#ParsedReport #CompletenessLow
23-10-2024

Malicious npm Packages Steal Ethereum Keys and Gain SSH Access

https://www.secureblink.com/cyber-security-news/malicious-npm-packages-steal-ethereum-keys-and-gain-ssh-access

Report completeness: Low

Threats:
Typosquatting_technique

Industry:
Financial

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1001, T1078.003, T1557.001, T1003

IOCs:
File: 1
Domain: 1
IP: 1
Url: 7

Crypto:
ethereum

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что сообщество разработчиков Ethereum недавно подверглось двум отдельным атакам с использованием вредоносных пакетов npm, направленных на кражу закрытых ключей и компрометацию систем разработчиков. Атаки осуществлялись под видом популярных библиотек Ethereum, при этом одна из них вводила вредоносный код для утечки закрытых ключей и получения несанкционированного доступа по SSH к компьютерам разработчиков, а другая использовала тайпосквоттинг для создания поддельных пакетов для кражи закрытых ключей. Атаки создают риск немедленных финансовых потерь и компрометации блокчейн-активов, что подчеркивает важность таких мер безопасности, как регулярные проверки, соблюдение принципа наименьших привилегий и своевременные обновления и исправления. Разработчикам также рекомендуется сообщать о подозрительных пакетах и получать информацию о рекомендациях по безопасности.
-----

Сообщество разработчиков Ethereum недавно подверглось атакам злоумышленников в результате двух отдельных атак с использованием вредоносных пакетов npm. Эти атаки направлены на выдачу себя за популярные библиотеки Ethereum с целью кражи закрытых ключей и компрометации систем разработчиков. Первая атака была связана с выдачей себя за библиотеку ethers, которая широко используется для взаимодействия с блокчейном Ethereum. Вредоносный код был вставлен в эти поддельные пакеты для утечки закрытых ключей и получения несанкционированного SSH-доступа к компьютерам разработчиков.

Вредоносные пакеты, маскирующиеся под библиотеку ethers, содержали код, предназначенный для извлечения закрытых ключей Ethereum, когда разработчик создавал новый кошелек, используя библиотеку. Эти извлеченные закрытые ключи были отправлены на удаленный сервер, контролируемый злоумышленником. Кроме того, вредоносная программа попыталась добавить открытый SSH-ключ злоумышленника в файл authorized_keys пользователя root, потенциально предоставив злоумышленнику удаленный SSH-доступ. Вредоносный код был замаскирован и распределен по нескольким файлам и модулям, чтобы избежать обнаружения.

В ходе отдельной атаки злоумышленник атаковал криптографический пакет ethereum с помощью тайпсквоттинга, создав поддельные пакеты с именами, похожими на имена легитимной библиотеки. Целью этой атаки было украсть закрытые ключи, отправив их на сервер в Китае. Вредоносные пакеты сохраняли все допустимые функциональные возможности, чтобы избежать подозрений, и единственным дополнением был код для извлечения закрытых ключей. Злоумышленник попытался скрыть вредоносный код в более поздних версиях, хотя и непрофессиональным способом.

Обе атаки преследовали общую цель - украсть приватные ключи Ethereum, что может привести к немедленным финансовым потерям и компрометации активов блокчейна. В ходе первой атаки также была предпринята попытка получить SSH-доступ к компьютерам разработчиков, что потенциально позволило злоумышленнику выполнять произвольные команды и получать доступ к конфиденциальным данным.

Регулярные проверки системных файлов, соблюдение принципа наименьших привилегий и своевременные обновления и исправления для систем и приложений являются важными мерами безопасности. Разработчикам рекомендуется сообщать о любых подозрительных пакетах, с которыми они сталкиваются, и получать информацию о рекомендациях по безопасности и отчетах из авторитетных источников в сообществе разработчиков.

#ParsedReport #CompletenessMedium
23-10-2024

DarkComet RAT: Technical Analysis of Attack Chain

https://any.run/cybersecurity-blog/darkcomet-rat-technical-analysis

Report completeness: Medium

Actors/Campaigns:
Darkcodersc

Threats:
Darkcomet_rat
Ngrok_tool

TTPs:
Tactics: 5
Technics: 11

IOCs:
File: 4
Path: 2
Hash: 3
Domain: 1

Soft:
Windows security, Windows Explorer, WinLogon, Linux

Algorithms:
sha256, sha1, md5

Functions:
GetSIN, GetDrives, GetSrchDrives, GetFileAttrib, GetAppList, GetServList, RemoveServices, GetStartUpList, GetOfflineLogs, GetFullInfo, have more...

Win API:
LookupPrivilegeValueA, AdjustTokenPrivileges, GetCurrentHwProfileA, mouse_event, keybd_event, EnumDisplayDevicesA, GetSystemInfo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - это отчет об анализе вредоносного ПО, в котором основное внимание уделяется троянцу удаленного доступа (RAT) DarkComet, с подробным описанием его функциональных возможностей, методов обхода, механизмов сохранения, связи с сервером управления и контроля и способности получать и выполнять удаленные команды. В отчете также упоминается полезность ANY.RUN, интерактивной платформы sandbox, для анализа вредоносных угроз и расширения возможностей анализа угроз для специалистов по кибербезопасности.
-----

Статья представляет собой отчет об анализе вредоносных программ, автором которого является Мостафа Эльшейми, специалист по реинжинирингу вредоносных программ и аналитику по анализу угроз, и в котором основное внимание уделяется трояну удаленного доступа (RAT) DarkComet. DarkComet, первоначально разработанный Жан-Пьером Лесюером в 2008 году, работает как скрытая вредоносная программа, которая позволяет злоумышленникам удаленно управлять системами, красть конфиденциальные данные и выполнять вредоносные действия. Вредоносная программа приобрела популярность благодаря своему удобному графическому интерфейсу, что привело к широкому использованию в кибератаках.

DarkComet использует различные методы, чтобы избежать обнаружения и сохранить контроль над зараженными системами. Он использует операции командной строки для изменения атрибутов файлов, что затрудняет обнаружение его компонентов. Вредоносная программа устанавливает связь с вредоносным доменом для удаленного управления и утечки данных. Он взаимодействует с API-интерфейсами Windows для изменения привилегий процессов, сбора информации об оборудовании и проверки системных настроек.

Одна ключевая функция, называемая sub_4735E8, позволяет DarkComet выполнять итерацию по внутренним данным, известным как DARKCOMET DATA, для извлечения определенных атрибутов, таких как домен C2, SID и значения мьютекса. Эта функция помогает скрыть ключевую информацию и гарантировать, что в системе одновременно будет запущен только один экземпляр вредоносной программы. Поместив файл с именем msdcsc.exe в определенный каталог и запустив его оттуда, DarkComet может избежать обнаружения средствами безопасности.

Чтобы поддерживать работоспособность в зараженных системах, DarkComet извлекает дескрипторы модулей для дальнейших манипуляций и функции для имитации пользовательского ввода, сбора данных и взаимодействия с дисплеем и буфером обмена. Он использует функции mouse_event и keybd_event для имитации действий мыши и клавиатуры, перехвата нажатий клавиш и манипулирования пользовательским вводом. Вредоносная программа может определять типы клавиатуры, перехватывать нажатия клавиш и получать доступ к данным на дисплее и в буфере обмена для извлечения или манипулирования.

DarkComet получает инструкции от своего сервера управления (C2) для выполнения удаленных задач, включая развертывание дополнительных вредоносных программ в зараженной системе. Возможности вредоносного ПО, включая изменение системных настроек, имитацию ввода и получение команд с сервера C2, делают его универсальным инструментом для злоумышленников при проведении целенаправленных кибератак.

В статье также рассказывается о пользе ANY.RUN - интерактивной платформы-песочницы, которая помогает специалистам по кибербезопасности анализировать вредоносные программы, нацеленные как на Windows, так и на Linux. Платформа упрощает анализ вредоносных программ, помогает быстро обнаруживать угрозы и предоставляет инструменты для изучения поведения вредоносных программ в режиме реального времени. В статье содержится призыв к специалистам по кибербезопасности использовать такие ресурсы для расширения своих возможностей в области анализа угроз и эффективного реагирования на инциденты.

#ParsedReport #CompletenessMedium
23-10-2024

ICS Threats: Malware Targeting OT? It s More Common Than You Think

https://www.forescout.com/blog/targeting-ot-security-ics-threats-malware

Report completeness: Medium

Threats:
Aisuru
Kaiten
Bashlite
Mirai
Industoyer2
Stuxnet
Havex_rat
Triton
Incontroller_tool
Cosmicenergy
Fuxnet
Frostygoop
Acidrain
Vpnfilter
Snake_ransomware
Findzip

Victims:
Ics, Iot devices, Modicon plcs, Steam gaming service

Industry:
Ics, Energy, Entertainment, Iot, Critical_infrastructure

Geo:
Italy, Japan, India

ChatGPT TTPs:
do not use without manual check
T1613, T1562.001, T1496

IOCs:
Hash: 47
Url: 29
IP: 16

Soft:
Twitter, Steam

Languages:
python, rust

Platforms:
x64, arm, x86

Links:
https://gist.github.com/zenware/ad80d30217cb523737b94c8e685ae85d

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущей угрозе вредоносных программ, нацеленных на операционные технологии (OT) и промышленные системы управления (ICS), с акцентом на увеличение активности ботнетов, нацеленных на устройства OT, использование учетных данных по умолчанию и повышенный риск для систем OT от случайных атак. В тексте подчеркивается необходимость того, чтобы организации защищали незащищенные устройства OT и ICS, обновляли учетные данные по умолчанию и отслеживали сети на предмет вредоносной активности для снижения этих рисков. В нем также обсуждается изменение тактики создателей вредоносных программ в сторону ориентации на OT-системы, растущее присутствие вредоносных программ, специфичных для OT, и уязвимости широко используемых устройств, таких как квантовые ПЛК Schneider Electric Modicon.
-----

Развивается вредоносное ПО, нацеленное на операционные технологии (OT) и промышленные системы управления (ICS), при этом кластеры ботнетов, использующие учетные данные по умолчанию, уделяют все большее внимание устройствам OT.

Недавние исследования выявили кластеры ботнетов, осуществляющих атаки на удаление данных в среде OT, что подчеркивает повышенный риск оппортунистических атак на системы OT.

Организациям рекомендуется обезопасить незащищенные устройства OT и ICS, обновить учетные данные по умолчанию и отслеживать сети на предмет вредоносной активности, чтобы снизить риски.

Появление ботнета Mirai в 2016 году привело к росту числа DDoS-ботнетов, заражающих встроенные системы, а также нацеленных на устройства Интернета вещей.

К числу известных вредоносных программ, специфичных для OT, относятся Industroyer2, INCONTROLLER, COSMICENERGY, Fuxnet и FrostyGoop/BUSTLEBERM, а некоторые варианты программ-вымогателей также нацелены на системы, связанные с OT.

Вредоносное ПО, специфичное для OT, часто использует технические протоколы, такие как Modbus, IEC-104 или S7, для взаимодействия с устройствами, с отличительными сигнатурами для идентификации.

Были обнаружены ботнеты, использующие учетные данные по умолчанию в ПЛК, таких как INTEGRATOR и Elsist SlimLine, и устройствах Интернета вещей, таких как IP-камеры и видеорегистраторы.

Были выявлены конкретные кластеры образцов ботнетов, нацеленных на квантовые ПЛК Schneider Electric Modicon, что указывает на уязвимости в широко распространенных устройствах, использующих протокол Modbus.

Инциденты, связанные с атаками вредоносных программ и хакеров на ПЛК Modicon, подчеркивают острую необходимость обеспечения безопасности этих устройств в критически важных инфраструктурных условиях.

#ParsedReport #CompletenessMedium
22-10-2024

Grandoreiro, the global trojan with grandiose ambitions

https://securelist.com/grandoreiro-banking-trojan/114257

Report completeness: Medium

Threats:
Grandoreiro
Dll_sideloading_technique

Victims:
Financial institutions, Banks, Crypto wallets

Industry:
Financial, Government

Geo:
Barbados, Colombia, Belize, Africa, Haiti, Brazil, Australia, Portugal, Honduras, Latin america, Kenya, Spain, Peru, Poland, Venezuela, Mozambique, Switzerland, Mexico, France, Angola, Asia, India, New zealand, Bahamas, Ethiopia, Nigeria, Uruguay, Brazilian, Costa rica, Malta, Spanish, Algeria, Ecuador, Argentina, Philippines, Mexican, Usa, Canada, United kingdom, Tanzania, South africa, Ghana, Belgium, Panama, Chile, Paraguay, Uganda, Dominican republic

ChatGPT TTPs:
do not use without manual check
T1027, T1566, T1057, T1497

IOCs:
File: 80
Path: 1
Hash: 6

Soft:
Windows Installer, Windows Defender, CHROME, FIREFOX, OUTLOOK, OPERA, CHROMIUM, AVASTBROWSER, VeraCrypt, Dropbox, have more...

Algorithms:
xor, aes-256, base64, aes, zip

Win API:
CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, IsDebuggerPresent

Languages:
delphi, jscript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, dump: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Grandoreiro, бразильский банковский троян, управляемый преступной группой, с 2016 года развивает свою тактику для проведения мошеннических банковских операций по всему миру, создавая значительный риск для финансовых учреждений. Несмотря на усилия различных организаций по борьбе с этой угрозой, Grandoreiro продолжает расширять свой охват, нацеливаясь на все большее число финансовых организаций и совершенствуя свои методы уклонения, чтобы избежать обнаружения с помощью систем безопасности. Операторы, стоящие за Grandoreiro, постоянно совершенствуют свои вредоносные программы, и сотрудничество между различными заинтересованными сторонами имеет решающее значение для смягчения последствий этой киберугрозы.
-----

Grandoreiro - это бразильский банковский троян, связанный с Tetrade umbrella и действующий как минимум с 2016 года для проведения мошеннических банковских операций по всему миру.

Несмотря на усилия Интерпола, правоохранительных органов и лаборатории Касперского, Grandoreiro продолжает представлять значительный риск из-за своей постоянно меняющейся тактики и того, что в последние годы удалось лишь частично нарушить ее работу.

Grandoreiro расширяет свой охват, охватывая все большее число финансовых организаций по всему миру: в 2023 году кампании охватят 40 стран и 900 банков, а в 2024 году - 45 стран, охватывая 1700 банков и 276 крипто-кошельков.

Вредоносная программа использует различные тактики распространения, включая фишинговые электронные письма, вредоносную рекламу и вложения на нескольких языках, и эволюционировала, чтобы избежать обнаружения с помощью таких методов, как бинарное заполнение, методы антианализа и дополнительные проверки средствами безопасности.

Троянец усовершенствовал свои методы шифрования с помощью многоуровневых подходов и продвинутых режимов шифрования, таких как кража зашифрованного текста, чтобы усложнить анализ и избежать обнаружения.

В ходе недавних кампаний Grandoreiro внедрила новые тактики уклонения, такие как захват и имитация движений мыши пользователя, чтобы обмануть системы безопасности, основанные на машинном обучении и поведенческой аналитике.

Операторы Grandoreiro постоянно совершенствуют троянскую программу, чтобы она была нацелена на финансовые учреждения по всему миру, что указывает на необходимость совместных усилий правоохранительных органов, компаний, занимающихся кибербезопасностью, и других заинтересованных сторон для смягчения угрозы.

#ParsedReport #CompletenessHigh
23-10-2024

Highlighting TA866/Asylum Ambuscade Activity Since 2021. Who is TA866?

https://blog.talosintelligence.com/highlighting-ta866-asylum-ambuscade

Report completeness: High

Actors/Campaigns:
Asylum_ambuscade (motivation: financially_motivated)
Ta866 (motivation: financially_motivated)
Ta571
Shadowsyndicate

Threats:
Warmcookie
Resident
Ahkbot
Wasabiseed
Cobalt_strike
Streamerrat
Rhadamanthys
Adfind_tool
Anydesk_tool
Teamviewer_tool
Seo_poisoning_technique
Nltest_tool
Icedid
Blackcat
Screenshotter
Looper
Hvnc_tool
Spear-phishing_technique
Dll_sideloading_technique

Industry:
Government

Geo:
Italy, Canada, United kingdom, Austria, Germany, Netherlands, Russian

TTPs:
Tactics: 8
Technics: 23

IOCs:
IP: 41
Command: 1
Path: 2
Url: 113
File: 8
Hash: 451
Domain: 13

Soft:
Microsoft Publisher, AutoHotKey, IrfanView, Internet Explorer, Mozilla Firefox

Languages:
powershell, javascript, python

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/10/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - об участнике киберугрозы TA866, известном как Asylum Ambuscade, и его сложных операциях по проникновению, сотрудничестве с другими участниками угроз, развитии набора инструментов, в первую очередь финансовой мотивации, но также и участии в деятельности, связанной со шпионажем, нацеленной в первую очередь на производство, правительство и финансовые услуги, и демонстрации терпения и адаптивность к корпоративным сетям.
-----

TA866, также известная как Asylum Ambuscade, является субъектом угроз, который активно проводит операции по проникновению, по крайней мере, с 2020 года. Они демонстрируют высокий уровень сложности в своих операциях, полагаясь как на обычные, так и на пользовательские инструменты для облегчения своей деятельности после взлома. Cisco Talos с уверенностью заявляет, что TA866 сотрудничает с другими участниками угроз на различных этапах их атак для достижения своих целей. Недавние действия, связанные с WarmCookie/BadSpace, связаны с TA866, а также с их ранее обнаруженными вторжениями после взлома. Примечательно, что WarmCookie, как полагают, разработан тем же злоумышленником, который отвечает за локальный бэкдор, обнаруженный при предыдущих вторжениях, связанных с TA866.

TA866 в первую очередь связан с финансово мотивированными вредоносными кампаниями, но также продемонстрировал способность участвовать в деятельности, связанной со шпионажем. Набор инструментов для борьбы с угрозами со временем менялся, и в 2023 году кампании по борьбе с вредоносными программами были сосредоточены на распространении вредоносного контента с помощью вредоносной рассылки спама или вредоносной рекламы. В TA866 используются такие инструменты, как WasabiSeed, ScreenShotter и AHK Bot, а также бэкдоры, такие как Resident, CSharp-Streamer-RAT и Cobalt Strike, для действий после взлома. Они используют такие утилиты, как AdFind и сетевые сканеры, для разведки скомпрометированных систем и развертывания решений удаленного доступа, таких как AnyDesk и Remote Utilities.

Цепочка заражения, связанная с TA866, обычно включает в себя несколько этапов внедрения пользовательского вредоносного ПО, которые служат различным целям сбора данных, разведки и определения важных целей в скомпрометированных средах. Злоумышленник проявляет терпение, часто откладывая доставку дополнительной полезной нагрузки и проводя обширные мероприятия по устранению неполадок после первоначальной компрометации системы. К отраслям, наиболее пострадавшим от TA866, относятся производство, государственные органы и финансовые службы, причем цели в основном расположены в Соединенных Штатах, Канаде и нескольких европейских странах.

Недавние наблюдения позволяют провести параллели между исторической активностью TA866 и кампаниями WarmCookie/BadSpace. Использование CSharp-Streamer-RAT в обеих группах мероприятий и сходство в генерации SSL-сертификатов указывают на вероятную связь между ними. Внедрение маяков Cobalt Strike, а также общие характеристики инфраструктуры с ShadowSyndicate еще больше укрепляют эти связи.

Процесс заражения, инициируемый TA866, обычно включает вредоносные программы для загрузки JavaScript, что приводит к развертыванию WasabiSeed, Screenshotter и AHK Bot. WasabiSeed выполняет функцию загрузчика дополнительной полезной информации, в то время как Screenshotter используется для захвата и передачи скриншотов с зараженных систем злоумышленнику. AHK Bot, семейство модульных вредоносных программ, использует сценарии автоматического нажатия клавиш для различных функций, таких как перечисление систем, регистрация нажатий клавиш, кража учетных данных, а также развертывание и удаление программного обеспечения для удаленного доступа.

TA866 демонстрирует всестороннее понимание уязвимостей системы и использует разнообразный набор инструментов и методик для достижения своих целей. Постоянное совершенствование инструментария и тактики подчеркивает их адаптивность и настойчивость в работе с корпоративными сетями в различных отраслях.

#ParsedReport #CompletenessLow
23-10-2024

Critical FortiManager Vulnerability Exploited in Zero-Day Attacks

https://www.secureblink.com/cyber-security-news/critical-forti-manager-vulnerability-exploited-in-zero-day-attacks

Report completeness: Low

Threats:
Fortijump_vuln
Supershell
Supply_chain_technique

Industry:
Government

CVEs:
CVE-2024-47575 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-27997 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le1.1.6, le1.2.13, le2.0.12, le7.0.9, le7.2.3)
- fortinet fortios (le6.0.16, le6.2.13, le6.4.12, le7.0.11, le7.2.4)


ChatGPT TTPs:
do not use without manual check
T1210, T1195

IOCs:
IP: 4

Soft:
Mastodon

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Обнаружение уязвимости нулевого дня, известной как FortiJump, в FortiManager от Fortinet выявило критическую угрозу безопасности, поскольку субъекты, представляющие угрозу национальному государству, используют ее для шпионажа через поставщиков управляемых услуг. Уязвимость позволяет злоумышленникам запускать код в системах FortiManager, потенциально подвергая риску брандмауэры FortiGate и нижестоящие сети. Обнаружение таких атак является сложной задачей из-за использования действительных сертификатов и легитимных протоколов. Fortinet посоветовала организациям проявлять бдительность, предусмотрела меры по смягчению последствий и подчеркнула важность оперативного решения проблем безопасности для предотвращения использования и снижения рисков.
-----

В FortiManager от Fortinet была обнаружена критическая уязвимость нулевого дня, помеченная как FortiJump и идентифицированная как CVE-2024-47575. Эта уязвимость активно используется злоумышленниками, представляющими угрозу национальным государствам, для ведения шпионажа через поставщиков управляемых услуг (MSP). Эксплойт позволяет злоумышленникам запускать произвольный код или команды в системах FortiManager, что потенциально может привести к компрометации управляемых брандмауэров FortiGate и нижестоящих сетей.

Несанкционированный доступ, обеспечиваемый этой уязвимостью, дает злоумышленникам контроль над управляемыми устройствами FortiGate, позволяя им манипулировать конфигурациями, внедрять вредоносные политики или отключать функции безопасности. Проблема усугубляется тем, что использование действительных сертификатов и легитимных протоколов затрудняет обнаружение таких атак. Fortinet не обнаружила никаких признаков установки вредоносного ПО или изменения конфигурации, что еще больше затрудняет организациям выявление компрометирующих факторов.

Fortinet указала на конкретные подозрительные IP-адреса, которые связаны с известными атаками, и призвала организации следить за подключениями с этих IP-адресов. Компания подчеркнула свою приверженность ответственному раскрытию информации, работая над защитой клиентов, предлагая меры по устранению уязвимости до того, как она будет обнародована. Fortinet сотрудничает с правительственными учреждениями и промышленными организациями в рамках их борьбы с этой угрозой.

Атаки на цепочки поставок представляют серьезную проблему в этом контексте, поскольку компрометация MSP может предоставить злоумышленникам доступ к нескольким клиентским сетям, усиливая последствия первоначального взлома. Также упоминается историческое пренебрежение, подчеркивающее, что предыдущие уязвимости, такие как CVE-2023-27997, остаются не устраненными во многих системах, что подчеркивает критический характер оперативного решения проблем безопасности.

Использование уязвимости CVE-2024-47575 в FortiManager от Fortinet опытными злоумышленниками подчеркивает настоятельную необходимость принятия организациями немедленных мер. Своевременное внесение исправлений, тщательный мониторинг и надежные методы обеспечения безопасности имеют решающее значение для снижения рисков, связанных с этой уязвимостью, и защиты от потенциальных атак.

#ParsedReport #CompletenessMedium
23-10-2024

Threat Spotlight: WarmCookie/BadSpace. What is WarmCookie?

https://blog.talosintelligence.com/warmcookie-analysis

Report completeness: Medium

Actors/Campaigns:
Ta866
Asylum_ambuscade

Threats:
Warmcookie
Streamerrat
Cobalt_strike
Resident
Bitsadmin_tool
Gozi
Ahkbot
Wasabiseed

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053.005, T1059.001, T1027, T1105, T1573, T1071, T1036

IOCs:
File: 1
Path: 1
Hash: 153
Domain: 14
IP: 10

Soft:
task scheduler, Windows Task Scheduler

Algorithms:
rc4, zip

Languages:
powershell, javascript, php

Platforms:
x64

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/10/

#ParsedReport #GeneratedSchema
Generated with GPT-4