#ParsedReport #CompletenessMedium
05-09-2024

Predator Spyware Infrastructure Returns Following Exposure and Sanctions

https://www.recordedfuture.com/research/predator-spyware-infrastructure-returns-following-exposure-sanctions

Report completeness: Medium

Threats:
Predator_spyware
Intellexa
Chrysaor
Spear-phishing_technique

Victims:
Politicians, Executives, Journalists, Activists

Industry:
Government

Geo:
Congo, Greece, The us, Poland, Angola

TTPs:

IOCs:
Domain: 8
IP: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в возрождении шпионского ПО Predator, его усовершенствованной инфраструктуре, предназначенной для предотвращения обнаружения, и его постоянной ориентации на высокопоставленных лиц, что создает значительные риски для конфиденциальности и безопасности. В нем подчеркивается необходимость того, чтобы отдельные лица и организации следовали лучшим практикам в области кибербезопасности для снижения этих рисков, и содержится призыв к глобальным усилиям по регулированию использования программ-шпионов-наемников, таких как Predator, для эффективной борьбы с появляющимися киберугрозами.
-----

Недавние данные Insikt Group свидетельствуют о возобновлении распространения программ-шпионов Predator, которое, как ранее считалось, сократилось после введения санкций со стороны правительства США. Несмотря на первоначальные неудачи, инфраструктура Predator восстановилась с изменениями, направленными на то, чтобы избежать обнаружения и обезличить пользователей. Этот всплеск свидетельствует о продолжающемся использовании Predator клиентами в таких странах, как Демократическая Республика Конго (ДРК) и Ангола, что создает значительные риски для конфиденциальности и безопасности, особенно для высокопоставленных лиц, таких как политики и руководители.

Операторы Predator усовершенствовали свою инфраструктуру, повысив уровень сложности, чтобы избежать обнаружения. Новая инфраструктура включает в себя дополнительные уровни в системе доставки, что затрудняет отслеживание распространения шпионского ПО исследователями и защитниками кибербезопасности. Хотя режим работы в основном остается прежним, Predator, вероятно, продолжает использовать векторы атак "одним щелчком" и "нулевым щелчком", нацеливаясь на уязвимости в браузерах и сетях для проникновения на устройства.

Одним из тревожных аспектов возвращения Predator является то, что он по-прежнему нацелен на известных людей, включая политиков, руководителей, журналистов и активистов. Дорогостоящее лицензирование Predator предполагает, что операторы используют его только для стратегических, важных целей, что вызывает этические опасения по поводу его широкого применения, особенно против политической оппозиции. Расследования в таких регионах, как Европейский союз, выявили случаи использования шпионских программ против деятелей оппозиции и журналистов, что вызвало вопросы о законности и этичности такой практики слежки.

Чтобы снизить риски, связанные со шпионским ПО Predator, частным лицам и организациям рекомендуется следовать рекомендациям в области кибербезопасности, включая регулярные обновления программного обеспечения, перезагрузку устройств, активацию режима блокировки, внедрение систем управления мобильными устройствами (MDM) и повышение осведомленности о безопасности. Эти меры особенно важны для лиц, занимающих ответственные должности, например, для тех, кто работает в правительстве, гражданском обществе или на руководящих должностях в корпорациях.

Ожидается, что рынок программ-шпионов-наемников будет расти, поэтому глобальные усилия по регулированию использования таких инструментов остаются актуальными. Хотя расследования в таких регионах, как Европейский союз, могут привести к ужесточению правил продажи и использования программ-шпионов, необходимы значительные международные усилия для эффективной борьбы с угрозами, исходящими от таких программ-шпионов, как Predator. Повторное появление шпионских программ Predator служит напоминанием о растущих опасностях в киберпространстве и важности сохранения бдительности и принятия надежных мер кибербезопасности для защиты от сложных киберугроз.

В условиях растущего рынка программ-шпионов правительства и специалисты по кибербезопасности должны оставаться активными в борьбе с этими угрозами посредством публичной отчетности, постоянных исследований и применения более строгих нормативных актов для смягчения воздействия вредоносных программ, таких как Predator.

#ParsedReport #CompletenessHigh
05-09-2024

Tropic Trooper spies on government entities in the Middle East

https://securelist.com/new-tropic-trooper-web-shell-infection/113737

Report completeness: High

Actors/Campaigns:
Pirate_panda (motivation: cyber_espionage)
Famoussparrow

Threats:
Chinachopper
Dllsearchorder_hijacking_technique
Crowdoor
Sparrowdoor
Fscan_tool
Cobalt_strike
Mimikatz_tool
Neo-regeorg_tool
Dll_hijacking_technique

Victims:
Government entity

Industry:
Transport, Healthcare, Government

Geo:
Philippines, Hong kong, China, Malaysia, Middle east, Taiwan, Chinese

CVEs:
CVE-2021-31207 [Vulners]
CVSS V3.1: 6.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2021-34473 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2023-26360 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe coldfusion (2018, 2021)

CVE-2021-34523 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1055, T1569, T1070, T1027, T1574.001

IOCs:
File: 2
Hash: 20
Domain: 2
Path: 4
IP: 2

Soft:
Umbraco, ASP.NET, Microsoft Exchange, Adobe ColdFusion, Windows service

Algorithms:
sha1, base64, rc4, exhibit, md5, sha256

Win API:
VerQueryValueW, GetFileVersionInfoW, GetFileVersionInfoSizeW

Languages:
javascript

Platforms:
x64, intel

YARA: Found

Links:
https://github.com/L-codes/Neo-reGeorg/tree/master
https://github.com/shadow1ng/fscan/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что передовая группа по борьбе с постоянными угрозами, известная как Tropic Trooper, ранее занимавшаяся конкретными секторами в Азии, в 2024 году расширила свою деятельность, нацелившись на государственное учреждение на Ближнем Востоке, занимающееся исследованиями в области прав человека. Расследование выявило их изощренные методы, включая использование вредоносных программ для использования уязвимостей в программном обеспечении и манипулирования веб-оболочками для удаленного доступа, что указывает на стратегический сдвиг в их мотивах в сторону целей кибершпионажа, особенно связанных с конфликтом между Израилем и ХАМАСОМ.
-----

Tropic Trooper, также известная как KeyBoy и Pirate Panda, является передовой группой по борьбе с постоянными угрозами (APT), которая действует с 2011 года, в основном нацеливаясь на такие секторы, как правительство, здравоохранение, транспорт и высокотехнологичные отрасли на Тайване, Филиппинах и Гонконге. Однако недавнее расследование, проведенное в 2024 году, показало, что начиная с июня 2023 года они проводили постоянные кампании, направленные против государственного учреждения на Ближнем Востоке. Этот стратегический переход в важнейшие государственные структуры, занимающиеся исследованиями в области прав человека на Ближнем Востоке, открывает новые возможности для участников угроз и позволяет понять их мотивы.

Первоначальное обнаружение в июне 2024 года произошло, когда телеметрия показала повторяющиеся предупреждения о новом варианте веб-оболочки China Chopper на общедоступном веб-сервере, на котором размещена Umbraco, система управления контентом с открытым исходным кодом, написанная на C#. В ходе последующего расследования было обнаружено множество наборов вредоносных программ, в том числе инструменты для последующей эксплуатации, использованные при вторжении, и новые DLL-программы для перехвата запросов, предназначенные для загрузки загрузчика Crowdoor. Злоумышленники попытались обойти меры безопасности, переключившись на новый вариант загрузчика Crowdoor.

С высокой степенью уверенности можно отнести эту активность к китаеязычному исполнителю угроз Tropic Trooper, результаты исследования выявили совпадения в методах, использованных в предыдущих кампаниях, и высокую корреляцию с образцами, связанными с Tropic Trooper. Семейства вредоносных программ, выявленные в ходе этого вторжения, включали инструменты для сканирования уязвимостей, тестирования на проникновение, обхода средств контроля безопасности и обфускации веб-оболочек. Злоумышленники использовали незащищенные уязвимости в таких программах, как Microsoft Exchange и Adobe ColdFusion, для удаления веб-оболочек для удаленного доступа и управления.

Вредоносные программы, обнаруженные на взломанном сервере, позволяли обфускацию и динамическое выполнение команд в Umbraco CMS. Злоумышленники пытались загрузить вредоносные библиотеки DLL, используя легальные исполняемые файлы, уязвимые для перехвата в порядке поиска DLL, в конечном итоге преследуя цели кибершпионажа. Данные телеметрии показали использование команд rundll32 и пакетных сценариев для загрузки вредоносного ПО, что указывает на изощренный подход злоумышленников.

В ходе расследования была выявлена изменяющаяся последовательность загрузки, используемая злоумышленниками, чтобы избежать обнаружения, и были обнаружены новые варианты с незначительными функциональными различиями. Кроме того, связи с известной группой Sparrow были пересмотрены на основе выявленных TTP и сходства кода в образцах вредоносного ПО. Примечательно, что мотив этого вторжения, по-видимому, был нацелен на платформу управления контентом, занимающуюся исследованиями в области прав человека на Ближнем Востоке, что подчеркивало преднамеренный интерес к конкретному контенту, связанному с конфликтом между Израилем и ХАМАСОМ.

#ParsedReport #CompletenessMedium
05-09-2024

The best and worst ways to get users to improve their account security. Top security headlines of the week

https://blog.talosintelligence.com/threat-source-newsletter-sept-5-2024

Report completeness: Medium

Actors/Campaigns:
Duke

Threats:
Watering_hole_technique
Intellexa
Predator_spyware
Chrysaor
Brc4_tool
Havoc
Phantomcore
Macropack_tool
Scar
Pykspa

Industry:
Military, Financial, Government

Geo:
North korea, Israeli, North korean, Russia, Ireland, Mongolian

CVEs:
CVE-2024-7971 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<128.0.6613.84)


ChatGPT TTPs:
do not use without manual check
T1059

IOCs:
Hash: 10
File: 6

Soft:
Google Chrome, Android, Windows kernel, Microsoft Office, KMSAuto

Algorithms:
md5

Languages:
javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается целый ряд угроз и инцидентов в области кибербезопасности, подчеркивается важность бдительности в отношении всех учетных записей, независимо от их предполагаемой важности. В нем освещаются действия злоумышленников, использующих уязвимости в программном обеспечении, осуществляющих кибершпионаж и нацеленных на финансовые учреждения, а также развивающиеся методы, такие как создание новых полезных программных продуктов. Отмечается постоянство угроз, связанных с макросами VBA, а также важность обновлений программного обеспечения и надежных мер безопасности. Кроме того, упоминаются решения для обеспечения безопасности, предлагаемые компанией Talos, в которых особое внимание уделяется активному обмену информацией для повышения осведомленности о кибербезопасности и эффективного противодействия возникающим угрозам. В конечном счете, в тексте подчеркивается динамичный характер киберугроз и необходимость постоянной бдительности и упреждающих стратегий защиты.
-----

Важно учитывать безопасность всех учетных записей, даже, казалось бы, менее важных, таких как личные развлекательные аккаунты.

Злоумышленники, такие как APT29, Citrine Sleet и спонсируемые государством Северной Кореи организации, нацелены на уязвимости в Apple iOS WebKit, Google Chrome и используют уязвимости нулевого дня для кибершпионажа, кражи криптовалют и нападения на финансовые учреждения.

ФБР предупреждает о том, что северокорейские субъекты планируют кибератаки на организации со значительными запасами криптовалют.

Эволюционирующие методы участников угроз, включая использование традиционных методов для создания новых вредоносных программ, реализуемых с помощью разнообразных кампаний с различными характеристиками, основанными на языке и географии.

Угрозы, связанные с макросами VBA, сохраняются, несмотря на усилия Microsoft по их устранению, что подчеркивает важность обновлений программного обеспечения и надежных мер безопасности.

Использование таких инструментов, как MacroPack, для создания полезной нагрузки в обход традиционных методов обнаружения.

Решения для обеспечения безопасности, предоставленные компанией Talos, включая новые наборы правил Snort и сигнатуры ClamAV для обнаружения и блокировки вредоносных файлов, проанализированные в ходе их исследования.

Особое внимание уделяется обмену информацией о темах, используемых участниками угроз в вредоносных документах, для повышения осведомленности о кибербезопасности.

#ParsedReport #CompletenessMedium
06-09-2024

Unveiling a Target and Multi-Stage Malware Attack. Key points

https://seguranca-informatica.pt/unveiling-a-target-and-multi-stage-malware-attack

Report completeness: Medium

Threats:
Cobalt_strike
Macropack_tool
Netstat_tool

Victims:
Altice corporation

Geo:
Portuguese

ChatGPT TTPs:
do not use without manual check
T1204.002, T1059.005, T1055.001, T1071.001, T1562.001, T1105, T1203, T1027, T1059.003

IOCs:
File: 12
Domain: 3
Hash: 5
Coin: 1
IP: 2
Path: 1
Email: 1
Url: 2

Soft:
Microsoft Word

Algorithms:
md5, base64

Functions:
AutoOpen, WriteToFile, unlink

Win API:
NtMapViewOfSection, LoadLibraryA, NtQueueApcThread, NtQueueApcThread-s, RtlCreateUserThread, SetThreadContext

Win Services:
InfoPath

Links:
https://github.com/sevagas/macro\_pack

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается изощренная вредоносная кампания, обнаруженная в августе 2024 года, нацеленная на организации с помощью фишинговых страниц, выдающих себя за корпорацию Altice. Вредоносное ПО распространяется через вредоносные файлы DOCX и XLSM, содержащие макросы VBA, которые инициируют цепочку атак, включающую удаление двоичной библиотеки DLL, установление связи с сервером C2, загрузку дополнительных вредоносных файлов и запуск Cobalt Strike beacon для удаленного управления. Злоумышленники использовали методы настойчивости и уклонения, при этом макросы вредоносных документов играли решающую роль в инициировании цепочки атак и выполнении различных задач. EAT библиотеки DLL раскрывает ключевые взаимодействия с макросом, обеспечивая связь с сервером C2, в то время как подробные сведения о протоколе HTTPS, методах запроса HTTP и параметрах конфигурации иллюстрируют расширенные возможности вредоносного ПО.
-----

В тексте описывается изощренная вредоносная кампания, обнаруженная 21 августа 2024 года, которая нацелена на организации с помощью фишинговых страниц, выдающих себя за корпорацию Altice. Вредоносное ПО распространяется через вредоносные файлы DOCX и XLSM, в которые встроены макросы VBA, выполняющие вредоносный код. После выполнения макросы загружают двоичную библиотеку DLL (2-й этап) в систему жертвы, которая затем записывает эту библиотеку DLL на диск и вводит ее в память, инициируя цепочку атак.

Внедренная библиотека DLL устанавливает связь с сервером управления (C2) для загрузки дополнительных вредоносных файлов, включая BAT-файл для установки SSH-бэкдора и закрытый ключ для безопасного обмена данными. Кроме того, библиотека DLL загружает и запускает Cobalt Strike beacon, что облегчает удаленный контроль над взломанной системой. Вредоносная программа маскирует свою деятельность, запуская beacon через законный процесс Windows, werfault.exe чтобы избежать обнаружения.

Злоумышленники использовали сложные методы, чтобы обеспечить устойчивость и избежать обнаружения, а вредоносная кампания включала многоэтапные атаки, направленные на сохранение контроля над скомпрометированными системами. Макросы VBA во вредоносных документах играют решающую роль в инициировании цепочки атак и снижении необходимой нагрузки. Специальные функции в макросах выполняют такие задачи, как создание файлов, изменение каталогов и запуск вредоносной библиотеки DLL.

Таблица адресов экспорта (EAT) из библиотеки DLL показывает основную точку входа, используемую макросом для взаимодействия с библиотекой DLL во время выполнения. Библиотека DLL подключается к серверу C2 для загрузки дополнительных файлов, таких как закрытый ключ, BAT-файл для настройки SSH-бэкдора и маяк CobaltStrike. Эти файлы позволяют злоумышленникам устанавливать постоянный доступ и выполнять команды удаленно, используя скрытность.

Кроме того, подробные сведения о взаимодействии с сервером C2 по протоколу HTTPS через порт 443, использовании различных методов HTTP-запросов и настройках поведения прокси-сервера, файлов cookie и стратегий DNS указывают на сложную конструкцию вредоносного ПО. Эта угроза обладает расширенными возможностями, такими как включение гибких инструкций C2 для манипулирования данными во время обмена данными и использование методов внедрения процессов для скрытных операций.

#ParsedReport #CompletenessHigh
06-09-2024

Spear-Phishing in the Battlefield: Gamaredon s Ongoing Assault on Ukraine s Military

https://cyble.com/blog/gamaredons-spear-phishing-assault-on-ukraines-military

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage)
Ghostwriter
Uac0184

Threats:
Spear-phishing_technique
Dll_sideloading_technique
Xworm_rat

Victims:
Ukrainian military personnel, Ukraine ministry of defence, Ukrainian targets

Industry:
Military, Critical_infrastructure, Government

Geo:
Ukraine, Ukrainian, Russian, Russia

TTPs:
Tactics: 3
Technics: 4

IOCs:
Domain: 1
File: 1
Url: 38
Hash: 80

Soft:
TryCloudflare

Algorithms:
sha256, base64, 7zip

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Cyble Research and Intelligence Labs раскрыла продолжающуюся крупномасштабную кампанию Gamaredon, направленную против украинских военнослужащих с помощью фишинговых электронных писем. Кампания включает в себя сложные методы, такие как вредоносные вложения, запутанный код JavaScript и использование функции одноразового туннелирования TryCloudflare для анонимного размещения вредоносных файлов. Это свидетельствует о высоком уровне изощренности и настойчивости участников угроз, которые отслеживают взаимодействие с жертвами, чтобы контролировать эффективность кампании. Связанная с Россией APT-группа Gamaredon известна тем, что занимается кибершпионажем в отношении украинских правительственных учреждений, военных и критически важных инфраструктурных секторов, особенно в периоды повышенной напряженности между Россией и Украиной. Эта продолжающаяся кампания демонстрирует эволюционирующую тактику группировки в отношении украинских военнослужащих в условиях российско-украинского конфликта.
-----

Cyble Research and Intelligence Labs (CRIL) выявила продолжающуюся кампанию Gamaredon, направленную против украинских военнослужащих с помощью фишинговых электронных писем. В кампании используются вредоносные вложения XHTML, которые при открытии выполняют запутанный код JavaScript, что приводит к загрузке вредоносного архива, содержащего файл быстрого доступа Windows. При запуске этот файл быстрого доступа запускает удаленное выполнение .архив tar, размещенный на TryCloudflare.com через mshta.exe. Злоумышленники используют функцию одноразового туннелирования TryCloudflare для анонимного размещения вредоносных файлов и удаленного доступа к ресурсам без обнаружения.

Кампания, судя по всему, была крупномасштабной и скоординированной, с широким распространением аналогичных файлов, что свидетельствует о продолжающейся деятельности, основанной на объеме и сроках обнаружения образцов. Примечательно, что использование удаленного изображения размером 1 пиксель указывает на то, что злоумышленники отслеживают взаимодействие жертвы с вредоносными файлами, чтобы контролировать эффективность кампании. Это свидетельствует о высоком уровне изощренности и настойчивости злоумышленников.

Gamaredon, также известная как Primitive Bear или Armageddon, - это связанная с Россией группировка Advanced Persistent Threat (APT), которая действует как минимум с 2013 года. Известный своей деятельностью в области кибершпионажа, Gamaredon в первую очередь нацелен на украинские правительственные учреждения, вооруженные силы и сектора критической инфраструктуры. Несмотря на использование относительно простых инструментов, Gamaredon добился успеха благодаря своей постоянной сосредоточенности на конкретных геополитических целях, особенно в периоды повышенной напряженности между Россией и Украиной.

Продолжающаяся кампания Gamaredon APT демонстрирует эволюционирующую тактику группировки в отношении украинских военнослужащих. Используя фишинговые электронные письма, вредоносные вложения, запутанный JavaScript и функцию одноразового туннелирования TryCloudflare, злоумышленники могут доставлять вредоносную полезную нагрузку и поддерживать удаленный доступ незамеченными. Масштаб и периодичность кампании указывают на хорошо скоординированные усилия, направленные на уязвимые украинские организации. Такая повышенная активность подчеркивает растущий характер киберугроз в условиях российско-украинского конфликта.

#ParsedReport #CompletenessLow
04-09-2024

Revival Hijack - PyPI hijack technique exploited in the wild, puts 22K packages at risk

https://jfrog.com/blog/revival-hijack-pypi-hijack-technique-exploited-22k-packages-at-risk

Report completeness: Low

Threats:
Revival_hijack_technique
Supply_chain_technique
Typosquatting_technique

Industry:
Software_development

ChatGPT TTPs:
do not use without manual check
T1195.002, T1140, T1059.007

IOCs:
Email: 1

Soft:
Jenkins

Algorithms:
base64

Languages:
python

Links:
https://github.com/kiki7000/discord.py-components
https://github.com/zerometal/gingerit
https://web.archive.org/web/20200914040637/https://github.com/cheney-yan/pingdom-py-api-v3
https://github.com/pypi/warehouse/blob/e8195e40986d63f9b72926a67eb6acfd43b36932/warehouse/packaging/services.py#L445
https://github.com/pypi/warehouse/blob/e8195e40986d63f9b72926a67eb6acfd43b36932/warehouse/migrations/versions/d18d443f89f0\_ultranormalize\_name\_function.py#L29

#ParsedReport #ExtractedSchema

Classified images:
code: 3, schema: 1, windows: 4, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследовательская группа JFrog по безопасности выявила серьезную угрозу в виде метода атаки на цепочку поставок PyPI под названием "Revival Hijack", который позволяет злоумышленникам перехватывать удаленные пакеты и заменять их вредоносным кодом. Этот метод атаки потенциально может привести к перехвату тысяч существующих пакетов PyPI, что представляет серьезную угрозу для безопасности экосистем программного обеспечения с открытым исходным кодом. Усилия по защите уязвимых пакетов и предложению мер защиты подчеркивают необходимость усиления мер безопасности в борьбе с появляющимися киберугрозами в цепочках поставок программного обеспечения.
-----

Исследовательская группа JFrog по безопасности выявила серьезную угрозу в виде метода атаки на цепочку поставок PyPI под названием "Revival Hijack", который позволяет злоумышленникам перехватывать удаленные пакеты и заменять их вредоносным кодом. Используя лазейку в политике PyPI, которая делает имена пакетов доступными для перерегистрации сразу после удаления, злоумышленники могут манипулировать существующими пакетами для распространения вредоносного ПО. Исследователи обнаружили, что этот метод атаки потенциально может привести к перехвату 22 000 существующих пакетов PyPI, что приведет к сотням тысяч вредоносных загрузок.

Чтобы проверить эффективность атаки Revival Hijack, команда провела эксперименты и успешно перехватила заброшенные пакеты. Они обнаружили тревожное поведение в том, как PyPI обрабатывает удаленные пакеты, демонстрируя потенциальные риски, связанные с этим направлением атаки. Несмотря на принятые PyPI меры предосторожности против выдачи себя за кого-либо, сценарий "Захвата с целью возрождения" не был эффективно предотвращен, что подчеркивает необходимость принятия более комплексных мер безопасности.

Проанализировав уязвимые пакеты, исследователи защитили наиболее загружаемые заброшенные пакеты, заменив их пустыми пакетами, используя зарезервированную учетную запись под названием "security_holding". Удивительно, но они наблюдали тысячи загрузок этих "безопасно захваченных" пакетов, что указывает на сохраняющиеся риски, связанные с ошибочной загрузкой пользователями этих пакетов или устаревшими скриптами, которые все еще ищут их.

Вредоносная полезная нагрузка, обнаруженная в пакете PyPI под названием "pingdomv3", иллюстрирует, как злоумышленники используют типичные методы вредоносного по Python, такие как динамическое выполнение строк в кодировке Base64, для компрометации систем. Полученные результаты подчеркивают реальное воздействие атак на цепочки поставок, таких как Revival Hijack, и необходимость усиления мер безопасности для защиты экосистем программного обеспечения с открытым исходным кодом.

Усилия исследователей по превентивной защите уязвимых пакетов подчеркивают важность упреждающих мер безопасности в борьбе с появляющимися киберугрозами. Их действия не только способствуют защите сообщества PyPI, но и демонстрируют критическую роль непрерывного мониторинга и идентификации угроз в поддержании безопасности цепочки поставок программного обеспечения.

Исследование проливает свет на проблемы, с которыми сталкиваются хранилища программного обеспечения с открытым исходным кодом, такие как PyPI, при защите своих платформ от сложных атак на цепочки поставок. Выявляя уязвимости, такие как Revival Hijack, и предлагая меры защиты, исследовательская группа стремится повысить уровень безопасности сред разработки и развертывания программного обеспечения с открытым исходным кодом.

#ParsedReport #CompletenessMedium
07-09-2024

Fog Ransomware Now Targeting the Financial Sector; Adlumin Thwarts Attack

https://adlumin.com/post/fog-ransomware-now-targeting-the-financial-sector

Report completeness: Medium

Threats:
Fog_ransomware
Credential_harvesting_technique
Djvu_ransomware
Passthehash_technique
Nltest_tool
Shadow_copies_delete_technique

Victims:
Financial services customer, Mid-sized financial business

Industry:
Education, Healthcare

Geo:
Russia

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1550.002, T1562, T1486, T1059.001

IOCs:
File: 7
Command: 1
Path: 1
IP: 3

Soft:
Google Chrome

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4