#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) была предупреждена о серьезной угрозе кибербезопасности, связанной с массовыми электронными письмами, адресованными таким важным секторам, как государственные органы, промышленные предприятия и военные организации. В электронных письмах обсуждаются темы, связанные с интеграцией с сервисами Amazon, Microsoft и внедрением архитектуры "нулевого доверия" (ZTA), что создает серьезный риск потенциальных атак с использованием знакомых брендов и систем безопасности для обмана получателей и потенциального использования уязвимостей. Этот инцидент отслеживается под грифом UAC-0215, что настоятельно призывает специалистов по кибербезопасности оперативно отреагировать и сотрудничать для устранения угрозы.
-----

22 октября 2024 года Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) получила предупреждение о серьезной угрозе кибербезопасности, связанной с массовыми электронными письмами, адресованными государственным органам, ключевым промышленным предприятиям и военным формированиям.

В электронных письмах обсуждается интеграция с сервисами Amazon, Microsoft и внедрение архитектуры "нулевого доверия" (ZTA).

Угроза обозначена как UAC-0215 и вызывает опасения из-за затронутых целевых секторов.

Злоумышленники используют облачные сервисы, технологических гигантов, таких как Amazon и Microsoft, и системы безопасности, такие как ZTA, для обмана получателей.

Злоумышленники могут использовать уязвимости в платформах Amazon и Microsoft или выдавать себя за пользователей, чтобы обмануть жертв.

Ассоциируя свою деятельность с известными брендами, участники угроз стремятся повысить доверие к ним.

Упоминание ZTA указывает на потенциальное внимание к организациям, переходящим на эту модель безопасности.

ZTA требует строгой проверки личности и мониторинга устройств для предотвращения несанкционированного доступа.

Идентификатор отслеживания UAC-0215 позволяет CERT-UA осуществлять эффективный мониторинг и принимать ответные меры.

Организациям следует проявлять осторожность в отношении нежелательных электронных писем и сообщать о любых подозрительных действиях своим подразделениям по кибербезопасности или национальным сертификатам.

Аналитики должны отслеживать ситуацию, анализировать вредоносное содержимое электронной почты и сотрудничать с заинтересованными сторонами, чтобы понять масштабы и мотивы фишинговой кампании.

#ParsedReport #CompletenessLow
24-10-2024

Attackers Target Crypto Wallets Using Codeless Webflow Phishing Pages

https://www.netskope.com/blog/attackers-target-crypto-wallets-using-codeless-webflow-phishing-pages

Report completeness: Low

Actors/Campaigns:
Webflow_phishing

Victims:
Coinbase, Metamask, Phantom, Trezor, Bitbuy, Microsoft365

Industry:
Financial

Geo:
America, Asia

ChatGPT TTPs:
do not use without manual check
T1566.002, T1204.002, T1552.001

IOCs:
Url: 990

Soft:
Cloudflare R2

Wallets:
coinbase, metamask, trezor

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/blob/main/Phishing/Webflow/IOCs/README.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Лаборатория Netskope Threat Labs выявила всплеск фишинговых кампаний, нацеленных на криптокошельки и платформы корпоративной электронной почты, которые используют Webflow для создания убедительных и вводящих в заблуждение веб-сайтов. Эти кампании были нацелены на организации по всему миру, особенно в сфере финансовых услуг, банковского дела и технологий, что представляет серьезную угрозу безопасности конфиденциальных данных. Чтобы смягчить эти киберугрозы, частным лицам и организациям рекомендуется сохранять бдительность, применять такие меры безопасности, как регулярное обучение и многофакторная аутентификация, и своевременно сообщать о подозрительных действиях для борьбы с фишингом и крипто-мошенничеством, осуществляемыми с помощью таких платформ, как Webflow.
-----

Netskope Threat Labs сообщила о значительном увеличении фишингового трафика на платформы крипто-кошельков и корпоративной электронной почты через Webflow в период с апреля по сентябрь 2024 года.

Более 120 организаций по всему миру были нацелены на Северную Америку и Азию, особенно в сфере финансовых услуг, банковского дела и технологий.

Злоумышленники использовали Webflow для создания автономных фишинговых страниц и перенаправления жертв на внешние фишинговые сайты, используя возможности платформы.

Киберпреступники имитировали подлинные домашние страницы приложений, добавляя полностраничные скриншоты на фишинговые страницы, что усиливало обман.

Исследователи продемонстрировали простоту создания убедительных фишинговых сайтов с использованием Webflow без специальных знаний в области программирования, подчеркнув доступность угрозы.

Мошеннические веб-сайты выдавали себя за законные крипто-кошельки, чтобы получить фразы для восстановления данных жертв, которые имеют решающее значение для доступа к крипто-аккаунтам.

Жертвам предлагалось указать фразы для восстановления на поддельных страницах, и все варианты входа в систему в конечном итоге приводили к запросам злоумышленников на восстановление фраз.

Рекомендации включают регулярное обучение навыкам безопасности, надежную фильтрацию электронной почты, многофакторную аутентификацию и оперативное сообщение о подозрительных действиях для борьбы с этими развивающимися киберугрозами.

#ParsedReport #CompletenessLow
24-10-2024

FortiManager Zero-Day FortiJump Is Now Publicly Addressed (CVE-2024-47575)

https://socradar.io/fortimanager-zero-day-fortijump-is-now-publicly-addressed-cve-2024-47575

Report completeness: Low

Actors/Campaigns:
Unc5174

Threats:
Fortijump_vuln
Supershell

CVEs:
CVE-2024-47575 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1078.002

IOCs:
IP: 4

Soft:
Mastodon, BIG-IP

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в инструменте FortiManager от Fortinet существует критическая уязвимость CVE-2024-47575, также известная как FortiJump, которая активно используется при атаках нулевого дня. Этот недостаток позволяет злоумышленникам получать контроль над устройствами FortiManager, создавая значительные риски для взаимосвязанных брандмауэров и сетей FortiGate. Для организаций крайне важно своевременно вносить исправления в свои системы, чтобы предотвратить их использование и поддерживать устойчивость к кибербезопасности.
-----

Сообщество специалистов по кибербезопасности в настоящее время борется с критической уязвимостью в инструменте FortiManager от Fortinet, который обычно используется для управления брандмауэрами FortiGate в крупных сетях. Эта уязвимость, получившая название CVE-2024-47575 и получившая название FortiJump, активно использовалась при атаках нулевого дня, что вызывало опасения по поводу обработки информации до ее официального обнаружения.

23 октября 2024 года Fortinet официально признала уязвимость CVE-2024-47575, опубликовав консультацию, в которой подробно описывалось ее влияние на API FortiManager. При оценке серьезности 9,8 (Критический) по шкале CVSS этот недостаток представляет значительный риск. Было подтверждено, что уязвимость активно эксплуатировалась до выхода исправления. Использование CVE-2024-47575 позволяет злоумышленникам удаленно управлять устройствами FortiManager, что потенциально может привести к более масштабным угрозам во взаимосвязанных брандмауэрах и сетях FortiGate. Однако не было зарегистрировано ни одного случая вредоносных действий, таких как развертывание вредоносных программ, внедрение бэкдоров, изменение баз данных или модификация управляемых устройств в скомпрометированных системах.

Агентство по кибербезопасности и защите инфраструктуры (CISA) оперативно отреагировало после получения подтверждений и включило CVE-2024-47575 в свой каталог известных используемых уязвимостей (KEV). Этот шаг обязывает федеральные агентства устранить уязвимость путем исправления своих систем до истечения крайнего срока соблюдения требований - 13 ноября 2024 года.

Исследователь безопасности Бомонт (Beaumont) осветил уязвимость в недавнем сообщении в блоге, назвав ее FortiJump. Он подчеркнул, что протокол FortiGate to FortiManager (FGFM) является ключевым для эксплойта. Этот протокол облегчает обмен данными между устройствами FortiManager и FortiGate, но, как было обнаружено, имеет недостатки в аутентификации, которые могут использовать злоумышленники. Зарегистрировав вредоносное устройство FortiGate в FortiManager, злоумышленники могут получить контроль над управляемыми брандмауэрами и получить доступ к критически важным данным конфигурации. Несмотря на наличие базовых механизмов безопасности, злоумышленники могут обойти защиту, используя сертификаты от законных устройств FortiGate для регистрации своих вредоносных версий.

Уязвимость CVE-2024-47575 затрагивает несколько версий FortiManager и FortiManager Cloud, что требует немедленных действий по снижению рисков. Fortinet рекомендует пользователям обновиться до исправленных версий FortiManager, чтобы предотвратить их использование. Обновленные версии встроенного ПО содержат исправления этой уязвимости, подчеркивающие важность своевременного обновления системы для поддержания устойчивости к кибербезопасности.

#ParsedReport #CompletenessMedium
24-10-2024

Lazarus Exploits Google Chrome Zero-Day to Steal Cryptocurrency in DeTankZone Campaign (CVE-2024-4947)

https://socradar.io/lazarus-exploits-google-chrome-zero-day-to-steal-cryptocurrency-in-detankzone-campaign-cve-2024-4947

Report completeness: Medium

Actors/Campaigns:
Lazarus
Detankwar

Threats:
Volgmer
Spear-phishing_technique

Geo:
North korean, Russia

CVEs:
CVE-2024-4947 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<125.0.6422.60)

CVE-2024-10229 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-10231 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-10230 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1203, T1189, T1566

IOCs:
Domain: 2
Hash: 6

Soft:
Google Chrome, Chrome, Linux

Algorithms:
sha256, md5, sha1

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в киберугрозе, исходящей от северокорейской группы Lazarus APT, использующей уязвимость нулевого дня в Google Chrome (CVE-2024-4947) в рамках кампании, нацеленной на отдельных лиц в криптовалютном секторе с помощью поддельной игры DeFi под названием "DeTankZone". Атака, которая началась в начале 2024 года и была обнаружена в мае того же года, высветила сохраняющийся риск того, что APT нацелятся на уязвимые системы. Группа Lazarus использовала уязвимость для кражи ценных данных и обхода мер безопасности Chrome, продемонстрировав свои возможности в сочетании методов социальной инженерии, эксплуатации с нулевого дня и расширенного внедрения вредоносных программ для кражи криптовалют. В ответ Google выпустила исправления для недавно обнаруженных уязвимостей в Chrome для защиты от потенциальных атак. Понимание и мониторинг таких участников угроз, как Lazarus Group, необходимы организациям для защиты от таких сложных киберугроз.
-----

В начале 2024 года северокорейская Lazarus APT group использовала критическую уязвимость нулевого дня (CVE-2024-4947) в JavaScript-движке Google Chrome версии 8 для удаленного выполнения кода.

Атака была нацелена на отдельных лиц в секторе криптовалют с помощью поддельной игры с децентрализованными финансами (DeFi) под названием "DeTankZone".

Несмотря на то, что Google выпустила обновления для системы безопасности, атака оставалась активной с февраля по май 2024 года, демонстрируя сохраняющиеся риски, связанные с APTS.

Lazarus украл ценные данные, такие как файлы cookie, токены аутентификации, историю посещенных страниц и сохраненные пароли, обойдя "песочницу" Chrome версии 8, чтобы получить контроль над скомпрометированными системами.

Группа использовала вредоносный веб-сайт, detankzone.com замаскированный под игру DeFi, для скрытого использования уязвимости Chrome.

Lazarus продвигал поддельную игру на различных платформах, включая рекламу в социальных сетях, электронные письма с использованием фишинга и прямые сообщения, используя вредоносное ПО Manuscrypt.

Кампания продемонстрировала комбинацию социальной инженерии Lazarus Group, эксплойтов нулевого дня и продвинутых вредоносных программ, нацеленных на криптовалютные биржи.

В ответ Google выпустила исправления для новых уязвимостей в системе безопасности (CVE-2024-10229, CVE-2024-10230, CVE-2024-10231), затрагивающих расширения Chrome и движок JavaScript версии 8.

Мониторинг действующих лиц угроз, таких как Lazarus Group, необходим организациям для защиты от сложных киберугроз, используя такие ресурсы, как SOCRadar Threat Actor Intelligence, для получения подробной информации и разработки стратегий защиты.

#ParsedReport #CompletenessHigh
24-10-2024

Rekoobe Backdoor Discovered in Open Directory, Possibly Targeting TradingView Users

https://hunt.io/blog/rekoobe-backdoor-discovered-in-open-directory-possibly-targeting-tradingview-users

Report completeness: High

Actors/Campaigns:
Apt31 (motivation: cyber_espionage, information_theft)
Wayback

Threats:
Rekoobe_rootkit
Tinyshell
Nood_rat
Typosquatting_technique
Yakit_tool
Mitm_technique

Victims:
Tradingview users

Geo:
Hong kong

ChatGPT TTPs:
do not use without manual check
T1027, T1071, T1078, T1036

IOCs:
IP: 4
File: 2
Domain: 13
Hash: 3
Url: 16

Soft:
TradingView, Nginx, Linux

Algorithms:
sha256

Languages:
python

Links:
https://github.com/creaktive/tsh

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении бэкдора Rekoobe в открытом каталоге, потенциально нацеленного на пользователей TradingView, и связанных с ним действиях по кибершпионажу и атакам с использованием тайпсквоттинга, направленных на финансовые платформы, работающие под управлением Linux.
-----

Бэкдор Rekoobe, ранее использовавшийся APT31 (Zirconium) и другими участниками кибершпионажа, был обнаружен в открытом каталоге и потенциально нацелен на пользователей популярной платформы TradingView. Эта вредоносная программа, частично основанная на Tiny SHell, обладает усовершенствованным шифрованием и уникальными конфигурациями управления, позволяющими избежать обнаружения. В каталоге с IP-адресом 27.124.45.146 были найдены два образца Rekoobe, а также двоичные файлы с именами 10-13-x64.bin и 10-13x86.bin. Эти файлы обменивались данными с IP-адресом хостинга через порт 12345. Поведение двоичного файла na.elf имеет сходство с известными RAT, хотя для окончательного определения атрибуции требуется дальнейший анализ.

В ходе расследований было обнаружено несколько доменов, похожих на TradingView, что указывает на атаки с использованием тайпсквоттинга, направленные на то, чтобы обманом заставить пользователей невольно взаимодействовать с вредоносными сайтами. В этих доменах, таких как tradingviewll.com и tradingviewlll.com, были обнаружены признаки фишинга или схем социальной инженерии. Несмотря на то, что на момент обнаружения они были неактивны, их существование рядом с образцами Rekoobe свидетельствует о сложной попытке использовать финансовые платформы, которые в основном работают на Linux.

Дальнейший анализ IP-адресов, на которых размещались бэкдоры, выявил сеть взаимосвязанных серверов в Гонконге, имеющих схожие конфигурации и наличие файлов. Примечательно, что на IP-адресе 27.124.45.211 размещался аналогичный открытый каталог с идентичными файлами Rekoobe, что подтверждает взаимосвязанность наблюдаемой инфраструктуры. Наличие инструмента безопасности Yakit наряду с Rekoobe и доменами, использующими тайпосквоттинг, вызывает опасения по поводу потенциального злонамеренного использования законных инструментов кибербезопасности в неблаговидных целях. Изучая вредоносное ПО в открытых каталогах с помощью таких инструментов, как Hunt, специалисты по безопасности могут лучше понять инфраструктуру злоумышленников и выявить скрытые угрозы.

#ParsedReport #CompletenessMedium
25-10-2024

UAC-0218 weaponized accounts issue: Stealing files using HOMESTEEL (CERT-UA#11717)

https://cert.gov.ua/article/6281095

Report completeness: Medium

Actors/Campaigns:
Uac-0218

Threats:
Homesteel

Industry:
Government

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1204, T1027, T1083, T1041

IOCs:
File: 14
Hash: 16
Url: 12
Domain: 10
IP: 5
Registry: 1

Algorithms:
zip

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте подробно описывается кампания кибератак, обнаруженная CERT-UA в Украине, включающая вредоносные электронные письма, загрузку обманчивых файлов, команды PowerShell для утечки данных и сложную инфраструктуру, использующую специальные инструменты и технологии. Для осуществления своей деятельности злоумышленники используют прокси-сервер, скрипты PowerShell, определенные расширения файлов и веб-серверы на базе Python, подчеркивая важность обеспечения надежной защиты от возникающих угроз.
-----

Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) недавно была проинформирована о вредоносной кампании по электронной почте, направленной на пользователей с темами, связанными с "учетной записью" и "реквизитами", а также ссылкой, предположительно ведущей на eDisk для загрузки RAR-архивов с соответствующими названиями. Электронные письма предназначены для того, чтобы обманом заставить получателей загрузить вредоносные файлы. Злоумышленники используют прокси-сервер для атаки, предполагая, что он настроен на компьютере жертвы. Значения единого идентификатора ресурса (URI) в HTTP-запросах предоставляют полный путь к украденному файлу.

В ходе расследования CERT-UA обнаружила исполняемый файл, который по сути является самораспаковывающимся скомпилированным архивом. Этот файл содержит однострочную команду PowerShell, которая выполняет рекурсивный поиск в каталоге %USERPROFILE% файлов с определенными расширениями, включая "*.xls*", "*doc*", "*.pdf", "*.eml", "*.sqlite", "*.pst', и '*.txt'. Обнаруженная команда PowerShell затем передает эти файлы на указанный сервер, используя метод POST протокола HTTP. Значения URI в этих запросах также содержат полный путь к украденным файлам. Это демонстрирует намерение злоумышленников отфильтровать конфиденциальные файлы у жертв.

Злоумышленники, стоящие за этой кампанией, используют определенные характерные особенности своей инфраструктуры управления. В ней задействован регистратор доменных имен HostZealot, что позволяет предположить потенциальную возможность расследования или устранения последствий. Кроме того, злоумышленники настроили веб-сервер для получения украденных данных. Этот сервер реализован с использованием Python, о чем свидетельствует надпись "Python Software Foundation BaseHTTP 0.6". Эти сведения дают представление о технических настройках, используемых злоумышленниками.

Этой конкретной кампании присвоен идентификатор UAC-0218 для целей отслеживания. Этот идентификатор помогает отслеживать и анализировать аналогичные кибератаки, которые имеют общие характеристики или тактику. Связывая кампании атак с определенными идентификаторами, службы безопасности могут улучшить свои возможности по обнаружению и реагированию на них для лучшей защиты от подобных угроз.

Таким образом, CERT-UA выявил сложную кампанию кибератак, которая включает в себя вводящие в заблуждение электронные письма, загрузку вредоносных файлов, команды PowerShell для утечки данных и инфраструктуру управления, использующую специальные инструменты и технологии. Использование прокси-сервера, скриптов PowerShell, определенных расширений файлов и веб-серверов на базе Python - все это усложняет атаку. Организациям следует проявлять бдительность в отношении такой тактики и принимать надежные меры кибербезопасности для защиты от возникающих угроз.

#ParsedReport #CompletenessLow
25-10-2024

Understanding the Initial Stages of Web Shell and VPN Threats: An MXDR Analysis. MXDR case 1: A persistent web shell attack

https://www.trendmicro.com/en_us/research/24/j/understanding-the-initial-stages-of-web-shell-and-vpn-threats-an.html

Report completeness: Low

Threats:
Anydesk_tool
Impacket_tool
Secretsdump_tool
Wmiexecpy_tool
Zerologon_vuln
Wmiexec_tool
Efspotato_tool
Htran

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...

ChatGPT TTPs:
do not use without manual check
T1505.003, T1190, T1078, T1090.001, T1047, T1021.001, T1083, T1110.001, T1207, T1569.002, have more...

IOCs:
File: 11
Path: 1
Hash: 11

Algorithms:
sha1

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кибератаки с использованием веб-оболочек и компрометации VPN широко распространены в среде угроз, при этом злоумышленники используют многоуровневые стратегии для сохранения доступа к скомпрометированным системам. Поведенческий анализ, обнаружение аномалий и упреждающие меры кибербезопасности имеют решающее значение для борьбы с появляющимися киберугрозами и предотвращения серьезных последствий, таких как внедрение программ-вымогателей.
-----

Кибератаки с использованием веб-оболочек и компрометации VPN остаются распространенными в среде угроз, о чем свидетельствуют недавние инциденты, проанализированные Trend Micro MXDR. Злоумышленники применяют многоуровневую стратегию, используя веб-оболочки, программное обеспечение для туннелирования и средства удаленного доступа для обеспечения доступа к скомпрометированным системам. Веб-консоли обеспечивают интерактивный доступ к серверам, позволяя злоумышленникам осуществлять вредоносные действия и быстро адаптировать свою тактику. Компрометация учетных записей VPN позволяет злоумышленникам проникать в сети и избегать обнаружения, маскируя вредоносные действия под законные процессы.

Поведенческий анализ и обнаружение аномалий являются ключевыми компонентами в борьбе с развивающимися киберугрозами. Используя такие инструменты, как MXDR и возможности цифровой криминалистики, организации могут обнаруживать ранние признаки взлома, отслеживать ненормальное поведение и эффективно разрабатывать стратегии сдерживания и восстановления. В проанализированных инцидентах злоумышленники использовали сложные методы, такие как развертывание веб-оболочек и компрометация учетных записей VPN, чтобы получить несанкционированный доступ и перемещаться по сетям.

Веб-серверы часто становятся объектами эксплуатации из-за уязвимостей, неправильной настройки и непатченного программного обеспечения. Вредоносные веб-оболочки часто используются для компрометации серверов, предоставляя злоумышленникам шлюз для удаленного выполнения команд, установки вредоносного ПО, кражи данных или запуска дальнейших атак. В ходе инцидента, проанализированного Trend Micro, на сервер был загружен файл веб-оболочки, позволяющий злоумышленнику выполнять команды и, возможно, осуществлять управление с помощью подозрительного IP-адреса сервера. Были введены дополнительные средства для облегчения исходящего трафика, что указывает на сложную стратегию атаки.

При компрометации учетных записей VPN злоумышленники получают доступ с помощью таких методов, как фишинг или использование уязвимостей, для выполнения вредоносных действий в сети. Злоумышленники стремятся внедриться в систему и обойти средства защиты, используя скомпрометированные учетные записи для перемещения в другие стороны и развертывания дополнительной полезной нагрузки. Проведенный Trend Micro анализ выявил такие действия, как развертывание средств удаленного доступа, сканирование сети и попытки использования уязвимостей с повышением привилегий, что свидетельствует о настойчивости и изощренности злоумышленника.

Существенной проблемой в этих инцидентах было отсутствие журналов приложений, что затрудняло понимание векторов атак и выработку точных рекомендаций по обеспечению безопасности. Аудит безопасности и планирование реагирования на инциденты являются важными компонентами проактивной стратегии кибербезопасности, позволяющей организациям выявлять признаки компрометации на ранней стадии и укреплять свою защиту. Раннее обнаружение имеет решающее значение для предотвращения серьезных последствий, таких как развертывание программ-вымогателей, как это было продемонстрировано в ходе предыдущих атак, когда программы-вымогатели были развернуты вскоре после несанкционированного доступа к общедоступному RDP-узлу.

#ParsedReport #CompletenessMedium
25-10-2024

HeptaX: Unauthorized RDP Connections for Cyberespionage Operations

https://cyble.com/blog/heptax-unauthorized-rdp-connections-for-cyberespionage-operations

Report completeness: Medium

Actors/Campaigns:
Heptax (motivation: cyber_espionage)

Threats:
Chromepass_tool

Industry:
Healthcare

TTPs:
Tactics: 8
Technics: 11

IOCs:
File: 11
Registry: 3
Url: 12
Path: 1
Hash: 7

Soft:
Windows Defender

Algorithms:
zip, sha256, base64

Functions:
schReg

Win Services:
WebClient

Languages:
powershell

Platforms:
intel