#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа кибершпионажа Earth Simnavaz, также известная как APT34 и OilRig, активно нацелена на организации в энергетическом секторе, особенно на Ближнем Востоке, используя передовые тактики и инструменты для осуществления вредоносной деятельности. Эта группа представляет постоянную угрозу для организаций и подчеркивает важность понимания тактики, используемой киберпреступниками, спонсируемыми государством, и противодействия ей. Защита от таких угроз включает в себя использование аналитических отчетов об угрозах, внедрение архитектуры нулевого доверия и усиление мер безопасности, таких как SOC, EDR и MDR-возможности.
-----

Краткое содержание:.

Расследование Trend Micro показало, что кибершпионажная группа Earth Simnavaz, также известная как APT34 и OilRig, активно нацелена на организации в энергетическом секторе, особенно на Ближнем Востоке. Они используют передовые методы, такие как использование бэкдоров на серверах Microsoft Exchange для кражи учетных данных и использование уязвимостей, таких как CVE-2024-30088, для повышения привилегий. Earth Simnavaz использует комбинацию настраиваемых инструментов .NET, скриптов PowerShell и вредоносных программ на базе IIS, которые адаптируются к обычному сетевому трафику, что затрудняет их обнаружение. Их недавняя деятельность сосредоточена на использовании уязвимостей в ключевой инфраструктуре в уязвимых регионах с целью обеспечения постоянного доступа для дальнейших атак на дополнительные цели.

Вредоносная деятельность Earth Simnavaz включает в себя внедрение сложных бэкдоров для утечки учетных данных через серверы Microsoft Exchange, использование таких инструментов, как ngrok, для удаленного мониторинга и управления, а также использование уязвимостей, таких как CVE-2024-30088, для повышения привилегий. Такая тактика подчеркивает эволюционный характер методологий группы и постоянную угрозу, которую они представляют для организаций, особенно тех, которые используют уязвимые платформы, такие как Microsoft Exchange. Группа постоянно адаптируется, добавляя новые уязвимости в свой инструментарий для повышения скрытности и эффективности своих атак.

Было замечено, что Earth Simnavaz проводит атаки на цепочки поставок через скомпрометированные организации и, возможно, использует украденные учетные записи для фишинговых кампаний против дополнительных целей. Кроме того, существует документально подтвержденная взаимосвязь между Earth Simnavaz и FOX Kitten APT group, что еще раз подчеркивает серьезный характер этих угроз, нацеленных на организации в таких важных секторах, как национальная безопасность и экономическая стабильность. Использование группой таких инструментов, как ngrok, для поддержания устойчивости и контроля над уязвимыми средами подчеркивает важность понимания тактики, используемой спонсируемыми государством кибератаками, и противодействия ей.

Для защиты от развивающихся угроз, таких как Earth Simnavaz, организации могут использовать отчеты об угрозах и аналитические материалы для активной защиты своей среды, снижения рисков и эффективного реагирования на потенциальные атаки. Внедрение архитектуры с нулевым уровнем доверия и усиление мер безопасности, таких как Центр управления безопасностью (SOC), возможности обнаружения конечных точек и реагирования на них (EDR), а также возможности управляемого обнаружения и реагирования (MDR), могут повысить эффективность защиты от таких сложных злоумышленников, как Earth Simnavaz, которые продолжают представлять значительный риск для секторов на Ближнем Востоке.

#ParsedReport #CompletenessMedium
22-10-2024

Using gRPC and HTTP/2 for Cryptominer Deployment: An Unconventional Approach

https://www.trendmicro.com/en_us/research/24/j/using-grpc-http-2-for-cryptominer-deployment.html

Report completeness: Medium

Threats:
Srbminer

Victims:
Docker

Industry:
Healthcare

TTPs:
Tactics: 5
Technics: 7

IOCs:
File: 1
Hash: 1
Url: 1
IP: 2

Soft:
Docker, debian

Crypto:
ripple

Algorithms:
zip

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в использовании удаленных API-серверов Docker злоумышленниками, использующими gRPC/h2c для развертывания криптомайнера SRBMiner для майнинга криптовалюты XRP на хостах Docker. В нем подчеркиваются риски безопасности, связанные с неправильно сконфигурированными и незащищенными удаленными API-серверами Docker, неправильным использованием методов gRPC в Docker для вредоносных действий и важностью защиты контейнерных платформ, таких как Docker, для предотвращения подобных атак. Trend Micro подчеркивает необходимость раннего обнаружения угроз, автоматизированного сканирования, машинного обучения и анализа угроз для защиты от развивающихся киберугроз.
-----

В записи блога рассказывается о том, как злоумышленники используют удаленные API-серверы Docker, используя gRPC/h2c для развертывания криптомайнера SRBMiner для майнинга криптовалюты XRP на хостах Docker. Исследователи Trend Micro наблюдали недавнюю атаку, в ходе которой злоумышленник нацелился на удаленные API-серверы Docker для выполнения операций криптомайнинга с использованием протокола gRPC через h2c, что позволило им эффективно обходить решения по обеспечению безопасности. Злоумышленник сначала проверил доступность и версию Docker API, затем запросил обновления gRPC/h2c и методы gRPC для управления функциональными возможностями Docker. Впоследствии злоумышленник загрузил и развернул криптомайнер SRBMiner с GitHub, инициировав процесс майнинга на свой криптовалютный кошелек и публичный IP-адрес.

Docker - это платформа, которая упрощает процессы разработки приложений, предлагая функцию удаленного API для удаленного управления контейнерами, образами и томами. Однако, если эти удаленные серверы API неправильно настроены и подключены к Интернету, они могут представлять угрозу безопасности, что делает их уязвимыми для использования злоумышленниками. Наблюдаемая атака является примером неправильного использования протокола gRPC через h2c для развертывания криптомайнера SRBMiner на хостах Docker для незаконного майнинга XRP, криптовалюты, разработанной Ripple Labs.

Злоумышленник в этой атаке использует методы gRPC в Docker для выполнения таких важных операций, как проверка работоспособности, синхронизация файлов, аутентификация, управление секретами и переадресация по SSH. Эти методы позволяют клиентам эффективно управлять средами Docker, но, попав не в те руки, они могут быть использованы для совершения вредоносных действий. Злоумышленник загружает SRBMiner с GitHub, размещает его в определенных каталогах и инициирует процесс майнинга, предоставляя адрес своего криптовалютного кошелька и публичный IP-адрес, скрывая свою деятельность за операцией майнинга криптовалюты.

Этот инцидент подчеркивает важность тщательного обеспечения безопасности контейнерных платформ, таких как Docker. Хотя эти платформы обладают значительными преимуществами при разработке приложений, они также могут создавать уязвимости в системе безопасности, если не защищены должным образом. Киберпреступники могут использовать такие функции, как API удаленного управления, для развертывания криптоминеров и незаконного майнинга криптовалют, как показано в этой атаке с использованием gRPC через h2c.

Trend Micro подчеркивает необходимость раннего обнаружения угроз с помощью автоматизированного сканирования образа контейнера и реестра, что позволяет пользователям оперативно выявлять и устранять потенциальные угрозы. Кроме того, такие методы, как машинное обучение и виртуальное внесение исправлений, могут помочь защитить рабочие нагрузки как от известных, так и от неизвестных угроз. Клиенты Trend Micro могут получать доступ к аналитическим отчетам и информации об угрозах в Trend Micro Vision One, что позволяет им активно защищать свои среды, понимать возникающие угрозы и эффективно реагировать на вредоносные действия. Используя аналитические данные об угрозах, организации могут опережать возникающие киберугрозы и укреплять свою систему безопасности.

#ParsedReport #CompletenessMedium
21-10-2024

Akira ransomware continues to evolve

https://blog.talosintelligence.com/akira-ransomware-continues-to-evolve

Report completeness: Medium

Threats:
Akira_ransomware
Credential_harvesting_technique
Shadow_copies_delete_technique
Megazord
Credential_dumping_technique

Victims:
Latin american airline

Industry:
Aerospace, Critical_infrastructure

Geo:
Latin american

CVEs:
CVE-2023-20263 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco hyperflex hx data platform (5.0, 5.5)

CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient enterprise management server (le7.0.10, le7.2.2)

CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam backup & replication (11.0.1.1261, 12.0.0.1420)

CVE-2020-3259 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco firepower threat defense (<6.2.3.16, <6.3.0.6, <6.4.0.9, <6.5.0.5)
- cisco adaptive security appliance software (<9.8.4.20, <9.9.2.67, <9.10.1.40, <9.12.3.9, <9.13.1.10)

CVE-2024-40766 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (<5.9.2.14-13o)

CVE-2024-40711 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam backup & replication (<12.2.0.334)

CVE-2023-20269 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (6.2.3, 6.2.3.1, 6.2.3.2, 6.2.3.3, 6.2.3.4)

CVE-2024-37085 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud foundation (le5.2)
- vmware esxi (7.0, 8.0)


ChatGPT TTPs:
do not use without manual check
T1486, T1078, T1190, T1203, T1059.001, T1566, T1027, T1548

IOCs:
File: 4
Hash: 37

Soft:
Linux, ESXi, SonicOS, AnyConnect, Active Directory, Linux ESXi, Windows Defender Credential Guard, Local Security Authority

Algorithms:
chacha20

Languages:
rust, powershell, swift

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Группа программ-вымогателей Akira развивает и совершенствует свою тактику, переключая внимание с шифрования на утечку данных, разрабатывая новые версии своего шифровальщика-вымогателя и изучая различные методы программирования, чтобы максимально эффективно использовать их в своих попытках вымогательства. Также было замечено, что они нацелены на уязвимости в сетевых устройствах и программном обеспечении, и ожидается, что они продолжат использовать наиболее уязвимые места, усиливая свою модель двойного вымогательства. В будущих кампаниях группа, вероятно, нацелится на среды ESXi и Linux от VMware, поскольку они широко распространены в корпоративной инфраструктуре.
-----

Группа программ-вымогателей Akira развивает и совершенствует свою тактику, чтобы сохранить свои позиции в качестве заметной угрозы в сфере кибербезопасности. Данные Cisco Talos указывают на то, что Akira активно разрабатывает новые версии своего шифровальщика-вымогателя, переключая внимание с шифрования на фильтрацию данных. Считается, что это изменение тактики является результатом переоснащения разработчиками своего шифровальщика для расширения его возможностей.

Было замечено, что операторы Ransomware-as-a-Service (RaaS) компании Akira разрабатывают Rust-вариант своего ESXi-шифровальщика, отходя от традиционного использования C++ и изучая различные методы программирования. Используя надежные методы шифрования и уделяя особое внимание краже данных, Akira стремится максимально эффективно использовать свои возможности в борьбе с вымогательством. Переход группы к ранее эффективной стратегии после языковой модификации версии 2 означает, что компания уделяет особое внимание стабильности и эффективности своей партнерской деятельности.

Филиалы Akira активно используют уязвимости для первоначального доступа, используют CVE для взлома сети, повышения привилегий и перемещения в уязвимых средах. Группа занимается устранением различных уязвимостей в сетевых устройствах и программном обеспечении, включая эксплойты в сервисах Cisco и FortiClientEMS.

В последние месяцы было замечено, что Akira переключается с одного варианта шифрования на другой, возможно, возвращаясь к использованию шифровальщиков для Windows и Linux, написанных на C++. Этот переход предполагает стратегический выбор в пользу приоритета стабильности и надежности над инновациями. Использование образцов программ-вымогателей с расширением ".akira" и уведомлениями о требовании выкупа "akira_readme.txt" соответствует прежней тактике группы, что указывает на намеренное возвращение к ранее эффективным методам.

Заглядывая в будущее, ожидается, что Akira продолжит использовать наиболее уязвимые места, одновременно усиливая свою модель двойного вымогательства, чтобы увеличить возможности получения выкупа. Исследование языка программирования Rust для Linux-шифровальщиков демонстрирует готовность группы экспериментировать с системами кодирования для разработки устойчивых вариантов программ-вымогателей. Сохраняя адаптивность и ориентируясь на эффективность, Akira, скорее всего, в будущих кампаниях будет использовать среды ESXi и Linux от VMware, поскольку они широко используются в корпоративной инфраструктуре и хранилищах критически важных данных.

#ParsedReport #CompletenessMedium
22-10-2024

Triad Nexus: Silent Push exposes FUNNULL CDN's ongoing corruption efforts, hosting DGA bulk domains for suspect Chinese gambling sites, investment scams, a retail phishing campaign, and a supply chain attack impacting 110,000+ sites

https://www.silentpush.com/blog/triad-nexus-funnull

Report completeness: Medium

Actors/Campaigns:
Lazarus
Pig_butchering

Threats:
Supply_chain_technique
Bonanza

Industry:
Entertainment, Telco, Government, Retail, Financial, E-commerce, Foodtech

Geo:
Asia, Portuguese, Australian, Macau, Kors, North korean, Chinese, Asian, China, Hong kong

ChatGPT TTPs:
do not use without manual check
T1213, T1557, T1583, T1204, T1189

IOCs:
Domain: 75
File: 2
IP: 1
Email: 1

Soft:
FUNNULL, Polyfill, Telegram, Gmail

Wallets:
coinbase

Crypto:
tether

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, table: 2, schema: 3, chart: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Silent Push, компания по разведке киберугроз, более двух лет отслеживала китайскую сеть доставки контента (CDN) FUNNULL и выявила широкий спектр преступных действий, размещенных на FUNNULL, что позволило им назвать этот кластер "Триадой Нексус". Ключевые выводы их исследования включают причастность к инвестиционным аферам, поддельным торговым приложениям, подозрительным сетям азартных игр, розничному фишингу, атакам на цепочки поставок, связям с преступными группировками, такими как преступная группа Lazarus, и фишинговым кампаниям, нацеленным на крупные бренды. Исследование освещает вредоносную деятельность, осуществляемую компанией FUNNULL, и ее связи с преступными организациями, занимающимися финансовым мошенничеством, отмыванием денег и незаконными азартными играми, подчеркивая важность понимания таких кластеров специалистами в области кибербезопасности для повышения эффективности усилий по обнаружению угроз и смягчению их последствий.
-----

Silent Push уже более двух лет отслеживает китайскую сеть доставки контента (CDN) FUNNULL, выявляя широкий спектр преступной деятельности, включая инвестиционные аферы, поддельные торговые приложения, подозрительные сети азартных игр и розничный фишинг.

Преступные операции, связанные с FUNNULL, были названы "Связующим звеном триады"..

Более 200 000 уникальных имен хостов проксируются через FUNNULL с высоким коэффициентом использования алгоритма генерации доменов (DGA).

FUNNULL был вовлечен в атаку на цепочку поставок с использованием JavaScript-библиотеки Polyfill, которая затронула более 110 000 ведущих веб-сайтов.

Suncity Group, связанная с преступной группировкой Lazarus, связана с подозрительными сайтами азартных игр, размещенными на FUNNULL.

Suncity Group имеет связи с Tether, популярной криптовалютой на подозрительных сайтах азартных игр в Восточной и Юго-Восточной Азии.

FUNNULL был причастен к атаке на цепочку поставок после приобретения polyfill.ввод-вывод средств и перенаправление мобильных пользователей на сайты онлайн-гемблинга.

Розничная фишинговая афера, размещенная на сайте FUNNULL, нацелена на крупные бренды в индустрии моды.

FUNNULL ассоциируется с поддельными торговыми приложениями, инвестиционными аферами и алгоритмически сгенерированными доменами для низкокачественных сайтов азартных игр на мандаринском диалекте китайского языка.

Suncity Group, известная отмыванием денег и незаконными азартными играми, имеет связи с операциями в сфере онлайн-гемблинга, способствующими выводу капитала из материкового Китая.

Фишинговая кампания, нацеленная на ведущие розничные бренды, размещенная на FUNNULL, использует фишинговые страницы входа в систему и внедряет вредоносное ПО на мобильные устройства.

Понимание инфраструктуры и деятельности таких кластеров, как Triad Nexus, имеет решающее значение для повышения эффективности усилий по обнаружению угроз и смягчению их последствий в области кибербезопасности.

#ParsedReport #CompletenessHigh
22-10-2024

Steam Under Fire: Malware and Dead Drop Resolver Technique

https://rt-solar.ru/solar-4rays/blog/4795

Report completeness: High

Threats:
Dead_drop_technique
Vidar_stealer
Lumma_stealer
Meta_stealer
Acr_stealer
Stealc
Heavens_gate_technique
Redline_stealer
Anydesk_tool

Victims:
Steam, Telegram

Industry:
Entertainment

Geo:
Russia

TTPs:

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1027, T1090, T1573.001, T1081, T1140, T1566.001

IOCs:
File: 19
Hash: 8
Url: 35
Domain: 33

Soft:
Steam, Telegram, Twitter, Chromium, Firefox, Chrome, Opera, Discord, Pidgin, WhatsApp, have more...

Algorithms:
base64, md5, xor, sha1, rc4, sha256

Win API:
RmEndSession

Platforms:
x64, x86, arm

Links:
https://gist.github.com/qbourgue/85f4949beb07179e9e1ef29d889e69ff
https://github.com/mandiant/flare-floss

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, code: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущей тенденции кибератакеров, использующих легальные платформы, такие как Steam и Telegram, для распространения вредоносного ПО и создания инфраструктуры командования и контроля (C2) с использованием технологии, называемой Dead Drop Resolver (DDR). Различные семейства вредоносных программ, включая Vidar, Lumma, ACR и MetaStealer, адаптировались к использованию этих платформ для целей C2, что позволяет им публиковать зашифрованную информацию C2 и незаметно обновлять адреса серверов, собирая конфиденциальные данные из зараженных систем. Эта тенденция свидетельствует о том, что злоумышленники все чаще используют популярные платформы для совершения вредоносных действий, что подчеркивает растущую сложность киберугроз.
-----

В тексте обсуждается растущая тенденция кибератакеров, использующих легальные платформы, такие как Steam и Telegram, для распространения вредоносного ПО и создания инфраструктуры командования и контроля (C2) с использованием метода, называемого Dead Drop Resolver (DDR). Упомянутое вредоносное ПО включает в себя популярные stealers, такие как Vidar, Lumma, ACR и MetaStealer, которые адаптированы к использованию Steam и Telegram для целей C2.

Злоумышленники используют эти платформы для публикации зашифрованной или кодированной информации C2, которую вредоносная программа извлекает после заражения. Этот метод позволяет повысить устойчивость инфраструктуры C2, поскольку злоумышленники могут в любое время обновить адрес сервера C2, оставаясь при этом незаметными для мер безопасности. В тексте подробно описывается одно известное семейство, Vidar, использующее профили Steam и каналы Telegram для извлечения адресов C2. Vidar способен собирать различные данные, включая системную информацию, данные веб-браузера, криптовалютные кошельки и многое другое.

Другим обсуждаемым семейством вредоносных программ является Lumma, которое упоминалось на русскоязычных форумах примерно в 2022 году. В примере Lumma, приведенном в тексте, используются методы обфускации, что затрудняет статический анализ. Он также включает в себя такие возможности, как кража данных из браузеров, криптовалютных кошельков и внедрение бинарного морфера с потоком управления.

MetaStealer представлен как еще одно семейство, использующее DDR, и в тексте подчеркивается его сходство с RedLine stealer. MetaStealer использует раздел комментариев Steam, чтобы легко скрывать активность и стирать следы. Метод использования законных платформ для распространения вредоносного ПО продолжает развиваться, и в 2024 году MetaStealer внедрила Steam в качестве новой платформы распространения.

В тексте содержится информация о методах, используемых этими семействами вредоносных программ, таких как расшифровка адресов C2, внедрение полезных данных в процессы и поиск данных с конечных точек жертвы. Появление этих примеров с использованием DDR с поддержкой Steam или Telegram свидетельствует о том, что злоумышленники предпочитают этот метод. Отмечается, что разработчики такого вредоносного ПО признают стабильность и успешность использования этих платформ в вредоносных целях.

#ParsedReport #CompletenessLow
22-10-2024

Get in touch

https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/fake-attachment-roundcube-mail-server-attacks-exploit-cve-2024-37383-vulnerability

Report completeness: Low

Actors/Campaigns:
Winter_vivern

Victims:
Government organizations

Industry:
Government

CVEs:
CVE-2024-37383 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 2

IOCs:
File: 1

Soft:
Roundcube

Algorithms:
base64

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Roundcube Webmail, популярный почтовый клиент с открытым исходным кодом, уязвим для использования киберпреступниками. Уязвимость CVE-2024-37383 позволяет злоумышленникам выполнять вредоносный JavaScript-код через специально созданные электронные письма. Организации, использующие веб-почту Roundcube, сталкиваются со значительными рисками в области кибербезопасности и должны уделять приоритетное внимание своевременному исправлению ошибок и надежным мерам безопасности для устранения этих угроз.
-----

Roundcube Webmail - это популярный почтовый клиент с открытым исходным кодом, написанный на PHP, который обеспечивает удобный доступ к учетным записям электронной почты через браузер без использования полноценных почтовых клиентов. Его обширная функциональность позволила ему широко использоваться коммерческими и правительственными организациями по всему миру. Однако эта популярность также привлекает киберпреступников, которые используют ее уязвимости для кражи учетных данных и корпоративной электронной почты.

Одной из таких уязвимостей является CVE-2024-37383, сохраненная уязвимость XSS, обнаруженная в веб-почте Roundcube. Этот недостаток позволяет злоумышленникам выполнять JavaScript-код на странице пользователя, отправляя вредоносное электронное письмо жертве, используя уязвимую клиентскую версию Roundcube между 1.5.6 и 1.6.6. Уязвимость была выявлена и исправлена исследователями CrowdStrike 19 мая 2024 года.

Эксплойт включает в себя встраивание кода JavaScript в текст электронного письма с использованием отличительных тегов, таких как eval(atob(...)) и attributeName="href " с дополнительным пробелом. Эта манипуляция тегами заставляет Roundcube не фильтровать JavaScript-код, позволяя ему выполняться при открытии электронного письма. Уязвимость возникает из-за неправильного использования элементов SVG в разметке текста электронного письма во время предварительной обработки.

Киберпреступники, в том числе такие группы, как Winter Vivern, ранее использовали уязвимости веб-почты Roundcube для атак на правительственные организации в Европе. Хотя недавняя атака, описанная в статье, не может быть отнесена на счет известных участников, она подчеркивает сохраняющуюся угрозу, связанную с использованием уязвимостей Roundcube. Несмотря на то, что Roundcube не является наиболее широко используемым почтовым клиентом, его распространенность в государственных учреждениях делает его привлекательной мишенью для киберпреступников, стремящихся получить конфиденциальную информацию.

Таким образом, уязвимость CVE-2024-37383 в Roundcube Webmail позволяет злоумышленникам выполнять вредоносный JavaScript-код с помощью специально созданных электронных писем, создавая значительную угрозу для организаций, которые полагаются на этот почтовый клиент. Киберпреступники постоянно адаптируют свои эксплойты для устранения таких уязвимостей, подчеркивая важность своевременного исправления и надежных мер кибербезопасности для снижения рисков, связанных с использованием веб-почты Roundcube.

#ParsedReport #CompletenessMedium
22-10-2024

Threat actor abuses Gophish to deliver new PowerRAT and DCRAT. Victimology. Threat actor abuses Gophish to deliver new PowerRAT and DCRAT

https://blog.talosintelligence.com/gophish-powerrat-dcrat

Report completeness: Medium

Threats:
Gophish_tool
Powerrat
Dcrat
Goloader
Spark_rat
Lolbin_technique
Dll_injection_technique

Victims:
Russian-speaking users

Geo:
Russia, Belarus, Azerbaijan, Russian, Ukraine, Uzbekistan, Kazakhstan

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059.001, T1027, T1547.001, T1057, T1560.002, T1083, T1497.003

IOCs:
Domain: 3
IP: 3
File: 9
Registry: 1
Command: 19
Path: 7
Url: 1

Soft:
Microsoft Word, Microsoft Defender, winlogon, Task Scheduler

Algorithms:
base64

Functions:
CheckContent, GetID, offlineworker, click, JavaScript

Languages:
javascript, powershell, golang

Links:
https://github.com/gophish/gophish
https://github.com/Cisco-Talos/IOCs/tree/main/2024/10
have more...