирование о сложных кампаниях вредоносного ПО и постоянное совершенствование методов обеспечения безопасности являются жизненно важными шагами в защите систем и конфиденциальных данных. Выполняя рекомендуемые действия, изложенные в рекомендациях, организации могут повысить свою общую безопасность и лучше защититься от этих рисков.
#ParsedReport #CompletenessMedium
04-09-2024
Mallox ransomware: in-depth analysis and evolution
https://securelist.com/mallox-ransomware/113529
Report completeness: Medium
Threats:
Targetcompany
Bozon
Xollam
Remcos_rat
Shadow_copies_delete_technique
Sandbox_evasion_technique
Industry:
Healthcare
Geo:
Brazil, China, Belarusian, Ukrainian, Russian, Vietnam
CVEs:
CVE-2020-0618 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sql server (2012, 2014, 2016)
CVE-2019-1068 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sql server (2014, 2016, 2017)
ChatGPT TTPs:
T1583.001, T1190, T1486, T1041, T1069.002
IOCs:
Path: 1
File: 7
Hash: 15
Url: 2
Soft:
Jabber, MS SQL, PostgreSQL, MySQL, remote desktop services
Crypto:
tether
Algorithms:
aes-128-ctr, aes, ecdh, chacha20, ecc, sha256, aes-256, xor, prng, curve25519, md5, aes-128, aes-256-gcm
Win API:
SeTakeOwnershipPrivilege, SeDebugPrivilege, SHDeleteKeyW, TerminateProcess, ControlService, ShutdownBlockReasonCreate, GetSystemInfo, CryptGenRandom, QueryPerformanceCounter, GetTickCount, have more...
Win Services:
WebClient
Languages:
powershell, php
Platforms:
x86, x64
04-09-2024
Mallox ransomware: in-depth analysis and evolution
https://securelist.com/mallox-ransomware/113529
Report completeness: Medium
Threats:
Targetcompany
Bozon
Xollam
Remcos_rat
Shadow_copies_delete_technique
Sandbox_evasion_technique
Industry:
Healthcare
Geo:
Brazil, China, Belarusian, Ukrainian, Russian, Vietnam
CVEs:
CVE-2020-0618 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sql server (2012, 2014, 2016)
CVE-2019-1068 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sql server (2014, 2016, 2017)
ChatGPT TTPs:
do not use without manual checkT1583.001, T1190, T1486, T1041, T1069.002
IOCs:
Path: 1
File: 7
Hash: 15
Url: 2
Soft:
Jabber, MS SQL, PostgreSQL, MySQL, remote desktop services
Crypto:
tether
Algorithms:
aes-128-ctr, aes, ecdh, chacha20, ecc, sha256, aes-256, xor, prng, curve25519, md5, aes-128, aes-256-gcm
Win API:
SeTakeOwnershipPrivilege, SeDebugPrivilege, SHDeleteKeyW, TerminateProcess, ControlService, ShutdownBlockReasonCreate, GetSystemInfo, CryptGenRandom, QueryPerformanceCounter, GetTickCount, have more...
Win Services:
WebClient
Languages:
powershell, php
Platforms:
x86, x64
Securelist
Evolution of Mallox: from private ransomware to RaaS
In this report, we provide an in-depth analysis of the Mallox ransomware, its evolution, ransom strategy, encryption scheme, etc.