#ParsedReport #CompletenessHigh
15-10-2024

Beyond the Surface: the evolution and expansion of the SideWinder APT group

https://securelist.com/sidewinder-apt/114089

Report completeness: High

Actors/Campaigns:
Sidewinder (motivation: cyber_espionage)

Threats:
Tealerbot
Spear-phishing_technique
Sandbox_evasion_technique
Uac_bypass_technique
Putty_tool
Confuserex_tool

Industry:
Military, Logistic, Petroleum, Education, Telco, Government

Geo:
Asia, Indonesia, Jordan, Sri lanka, Morocco, France, Djibouti, Nepal, Malaysia, United arab emirates, Middle east, Africa, Saudi arabia, Arab emirates, Bangladesh, Turkey, Afghanistan, Pakistan, India, Maldives, China, Myanmar

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1203, T1218.005, T1036.005, T1562.001, T1574.002, T1115, T1033, T1497.001, T1082, have more...

IOCs:
Hash: 60
File: 34
Url: 1
Path: 4
Domain: 99

Soft:
Microsoft Office, Windows Registry, Telnet client, Windows Defender, Google Chrome, Gmail

Algorithms:
xor, zip, base64, des, aes, gzip

Win API:
GlobalMemoryStatusEx, GetProcAddress, GetCommandLineW, AmsiScanBuffer, SspiPrepareForCredRead, CryptProtectMemory, CredIsMarshaledCredentialW, CredUIPromptForWindowsCredentialsW, LogonUserW

Languages:
javascript

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 2, chart: 1, code: 2, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание группы SideWinder APT, их тактики, целей, расширения деятельности и инструментов, которые они используют для шпионажа. В нем также подчеркивается последовательная цепочка заражения и отнесение их деятельности к группе SideWinder со средней и высокой степенью достоверности. Кроме того, в нем упоминается наличие дополнительной информации, индикаторов компрометации (IOCs) и правил YARA, специфичных для SideWinder, в службе отчетов Kaspersky Intelligence.
-----

SideWinder, также известная как T-APT-04 или RattleSnake, является весьма плодовитой APT-группой, которая начала свою деятельность в 2012 году и впервые получила публичное признание в 2018 году. Первоначально SideWinder сосредоточила свое внимание на крупных объектах в Южной и Юго-Восточной Азии, а затем нацелилась на военные и правительственные структуры в таких странах, как Пакистан, Шри-Ланка, Китай и Непал. Несмотря на то, что изначально их воспринимали как неквалифицированных исполнителей из-за использования общедоступных эксплойтов и инструментов, их истинные возможности раскрываются при ближайшем рассмотрении их деятельности.

Цепочка атак группы обычно начинается с рассылки фишинговых электронных писем, содержащих вредоносные вложения, часто в виде документов Microsoft OOXML или ZIP-архивов, которые, в свою очередь, приводят к развертыванию многоэтапного процесса заражения, завершающегося установкой шпионского инструмента StealerBot. SideWinder также использовала специально созданные RTF-файлы для использования уязвимостей в программном обеспечении Microsoft Office, демонстрируя сложную тактику уклонения от обнаружения.

Недавние расследования выявили расширение деятельности SideWinder, затрагивающее организации на Ближнем Востоке и в Африке. Недавно обнаруженный инструментарий для последующей эксплуатации под названием "StealerBot" был идентифицирован как основной инструмент, используемый SideWinder для шпионской деятельности. Инструментарий работает как модульный имплант, загружаемый в память модулем Backdoor loader, что позволяет запускать различные плагины, предназначенные для шпионских целей, и управлять ими.

Имплантат StealerBot взаимодействует с организатором, отвечающим за связь с серверами командования и контроля (C2), позволяя запускать различные модули наблюдения и управлять ими. Эти модули включают в себя такие возможности, как ведение кейлогга, создание скриншотов, кража файлов, сбор учетных данных и обход контроля учетных записей пользователей (UAC) для запуска вредоносного кода с повышенными привилегиями. Кроме того, специализированные модули предназначены для кражи учетных данных RDP, файлов cookie браузера Chrome и выполнения методов обхода контроля учетных записей пользователей на основе конфигураций целевой системы.

Кампании SideWinder были нацелены на широкий спектр секторов и стран, включая правительственные и военные структуры, логистику, инфраструктуру, телекоммуникации, финансовые учреждения, университеты и нефтетрейдинговые компании. Группа также преследовала дипломатические цели в таких странах, как Афганистан, Франция, Китай, Индия, Индонезия и Марокко.

Действия, приписываемые SideWinder, демонстрируют последовательную цепочку заражения и тактику, которые наблюдались при предыдущих атаках, включая удаленное внедрение шаблонов, схемы присвоения имен вредоносным поддоменам и развертывание известных компонентов, таких как .NET Downloader и модуль загрузки бэкдора. Такое сходство, наряду с целевыми организациями и секторами, позволяет отнести эти действия к группе SideWinder APT со средней или высокой степенью достоверности.

Клиенты службы отчетов Kaspersky Intelligence могут получить доступ к дополнительной информации, индикаторам компрометации (IOCs) и правилам YARA, специфичным для SideWinder, для получения расширенной информации об угрозах. Для получения дополнительной информации и доступа к ней рекомендуется обращаться в службу отчетов Kaspersky Intelligence.

#ParsedReport #CompletenessMedium
15-10-2024

Fake Ukrainian Bank Invoice Contains Malicious RMS Tool

https://www.forcepoint.com/blog/x-labs/fake-ukrainian-bank-invoice-malicious-rms-tool

Report completeness: Medium

Threats:
Rms_tool
Remote_manipulator_system_tool
Shadow_copies_delete_technique

Victims:
Government domains, Well-known companies, Government entities, Large businesses

Industry:
Government, Financial

Geo:
Emea, Ukrainian, Russian

ChatGPT TTPs:
do not use without manual check
T1071, T1203, T1113, T1053

IOCs:
Url: 1
File: 4
Hash: 7
IP: 3

Soft:
Embarcadero

Algorithms:
zip

Languages:
delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в недавней мелкомасштабной атаке, которая имитировала законное подтверждение платежа от украинского банка, используя инструмент Remote Manipulator System (RMS) для взлома систем государственных доменов и известных компаний. Атака была связана с использованием вредоносных вложений в формате PDF, имитирующих официальный бланк банка, что привело к установке средства управления правами и последующей утечке системных данных на удаленный сервер управления в России. Злоумышленники атаковали различные организации с целью отслеживания действий пользователей и получения контроля над системами-жертвами. Несмотря на то, что содержание электронного письма было на украинском языке, получатели не владели им в совершенстве, что вызывало вопросы о мотивах злоумышленников. На различных этапах атака была предотвращена с помощью мер безопасности.
-----

Недавно команда X-Labs раскрыла мелкомасштабную атаку, которая маскировалась под законное подтверждение платежа от украинского банка. Эта атака была примечательна тем, что в ней использовался инструмент Remote Manipulator System (RMS) для контроля скомпрометированных систем. Целями этой атаки были государственные домены и известные компании. Несмотря на то, что содержание электронного письма было на украинском языке, вполне вероятно, что получатели не владели этим языком в совершенстве, что вызвало вопросы о мотивах злоумышленников. Само электронное письмо было коротким и непротиворечивым в разных вариантах, единственным отличием было имя отправителя в подписи, совпадающее с именем в поле "От кого". Эти имена были необычными даже для носителей украинского языка.

Вредоносное электронное письмо содержало вложение в формате PDF, имитирующее официальный бланк известного украинского банка "Приватбанк", в котором получателям предлагалось подтвердить платеж. В прикрепленном MSI-файле выполнялась установка средства управления правами и связанных с ним компонентов, таких как rutserv.exe и rfusclient.exe. Злоумышленники адаптировали эти инструменты, которые, по всей видимости, представляли собой модифицированные версии, скомпилированные с помощью компилятора Embarcadero Delphi, для автоматического подключения к удаленному серверу управления в России для извлечения системных данных. Вредоносная программа также управляла точками восстановления системы, создавая записи в реестре с помощью законного процесса SrTasks.exe и использовала службу теневого копирования томов vssvc.exe для управления резервными копиями и моментальными снимками. Вредоносная программа передавала данные через нестандартные порты для подключения C2.

Обнаруженные образцы вредоносного ПО RMS tool были разработаны для различных государственных учреждений и крупных предприятий с использованием поддельного счета-фактуры в формате PDF, который побуждал пользователей переходить по вредоносной ссылке. Вредоносное ПО тайно загружало и устанавливало множество файлов и архивов, одновременно развертывая RMS tool в фоновом режиме. Основной целью этой атаки было отслеживание действий пользователей и, в конечном счете, получение контроля над системой жертвы. Клиенты Forcepoint были защищены от этой угрозы на нескольких этапах атаки:.

Этап 2 (Lure): Вредоносные PDF-вложения, связанные с этой атакой, были распознаны и заблокированы.

Этап 3 (перенаправление): Используемый URL-адрес Bitbucket был классифицирован в соответствии с ограничениями безопасности.

Этап 5 (файл Dropper): Файлы dropper были включены в базу данных вредоносных программ Forcepoint, и их выполнение было предотвращено.

Этап 6 (звонок домой): Связь C2 была прервана из-за блокировки учетных данных.

#ParsedReport #CompletenessLow
15-10-2024

APT-C-35. Analysis of the APT-C-35 (Brainworm) attack on a South Asian manufacturing company

https://www.ctfiot.com/210064.html

Report completeness: Low

Actors/Campaigns:
Donot

Threats:
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln

Victims:
Shibli electronics limited, National information technology commission of pakistan

Industry:
Government

Geo:
Pakistan, Pakistani, Asian, Asia

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


ChatGPT TTPs:
do not use without manual check
T1203, T1059.001, T1071.001, T1140, T1112, T1050

IOCs:
Hash: 7
File: 7
Url: 8
Registry: 1
Domain: 1

Soft:
WeChat

Algorithms:
xor, md5

Win API:
CryptEnumOIDInfo

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-35, также известная как Donot, - это изощренная организация APT-атак из Южной Азии, нацеленная на правительственные учреждения в Пакистане и соседних странах с целью кражи конфиденциальной информации. Их действия по атакам включают использование макросов и документов об уязвимостях для внедрения новых компонентов атаки для утечки данных. Организация демонстрирует настойчивость в своих атаках, постоянно обновляя тактику и разрабатывая вредоносный код. Анализ, проведенный Институтом перспективных исследований угроз 360, выявил недавние атаки, которые подчеркивают необходимость упреждающего обнаружения угроз и принятия защитных мер для обеспечения безопасности национальной сети.
-----

APT-C-35, также известная как Donot, - это изощренная организация, осуществляющая атаки с использованием APT из Южной Азии, специально нацеленная на правительственные учреждения в Пакистане и соседних странах с целью кражи конфиденциальной информации. Их атаки продолжаются с 2016 года, и в последние годы их частота заметно возросла. Организация постоянно обновляет и совершенствует свои компоненты атаки, чтобы усовершенствовать свою тактику.

Совсем недавно 360 Advanced Threat Research Institute раскрыли атаки APT-C-35 на Пакистан с помощью ежедневного поиска угроз. В ходе этих атак организация использовала макродокументы и документы об уязвимостях в качестве носителей вредоносного по.Новые компоненты атаки NET для целей утечки данных. Эти компоненты редко использовались в предыдущих атаках и все еще находятся на стадии разработки, что требует анализа для повышения осведомленности и предотвращения обмана пользователей.

APT-C-35 использовал два метода для загрузки вредоносных компонентов в своих атаках. Первый метод заключался в использовании файла-приманки с макросами для выполнения нескольких уровней шелл-кода, что приводило к загрузке вредоносной библиотеки DLL. Во втором методе для загрузки документа в формате RTF, содержащего уязвимость, использовалось внедрение шаблона. При открытии документа и срабатывании уязвимости загружался файл-приманка и освобождалась вредоносная библиотека DLL.

Стратегия атаки включала в себя различные вредоносные образцы, в том числе образец макроса под названием "SOP - Payables.doc", замаскированный под финансовый отчетный документ пакистанской компании Shibli Electronics Limited. Встроенный макрокод в примере проверяет пароль перед выполнением ключевых функций, потенциально намекая на способ обхода инструментов динамического обнаружения, таких как изолированные системы, путем передачи пароля по электронной почте более высокого уровня. Кроме того, были обнаружены другие вредоносные макродокументы, которые не включали проверку пароля и выполняли различные шелл-коды в зависимости от архитектуры системы.

Проанализировав доменное имя ссылки для скачивания "office-updatecentral.com", было установлено, что оно связано с примером атаки на уязвимость, которую использовала группа Donot против Пакистана. Эта атака соответствовала предыдущим тактикам, методам и процедурам (TTP) организации Donot, демонстрируя сходство в выполнении кода, методах антивирусного обнаружения и методах манипулирования файлами. Организация APT-C-35 продемонстрировала настойчивость в своих атаках, расшифровывая и загружая полезную информацию слой за слоем с помощью шеллкода, включая запланированные задачи для постоянного присутствия и постоянно совершенствуя свой вредоносный код с помощью функциональной модульности.

Отнесение этих атак к организации APT-C-35 основано на тщательном анализе характера их атак, согласованности целей и активности в прошлом с момента их раскрытия в 2016 году. Неустанное стремление организации к внедрению передовых методов борьбы с угрозами подчеркивает важность упреждающего обнаружения угроз и мер защиты. Институт перспективных исследований угроз 360 играет ключевую роль в выявлении и раскрытии таких передовых угроз, внося значительный вклад в усилия по обеспечению национальной сетевой безопасности.

#ParsedReport #CompletenessMedium
16-10-2024

Operation "Code on Toast"

https://image.ahnlab.com/atip/content/file/20241015/(%EC%A0%84%EC%B2%B4%EB%B3%B8)%EA%B3%B5%EA%B0%9C%EB%B3%B4%EA%B3%A0%EC%84%9C-OperationCodeonToast.pdf

Report completeness: Medium

Actors/Campaigns:
Code_on_toast
Scarcruft

Threats:
Watering_hole_technique
Rtf_template_inject_technique
Ad_toast
Rokrat
Ollydbg_tool
Process_hacker_tool
Windbg_tool
Procmon_tool

Victims:
Domestic north korea experts, Defectors, Korean citizens, North korean experts

Geo:
North korea, Korean, North korean

CVEs:
CVE-2024-38178 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20751)
- microsoft windows 10 1607 (<10.0.14393.7259)
- microsoft windows 10 1809 (<10.0.17763.6189)
- microsoft windows 10 21h2 (<10.0.19044.4780)
- microsoft windows 10 22h2 (<10.0.19045.4780)
have more...
CVE-2020-1380 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft internet explorer (11)

CVE-2022-41128 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.19567)
- microsoft windows 10 1607 (<10.0.14393.5501)
- microsoft windows 10 1809 (<10.0.17763.3650)
- microsoft windows 10 20h2 (<10.0.19042.2251)
- microsoft windows 10 21h1 (<10.0.19043.2251)
have more...

ChatGPT TTPs:
do not use without manual check
T1203, T1071.001, T1140, T1027, T1105, T1055.012, T1197

IOCs:
File: 13
Hash: 5
Path: 2
Command: 1

Soft:
Internet Explorer, sysinternals, windump, wechat, Chrome, Opera, FireFox

Crypto:
ripple

Algorithms:
xor, aes-cbc, aes

Functions:
ex_func, SetValueType

Win API:
IsDebuggerPresent, ExitProcess

Languages:
ruby, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - меняющийся ландшафт киберугроз, в котором особое внимание уделяется прекращению поддержки Internet Explorer компанией Microsoft, росту числа изощренных хакерских группировок, таких как TA-RedAnt, и использованию ими уязвимостей для проведения целенаправленных атак, в частности, путем использования вредоносной рекламы и JavaScript в веб-браузерах. В тексте также подчеркиваются усилия охранных фирм и агентств по обнаружению и устранению этих угроз посредством оперативной связи, выпуска исправлений и подробного раскрытия уязвимостей.
-----

Корпорация Microsoft объявила о прекращении поддержки Internet Explorer в июне 2022 года, что привело к ограничениям на его использование в новейших операционных системах Windows для снижения риска несанкционированных атак.

Некоторые приложения Windows по-прежнему встраивают IE или связанные с ним модули, создавая угрозу безопасности в качестве потенциальных векторов атак для хакеров, использующих уязвимости нулевого дня в IE, которые трудно обнаружить с помощью традиционного антивирусного программного обеспечения и которые могут иметь далеко идущие последствия.

Северокорейская хакерская группа TA-RedAnt (ранее известная как RedEyes) продемонстрировала возросшее технологическое мастерство, нацеливаясь на отдельных лиц, помимо северокорейских экспертов и перебежчиков, с помощью таких методов, как вредоносные электронные письма, APK-файлы и использование уязвимостей, не связанных с IE.

Атака, организованная TA-RedAnt в мае 2024 года, использовала новую уязвимость IE с помощью всплывающей рекламы в популярном бесплатном программном обеспечении в Южной Корее, что привело к быстрому обнаружению ее службами безопасности, что привело к выпуску исправления (CVE-2024-38178) для устранения проблемы.

TA-RedAnt воспользовался предыдущими случаями аналогичных уязвимостей IE, включая такие атаки, как "Утечка информации из местных СМИ" в январе 2021 года и распространение вредоносного документа MS Word в октябре 2022 года.

Вредоносная программа группы, входящая в серию RokRAT, является сложной и использует различные методы шифрования и поведения, чтобы скрыть свое присутствие, а цепочки атак включают внедрение первичного и вторичного вредоносного ПО, чтобы избежать обнаружения.

#ParsedReport #CompletenessLow
16-10-2024

APT Profile - VOLT TYPHOON

https://www.cyfirma.com/research/apt-profile-volt-typhoon

Report completeness: Low

Actors/Campaigns:
Volt_typhoon (motivation: sabotage, cyber_espionage, information_theft)

Threats:
Credential_harvesting_technique
Spear-phishing_technique

Industry:
Iot, Maritime, Critical_infrastructure, Transport, Education, Government

Geo:
China, Canada, New zealand, America, United kingdom, Taiwan, Australia, India, Chinese, Korea, Japan

ChatGPT TTPs:
do not use without manual check
T1078, T1021, T1059, T1560, T1068

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Volt Typhoon - это изощренная хакерская группа, спонсируемая китайским государством, которая нацелена на критически важную инфраструктуру в различных странах, включая США, Великобританию, Канаду и другие, используя передовые тактики, такие как использование уязвимостей нулевого дня, использование оперативных сетей ретрансляции и вывоз украденных данных. Их деятельность представляет серьезную угрозу международной кибербезопасности и подчеркивает необходимость усиления мер безопасности и международного сотрудничества для снижения рисков.
-----

Volt Typhoon - это сложная хакерская группа, спонсируемая китайским государством, которая нацелена на критически важную инфраструктуру в США и других странах. Недавние кампании Volt Typhoon показали, что основное внимание уделяется использованию уязвимостей нулевого дня в широко используемом программном обеспечении, таком как Versa Director, в первую очередь для интернет-провайдеров и поставщиков управляемых услуг. Группа использует оперативные ретрансляционные сети (ORB), состоящие из виртуальных частных серверов (VPS), взломанных устройств Интернета вещей и маршрутизаторов, чтобы замаскировать внешний трафик и избежать обнаружения. Эти сферы настраиваются с использованием украденных или арендованных прокси-серверов и маршрутизаторов для дома/небольшого офиса для проведения шпионских операций и потенциального нарушения работы критически важной инфраструктуры.

Их цели охватывают различные сектора по всему миру, включая связь, производство, коммунальные услуги, транспорт, строительство, судоходство, государственное управление, информационные технологии и образование. Volt Typhoon использует передовые тактические приемы, такие как выдача команд из командной строки для сбора данных, в частности, для извлечения учетных данных как из локальных, так и из сетевых систем. Затем украденная информация хранится в архиве для целей фильтрации. Кроме того, хакерская группа использует украденные учетные данные для обеспечения длительного доступа и контроля в скомпрометированных сетях.

Страны, пострадавшие от тайфуна "Вольт", включают Соединенные Штаты, Великобританию, Канаду, Индию, Японию, Тайвань, Южную Корею, Новую Зеландию и Австралию. Это свидетельствует о широкомасштабном влиянии и подчеркивает глобальный охват группы и потенциальную угрозу, которую она представляет для международной кибербезопасности.

Использование ORBS компанией Volt Typhoon демонстрирует высокий уровень оперативной сложности и свидетельствует о преднамеренных усилиях по заметанию следов и избежанию обнаружения правоохранительными органами и службами безопасности. Используя комбинацию VPS, скомпрометированных устройств Интернета вещей и маршрутизаторов, группа создает сложную сетевую инфраструктуру, которая позволяет им запускать атаки, оставаясь анонимными и не поддающимися отслеживанию.

Выбор Volt Typhoon в качестве целей для таких критически важных секторов, как связь, коммунальные услуги и государственное управление, свидетельствует о стратегическом внимании к инфраструктуре, которая имеет жизненно важное значение для национальной безопасности и экономической стабильности. Получая несанкционированный доступ к этим секторам и похищая конфиденциальные данные, группа представляет серьезную угрозу не только для отдельных организаций, но и для общей системы безопасности стран, на которые направлены ее действия.

Подводя итог, можно сказать, что недавние кампании Volt Typhoon демонстрируют опытного и постоянного участника угроз, уделяющего особое внимание критически важной инфраструктуре и стратегическим секторам во многих странах. Использование ими передовых тактик, включая эксплойты нулевого дня и оперативные ретрансляционные сети, подчеркивает необходимость усиления мер кибербезопасности и международного сотрудничества для эффективного снижения рисков, связанных с киберугрозами, спонсируемыми государством, такими как Volt Typhoon.

#ParsedReport #CompletenessLow
16-10-2024

Imperva Defends Against Targeted Exploits Used By APT29 Hackers

https://www.imperva.com/blog/imperva-defends-against-exploits-used-by-apt29-hackers

Report completeness: Low

Actors/Campaigns:
Duke (motivation: cyber_espionage)

Threats:
Supply_chain_technique

Victims:
Government organizations, Technology firms, Key infrastructure, Imperva customers, Financial services site

Industry:
Government, Telco

Geo:
Russia, North korean, United kingdom, Germany, France, Russian, Australia, India

CVEs:
CVE-2023-42793 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- jetbrains teamcity (<2023.05.4)

CVE-2022-27924 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zimbra collaboration (8.8.15, 9.0.0)


ChatGPT TTPs:
do not use without manual check
T1190, T1005

Soft:
Zimbra Collaboration Suite, JetBrains TeamCity, zimbra, teamcity

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - всплеск кибератак, осуществляемых российскими хакерами APT29, нацеленных на уязвимости в Zimbra Collaboration Suite и JetBrains TeamCity, что подчеркивает необходимость усиления мер кибербезопасности для защиты от этих сложных угроз.
-----

В последнее время наблюдается всплеск кибератак, организованных российскими хакерами APT29, известными своей передовой тактикой. Эти злоумышленники активно использовали уязвимости в Zimbra Collaboration Suite и JetBrains TeamCity, в частности, CVE-2022-27924 и CVE-2023-42793 для проникновения в критически важные системы. Компания Imperva, занимающаяся кибербезопасностью, с самого начала активно защищала своих клиентов от этих уязвимостей.

APT29, хорошо известная российская государственная группа, связанная с СВР, была выявлена в ходе различных изощренных кампаний по кибершпионажу. В основном они были нацелены на правительственные учреждения, технологические компании и критически важную инфраструктуру. Недавние атаки были сосредоточены на использовании слабых мест в широко используемых платформах, таких как Zimbra и TeamCity.

CVE-2022-27924 относится к уязвимости в Zimbra, которая позволяет взломать электронную почту, позволяя удаленным злоумышленникам, не прошедшим проверку подлинности, украсть учетные данные для входа через уязвимый почтовый сервер. Это нарушение потенциально может привести к полному проникновению в систему, предоставляя злоумышленникам привилегированный доступ к электронной почте и конфиденциальным сообщениям. Использование этой уязвимости продолжается с августа 2022 года, что способствует краже учетных данных учетной записи электронной почты.

С другой стороны, CVE-2023-42793 связан с уязвимостью в JetBrains TeamCity, которая позволяет злоумышленникам считывать произвольные файлы на сервере, получая доступ к конфиденциальным данным. Такая утечка информации может быть использована для повышения привилегий и дальнейшего проникновения в сеть организации, что создает значительные риски для процессов разработки. Как банды программ-вымогателей, так и северокорейские хакерские группы использовали эту уязвимость для первоначального доступа и попыток атак на цепочки поставок.

Было отмечено, что атаки на Zimbra были нацелены на определенный сайт финансовых услуг, особенно усилившиеся 17 августа. Эти атаки были совершены автоматизированными ботами, в основном из Великобритании, которые использовали уязвимость для взлома электронной почты. И наоборот, атаки, использующие уязвимость JetBrains TeamCity, были более агрессивными: были обнаружены миллионы запросов в различных отраслях, таких как FSI, бизнес-услуги, вычислительная техника и телекоммуникации. Трафик для атак поступал из разных стран, включая США, Германию, Индию, Францию и Россию, в которых использовались как боты, так и имитаторы браузеров для повышения эффективности попыток использования эксплойтов. Эти скоординированные усилия свидетельствуют о широкомасштабной кампании, нацеленной на конвейеры CI/CD и уязвимые среды разработки, в частности, на сайты, расположенные в США, Австралии и Индии, в сфере финансовых услуг и бизнеса. Для использования обоих CVE используются идентифицируемые совпадающие IP-адреса, что указывает на возможное сотрудничество в инфраструктуре субъекта угроз.

Поскольку спонсируемые государством злоумышленники активизируют свою деятельность и становятся все более изощренными, необходимость защиты от целенаправленных эксплойтов, таких как CVE-2022-27924 и CVE-2023-42793, приобретает первостепенное значение. Нацеленность APT29 на взлом Zimbra и TeamCity подчеркивает важность обеспечения безопасности корпоративных операционных служб, включая системы электронной почты и конвейеры CI/CD, в условиях растущих киберугроз.

#ParsedReport #CompletenessHigh
16-10-2024

Hive0147 serving juicy Picanha with a side of Mekotio

https://securityintelligence.com/x-force/hive0147-serving-juicy-picanha-with-side-of-mekotio

Report completeness: High

Actors/Campaigns:
Hive0147 (motivation: financially_motivated)
Hive0129

Threats:
Picanha
Mekotio
Coyote
Blotchyquasar
Astaroth
Grandoreiro
Dll_hijacking_technique
Bloat_technique
Nim_loader
Fake-trusteer
Ousaban

Industry:
Aerospace, E-commerce, Government, Retail, Financial

Geo:
Latam, Latin american, French, Dutch, Portuguese, Spanish, Chile, Colombia, Brazil, Latin america, Mexico

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1112, T1055

IOCs:
File: 15
Url: 5
Hash: 6
Domain: 44
IP: 1
Registry: 2

Soft:
Windows installer, NSIS installer

Crypto:
binance

Algorithms:
sha256, zip, exhibit, aes-256-gcm, md5

Functions:
FormCreate

Win API:
SetSecurityInfo

Languages:
golang, delphi, javascript, python