CTT Report Hub
#ParsedReport #CompletenessLow 19-10-2024 ESET Israel Partner HACKED to Deploy Data Wipers in Phishing Attacks https://www.secureblink.com/cyber-security-news/eset-israel-partner-hacked-to-deploy-data-wipers-in-phishing-attacks Report completeness: Low…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - инцидент с кибербезопасностью, связанный с хакерами, взломавшими Comsecure, эксклюзивного партнера ESET в Израиле, для проведения сложной фишинговой кампании, нацеленной на израильские предприятия, с использованием вредоносного ПО data wiper, замаскированного под антивирусное программное обеспечение. Этот инцидент подчеркивает эволюцию тактики участников киберугроз, которые используют надежную инфраструктуру и изощренные методы уклонения для создания разрушительных последствий, подчеркивая важность надежных мер кибербезопасности и стратегий упреждающего реагирования на инциденты для защиты конфиденциальных данных и снижения рисков.
-----
Хакеры взломали систему Comsecure, эксклюзивного партнера ESET в Израиле, чтобы провести фишинговую кампанию, нацеленную на израильские компании, использующие инфраструктуру ESET.
Фишинговые электронные письма были отправлены с законного домена eset.co.il и успешно прошли проверку подлинности, такую как SPF, DKIM и DMARC.
Был распространен вредоносный data wiper, замаскированный под антивирусное программное обеспечение, с целью проведения разрушительных атак на израильские организации.
Вредоносная программа использовала тактику уклонения и подключалась к законному израильскому новостному сайту, возможно, для маскировки или проверки подключения к Интернету.
Вредоносная программа указывала на потенциальную связь с иранскими хакерскими группами, известными тем, что они использовали средства очистки данных в атаках на Израиль.
Для обнаружения вредоносного ПО были выпущены программа YARA rule от Кевина Бомонта и антивирусная сигнатура ESET.
Рекомендации включают обновление определений антивирусов, обучение персонала фишинговым кампаниям, мониторинг сетевого трафика, усиление безопасности электронной почты, аудит партнеров и разработку планов реагирования на инциденты.
Этот инцидент показывает эволюцию тактики участников киберугроз, использующих надежную инфраструктуру и изощренные методы уклонения для нанесения разрушительных ударов.
ESET отреагировала на это нарушение, но были высказаны опасения по поводу задержки с публичным раскрытием информации.
Этот инцидент подчеркивает важность надежных мер кибербезопасности и стратегий упреждающего реагирования на инциденты для снижения рисков и защиты конфиденциальных данных.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - инцидент с кибербезопасностью, связанный с хакерами, взломавшими Comsecure, эксклюзивного партнера ESET в Израиле, для проведения сложной фишинговой кампании, нацеленной на израильские предприятия, с использованием вредоносного ПО data wiper, замаскированного под антивирусное программное обеспечение. Этот инцидент подчеркивает эволюцию тактики участников киберугроз, которые используют надежную инфраструктуру и изощренные методы уклонения для создания разрушительных последствий, подчеркивая важность надежных мер кибербезопасности и стратегий упреждающего реагирования на инциденты для защиты конфиденциальных данных и снижения рисков.
-----
Хакеры взломали систему Comsecure, эксклюзивного партнера ESET в Израиле, чтобы провести фишинговую кампанию, нацеленную на израильские компании, использующие инфраструктуру ESET.
Фишинговые электронные письма были отправлены с законного домена eset.co.il и успешно прошли проверку подлинности, такую как SPF, DKIM и DMARC.
Был распространен вредоносный data wiper, замаскированный под антивирусное программное обеспечение, с целью проведения разрушительных атак на израильские организации.
Вредоносная программа использовала тактику уклонения и подключалась к законному израильскому новостному сайту, возможно, для маскировки или проверки подключения к Интернету.
Вредоносная программа указывала на потенциальную связь с иранскими хакерскими группами, известными тем, что они использовали средства очистки данных в атаках на Израиль.
Для обнаружения вредоносного ПО были выпущены программа YARA rule от Кевина Бомонта и антивирусная сигнатура ESET.
Рекомендации включают обновление определений антивирусов, обучение персонала фишинговым кампаниям, мониторинг сетевого трафика, усиление безопасности электронной почты, аудит партнеров и разработку планов реагирования на инциденты.
Этот инцидент показывает эволюцию тактики участников киберугроз, использующих надежную инфраструктуру и изощренные методы уклонения для нанесения разрушительных ударов.
ESET отреагировала на это нарушение, но были высказаны опасения по поводу задержки с публичным раскрытием информации.
Этот инцидент подчеркивает важность надежных мер кибербезопасности и стратегий упреждающего реагирования на инциденты для снижения рисков и защиты конфиденциальных данных.
#ParsedReport #CompletenessLow
18-10-2024
Critical Vulnerability in Veeam Products Exploited by Ransomware Gangs
https://cyble.com/blog/critical-vulnerability-in-veeam-products-exploited-by-ransomware-gangs
Report completeness: Low
Actors/Campaigns:
Carbanak (motivation: financially_motivated)
Threats:
Fog_ransomware
Akira_ransomware
Rclone_tool
Conti
Revil
Maze
Egregor
Blackbasta
Geo:
Germany
CVEs:
CVE-2024-40711 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-42019 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-38651 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-42022 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-39715 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-40713 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-39718 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-38650 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-42024 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-42021 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-40709 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-42020 [Vulners]
CVSS V3.1: 5.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam one (le12.1.0.3208)
CVE-2024-40712 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-40710 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-42023 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-39714 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam backup & replication (11.0.1.1261, 12.0.0.1420)
CVE-2024-40714 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-40718 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
T1210, T1078, T1041
IOCs:
File: 2
IP: 1
Soft:
Hyper-V
18-10-2024
Critical Vulnerability in Veeam Products Exploited by Ransomware Gangs
https://cyble.com/blog/critical-vulnerability-in-veeam-products-exploited-by-ransomware-gangs
Report completeness: Low
Actors/Campaigns:
Carbanak (motivation: financially_motivated)
Threats:
Fog_ransomware
Akira_ransomware
Rclone_tool
Conti
Revil
Maze
Egregor
Blackbasta
Geo:
Germany
CVEs:
CVE-2024-40711 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-42019 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-38651 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-42022 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-39715 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-40713 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-39718 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-38650 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-42024 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-42021 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-40709 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-42020 [Vulners]
CVSS V3.1: 5.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam one (le12.1.0.3208)
CVE-2024-40712 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-40710 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-42023 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-39714 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam backup & replication (11.0.1.1261, 12.0.0.1420)
CVE-2024-40714 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2024-40718 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
do not use without manual checkT1210, T1078, T1041
IOCs:
File: 2
IP: 1
Soft:
Hyper-V
Cyble
Ransomware Gangs Exploit Critical Vulnerability In Veeam
Critical vulnerability CVE-2024-40711 in Veeam Backup exploited for ransomware. Patch released in Sept 2024. Urgent update needed to prevent further attacks.
CTT Report Hub
#ParsedReport #CompletenessLow 18-10-2024 Critical Vulnerability in Veeam Products Exploited by Ransomware Gangs https://cyble.com/blog/critical-vulnerability-in-veeam-products-exploited-by-ransomware-gangs Report completeness: Low Actors/Campaigns: Carbanak…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что CVE-2024-40711, критическая уязвимость, обнаруженная в системе резервного копирования и репликации Veeam, активно используется злоумышленниками для атак с использованием программ-вымогателей, что подчеркивает настоятельную необходимость для организаций оперативно исправлять системы и усиливать меры кибербезопасности для предотвращения потенциального захвата систем.
-----
Критическая уязвимость CVE-2024-40711, обнаруженная в системе резервного копирования и репликации Veeam, в настоящее время используется злоумышленниками для атак с использованием программ-вымогателей. Эта уязвимость делает возможным удаленное выполнение кода без проверки подлинности и имеет оценку CVSS 9,8, что указывает на ее серьезность и необходимость срочного устранения. В сентябре 2024 года Veeam выпустила исправление версии 12.2 для устранения этой уязвимости. Использование CVE-2024-40711 привело к внедрению злоумышленниками программ-вымогателей Akira и Fog.
Флориан Хаузер (Florian Hauser), исследователь безопасности из CODE WHITE, базирующейся в Германии, выявил уязвимость и подчеркнул важность своевременного исправления систем для предотвращения полного захвата системы с помощью CVE-2024-40711. Злоумышленники использовали взломанные VPN-шлюзы без многофакторной аутентификации для использования Veeam на широко распространенном порту 8000, запуская определенные процессы для совершения мошеннических действий. Было замечено, что злоумышленники создали локальную учетную запись и добавили ее в критически важные группы безопасности для облегчения своей вредоносной деятельности.
Для снижения рисков, связанных с CVE-2024-40711 и другими уязвимостями, влияющими на продукты Veeam, организациям рекомендуется внедрять протоколы регулярного обновления, совершенствовать методы мониторинга и разрабатывать надежные планы реагирования на инциденты. В отчете Cyble, помимо CVE-2024-40711, были выявлены многочисленные уязвимости с различным уровнем серьезности, влияющие на различные продукты Veeam. Это подчеркивает необходимость принятия комплексных мер безопасности во всех решениях Veeam для защиты от потенциальных уязвимостей.
Учитывая широкое внедрение продуктов Veeam многочисленными организациями по всему миру, включая значительную часть компаний, входящих в рейтинг Global 2000, влияние этих уязвимостей может быть существенным, если их своевременно не устранить. Пользователям Veeam рекомендуется немедленно принять меры по защите своих систем путем установки необходимых исправлений и усиления защиты от потенциальных атак программ-вымогателей.
Таким образом, CVE-2024-40711 представляет серьезную угрозу из-за его потенциальной возможности удаленного выполнения кода и захвата системы. Недавнее использование этой уязвимости подчеркивает настоятельную необходимость обновления организациями своих продуктов Veeam и усиления мер кибербезопасности для предотвращения атак программ-вымогателей и других вредоносных действий.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что CVE-2024-40711, критическая уязвимость, обнаруженная в системе резервного копирования и репликации Veeam, активно используется злоумышленниками для атак с использованием программ-вымогателей, что подчеркивает настоятельную необходимость для организаций оперативно исправлять системы и усиливать меры кибербезопасности для предотвращения потенциального захвата систем.
-----
Критическая уязвимость CVE-2024-40711, обнаруженная в системе резервного копирования и репликации Veeam, в настоящее время используется злоумышленниками для атак с использованием программ-вымогателей. Эта уязвимость делает возможным удаленное выполнение кода без проверки подлинности и имеет оценку CVSS 9,8, что указывает на ее серьезность и необходимость срочного устранения. В сентябре 2024 года Veeam выпустила исправление версии 12.2 для устранения этой уязвимости. Использование CVE-2024-40711 привело к внедрению злоумышленниками программ-вымогателей Akira и Fog.
Флориан Хаузер (Florian Hauser), исследователь безопасности из CODE WHITE, базирующейся в Германии, выявил уязвимость и подчеркнул важность своевременного исправления систем для предотвращения полного захвата системы с помощью CVE-2024-40711. Злоумышленники использовали взломанные VPN-шлюзы без многофакторной аутентификации для использования Veeam на широко распространенном порту 8000, запуская определенные процессы для совершения мошеннических действий. Было замечено, что злоумышленники создали локальную учетную запись и добавили ее в критически важные группы безопасности для облегчения своей вредоносной деятельности.
Для снижения рисков, связанных с CVE-2024-40711 и другими уязвимостями, влияющими на продукты Veeam, организациям рекомендуется внедрять протоколы регулярного обновления, совершенствовать методы мониторинга и разрабатывать надежные планы реагирования на инциденты. В отчете Cyble, помимо CVE-2024-40711, были выявлены многочисленные уязвимости с различным уровнем серьезности, влияющие на различные продукты Veeam. Это подчеркивает необходимость принятия комплексных мер безопасности во всех решениях Veeam для защиты от потенциальных уязвимостей.
Учитывая широкое внедрение продуктов Veeam многочисленными организациями по всему миру, включая значительную часть компаний, входящих в рейтинг Global 2000, влияние этих уязвимостей может быть существенным, если их своевременно не устранить. Пользователям Veeam рекомендуется немедленно принять меры по защите своих систем путем установки необходимых исправлений и усиления защиты от потенциальных атак программ-вымогателей.
Таким образом, CVE-2024-40711 представляет серьезную угрозу из-за его потенциальной возможности удаленного выполнения кода и захвата системы. Недавнее использование этой уязвимости подчеркивает настоятельную необходимость обновления организациями своих продуктов Veeam и усиления мер кибербезопасности для предотвращения атак программ-вымогателей и других вредоносных действий.
#ParsedReport #CompletenessLow
18-10-2024
Part 1: Investigating Docker Hijacking Malware - Analyzing the Docker Host with Packet and Disk Forensics. Key Takeaways
https://www.cadosecurity.com/blog/investigating-docker-hijacking-malware-analyzing-the-docker-host-with-packet-and-disk-forensics-part1
Report completeness: Low
Threats:
Masscan_tool
ChatGPT TTPs:
T1610, T1105, T1611
IOCs:
File: 2
Soft:
Docker, Ubuntu, nginx
Platforms:
intel
Links:
18-10-2024
Part 1: Investigating Docker Hijacking Malware - Analyzing the Docker Host with Packet and Disk Forensics. Key Takeaways
https://www.cadosecurity.com/blog/investigating-docker-hijacking-malware-analyzing-the-docker-host-with-packet-and-disk-forensics-part1
Report completeness: Low
Threats:
Masscan_tool
ChatGPT TTPs:
do not use without manual checkT1610, T1105, T1611
IOCs:
File: 2
Soft:
Docker, Ubuntu, nginx
Platforms:
intel
Links:
https://github.com/google/docker-explorerCadosecurity
Part 1: Investigating Docker Hijacking Malware - Analyzing the Docker Host with Packet and Disk Forensics
Investigating a Docker hijacking malware attack by analyzing network packet captures and disk images.
CTT Report Hub
#ParsedReport #CompletenessLow 18-10-2024 Part 1: Investigating Docker Hijacking Malware - Analyzing the Docker Host with Packet and Disk Forensics. Key Takeaways https://www.cadosecurity.com/blog/investigating-docker-hijacking-malware-analyzing-the-docker…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея:.
В тексте обсуждается растущая угроза проникновения вредоносных программ Docker, нацеленных на облачные среды, подчеркивается важность расследования инцидентов с помощью анализа сетевых и дисковых ресурсов, распознавания распространенных схем атак и использования автоматизированных инструментов анализа. Ключевые сведения включают в себя важность сетевых перехватов, неправильное использование API Docker, экспертизу дисков, безопасность контейнеров и меры предосторожности для анализа и предотвращения атак. Процесс анализа включает в себя использование различных источников данных и инструментов для детального выявления и анализа инцидентов, связанных с перехватом Docker.
-----
Docker в облачных средах является главной мишенью для кибератакующих из-за неправильной настройки API и контейнеров.
Вредоносное ПО, перехватывающее Docker, представляет собой серьезную угрозу, которая компрометирует узлы Docker для развертывания и выполнения вредоносных контейнеров.
Расследование инцидентов включает в себя комплексную экспертизу сети и дискового пространства, а также специализированные инструменты.
Ключевые выводы, полученные от скомпрометированных хостов Docker, включают использование сетевых перехватов, выявление распространенных случаев неправильного использования API Docker, важность анализа дисков и сосредоточение внимания на безопасности контейнеров.
Автоматизированные инструменты, такие как Docker Explorer и Cado Security, могут ускорить процесс анализа.
В конкретном случае атаки злоумышленник использовал конечную точку exec для выполнения последующих команд в контейнере и нацелился на хорошо известные образы, чтобы облегчить дальнейшие атаки.
Анализ скомпрометированных систем требует таких мер предосторожности, как указание параметров подключения для предотвращения записи на диск и выполнения двоичных файлов.
Злоумышленники часто пытаются взломать контейнеры Docker, чтобы получить доступ к хост-системе с помощью различных средств, таких как привилегированные контейнеры или манипулирование пространствами имен контейнеров.
Тщательное расследование и анализ инцидентов, связанных с перехватом Docker, предполагает изучение сетевых и дисковых данных, использование специализированных инструментов и понимание распространенных схем атак и уязвимостей, связанных со средами Docker.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея:.
В тексте обсуждается растущая угроза проникновения вредоносных программ Docker, нацеленных на облачные среды, подчеркивается важность расследования инцидентов с помощью анализа сетевых и дисковых ресурсов, распознавания распространенных схем атак и использования автоматизированных инструментов анализа. Ключевые сведения включают в себя важность сетевых перехватов, неправильное использование API Docker, экспертизу дисков, безопасность контейнеров и меры предосторожности для анализа и предотвращения атак. Процесс анализа включает в себя использование различных источников данных и инструментов для детального выявления и анализа инцидентов, связанных с перехватом Docker.
-----
Docker в облачных средах является главной мишенью для кибератакующих из-за неправильной настройки API и контейнеров.
Вредоносное ПО, перехватывающее Docker, представляет собой серьезную угрозу, которая компрометирует узлы Docker для развертывания и выполнения вредоносных контейнеров.
Расследование инцидентов включает в себя комплексную экспертизу сети и дискового пространства, а также специализированные инструменты.
Ключевые выводы, полученные от скомпрометированных хостов Docker, включают использование сетевых перехватов, выявление распространенных случаев неправильного использования API Docker, важность анализа дисков и сосредоточение внимания на безопасности контейнеров.
Автоматизированные инструменты, такие как Docker Explorer и Cado Security, могут ускорить процесс анализа.
В конкретном случае атаки злоумышленник использовал конечную точку exec для выполнения последующих команд в контейнере и нацелился на хорошо известные образы, чтобы облегчить дальнейшие атаки.
Анализ скомпрометированных систем требует таких мер предосторожности, как указание параметров подключения для предотвращения записи на диск и выполнения двоичных файлов.
Злоумышленники часто пытаются взломать контейнеры Docker, чтобы получить доступ к хост-системе с помощью различных средств, таких как привилегированные контейнеры или манипулирование пространствами имен контейнеров.
Тщательное расследование и анализ инцидентов, связанных с перехватом Docker, предполагает изучение сетевых и дисковых данных, использование специализированных инструментов и понимание распространенных схем атак и уязвимостей, связанных со средами Docker.
#ParsedReport #CompletenessMedium
18-10-2024
The Will of D: A Deep Dive into Divulge Stealer, Dedsec Stealer, and Duck Stealer
https://www.cyfirma.com/research/the-will-of-d-a-deep-dive-into-divulge-stealer-dedsec-stealer-and-duck-stealer
Report completeness: Medium
Threats:
Divulge_stealer
Doenerium
Azstealer
Umbral
Lumma_stealer
Stealc
Rhadamanthys
Vidar_stealer
Whitesnake
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique
Industry:
E-commerce
TTPs:
Tactics: 8
Technics: 14
IOCs:
Hash: 3
Soft:
Discord, Telegram, Google Chrome, Windows Defender, virtualBox, Instagram, Chrome, Torch
Wallets:
metamask, coinbase, bitapp, jaxx
Crypto:
bitcoin, ethereum, dogecoin, binance
Algorithms:
base32
Languages:
javascript
18-10-2024
The Will of D: A Deep Dive into Divulge Stealer, Dedsec Stealer, and Duck Stealer
https://www.cyfirma.com/research/the-will-of-d-a-deep-dive-into-divulge-stealer-dedsec-stealer-and-duck-stealer
Report completeness: Medium
Threats:
Divulge_stealer
Doenerium
Azstealer
Umbral
Lumma_stealer
Stealc
Rhadamanthys
Vidar_stealer
Whitesnake
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique
Industry:
E-commerce
TTPs:
Tactics: 8
Technics: 14
IOCs:
Hash: 3
Soft:
Discord, Telegram, Google Chrome, Windows Defender, virtualBox, Instagram, Chrome, Torch
Wallets:
metamask, coinbase, bitapp, jaxx
Crypto:
bitcoin, ethereum, dogecoin, binance
Algorithms:
base32
Languages:
javascript
CYFIRMA
The Will of D: A Deep Dive into Divulge Stealer, Dedsec Stealer, and Duck Stealer - CYFIRMA
EXECUTIVE SUMMARY At CYFIRMA, we are committed to offering up-to-date insights into prevalent threats and tactics employed by malicious actors,...
CTT Report Hub
#ParsedReport #CompletenessMedium 18-10-2024 The Will of D: A Deep Dive into Divulge Stealer, Dedsec Stealer, and Duck Stealer https://www.cyfirma.com/research/the-will-of-d-a-deep-dive-into-divulge-stealer-dedsec-stealer-and-duck-stealer Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в деятельности злоумышленников, разрабатывающих и продвигающих stealers, такие как Divulge, DedSec (Doenerium) и Duck (AZStealer), нацеленных на организации и частных лиц с целью кражи данных браузера, конфиденциальной информации и криптовалютных кошельков. Эти злоумышленники обычно распространяются на таких платформах, как GitHub, Discord и Telegram, с акцентом на предотвращение обнаружения с помощью методов защиты от виртуальных машин и антианализа. Распространяемые по различным каналам, эти злоумышленники представляют опасность для пользователей и систем, и пользователям следует с осторожностью относиться к бесплатным предложениям, которые могут поставить под угрозу безопасность их данных.
-----
CYFIRMA занимается предоставлением актуальной информации об угрозах, исходящих от злоумышленников, нацеленных как на организации, так и на частных лиц. В отчете рассматривается спектр вредоносных программ, в частности, таких как Divulge, DedSec (Doenerium) и Duck (AZStealer). Эти вредоносные программы обычно встречаются на таких платформах, как GitHub, и ежедневно появляются новые варианты. Разработчики используют такие платформы, как GitHub, Discord и Telegram, для продвижения и распространения своих вредоносных программ, часто предлагая потенциальным пользователям различные тарифные планы.
Divulge Stealer, продвигаемый на таких форумах, как HackForums и GitHub, рассматривается как преемник Umbral Stealer, предназначенный для кражи данных браузера и конфиденциальной информации. Он обладает функциями защиты от виртуальных машин и антианализа, а его возможности аналогичны Umbral, но с добавленными привязками к криптовалютному кошельку. В Telegram и GitHub продвигается программа DedSec Stealer, копия Doenerium, предназначенная для кражи криптовалютных кошельков, паролей и многого другого. Она использует функции защиты от виртуальных машин и хранит украденные данные в определенных папках, включая информацию, связанную с криптовалютой.
Duck Stealer, также известный как AZStealer, обладает общими функциональными возможностями с другими stealers и продвигается тем же разработчиком. Вредоносная программа использует данные Discord и информацию о браузере. Разработчики рекламируют эти перехватчики на платформах Clearnet, таких как GitHub, форумах и личных веб-сайтах, часто демонстрируя результаты сканирования, чтобы продемонстрировать эффективность. Примечательно, что многие из этих перехватчиков являются вариантами с двойным подключением, что создает риски как для пользователей, так и для систем, на которые они нацелены.
Эти злоумышленники в первую очередь нацелены на данные Discord и информацию о браузере, используя методы антианализа, чтобы избежать обнаружения. Активное продвижение через каналы Telegram и Discord помогает поддерживать сильную базу пользователей, облегчая распространение и использование этих вредоносных инструментов. Важно с осторожностью относиться к бесплатным предложениям, поскольку разработчик stealer также может получить доступ к данным, собранным пользователями.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в деятельности злоумышленников, разрабатывающих и продвигающих stealers, такие как Divulge, DedSec (Doenerium) и Duck (AZStealer), нацеленных на организации и частных лиц с целью кражи данных браузера, конфиденциальной информации и криптовалютных кошельков. Эти злоумышленники обычно распространяются на таких платформах, как GitHub, Discord и Telegram, с акцентом на предотвращение обнаружения с помощью методов защиты от виртуальных машин и антианализа. Распространяемые по различным каналам, эти злоумышленники представляют опасность для пользователей и систем, и пользователям следует с осторожностью относиться к бесплатным предложениям, которые могут поставить под угрозу безопасность их данных.
-----
CYFIRMA занимается предоставлением актуальной информации об угрозах, исходящих от злоумышленников, нацеленных как на организации, так и на частных лиц. В отчете рассматривается спектр вредоносных программ, в частности, таких как Divulge, DedSec (Doenerium) и Duck (AZStealer). Эти вредоносные программы обычно встречаются на таких платформах, как GitHub, и ежедневно появляются новые варианты. Разработчики используют такие платформы, как GitHub, Discord и Telegram, для продвижения и распространения своих вредоносных программ, часто предлагая потенциальным пользователям различные тарифные планы.
Divulge Stealer, продвигаемый на таких форумах, как HackForums и GitHub, рассматривается как преемник Umbral Stealer, предназначенный для кражи данных браузера и конфиденциальной информации. Он обладает функциями защиты от виртуальных машин и антианализа, а его возможности аналогичны Umbral, но с добавленными привязками к криптовалютному кошельку. В Telegram и GitHub продвигается программа DedSec Stealer, копия Doenerium, предназначенная для кражи криптовалютных кошельков, паролей и многого другого. Она использует функции защиты от виртуальных машин и хранит украденные данные в определенных папках, включая информацию, связанную с криптовалютой.
Duck Stealer, также известный как AZStealer, обладает общими функциональными возможностями с другими stealers и продвигается тем же разработчиком. Вредоносная программа использует данные Discord и информацию о браузере. Разработчики рекламируют эти перехватчики на платформах Clearnet, таких как GitHub, форумах и личных веб-сайтах, часто демонстрируя результаты сканирования, чтобы продемонстрировать эффективность. Примечательно, что многие из этих перехватчиков являются вариантами с двойным подключением, что создает риски как для пользователей, так и для систем, на которые они нацелены.
Эти злоумышленники в первую очередь нацелены на данные Discord и информацию о браузере, используя методы антианализа, чтобы избежать обнаружения. Активное продвижение через каналы Telegram и Discord помогает поддерживать сильную базу пользователей, облегчая распространение и использование этих вредоносных инструментов. Важно с осторожностью относиться к бесплатным предложениям, поскольку разработчик stealer также может получить доступ к данным, собранным пользователями.
#ParsedReport #CompletenessLow
18-10-2024
Lumma Stealer. Stealc
https://www.embeeresearch.io/practical-examples-of-url-hunting-queries-part-1
Report completeness: Low
Threats:
Lumma_stealer
Stealc
Masslogger
Vipkeylogger
Socgholish_loader
Dcrat
Amadey
Smartloader
IOCs:
File: 5
Soft:
wordpress
Languages:
php
18-10-2024
Lumma Stealer. Stealc
https://www.embeeresearch.io/practical-examples-of-url-hunting-queries-part-1
Report completeness: Low
Threats:
Lumma_stealer
Stealc
Masslogger
Vipkeylogger
Socgholish_loader
Dcrat
Amadey
Smartloader
IOCs:
File: 5
Soft:
wordpress
Languages:
php
Embee Research
Practical Examples of URL Hunting Queries - Part 1
Practical examples of URL hunting queries.
#ParsedReport #CompletenessLow
18-10-2024
Tricks and Treats: GHOSTPULSE s new pixel- level deception
https://www.elastic.co/security-labs/tricks-and-treats
Report completeness: Low
Threats:
Ghostpulse
Hijackloader
Lumma_stealer
ChatGPT TTPs:
T1027, T1566, T1203, T1059, T1027.010
IOCs:
File: 1
Domain: 10
Hash: 2
Algorithms:
sha256, xor, crc-32
Languages:
javascript, powershell
Platforms:
x86
YARA: Found
Links:
have more...
18-10-2024
Tricks and Treats: GHOSTPULSE s new pixel- level deception
https://www.elastic.co/security-labs/tricks-and-treats
Report completeness: Low
Threats:
Ghostpulse
Hijackloader
Lumma_stealer
ChatGPT TTPs:
do not use without manual checkT1027, T1566, T1203, T1059, T1027.010
IOCs:
File: 1
Domain: 10
Hash: 2
Algorithms:
sha256, xor, crc-32
Languages:
javascript, powershell
Platforms:
x86
YARA: Found
Links:
https://github.com/elastic/labs-releases/tree/main/indicators/ghostpulsehave more...
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_GhostPulse.yarhttps://github.com/elastic/labs-releases/tree/main/tools/ghostpulsewww.elastic.co
Tricks and Treats: GHOSTPULSE’s new pixel-level deception — Elastic Security Labs
The updated GHOSTPULSE malware has evolved to embed malicious data directly within pixel structures, making it harder to detect and requiring new analysis and detection techniques.
CTT Report Hub
#ParsedReport #CompletenessLow 18-10-2024 Tricks and Treats: GHOSTPULSE s new pixel- level deception https://www.elastic.co/security-labs/tricks-and-treats Report completeness: Low Threats: Ghostpulse Hijackloader Lumma_stealer ChatGPT TTPs: do not use…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вредоносная программа GHOSTPULSE эволюционировала, внедряя вредоносные данные непосредственно в пиксельные структуры изображений, что усложняет обнаружение. Эта эволюция потребовала новых методов анализа и обнаружения, и Elastic Security Labs адаптировала свои инструменты и методы для борьбы с этой продвинутой вредоносной программой. Кроме того, в качестве примечательных событий последних кампаний выделяются сотрудничество между различными семействами вредоносных программ, инновационная тактика социальной инженерии и объединение GHOSTPULSE в один файл.
-----
Вредоносная программа GHOSTPULSE эволюционировала таким образом, чтобы встраивать вредоносные данные непосредственно в пиксельные структуры изображений, что усложняет их обнаружение.
На втором этапе GHOSTPULSE перешел от использования фрагмента PNG-файлов IDAT к сокрытию зашифрованной конфигурации и полезной нагрузки в самой пиксельной структуре.
Недавние кампании показали использование тактик социальной инженерии, таких как проверка с помощью CAPTCHA, запуск вредоносных команд с помощью сочетаний клавиш Windows.
Кампании LUMMA STEALER использовали GHOSTPULSE в качестве загрузчика, демонстрируя сотрудничество между различными семействами вредоносных программ.
Последняя версия GHOSTPULSE объединяет все данные в единый взломанный исполняемый файл, содержащий зашифрованную конфигурацию в разделе ресурсов.
Вредоносная программа извлекает зашифрованную конфигурацию, перебирая байтовый массив значений RGB в виде 16-байтовых блоков в пикселях изображений.
В ответ Elastic Security обновила свои инструменты для поддержки обеих версий GHOSTPULSE и усовершенствовала правила YARA для обнаружения и анализа.
Сотрудничество и инновации играют ключевую роль в защите от изощренных кибератак, подчеркивая важность адаптивности в сфере кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что вредоносная программа GHOSTPULSE эволюционировала, внедряя вредоносные данные непосредственно в пиксельные структуры изображений, что усложняет обнаружение. Эта эволюция потребовала новых методов анализа и обнаружения, и Elastic Security Labs адаптировала свои инструменты и методы для борьбы с этой продвинутой вредоносной программой. Кроме того, в качестве примечательных событий последних кампаний выделяются сотрудничество между различными семействами вредоносных программ, инновационная тактика социальной инженерии и объединение GHOSTPULSE в один файл.
-----
Вредоносная программа GHOSTPULSE эволюционировала таким образом, чтобы встраивать вредоносные данные непосредственно в пиксельные структуры изображений, что усложняет их обнаружение.
На втором этапе GHOSTPULSE перешел от использования фрагмента PNG-файлов IDAT к сокрытию зашифрованной конфигурации и полезной нагрузки в самой пиксельной структуре.
Недавние кампании показали использование тактик социальной инженерии, таких как проверка с помощью CAPTCHA, запуск вредоносных команд с помощью сочетаний клавиш Windows.
Кампании LUMMA STEALER использовали GHOSTPULSE в качестве загрузчика, демонстрируя сотрудничество между различными семействами вредоносных программ.
Последняя версия GHOSTPULSE объединяет все данные в единый взломанный исполняемый файл, содержащий зашифрованную конфигурацию в разделе ресурсов.
Вредоносная программа извлекает зашифрованную конфигурацию, перебирая байтовый массив значений RGB в виде 16-байтовых блоков в пикселях изображений.
В ответ Elastic Security обновила свои инструменты для поддержки обеих версий GHOSTPULSE и усовершенствовала правила YARA для обнаружения и анализа.
Сотрудничество и инновации играют ключевую роль в защите от изощренных кибератак, подчеркивая важность адаптивности в сфере кибербезопасности.
#ParsedReport #CompletenessHigh
18-10-2024
Analysis of the Crypt Ghouls group: continuing the investigation into a series of attacks on Russia
https://securelist.com/crypt-ghouls-hacktivists-tools-overlap-analysis/114217
Report completeness: High
Actors/Campaigns:
Crypt_ghouls (motivation: cyber_criminal, hacktivism, financially_motivated)
Morlock
Blackjack (motivation: cyber_criminal)
C0met
Shedding_zmiy (motivation: cyber_criminal)
Threats:
Mimikatz_tool
Pingcastle_tool
Localtonet_tool
Resocks_tool
Anydesk_tool
Lockbit
Babuk
Nssm_tool
Xenallpasswordpro_tool
Impacket_tool
Wmiexec_tool
Cobint
Minidump_tool
Ntdsutil_tool
Paexec_tool
Dll_sideloading_technique
Ghostlocker
Sexi_ransomware
Victims:
Russian businesses, Government agencies
Industry:
Government, Energy, Retail, Financial
Geo:
Russian, Russia
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1078, T1133, T1003, T1555, T1047, T1105, T1059.005, T1036.005, T1016, T1562.001, have more...
IOCs:
Command: 1
Path: 16
File: 5
Hash: 10
IP: 7
Domain: 1
Soft:
XenAllPasswordPro, PsExec, Local Security Authority, SoftPerfect Network Scanner, Windows installer, Windows Defender, ESXi
Algorithms:
sha256, md5
Languages:
powershell
Platforms:
intel
Links:
18-10-2024
Analysis of the Crypt Ghouls group: continuing the investigation into a series of attacks on Russia
https://securelist.com/crypt-ghouls-hacktivists-tools-overlap-analysis/114217
Report completeness: High
Actors/Campaigns:
Crypt_ghouls (motivation: cyber_criminal, hacktivism, financially_motivated)
Morlock
Blackjack (motivation: cyber_criminal)
C0met
Shedding_zmiy (motivation: cyber_criminal)
Threats:
Mimikatz_tool
Pingcastle_tool
Localtonet_tool
Resocks_tool
Anydesk_tool
Lockbit
Babuk
Nssm_tool
Xenallpasswordpro_tool
Impacket_tool
Wmiexec_tool
Cobint
Minidump_tool
Ntdsutil_tool
Paexec_tool
Dll_sideloading_technique
Ghostlocker
Sexi_ransomware
Victims:
Russian businesses, Government agencies
Industry:
Government, Energy, Retail, Financial
Geo:
Russian, Russia
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1078, T1133, T1003, T1555, T1047, T1105, T1059.005, T1036.005, T1016, T1562.001, have more...
IOCs:
Command: 1
Path: 16
File: 5
Hash: 10
IP: 7
Domain: 1
Soft:
XenAllPasswordPro, PsExec, Local Security Authority, SoftPerfect Network Scanner, Windows installer, Windows Defender, ESXi
Algorithms:
sha256, md5
Languages:
powershell
Platforms:
intel
Links:
https://github.com/RedTeamPentesting/resockshttps://github.com/facct-ransomware/Ransomware/tree/main/MorLockSecurelist
Analyzing the familiar tools used by the Crypt Ghouls hacktivists
A close look at the utilities, techniques, and infrastructure used by the hacktivist group Crypt Ghouls has revealed links to groups such as Twelve, BlackJack, etc.
CTT Report Hub
#ParsedReport #CompletenessHigh 18-10-2024 Analysis of the Crypt Ghouls group: continuing the investigation into a series of attacks on Russia https://securelist.com/crypt-ghouls-hacktivists-tools-overlap-analysis/114217 Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в появлении новой хакерской группы под названием "Crypt Ghouls", которая нацелена на российские предприятия и государственные учреждения с помощью программ-вымогателей, используя различные инструменты и методы для проникновения в скомпрометированные системы и сохранения их работоспособности. В тексте также подчеркиваются связи и совпадения между Crypt Ghouls и другими хакерскими группировками, нацеленными на Россию, что предполагает потенциальное сотрудничество или совместное использование ресурсов между этими участниками. Кроме того, в нем подчеркиваются проблемы, связанные с выявлением конкретных участников угроз из-за использования общих инструментов и тактик, что подчеркивает необходимость постоянного мониторинга и анализа угроз для защиты от развивающихся киберугроз.
-----
В тексте содержится подробная информация о новой хакерской группе под названием "Crypt Ghouls", нацеленной на российские предприятия и государственные учреждения с помощью программ-вымогателей, в частности, с использованием таких инструментов, как Mimikatz, PingCastle, Localtonet и других. Группа была связана с аналогичными группами, нацеленными на Россию, на основе совпадающих показателей компрометации, инструментов, тактики и процедур. Было замечено, что они использовали такие утилиты, как NSSM и Localtonet, для обеспечения доступа к скомпрометированным системам.
Злоумышленники получили первоначальный доступ к системам с помощью регистрационных данных подрядчика, которые, возможно, были скомпрометированы с помощью VPN-сервисов или незащищенных уязвимостей. Они использовали различные методы, такие как модуль Impacket WmiExec.py, загрузчик бэкдоров CobInt и утилиту Mimikatz, для извлечения учетных данных и поддержания постоянства в сетях. Кроме того, они использовали такие инструменты, как MiniDump Tool, для извлечения учетных данных для входа в систему из памяти.
Crypt Ghouls также использовали различные утилиты сетевого сканирования, такие как PingCastle и SoftPerfect Network Scanner, для сбора информации и навигации по целевым сетям. Использовались инструменты удаленного доступа, такие как AnyDesk и PAExec, с IP-адресами, привязанными к подсети Surfshark VPN. Злоумышленники зашифровывали данные с помощью LockBit 3.0 и программы-вымогателя Babuk, используя специальные настройки для шифрования файлов, отключения функций безопасности и удаления журналов событий, чтобы замести следы.
Существуют заметные совпадения в инструментах и методах, используемых различными киберпреступными группами, нацеленными на российские компании. Было обнаружено сходство между Crypt Ghouls и такими группами, как MorLock, BlackJack, Twelve и Shedding Zmiy, что указывает на возможное сотрудничество или общие ресурсы между этими участниками угроз. В докладе предполагается, что эти группы могут быть взаимосвязаны, обмениваться разведывательными данными или сотрудничать в своей вредоносной деятельности, направленной против российских организаций.
В тексте подчеркиваются трудности при выявлении конкретных участников угроз из-за совместного использования инструментов и тактики несколькими киберпреступными группами. Распространенность утечек вредоносных программ и инструментов с открытым исходным кодом затрудняет установление их авторства. Продолжающиеся атаки Crypt Ghouls и других группировок подчеркивают необходимость постоянного мониторинга и сбора информации об угрозах для защиты российских организаций от развивающихся киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в появлении новой хакерской группы под названием "Crypt Ghouls", которая нацелена на российские предприятия и государственные учреждения с помощью программ-вымогателей, используя различные инструменты и методы для проникновения в скомпрометированные системы и сохранения их работоспособности. В тексте также подчеркиваются связи и совпадения между Crypt Ghouls и другими хакерскими группировками, нацеленными на Россию, что предполагает потенциальное сотрудничество или совместное использование ресурсов между этими участниками. Кроме того, в нем подчеркиваются проблемы, связанные с выявлением конкретных участников угроз из-за использования общих инструментов и тактик, что подчеркивает необходимость постоянного мониторинга и анализа угроз для защиты от развивающихся киберугроз.
-----
В тексте содержится подробная информация о новой хакерской группе под названием "Crypt Ghouls", нацеленной на российские предприятия и государственные учреждения с помощью программ-вымогателей, в частности, с использованием таких инструментов, как Mimikatz, PingCastle, Localtonet и других. Группа была связана с аналогичными группами, нацеленными на Россию, на основе совпадающих показателей компрометации, инструментов, тактики и процедур. Было замечено, что они использовали такие утилиты, как NSSM и Localtonet, для обеспечения доступа к скомпрометированным системам.
Злоумышленники получили первоначальный доступ к системам с помощью регистрационных данных подрядчика, которые, возможно, были скомпрометированы с помощью VPN-сервисов или незащищенных уязвимостей. Они использовали различные методы, такие как модуль Impacket WmiExec.py, загрузчик бэкдоров CobInt и утилиту Mimikatz, для извлечения учетных данных и поддержания постоянства в сетях. Кроме того, они использовали такие инструменты, как MiniDump Tool, для извлечения учетных данных для входа в систему из памяти.
Crypt Ghouls также использовали различные утилиты сетевого сканирования, такие как PingCastle и SoftPerfect Network Scanner, для сбора информации и навигации по целевым сетям. Использовались инструменты удаленного доступа, такие как AnyDesk и PAExec, с IP-адресами, привязанными к подсети Surfshark VPN. Злоумышленники зашифровывали данные с помощью LockBit 3.0 и программы-вымогателя Babuk, используя специальные настройки для шифрования файлов, отключения функций безопасности и удаления журналов событий, чтобы замести следы.
Существуют заметные совпадения в инструментах и методах, используемых различными киберпреступными группами, нацеленными на российские компании. Было обнаружено сходство между Crypt Ghouls и такими группами, как MorLock, BlackJack, Twelve и Shedding Zmiy, что указывает на возможное сотрудничество или общие ресурсы между этими участниками угроз. В докладе предполагается, что эти группы могут быть взаимосвязаны, обмениваться разведывательными данными или сотрудничать в своей вредоносной деятельности, направленной против российских организаций.
В тексте подчеркиваются трудности при выявлении конкретных участников угроз из-за совместного использования инструментов и тактики несколькими киберпреступными группами. Распространенность утечек вредоносных программ и инструментов с открытым исходным кодом затрудняет установление их авторства. Продолжающиеся атаки Crypt Ghouls и других группировок подчеркивают необходимость постоянного мониторинга и сбора информации об угрозах для защиты российских организаций от развивающихся киберугроз.
#ParsedReport #CompletenessHigh
18-10-2024
Vietnamese Threat Actor s Multi-Layered Strategy on Digital Marketing Professionals
https://cyble.com/blog/vietnamese-threat-actors-multi-layered-strategy-on-digital-marketing-professionals
Report completeness: High
Actors/Campaigns:
Ducktail
Threats:
Quasar_rat
Disabling_eventtracing_technique
Stormkitty_stealer
Antidebugging_technique
Windbg_tool
Ollydbg_tool
Cheatengine_tool
Uac_bypass_technique
Smuggling_technique
Process_injection_technique
Victims:
Job seekers, Digital marketing professionals
Industry:
E-commerce
Geo:
Vietnamese
TTPs:
Tactics: 7
Technics: 14
IOCs:
File: 23
IP: 1
Url: 2
Command: 2
Path: 1
Registry: 1
Hash: 7
Soft:
Qemu, Hyper-V, Dropbox, Instagram, VirtualBox
Algorithms:
gzip, base64, sha256, aes
Functions:
NtSetInformationThread
Win API:
NtSetInformationThread, NtQueryInformationProcess, VirtualAlloc, DbgUiRemoteBreakin, DbgBreakPoint, NtQuerySystemInformation, EtwEventWrite
Languages:
powershell
Links:
18-10-2024
Vietnamese Threat Actor s Multi-Layered Strategy on Digital Marketing Professionals
https://cyble.com/blog/vietnamese-threat-actors-multi-layered-strategy-on-digital-marketing-professionals
Report completeness: High
Actors/Campaigns:
Ducktail
Threats:
Quasar_rat
Disabling_eventtracing_technique
Stormkitty_stealer
Antidebugging_technique
Windbg_tool
Ollydbg_tool
Cheatengine_tool
Uac_bypass_technique
Smuggling_technique
Process_injection_technique
Victims:
Job seekers, Digital marketing professionals
Industry:
E-commerce
Geo:
Vietnamese
TTPs:
Tactics: 7
Technics: 14
IOCs:
File: 23
IP: 1
Url: 2
Command: 2
Path: 1
Registry: 1
Hash: 7
Soft:
Qemu, Hyper-V, Dropbox, Instagram, VirtualBox
Algorithms:
gzip, base64, sha256, aes
Functions:
NtSetInformationThread
Win API:
NtSetInformationThread, NtQueryInformationProcess, VirtualAlloc, DbgUiRemoteBreakin, DbgBreakPoint, NtQuerySystemInformation, EtwEventWrite
Languages:
powershell
Links:
https://github.com/swagkarna/StormKittyCyble
Vietnamese Threat Actor's Strategy On Digital Marketers
Cyble has uncovered a sophisticated multi-stage malware attack attributed to a Vietnamese threat actor, targeting job seekers and digital marketing professionals, as well as deploying Quasar RAT to gain full system control.