#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по атаке "Заразное собеседование" нацелена на разработчиков программного обеспечения с предложениями о работе на таких платформах, как LinkedIn, заражая их вредоносным ПО для кражи криптоактивов и исходных кодов. CrowdStrike связывает кампанию со знаменитой северокорейской группировкой "Чоллима", использующей вредоносные программы BeaverTail и InvisibleFerret для сбора информации об устройствах и проведения удаленных операций. Злоумышленники сосредотачиваются на краже криптовалютных кошельков и аутентификационных данных в системах Windows, macOS и Linux, подчеркивая важность мер безопасности конечных точек, таких как EDR, для защиты от этой сложной угрозы.
-----

Кампания "Заразительное собеседование" нацелена на разработчиков программного обеспечения с помощью привлекательных предложений о работе на таких платформах, как LinkedIn, заражая их вредоносными программами, такими как BeaverTail и InvisibleFerret, во время собеседований с целью кражи криптоактивов и исходных кодов. CrowdStrike приписывает эту кампанию северокорейской группе "Знаменитая Чоллима". BeaverTail, встраиваемый в пакеты NPM, программы для установки поддельных приложений для видеоконференций и электронные приложения, собирает информацию об устройстве и использует InvisibleFerret для удаленного управления и кражи информации. InvisibleFerret, разработанный на Python, включает в себя запутанные скрипты для загрузки бэкдоров, кейлоггеров и кражи данных браузера, связываясь с сервером C2. Злоумышленники сосредоточены на краже криптовалютных кошельков и аутентификационной информации. Вредоносная кампания использует кроссплатформенные платформы, нацеленные не только на Windows, но и на macOS и Linux, что расширяет ее охват. Устойчивость не позволяет быстро красть данные после заражения, что подчеркивает необходимость принятия мер безопасности конечных устройств, таких как EDR. Распространение вредоносных программ через приложения для обмена мгновенными сообщениями, такие как Skype и WeChat, также наблюдается в китайскоязычных регионах, что подчеркивает необходимость бдительности среди японских компаний, ведущих операции по всему миру. Злоумышленник специализируется на разработке вредоносных программ с использованием машинного языка.

#ParsedReport #CompletenessHigh
03-11-2024

TA Phone Home: EDR Evasion Testing Reveals Extortion Actor's Toolkit

https://unit42.paloaltonetworks.com/edr-bypass-extortion-attempt-thwarted

Report completeness: High

Actors/Campaigns:
Blackbasta

Threats:
Byovd_technique
Cobalt_strike
Conti
Mimikatz_tool
Atera_tool
Rclone_tool
Advanced-port-scanner_tool
Edrsandblast_tool
Metasploit_tool
Process_hacker_tool
Blackbasta
Safetykatz_tool
Bloodhound_tool
Nltest_tool

Geo:
Russian, Kazakhstan

TTPs:
Tactics: 8
Technics: 0

IOCs:
Hash: 19
File: 30
Url: 6
Domain: 5
IP: 4

Soft:
PsExec, VirtualBox, Telegram, Google Chrome, Linux, OpenSSH, Debian

Algorithms:
sha256

Languages:
powershell

Links:
https://github.com/wavestone-cdt/EDRSandblast

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что субъект киберугрозы предпринял попытку вымогательства, получив доступ к клиентской сети с помощью платформы Atera RMM и протестировав новый инструмент обхода AV/EDR. Злоумышленник также осуществлял такие действия, как доступ к учебным материалам по кибербезопасности, демонстрация средства обхода на видеозаписях, использование Cobalt Strike для бокового перемещения и утечки данных, а также участие в потенциально вредоносных действиях, связанных с программами-вымогателями. В ходе расследования были выявлены связи с частными лицами и компаниями в Казахстане и подчеркнута важность постоянного мониторинга подпольных форумов, чтобы опережать возникающие угрозы. Были даны рекомендации по блокированию признаков компрометации, пересмотру политик средств обеспечения безопасности и сохранению бдительности в отношении нарушений, направленных на меры безопасности конечных устройств.
-----

Злоумышленник получил доступ к клиентской сети с помощью платформы Atera RMM, полученной через брокера начального доступа.

Actor протестировал средство обхода AV/EDR под названием disabler.exe, основанное на исходном коде EDRSandBlast.

Мошенническая система, использовавшаяся при атаке, содержала каталоги под названием Z:\freelance, потенциально представляющие аффилированных лиц.

Зашифрованный архивный файл ContiTraining.rar содержал торрент-файл, ссылающийся на серверы, на которых размещались тренинги по кибербезопасности, эксплойты и инструменты.

Личные данные отдельных лиц, найденные вместе с инструментами и методологиями кибербезопасности.

Обнаружен файл о финансовых транзакциях между двумя компаниями в Казахстане.

Злоумышленник продемонстрировал средство защиты от различных продуктов endpoint protection в видеозаписях, опубликованных на форумах по киберпреступности пользователем KernelMode.

Активность браузера Edge в системе rogue system указывала на приобретение инструментов для вредоносных целей.

Обнаружена активность маяка Cobalt Strike, использующего PsExec для бокового перемещения и Rclone для фильтрации данных.

Анализ маяков Cobalt Strike выявил, что идентификаторы водяных знаков соответствуют примерно 160 уникальным IPv4 и доменам, некоторые из которых связаны с программой-вымогателем Dark Scorpius.

В этом инциденте нет никаких свидетельств использования программ-вымогателей.

Профиль человека по имени "Андри" в LinkedIn, связанный с компанией в Казахстане, был обнаружен в видеозаписи, продемонстрированной злоумышленником.

Рекомендуется проводить постоянный мониторинг подпольных форумов для отслеживания меняющихся угроз и тактики, используемой участниками угроз.

#ParsedReport #CompletenessMedium
03-11-2024

Malware Analysis Report: Pygmy Goat

https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/pygmy-goat/ncsc-mar-pygmy-goat.pdf

Report completeness: Medium

Threats:
Pygmy_goat
Vmprotect_tool
Earthworm_tool
Libpcap_tool
Castletap
Dynamic_linker_hijacking_technique

Victims:
Sophos xg firewall devices

TTPs:
Tactics: 6
Technics: 11

IOCs:
Email: 10
File: 1
Hash: 8

Soft:
Unix, OpenSSH, crontab, Linux, curl, Ubuntu

Algorithms:
aes-256-ctr, cast-128, cbc, md5, aes-256-cbc, sha256, hmac, aes-128-cbc, aes, aes-128-ctr, sha1

Win Services:
bits

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что речь идет о сложной вредоносной программе-бэкдоре под названием Pygmy Goat, которая нацелена на устройства с брандмауэром Sophos XG. Он использует различные тактики, такие как подключение к процессу sshd, установление каналов связи через ICMP и TLS-соединения и предоставление нескольких команд для удаленного выполнения. Дизайн вредоносного ПО указывает на потенциальную гибкость для атаки на другие Linux-системы и устройства, такие как FortiGate, а сходство с тактикой CASTLETAP вызывает опасения по поводу более масштабных атак.
-----

Pygmy Goat - это сложный собственный общий объект ELF x86-32, который служит в качестве бэкдора на устройствах брандмауэра Sophos XG, обеспечивая несанкционированный доступ к устройству. Он использует LD_PRELOAD для загрузки в процесс /bin/sshd и перехватывает его функцию accept. Вредоносная программа прослушивает исходный сокет для входящих ICMP-пакетов, чтобы запустить механизм обратного подключения, или использует перехваченную функцию accept для идентификации определенных магических байт в SSH-соединениях. Его функциональные возможности включают в себя создание удаленной оболочки, захват пакетов, настройку задач cron и создание обратного прокси-сервера SOCKS.

Чтобы добиться сохранения на устройстве-жертве, Pygmy Goat, изменив сценарий запуска, устанавливает переменную среды LD_PRELOAD, гарантирующую, что вредоносный libsophos будет сохранен.файл so загружается в ssh-демон во время запуска системы. Раздел INIT_ARRAY вредоносной программы указывает на функцию main_constructor, которая выполняется перед основной функциональностью двоичного файла sshd. Pygmy Goat проверяет время безотказной работы системы, получает эксклюзивную блокировку для pid-файла и запускает демон crond для последующего выполнения задач cron. Он также создает необработанный сокет ICMP и Unix-сокет для обмена данными.

Заменяя символы в /bin/sshd на символы, экспортируемые с помощью libsophos.so, Pygmy Goat подключает функцию accept для обнаружения скрытых SSH-подключений. После идентификации версии SSH magic bytes вредоносная программа устанавливает соединение с сокетом Unix для обмена данными C2. Затем он устанавливает TLS-соединение, позволяющее участнику удаленно выполнять различные команды.

Pygmy Goat предлагает множество команд, которые могут быть выполнены на основе байта идентификатора команды. Он предоставляет механизмы для установления соединений C2, включая расшифровку данных из ICMP-пакетов и установление TLS-соединений. Вредоносная программа также инициирует поддельные подтверждения связи по SSH, чтобы облегчить подключение по протоколу TLS для связи C2.

Команды, которые может выполнять Pygmy Goat, включают предоставление системной информации, создание новых процессов оболочки, интерактивную настройку задач cron, захват трафика с помощью libpcap и создание обратного прокси-сервера SOCKS с помощью инструмента EarthWorm. Использование EarthWorm позволяет предположить, что вредоносная программа обладает атакующими возможностями для проникновения через брандмауэры.

Несмотря на сложность и четкую структуру кода Pygmy Goat, его методы не новы. Способность вредоносной программы встраиваться в обычный сетевой трафик и взаимодействовать по требованию указывает на компетентную разработку. Хотя изначально она была обнаружена на устройствах Sophos, ее дизайн предполагает гибкость для использования в различных системах Linux. Такие улики, как встроенный сертификат корневого центра сертификации, выданный Fortinet, указывают на потенциальную возможность атаки на устройства FortiGate. Сходство с протоколами TTP от CASTLETAP, наблюдаемое при атаках на устройства FortiGate, вызывает опасения по поводу потенциальных более масштабных атак с участием Pygmy Goat, использующих аналогичную тактику шифрования ICMP-сообщений.

#ParsedReport #CompletenessLow
02-11-2024

Inside LameDuck: analyzing Anonymous Sudan s threat operations

https://www.cloudflare.com/en-au/threat-intelligence/research/report/inside-lameduck-analyzing-anonymous-sudans-threat-operations

Report completeness: Low

Actors/Campaigns:
Anonymous_sudans (motivation: politically_motivated, cyber_criminal, hacktivism, financially_motivated, propaganda)
Ddos-for-hire (motivation: cyber_criminal, financially_motivated, politically_motivated)
Turk_hack_team (motivation: hacktivism)
Killnet (motivation: hacktivism)
Siegedsec (motivation: hacktivism)

Threats:
Skynet_botnet
Godzilla_webshell
Httpflood_technique

Victims:
Cloudflare, Microsoft, Scandinavian airlines, Archive of our own, U.s. companies, Kenyan organizations, Egyptian isps, Swedish organizations, Israeli organizations

Industry:
Critical_infrastructure, Financial, Aerospace, Government, Transport, Telco, Iot, Military, Education, Healthcare

Geo:
Ukrainian, Israeli, Africa, Asia, Sudan, Russian, Egyptian, Swedish, Ukraine, Russia, Middle east, American, Canada, Kenya, Germany, Australia

ChatGPT TTPs:
do not use without manual check
T1498, T1583.003, T1071.004

Soft:
OpenAI

Crypto:
bitcoin

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в хакерской группе LameDuck, которая появилась в январе 2023 года и занимается политически мотивированными кибератаками, нацеленными на произраильские организации. Группа использовала распределенный облачный инструмент атаки под названием "Ботнет Skynet" для проведения многочисленных DDoS-атак и была вовлечена в киберпреступления с финансовой подоплекой, предлагая услуги по организации DDoS-атак по найму и занимаясь вымогательством. Операции группы были сложными, нацеленными на различные секторы и страны по всему миру, а их сложные возможности были продемонстрированы в ходе разрушительных киберопераций.
-----

Хакерская группа LameDuck, возникшая в январе 2023 года, занимается широким спектром вредоносных действий, уделяя особое внимание политически мотивированным кибератакам. После нападения ХАМАСА в октябре 2023 года группа особенно активно атаковала произраильские организации. LameDuck использовал инструмент распределенной облачной атаки, известный как "Ботнет Skynet", для проведения более 35 000 подтвержденных DDoS-атак в период с января 2023 по март 2024 года. Примечательно, что группа была вовлечена в киберпреступления с финансовой подоплекой, предлагая услуги по организации DDoS-атак по найму и занимаясь вымогательством. В обвинительном заключении, обнародованном Министерством юстиции Соединенных Штатов, говорится, что "Ламедак" был организован двумя братьями-суданцами, что опровергает предыдущие обвинения, связывающие эту группу с деятельностью, спонсируемой российским государством. Несмотря на их антизападный и происламский характер, мотивы Ламедака были сложными, и его операции были нацелены на различные сектора и страны по всему миру. Использование группой различных тактик и методов, включая использование арендованных серверов для атак и развертывание дорогостоящих конечных точек, продемонстрировало их передовые возможности в проведении подрывных киберопераций. Кроме того, склонность Ламедака к публичным угрозам и пропаганде намекает на то, что они нуждаются во внимании и усилении своих идеологических мотивов.

#ParsedReport #CompletenessLow
03-11-2024

Typosquat Campaign Targeting npm Developers. Overview. Typosquat Campaign Targeting npm Developers

https://blog.phylum.io/supply-chain-security-typosquat-campaign-targeting-puppeteer-users

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Developers

Industry:
Financial, Software_development

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1059, T1195.002

IOCs:
File: 4
Coin: 2
IP: 4
Hash: 3

Soft:
Chrome, linux

Wallets:
mainnet

Crypto:
ethereum

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Аналитик по анализу киберугроз обнаружил кампанию typosquat, направленную на разработчиков с помощью вредоносных пакетов в реестрах с открытым исходным кодом с целью получения первоначального доступа к их системам. Стратегия злоумышленника заключалась в сокрытии вредоносного ПО в поддельных пакетах, напоминающих популярные библиотеки, такие как Puppeteer, с целью сбора системной информации и скрытого запуска вредоносного ПО на целевых компьютерах. Эта продолжающаяся кампания подчеркивает эволюцию тактики злоумышленников по обману разработчиков и подчеркивает необходимость повышения бдительности в сообществе разработчиков программного обеспечения для предотвращения подобных атак на цепочки поставок.
-----

Накануне, 31 октября 2024 года, автоматизированная платформа обнаружения киберугроз аналитика cyber threat intelligence выявила ряд подозрительных пакетов в реестрах пакетов с открытым исходным кодом. Эти пакеты были частью кампании typosquat, нацеленной на разработчиков, которые намеревались использовать популярные библиотеки, такие как Puppeteer, Bignum.js и различные библиотеки криптовалют. План злоумышленника состоял в том, чтобы обманом заставить разработчиков установить эти вредоносные пакеты, чтобы получить первоначальный доступ к их системам.

Хотя вредоносные пакеты содержали обфусцированный JavaScript, файл, необходимый для выполнения атаки, не был включен, что указывает на недосмотр автора вредоносного пакета. Деобфусцированный код выявил типичное поведение вредоносного ПО, включая получение удаленных исполняемых файлов и их запуск на целевой машине. Код взаимодействовал со смарт-контрактом Ethereum, используя библиотеку ethers.js, чтобы получить IP-адрес, связанный с определенным адресом контракта в основной сети Ethereum. Цель злоумышленника состояла в том, чтобы собрать системную информацию, такую как графический процессор, ЦП, оперативная память, имя пользователя и версия операционной системы, и отправить ее обратно на удаленный сервер, в конечном итоге запустив вредоносную программу в фоновом режиме на целевом компьютере.

Кампания включала публикацию пакетов typosquat, полностью имитирующих легальные, с такими названиями, как "pupeter" и "pupetier", в попытке обмануть разработчиков. Решение опубликовать эти пакеты вредоносных программ под тем же номером версии, что и у легального пакета Puppeteer, скорее всего, было преднамеренным. В ходе продолжающейся кампании было опубликовано значительное количество вредоносных пакетов, что свидетельствует о постоянных усилиях злоумышленника.

Авторы вредоносных программ, участвующие в таких атаках на цепочки поставок, постоянно совершенствуют свою тактику, чтобы скрыть свои намерения и спрятать вредоносный код в, казалось бы, законных программных пакетах. Это подчеркивает важность бдительности в сообществе разработчиков программного обеспечения для предотвращения подобных атак. Используя блокчейн Ethereum для связи с вредоносными серверами, злоумышленники могут вести неизменяемый учет своих действий, что позволяет проводить ретроспективный анализ IP-адресов, которые они использовали в своих вредоносных кампаниях.

#ParsedReport #CompletenessHigh
03-11-2024

Pacific Rim timeline: Information for defenders from a braid of interlocking attack campaigns. Cyberoam intrusion

https://news.sophos.com/en-us/2024/10/31/pacific-rim-timeline

Report completeness: High

Actors/Campaigns:
Personal_panda
Asnarok (motivation: sabotage)
Winnti
Apt31
Driftingcloud
Cloud_snooper
Volt_typhoon

Threats:
Barracuda_tool
Netis
Asnarok
Lolbin_technique
Gh0st_rat
Ragnarok
Masscan_tool
Dropbear_tool
Sliver_c2_tool
Dcsync_technique
Fscan_tool
Chisel_tool
Netcat_tool
Supply_chain_technique
Microsocks_tool
Credential_dumping_technique

Victims:
Sophos, Cyberoam, Government entities, Military facilities, Intelligence agencies, Critical infrastructure providers, Research organizations, Ivanti

Industry:
Education, Healthcare, Critical_infrastructure, Telco, Retail, Energy, Aerospace, Financial, Military, Government

Geo:
Tibetan targets and, India, Asia-pacific, Tibetan target attacked, Support to tibetan, Japan, 31 2020 tibetan, Same tibetan, 2020 tibetan, Tibetan targets, Dutch, Netherlands, Chinese, Hong kong, Tibetan exiles, Asian, China, French, To tibetan, Tibetan target, Asia, The same tibetan, Pacific

CVEs:
CVE-2022-1040 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos sfos (le18.5.3)

CVE-2020-29574 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos cyberoamos (le2020-12-04)

CVE-2020-15069 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos xg firewall firmware (<17.5)

CVE-2022-1292 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- openssl (<1.0.2ze, <1.1.1o, <3.0.3)

CVE-2020-12271 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos sfos (17.0, 17.1, 17.5, 18.0)

CVE-2022-3236 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos firewall (le19.0.1)


TTPs:
Tactics: 6
Technics: 37

IOCs:
Email: 1
File: 2
Url: 1
Domain: 1
IP: 2
Hash: 1

Soft:
Tenda, Zyxel, Linux, Mac OS, Ivanti, OpenSSL, Active Directory, Unix, Linux s

Algorithms:
aes, des

Languages:
perl, python, java

Links:
have more...
https://github.com/cisagov/Decider/
https://github.com/sophoslabs/NetDeviceCVEs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста сосредоточена на пятилетнем расследовании, проведенном Sophos X-Ops в отношении базирующихся в Китае злоумышленников, нацеленных на устройства периметра, включая брандмауэры Sophos, с использованием передовых тактик и эксплойтов, таких как Gh0st RAT, руткиты и уязвимости CVE. В анализе освещаются выявленные угрозы, меры по их устранению, совместные действия с отраслевыми партнерами и рекомендации для организаций по усилению защиты от этих изощренных злоумышленников в области кибербезопасности.
-----

Sophos X-Ops провела пятилетнее расследование действий китайских злоумышленников, нацеленных на устройства периметра, включая брандмауэры Sophos. Первая атака была направлена на индийскую дочернюю компанию Cyberoam, которая использовала уязвимости нулевого дня во время расширения удаленного доступа из-за пандемии COVID-19. Злоумышленники установили на устройства вредоносное ПО с правами root. Впоследствии злоумышленники переключили внимание на конкретные организации в различных секторах Азиатско-Тихоокеанского региона, используя передовые тактики, такие как развертывание Gh0st RAT, злоупотребление AWS SSM и разработка сложных руткитов.

Sophos X-Ops выявляла и устраняла инциденты с помощью исправлений, патчей и активного поиска угроз, выявления SQL-инъекций, повышения привилегий, троянских программ, таких как Asnark, и пользовательских руткитов. Сотрудничество с такими организациями, как Volexity и NCSC-NL, помогло захватить серверы C2, удалить вредоносные домены и поделиться информацией об угрозах. Совместные усилия с командой реагирования на инциденты Microsoft позволили выявить скомпрометированные устройства в таких важных секторах, как финансы и здравоохранение.

Были обнаружены новые эксплойты, такие как CVE-2022-1040 и CVE-2022-3236, которые выявили руткиты, RAT и скрытые JAR-файлы, используемые для кражи учетных данных. Был обнаружен загрузочный комплект UEFI BIOS и сложные методы защиты, демонстрирующие расширенные возможности злоумышленников. Злоумышленники атаковали правительственные учреждения, поставщиков критически важной инфраструктуры и военные объекты в регионе, используя сочетание инструментов с открытым исходным кодом и пользовательских инструментов, чтобы избежать обнаружения и сохранить защиту.

В ответ Sophos X-Ops выпустила рекомендации, внедрила исправления и сотрудничала с агентствами по кибербезопасности и отраслевыми партнерами, чтобы пресечь вредоносную деятельность. Однако устаревшие устройства EOL, уязвимые для CVE-атак, таких как CVE-2022-3236, остались, что создает риск дальнейших атак, особенно на организации, связанные с Ivanti. Скомпрометированные устройства управляли SSH-серверами Dropbear на определенном порту, что затрудняло усилия по обнаружению путем отключения функций телеметрии и удаленного обновления.

Организациям рекомендуется проводить оценку безопасности, исправлять устаревшие системы и расширять возможности мониторинга, чтобы снизить риск их использования. Сотрудничество между специалистами в области безопасности, группами по анализу угроз и заинтересованными сторонами имеет решающее значение для борьбы с угрозой, исходящей от устройств EOL, выполняющих функции оперативных ретрансляторов. Оставаясь в курсе событий, устраняя уязвимости и усиливая защиту, организации могут смягчать воздействие киберугроз на свою деятельность и репутацию.

#ParsedReport #CompletenessMedium
03-11-2024

Investigating a SharePoint Compromise: IR Tales from the Field

https://www.rapid7.com/blog/post/2024/10/30/investigating-a-sharepoint-compromise-ir-tales-from-the-field

Report completeness: Medium

Threats:
Impacket_tool
Mimikatz_tool
Ntdsutil_tool
Credential_dumping_technique
Credential_harvesting_technique
Crackmapexec_tool

Geo:
China

CVEs:
CVE-2024-38094 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint server (-, 2016, 2019)


TTPs:
Tactics: 6
Technics: 7

IOCs:
Path: 11
File: 3
IP: 2
Hash: 9

Soft:
Microsoft Exchange, SharePoint server, Microsoft Store, Windows Defender, Active Directory, Microsoft SharePoint, ADFS, Velociraptor

Algorithms:
sha256

Languages:
powershell, python

Links:
https://github.com/rapid7/Rapid7-Labs/tree/main/Vql
https://github.com/testanull/MS-SharePoint-July-Patch-RCE-PoC/tree/main

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что речь идет об инциденте кибератаки, связанном с несанкционированной установкой вредоносного программного обеспечения, использованием уязвимостей, развертыванием различных инструментов для горизонтального перемещения и последующей эксплуатации, а также постоянным нарушением целостности данных в сети организации. Атака была сложной и включала в себя взломы, использование уязвимостей, таких как CVE-2024-38094, методы обхода средств контроля безопасности и попытки взлома резервных копий. В тексте подчеркивается важность поддержания надежной системы безопасности, регулярного проведения оценки уязвимостей и проявления бдительности в отношении современных киберугроз.
-----

Ключевые факты:.

Обнаружена кибератака, связанная с несанкционированной установкой антивируса Horoung на учетную запись службы Microsoft Exchange, что привело к конфликтам с существующими продуктами безопасности.

Злоумышленник попытался установить Impacket для бокового перемещения и последующей эксплуатации, но был остановлен мерами безопасности.

Компрометация учетной записи Exchange была связана со взломанным контроллером домена, доступ к которому осуществлялся через протокол RDP, где был отключен защитник Windows и внедрен вредоносный двоичный протокол FRP.

Злоумышленник использовал такие инструменты, как Mimikatz, для сбора учетных данных и воспользовался уязвимостью CVE-2024-38094 для удаленного выполнения кода.

Злоумышленник использовал веб-оболочки и двоичные файлы для поиска файлов, перебора запросов Kerberos и пытался взломать сторонние резервные копии.

Злоумышленник использовал обходные методы, такие как установка внешних антивирусных продуктов и пользовательских скриптов, чтобы обойти средства контроля безопасности.

Rapid7 предлагает проверки на обнаружение уязвимостей для клиентов, использующих сервисы InsightVM и Nexpose, и рекомендует использовать Insight Agent для улучшения видимости и охвата обнаружения.

Механизмы обнаружения охватывают поведение, связанное с использованием выявленной уязвимости, такое как подозрительные команды, взаимодействия с веб-сервером и инструменты злоумышленников, такие как Impacket и Mimikatz.

Правила обнаружения также учитывают методы злоумышленников, такие как сброс хэша и очистка журнала событий, а также тактику уклонения от защиты.

Инцидент подчеркивает важность надежной системы безопасности, регулярной оценки уязвимостей и осведомленности о сложных источниках угроз, нацеленных на организационные сети.