#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Prometei, сложный ботнет, используемый в основном для майнинга криптовалют и кражи учетных данных, активно заражает системы по всему миру посредством целенаправленных атак методом грубой силы и использования уязвимостей. Исследование внутренней работы Prometei выявило ее сложные методы, настойчивость и необходимость в упреждающих стратегиях обнаружения и реагирования для эффективного устранения угрозы. Благодаря интеграции сервисов MXDR и использованию таких ресурсов, как аналитические отчеты и информация об угрозах, пользователи могут повысить свои возможности защиты и реагирования на сложные угрозы, такие как Prometei.
-----

Prometei, сложная ботнет-сеть, активно внедряется в системы с помощью целенаправленных атак методом грубой силы. Данное исследование, проведенное при поддержке Trend Vision One, раскрывает внутреннюю работу Prometei, чтобы помочь пользователям понять и эффективно устранить эту угрозу. Ботнет, являющийся частью более крупной сети, позволяющей удаленно управлять зараженными машинами и внедрять вредоносное ПО, в основном используется для майнинга криптовалют и кражи учетных данных. К началу 2023 года Prometei взломала более 10 000 систем по всему миру, активно присутствуя в таких странах, как Бразилия, Индонезия и Турция.

Для заражения систем Prometei использует уязвимости, такие как BlueKeep и уязвимости Microsoft Exchange Server. Он использует сценарии PowerShell для извлечения полезной нагрузки, а также функции самообновления для уклонения. Prometei также использует алгоритм генерации доменов (DGA) для своей инфраструктуры управления (C&C) и использует различные методы для поддержания контроля над зараженными устройствами и адаптации к защитным мерам, таким как использование веб-сервера Apache в комплекте с веб-оболочкой PHP для обеспечения сохраняемости.

В ходе конкретного расследования подозрительные попытки входа в систему, исходящие с внешних IP-адресов, связанных с Prometei, сигнализировали о потенциальной атаке методом перебора, нацеленной на сеть. После успешного входа в систему Prometei распространился по системе, используя уязвимости в протоколах RDP и SMB. Основной двоичный файл ботнета, sqhost.exe, удалил дополнительные компоненты, подключился к C&C серверам и выполнил такие действия, как манипулирование системными службами, добавление правил брандмауэра и сбор системной информации.

Процедура установки Prometei включает в себя действия-приманки при распаковке основного кода ботнета, проверке существующих установок, создании необходимых папок и разделов реестра и настройке служб для сохранения. Ботнет также использует различные бэкдорные команды, специализированные модули для сбора учетных данных, майнинга полезных данных и даже имеет клиент Tor для связи с C &C серверами, избегая определенных регионов.

Наше расследование выявило сложность и живучесть Prometei в опасных условиях, которые быстро распространяются с помощью WMI и тактики боковых перемещений. Участники угроз, стоящие за Prometei, вероятно, русскоязычные люди, имеют культурные связи, очевидные по языковым особенностям и поведению в отношении целей. Благодаря интеграции сервисов MXDR наше расследование получило возможность мониторинга в режиме реального времени для упреждающего обнаружения вредоносных действий Prometei и реагирования на них.

Для борьбы с появляющимися киберугрозами, такими как Prometei, клиенты Trend Micro могут использовать аналитические отчеты и информацию об угрозах в Trend Micro Vision One. Эти ресурсы предоставляют исчерпывающую информацию об участниках угроз, вредоносных действиях и методах, позволяющих обеспечить проактивную защиту, снизить риски и разработать эффективные стратегии реагирования. Это глубокое погружение в результаты MXDR, полученные компанией Prometei, подчеркивает критическую важность раннего обнаружения и реагирования на сложные угрозы с использованием таких решений, как Trend Vision One.

#ParsedReport #CompletenessLow
24-10-2024

CSI Forensics: Unraveling Kubernetes Crime Scenes

https://sysdig.com/blog/csi-forensics-unraveling-kubernetes-crime-scenes

Report completeness: Low

Threats:
Portscan_tool

ChatGPT TTPs:
do not use without manual check
T1071, T1046

IOCs:
File: 3
IP: 2

Soft:
sudo

Languages:
perl

Links:
https://github.com/checkpoint-restore/checkpointctl

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в использовании функции Kubernetes k8s checkpoint наряду с компонентами Falco для автоматизации создания снимков контейнеров в сценариях цифровой криминалистики и реагирования на инциденты (DFIR), уделяя особое внимание обнаружению и реагированию на вредоносные действия в контейнерных средах, а также выделяя передовые инструменты криминалистики для расширения возможностей анализа киберугроз.
-----

В статье рассматривается использование функции Kubernetes, известной как k8s checkpoint, в сочетании с компонентами Falco для автоматизации создания моментальных снимков контейнеров для цифровой криминалистики и анализа реагирования на инциденты (DFIR). Используя Falco, Falcosidekick и Argo, можно настроить механизм реагирования для выполнения контрольной точки K8s при срабатывании определенного особо вредоносного правила Falco, что позволяет проводить дальнейший анализ скомпрометированных контейнеров.

С другой стороны, в статье рассматривается развертывание чат-бота IRC в контейнере, который подключается к серверу управления (C2), подчеркивая актуальность использования такой тактики в современных киберкампаниях, нацеленных на контейнерные сервисы. И наоборот, в целях защиты основное внимание уделяется обнаружению вредоносных подключений и реагированию на них путем запуска механизма реагирования Kubernetes для выполнения контрольной точки при запуске вредоносного Perl-бот-скрипта в контейнере. В статье подчеркивается важность выявления вредоносных действий и подключений для эффективного устранения угроз.

Подчеркивается важность изучения содержимого контейнеров с контрольными точками, в частности, изучения дерева процессов для выявления таких деталей, как текущие TCP-соединения с вредоносными серверами, установленные с помощью таких вредоносных процессов, как systemd. Собранный контент в контрольной точке предоставляет ценную информацию для криминалистического анализа, включая изучение переменных среды и результатов выполнения, связанных с вредоносными процессами.

Кроме того, в статье подчеркивается потенциал использования проверки и восстановления контейнеров для динамического анализа поведения вредоносных программ в изолированных средах. Восстанавливая контрольные точки в контролируемых настройках, аналитики могут проактивно анализировать выполнение вредоносных программ, соблюдая при этом строгие меры безопасности для предотвращения утечки содержимого контейнера и повышения привилегий. Подчеркивается важность настройки параметров компьютера, защиты конфиденциальных данных и использования соответствующих инструментов, таких как Sysdig для перехвата системных вызовов и Logray для анализа событий, для получения информации о вредоносных действиях в контейнерах на низком уровне.

Представлена практическая демонстрация, в которой Sysdig с открытым исходным кодом используется для записи перехватов системных вызовов во время выполнения контейнера, что позволяет детально отслеживать выполнение вредоносных программ после восстановления. Logray, аналог Wireshark для сетевого трафика, используется для фильтрации захваченных событий и анализа действий по сканированию портов, инициированных скомпрометированным Perl-ботом, нацеленным на определенные IP-адреса. Этот всесторонний анализ демонстрирует эффективность использования контрольных точек для контейнеров и передовых инструментов судебной экспертизы для выявления вредоносных действий в контейнерных средах и реагирования на них, расширяя возможности разведки киберугроз.

#ParsedReport #CompletenessLow
24-10-2024

Operation Overload Impersonates Media to Influence 2024 US Election

https://go.recordedfuture.com/hubfs/reports/ta-ru-2024-1023.pdf

Report completeness: Low

Actors/Campaigns:
Overload (motivation: propaganda, disinformation)
Storm-1679
Doppelgnger

Threats:
Typosquatting_technique

Victims:
Media organizations, Fact-checkers, Researchers, Public, Major us enterprises, Academic sources, Public sector entities

Industry:
Telco, Military, Government, Healthcare

Geo:
Russia, Ukraine, Asia, French, Norwegian, Russian, Usa, America, Deutsche, New york, Israel, Indian, France, Los angeles, Ukrainian, American

ChatGPT TTPs:
do not use without manual check
T1555, T1585, T1566.001, T1566.002, T1027

IOCs:
Domain: 1
IP: 1

Soft:
Telegram, Instagram, outlook

Functions:
Short

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что "Операция Перегрузка" - это сложная и хорошо финансируемая операция влияния при поддержке России, нацеленная на президентские выборы в Соединенных Штатах в 2024 году. Он использует различные тактики обмана, такие как недостоверные новости, поддельный контент для проверки фактов и материалы, созданные с помощью искусственного интеллекта, для распространения ложных сообщений и манипулирования общественным мнением. Цель операции - спровоцировать опасения по поводу политического насилия, посеять раскол и подорвать доверие к демократическому процессу, выдавая себя за надежные источники и используя социальные сети. Снижение этих рисков требует скоординированных усилий средств массовой информации, исследователей и политиков по укреплению процедур проверки фактов, совместной работы по выявлению операций скрытого влияния и повышению осведомленности общественности об активных кампаниях по дезинформации.
-----

Операция "Перегрузка" - это поддерживаемая Россией операция по оказанию влияния, активно нацеленная на президентские выборы в Соединенных Штатах в 2024 году.

Он использует такие тактики, как недостоверные новости, поддельный контент для проверки фактов, переработанные медиа-материалы и контент, созданный с помощью искусственного интеллекта, чтобы обмануть медиа-организации, проверяющих факты, исследователей и общественность.

Цель операции - внедрить вредоносные материалы в основной политический дискурс, используя огромные ресурсы для проведения расследований и постоянно распространяя их в социальных сетях с помощью бот-сетей.

Он нацелен на вице-президента Камалу Харрис и бывшего президента Дональда Трампа, чтобы спровоцировать опасения по поводу политического насилия, посеять раскол и подорвать доверие к демократическому процессу.

Для снижения рисков, связанных с перегрузкой в работе, решающее значение имеют скоординированные усилия средств массовой информации, исследователей и политиков, включая усиление процедур проверки фактов и повышение осведомленности общественности о кампаниях по дезинформации.

Тактика, используемая Operation Overload, включает в себя выдачу себя за средства массовой информации, использование голоса за кадром, сгенерированного искусственным интеллектом, использование QR-кодов, распространение ложных заявлений о кандидатах, использование социальных разногласий и манипулирование общественным дискурсом.

Цель проекта - привлечь внимание специалистов по проверке фактов и исследователей за счет использования контента, созданного с помощью искусственного интеллекта, и олицетворения бренда, что подчеркивает его сложный и хорошо финансируемый характер.

Его стратегии направлены на манипулирование общественным мнением, провоцирование разногласий и подрыв доверия к демократическим процессам, что требует бдительного мониторинга и принятия контрмер для защиты целостности демократических процессов и общественного доверия.

#ParsedReport #CompletenessMedium
24-10-2024

WrnRAT disguised as a gambling game

https://asec.ahnlab.com/ko/84013

Report completeness: Medium

Threats:
Wrnrat

Geo:
Korean

ChatGPT TTPs:
do not use without manual check
T1105, T1204, T1059.007, T1027, T1560.002, T1005

IOCs:
File: 4
Hash: 5
Url: 5
Domain: 5
IP: 1

Soft:
Internet Explorer, PyInstaller

Algorithms:
md5

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Аналитический центр безопасности AhnLab выявил новую угрозу, связанную с распространением вредоносного кода, замаскированного под популярные азартные игры, для заражения систем пользователей RAT (троян удаленного доступа) под названием WrnRAT, что позволяет злоумышленникам захватить контроль, украсть конфиденциальную информацию и потенциально манипулировать результатами с целью получения финансовой выгоды. Для распространения вредоносного ПО злоумышленники используют различные маскировки и платформы распространения, при этом атака носит целенаправленный характер и, возможно, исходит из корейского региона или нацелена на него. Стратегии предотвращения включают отказ от загрузки программного обеспечения из ненадежных источников и поддержание актуального программного обеспечения для обеспечения безопасности.
-----

Аналитический центр безопасности AhnLab (ASEC) выявил новую угрозу, при которой вредоносный код распространяется под видом популярных азартных игр, таких как Бадук, Матч и Холдем. Злоумышленник создал поддельную домашнюю страницу, которая выглядит как азартная игра, и когда пользователи загружают устройство для доступа к игре, в их систему устанавливается вредоносный код под названием WrnRAT. Этот код позволяет злоумышленнику получить контроль над зараженной системой и украсть конфиденциальную информацию. WrnRAT, по-видимому, был создан злоумышленником специально для этой цели, на что указывает уникальная строка, использованная при его разработке.

Злоумышленники также распространяли вредоносное ПО под видом программы для оптимизации работы компьютера, демонстрируя свою способность использовать различные маскировки для достижения потенциальных жертв. Для распространения вредоносного программного обеспечения использовались такие платформы, как HFS. Предполагается, что первоначально установленная полезная нагрузка представляет собой пакетную вредоносную программу, которая затем настраивает программу-дроппер для дальнейшего развертывания. Примечательно, что пакетный скрипт содержит комментарии на корейском языке, указывающие на возможный источник или целевой регион атаки.

Вредоносная программа dropper развертывается с такими именами, как "Installer2.exe", ""Installer3.exe", ""installerABAB.exe" и т.д., и разрабатывается с использованием платформы .NET framework. При запуске dropper создает программу запуска и запускает WrnRAT через нее, а затем самоудаляется, чтобы избежать обнаружения. WrnRAT маскируется под "iexplorer.exe" в пути, замаскированном под Internet Explorer. Он написан на Python и распространяется в виде исполняемого файла с помощью PyInstaller. Основная функция WrnRAT заключается в захвате и передаче экрана пользователя, но также включает в себя возможности сбора базовой системной информации и завершения определенных процессов. Кроме того, злоумышленник разрабатывает другие вредоносные программы для установки брандмауэра, что потенциально может обеспечить его контроль над зараженными системами.

Мотивами злоумышленников, по-видимому, является финансовая выгода, они нацелены на пользователей азартных игр с целью получения ценной информации, такой как скриншоты, которые могут быть использованы в незаконных целях. Отслеживая игровой процесс пользователей, злоумышленники потенциально могут манипулировать результатами или извлекать дополнительные финансовые ресурсы у лиц, занимающихся незаконной азартной деятельностью. Чтобы снизить риск, связанный с этими вредоносными действиями, пользователям рекомендуется воздерживаться от загрузки установщиков из сомнительных или несанкционированных источников. Также рекомендуется постоянно обновлять программное обеспечение для обеспечения безопасности, например, версию 3, до последней версии для активной защиты от заражения вредоносными программами.

#ParsedReport #CompletenessLow
23-10-2024

RAT malware that operates as a Discord Bot

https://asec.ahnlab.com/ko/84041

Report completeness: Low

Threats:
Pysilon_rat
Discord_c2_technique

ChatGPT TTPs:
do not use without manual check
T1105, T1027, T1546.001, T1497.001, T1005, T1056.001

Soft:
Discord, Telegram, PyInstaller

Languages:
python, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что функциональными возможностями Discord-бота можно злоупотреблять для создания и распространения вредоносных программ-троянцев удаленного доступа (RAT), как, например, в случае с PySilon. Это вредоносное ПО позволяет злоумышленникам выполнять вредоносные действия в скомпрометированных системах, включая сбор информации, запись аудио и видео и шифрование файлов. Интеграция логики защиты от виртуальных машин затрудняет обнаружение в виртуализированных средах. Общий доступ к исходному коду вредоносного ПО позволяет злоумышленникам легко внедрять аналогичные вредоносные функции в своих ботов, создавая значительный риск для пользователей, которые могут неосознанно установить такое вредоносное ПО.
-----

Discord Bot - это универсальная программа, предназначенная для автоматизации задач на созданных пользователями серверах, предлагающая такие функции, как управление сервером, автоматические ответы на сообщения, поддержка игр, воспроизведение музыки и уведомления. Эти боты обычно реализованы на таких языках, как Python и JavaScript, и взаимодействуют с серверами Discord через Discord API. Конкретный случай, известный как PySilon, связан с внедрением троянской программы удаленного доступа (RAT) с использованием бота Discord. Полный исходный код этой вредоносной программы доступен на Github, а также существуют сообщества, такие как домашняя страница и сервер Telegram, посвященные этой угрозе.

PySilon Builder позволяет выполнять настройку, вводя идентификатор сервера, информацию о токене бота для разработки Discord-бота, а также указывая путь к реестру и имя для установки системы. Как только эти данные будут включены в предоставленный код на Python, разработчик сгенерирует исполняемый файл (.exe) с помощью PyInstaller.

После запуска вредоносной программы RAT в системе она обеспечивает постоянство, самореплицируясь в папке пользователя, как показано на рисунке 4, и регистрируясь в системном ключе запуска для автоматического запуска при запуске ПК. Злоумышленник может настроить имя папки для саморепликации. Кроме того, в вредоносную программу встроена логика защиты от виртуальной машины (ВМ), которая идентифицирует среду виртуальной машины по определенным именам файлов или процессов, чтобы предотвратить выполнение ее функций в виртуализированной среде.

После установки злоумышленник может выполнять различные вредоносные действия, отдавая команды в чате скомпрометированного канала. Основные функциональные возможности вредоносного ПО, с точки зрения злоумышленника, включают:.

**Команда захвата:** Собирает информацию из зараженной системы.

** Возможности записи:** Позволяет записывать аудио и видео с зараженных компьютеров, используя модули Python, такие как pyautogui, numpy, imageio и sounddevice.

** Шифрование файлов:** Файлы шифруются с расширением .pysilon; никаких отдельных уведомлений о требовании выкупа не генерируется.

Постоянно появляются проекты, подобные PySilon, которые используют Discord для реализации вредоносных функций RAT. Благодаря раскрытию исходного кода злоумышленники могут легко интегрировать такое вредоносное ПО в своих собственных ботов, маскируя их под, казалось бы, законные приложения с полезными функциями. Более того, передача данных происходит через официальные серверы Discord, используемые для обычной работы ботов, что затрудняет обнаружение вредоносного ПО пользователями. В качестве меры предосторожности пользователям следует проявлять осторожность при установке ботов или приложений из ненадежных источников, чтобы снизить риск проникновения вредоносного ПО.

#ParsedReport #CompletenessLow
24-10-2024

LinkedIn bots and spear phishers target job seekers

https://www.malwarebytes.com/blog/cybercrime/2024/10/linkedin-bots-and-spear-phishers-target-job-seekers

Report completeness: Low

Industry:
Financial

Geo:
Korean, North korea

ChatGPT TTPs:
do not use without manual check
T1566.002, T1585.001, T1110.001

IOCs:
Url: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что LinkedIn, наряду с другими платформами социальных сетей, сталкивается с проблемами, связанными с ботами, нацеленными на определенные ключевые слова и хэштеги, что приводит к сбоям в работе пользователей и значительным рискам для безопасности, включая попытки фишинга. В тексте также освещаются различные мошеннические схемы, связанные с ботами в LinkedIn, и подчеркивается важность принятия оперативных мер в случае, если вы становитесь жертвой мошенничества, а также применения усиленных мер безопасности, таких как пароли доступа, для борьбы с киберугрозами.
-----

LinkedIn, как и многие другие платформы социальных сетей, сталкивается с проблемами, связанными с ботами, которые нацелены на определенные ключевые слова и хэштеги, такие как "Меня уволили" или "#opentowork". Эти боты не только нарушают работу пользователей, но и представляют серьезную угрозу безопасности. Особую обеспокоенность вызывают попытки кастомизированного фишинга, когда мошеннические аккаунты подключаются к жертвам, используя премиум-функцию электронной почты LinkedIn для сбора личной информации. Боты широко распространены в различных отраслях, включая рекламу, музыку, социальные сети и игры, что побуждает некоторые компании сосредоточиться на борьбе с ними. Влияние ботов может варьироваться от простой помехи до влияния на общественное мнение, содействия мошенничеству и многого другого.

После волны спама в LinkedIn платформа приняла меры, удалив многие подозрительные аккаунты и комментарии, хотя точный метод удаления остается неясным. Примером изощренной попытки фишинга может служить предполагаемый рекрутер Amazon по имени "Кей Поппе", который использовал индивидуальный подход, основанный на профиле работы жертвы, чтобы обманом заставить ее посетить поддельную страницу LinkedIn. В ходе попытки фишинга использовалось средство сокращения ссылок, связанное с текущим местоположением жертвы, чтобы перенаправить ее на страницу, на которой размещен фишинговый набор, предназначенный для сбора учетных данных Google. Преступники разработали методы, подобные инструментарию Rockstar2FA "фишинг как услуга", для обхода систем двухфакторной аутентификации, подчеркивая важность использования безопасных методов аутентификации, таких как OTP-приложения, вместо проверки на основе SMS.

Многие боты в LinkedIn связаны с мошенническими схемами, такими как мошенничество с авансовыми платежами или предложения о работе, которые кажутся слишком привлекательными, чтобы быть правдой, потенциально вовлекая людей в незаконную деятельность по незнанию. Целенаправленные фишинговые атаки наносят вред не только отдельным лицам, но и создают риски для их работодателей, поскольку компрометация одного человека может стать точкой входа во всю организацию. Внедрение паролей - формы аутентификации, направленной на снижение уязвимости к фишинговым атакам за счет устранения необходимости в паролях или кодах посредством обмена частными и публичными ключами, - подчеркивает продолжающиеся усилия по усилению мер безопасности против киберугроз.

В случае, если вы стали жертвой мошенничества, рекомендуется незамедлительно принять меры. Пострадавшим следует отслеживать свои учетные записи на предмет необычных изменений, выполнить комплексную перезагрузку пароля, предупредить свой банк и компанию, выпускающую кредитные карты, и сообщить своим контактным лицам о возможных мошеннических сообщениях, отправляемых от их имени. Эти упреждающие меры необходимы для смягчения последствий киберугроз и обеспечения личной и организационной безопасности на таких платформах, как LinkedIn.

#ParsedReport #CompletenessLow
24-10-2024

Investigating FortiManager Zero-Day Exploitation (CVE-2024-47575)

https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575

Report completeness: Low

Actors/Campaigns:
Unc5820

CVEs:
CVE-2024-47575 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1210, T1003

IOCs:
IP: 7
Email: 1
File: 2
Hash: 1

Algorithms:
md5, gzip

Platforms:
intel

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в сотрудничестве между фирмами по кибербезопасности Mandiant и Fortinet в расследовании массового использования устройств FortiManager с помощью уязвимости, которая позволяет злоумышленникам выполнять произвольный код или команды. Был обнаружен кластер злоумышленников UNC5820, использующий эту уязвимость для утечки конфиденциальных данных конфигурации с устройств FortiGate, управляемых скомпрометированными устройствами FortiManager, что потенциально может привести к дальнейшим нарушениям в корпоративных сетях. Организации были проинформированы о превентивных мерах безопасности и стратегиях обнаружения угроз для снижения рисков, связанных с эксплойтом.
-----

В октябре 2024 года фирмы по кибербезопасности Mandiant и Fortinet совместно провели расследование массового использования устройств FortiManager. Уязвимость, идентифицированная как CVE-2024-47575 / FG-IR-24-423, позволяет злоумышленникам выполнять произвольный код или команды на уязвимых устройствах FortiManager, используя неавторизованное устройство FortiManager, управляемое злоумышленником. Исследователи обнаружили более 50 потенциально скомпрометированных устройств FortiManager в различных отраслях промышленности.

Еще 27 июня 2024 года Mandiant обнаружил кластер угроз, получивший название UNC5820, использующий уязвимость FortiManager. Программа UNC5820 нацелилась на устройства FortiManager для сбора и эксфильтрации данных конфигурации с устройств FortiGate, управляемых взломанным FortiManager. Эти данные включают подробную информацию о конфигурации управляемых устройств, учетные данные пользователей и пароли с хэшированием FortiOS256. Получив эти конфиденциальные данные, UNC5820 потенциально может еще больше скомпрометировать FortiManager, переключиться на управляемые устройства Fortinet и в конечном итоге нацелиться на корпоративную сеть.

В ходе анализа у Mandiant не было доступа к конкретным запросам, которые злоумышленник использовал для использования уязвимости в FortiManager. Кроме того, на тот момент не было никаких доказательств того, что UNC5820 использовал украденные данные конфигурации для перемещения по сети. Следовательно, исследователям не хватало достаточной информации, чтобы определить мотивы или местонахождение актера.

В качестве превентивной меры организациям было рекомендовано ограничить доступ к порталу администрирования FortiManager утвержденными внутренними IP-адресами, разрешить связь только между авторизованными устройствами FortiGate и FortiManager и запретить неизвестным устройствам FortiGate подключаться к FortiManager.

Чтобы расширить возможности обнаружения угроз и реагирования на них, командам безопасности было рекомендовано разработать поиск по журналам Fortiguard с использованием специальных индикаторов компрометации (IOCs). В частности, было рекомендовано осуществлять мониторинг подозрительных входящих и исходящих подключений, связанных с FortiManager, действиями по эксплуатации Fortinet с помощью UNC5820, а также распознавать трафик, отличный от HTTPS, и трафик управления по протоколу HTTPS. Кроме того, особое внимание было уделено созданию предупреждений, срабатывающих при наличии вредоносного идентификатора устройства Fortinet, с целью обеспечения высокоточного оповещения о потенциальных инцидентах безопасности.

#ParsedReport #CompletenessLow
24-10-2024

U.S. Department of Justice Indicts Hacktivist Group Anonymous Sudan for Prominent DDoS Attacks in 2023 and 2024

https://www.crowdstrike.com/en-us/blog/anonymous-sudan-hacktivist-group-ddos-indictment

Report completeness: Low

Actors/Campaigns:
Anonymous_sudans (motivation: government_sponsored, hacktivism, politically_motivated)
Opisrael (motivation: hacktivism)
Turk_hack_team (motivation: hacktivism)
Killnet (motivation: hacktivism)
Siegedsec (motivation: hacktivism)

Industry:
Aerospace, Critical_infrastructure, Telco, Financial, Healthcare, Government

Geo:
Sudan, United arab emirates, Russian, Uganda, Australian, India, Australia, United kingdom, Sweden, Israel, Nigeria, Chad, Egypt, France, Djibouti, Arab emirates, Kenya, Denmark

ChatGPT TTPs:
do not use without manual check
T1498, T1583, T1587

Soft:
Telegram