#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается угроза, исходящая от Lumma Stealer, вредоносного ПО для кражи информации, работающего как вредоносное ПО как услуга (MaaS), которое специализируется на краже конфиденциальных данных, таких как пароли и информация о криптовалютах. Вредоносная программа использует сложные методы доставки, включая поддельные страницы с капчей и многоступенчатые методы без использования файлов, что повышает ее обманчивость и стойкость. Злоумышленники используют законное программное обеспечение, такое как mshta.exe, для распространения вредоносного ПО и используют различные тактики обхода, чтобы избежать обнаружения. В анализе подчеркивается важность раннего обнаружения и демонстрируется, как Qualys EDR эффективно перехватывает и останавливает атаки вредоносных программ без использования файлов. В целом, меняющийся ландшафт угроз Lumma Stealer представляет серьезную проблему для специалистов в области кибербезопасности из-за его адаптивности и постоянного характера.
-----

Lumma Stealer - это развивающаяся вредоносная программа как услуга, специализирующаяся на краже конфиденциальной информации, такой как пароли, данные браузера и данные криптовалютного кошелька.

Злоумышленник, стоящий за Lumma Stealer, перешел от традиционного фишинга к более обманным методам распространения вредоносного ПО, таким как поддельная проверка с помощью CAPTCHA.

Злоумышленники создают фишинговые веб-сайты, используя сети доставки контента, используя эксплойты или социальную инженерию для распространения вредоносного ПО.

Вредоносная программа использует многоэтапные методы без использования файлов с использованием поддельных страниц с капчей, чтобы обмануть пользователей и инициировать загрузку полезной нагрузки.

Цепочка атак включает в себя запуск команд PowerShell через поддельные сайты с капчей, что приводит к загрузке начального этапа в целевую систему.

Вредоносная программа использует mshta.exe для удаленной загрузки полезных данных и манипулирует PE-файлами, такими как "Dialer.exe", с помощью запутанного кода JavaScript, используя методы многоязычия для уклонения.

Скрипт PowerShell в коде JavaScript расшифровывает полезную нагрузку, зашифрованную AES, и в конечном итоге устанавливает Lumma Stealer после извлечения содержимого из библиотек DLL.

Lumma Stealer выполняет поиск конфиденциальных файлов, связанных с криптовалютой, и паролей, взаимодействует с серверами C2 в домене верхнего уровня ".shop" и использует CDN для доставки полезной информации.

Qualys EDR эффективно перехватывает атаки вредоносных программ без использования файлов перед выполнением, подчеркивая важность раннего обнаружения для предотвращения утечки данных.

Меняющийся характер угрозы Lumma Stealer, использующей такие распространенные инструменты, как PowerShell и тактика уклонения, представляет серьезную проблему для специалистов в области кибербезопасности.

#ParsedReport #CompletenessLow
13-10-2024

Update on SVR Cyber Operations and Vulnerability Exploitation

https://media.defense.gov/2024/Oct/09/2003562611/-1/-1/0/CSA-UPDATE-ON-SVR-CYBER-OPS.PDF

Report completeness: Low

Actors/Campaigns:
Duke

Threats:
Password_spray_technique
Supply_chain_technique
Spear-phishing_technique
Mitm_technique
Residential_proxy_technique

Industry:
Energy, Ngo, Government, Financial, Software_development

Geo:
Asia, United kingdom, America, Ukraine, Russian, Russia, American, Russian federation

CVEs:
CVE-2022-40507 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qualcomm 315 5g iot modem firmware (-)

CVE-2023-37580 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zimbra (<8.8.15)

CVE-2023-5044 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- kubernetes ingress-nginx (<1.9.0)

have more...


TTPs:

Soft:
JetBrains TeamCity, Microsoft Teams, Zimbra, Android, Microsoft Exchange Server, Google Chrome, Apache Tapestry, SharePoint Server, Ivanti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - это совместная рекомендация по кибербезопасности, подготовленная несколькими агентствами и освещающая тактику и деятельность Службы внешней разведки Российской Федерации (СВР), также известной как APT29, направленная на различные сектора с акцентом на поддержку вторжения России в Украину. В рекомендациях подчеркивается важность понимания тактики SVR, своевременного внедрения исправлений и упреждающих мер кибербезопасности для защиты от этих сложных киберугроз.
-----

ФБР, АНБ, CNMF и NCSC-UK опубликовали совместное руководство по кибербезопасности в отношении киберугроз СВР.

СВР, также известная как APT29, Cozy Bear и the Dukes, нацелена на оборонный, технологический и финансовый секторы как минимум с 2021 года, поддерживая вторжение России в Украину с февраля 2022 года.

Киберпреступники СВР используют уязвимости программного обеспечения для первоначального доступа и повышения привилегий, подчеркивая важность быстрого внедрения исправлений.

СВР использует такие тактики, как скрытый поиск, разбазаривание паролей, злоупотребление цепочками поставок и социальная инженерия, чтобы воздействовать на государственные структуры, технологические компании и организации по всему миру.

СВР проводит массовое сканирование систем, подключенных к Интернету, с целью использования уязвимой инфраструктуры и поддержания анонимности с помощью TOR, поддельных удостоверений личности и учетных записей электронной почты с низкой репутацией.

Конкретные уязвимости, используемые SVR, включают CVE-2022-27924 в Zimbra и CVE-2023-42793 в JetBrains TeamCity.

Организациям рекомендуется применять исправления для системы безопасности, усиливать контроль доступа и тщательно проверять устройства для защиты от киберугроз SVR.

#ParsedReport #CompletenessMedium
22-10-2024

Attackers Target Exposed Docker Remote API Servers With perfctl Malware. Summary

https://www.trendmicro.com/en_us/research/24/j/attackers-target-exposed-docker-remote-api-servers-with-perfctl-.html

Report completeness: Medium

Threats:
Perfctl

Victims:
Docker remote api servers

TTPs:
Tactics: 7
Technics: 10

IOCs:
IP: 3
Url: 3
Hash: 2

Soft:
Docker, ubuntu, Unix, Systemd, curl

Algorithms:
base64

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, code: 16

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что неизвестный злоумышленник использует уязвимости в открытых удаленных API-серверах Docker для развертывания вредоносного ПО perfctl. Атака включает в себя последовательность шагов, таких как проверка серверов, выполнение полезной нагрузки, методы обхода и установка постоянной лазейки для постоянного доступа. Организациям рекомендуется обезопасить и контролировать свои серверы Docker, проводить регулярные проверки безопасности и обновлять исправления для предотвращения подобных атак.
-----

В тексте описывается, как неизвестный злоумышленник использует незащищенные серверы Docker remote API для развертывания вредоносного ПО perfctl. Атака включает в себя проверку серверов, выполнение полезной нагрузки, методы обхода и установку постоянной лазейки для постоянного доступа. Злоумышленники используют уязвимости в удаленных API-серверах Docker для развертывания вредоносного кода, создавая контейнеры Docker с определенными настройками и выполняя полезную нагрузку в кодировке Base64. Процесс выполнения полезной нагрузки включает в себя выход из контейнера, создание сценариев bash, установку переменных окружения и загрузку вредоносного двоичного файла, замаскированного под расширение PHP.

Чтобы избежать обнаружения, злоумышленники используют такие методы уклонения, как проверка на наличие похожих процессов и создание каталогов и пользовательских функций для загрузки файлов. Последовательность атаки включает в себя проверку наличия сервера, создание контейнеров Docker с определенными изображениями, взлом контейнеров с помощью таких инструментов, как "nsenter", и выполнение полезной нагрузки. Предыдущие инциденты показали, что злоумышленники устанавливали майнеры криптовалюты аналогичными методами.

В тексте подчеркивается, что организациям крайне необходимо обеспечить безопасность и мониторинг своих серверов Docker Remote API для предотвращения подобных атак. Регулярные проверки безопасности и обновление исправлений необходимы для повышения уровня безопасности. Атака включает подтверждение присутствия вредоносных процессов, проверку активных TCP-соединений, загрузку вредоносных двоичных файлов и запуск определенных действий в зависимости от размера и существования файла. Выполнение полезной нагрузки приводит к таким действиям, как завершение работы процессов, установка разрешений, обновление переменных среды и выполнение команд в фоновом режиме.

Вредоносная программа сохраняет свою устойчивость, создавая службы systemd или задания cron, что обеспечивает непрерывную активность и затрудняет устранение. Устойчивый бэкдор устанавливается путем замены исходной оболочки "/bin/sh" на модифицированную версию, которая обеспечивает повышение привилегий и выполнение команд. Создаются резервные двоичные файлы для восстановления исходной оболочки во время очистки. Кроме того, запускается фоновый процесс для дальнейшего взаимодействия и поддержки бэкдора с использованием определенных функций.

#ParsedReport #CompletenessLow
22-10-2024

IntelBroker s Alleged Cisco Breach: A Deep Dive into the Claims and Responses

https://socradar.io/intelbrokers-alleged-cisco-breach-a-deep-dive-into-the-claims-and-responses

Report completeness: Low

Actors/Campaigns:
Cyberniggers (motivation: cyber_criminal, information_theft)
Usdod (motivation: cyber_criminal)
Baphomet

Threats:
Shinyhunters

Victims:
Cisco systems, Microsoft, At&t, Barclays, British telecom, Bank of america, Verizon, Vodafone, Bt, Sap, have more...

Industry:
Financial, Telco

Geo:
America

ChatGPT TTPs:
do not use without manual check
T1078, T1027, T1071

Soft:
Docker, Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - о хакере киберугроз, известном как IntelBroker, который утверждал, что взломал системы Cisco, делился подробностями взлома на форумах и подчеркивал свою настойчивость и возможности в атаке на крупные организации, используя при этом психологические приемы для оказания давления на цели и создания репутации, основанной на высоком уровне. -профильные вторжения.
-----

IntelBroker, известный хакер и нынешний администратор хакерского форума BreachForums, заявил, что 14 октября 2024 года он взломал Cisco Systems. Злоумышленник заявил о доступе к конфиденциальным данным, включая исходные коды и внутренние документы, и поделился подробностями взлома на форуме. В то время как Cisco отрицала какую-либо компрометацию своих основных систем, они признали факт утечки данных через общедоступный ресурс DevHub. IntelBroker утверждал, что у них был доступ до 18 октября, когда Cisco предположительно отозвала все оставшиеся точки входа.

О взломе Cisco Systems объявила компания IntelBroker на BreachForums, заявив, что инцидент произошел 6 октября, и предложив украденные данные на продажу. Актер перечислил крупные компании, к данным которых они якобы получили доступ, включая Microsoft, AT&T, Barclays, Bank of America и другие. На скриншотах, которыми поделился IntelBroker, был показан доступ к интерфейсам управления, внутренним документам, базам данных и информации о клиентах. Это нарушение выявило настойчивость и возможности IntelBroker в борьбе с известными организациями.

В ответ на претензии IntelBroker компания Cisco опубликовала заявление от 15 октября 2024 года, касающееся инцидента с безопасностью. Компания IntelBroker использовала Twitter, чтобы расширить свои заявления о нарушениях, раскритиковать действия Cisco и подчеркнуть, что до 18 октября у них был постоянный доступ к системам Cisco. Расценив отзыв доступа со стороны Cisco как отложенное действие, IntelBroker стремился подорвать усилия Cisco по реагированию на инциденты и продемонстрировать свою устойчивость к угрозам.

История взломов IntelBroker в крупных организациях началась в конце 2022 года, когда были подтверждены нарушения в таких компаниях, как Weee Grocery Service, Европол и AT&T. Актер приобрел известность на BreachForums и получил статус администратора в мае 2024 года после значительных сбоев в руководстве форумом. Участие IntelBroker распространялось не только на BreachForums, но и на группу киберпреступников CyberNiggers, где они сыграли ключевую роль в организации значительных взломов и возрождении группы в августе 2024 года.

Инцидент с Cisco является частью стратегического подхода IntelBroker к борьбе с организациями не только с целью кражи данных, но и для создания репутации, основанной на громких вторжениях, которые бросают вызов корпоративным мерам безопасности. Способность IntelBroker последовательно взламывать известные организации и поддерживать видимость на таких платформах, как Twitter, демонстрирует их технические навыки и психологическую тактику оказания давления на цели. Это последнее нарушение подчеркивает эволюцию тактики IntelBroker и ее неизменную нацеленность на использование потенциальных уязвимостей в корпоративных системах.

#ParsedReport #CompletenessLow
22-10-2024

macOS NotLockBit \| Evolving Ransomware Samples Suggest a Threat Actor Sharpening Its Tools

https://www.sentinelone.com/blog/macos-notlockbit-evolving-ransomware-samples-suggest-a-threat-actor-sharpening-its-tools

Report completeness: Low

Threats:
Notlockbit
Lockbit

ChatGPT TTPs:
do not use without manual check
T1486, T1071, T1562, T1119

IOCs:
File: 4
Hash: 5

Soft:
macOS, sysctl

Algorithms:
sha1

Platforms:
intel, apple

Links:
https://github.com/elastic/go-sysinfo/blob/main/types/host.go

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Исследователи из Trend Micro выявили новый образец программы-вымогателя для macOS под названием macOS.NotLockBit, который является первой успешной попыткой шифрования файлов и утечки данных в macOS. Программа-вымогатель, распространяемая в виде двоичного файла x86_64, нацелена на компьютеры Intel Mac или Apple silicon Mac и шифрует файлы с расширением .abcd, отображая при этом баннер LockBit 2.0. Вредоносная программа пытается извлечь пользовательские данные на сервер AWS S3 перед шифрованием и использует различные тактики, чтобы избежать обнаружения. Платформа безопасности SentinelOne эффективно блокирует все известные версии NotLockBit, но это открытие указывает на тенденцию к более изощренным атакам программ-вымогателей на платформу Apple, сигнализируя о потенциальных будущих угрозах и изменениях.
-----

Исследователи из Trend Micro недавно обнаружили образец программы-вымогателя для macOS, которая продемонстрировала надежные возможности блокировки файлов и утечки данных, выдавая себя за программу-вымогателя LockBit после успешного шифрования файлов пользователя. Это открытие знаменует собой отход от предыдущих попыток вымогательства для macOS, которые в основном были безуспешными. Было замечено, что вредоносная программа, получившая название macOS.NotLockBit из-за присвоения ей названия LockBit, была заблокирована SentinelOne Singularity.

Программа-вымогатель кодируется на Go и распространяется в виде двоичного файла x86_64, специально предназначенного для компьютеров Intel Mac или Apple silicon Mac с программным обеспечением для эмуляции Rosetta. После запуска она собирает системную информацию и может считывать ключевые файлы для сбора сведений о системе. Вредоносная программа использует встроенный открытый ключ для шифрования мастер-ключа, который затем используется для шифрования файлов. Зашифрованные файлы идентифицируются по расширению .abcd, а в каждой зашифрованной папке хранится записка с требованием выкупа с именем README.txt. NotLockBit пытается изменить обои рабочего стола и отобразить баннер LockBit 2.0, несмотря на то, что версия LockBit 3.0 является последней версией.

Перед шифрованием файлов вредоносная программа пытается извлечь пользовательские данные на сервер AWS S3, используя жестко запрограммированные учетные данные. Злоумышленник создает новые корзины на экземпляре AWS S3 для фильтрации данных. NotLockBit устанавливает фоновое изображение с помощью System Events.app с помощью вызова osascript. Было обнаружено несколько вариантов вредоносного ПО, и на каждой итерации были обнаружены улучшения и модификации, в том числе попытки избежать обнаружения и улучшить функциональность.

Платформа безопасности SentinelOne защищает от всех известных версий macOS.NotLockBit, используя многоядерный подход, который сочетает в себе статические и динамические возможности искусственного интеллекта для расширенного обнаружения угроз и их устранения. В то время как программы-вымогатели на macOS остаются относительно редкими, злоумышленники все чаще осознают прибыльность тактики двойного вымогательства на платформе Apple, сочетающей кражу данных с шифрованием файлов, чтобы заставить жертв заплатить выкуп. Разработка NotLockBit свидетельствует о постоянных усилиях участников угроз по совершенствованию своей тактики и возможностей.

На данный момент учетные записи злоумышленника на AWS удалены, и нет никаких свидетельств о жертвах или широко распространенных методах распространения NotLockBit. Однако, учитывая значительные средства, вложенные в разработку этого конкретного вида вредоносного ПО, вполне вероятно, что в ближайшем будущем могут появиться новые версии или угрозы от того же лица. Уязвимости в системах защиты Apple от TCC создают проблемы для злоумышленников, но будущие версии вредоносного ПО могут устранить эти препятствия и повысить эффективность.

#ParsedReport #CompletenessMedium
22-10-2024

Earth Simnavaz (aka APT34) Levies Advanced Cyberattacks Against Middle East

https://www.trendmicro.com/en_us/research/24/j/earth-simnavaz-cyberattacks.html

Report completeness: Medium

Actors/Campaigns:
Oilrig (motivation: cyber_espionage)
Fox_kitten

Threats:
Ngrok_tool
Supply_chain_technique
Credential_harvesting_technique
Stealhook_tool
Karkoff
Trojan.ps1.dulldrop.i624
Trojan.win64.dulload.i
Dullwshell
Dullscan_tool
Trojan.ps1.dulldrop.i

Industry:
Energy, Petroleum

Geo:
Middle east

CVEs:
CVE-2024-30088 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20680)
- microsoft windows 10 1607 (<10.0.14393.7070)
- microsoft windows 10 1809 (<10.0.17763.5936)
- microsoft windows 10 21h2 (<10.0.19044.4529)
- microsoft windows 10 22h2 (<10.0.19045.4529)
have more...

ChatGPT TTPs:
do not use without manual check
T1566.001, T1078, T1071.001, T1059.001, T1003.001, T1105, T1021.001

IOCs:
Path: 4
File: 2
Registry: 1
Hash: 17

Soft:
Microsoft Exchange, Windows Kernel, Local Security Authority, active directory, PSEXEC

Algorithms:
aes, exhibit, base64

Functions:
GetUserPassFromData, GetSendData

Languages:
powershell

Links:
have more...
https://github.com/aaaddress1/RunPE-In-Memory
https://github.com/tykawaii98/CVE-2024-30088

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 2, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа кибершпионажа Earth Simnavaz, также известная как APT34 и OilRig, активно нацелена на организации в энергетическом секторе, особенно на Ближнем Востоке, используя передовые тактики и инструменты для осуществления вредоносной деятельности. Эта группа представляет постоянную угрозу для организаций и подчеркивает важность понимания тактики, используемой киберпреступниками, спонсируемыми государством, и противодействия ей. Защита от таких угроз включает в себя использование аналитических отчетов об угрозах, внедрение архитектуры нулевого доверия и усиление мер безопасности, таких как SOC, EDR и MDR-возможности.
-----

Краткое содержание:.

Расследование Trend Micro показало, что кибершпионажная группа Earth Simnavaz, также известная как APT34 и OilRig, активно нацелена на организации в энергетическом секторе, особенно на Ближнем Востоке. Они используют передовые методы, такие как использование бэкдоров на серверах Microsoft Exchange для кражи учетных данных и использование уязвимостей, таких как CVE-2024-30088, для повышения привилегий. Earth Simnavaz использует комбинацию настраиваемых инструментов .NET, скриптов PowerShell и вредоносных программ на базе IIS, которые адаптируются к обычному сетевому трафику, что затрудняет их обнаружение. Их недавняя деятельность сосредоточена на использовании уязвимостей в ключевой инфраструктуре в уязвимых регионах с целью обеспечения постоянного доступа для дальнейших атак на дополнительные цели.

Вредоносная деятельность Earth Simnavaz включает в себя внедрение сложных бэкдоров для утечки учетных данных через серверы Microsoft Exchange, использование таких инструментов, как ngrok, для удаленного мониторинга и управления, а также использование уязвимостей, таких как CVE-2024-30088, для повышения привилегий. Такая тактика подчеркивает эволюционный характер методологий группы и постоянную угрозу, которую они представляют для организаций, особенно тех, которые используют уязвимые платформы, такие как Microsoft Exchange. Группа постоянно адаптируется, добавляя новые уязвимости в свой инструментарий для повышения скрытности и эффективности своих атак.

Было замечено, что Earth Simnavaz проводит атаки на цепочки поставок через скомпрометированные организации и, возможно, использует украденные учетные записи для фишинговых кампаний против дополнительных целей. Кроме того, существует документально подтвержденная взаимосвязь между Earth Simnavaz и FOX Kitten APT group, что еще раз подчеркивает серьезный характер этих угроз, нацеленных на организации в таких важных секторах, как национальная безопасность и экономическая стабильность. Использование группой таких инструментов, как ngrok, для поддержания устойчивости и контроля над уязвимыми средами подчеркивает важность понимания тактики, используемой спонсируемыми государством кибератаками, и противодействия ей.

Для защиты от развивающихся угроз, таких как Earth Simnavaz, организации могут использовать отчеты об угрозах и аналитические материалы для активной защиты своей среды, снижения рисков и эффективного реагирования на потенциальные атаки. Внедрение архитектуры с нулевым уровнем доверия и усиление мер безопасности, таких как Центр управления безопасностью (SOC), возможности обнаружения конечных точек и реагирования на них (EDR), а также возможности управляемого обнаружения и реагирования (MDR), могут повысить эффективность защиты от таких сложных злоумышленников, как Earth Simnavaz, которые продолжают представлять значительный риск для секторов на Ближнем Востоке.

#ParsedReport #CompletenessMedium
22-10-2024

Using gRPC and HTTP/2 for Cryptominer Deployment: An Unconventional Approach

https://www.trendmicro.com/en_us/research/24/j/using-grpc-http-2-for-cryptominer-deployment.html

Report completeness: Medium

Threats:
Srbminer

Victims:
Docker

Industry:
Healthcare

TTPs:
Tactics: 5
Technics: 7

IOCs:
File: 1
Hash: 1
Url: 1
IP: 2

Soft:
Docker, debian

Crypto:
ripple

Algorithms:
zip

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, schema: 1, code: 1