#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в инструменте FortiManager от Fortinet существует критическая уязвимость CVE-2024-47575, также известная как FortiJump, которая активно используется при атаках нулевого дня. Этот недостаток позволяет злоумышленникам получать контроль над устройствами FortiManager, создавая значительные риски для взаимосвязанных брандмауэров и сетей FortiGate. Для организаций крайне важно своевременно вносить исправления в свои системы, чтобы предотвратить их использование и поддерживать устойчивость к кибербезопасности.
-----

Сообщество специалистов по кибербезопасности в настоящее время борется с критической уязвимостью в инструменте FortiManager от Fortinet, который обычно используется для управления брандмауэрами FortiGate в крупных сетях. Эта уязвимость, получившая название CVE-2024-47575 и получившая название FortiJump, активно использовалась при атаках нулевого дня, что вызывало опасения по поводу обработки информации до ее официального обнаружения.

23 октября 2024 года Fortinet официально признала уязвимость CVE-2024-47575, опубликовав консультацию, в которой подробно описывалось ее влияние на API FortiManager. При оценке серьезности 9,8 (Критический) по шкале CVSS этот недостаток представляет значительный риск. Было подтверждено, что уязвимость активно эксплуатировалась до выхода исправления. Использование CVE-2024-47575 позволяет злоумышленникам удаленно управлять устройствами FortiManager, что потенциально может привести к более масштабным угрозам во взаимосвязанных брандмауэрах и сетях FortiGate. Однако не было зарегистрировано ни одного случая вредоносных действий, таких как развертывание вредоносных программ, внедрение бэкдоров, изменение баз данных или модификация управляемых устройств в скомпрометированных системах.

Агентство по кибербезопасности и защите инфраструктуры (CISA) оперативно отреагировало после получения подтверждений и включило CVE-2024-47575 в свой каталог известных используемых уязвимостей (KEV). Этот шаг обязывает федеральные агентства устранить уязвимость путем исправления своих систем до истечения крайнего срока соблюдения требований - 13 ноября 2024 года.

Исследователь безопасности Бомонт (Beaumont) осветил уязвимость в недавнем сообщении в блоге, назвав ее FortiJump. Он подчеркнул, что протокол FortiGate to FortiManager (FGFM) является ключевым для эксплойта. Этот протокол облегчает обмен данными между устройствами FortiManager и FortiGate, но, как было обнаружено, имеет недостатки в аутентификации, которые могут использовать злоумышленники. Зарегистрировав вредоносное устройство FortiGate в FortiManager, злоумышленники могут получить контроль над управляемыми брандмауэрами и получить доступ к критически важным данным конфигурации. Несмотря на наличие базовых механизмов безопасности, злоумышленники могут обойти защиту, используя сертификаты от законных устройств FortiGate для регистрации своих вредоносных версий.

Уязвимость CVE-2024-47575 затрагивает несколько версий FortiManager и FortiManager Cloud, что требует немедленных действий по снижению рисков. Fortinet рекомендует пользователям обновиться до исправленных версий FortiManager, чтобы предотвратить их использование. Обновленные версии встроенного ПО содержат исправления этой уязвимости, подчеркивающие важность своевременного обновления системы для поддержания устойчивости к кибербезопасности.

#ParsedReport #CompletenessMedium
24-10-2024

Lazarus Exploits Google Chrome Zero-Day to Steal Cryptocurrency in DeTankZone Campaign (CVE-2024-4947)

https://socradar.io/lazarus-exploits-google-chrome-zero-day-to-steal-cryptocurrency-in-detankzone-campaign-cve-2024-4947

Report completeness: Medium

Actors/Campaigns:
Lazarus
Detankwar

Threats:
Volgmer
Spear-phishing_technique

Geo:
North korean, Russia

CVEs:
CVE-2024-4947 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<125.0.6422.60)

CVE-2024-10229 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-10231 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-10230 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1203, T1189, T1566

IOCs:
Domain: 2
Hash: 6

Soft:
Google Chrome, Chrome, Linux

Algorithms:
sha256, md5, sha1

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в киберугрозе, исходящей от северокорейской группы Lazarus APT, использующей уязвимость нулевого дня в Google Chrome (CVE-2024-4947) в рамках кампании, нацеленной на отдельных лиц в криптовалютном секторе с помощью поддельной игры DeFi под названием "DeTankZone". Атака, которая началась в начале 2024 года и была обнаружена в мае того же года, высветила сохраняющийся риск того, что APT нацелятся на уязвимые системы. Группа Lazarus использовала уязвимость для кражи ценных данных и обхода мер безопасности Chrome, продемонстрировав свои возможности в сочетании методов социальной инженерии, эксплуатации с нулевого дня и расширенного внедрения вредоносных программ для кражи криптовалют. В ответ Google выпустила исправления для недавно обнаруженных уязвимостей в Chrome для защиты от потенциальных атак. Понимание и мониторинг таких участников угроз, как Lazarus Group, необходимы организациям для защиты от таких сложных киберугроз.
-----

В начале 2024 года северокорейская Lazarus APT group использовала критическую уязвимость нулевого дня (CVE-2024-4947) в JavaScript-движке Google Chrome версии 8 для удаленного выполнения кода.

Атака была нацелена на отдельных лиц в секторе криптовалют с помощью поддельной игры с децентрализованными финансами (DeFi) под названием "DeTankZone".

Несмотря на то, что Google выпустила обновления для системы безопасности, атака оставалась активной с февраля по май 2024 года, демонстрируя сохраняющиеся риски, связанные с APTS.

Lazarus украл ценные данные, такие как файлы cookie, токены аутентификации, историю посещенных страниц и сохраненные пароли, обойдя "песочницу" Chrome версии 8, чтобы получить контроль над скомпрометированными системами.

Группа использовала вредоносный веб-сайт, detankzone.com замаскированный под игру DeFi, для скрытого использования уязвимости Chrome.

Lazarus продвигал поддельную игру на различных платформах, включая рекламу в социальных сетях, электронные письма с использованием фишинга и прямые сообщения, используя вредоносное ПО Manuscrypt.

Кампания продемонстрировала комбинацию социальной инженерии Lazarus Group, эксплойтов нулевого дня и продвинутых вредоносных программ, нацеленных на криптовалютные биржи.

В ответ Google выпустила исправления для новых уязвимостей в системе безопасности (CVE-2024-10229, CVE-2024-10230, CVE-2024-10231), затрагивающих расширения Chrome и движок JavaScript версии 8.

Мониторинг действующих лиц угроз, таких как Lazarus Group, необходим организациям для защиты от сложных киберугроз, используя такие ресурсы, как SOCRadar Threat Actor Intelligence, для получения подробной информации и разработки стратегий защиты.

#ParsedReport #CompletenessHigh
24-10-2024

Rekoobe Backdoor Discovered in Open Directory, Possibly Targeting TradingView Users

https://hunt.io/blog/rekoobe-backdoor-discovered-in-open-directory-possibly-targeting-tradingview-users

Report completeness: High

Actors/Campaigns:
Apt31 (motivation: cyber_espionage, information_theft)
Wayback

Threats:
Rekoobe_rootkit
Tinyshell
Nood_rat
Typosquatting_technique
Yakit_tool
Mitm_technique

Victims:
Tradingview users

Geo:
Hong kong

ChatGPT TTPs:
do not use without manual check
T1027, T1071, T1078, T1036

IOCs:
IP: 4
File: 2
Domain: 13
Hash: 3
Url: 16

Soft:
TradingView, Nginx, Linux

Algorithms:
sha256

Languages:
python

Links:
https://github.com/creaktive/tsh

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении бэкдора Rekoobe в открытом каталоге, потенциально нацеленного на пользователей TradingView, и связанных с ним действиях по кибершпионажу и атакам с использованием тайпсквоттинга, направленных на финансовые платформы, работающие под управлением Linux.
-----

Бэкдор Rekoobe, ранее использовавшийся APT31 (Zirconium) и другими участниками кибершпионажа, был обнаружен в открытом каталоге и потенциально нацелен на пользователей популярной платформы TradingView. Эта вредоносная программа, частично основанная на Tiny SHell, обладает усовершенствованным шифрованием и уникальными конфигурациями управления, позволяющими избежать обнаружения. В каталоге с IP-адресом 27.124.45.146 были найдены два образца Rekoobe, а также двоичные файлы с именами 10-13-x64.bin и 10-13x86.bin. Эти файлы обменивались данными с IP-адресом хостинга через порт 12345. Поведение двоичного файла na.elf имеет сходство с известными RAT, хотя для окончательного определения атрибуции требуется дальнейший анализ.

В ходе расследований было обнаружено несколько доменов, похожих на TradingView, что указывает на атаки с использованием тайпсквоттинга, направленные на то, чтобы обманом заставить пользователей невольно взаимодействовать с вредоносными сайтами. В этих доменах, таких как tradingviewll.com и tradingviewlll.com, были обнаружены признаки фишинга или схем социальной инженерии. Несмотря на то, что на момент обнаружения они были неактивны, их существование рядом с образцами Rekoobe свидетельствует о сложной попытке использовать финансовые платформы, которые в основном работают на Linux.

Дальнейший анализ IP-адресов, на которых размещались бэкдоры, выявил сеть взаимосвязанных серверов в Гонконге, имеющих схожие конфигурации и наличие файлов. Примечательно, что на IP-адресе 27.124.45.211 размещался аналогичный открытый каталог с идентичными файлами Rekoobe, что подтверждает взаимосвязанность наблюдаемой инфраструктуры. Наличие инструмента безопасности Yakit наряду с Rekoobe и доменами, использующими тайпосквоттинг, вызывает опасения по поводу потенциального злонамеренного использования законных инструментов кибербезопасности в неблаговидных целях. Изучая вредоносное ПО в открытых каталогах с помощью таких инструментов, как Hunt, специалисты по безопасности могут лучше понять инфраструктуру злоумышленников и выявить скрытые угрозы.

#ParsedReport #CompletenessMedium
25-10-2024

UAC-0218 weaponized accounts issue: Stealing files using HOMESTEEL (CERT-UA#11717)

https://cert.gov.ua/article/6281095

Report completeness: Medium

Actors/Campaigns:
Uac-0218

Threats:
Homesteel

Industry:
Government

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1204, T1027, T1083, T1041

IOCs:
File: 14
Hash: 16
Url: 12
Domain: 10
IP: 5
Registry: 1

Algorithms:
zip

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте подробно описывается кампания кибератак, обнаруженная CERT-UA в Украине, включающая вредоносные электронные письма, загрузку обманчивых файлов, команды PowerShell для утечки данных и сложную инфраструктуру, использующую специальные инструменты и технологии. Для осуществления своей деятельности злоумышленники используют прокси-сервер, скрипты PowerShell, определенные расширения файлов и веб-серверы на базе Python, подчеркивая важность обеспечения надежной защиты от возникающих угроз.
-----

Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) недавно была проинформирована о вредоносной кампании по электронной почте, направленной на пользователей с темами, связанными с "учетной записью" и "реквизитами", а также ссылкой, предположительно ведущей на eDisk для загрузки RAR-архивов с соответствующими названиями. Электронные письма предназначены для того, чтобы обманом заставить получателей загрузить вредоносные файлы. Злоумышленники используют прокси-сервер для атаки, предполагая, что он настроен на компьютере жертвы. Значения единого идентификатора ресурса (URI) в HTTP-запросах предоставляют полный путь к украденному файлу.

В ходе расследования CERT-UA обнаружила исполняемый файл, который по сути является самораспаковывающимся скомпилированным архивом. Этот файл содержит однострочную команду PowerShell, которая выполняет рекурсивный поиск в каталоге %USERPROFILE% файлов с определенными расширениями, включая "*.xls*", "*doc*", "*.pdf", "*.eml", "*.sqlite", "*.pst', и '*.txt'. Обнаруженная команда PowerShell затем передает эти файлы на указанный сервер, используя метод POST протокола HTTP. Значения URI в этих запросах также содержат полный путь к украденным файлам. Это демонстрирует намерение злоумышленников отфильтровать конфиденциальные файлы у жертв.

Злоумышленники, стоящие за этой кампанией, используют определенные характерные особенности своей инфраструктуры управления. В ней задействован регистратор доменных имен HostZealot, что позволяет предположить потенциальную возможность расследования или устранения последствий. Кроме того, злоумышленники настроили веб-сервер для получения украденных данных. Этот сервер реализован с использованием Python, о чем свидетельствует надпись "Python Software Foundation BaseHTTP 0.6". Эти сведения дают представление о технических настройках, используемых злоумышленниками.

Этой конкретной кампании присвоен идентификатор UAC-0218 для целей отслеживания. Этот идентификатор помогает отслеживать и анализировать аналогичные кибератаки, которые имеют общие характеристики или тактику. Связывая кампании атак с определенными идентификаторами, службы безопасности могут улучшить свои возможности по обнаружению и реагированию на них для лучшей защиты от подобных угроз.

Таким образом, CERT-UA выявил сложную кампанию кибератак, которая включает в себя вводящие в заблуждение электронные письма, загрузку вредоносных файлов, команды PowerShell для утечки данных и инфраструктуру управления, использующую специальные инструменты и технологии. Использование прокси-сервера, скриптов PowerShell, определенных расширений файлов и веб-серверов на базе Python - все это усложняет атаку. Организациям следует проявлять бдительность в отношении такой тактики и принимать надежные меры кибербезопасности для защиты от возникающих угроз.

#ParsedReport #CompletenessLow
25-10-2024

Understanding the Initial Stages of Web Shell and VPN Threats: An MXDR Analysis. MXDR case 1: A persistent web shell attack

https://www.trendmicro.com/en_us/research/24/j/understanding-the-initial-stages-of-web-shell-and-vpn-threats-an.html

Report completeness: Low

Threats:
Anydesk_tool
Impacket_tool
Secretsdump_tool
Wmiexecpy_tool
Zerologon_vuln
Wmiexec_tool
Efspotato_tool
Htran

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...

ChatGPT TTPs:
do not use without manual check
T1505.003, T1190, T1078, T1090.001, T1047, T1021.001, T1083, T1110.001, T1207, T1569.002, have more...

IOCs:
File: 11
Path: 1
Hash: 11

Algorithms:
sha1

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кибератаки с использованием веб-оболочек и компрометации VPN широко распространены в среде угроз, при этом злоумышленники используют многоуровневые стратегии для сохранения доступа к скомпрометированным системам. Поведенческий анализ, обнаружение аномалий и упреждающие меры кибербезопасности имеют решающее значение для борьбы с появляющимися киберугрозами и предотвращения серьезных последствий, таких как внедрение программ-вымогателей.
-----

Кибератаки с использованием веб-оболочек и компрометации VPN остаются распространенными в среде угроз, о чем свидетельствуют недавние инциденты, проанализированные Trend Micro MXDR. Злоумышленники применяют многоуровневую стратегию, используя веб-оболочки, программное обеспечение для туннелирования и средства удаленного доступа для обеспечения доступа к скомпрометированным системам. Веб-консоли обеспечивают интерактивный доступ к серверам, позволяя злоумышленникам осуществлять вредоносные действия и быстро адаптировать свою тактику. Компрометация учетных записей VPN позволяет злоумышленникам проникать в сети и избегать обнаружения, маскируя вредоносные действия под законные процессы.

Поведенческий анализ и обнаружение аномалий являются ключевыми компонентами в борьбе с развивающимися киберугрозами. Используя такие инструменты, как MXDR и возможности цифровой криминалистики, организации могут обнаруживать ранние признаки взлома, отслеживать ненормальное поведение и эффективно разрабатывать стратегии сдерживания и восстановления. В проанализированных инцидентах злоумышленники использовали сложные методы, такие как развертывание веб-оболочек и компрометация учетных записей VPN, чтобы получить несанкционированный доступ и перемещаться по сетям.

Веб-серверы часто становятся объектами эксплуатации из-за уязвимостей, неправильной настройки и непатченного программного обеспечения. Вредоносные веб-оболочки часто используются для компрометации серверов, предоставляя злоумышленникам шлюз для удаленного выполнения команд, установки вредоносного ПО, кражи данных или запуска дальнейших атак. В ходе инцидента, проанализированного Trend Micro, на сервер был загружен файл веб-оболочки, позволяющий злоумышленнику выполнять команды и, возможно, осуществлять управление с помощью подозрительного IP-адреса сервера. Были введены дополнительные средства для облегчения исходящего трафика, что указывает на сложную стратегию атаки.

При компрометации учетных записей VPN злоумышленники получают доступ с помощью таких методов, как фишинг или использование уязвимостей, для выполнения вредоносных действий в сети. Злоумышленники стремятся внедриться в систему и обойти средства защиты, используя скомпрометированные учетные записи для перемещения в другие стороны и развертывания дополнительной полезной нагрузки. Проведенный Trend Micro анализ выявил такие действия, как развертывание средств удаленного доступа, сканирование сети и попытки использования уязвимостей с повышением привилегий, что свидетельствует о настойчивости и изощренности злоумышленника.

Существенной проблемой в этих инцидентах было отсутствие журналов приложений, что затрудняло понимание векторов атак и выработку точных рекомендаций по обеспечению безопасности. Аудит безопасности и планирование реагирования на инциденты являются важными компонентами проактивной стратегии кибербезопасности, позволяющей организациям выявлять признаки компрометации на ранней стадии и укреплять свою защиту. Раннее обнаружение имеет решающее значение для предотвращения серьезных последствий, таких как развертывание программ-вымогателей, как это было продемонстрировано в ходе предыдущих атак, когда программы-вымогатели были развернуты вскоре после несанкционированного доступа к общедоступному RDP-узлу.

#ParsedReport #CompletenessMedium
25-10-2024

HeptaX: Unauthorized RDP Connections for Cyberespionage Operations

https://cyble.com/blog/heptax-unauthorized-rdp-connections-for-cyberespionage-operations

Report completeness: Medium

Actors/Campaigns:
Heptax (motivation: cyber_espionage)

Threats:
Chromepass_tool

Industry:
Healthcare

TTPs:
Tactics: 8
Technics: 11

IOCs:
File: 11
Registry: 3
Url: 12
Path: 1
Hash: 7

Soft:
Windows Defender

Algorithms:
zip, sha256, base64

Functions:
schReg

Win Services:
WebClient

Languages:
powershell

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 7, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
В тексте описывается обнаружение продолжающейся кампании кибератак под названием "HeptaX", проводимой лабораториями Кибл-исследований и разведки (CRIL). Злоумышленники используют вредоносные файлы LNK, PowerShell и скрипты BAT в сложной многоэтапной цепочке атак, чтобы создать учетную запись администратора, изменить настройки удаленного рабочего стола для несанкционированного доступа и потенциально скомпрометировать учетные записи жертв. Кампания в первую очередь нацелена на сферу здравоохранения с помощью фишинговых электронных писем, при этом злоумышленники получают доступ к удаленному рабочему столу для таких вредоносных действий, как утечка данных. Хакерская группа, стоящая за HeptaX, действует с 2023 года, последовательно используя одни и те же методы атаки и создавая серьезную угрозу кибербезопасности, которая требует усовершенствованных защитных мер.
-----

Исследовательская лаборатория Cyble Research and Intelligence Labs (CRIL) обнаружила продолжающуюся кампанию кибератак с использованием вредоносных файлов LNK, продемонстрировав сложную многоэтапную цепочку атак с использованием сценариев PowerShell и BAT. Атака направлена на создание учетной записи администратора в системе жертвы и изменение настроек удаленного рабочего стола для облегчения несанкционированного доступа по протоколу RDP. Использование средства восстановления пароля ChromePass повышает риск более масштабных взломов учетной записи. Кампания, получившая название "HeptaX" для целей отслеживания, пока не раскрыта. Атака начинается с рассылки ZIP-файла, содержащего вредоносный ярлык, который распространяется с помощью предполагаемых фишинговых электронных писем, предназначенных в первую очередь для сферы здравоохранения. При запуске файл LNK запускает команды PowerShell для загрузки и выполнения дополнительных полезных задач, создавая новую учетную запись пользователя с правами администратора и изменяя настройки протокола удаленного доступа. Злоумышленники получают доступ к удаленному рабочему столу, позволяя выполнять различные вредоносные действия, такие как утечка данных или установка дополнительного вредоносного ПО. Наличие ChromePass подвергает учетные данные жертв еще большему риску. Хакерская группа, стоящая за HeptaX, действует с 2023 года, последовательно применяя одни и те же методы атаки в различных секторах, несмотря на то, что исследователи ранее выявили ее. Использование PowerShell и пакетных сценариев для компрометации системы является отличительной чертой деятельности этой группы. Несмотря на проводимые кампании, эта группа сохраняет неизменные схемы атак, что указывает на необходимость совершенствования мер кибербезопасности для эффективного противодействия этим скрытым угрозам.

#ParsedReport #CompletenessMedium
25-10-2024

It s About The Journey: Fake Cloudflare Authenticator

https://blog.kandji.io/fake-cloudflare-authenticator

Report completeness: Medium

Threats:
Vshell
Sliver_c2_tool

Geo:
China, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1204, T1543, T1105, T1573, T1090, T1574

IOCs:
IP: 1
Url: 2
Hash: 9
File: 3

Soft:
Twitter, macOS, GateKeeper, Linux, Android, unix, crontab, sysctl

Algorithms:
xor, sha256

Functions:
new, spawn, main, access, exit, InitAddr, dlsym, _initaddr, socket, connect, have more...

Win API:
gethostbyname, inet_addr

Languages:
golang, rust, python

Platforms:
apple, cross-platform

Links:
https://github.com/BishopFox/sliver/blob/master/implant/sliver/taskrunner/task\_darwin.go
https://github.com/veo/vshell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 3, code: 10, chats: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4