#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в сотрудничестве между фирмами по кибербезопасности Mandiant и Fortinet в расследовании массового использования устройств FortiManager с помощью уязвимости, которая позволяет злоумышленникам выполнять произвольный код или команды. Был обнаружен кластер злоумышленников UNC5820, использующий эту уязвимость для утечки конфиденциальных данных конфигурации с устройств FortiGate, управляемых скомпрометированными устройствами FortiManager, что потенциально может привести к дальнейшим нарушениям в корпоративных сетях. Организации были проинформированы о превентивных мерах безопасности и стратегиях обнаружения угроз для снижения рисков, связанных с эксплойтом.
-----

В октябре 2024 года фирмы по кибербезопасности Mandiant и Fortinet совместно провели расследование массового использования устройств FortiManager. Уязвимость, идентифицированная как CVE-2024-47575 / FG-IR-24-423, позволяет злоумышленникам выполнять произвольный код или команды на уязвимых устройствах FortiManager, используя неавторизованное устройство FortiManager, управляемое злоумышленником. Исследователи обнаружили более 50 потенциально скомпрометированных устройств FortiManager в различных отраслях промышленности.

Еще 27 июня 2024 года Mandiant обнаружил кластер угроз, получивший название UNC5820, использующий уязвимость FortiManager. Программа UNC5820 нацелилась на устройства FortiManager для сбора и эксфильтрации данных конфигурации с устройств FortiGate, управляемых взломанным FortiManager. Эти данные включают подробную информацию о конфигурации управляемых устройств, учетные данные пользователей и пароли с хэшированием FortiOS256. Получив эти конфиденциальные данные, UNC5820 потенциально может еще больше скомпрометировать FortiManager, переключиться на управляемые устройства Fortinet и в конечном итоге нацелиться на корпоративную сеть.

В ходе анализа у Mandiant не было доступа к конкретным запросам, которые злоумышленник использовал для использования уязвимости в FortiManager. Кроме того, на тот момент не было никаких доказательств того, что UNC5820 использовал украденные данные конфигурации для перемещения по сети. Следовательно, исследователям не хватало достаточной информации, чтобы определить мотивы или местонахождение актера.

В качестве превентивной меры организациям было рекомендовано ограничить доступ к порталу администрирования FortiManager утвержденными внутренними IP-адресами, разрешить связь только между авторизованными устройствами FortiGate и FortiManager и запретить неизвестным устройствам FortiGate подключаться к FortiManager.

Чтобы расширить возможности обнаружения угроз и реагирования на них, командам безопасности было рекомендовано разработать поиск по журналам Fortiguard с использованием специальных индикаторов компрометации (IOCs). В частности, было рекомендовано осуществлять мониторинг подозрительных входящих и исходящих подключений, связанных с FortiManager, действиями по эксплуатации Fortinet с помощью UNC5820, а также распознавать трафик, отличный от HTTPS, и трафик управления по протоколу HTTPS. Кроме того, особое внимание было уделено созданию предупреждений, срабатывающих при наличии вредоносного идентификатора устройства Fortinet, с целью обеспечения высокоточного оповещения о потенциальных инцидентах безопасности.

#ParsedReport #CompletenessLow
24-10-2024

U.S. Department of Justice Indicts Hacktivist Group Anonymous Sudan for Prominent DDoS Attacks in 2023 and 2024

https://www.crowdstrike.com/en-us/blog/anonymous-sudan-hacktivist-group-ddos-indictment

Report completeness: Low

Actors/Campaigns:
Anonymous_sudans (motivation: government_sponsored, hacktivism, politically_motivated)
Opisrael (motivation: hacktivism)
Turk_hack_team (motivation: hacktivism)
Killnet (motivation: hacktivism)
Siegedsec (motivation: hacktivism)

Industry:
Aerospace, Critical_infrastructure, Telco, Financial, Healthcare, Government

Geo:
Sudan, United arab emirates, Russian, Uganda, Australian, India, Australia, United kingdom, Sweden, Israel, Nigeria, Chad, Egypt, France, Djibouti, Arab emirates, Kenya, Denmark

ChatGPT TTPs:
do not use without manual check
T1498, T1583, T1587

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа хактивистов Anonymous Sudan с января 2023 по март 2024 года проводила крупномасштабные распределенные атаки типа "отказ в обслуживании" (DDoS), нацеленные на широкий спектр секторов по всему миру. Группа сотрудничала с другими группами хактивистов, использовала передовые методы атак и имела различные мотивы, включая антиизраильские, религиозные и националистические настроения. В тексте подчеркивается важность анализа фактических данных разведки для понимания мотивов участников угроз, рассеивания ложных представлений о принадлежности к государству и подчеркивается разрушительный потенциал небольших, находчивых групп в цифровом пространстве.
-----

Группа хактивистов, известная как Anonymous Sudan, появилась в январе 2023 года и получила известность благодаря широкомасштабным распределенным атакам типа "отказ в обслуживании" (DDoS). Их деятельность включала в себя политически мотивированные атаки на крупные технологические компании и потенциальные альянсы с российскими группами хактивистов. Министерство юстиции США недавно обнародовало обвинительный акт против двух граждан Судана, обвиняемых в организации деятельности Anonymous Sudan, развенчивая теории о поддержке со стороны правительства. В обвинительном заключении названы имена братьев Ахмеда Салаха Юсифа Омера и Алаа Салаха Юсуфа Омера, описана их роль в разработке инфраструктуры атак и постановке задач для атак.

В период с января 2023 по март 2024 года Anonymous Sudan проводила различные DDoS-атаки по всему миру, сотрудничая с другими группами хактивистов, такими как Killnet, SiegedSec и Turk Hack Team. Они использовали платформы социальных сетей, в частности Telegram, чтобы взять на себя ответственность за атаки на нескольких языках и связаться с подписчиками. Бездействие группы с марта 2024 года совпало с действиями правоохранительных органов против ее членов, что свидетельствует о результативности совместных усилий.

Успех Anonymous Sudan в нарушении работы основных онлайн-сервисов был обусловлен специально созданной инфраструктурой атак, размещенной на серверах с высокой пропускной способностью, сложными методами обхода DDoS-атак и использованием уязвимых конечных точек API. Их цели охватывали такие секторы, как технологии, телекоммуникации, здравоохранение, научные круги, правительство, СМИ и финансы, с акцентом на критически важную инфраструктуру, такую как больницы, аэропорты, банки и телекоммуникационные провайдеры. Географически они были нацелены на организации в Израиле, ОАЭ, Индии, США, Австралии и различных европейских и африканских странах, что отражало различные мотивы, включая антиизраильские, религиозные и националистические настроения.

Мотивы группы, замаскированные религиозными или националистическими идеологиями, в основном сводились к стремлению к известности и привлечению внимания. Случай с Анонимным Суданом подчеркивает важность сбора фактических данных и тщательного анализа для понимания истинных мотивов лиц, представляющих угрозу, и развеивания ложных представлений о принадлежности к государству. Это подчеркивает разрушительный потенциал находчивых небольших групп в цифровом пространстве.

CrowdStrike Falcon Supervisor Intelligence Premium предоставляет подробные отчеты о таких противниках, как Anonymous Sudan, помогая компаниям укреплять защиту от киберугроз. Сотрудничество между компаниями, занимающимися кибербезопасностью, правоохранительными органами и лидерами отрасли остается ключевым в борьбе с продвинутыми противниками, такими как Anonymous Sudan.

#ParsedReport #CompletenessLow
24-10-2024

RDP configuration files as a means of obtaining remote access to a computer or "Rogue RDP" (CERT-UA#11690)

https://cert.gov.ua/article/6281076

Report completeness: Low

Actors/Campaigns:
Uac-0215

Victims:
State authorities, Enterprises, Military formations

Industry:
Military, Government

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1566

IOCs:
File: 1
Domain: 118
Email: 3
IP: 44
Hash: 23

Soft:
Remote Desktop Services

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) была предупреждена о серьезной угрозе кибербезопасности, связанной с массовыми электронными письмами, адресованными таким важным секторам, как государственные органы, промышленные предприятия и военные организации. В электронных письмах обсуждаются темы, связанные с интеграцией с сервисами Amazon, Microsoft и внедрением архитектуры "нулевого доверия" (ZTA), что создает серьезный риск потенциальных атак с использованием знакомых брендов и систем безопасности для обмана получателей и потенциального использования уязвимостей. Этот инцидент отслеживается под грифом UAC-0215, что настоятельно призывает специалистов по кибербезопасности оперативно отреагировать и сотрудничать для устранения угрозы.
-----

22 октября 2024 года Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) получила предупреждение о серьезной угрозе кибербезопасности, связанной с массовыми электронными письмами, адресованными государственным органам, ключевым промышленным предприятиям и военным формированиям.

В электронных письмах обсуждается интеграция с сервисами Amazon, Microsoft и внедрение архитектуры "нулевого доверия" (ZTA).

Угроза обозначена как UAC-0215 и вызывает опасения из-за затронутых целевых секторов.

Злоумышленники используют облачные сервисы, технологических гигантов, таких как Amazon и Microsoft, и системы безопасности, такие как ZTA, для обмана получателей.

Злоумышленники могут использовать уязвимости в платформах Amazon и Microsoft или выдавать себя за пользователей, чтобы обмануть жертв.

Ассоциируя свою деятельность с известными брендами, участники угроз стремятся повысить доверие к ним.

Упоминание ZTA указывает на потенциальное внимание к организациям, переходящим на эту модель безопасности.

ZTA требует строгой проверки личности и мониторинга устройств для предотвращения несанкционированного доступа.

Идентификатор отслеживания UAC-0215 позволяет CERT-UA осуществлять эффективный мониторинг и принимать ответные меры.

Организациям следует проявлять осторожность в отношении нежелательных электронных писем и сообщать о любых подозрительных действиях своим подразделениям по кибербезопасности или национальным сертификатам.

Аналитики должны отслеживать ситуацию, анализировать вредоносное содержимое электронной почты и сотрудничать с заинтересованными сторонами, чтобы понять масштабы и мотивы фишинговой кампании.

#ParsedReport #CompletenessLow
24-10-2024

Attackers Target Crypto Wallets Using Codeless Webflow Phishing Pages

https://www.netskope.com/blog/attackers-target-crypto-wallets-using-codeless-webflow-phishing-pages

Report completeness: Low

Actors/Campaigns:
Webflow_phishing

Victims:
Coinbase, Metamask, Phantom, Trezor, Bitbuy, Microsoft365

Industry:
Financial

Geo:
America, Asia

ChatGPT TTPs:
do not use without manual check
T1566.002, T1204.002, T1552.001

IOCs:
Url: 990

Soft:
Cloudflare R2

Wallets:
coinbase, metamask, trezor

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/blob/main/Phishing/Webflow/IOCs/README.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Лаборатория Netskope Threat Labs выявила всплеск фишинговых кампаний, нацеленных на криптокошельки и платформы корпоративной электронной почты, которые используют Webflow для создания убедительных и вводящих в заблуждение веб-сайтов. Эти кампании были нацелены на организации по всему миру, особенно в сфере финансовых услуг, банковского дела и технологий, что представляет серьезную угрозу безопасности конфиденциальных данных. Чтобы смягчить эти киберугрозы, частным лицам и организациям рекомендуется сохранять бдительность, применять такие меры безопасности, как регулярное обучение и многофакторная аутентификация, и своевременно сообщать о подозрительных действиях для борьбы с фишингом и крипто-мошенничеством, осуществляемыми с помощью таких платформ, как Webflow.
-----

Netskope Threat Labs сообщила о значительном увеличении фишингового трафика на платформы крипто-кошельков и корпоративной электронной почты через Webflow в период с апреля по сентябрь 2024 года.

Более 120 организаций по всему миру были нацелены на Северную Америку и Азию, особенно в сфере финансовых услуг, банковского дела и технологий.

Злоумышленники использовали Webflow для создания автономных фишинговых страниц и перенаправления жертв на внешние фишинговые сайты, используя возможности платформы.

Киберпреступники имитировали подлинные домашние страницы приложений, добавляя полностраничные скриншоты на фишинговые страницы, что усиливало обман.

Исследователи продемонстрировали простоту создания убедительных фишинговых сайтов с использованием Webflow без специальных знаний в области программирования, подчеркнув доступность угрозы.

Мошеннические веб-сайты выдавали себя за законные крипто-кошельки, чтобы получить фразы для восстановления данных жертв, которые имеют решающее значение для доступа к крипто-аккаунтам.

Жертвам предлагалось указать фразы для восстановления на поддельных страницах, и все варианты входа в систему в конечном итоге приводили к запросам злоумышленников на восстановление фраз.

Рекомендации включают регулярное обучение навыкам безопасности, надежную фильтрацию электронной почты, многофакторную аутентификацию и оперативное сообщение о подозрительных действиях для борьбы с этими развивающимися киберугрозами.

#ParsedReport #CompletenessLow
24-10-2024

FortiManager Zero-Day FortiJump Is Now Publicly Addressed (CVE-2024-47575)

https://socradar.io/fortimanager-zero-day-fortijump-is-now-publicly-addressed-cve-2024-47575

Report completeness: Low

Actors/Campaigns:
Unc5174

Threats:
Fortijump_vuln
Supershell

CVEs:
CVE-2024-47575 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1078.002

IOCs:
IP: 4

Soft:
Mastodon, BIG-IP

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в инструменте FortiManager от Fortinet существует критическая уязвимость CVE-2024-47575, также известная как FortiJump, которая активно используется при атаках нулевого дня. Этот недостаток позволяет злоумышленникам получать контроль над устройствами FortiManager, создавая значительные риски для взаимосвязанных брандмауэров и сетей FortiGate. Для организаций крайне важно своевременно вносить исправления в свои системы, чтобы предотвратить их использование и поддерживать устойчивость к кибербезопасности.
-----

Сообщество специалистов по кибербезопасности в настоящее время борется с критической уязвимостью в инструменте FortiManager от Fortinet, который обычно используется для управления брандмауэрами FortiGate в крупных сетях. Эта уязвимость, получившая название CVE-2024-47575 и получившая название FortiJump, активно использовалась при атаках нулевого дня, что вызывало опасения по поводу обработки информации до ее официального обнаружения.

23 октября 2024 года Fortinet официально признала уязвимость CVE-2024-47575, опубликовав консультацию, в которой подробно описывалось ее влияние на API FortiManager. При оценке серьезности 9,8 (Критический) по шкале CVSS этот недостаток представляет значительный риск. Было подтверждено, что уязвимость активно эксплуатировалась до выхода исправления. Использование CVE-2024-47575 позволяет злоумышленникам удаленно управлять устройствами FortiManager, что потенциально может привести к более масштабным угрозам во взаимосвязанных брандмауэрах и сетях FortiGate. Однако не было зарегистрировано ни одного случая вредоносных действий, таких как развертывание вредоносных программ, внедрение бэкдоров, изменение баз данных или модификация управляемых устройств в скомпрометированных системах.

Агентство по кибербезопасности и защите инфраструктуры (CISA) оперативно отреагировало после получения подтверждений и включило CVE-2024-47575 в свой каталог известных используемых уязвимостей (KEV). Этот шаг обязывает федеральные агентства устранить уязвимость путем исправления своих систем до истечения крайнего срока соблюдения требований - 13 ноября 2024 года.

Исследователь безопасности Бомонт (Beaumont) осветил уязвимость в недавнем сообщении в блоге, назвав ее FortiJump. Он подчеркнул, что протокол FortiGate to FortiManager (FGFM) является ключевым для эксплойта. Этот протокол облегчает обмен данными между устройствами FortiManager и FortiGate, но, как было обнаружено, имеет недостатки в аутентификации, которые могут использовать злоумышленники. Зарегистрировав вредоносное устройство FortiGate в FortiManager, злоумышленники могут получить контроль над управляемыми брандмауэрами и получить доступ к критически важным данным конфигурации. Несмотря на наличие базовых механизмов безопасности, злоумышленники могут обойти защиту, используя сертификаты от законных устройств FortiGate для регистрации своих вредоносных версий.

Уязвимость CVE-2024-47575 затрагивает несколько версий FortiManager и FortiManager Cloud, что требует немедленных действий по снижению рисков. Fortinet рекомендует пользователям обновиться до исправленных версий FortiManager, чтобы предотвратить их использование. Обновленные версии встроенного ПО содержат исправления этой уязвимости, подчеркивающие важность своевременного обновления системы для поддержания устойчивости к кибербезопасности.

#ParsedReport #CompletenessMedium
24-10-2024

Lazarus Exploits Google Chrome Zero-Day to Steal Cryptocurrency in DeTankZone Campaign (CVE-2024-4947)

https://socradar.io/lazarus-exploits-google-chrome-zero-day-to-steal-cryptocurrency-in-detankzone-campaign-cve-2024-4947

Report completeness: Medium

Actors/Campaigns:
Lazarus
Detankwar

Threats:
Volgmer
Spear-phishing_technique

Geo:
North korean, Russia

CVEs:
CVE-2024-4947 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<125.0.6422.60)

CVE-2024-10229 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-10231 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-10230 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1203, T1189, T1566

IOCs:
Domain: 2
Hash: 6

Soft:
Google Chrome, Chrome, Linux

Algorithms:
sha256, md5, sha1

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в киберугрозе, исходящей от северокорейской группы Lazarus APT, использующей уязвимость нулевого дня в Google Chrome (CVE-2024-4947) в рамках кампании, нацеленной на отдельных лиц в криптовалютном секторе с помощью поддельной игры DeFi под названием "DeTankZone". Атака, которая началась в начале 2024 года и была обнаружена в мае того же года, высветила сохраняющийся риск того, что APT нацелятся на уязвимые системы. Группа Lazarus использовала уязвимость для кражи ценных данных и обхода мер безопасности Chrome, продемонстрировав свои возможности в сочетании методов социальной инженерии, эксплуатации с нулевого дня и расширенного внедрения вредоносных программ для кражи криптовалют. В ответ Google выпустила исправления для недавно обнаруженных уязвимостей в Chrome для защиты от потенциальных атак. Понимание и мониторинг таких участников угроз, как Lazarus Group, необходимы организациям для защиты от таких сложных киберугроз.
-----

В начале 2024 года северокорейская Lazarus APT group использовала критическую уязвимость нулевого дня (CVE-2024-4947) в JavaScript-движке Google Chrome версии 8 для удаленного выполнения кода.

Атака была нацелена на отдельных лиц в секторе криптовалют с помощью поддельной игры с децентрализованными финансами (DeFi) под названием "DeTankZone".

Несмотря на то, что Google выпустила обновления для системы безопасности, атака оставалась активной с февраля по май 2024 года, демонстрируя сохраняющиеся риски, связанные с APTS.

Lazarus украл ценные данные, такие как файлы cookie, токены аутентификации, историю посещенных страниц и сохраненные пароли, обойдя "песочницу" Chrome версии 8, чтобы получить контроль над скомпрометированными системами.

Группа использовала вредоносный веб-сайт, detankzone.com замаскированный под игру DeFi, для скрытого использования уязвимости Chrome.

Lazarus продвигал поддельную игру на различных платформах, включая рекламу в социальных сетях, электронные письма с использованием фишинга и прямые сообщения, используя вредоносное ПО Manuscrypt.

Кампания продемонстрировала комбинацию социальной инженерии Lazarus Group, эксплойтов нулевого дня и продвинутых вредоносных программ, нацеленных на криптовалютные биржи.

В ответ Google выпустила исправления для новых уязвимостей в системе безопасности (CVE-2024-10229, CVE-2024-10230, CVE-2024-10231), затрагивающих расширения Chrome и движок JavaScript версии 8.

Мониторинг действующих лиц угроз, таких как Lazarus Group, необходим организациям для защиты от сложных киберугроз, используя такие ресурсы, как SOCRadar Threat Actor Intelligence, для получения подробной информации и разработки стратегий защиты.

#ParsedReport #CompletenessHigh
24-10-2024

Rekoobe Backdoor Discovered in Open Directory, Possibly Targeting TradingView Users

https://hunt.io/blog/rekoobe-backdoor-discovered-in-open-directory-possibly-targeting-tradingview-users

Report completeness: High

Actors/Campaigns:
Apt31 (motivation: cyber_espionage, information_theft)
Wayback

Threats:
Rekoobe_rootkit
Tinyshell
Nood_rat
Typosquatting_technique
Yakit_tool
Mitm_technique

Victims:
Tradingview users

Geo:
Hong kong

ChatGPT TTPs:
do not use without manual check
T1027, T1071, T1078, T1036

IOCs:
IP: 4
File: 2
Domain: 13
Hash: 3
Url: 16

Soft:
TradingView, Nginx, Linux

Algorithms:
sha256

Languages:
python

Links:
https://github.com/creaktive/tsh

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении бэкдора Rekoobe в открытом каталоге, потенциально нацеленного на пользователей TradingView, и связанных с ним действиях по кибершпионажу и атакам с использованием тайпсквоттинга, направленных на финансовые платформы, работающие под управлением Linux.
-----

Бэкдор Rekoobe, ранее использовавшийся APT31 (Zirconium) и другими участниками кибершпионажа, был обнаружен в открытом каталоге и потенциально нацелен на пользователей популярной платформы TradingView. Эта вредоносная программа, частично основанная на Tiny SHell, обладает усовершенствованным шифрованием и уникальными конфигурациями управления, позволяющими избежать обнаружения. В каталоге с IP-адресом 27.124.45.146 были найдены два образца Rekoobe, а также двоичные файлы с именами 10-13-x64.bin и 10-13x86.bin. Эти файлы обменивались данными с IP-адресом хостинга через порт 12345. Поведение двоичного файла na.elf имеет сходство с известными RAT, хотя для окончательного определения атрибуции требуется дальнейший анализ.

В ходе расследований было обнаружено несколько доменов, похожих на TradingView, что указывает на атаки с использованием тайпсквоттинга, направленные на то, чтобы обманом заставить пользователей невольно взаимодействовать с вредоносными сайтами. В этих доменах, таких как tradingviewll.com и tradingviewlll.com, были обнаружены признаки фишинга или схем социальной инженерии. Несмотря на то, что на момент обнаружения они были неактивны, их существование рядом с образцами Rekoobe свидетельствует о сложной попытке использовать финансовые платформы, которые в основном работают на Linux.

Дальнейший анализ IP-адресов, на которых размещались бэкдоры, выявил сеть взаимосвязанных серверов в Гонконге, имеющих схожие конфигурации и наличие файлов. Примечательно, что на IP-адресе 27.124.45.211 размещался аналогичный открытый каталог с идентичными файлами Rekoobe, что подтверждает взаимосвязанность наблюдаемой инфраструктуры. Наличие инструмента безопасности Yakit наряду с Rekoobe и доменами, использующими тайпосквоттинг, вызывает опасения по поводу потенциального злонамеренного использования законных инструментов кибербезопасности в неблаговидных целях. Изучая вредоносное ПО в открытых каталогах с помощью таких инструментов, как Hunt, специалисты по безопасности могут лучше понять инфраструктуру злоумышленников и выявить скрытые угрозы.

#ParsedReport #CompletenessMedium
25-10-2024

UAC-0218 weaponized accounts issue: Stealing files using HOMESTEEL (CERT-UA#11717)

https://cert.gov.ua/article/6281095

Report completeness: Medium

Actors/Campaigns:
Uac-0218

Threats:
Homesteel

Industry:
Government

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1204, T1027, T1083, T1041

IOCs:
File: 14
Hash: 16
Url: 12
Domain: 10
IP: 5
Registry: 1

Algorithms:
zip

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4