#ParsedReport #CompletenessMedium
17-10-2024

Bored BeaverTail Yacht Club - A Lazarus Lure

https://www.esentire.com/blog/bored-beavertail-yacht-club-a-lazarus-lure

Report completeness: Medium

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Beavertail
Invisibleferret

Victims:
Developer

Industry:
E-commerce

Geo:
North korea, North korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1036, T1105, T1566

IOCs:
File: 3
Hash: 1
Url: 22

Soft:
Visual Studio Code, cURL, vscode

Algorithms:
zip

Languages:
javascript, python

Links:
https://github.com/eSentire/iocs/blob/main/Lazarus/lazarus\_iocs\_10-15-2024.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в важности упреждающего обнаружения угроз и принятия ответных мер, наряду с непрерывным обучением пользователей, для защиты от развивающихся киберугроз. В нем рассказывается о конкретном инциденте, когда eSentire отреагировала на загрузку пользователем вредоносного проекта NFT marketplace, что в конечном итоге продемонстрировало важность надежных решений для обеспечения безопасности конечных точек и сотрудничества между группами безопасности и специализированными подразделениями по исследованию угроз для защиты организаций от известных и возникающих угроз.
-----

В сентябре 2024 года eSentire отреагировала на инцидент с кибербезопасностью, связанный с загрузкой пользователем вредоносного проекта NFT marketplace с GitHub, что в конечном итоге предотвратило установку вредоносного по BeaverTail и перехват вредоносного ПО InvisibleFerret backdoor.

Этот инцидент был связан с северокорейскими злоумышленниками, в частности с группой, известной как Contagious Interview, которые использовали тактику TTP в отношении разработчиков программного обеспечения.

Этот инцидент подчеркивает важность надежных решений для обеспечения безопасности конечных точек, таких как обнаружение конечных точек и реагирование на них (EDR), а также обучение пользователей навыкам безопасности, позволяющим им эффективно распознавать сложные угрозы и реагировать на них.

Сотрудничество между группами безопасности и специализированными подразделениями по исследованию угроз имеет решающее значение для защиты организаций от известных и возникающих киберугроз.

#ParsedReport #CompletenessHigh
17-10-2024

Horns&Hooves Newsletter Delivers NetSupport RAT and BurnsRAT

https://securelist.ru/horns-n-hooves-campaign-delivering-netsupport-rat/110772

Report completeness: High

Actors/Campaigns:
Mustard_tempest
Ta569
Smartapesg

Threats:
Netsupportmanager_rat
Burnsrat
Bitsadmin_tool
Rms_tool
Dll_sideloading_technique
Rhadamanthys
Meduza

Industry:
Retail

Geo:
Russia, Germany

ChatGPT TTPs:
do not use without manual check
T1203, T1036, T1105, T1059.001, T1574.002, T1543.003, T1566.001

IOCs:
File: 34
Hash: 24
Url: 16
Command: 1
Registry: 1
Domain: 10
Path: 1
IP: 1

Soft:
curl, NSIS installer, Silverlight, OpenSSL, light Configuration Uti

Algorithms:
zip, rc4, md5

Languages:
jscript, powershell, javascript

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 11, table: 2, schema: 5, dump: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о киберкампании под названием "Horns&Hooves", которая нацелена на частных пользователей, розничных торговцев и сервисные компании в России, используя вредоносные скрипты, замаскированные в электронных письмах, для установки NetSupport RAT, программного обеспечения для удаленного управления ПК, для скрытных операций. Злоумышленники со временем усовершенствовали свою тактику, изменив скрипты, методы распространения и форматы файлов, которые потенциально могут быть связаны с хакерской группой TA569, с основной целью получения удаленного доступа к зараженным компьютерам для осуществления вредоносных действий, таких как развертывание троянских программ-вымогателей.
-----

В тексте описывается киберкампания под названием Horns&Hooves ("Рога и копыта"), которая началась в марте 2023 года и нацелена в первую очередь на частных пользователей, розничных продавцов и сервисные компании в России. В рамках кампании используются вредоносные скрипты, замаскированные в ZIP-архивах в электронных письмах, которые выдаются за запросы и приложения от клиентов или партнеров. Скрипты с такими названиями, как "Запрос цен и предложений от индивидуального предпринимателя" или "Запрос предложений и цен от Общества с ограниченной ответственностью", загружают и устанавливают NetSupport RAT, программное обеспечение для удаленного управления ПК, которым злоумышленники могут злоупотреблять для скрытых операций.

Со временем злоумышленники внесли несколько изменений в вредоносные скрипты, в том числе изменили методы распространения и форматы файлов. Первоначально для сокрытия полезной нагрузки использовались документы-приманки в формате PNG, а позже были использованы файлы TXT и PDF. Скрипт загружает дополнительные файлы и в конечном итоге устанавливает NetSupport RAT, который устанавливает соединение с серверами, контролируемыми злоумышленником.

По мере продвижения кампании злоумышленники совершенствовали свои методы, такие как запутывание кода и встраивание ZIP-архивов с NetSupport RAT в скрипты вместо того, чтобы загружать их отдельно. Файлы лицензий, связанные со сборками NetSupport RAT, использованными в этой кампании, также были связаны с другими хакерскими группами, что позволяет предположить потенциальную связь с группой TA569. Анализ файлов конфигурации и сходства в тактике подтверждают эту связь, указывая на то, что за этой кампанией может стоять TA569.

Основной целью злоумышленников является получение удаленного доступа к зараженным машинам, что потенциально может привести к продаже доступа другим хакерским группам для осуществления различных вредоносных действий. В некоторых случаях NetSupport RAT использовался для установки вредоносных программ, таких как Rhadamanthys и Meduza, или для развертывания троянских программ-вымогателей. Со временем кампания развивалась, и злоумышленники адаптировали свою тактику и инструменты, чтобы повысить эффективность и избежать обнаружения.

#ParsedReport #CompletenessHigh
18-10-2024

ClickFix tactic: The Phantom Meet

https://blog.sekoia.io/clickfix-tactic-the-phantom-meet

Report completeness: High

Actors/Campaigns:
Ta571
Belialdemon
Slavic_nation_empire (motivation: cyber_criminal)
Scamquerteo
Markopolo (motivation: cyber_criminal)
Cryptolove
Sparkhash
Mp-4

Threats:
Clickfix_technique
Clearfake
Netsupportmanager_rat
Darkgate
Lumma_stealer
Stealc
Rhadamanthys
Bitsadmin_tool
Hijackloader
Traffer_technique
Amos_stealer

Industry:
Logistic, Financial

Geo:
Poland, America

ChatGPT TTPs:
do not use without manual check
T1566, T1059.001, T1105, T1204.002, T1064

IOCs:
Domain: 154
Url: 14
Hash: 4
File: 4
IP: 4

Soft:
macOS, Google Chrome, Telegram, Zoom

Algorithms:
sha256

Languages:
javascript, powershell, php, python

Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/clickfix\_fake\_google\_meet/clickfix\_fake\_google\_meet\_iocs\_20241017.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и анализе тактики ClickFix, которая заключается в обмане пользователей поддельными сообщениями об ошибках в веб-браузерах для выполнения вредоносного кода PowerShell, приводящего к заражению системы. Различные хакерские группы, такие как TA571, используют ClickFix в фишинговых кампаниях по электронной почте для распространения вредоносных программ, таких как инфокрады, ботнеты и средства удаленного доступа, с помощью различных методов, включая фишинговые электронные письма и взломанные веб-сайты. Эта тактика использовалась в кампаниях, нацеленных на различные сектора, с акцентом на определенные отрасли и конкретные группы, такие как разработчики. Ниже представлены технические подробности о кластерах ClickFix, которые выдают себя за платформы, такие как Google Meet, и демонстрируют распространение вредоносного ПО и причастность к киберпреступности групп. Расследование также выявило, что команды трейдеров, связанные с ClickFix clusters, нацеливались на криптовалютные активы, приложения Web3 и пользователей NFT.
-----

В сообщении в блоге представлен подробный обзор новой тактики ClickFix, применяемой с мая 2024 года, которая включает отображение поддельных сообщений об ошибках в веб-браузерах с целью обмана пользователей и выполнения вредоносного кода PowerShell, что приводит к заражению системы. Эта тактика, названная исследователями Proofpoint ClickFix, в основном использовалась брокером начального доступа TA571 в фишинговых кампаниях по электронной почте. Различные кампании по распространению вредоносных программ использовали ClickFix для распространения инфокрадов, ботнетов и средств удаленного доступа, что соответствует растущей тенденции распространения вредоносных программ путем загрузки с машин.

Было выявлено множество кампаний ClickFix, нацеленных на различные сектора и отрасли промышленности, при этом некоторые кампании были специально нацелены на такие отрасли, как транспорт и логистика, или на разработчиков с помощью проблем с GitHub. Кампании часто включают фишинговые электронные письма, взломанные веб-сайты и различные методы распространения вредоносного ПО. Например, кластер ClickFix, выдающий себя за Google Meet, был связан с такими киберпреступными группами, как "Империя славянской нации (SNE)" и "Мошенничество"..

Приводятся технические подробности о кластере ClickFix, использующем поддельные страницы видеоконференций Google Meet для распространения инфокрадов, нацеленных как на системы Windows, так и на macOS. В кластере использовались фишинговые URL-адреса, имитирующие законные страницы собраний, и содержался запутанный VBScript, который загружал и выполнял вредоносную полезную нагрузку, уведомляя сервер управления (C2) о завершении работы. В кампании были задействованы такие полезные устройства, как Stealc и Rhadamanthys, что указывает на участие группы Slavic Nation Empire.

Кроме того, инфраструктура, связанная с кластером ClickFix, выдающим себя за Google Meet, была обнаружена с помощью пассивного поиска в DNS, Whois и сходства HTML. Эта инфраструктура включала веб-страницы, выдающие себя за различные платформы и приложения, такие как Zoom, видеоигры, офисное программное обеспечение и приложения Web3, распространяющие вредоносное ПО, такое как Stealc, Rhadamanthys и AMOS Stealer, среди игровых сообществ Web3.

Расследование деятельности команд трейдеров, стоящих за кластерами ClickFix, выявило, что они нацелены на криптовалютные активы, приложения Web3, децентрализованные финансы и пользователей NFT. Команды торговцев людьми, такие как "Империя славянской нации (SNE)" и "Скамкертео", используют схожие тактики социальной инженерии, указывающие на общие ресурсы и инфраструктуру, возможно, как часть более крупной русскоязычной экосистемы киберпреступности.

#ParsedReport #CompletenessLow
18-10-2024

Bocklit - Fake LockBit, Real Damage: Ransomware Samples Abuse AWS S3 to Steal Data

https://www.trendmicro.com/en_us/research/24/j/fake-lockbit-real-damage-ransomware-samples-abuse-aws-s3-to-stea.html

Report completeness: Low

Threats:
Bocklit_ransomware
Lockbit
Qilin_ransomware
Shadow_copies_delete_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1048, T1140, T1112, T1486

IOCs:
Hash: 39
File: 7
Domain: 2

Soft:
MacOS

Algorithms:
md5, base64, aes-ctr, aes

Win API:
SystemParametersInfoW

Win Services:
bits

Languages:
golang

Links:
have more...
https://github.com/aws/aws-sdk-go-v2
https://pkg.go.dev/github.com/aws/aws-sdk-go-v2/feature/s3/manager#Uploader.Upload
https://github.com/NextronSystems/ransomware-simulator/blob/master/lib/shadowcopy/shadowcopy.go

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе образцов программ-вымогателей Golang, которые использовали Amazon S3 для кражи данных, выдавая себя за LockBit для запугивания жертв. Программа-вымогатель использовала жестко запрограммированные учетные данные AWS для отправки файлов жертвы в подконтрольные злоумышленнику пакеты S3, используя AWS Transfer Acceleration для ускорения передачи данных. Было зашифровано множество типов файлов, и злоумышленники использовали мультиплатформенные возможности Golang для атаки на системы Windows и macOS. Злоумышленники стремились связать свои действия с использованием программ-вымогателей с LockBit для дополнительного устрашения, подчеркивая тенденцию использования злоумышленниками облачных сервисов, таких как AWS, в вредоносных целях. Подчеркивается важность мониторинга облачных сред на предмет выявления признаков компрометации и обмена результатами с органами безопасности для эффективного устранения угроз.
-----

В статье обсуждается обнаружение образцов программы-вымогателя Golang, использующей Amazon S3 для кражи данных и выдающей себя за LockBit для запугивания жертв. Программа-вымогатель использовала жестко запрограммированные учетные данные AWS для отправки файлов жертвы в подконтрольные злоумышленнику хранилища S3, что привело к приостановке работы связанных учетных записей AWS. Этот метод был попыткой использовать функцию ускорения передачи данных в AWS S3 для более быстрой передачи данных на большие расстояния.

Программа-вымогатель была разработана для шифрования различных типов файлов, при этом зашифрованные файлы сопровождались специальным мастер-ключом и хэшем MD5. Злоумышленники использовали мультиплатформенные возможности Golang, что позволило им разрабатывать вредоносное ПО, предназначенное как для Windows, так и для macOS. После шифрования файлов программа-вымогатель изменила обои жертвы, возможно, чтобы создать ссылку на дурную славу семейства программ-вымогателей LockBit.

Злоумышленники стремились связать свою деятельность с программой-вымогателем LockBit, используя репутацию последней для дальнейшего запугивания жертв. Было подозрение, что автор программы-вымогателя использовал свою собственную учетную запись или скомпрометированную учетную запись AWS для проведения этих атак. Было обнаружено более тридцати образцов программ-вымогателей, что свидетельствует об активной разработке и тестировании до того, как AWS приостановила действие соответствующих ключей и учетной записи.

В статье освещается тенденция использования злоумышленниками облачных сервисов, таких как AWS, для совершения вредоносных действий. В статье подчеркивается важность мониторинга облачных сред на предмет наличия индикаторов компрометации (IOC), таких как идентификаторы учетных записей AWS, для эффективного выявления потенциальных угроз и устранения их последствий. Поделившись результатами с AWS Security, аналитики внесли свой вклад в удаление вредоносных ключей доступа и учетных записей AWS, о которых шла речь.

#ParsedReport #CompletenessLow
19-10-2024

ESET Israel Partner HACKED to Deploy Data Wipers in Phishing Attacks

https://www.secureblink.com/cyber-security-news/eset-israel-partner-hacked-to-deploy-data-wipers-in-phishing-attacks

Report completeness: Low

Actors/Campaigns:
Yanluowang
Handala-hacking-team (motivation: politically_motivated)
Cyber_toufan (motivation: politically_motivated)

Threats:
Supply_chain_technique

Victims:
Comsecure, Eset

Geo:
Iranian, Israeli, Israel

ChatGPT TTPs:
do not use without manual check
T1193, T1497, T1070.004

IOCs:
File: 1
Hash: 2

Algorithms:
zip

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - инцидент с кибербезопасностью, связанный с хакерами, взломавшими Comsecure, эксклюзивного партнера ESET в Израиле, для проведения сложной фишинговой кампании, нацеленной на израильские предприятия, с использованием вредоносного ПО data wiper, замаскированного под антивирусное программное обеспечение. Этот инцидент подчеркивает эволюцию тактики участников киберугроз, которые используют надежную инфраструктуру и изощренные методы уклонения для создания разрушительных последствий, подчеркивая важность надежных мер кибербезопасности и стратегий упреждающего реагирования на инциденты для защиты конфиденциальных данных и снижения рисков.
-----

Хакеры взломали систему Comsecure, эксклюзивного партнера ESET в Израиле, чтобы провести фишинговую кампанию, нацеленную на израильские компании, использующие инфраструктуру ESET.

Фишинговые электронные письма были отправлены с законного домена eset.co.il и успешно прошли проверку подлинности, такую как SPF, DKIM и DMARC.

Был распространен вредоносный data wiper, замаскированный под антивирусное программное обеспечение, с целью проведения разрушительных атак на израильские организации.

Вредоносная программа использовала тактику уклонения и подключалась к законному израильскому новостному сайту, возможно, для маскировки или проверки подключения к Интернету.

Вредоносная программа указывала на потенциальную связь с иранскими хакерскими группами, известными тем, что они использовали средства очистки данных в атаках на Израиль.

Для обнаружения вредоносного ПО были выпущены программа YARA rule от Кевина Бомонта и антивирусная сигнатура ESET.

Рекомендации включают обновление определений антивирусов, обучение персонала фишинговым кампаниям, мониторинг сетевого трафика, усиление безопасности электронной почты, аудит партнеров и разработку планов реагирования на инциденты.

Этот инцидент показывает эволюцию тактики участников киберугроз, использующих надежную инфраструктуру и изощренные методы уклонения для нанесения разрушительных ударов.

ESET отреагировала на это нарушение, но были высказаны опасения по поводу задержки с публичным раскрытием информации.

Этот инцидент подчеркивает важность надежных мер кибербезопасности и стратегий упреждающего реагирования на инциденты для снижения рисков и защиты конфиденциальных данных.

#ParsedReport #CompletenessLow
18-10-2024

Critical Vulnerability in Veeam Products Exploited by Ransomware Gangs

https://cyble.com/blog/critical-vulnerability-in-veeam-products-exploited-by-ransomware-gangs

Report completeness: Low

Actors/Campaigns:
Carbanak (motivation: financially_motivated)

Threats:
Fog_ransomware
Akira_ransomware
Rclone_tool
Conti
Revil
Maze
Egregor
Blackbasta

Geo:
Germany

CVEs:
CVE-2024-40711 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-42019 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-38651 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-42022 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-39715 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-40713 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-39718 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-38650 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-42024 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-42021 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-40709 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-42020 [Vulners]
CVSS V3.1: 5.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam one (le12.1.0.3208)

CVE-2024-40712 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-40710 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-42023 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-39714 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam backup & replication (11.0.1.1261, 12.0.0.1420)

CVE-2024-40714 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-40718 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1210, T1078, T1041

IOCs:
File: 2
IP: 1

Soft:
Hyper-V

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что CVE-2024-40711, критическая уязвимость, обнаруженная в системе резервного копирования и репликации Veeam, активно используется злоумышленниками для атак с использованием программ-вымогателей, что подчеркивает настоятельную необходимость для организаций оперативно исправлять системы и усиливать меры кибербезопасности для предотвращения потенциального захвата систем.
-----

Критическая уязвимость CVE-2024-40711, обнаруженная в системе резервного копирования и репликации Veeam, в настоящее время используется злоумышленниками для атак с использованием программ-вымогателей. Эта уязвимость делает возможным удаленное выполнение кода без проверки подлинности и имеет оценку CVSS 9,8, что указывает на ее серьезность и необходимость срочного устранения. В сентябре 2024 года Veeam выпустила исправление версии 12.2 для устранения этой уязвимости. Использование CVE-2024-40711 привело к внедрению злоумышленниками программ-вымогателей Akira и Fog.

Флориан Хаузер (Florian Hauser), исследователь безопасности из CODE WHITE, базирующейся в Германии, выявил уязвимость и подчеркнул важность своевременного исправления систем для предотвращения полного захвата системы с помощью CVE-2024-40711. Злоумышленники использовали взломанные VPN-шлюзы без многофакторной аутентификации для использования Veeam на широко распространенном порту 8000, запуская определенные процессы для совершения мошеннических действий. Было замечено, что злоумышленники создали локальную учетную запись и добавили ее в критически важные группы безопасности для облегчения своей вредоносной деятельности.

Для снижения рисков, связанных с CVE-2024-40711 и другими уязвимостями, влияющими на продукты Veeam, организациям рекомендуется внедрять протоколы регулярного обновления, совершенствовать методы мониторинга и разрабатывать надежные планы реагирования на инциденты. В отчете Cyble, помимо CVE-2024-40711, были выявлены многочисленные уязвимости с различным уровнем серьезности, влияющие на различные продукты Veeam. Это подчеркивает необходимость принятия комплексных мер безопасности во всех решениях Veeam для защиты от потенциальных уязвимостей.

Учитывая широкое внедрение продуктов Veeam многочисленными организациями по всему миру, включая значительную часть компаний, входящих в рейтинг Global 2000, влияние этих уязвимостей может быть существенным, если их своевременно не устранить. Пользователям Veeam рекомендуется немедленно принять меры по защите своих систем путем установки необходимых исправлений и усиления защиты от потенциальных атак программ-вымогателей.

Таким образом, CVE-2024-40711 представляет серьезную угрозу из-за его потенциальной возможности удаленного выполнения кода и захвата системы. Недавнее использование этой уязвимости подчеркивает настоятельную необходимость обновления организациями своих продуктов Veeam и усиления мер кибербезопасности для предотвращения атак программ-вымогателей и других вредоносных действий.

#ParsedReport #CompletenessLow
18-10-2024

Part 1: Investigating Docker Hijacking Malware - Analyzing the Docker Host with Packet and Disk Forensics. Key Takeaways

https://www.cadosecurity.com/blog/investigating-docker-hijacking-malware-analyzing-the-docker-host-with-packet-and-disk-forensics-part1

Report completeness: Low

Threats:
Masscan_tool

ChatGPT TTPs:
do not use without manual check
T1610, T1105, T1611

IOCs:
File: 2

Soft:
Docker, Ubuntu, nginx

Platforms:
intel

Links:
https://github.com/google/docker-explorer