#ParsedReport #CompletenessLow
16-10-2024

APT Profile - VOLT TYPHOON

https://www.cyfirma.com/research/apt-profile-volt-typhoon

Report completeness: Low

Actors/Campaigns:
Volt_typhoon (motivation: sabotage, cyber_espionage, information_theft)

Threats:
Credential_harvesting_technique
Spear-phishing_technique

Industry:
Iot, Maritime, Critical_infrastructure, Transport, Education, Government

Geo:
China, Canada, New zealand, America, United kingdom, Taiwan, Australia, India, Chinese, Korea, Japan

ChatGPT TTPs:
do not use without manual check
T1078, T1021, T1059, T1560, T1068

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Volt Typhoon - это изощренная хакерская группа, спонсируемая китайским государством, которая нацелена на критически важную инфраструктуру в различных странах, включая США, Великобританию, Канаду и другие, используя передовые тактики, такие как использование уязвимостей нулевого дня, использование оперативных сетей ретрансляции и вывоз украденных данных. Их деятельность представляет серьезную угрозу международной кибербезопасности и подчеркивает необходимость усиления мер безопасности и международного сотрудничества для снижения рисков.
-----

Volt Typhoon - это сложная хакерская группа, спонсируемая китайским государством, которая нацелена на критически важную инфраструктуру в США и других странах. Недавние кампании Volt Typhoon показали, что основное внимание уделяется использованию уязвимостей нулевого дня в широко используемом программном обеспечении, таком как Versa Director, в первую очередь для интернет-провайдеров и поставщиков управляемых услуг. Группа использует оперативные ретрансляционные сети (ORB), состоящие из виртуальных частных серверов (VPS), взломанных устройств Интернета вещей и маршрутизаторов, чтобы замаскировать внешний трафик и избежать обнаружения. Эти сферы настраиваются с использованием украденных или арендованных прокси-серверов и маршрутизаторов для дома/небольшого офиса для проведения шпионских операций и потенциального нарушения работы критически важной инфраструктуры.

Их цели охватывают различные сектора по всему миру, включая связь, производство, коммунальные услуги, транспорт, строительство, судоходство, государственное управление, информационные технологии и образование. Volt Typhoon использует передовые тактические приемы, такие как выдача команд из командной строки для сбора данных, в частности, для извлечения учетных данных как из локальных, так и из сетевых систем. Затем украденная информация хранится в архиве для целей фильтрации. Кроме того, хакерская группа использует украденные учетные данные для обеспечения длительного доступа и контроля в скомпрометированных сетях.

Страны, пострадавшие от тайфуна "Вольт", включают Соединенные Штаты, Великобританию, Канаду, Индию, Японию, Тайвань, Южную Корею, Новую Зеландию и Австралию. Это свидетельствует о широкомасштабном влиянии и подчеркивает глобальный охват группы и потенциальную угрозу, которую она представляет для международной кибербезопасности.

Использование ORBS компанией Volt Typhoon демонстрирует высокий уровень оперативной сложности и свидетельствует о преднамеренных усилиях по заметанию следов и избежанию обнаружения правоохранительными органами и службами безопасности. Используя комбинацию VPS, скомпрометированных устройств Интернета вещей и маршрутизаторов, группа создает сложную сетевую инфраструктуру, которая позволяет им запускать атаки, оставаясь анонимными и не поддающимися отслеживанию.

Выбор Volt Typhoon в качестве целей для таких критически важных секторов, как связь, коммунальные услуги и государственное управление, свидетельствует о стратегическом внимании к инфраструктуре, которая имеет жизненно важное значение для национальной безопасности и экономической стабильности. Получая несанкционированный доступ к этим секторам и похищая конфиденциальные данные, группа представляет серьезную угрозу не только для отдельных организаций, но и для общей системы безопасности стран, на которые направлены ее действия.

Подводя итог, можно сказать, что недавние кампании Volt Typhoon демонстрируют опытного и постоянного участника угроз, уделяющего особое внимание критически важной инфраструктуре и стратегическим секторам во многих странах. Использование ими передовых тактик, включая эксплойты нулевого дня и оперативные ретрансляционные сети, подчеркивает необходимость усиления мер кибербезопасности и международного сотрудничества для эффективного снижения рисков, связанных с киберугрозами, спонсируемыми государством, такими как Volt Typhoon.

#ParsedReport #CompletenessLow
16-10-2024

Imperva Defends Against Targeted Exploits Used By APT29 Hackers

https://www.imperva.com/blog/imperva-defends-against-exploits-used-by-apt29-hackers

Report completeness: Low

Actors/Campaigns:
Duke (motivation: cyber_espionage)

Threats:
Supply_chain_technique

Victims:
Government organizations, Technology firms, Key infrastructure, Imperva customers, Financial services site

Industry:
Government, Telco

Geo:
Russia, North korean, United kingdom, Germany, France, Russian, Australia, India

CVEs:
CVE-2023-42793 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- jetbrains teamcity (<2023.05.4)

CVE-2022-27924 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zimbra collaboration (8.8.15, 9.0.0)


ChatGPT TTPs:
do not use without manual check
T1190, T1005

Soft:
Zimbra Collaboration Suite, JetBrains TeamCity, zimbra, teamcity

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - всплеск кибератак, осуществляемых российскими хакерами APT29, нацеленных на уязвимости в Zimbra Collaboration Suite и JetBrains TeamCity, что подчеркивает необходимость усиления мер кибербезопасности для защиты от этих сложных угроз.
-----

В последнее время наблюдается всплеск кибератак, организованных российскими хакерами APT29, известными своей передовой тактикой. Эти злоумышленники активно использовали уязвимости в Zimbra Collaboration Suite и JetBrains TeamCity, в частности, CVE-2022-27924 и CVE-2023-42793 для проникновения в критически важные системы. Компания Imperva, занимающаяся кибербезопасностью, с самого начала активно защищала своих клиентов от этих уязвимостей.

APT29, хорошо известная российская государственная группа, связанная с СВР, была выявлена в ходе различных изощренных кампаний по кибершпионажу. В основном они были нацелены на правительственные учреждения, технологические компании и критически важную инфраструктуру. Недавние атаки были сосредоточены на использовании слабых мест в широко используемых платформах, таких как Zimbra и TeamCity.

CVE-2022-27924 относится к уязвимости в Zimbra, которая позволяет взломать электронную почту, позволяя удаленным злоумышленникам, не прошедшим проверку подлинности, украсть учетные данные для входа через уязвимый почтовый сервер. Это нарушение потенциально может привести к полному проникновению в систему, предоставляя злоумышленникам привилегированный доступ к электронной почте и конфиденциальным сообщениям. Использование этой уязвимости продолжается с августа 2022 года, что способствует краже учетных данных учетной записи электронной почты.

С другой стороны, CVE-2023-42793 связан с уязвимостью в JetBrains TeamCity, которая позволяет злоумышленникам считывать произвольные файлы на сервере, получая доступ к конфиденциальным данным. Такая утечка информации может быть использована для повышения привилегий и дальнейшего проникновения в сеть организации, что создает значительные риски для процессов разработки. Как банды программ-вымогателей, так и северокорейские хакерские группы использовали эту уязвимость для первоначального доступа и попыток атак на цепочки поставок.

Было отмечено, что атаки на Zimbra были нацелены на определенный сайт финансовых услуг, особенно усилившиеся 17 августа. Эти атаки были совершены автоматизированными ботами, в основном из Великобритании, которые использовали уязвимость для взлома электронной почты. И наоборот, атаки, использующие уязвимость JetBrains TeamCity, были более агрессивными: были обнаружены миллионы запросов в различных отраслях, таких как FSI, бизнес-услуги, вычислительная техника и телекоммуникации. Трафик для атак поступал из разных стран, включая США, Германию, Индию, Францию и Россию, в которых использовались как боты, так и имитаторы браузеров для повышения эффективности попыток использования эксплойтов. Эти скоординированные усилия свидетельствуют о широкомасштабной кампании, нацеленной на конвейеры CI/CD и уязвимые среды разработки, в частности, на сайты, расположенные в США, Австралии и Индии, в сфере финансовых услуг и бизнеса. Для использования обоих CVE используются идентифицируемые совпадающие IP-адреса, что указывает на возможное сотрудничество в инфраструктуре субъекта угроз.

Поскольку спонсируемые государством злоумышленники активизируют свою деятельность и становятся все более изощренными, необходимость защиты от целенаправленных эксплойтов, таких как CVE-2022-27924 и CVE-2023-42793, приобретает первостепенное значение. Нацеленность APT29 на взлом Zimbra и TeamCity подчеркивает важность обеспечения безопасности корпоративных операционных служб, включая системы электронной почты и конвейеры CI/CD, в условиях растущих киберугроз.

#ParsedReport #CompletenessHigh
16-10-2024

Hive0147 serving juicy Picanha with a side of Mekotio

https://securityintelligence.com/x-force/hive0147-serving-juicy-picanha-with-side-of-mekotio

Report completeness: High

Actors/Campaigns:
Hive0147 (motivation: financially_motivated)
Hive0129

Threats:
Picanha
Mekotio
Coyote
Blotchyquasar
Astaroth
Grandoreiro
Dll_hijacking_technique
Bloat_technique
Nim_loader
Fake-trusteer
Ousaban

Industry:
Aerospace, E-commerce, Government, Retail, Financial

Geo:
Latam, Latin american, French, Dutch, Portuguese, Spanish, Chile, Colombia, Brazil, Latin america, Mexico

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1112, T1055

IOCs:
File: 15
Url: 5
Hash: 6
Domain: 44
IP: 1
Registry: 2

Soft:
Windows installer, NSIS installer

Crypto:
binance

Algorithms:
sha256, zip, exhibit, aes-256-gcm, md5

Functions:
FormCreate

Win API:
SetSecurityInfo

Languages:
golang, delphi, javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - растущая киберугроза в Латинской Америке, в частности, деятельность хакерской группы Hive 0147, распространяющей банковские трояны, такие как Banker.FN и новый загрузчик Picanha, разработанный для облегчения заражения Mekotio. Освещаются цифровая эволюция региона, рост электронной коммерции и внедрение цифровых услуг, что подчеркивает важность сотрудничества и обмена информацией между правозащитниками для эффективной борьбы с киберугрозами.
-----

Латиноамериканский ландшафт киберугроз все чаще становится объектом нападений злоумышленников, и Hive 0147 считается одной из самых активных хакерских групп в регионе. Было замечено, что эта группа атакует почтовые ящики сотрудников, уделяя основное внимание фишингу и распространению вредоносных программ. В июле, после 3-месячного перерыва, Hive 0147 вернулся с более масштабной кампанией и представил новый вредоносный загрузчик под названием "Picanha", который, вероятно, предназначен для облегчения распространения банковского трояна Mekotio. Кроме того, Hive0147 распространяет другие банковские трояны, такие как Banker.FN (Coyote) и связан с различными другими киберпреступными группами в Латинской Америке, которые используют различные загрузчики и трояны для банковского мошенничества.

Специалисты IBM X-Force отметили быстрое развитие ситуации с киберугрозами в Латинской Америке, особенно в таких странах, как Бразилия и Мексика, где экономика и промышленность процветают. Цифровая эволюция в регионе распространилась на государственные услуги и финансовые технологии, включая мобильный банкинг. В сфере электронной коммерции в Латинской Америке наблюдается значительный рост: с 2020 года 70% транзакций совершается по мобильным каналам. Ожидается, что в период с 2023 по 2026 год в регионе появится 33 миллиона новых пользователей Интернета, что будет способствовать дальнейшему внедрению цифровых услуг и онлайн-транзакций.

Компания Hive 0147, известный поставщик вредоносных программ для банковской системы в Латинской Америке, активно распространяет банковские трояны, такие как Banker.FN и недавно обнаруженный загрузчик Picanha, который облегчает заражение Mekotio. Было замечено, что группа отправляла электронные письма с французских и голландских IP-адресов, чтобы избежать обнаружения. Кампании Hive 0147 часто нацелены на пользователей в Бразилии и других странах региона и предназначены для получения банковских данных с целью получения денежной выгоды.

Picanha, новый двухэтапный загрузчик, обнаруженный компанией X-Force, играет решающую роль в развертывании банковского трояна Mekotio. На первом этапе вредоносная программа расшифровывает конфигурации, создает новые папки в %LOCALAPPDATA% и пытается подключиться к доменам загрузки для получения полезной нагрузки. Второй этап Picanha фокусируется на расшифровке конечной полезной нагрузки Mekotio и инициировании ее выполнения путем ручного отображения двоичного файла в памяти. Банковский троян Mekotio, скомпилированный на Delphi, устанавливает постоянство, взаимодействует с серверами управления и манипулирует банковскими приложениями для совершения мошеннических действий, захватывая конфиденциальную информацию и обходя меры безопасности.

Сотрудничество и обмен информацией между правозащитниками в Латинской Америке имеют решающее значение для борьбы с растущими киберугрозами, исходящими от распространителей вредоносных программ, таких как Hive 0147. Будучи в курсе последних угроз и применяя передовые методы, частные лица и организации могут снизить риски, связанные с банковскими троянами, и защитить себя от финансовых потерь. Тесное сотрудничество между правительствами, финансовыми учреждениями, правоохранительными органами и исследователями в области безопасности имеет важное значение для обеспечения безопасного цифрового будущего в регионе.

#ParsedReport #CompletenessLow
16-10-2024

Beware of phishing emails impersonating major domestic entertainment agencies

https://asec.ahnlab.com/ko/83863

Report completeness: Low

Victims:
Large domestic entertainment agencies

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1566.001, T1036.005, T1059.006

IOCs:
Hash: 3

Soft:
Instagram, Telegram

Algorithms:
md5

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Была выявлена новая фишинговая кампания, в ходе которой злоумышленники выдают себя за крупные отечественные развлекательные агентства, чтобы обманом заставить получателей перейти по ссылкам, утверждая, что их изображения были использованы в рекламе без разрешения. Злоумышленники используют тактику социальной инженерии и технический обман, чтобы воспользоваться доверием пользователей, подчеркивая важность осторожности, проверки и осведомленности о безопасности для снижения рисков, связанных с фишинговыми атаками. Организации и частные лица должны сохранять бдительность, быть в курсе событий и применять надежные меры безопасности для защиты от возникающих киберугроз.
-----

ASEC (аналитический центр безопасности AhnLab) регулярно публикует статистические отчеты о фишинговых рассылках по электронной почте, в которых преобладают поддельные формы входа в систему, доставки и заказа на покупку. Недавно была выявлена новая фишинговая кампания, в ходе которой злоумышленники выдавали себя за крупные отечественные развлекательные агентства. Злоумышленники утверждают, что их изображения были использованы без разрешения в рекламе Facebook и Instagram, побуждая получателей переходить по ссылкам, чтобы подтвердить якобы неправильно использованные фотографии.

При переходе по ссылке активируется программа infostealer на базе Python. Чтобы заставить пользователей поверить, что это настоящий PDF-файл, злоумышленник изменяет значок файла на PDF-файл и скрывает расширение приложения (EXE), добавляя к имени файла несколько пробелов. При добавлении достаточного количества пробелов имя файла усекается и отображается как "..." до тех пор, пока на нем не будет нажата кнопка. Злоумышленник стратегически вставляет ".pdf" в конец имени файла, чтобы обмануть пользователей, заставив их думать, что это безобидный PDF-файл.

Эта тактика направлена на то, чтобы использовать доверие пользователей к PDF-файлам и их уверенность в том, что нажатие на PDF-файл не нанесет вреда их системе. Злоумышленники используют методы социальной инженерии, создавая ощущение срочности и беспокойства, заставляя получателей быстро реагировать на предполагаемое неправомерное использование их изображений. Кроме того, выдавая себя за известные развлекательные агентства, злоумышленники повышают вероятность того, что получатели попадутся на удочку мошенников из-за предполагаемого доверия к отправителю.

Крайне важно, чтобы пользователи проявляли осторожность при работе с нежелательными электронными письмами, особенно содержащими ссылки или вложения. Пользователям следует проверить подлинность отправителя и внимательно изучить URL-адреса, прежде чем переходить по ним. Кроме того, поддержание обновленного антивирусного программного обеспечения и регулярное проведение тренингов по безопасности могут помочь снизить риски, связанные с фишинговыми атаками.

Использование платформ социальных сетей для фишинговых кампаний подчеркивает эволюцию тактики, используемой киберпреступниками для поиска людей и использования их доверия к знакомым брендам или организациям. Сочетая социальную инженерию с техническим обманом, злоумышленники могут манипулировать пользователями, заставляя их совершать действия, которые ставят под угрозу их безопасность и конфиденциальность.

Для эффективной борьбы с такими угрозами организации и частные лица должны сохранять бдительность, быть в курсе возникающих угроз и применять надежные меры безопасности для защиты от фишинговых атак. Развивая культуру осведомленности о кибербезопасности и активно устраняя потенциальные риски, пользователи могут лучше защитить себя и свои данные от того, чтобы стать жертвами изощренных фишинговых схем.

#ParsedReport #CompletenessMedium
16-10-2024

Newly Discovered Linux Variant of FASTCash Malware Targets ATMs

https://www.secureblink.com/cyber-security-news/newly-discovered-linux-variant-of-fast-cash-malware-targets-at-ms

Report completeness: Medium

Actors/Campaigns:
Lazarus

Threats:
Fastcash
Process_injection_technique
Upx_tool

Victims:
Financial institutions

Industry:
Financial

Geo:
North korean, Indian, North koreans, Turkish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1040, T1055, T1601

IOCs:
Hash: 2

Soft:
Ubuntu, UNIX

Algorithms:
des, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что северокорейские хакеры, разработав новый Linux-вариант вредоносной программы FastCash, нацелились на платежные серверы на базе Linux, чтобы обеспечить несанкционированное снятие наличных в банкоматах. Эта вредоносная программа, относящаяся к группе Hidden Cobra или Lazarus, имеет опыт проникновения в платежные системы с целью кражи десятков миллионов долларов. Открытие этого варианта Linux означает расширение сферы их применения за счет включения более широкого спектра операционных систем, что создает значительные риски для финансовых учреждений и подчеркивает важность мер кибербезопасности для предотвращения подобных атак.
-----

Северокорейские хакеры недавно внедрили новый вариант вредоносной программы FastCash, предназначенной специально для серверов коммутации платежей на базе Linux. Эта вредоносная программа, ранее известная своей способностью компрометировать системы IBM AIX и Windows, теперь распространила свое действие на Linux, позволяя несанкционированно снимать наличные в банкоматах. Группа, ответственная за это вредоносное ПО, известная как Hidden Cobra или APT38/Lazarus Group, активно развивает свою тактику, нацеленную на финансовые учреждения.

Вредоносное по FastCash - это семейство вредоносных программ, приписываемых северокорейским хакерам, которые проникали в платежные системы с целью несанкционированного снятия наличных в банкоматах как минимум с 2016 года. Манипулируя сообщениями о транзакциях, эта вредоносная программа использовалась для кражи десятков миллионов долларов за один инцидент во многих странах. Важными событиями в истории FastCash являются предупреждения, выпущенные Агентством кибербезопасности и защиты инфраструктуры США (CISA) в 2018 году, появление версии Windows в 2019 году и предъявление обвинений в 2021 году северокорейцам, причастным к этим операциям, на общую сумму кражи более 1,3 миллиарда долларов.

Недавно обнаруженный Linux-вариант FastCash был скомпилирован для Ubuntu Linux 20.04 с использованием GCC 11.3.0 и, как полагают, был разработан после 21 апреля 2022 года, возможно, в среде виртуальной машины VMware. Этот вариант работает в турецкой лире (TRY), в то время как его предшественники работали с индийской рупией (INR). Вредоносная программа перехватывает сообщения ISO8583, стандарт, используемый для сообщений о финансовых транзакциях, и манипулирует ими. Компрометируя платежные системы, вредоносная программа может незаметно изменять данные транзакций, что в конечном итоге позволяет осуществлять несанкционированное снятие наличных в банкоматах.

Для достижения этой цели вредоносная программа перехватывает сообщения ISO8583, подключаясь к сетевым процессам и внедряясь в запущенные процессы на сервере коммутатора платежей. Используя общие библиотеки для отслеживания и изменения сообщений о транзакциях в режиме реального времени, вредоносная программа может генерировать случайные суммы снятия наличных, изменять коды ответов, чтобы указать на одобрение, корректировать элементы данных для удаления информации, связанной с безопасностью, и отправлять эти обработанные ответы в центральные системы банка, чтобы разрешить несанкционированное снятие средств.

Обнаружение версии Linux означает, что цели северокорейских хакеров расширяются и включают в себя более широкий спектр операционных систем, что создает значительные риски для финансовых учреждений, использующих Linux для обработки платежей. Несанкционированное снятие наличных с помощью FastCash может привести к существенным финансовым потерям и репутационному ущербу для затронутых учреждений, что усугубляется способностью вредоносного ПО ускользать от обнаружения. Подчеркивается важность регулярных обновлений и исправлений для устранения уязвимостей, используемых такими вредоносными программами, в качестве важнейшей меры безопасности, которую должны внедрять финансовые учреждения.

#ParsedReport #CompletenessMedium
16-10-2024

Distribution of MEDUZASTEALER by means of Telegram, apparently, on behalf of technical support Reserve+ (CERT-UA#11603)

https://cert.gov.ua/article/6281018

Report completeness: Medium

Threats:
Meduza

Industry:
Government

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1059, T1562

IOCs:
File: 16
Hash: 64
IP: 6
Url: 7
Path: 1
Command: 1

Soft:
Telegram, Microsoft Defender

Algorithms:
zip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в целенаправленном инциденте с киберугрозами в Украине, связанном с распространением вредоносного ПО через Telegram путем обмана пользователей с помощью тактики социальной инженерии под видом законного программного обеспечения или служб поддержки. Злоумышленники использовали многоэтапный процесс заражения для развертывания вредоносной программы MEDUZASTEALER, предназначенной для кражи конфиденциальных файлов. Этот инцидент подчеркивает важность проявления осторожности, внедрения передовых методов обеспечения кибербезопасности и сотрудничества с такими организациями, как CERT-UA, для борьбы с появляющимися киберугрозами и защиты критически важных инфраструктур.
-----

Украинский сервис CERT-UA был предупрежден о подозрительных сообщениях, распространяемых через Telegram-аккаунт @reserveplusbot.

В сообщениях содержался призыв к получателям установить "специальное программное обеспечение" в ZIP-файл с именем "RESERVPLUS.zip".

ZIP-архив на самом деле содержал исполняемый EXE-файл с именем "installer.exe", который загружал файл с именем "install.exe", ответственный за заражение систем вредоносной программой MEDUZASTEALER.

Вредоносная программа предназначалась для кражи определенных типов файлов и самоуничтожалась после фильтрации данных, чтобы замести следы.

Вредоносная программа скрылась от обнаружения, используя командлет PowerShell для добавления своего установочного каталога в список исключений Microsoft Defender.

Вредоносное ПО распространялось через Telegram под видом технической поддержки Reserve+.

Этот инцидент демонстрирует, что злоумышленники используют социальную инженерию для распространения вредоносного ПО, включая многоэтапный процесс заражения.

Использование Telegram в качестве канала распространения указывает на тенденцию к использованию популярных платформ обмена сообщениями для распространения вредоносного ПО.

Злоумышленники продемонстрировали изощренность, обойдя такие меры безопасности, как исключения из Microsoft Defender.

Организациям и частным лицам рекомендуется быть осторожными с нежелательными сообщениями и загрузками, даже из, казалось бы, надежных источников.

Внедрение передовых методов обеспечения кибербезопасности и обучение пользователей методам идентификации угроз имеют решающее значение для смягчения последствий таких целенаправленных атак.

CERT-UA играет важнейшую роль в реагировании на инциденты и анализе угроз для защиты украинского киберпространства и международного сотрудничества в борьбе с киберугрозами.

#ParsedReport #CompletenessHigh
16-10-2024

Iranian Cyber Actors Brute Force and Credential Access Activity Compromises Critical Infrastructure Organizations

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-290a

Report completeness: High

Threats:
Password_spray_technique
Mfa_bombing_technique
Zerologon_vuln
Lolbin_technique
Nltest_tool
Cobalt_strike
Credential_dumping_technique
Kerberoasting_technique

Industry:
Software_development, Healthcare, Energy, Government, Critical_infrastructure

Geo:
Australian, Iranian, American, Canada

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...

TTPs:
Tactics: 12
Technics: 28

IOCs:
File: 3
Hash: 2
IP: 69

Soft:
Active Directory, ADFS, Microsoft Word, Microsoft Office 365

Algorithms:
rc4

Languages:
powershell

Links:
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В совместном консультативном заключении по кибербезопасности рассказывается о том, как иранские киберпреступники используют передовые методы для атаки на критически важные сектора инфраструктуры, применяя такие тактики, как атаки методом перебора, разбрасывание паролей, бомбардировки MFA и использование уязвимостей в таких системах, как Microsoft 365 и Citrix. Целью злоумышленников является кража учетных данных для несанкционированного доступа и торговли информацией в "темной паутине". В рекомендациях содержится информация о тактике, методах и процедурах злоумышленников, предлагаются рекомендации по устранению потенциальных угроз для организаций, подчеркивается важность политики надежного использования паролей и внедрения MFA.
-----

Иранские киберпреступники нацелены на организации в критически важных инфраструктурных секторах, таких как здравоохранение, государственное управление, информационные технологии, машиностроение и энергетика.

Они используют такие тактики, как разбрасывание паролей, многофакторная аутентификация (MFA) и сетевая разведка, чтобы скомпрометировать учетные записи пользователей и получить доступ к сетям.

Иранские злоумышленники используют уязвимости в системах Microsoft 365, Azure и Citrix, в том числе подавляют пользователей запросами MFA, используют открытые регистрации MFA и средства самостоятельного сброса пароля для несанкционированного доступа.

Они используют VPN-сервисы для маскировки своей деятельности, осуществляют боковые перемещения с использованием протокола удаленного рабочего стола (RDP) и используют инструменты с открытым исходным кодом для сбора учетных данных.

Злоумышленники выполняют перечисление имен участников службы Kerberos, используют команды PowerShell для сброса каталогов и пытаются выдать себя за контроллер домена, демонстрируя сложные схемы атак.

Подробные тактики, методы и процедуры (TTP), а также индикаторы компрометации (IOCs) приведены в рекомендациях, которые помогут сетевым защитникам выявлять угрозы и смягчать их.

Рекомендации для организаций с критически важной инфраструктурой включают внедрение политики надежных паролей, включение многофакторной аутентификации и мониторинг подозрительных действий, таких как невозможность входа в систему и необычные строки пользовательского агента.

В рекомендациях содержится предостережение от того, чтобы полагаться исключительно на совпадающие TTP и IOC для оценки атрибуции, поскольку сторонние субъекты могут быть вовлечены в киберактивность, связанную с иранской группой.