#ParsedReport #CompletenessLow
09-11-2024

Hello again, FakeBat: popular loader returns after months-long hiatus

https://www.malwarebytes.com/blog/cybercrime/2024/11/hello-again-fakebat-popular-loader-returns-after-months-long-hiatus

Report completeness: Low

Threats:
Fakebat
Lumma_stealer
Cloaking_technique
Amsiscanbufferbypass_tool
Amsi_bypass_technique
Process_hollowing_technique
Paykpe

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1562.001, T1055.012, T1071.001

IOCs:
Domain: 13
File: 2
Hash: 4

Soft:
NET Reactor

Algorithms:
aes

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в возрождении вредоносного загрузчика FakeBat, чему способствует вредоносная реклама Google, рекламирующая приложение Notion productivity. Это возрождение свидетельствует о возвращении хакеров к традиционным методам, использовании ими методов обфускации и устоявшихся инструментов, таких как RastaMouse, а также об успешном внедрении программы LummaC2 stealer. Этот инцидент подчеркивает проблемы, связанные с имитацией бренда и вредоносными атаками, направленными на рекламу, и подчеркивает важность сотрудничества в рамках сообщества кибербезопасности для противодействия развивающимся киберугрозам.
-----

Возрождение вредоносного загрузчика FakeBat было замечено благодаря вредоносной рекламе Google, рекламирующей концепцию приложения для повышения производительности, что знаменует собой возврат хакеров к традиционным методам работы. Этот уникальный загрузчик, также известный как Eugenloader или PaykLoader, ранее использовался для развертывания дополнительных полезных приложений, таких как Lumma stealer. Инцидент, который повторился после нескольких месяцев бездействия с момента его последнего появления в июле 2024 года из-за вредоносной рекламы для Calendly, был связан с инфраструктурой управления, созданной в домене utd-gochisu.com.

После анализа сетевого трафика от рекламного URL до полезной нагрузки была выявлена цепочка перенаправлений, начинающаяся со ссылки на шаблон отслеживания (smart.link), проходящая через домен-маскировку (solomonegbe.com) и, наконец, попадающая на сайт-приманку (notion.ramchhaya.com). Первоначальное заражение было связано с выполнением скриптов FakeBat PowerShell, которые были тщательно разработаны, чтобы обойти механизмы обнаружения в изолированной среде. Кроме того, хакеры продолжали использовать известный скрипт обхода AMSI под названием RastaMouse, что подчеркивает их настойчивость в использовании известных инструментов и методов.

Загрузчик использовал методы обфускации с использованием .NET Reactor для расшифровки встроенных ресурсов с помощью AES-шифрования и приступил к вводу полезной нагрузки в MSBuild.exe с помощью метода удаления процесса. Расшифрованная полезная нагрузка была идентифицирована как программа-похититель LummaC2, привязанная к определенному идентификатору пользователя: 9zXsP2. Несмотря на недавнее снижение числа атак вредоносных программ, основанных на вредоносной рекламе, это событие служит ярким напоминанием о способности хакеров адаптироваться и возобновлять кампании при возникновении благоприятных обстоятельств.

Этот инцидент подчеркивает сохраняющуюся проблему олицетворения бренда с помощью таких каналов, как Google ads, что позволяет хакерам использовать законные платформы для обмана пользователей и загрузки вредоносного контента. Быстрый анализ, проведенный исследователями в области безопасности, такими как RussianPanda и Sqiiblydoo, сыграл решающую роль в выявлении вредоносных действий, связанных с возобновлением загрузки FakeBat, и в сообщении о них. Это служит свидетельством совместных усилий сообщества кибербезопасности по борьбе с появляющимися киберугрозами и защите пользователей от того, чтобы стать жертвами подобных вредоносных кампаний.

#ParsedReport #CompletenessLow
08-11-2024

Dark Web Profile: CosmicBeetle (NoName) Ransomware

https://socradar.io/dark-web-profile-cosmicbeetle-noname-ransomware

Report completeness: Low

Actors/Campaigns:
Cosmicbeetle (motivation: information_theft, hacktivism)
Noname057 (motivation: hacktivism)

Threats:
Noname_ransomware
Scransom
Lockbit
Eternalblue_vuln
Zerologon_vuln
Spacecolon
Scara
Ransomhub
Nopac_vuln
Scarab
Qtox

Victims:
Small to medium enterprises, Regional government bodies

Industry:
Education, Government, Healthcare, Critical_infrastructure

Geo:
Asia, Turkish

CVEs:
CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam backup & replication (11.0.1.1261, 12.0.0.1420)

CVE-2017-0144 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server message block (1.0)

CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortios (le5.0.14, le5.2.15, le5.4.13, le5.6.14, <6.0.16)

CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...
CVE-2021-42278 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2004 (<10.0.19041.1348)
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-, r2)
- microsoft windows server 2016 (<10.0.14393.4770)
- microsoft windows server 2019 (<10.0.17763.2300)
have more...
CVE-2021-42287 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-, r2)
- microsoft windows server 2016 (<10.0.14393.4770, 2004)
- microsoft windows server 2019 (<10.0.17763.2300)
- microsoft windows server 2022 (<10.0.20348.350)
have more...

TTPs:
Tactics: 8
Technics: 18

IOCs:
Domain: 1

Soft:
Active Directory

Languages:
delphi, powershell, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что CosmicBeetle, группа программ-вымогателей, также известная как NoName, нацелена на малые и средние предприятия по всему миру, используя специализированные инструменты для вымогательства, такие как ScRansom. В 2023 году они получили значительное распространение и внедряют уникальное программное обеспечение и стратегии шифрования, в том числе сайт утечки данных (DLS), чтобы заставить жертв платить выкуп. Организациям следует внедрять многоуровневую стратегию защиты от атак программ-вымогателей, подобных тем, которые проводит CosmicBeetle, включая исправление уязвимостей, сегментацию сети, контроль доступа и внедрение инструментов кибербезопасности, подобных тем, которые предоставляет SOCRadar.
-----

CosmicBeetle, также известная как NoName, - это группа программ-вымогателей, которая работает с 2020 года и набрала значительную популярность в 2023 году. Они нацелены на малые и средние предприятия по всему миру, используя специализированные инструменты для вымогательства, такие как ScRansom. Группа установила свое присутствие в сфере киберпреступности, внедрив уникальное программное обеспечение и стратегии шифрования, включая сайт для утечки данных (DLS), чтобы заставить жертв платить выкуп. Они скопировали тактику печально известных группировок, таких как LockBit, чтобы повысить свою узнаваемость в Даркнете и средствах массовой информации.

CosmicBeetle в первую очередь нацелен на малый и средний бизнес в различных секторах по всему миру, уделяя особое внимание таким отраслям, как производство, фармацевтика, здравоохранение, технологии, юриспруденция, образование и финансовые услуги. Они используют уязвимости, такие как EternalBlue и Zerologon, для получения несанкционированного доступа и расширения привилегий. Их основной инструмент для вымогательства, ScRansom, известен возможностями частичного шифрования и режимом "СТИРАНИЯ", который безвозвратно уничтожает содержимое файла.

Для защиты от атак программ-вымогателей, подобных тем, которые проводит CosmicBeetle, организациям следует применять многоуровневую стратегию защиты, охватывающую все этапы атаки. Это включает исправление уязвимостей, сегментацию сети, контроль доступа, защиту учетных данных и предотвращение использования грубой силы. Средства обнаружения конечных точек и реагирования на них, внесение приложений в белый список и поведенческий анализ имеют решающее значение для предотвращения распространения вредоносных программ. Организациям также следует сосредоточиться на стратегиях резервного копирования и восстановления данных, планировании реагирования на инциденты и сотрудничестве с органами власти.

SOCRadar предоставляет передовые инструменты кибербезопасности для обнаружения и защиты от атак программ-вымогателей, подобных тем, которые связаны с CosmicBeetle. Их платформа Threat Intelligence предоставляет информацию о TTP программ-вымогателей, а службы мониторинга темного интернета и анализа уязвимостей помогают организациям опережать возникающие угрозы. Кроме того, модуль SOCRadar Ransomware Intelligence может помочь идентифицировать варианты программ-вымогателей и предоставлять оповещения в режиме реального времени и отчеты об атаках программ-вымогателей.

CosmicBeetle - это развивающаяся угроза в экосистеме киберпреступности, использующая программу-вымогатель как услугу и нацеленная на уязвимые предприятия малого и среднего бизнеса. Их тактика включает в себя комбинацию эксплойтов, методов грубой силы и психологических приемов для вымогательства у жертв. Понимая их методы и TTP, организации могут лучше подготовиться к потенциальному воздействию CosmicBeetle и подобных хакеров в будущем и защититься от них.

#ParsedReport #CompletenessLow
09-11-2024

VEEAM exploit seen used again with a new ransomware: "Frag"

https://news.sophos.com/en-us/2024/11/08/veeam-exploit-seen-used-again-with-a-new-ransomware-frag

Report completeness: Low

Actors/Campaigns:
Stac_5881

Threats:
Frag_ransomware
Fog_ransomware
Akira_ransomware

CVEs:
CVE-2024-40711 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam backup & replication (<12.2.0.334)


ChatGPT TTPs:
do not use without manual check
T1190, T1486, T1106

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении и анализе нового варианта программы-вымогателя под названием "Frag", связанного с хакерским кластером STAC 5881, который использует уязвимость в серверах резервного копирования Veeam. В тексте рассказывается о тактике, используемой хакером, сходстве с другими вариантами программ-вымогателей, такими как Akira и Fog, а также о важности упреждающих мер кибербезопасности в ответ на возникающие угрозы в сфере кибербезопасности.
-----

Компания Sophos X-Ops недавно сообщила о многочисленных случаях управляемого обнаружения и реагирования (MDR), связанных с использованием хакерами уязвимости в серверах резервного копирования Veeam. Уязвимость, идентифицированная как CVE-2024-40711, была использована кластером активности угроз с пометкой STAC 5881. Эти атаки в основном были нацелены на скомпрометированные устройства VPN для получения доступа, используя уязвимость Veeam для создания новой учетной записи локального администратора с именем "point". Некоторые случаи в этом кластере привели к развертыванию программ-вымогателей Akira или Fog. Вирус Akira, который был впервые обнаружен в 2023 году, с середины октября проявляет признаки бездействия, а его сайт по утечке информации теперь отключен. С другой стороны, программа-вымогатель Fog дебютировала ранее в этом году, впервые обнаруженная в мае.

Недавний инцидент с кибербезопасностью выявил новый вариант программы-вымогателя под названием "Frag", связанный с тактикой кластера угроз STAC 5881. Хакер, стоящий за Frag, использовал взломанное VPN-устройство для проникновения в целевую среду, воспользовался уязвимостью Veeam и создал две новые учетные записи, "point" и "point2". Программа-вымогатель Frag запускается с помощью командной строки, позволяя злоумышленнику указать параметры шифрования, такие как процент шифрования файлов и целевые каталоги или отдельные файлы. Зашифрованные файлы помечаются символом .расширение frag. К счастью, в ходе описанного инцидента система Sophos endpoint protection предотвратила распространение программы-вымогателя Frag с помощью функции CryptoGuard. Кроме того, был встроен механизм обнаружения двоичного кода программы-вымогателя.

Agger Labs отметила сходство тактики, методов и процедур, используемых злоумышленником Frag, с операторами программ-вымогателей Akira и Fog. Это наблюдение указывает на потенциальную связь между Frag и ранее выявленными группами угроз. Sophos X-Ops активно отслеживает появление новой программы-вымогателя, которая, как предполагается, имеет сходство с группой программ-вымогателей Akira. Ведется непрерывный мониторинг поведения этих угроз, и мы стремимся предоставлять обновленную техническую информацию по мере поступления новой информации.

Меняющийся ландшафт угроз указывает на наличие постоянного и изощренного противника, использующего известные уязвимости в критически важной инфраструктуре, что подчеркивает необходимость принятия упреждающих мер кибербезопасности и надежных механизмов защиты. Поскольку хакеры постоянно совершенствуют свою тактику и внедряют новые варианты вредоносных программ, организации должны сохранять бдительность, повышать уровень своей безопасности и быть в курсе возникающих киберугроз, чтобы эффективно снижать потенциальные риски. Следите за дальнейшими разработками и подробным техническим анализом в рамках текущего расследования в области кибербезопасности.

#ParsedReport #CompletenessHigh
09-11-2024

Silent Skimmer Gets Loud (Again)

https://unit42.paloaltonetworks.com/silent-skimmer-latest-campaign

Report completeness: High

Actors/Campaigns:
Silent_skimmer (motivation: financially_motivated)
Blackcat

Threats:
Godpotato_tool
Ringq_tool
Netstat_tool
Lolbin_technique
Qvm250_tool
Putty_tool
Cobalt_strike
Blackcat

Geo:
Apac, America, Emea, Japan

CVEs:
CVE-2017-11317 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- telerik ui for asp.net ajax (le2016.3.1027, 2017.2.503, 2017.2.621)

CVE-2019-18935 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- telerik ui for asp.net ajax (le2020.1.114)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1068, T1190, T1027, T1566.001, T1105, T1213, T1107, T1140

IOCs:
Path: 6
Registry: 1
Command: 2
Url: 6
File: 5
Hash: 29
Domain: 1
IP: 15

Soft:
ASP.NET, Windows Defender, PyInstaller

Algorithms:
sha256, base64

Languages:
powershell, python

Links:
https://github.com/fatedier/frp
have more...
https://github.com/BeichenDream/GodPotato
https://github.com/editso/fuso

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хакер взломал веб-серверы, принадлежащие многонациональной организации, базирующейся в Северной Америке, используя различные сложные методы и инструменты для осуществления своей вредоносной деятельности. Для борьбы с такими угрозами Palo Alto Networks рекомендует использовать свои службы безопасности и подчеркивает важность своевременного устранения уязвимостей и соблюдения мер кибербезопасности. Организациям рекомендуется использовать передовые решения в области безопасности и обмениваться информацией об угрозах для усиления мер кибербезопасности и защиты от постоянных угроз.
-----

В конце мая 2024 года исследователи Unit 42 обнаружили злоумышленника, который скомпрометировал несколько веб-серверов, принадлежащих многонациональной организации, базирующейся в Северной Америке. Действия хакера были приписаны тому же субъекту, который стоял за кампанией Silent Skimmer, проводившейся в сентябре 2023 года и нацеленной на организации, занимающиеся платежной инфраструктурой. Для борьбы с такими угрозами Palo Alto Networks рекомендует своим клиентам использовать различные службы безопасности, такие как Cortex XDR, XSIAM и Advanced Threat Prevention.

Хакер воспользовался такими уязвимостями, как CVE-2017-11317 и CVE-2019-18935, для достижения своих целей. Они использовали инструменты туннелирования и обратного прокси, такие как Fuso и FRP, для доступа к скомпрометированным серверам в Интернет, что способствовало дальнейшим атакам. GodPotato использовался для повышения привилегий, выполняя команды PowerShell, чтобы избежать обнаружения защитником Windows.

Хакер использовал сборки в смешанном режиме для встраивания в них собственного кода на C++.Двоичные файлы NET, что затрудняло инструментам анализа выявление вредоносной полезной нагрузки. Используя такие методы, как создание двоичных файлов-оболочек .NET, злоумышленники смогли незаметно выполнить вредоносный код. Кроме того, хакер использовал загрузчик RingQ, который автоматически шифрует и загружает двоичные файлы, помогая скрытно выполнять вредоносную полезную нагрузку.

Получив доступ к серверам с помощью уязвимостей Telerik, хакер установил постоянство, развернув веб-оболочки и обратные оболочки PowerShell с разных IP-адресов. Они использовали такие методы, как выполнение VBScript и команды PowerShell в кодировке Base64, для поддержания контроля над скомпрометированными системами. Примечательно, что было обнаружено сходство между этой деятельностью и предыдущими инцидентами, связанными с амбициозной программой-вымогателем Scorpius.

Ключевым открытием в ходе расследования стало то, что хакер использовал скомпилированный скрипт на Python для извлечения платежной информации из базы данных организации-жертвы и сохранения ее в CSV-файле для последующей фильтрации. Несмотря на эволюционирующие методы, используемые хакерами, их методология оставалась в соответствии с предыдущими кампаниями, подчеркивая важность своевременного устранения уязвимостей и бдительных методов обеспечения кибербезопасности.

Благодаря согласованию аналитических данных об угрозах и совместному использованию индикаторов компрометации (IOCs) организации могут лучше защищаться от постоянных угроз, таких как бесшумный скиммер. Palo Alto Networks в сотрудничестве с Альянсом по борьбе с киберугрозами (CTA) распространяет информацию об угрозах для усиления мер кибербезопасности в отрасли. Используя передовые решения в области безопасности, организации могут активно защищать свои системы от возникающих киберугроз.

#ParsedReport #CompletenessLow
10-11-2024

Malware Steals Account Credentials

https://blog.sucuri.net/2024/11/malware-steals-account-credentials.html

Report completeness: Low

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1059, T1001, T1056, T1078

Soft:
LastPass, CPanel, Linux

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте рассказывается о том, как вредоносные программы атакуют сайты электронной коммерции с целью кражи данных кредитных карт, а злоумышленники выходят за рамки кражи данных учетной записи клиента и учетных данных администратора. Рассматривается инцидент, связанный с сильно запутанным вредоносным ПО, адаптированным для конкретного сайта электронной коммерции, демонстрирующий использование имен случайных величин и функций в шестнадцатеричном коде для обфускации. Вредоносный скрипт был нацелен на извлечение данных из форм оформления заказа и был связан с доменом, известным своей вредоносной программой. Целью злоумышленников было получить данные для входа в систему администратора, что позволило бы им манипулировать сайтом и использовать его в дальнейшем. В тексте также кратко упоминается Мэтт, аналитик по кибербезопасности, и его роль в Sucuri.
-----

Сайты электронной коммерции часто становятся мишенью вредоносных программ, которые пытаются украсть данные кредитной карты, используя скрипты для извлечения данных из форм оформления заказа. Злоумышленники используют такие поля, как имя владельца карты, номер карты и срок ее действия, для незаконных целей, таких как продажа на черном рынке. Однако в некоторых случаях злоумышленники используют не только данные кредитной карты, но и крадут данные учетной записи клиента и учетные данные администратора. Был зафиксирован такой случай, когда вредоносное ПО с сильно запутанным программным обеспечением было разработано специально для целевого сайта электронной коммерции.

Вредоносный скрипт использовал переменные с произвольными именами и шестнадцатеричные имена функций для обфускации. В конце скрипта присутствовала функция для перебора значений массива форм. Скрипт был связан с доменом, известным своей вредоносной программой, размещенной рядом с доменами, связанными с учетной записью клиента и кражей кредитных карт. Примечательно, что это вредоносное ПО было разработано специально для внедренного сайта и выполняло поиск определенных переменных в форме входа. Как только злоумышленники получали данные для входа в систему администратора, они могли манипулировать дизайном сайта, устанавливать вредоносные модули или изменять настройки платежного шлюза для дальнейшего использования.

Мэтт, аналитик по кибербезопасности в Sucuri с 2018 года, обладает обширным опытом работы с серверами Linux и Windows. Его роль заключается в выявлении и удалении вредоносных программ для веб-сайтов и отслеживании новых тенденций в области вредоносных атак. Помимо работы, Мэтт занимается созданием музыки или ухаживает за своим садом.

#ParsedReport #CompletenessHigh
09-11-2024

Mozi Resurfaces as Androxgh0st Botnet: Unraveling The Latest Exploitation Wave

https://www.cloudsek.com/blog/mozi-resurfaces-as-androxgh0st-botnet-unraveling-the-latest-exploitation-wave

Report completeness: High

Threats:
Mozi
Androxgh0st
Webadmin_tool
Netstat_tool

Industry:
Iot

Geo:
Jamaica, China, Chinese, Albania, India

CVEs:
CVE-2018-15133 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- laravel (le5.5.40, le5.6.29)

CVE-2014-2120 [Vulners]
CVSS V3.1: 4.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (-)

CVE-2021-41773 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache http server (2.4.49)

CVE-2021-41277 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- metabase (0.40.0, 0.40.1, 0.40.2, 0.40.3, 0.40.4)

CVE-2018-10562 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dasannetworks gpon router firmware (-)

CVE-2021-26086 [Vulners]
CVSS V3.1: 5.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian jira data center (<8.5.14, <8.13.6, <8.16.1)
- atlassian jira server (<8.5.14, <8.13.6, <8.16.1)

CVE-2022-21587 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle e-business suite (le12.2.11)

CVE-2018-10561 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dasannetworks gpon router firmware (-)

CVE-2017-9841 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- phpunit project phpunit (le4.8.27, <5.6.3)

CVE-2023-1389 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tp-link archer ax21 firmware (<1.1.4)

CVE-2024-4577 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- php (<8.1.29, <8.2.20, <8.3.8)

CVE-2024-36401 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- geoserver (<2.23.6, <2.24.4, <2.25.2)
- geotools (<29.6, <30.4, <31.2)

CVE-2022-1040 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos sfos (le18.5.3)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1078, T1210, T1505, T1071

IOCs:
File: 4
Url: 2
IP: 7
Domain: 1
Hash: 16

Soft:
Laravel, Metabase, Wordpress, curl, crontab

Algorithms:
md5, exhibit

Functions:
move_uploaded_file

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в развитии угрозы, исходящей от ботнета Androxgh0st, его сотрудничестве с ботнетом Mozi и рекомендуемых превентивных мерах кибербезопасности для снижения рисков, связанных с этими сложными ботнетами.
-----

Ботнет Androxgh0st, представляющий серьезную угрозу, выявленную исследовательской группой CloudSEK, активно использует многочисленные уязвимости с января 2024 года. Примечательно, что недавние данные указывают на потенциальное сотрудничество с ботнетом Mozi, расширяющим свой охват за пределы веб-серверов и включающим устройства Интернета вещей. Ботнет нацелен на различные технологии, такие как Cisco ASA, Atlassian JIRA и PHP-фреймворки, используя уязвимости для получения несанкционированного доступа и выполнения удаленных команд. В ответ на растущие угрозы, исходящие от Androxgh0st, CloudSEK рекомендует немедленно устранить выявленные уязвимости, чтобы снизить риски, связанные с этим сложным ботнетом.

Было замечено, что ботнет Androxgh0st использует CVE-2023-1389 и CVE-2024-36401, уделяя особое внимание таким тактикам, как использование уязвимостей PHP в PHPUnit, нацеливание на фреймворки Laravel и использование уязвимостей веб-сервера Apache. Эти методы позволяют хакерам получать доступ через черный ход, красть учетные данные и удаленно выполнять произвольный код, что потенциально может привести к компрометации конфиденциальных данных и учетных данных с правами доступа. Это подчеркивает эволюционный характер тактики ботнета и необходимость принятия упреждающих мер кибербезопасности для защиты от таких атак.

Кроме того, ботнет Mozi, который имел значительное присутствие в Китае, Индии и Албании, был нацелен на устройства Интернета вещей и маршрутизаторы, прежде чем был взломан китайскими правоохранительными органами в 2021 году. Несмотря на это вмешательство, остатки ботнета Mozi все еще сохраняются, что подчеркивает постоянную угрозу, создаваемую ботнетами. Интеграция полезной нагрузки Mozi в Androxgh0st указывает на потенциальное сотрудничество между двумя ботнетами, совместное использование инфраструктуры и тактик заражения, таких как внедрение команд, утечка учетных данных и использование уязвимостей, связанных с IoT.

В рамках инициативы CloudSEK TRIAD ведется активная работа по выявлению вредоносной инфраструктуры, связанной с ботнетом Androxgh0st, выявляя неправильно настроенные серверы ведения журнала и управления, используемые агентами ботнета. Анализ сообщений и веб-запросов, регистрируемых на этих серверах, позволяет получить представление об уязвимостях, используемых ботнетом, что способствует разработке упреждающих стратегий устранения угроз. Кроме того, конкретные признаки компрометации, такие как подозрительные HTTP-запросы и необычные попытки входа в систему, выделяются в качестве ключевых признаков вредоносной деятельности Androxgh0st, призывая организации сохранять бдительность и принимать соответствующие защитные меры.

Для борьбы с растущей угрозой, исходящей от Androxgh0st, и потенциальным сотрудничеством с Mozi организациям рекомендуется отслеживать подозрительные процессы, проверять критически важные каталоги на наличие вредоносной полезной нагрузки и тщательно проверять сетевые подключения на наличие признаков активности ботнета. Регулярное обновление встроенного ПО и программного обеспечения, проведение проверок целостности файлов и внедрение средств обнаружения конечных точек и реагирования на них являются важными шагами для обнаружения и предотвращения заражения Androxgh0st. Кроме того, постоянная оценка уязвимостей, мониторинг несанкционированных изменений настроек брандмауэра и аудит системных журналов на предмет выявления вредоносных действий являются важными методами повышения устойчивости кибербезопасности к изощренным атакам ботнетов.

#ParsedReport #CompletenessMedium
09-11-2024

WISH STEALER

https://www.cyfirma.com/research/wish-stealer

Report completeness: Medium

Threats:
Wish_stealer
Antidebugging_technique
Dll_sideloading_technique
Process_injection_technique

Industry:
Financial

TTPs:
Tactics: 6
Technics: 9

IOCs:
File: 5
Hash: 1

Soft:
Discord, Chromium, Centbrowser, 360browser, Node.js

Wallets:
tron, metamask, exodus_wallet, coinbase, tokenpocket

Crypto:
bitcoin, ethereum, litecoin, binance

Algorithms:
zip, md5

Functions:
Get-Clipboard, Set-Clipboard, getWallets, getExtension

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 11, table: 1, windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4