#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кибератаки с использованием веб-оболочек и компрометации VPN широко распространены в среде угроз, при этом злоумышленники используют многоуровневые стратегии для сохранения доступа к скомпрометированным системам. Поведенческий анализ, обнаружение аномалий и упреждающие меры кибербезопасности имеют решающее значение для борьбы с появляющимися киберугрозами и предотвращения серьезных последствий, таких как внедрение программ-вымогателей.
-----

Кибератаки с использованием веб-оболочек и компрометации VPN остаются распространенными в среде угроз, о чем свидетельствуют недавние инциденты, проанализированные Trend Micro MXDR. Злоумышленники применяют многоуровневую стратегию, используя веб-оболочки, программное обеспечение для туннелирования и средства удаленного доступа для обеспечения доступа к скомпрометированным системам. Веб-консоли обеспечивают интерактивный доступ к серверам, позволяя злоумышленникам осуществлять вредоносные действия и быстро адаптировать свою тактику. Компрометация учетных записей VPN позволяет злоумышленникам проникать в сети и избегать обнаружения, маскируя вредоносные действия под законные процессы.

Поведенческий анализ и обнаружение аномалий являются ключевыми компонентами в борьбе с развивающимися киберугрозами. Используя такие инструменты, как MXDR и возможности цифровой криминалистики, организации могут обнаруживать ранние признаки взлома, отслеживать ненормальное поведение и эффективно разрабатывать стратегии сдерживания и восстановления. В проанализированных инцидентах злоумышленники использовали сложные методы, такие как развертывание веб-оболочек и компрометация учетных записей VPN, чтобы получить несанкционированный доступ и перемещаться по сетям.

Веб-серверы часто становятся объектами эксплуатации из-за уязвимостей, неправильной настройки и непатченного программного обеспечения. Вредоносные веб-оболочки часто используются для компрометации серверов, предоставляя злоумышленникам шлюз для удаленного выполнения команд, установки вредоносного ПО, кражи данных или запуска дальнейших атак. В ходе инцидента, проанализированного Trend Micro, на сервер был загружен файл веб-оболочки, позволяющий злоумышленнику выполнять команды и, возможно, осуществлять управление с помощью подозрительного IP-адреса сервера. Были введены дополнительные средства для облегчения исходящего трафика, что указывает на сложную стратегию атаки.

При компрометации учетных записей VPN злоумышленники получают доступ с помощью таких методов, как фишинг или использование уязвимостей, для выполнения вредоносных действий в сети. Злоумышленники стремятся внедриться в систему и обойти средства защиты, используя скомпрометированные учетные записи для перемещения в другие стороны и развертывания дополнительной полезной нагрузки. Проведенный Trend Micro анализ выявил такие действия, как развертывание средств удаленного доступа, сканирование сети и попытки использования уязвимостей с повышением привилегий, что свидетельствует о настойчивости и изощренности злоумышленника.

Существенной проблемой в этих инцидентах было отсутствие журналов приложений, что затрудняло понимание векторов атак и выработку точных рекомендаций по обеспечению безопасности. Аудит безопасности и планирование реагирования на инциденты являются важными компонентами проактивной стратегии кибербезопасности, позволяющей организациям выявлять признаки компрометации на ранней стадии и укреплять свою защиту. Раннее обнаружение имеет решающее значение для предотвращения серьезных последствий, таких как развертывание программ-вымогателей, как это было продемонстрировано в ходе предыдущих атак, когда программы-вымогатели были развернуты вскоре после несанкционированного доступа к общедоступному RDP-узлу.

#ParsedReport #CompletenessMedium
25-10-2024

HeptaX: Unauthorized RDP Connections for Cyberespionage Operations

https://cyble.com/blog/heptax-unauthorized-rdp-connections-for-cyberespionage-operations

Report completeness: Medium

Actors/Campaigns:
Heptax (motivation: cyber_espionage)

Threats:
Chromepass_tool

Industry:
Healthcare

TTPs:
Tactics: 8
Technics: 11

IOCs:
File: 11
Registry: 3
Url: 12
Path: 1
Hash: 7

Soft:
Windows Defender

Algorithms:
zip, sha256, base64

Functions:
schReg

Win Services:
WebClient

Languages:
powershell

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 7, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
В тексте описывается обнаружение продолжающейся кампании кибератак под названием "HeptaX", проводимой лабораториями Кибл-исследований и разведки (CRIL). Злоумышленники используют вредоносные файлы LNK, PowerShell и скрипты BAT в сложной многоэтапной цепочке атак, чтобы создать учетную запись администратора, изменить настройки удаленного рабочего стола для несанкционированного доступа и потенциально скомпрометировать учетные записи жертв. Кампания в первую очередь нацелена на сферу здравоохранения с помощью фишинговых электронных писем, при этом злоумышленники получают доступ к удаленному рабочему столу для таких вредоносных действий, как утечка данных. Хакерская группа, стоящая за HeptaX, действует с 2023 года, последовательно используя одни и те же методы атаки и создавая серьезную угрозу кибербезопасности, которая требует усовершенствованных защитных мер.
-----

Исследовательская лаборатория Cyble Research and Intelligence Labs (CRIL) обнаружила продолжающуюся кампанию кибератак с использованием вредоносных файлов LNK, продемонстрировав сложную многоэтапную цепочку атак с использованием сценариев PowerShell и BAT. Атака направлена на создание учетной записи администратора в системе жертвы и изменение настроек удаленного рабочего стола для облегчения несанкционированного доступа по протоколу RDP. Использование средства восстановления пароля ChromePass повышает риск более масштабных взломов учетной записи. Кампания, получившая название "HeptaX" для целей отслеживания, пока не раскрыта. Атака начинается с рассылки ZIP-файла, содержащего вредоносный ярлык, который распространяется с помощью предполагаемых фишинговых электронных писем, предназначенных в первую очередь для сферы здравоохранения. При запуске файл LNK запускает команды PowerShell для загрузки и выполнения дополнительных полезных задач, создавая новую учетную запись пользователя с правами администратора и изменяя настройки протокола удаленного доступа. Злоумышленники получают доступ к удаленному рабочему столу, позволяя выполнять различные вредоносные действия, такие как утечка данных или установка дополнительного вредоносного ПО. Наличие ChromePass подвергает учетные данные жертв еще большему риску. Хакерская группа, стоящая за HeptaX, действует с 2023 года, последовательно применяя одни и те же методы атаки в различных секторах, несмотря на то, что исследователи ранее выявили ее. Использование PowerShell и пакетных сценариев для компрометации системы является отличительной чертой деятельности этой группы. Несмотря на проводимые кампании, эта группа сохраняет неизменные схемы атак, что указывает на необходимость совершенствования мер кибербезопасности для эффективного противодействия этим скрытым угрозам.

#ParsedReport #CompletenessMedium
25-10-2024

It s About The Journey: Fake Cloudflare Authenticator

https://blog.kandji.io/fake-cloudflare-authenticator

Report completeness: Medium

Threats:
Vshell
Sliver_c2_tool

Geo:
China, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1204, T1543, T1105, T1573, T1090, T1574

IOCs:
IP: 1
Url: 2
Hash: 9
File: 3

Soft:
Twitter, macOS, GateKeeper, Linux, Android, unix, crontab, sysctl

Algorithms:
xor, sha256

Functions:
new, spawn, main, access, exit, InitAddr, dlsym, _initaddr, socket, connect, have more...

Win API:
gethostbyname, inet_addr

Languages:
golang, rust, python

Platforms:
apple, cross-platform

Links:
https://github.com/BishopFox/sliver/blob/master/implant/sliver/taskrunner/task\_darwin.go
https://github.com/veo/vshell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 3, code: 10, chats: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе подозрительного файла под названием "Cloudflare Security Authenticator", загруженного из Китая, характеристики которого позволяют предположить, что это образец вредоносного ПО, нацеленного на пользователей Cloudflare. Файл был проанализирован на различных этапах, содержал различные двоичные файлы на разных языках, и в конечном итоге был идентифицирован как VShell, инструмент для моделирования противостояния безопасности и red team. Вредоносная программа демонстрировала запутанные символы и кодировку XOR, выдавая себя за законное приложение TOTP для Cloudflare, цель которого оставалась неясной.
-----

Команда по анализу угроз в Kandji EDR проводит поиск угроз в различных источниках данных, чтобы обеспечить всесторонний охват. 15 октября 2024 года в VirusTotal был обнаружен подозрительный файл под названием "Cloudflare Security Authenticator/cloudflare-auth-tauri", загруженный из Китая в тот же день. Файл, помеченный как dropper, был неподписан и не был обнаружен в VirusTotal. Этот файл также был упомянут в Twitter /X пользователем AzakaSekai_ с хэштегом #vshell.

Файл представлял собой DMG-файл, содержащий текст на китайском языке, в котором пользователю предлагается запустить значок аутентификатора. Значок был необычным, поскольку это был не пакет приложений, а файл Mach-O. Включение "Tauri" в название позволило предположить, что это был образец, скомпилированный в Rust, что подтвердилось в ходе анализа. В приложении Rust указывалось на необходимость поиска функции lang_start, чтобы понять, с чего начинается выполнение.

В ходе анализа были рассмотрены методы ввода-вывода (I/O), при этом метод new() использовался для создания команды для запуска программы по указанному пути. Извлечение встроенного файла из stage 1 Mach-O было выполнено с использованием двоичного кода Ninja с помощью команды Python. Двоичные файлы Stage 2 и stage 3 также были скомпилированы в Rust, что требовало аналогичных методов анализа.

Двоичный файл stage 3 представлял собой скомпилированный на C двоичный файл, который, как оказалось, передавал IP-адрес сервера управления (C2) таким функциям, как gethostbyname() и inet_addr(). Связь с сервером C2 включала отправку запроса GET для другого двоичного файла Mach-O, который был закодирован в формате XOR. Был создан скрипт для декодирования загруженного файла, чтобы приступить к анализу последующих файлов.

Заключительный этап цепочки заражения был написан на языке Golang, в кодировке XOR, с использованием запутанных символов. Эта полезная нагрузка была идентифицирована как VShell, инструмент для моделирования противостояния безопасности и red team. Постоянство было достигнуто с помощью задания cron для выполнения двоичного файла этапа 4 при перезапуске системы. Анализ включал идентификацию имен пакетов Golang и строк, таких как 'LD_PARAMS=%s' и 'DYLD_INSERT_LIBRARIES=%s', которые связывали файл stage 4 с семейством VShell.

Цепочка заражения включала Mach-Os на разных языках, кодировку XOR и запутанные символы, которые отображались как законное приложение TOTP для Cloudflare. Назначение вредоносного ПО остается неясным, но наличие китайских иероглифов в DMG может указывать на потенциальную целевую область для этого вредоносного ПО.

#ParsedReport #CompletenessHigh
25-10-2024

Arctic Wolf Labs Observes Increased Fog and Akira Ransomware Activity Linked to SonicWall SSL VPN

https://arcticwolf.com/resources/blog-uk/arctic-wolf-labs-observes-increased-fog-akira-ransomware-activity-linked-to-sonicwall-ssl-vpn

Report completeness: High

Threats:
Akira_ransomware
Fog_ransomware
Softperfect_netscan_tool
Advanced-port-scanner_tool
Nltest_tool
Adfind_tool
Psexec_tool
Credential_dumping_technique
Mimikatz_tool
Anydesk_tool
Putty_tool
Mobaxterm_tool
Rclone_tool
Shadow_copies_delete_technique

Industry:
Education

Geo:
Canada

CVEs:
CVE-2024-40766 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (<5.9.2.14-13o)


TTPs:
Tactics: 9
Technics: 22

IOCs:
File: 10
IP: 11
Hash: 21

Soft:
Active Directory, oftPerfect Network Scanner •, sExec, SCP • F, PsExec, SoftPerfect Network Scanner, macOS, Linux, ESXI, WinSCP, have more...

Algorithms:
sha1

Languages:
powershell

Links:
https://github.com/sadshade/veeam-creds/blob/main/Veeam-Get-Creds.ps1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущей угрозе вторжений программ-вымогателей Fog и Akira, нацеленных на организации через уязвимости в учетных записях SonicWall SSL VPN, в частности CVE-2024-40766. Эти вторжения связаны с быстрым шифрованием данных, утечкой конфиденциальной информации, а также отсутствием современного программного обеспечения и мер безопасности, таких как многофакторная аутентификация. В тексте подчеркивается важность устранения уязвимостей, мониторинга входов в систему через VPN и создания безопасных резервных копий для защиты от атак программ-вымогателей.
-----

С начала августа Arctic Wolf отмечает значительное увеличение числа атак программ-вымогателей Fog и Akira, по меньшей мере, 30 случаев в различных отраслях промышленности.

В ходе этих вторжений были обнаружены вредоносные VPN-логины, нацеленные на учетные записи SonicWall SSL VPN, которые исходили с IP-адресов, связанных с VPS-хостингом.

Ни одно из уязвимых устройств SonicWall не было исправлено для уязвимости CVE-2024-40766, которая потенциально может активно использоваться.

Деятельность программ-вымогателей носит оппортунистический характер и нацелена на различные отрасли и размеры организаций, а не на конкретные секторы.

Скомпрометированные учетные записи SSL VPN часто были локальными для устройств SonicWall и не интегрированы с централизованными решениями аутентификации, такими как Microsoft Active Directory, при этом MFA часто не включался, что подчеркивало пробелы в безопасности.

Злоумышленники сосредотачиваются на быстром шифровании данных, нацеливании на хранилища виртуальных машин и резервные копии, а также на удалении данных, включая общие файлы возрастом до шести месяцев и более конфиденциальную информацию возрастом до 30 месяцев.

Arctic Wolf подчеркивает важность приоритетного устранения уязвимостей, таких как CVE-2024-40766, и создания безопасных резервных копий за пределами сайта для защиты от атак программ-вымогателей.

Arctic Wolf рекомендует отслеживать входы в систему VPN от неожиданных хостинг-провайдеров, обеспечивать обновление встроенного по на устройствах периметра и блокировать или тщательно отслеживать попытки входа в систему от ASN, связанных с хостингом.

Специальные строки скрипта PowerShell, такие как Veeam-Get-Creds.ps1, могут помочь в обнаружении угроз и реагировании на них.

Акшай Сутар, ведущий исследователь в области анализа угроз в Arctic Wolf Labs, уже более семи лет обладает значительным опытом в изучении тактики противника, анализе вредоносных программ и сборе информации об угрозах.

#ParsedReport #CompletenessMedium
25-10-2024

ValleyRAT Insights: Tactics, Techniques, and Detection Methods

https://www.splunk.com/en_us/blog/security/valleyrat-insights-tactics-techniques-and-detection-methods.html

Report completeness: Medium

Threats:
Valleyrat
Process_injection_technique
Uac_bypass_technique
Sandbox_evasion_technique
Fodhelper_technique

Victims:
Chinese-speaking users

Geo:
Chinese

TTPs:
Tactics: 2
Technics: 11

IOCs:
File: 9
Registry: 14
Path: 1
Url: 1
Command: 2
Hash: 2
IP: 2

Soft:
WeChat, DingTalk, Windows Defender, Windows Registry, Slack

Algorithms:
xor

Functions:
EnumSystemLocales

Win API:
SeDebugPrivilege

Languages:
powershell

Links:
https://github.com/redcanaryco/atomic-red-team/blob/a56a368463026f97c92a4435ddd57d6fbdef08ad/atomics/T1548.002/T1548.002.yaml#L1C1-L42C21
https://github.com/redcanaryco/atomic-red-team/blob/a56a368463026f97c92a4435ddd57d6fbdef08ad/atomics/T1548.002/T1548.002.yaml#L43C1-L104C21
https://github.com/redcanaryco/atomic-red-team/blob/a56a368463026f97c92a4435ddd57d6fbdef08ad/atomics/T1053.005/T1053.005.yaml
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ValleyRAT - это сложный троян для удаленного доступа, предназначенный в первую очередь для китайскоязычных пользователей с помощью фишинговых кампаний. Он использует многоэтапные методы обхода, чтобы оставаться незамеченным, контролировать зараженные системы и устанавливать дополнительные вредоносные плагины для дальнейшего повреждения. Исследовательская группа Splunk Threat проанализировала варианты ValleyRAT, чтобы выделить TTP-адреса MITRE ATT и CK, разработать методы обнаружения и помочь защититься от подобных угроз. Вредоносная программа использует различные тактики, включая манипулирование записями реестра, обход контроля учетных записей, уклонение от обнаружения и поддержание постоянства с помощью запланированных задач и внедрения процессов. Основное внимание уделяется совершенствованию стратегий защиты от развивающихся киберугроз, таких как ValleyRAT.
-----

ValleyRAT - это троян удаленного доступа (RAT), нацеленный на китайскоязычных пользователей с помощью фишинговых кампаний.

Он работает как многоступенчатая, многокомпонентная вредоносная программа, позволяющая избежать обнаружения и оставаться стойкой в зараженных системах.

Вредоносная программа использует дополнительные вредоносные плагины для дальнейшего нанесения ущерба.

ValleyRAT loader расшифровывает ресурс, зашифрованный с помощью TripleDES, и вводит полезную нагрузку в легитимный системный процесс, чтобы избежать обнаружения.

Вредоносная программа использует строки UUID, формат шестнадцатеричных байтов, логические операции XOR и обфускацию в режиме ожидания для выполнения зашифрованного шелл-кода.

ValleyRAT манипулирует записями реестра, использует IP-адреса C2 и хранит пути к файлам активных вредоносных программ на скомпрометированных хостах.

Чтобы избежать обнаружения, ValleyRAT завершает работу средств защиты, отключает автозапуск антивируса, использует функцию исключения защитника Windows и проверяет наличие виртуализированных сред.

Вредоносная программа создает запланированные задачи для автоматического выполнения вредоносной полезной нагрузки для сохранения.

Методы обнаружения, разработанные исследовательской группой Splunk Threat Research, сосредоточены на изменении конфигурации C2, отключении автозапуска антивируса, модификации задач планировщика Windows и обходе контроля учетных записей пользователей.

#ParsedReport #CompletenessLow
26-10-2024

Nikhil "Kaido" Hegde. Turla Backdoor Bypasses ETW, EventLog and AMSI But It s Buggy

https://nikhilh-20.github.io/blog/turla_backdoor_defenses_bypass

Report completeness: Low

Actors/Campaigns:
Turla (motivation: cyber_espionage)

Threats:
Kazuar
De4dot_tool

Geo:
Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1562

IOCs:
Hash: 1
Path: 3
File: 6

Soft:
Event Tracing for Windows

Algorithms:
sha256, xor

Win API:
EventWrite, EtwEventWrite, ReportEventW, AmsiOpenSession, AmsiScanBuffer, LoadLibrary, AmsiInitialize, GetProcAddress, AmsiScanString

Win Services:
EventLog

Languages:
powershell

Links:
https://github.com/huds0nx/dumbassembly
have more...
https://github.com/wickyhu/simple-assembly-explorer
https://github.com/kant2002/de4dot

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хакерская группа по кибершпионажу Turla, связанная с ФСБ России, использует 32-разрядный вариант бэкдора без файлов, который использует различные тактики уклонения, чтобы избежать обнаружения, включая манипулирование функциями ETW, EventLog и AMSI. В блоге подробно обсуждается, как работает бэкдор, его возможности обхода и конкретные исправления ошибок, реализованные в этом варианте, подчеркивая важность поддержания бдительности и разработки защитных стратегий в области кибербезопасности.
-----

Как сообщает Hybrid Analysis, хакерская группа Turla, занимающаяся кибершпионажем и связанная с Федеральной службой безопасности России (ФСБ), была идентифицирована как использующая 32-разрядный вариант бэкдора без файлов. В этом блоге рассматриваются возможности защитного обхода этого варианта бэкдора, освещаются его методы обхода ETW (отслеживание событий для Windows), EventLog и AMSI (интерфейс проверки на вредоносное ПО). Кроме того, в нем рассматриваются два исправленных дефекта, реализованных в этом варианте.

Сам бэкдор представляет собой исполняемый файл .NET, который содержит SmartAssembly. Для деобфускации кода аналитикам необходимо последовательно использовать такие инструменты, как dumbassembly, Simple Assembly Explorer и de4dot. Особое внимание в анализе уделяется тому, как бэкдор манипулирует сканированием AMSI, журналом событий и протоколированием ETW, чтобы избежать обнаружения и сохранить скрытность.

Ведение журнала ETW демонстрируется созданием пользователя ETW с именем test_collector, который собирает журналы от поставщика Microsoft-Windows-PowerShell. В блоге содержатся ссылки на журналы действий PowerShell и отключение поставщика PSEtwLogProvider для предотвращения ведения журнала действий PowerShell. В нем также представлен фрагмент кода, используемый бэкдором для отключения провайдера PSEtwLogProvider, что соответствует тактике обхода, используемой вредоносной программой.

Когда бэкдор Turla выполняет сценарии PowerShell, он создает пространство выполнения PowerShell внутри самого процесса вредоносного ПО, включая функции ETW, EventLog и AMSI в своем пространстве процессов. Это позволяет бэкдору манипулировать определенными функциями, связанными с этими механизмами безопасности, чтобы избежать обнаружения. Исправляя инструкции в таких функциях, как EventWrite, EtwEventWrite, ReportEventW, AmsiOpenSession и AmsiScanBuffer, бэкдор нарушает процессы ведения журнала и сканирования, что позволяет ему эффективно работать, не создавая заметных журналов.

Для 64-разрядных процессов бэкдор изменяет точки входа функций EventWrite, EtwEventWrite и ReportEventW с помощью определенных последовательностей байтов, чтобы остановить ведение журнала. В случае 32-разрядных процессов аналогичное исправление выполняется с использованием различных последовательностей байтов для достижения того же эффекта. Изменяя эти функции, бэкдор может предотвращать запись событий в EventLog и подавлять действия по ведению журнала, еще больше маскируя свое присутствие и операции.

Что касается функций AMSI, то бэкдор вмешивается в функции AmsiOpenSession и AmsiScanBuffer, устанавливая в их точках входа различные последовательности байтов для 32-разрядных и 64-разрядных процессов. Эта манипуляция приводит к изменению поведения AMSI-сканирования, что приводит к генерации кодов ошибок, которые потенциально могут обойти проверки безопасности и механизмы обнаружения.

Хотя большинство исправлений, реализованных с помощью бэкдора Turla, позволяют избежать обнаружения, в блоге освещаются два дефектных исправления, непосредственно связанных с 32-разрядными процессами. Это служит предостерегающим напоминанием о том, что даже участники киберугроз могут вносить ошибки в свой код, подчеркивая постоянную необходимость в бдительности и разработке защитных стратегий в сфере кибербезопасности.

#ParsedReport #CompletenessMedium
26-10-2024

Cyber attack UAC-0001 (APT28): PowerShell command in clipboard as "entry point" (CERT-UA#11689)

https://cert.gov.ua/article/6281123

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Metasploit_tool

Victims:
Government organization

Industry:
Government

Geo:
Ukraine

CVEs:
CVE-2023-43770 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.4.14, <1.5.4, <1.6.3)


ChatGPT TTPs:
do not use without manual check
T1566.002, T1059.001, T1105, T1203

IOCs:
File: 5
Domain: 3
IP: 28
Hash: 16
Url: 9
Path: 2
Email: 1
Command: 8

Soft:
Chrome, Opera, Firefox, Roundcube, gmail

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) расследует вредоносную кампанию, направленную против местных органов власти и связанную с рассылкой электронных писем с вредоносными ссылками, маскирующимися под электронные таблицы Google. Целью кампании является создание SSH-туннеля для кражи и эксфильтрации аутентификационных и критически важных данных из веб-браузеров с использованием команд PowerShell и развертывания программного обеспечения METASPLOIT. Злоумышленники успешно воспользовались уязвимостями, украли аутентификационные данные, скомпрометировали учетные записи электронной почты и запустили дальнейшие вредоносные действия, предварительно связав их с деятельностью группы UAC-0001 (APT28).
-----

Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине, или CERT-UA, в настоящее время проводит расследование вредоносной кампании, направленной против местных органов власти. Эта кампания включает в себя рассылку электронных писем со строкой темы "Замена таблицы", которая содержит ссылку, замаскированную под электронную таблицу Google. При переходе по ссылке пользователям открывается окно защиты от поддельных ботов reCAPTCHA. Если пользователь реагирует на поддельное приглашение, нажав на поле с надписью "Я не робот", команда PowerShell копируется в буфер обмена компьютера. Затем пользователю предлагается нажать комбинацию клавиш "Win+R", чтобы открыть командную строку, затем "Ctrl+V", чтобы вставить команду, а затем нажать "Enter". Это действие запускает выполнение команды PowerShell.

После выполнения команды PowerShell запускается загрузка и выполнение двух файлов: "browser.hta" и "Browser.ps1". Основной целью этих файлов является создание SSH-туннеля, позволяющего красть и отфильтровывать аутентификационные и другие важные данные из веб-браузеров, таких как Chrome, Edge, Opera и Firefox. Кроме того, скрипт PowerShell также использует программное средство METASPLOIT, известное своими возможностями для осуществления дальнейших вредоносных действий.

В ходе аналогичного инцидента, расследованного CERT-UA в сентябре 2024 года (CERT-UA#10859), было обнаружено, что вредоносные электронные письма содержат эксплойт, нацеленный на уязвимость в Roundcube, идентифицированную как CVE-2023-43770. Этот эксплойт позволил злоумышленникам украсть аутентификационные данные пользователей и внедрить фильтр "SystemHealthChek" - плагин, перенаправляющий содержимое почтового ящика жертвы на адрес электронной почты злоумышленника. В ходе этого расследования было выявлено более 10 скомпрометированных учетных записей электронной почты, принадлежащих правительственным организациям. Злоумышленники использовали эти учетные записи для автоматического получения конфиденциальных данных и запуска дополнительных вредоносных кампаний по электронной почте, в том числе нацеленных на министерства обороны зарубежных стран.

Основываясь на собранных доказательствах, CERT-UA с умеренной степенью уверенности предварительно отнесла эти действия к группе UAC-0001, также известной как APT28. Эта связь дополнительно проиллюстрирована на рисунке 2, где показана цепочка повреждений, возникших в результате эксплойта CVE-2023-43770 (CERT-UA#10859) и последующей кибератаки со стороны UAC-0001 (APT28) с использованием команд PowerShell в качестве точки входа (CERT-UA#11689).