CTT Report Hub
#ParsedReport #CompletenessHigh 14-11-2024 Autumn escalation: how pro-government hacker groups attack Russian enterprises linked to the SVO https://www.facct.ru/blog/apt-autumn Report completeness: High Actors/Campaigns: Core_werewolf (motivation: cyber_espionage)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в анализе кибератак, проведенных четырьмя различными группами - Core Werewolf, Unicorn, Sticky Werewolf и Cloud Atlas, - с акцентом на их тактику, методы и процедуры, направленные против различных организаций и отраслей, особенно в контексте кибершпионажа.
-----
В блоге анализируются кибератаки, проведенные Core Werewolf, Unicorn, Sticky Werewolf и Cloud Atlas, с акцентом на обновлениях их тактики, методов и процедур (TTP).
Core Werewolf, кибершпионажная группа, нацеленная на российские организации, связанные с военно-промышленным комплексом, использует в своих кампаниях программное обеспечение UltraVNC и MeshCentral. Их атаки связаны с использованием цепочки скриптов VBS для развертывания UltraVNC, а недавнее обнаружение нового SSH-бэкдора приписывается этой группе. Эта группа работает с августа 2021 года и продемонстрировала изменение тактики: от использования сценариев AutoIt к сценариям VBS для развертывания UltraVNC.
Unicorn, еще одна группа APT, недавно выявленная в сентябре 2024 года, нацелена на российские энергетические компании, заводы и поставщиков электронных компонентов. Они были названы в честь пользовательского вредоносного ПО Trojan-Spy.VBS.Unicorn, которое использовалось в их атаках. Принцип работы Unicorn заключается в распространении вредоносных файлов, замаскированных под законные документы, чтобы заманить жертв к их загрузке и выполнению.
Группировка Sticky Werewolf, действующая с апреля 2023 года, использует в своих атаках широко доступные инструменты, что облегчает их обнаружение и блокирование. Они известны тем, что используют в своих кампаниях КРЫСУ темного следа. Недавние выводы специалистов F.A.C.C.T. по анализу угроз связывают эту группу с атаками на компании оборонной промышленности и поставщиков с использованием определенной цепочки атак, включающей архивы RAR, NSIS EXE, Powershell stegodownloader и полезную нагрузку DarkTrack RAT.
Cloud Atlas, проправительственная APT-группа, действующая как минимум с 2014 года, специализируется на кибершпионаже и атаках на промышленные предприятия и государственные компании. Их атаки, как правило, включают целевые рассылки по электронной почте с вредоносными вложениями. В недавнем случае Cloud Atlas замаскировал вредоносную деятельность под поддержку участников SVO, используя приманку, такую как приложения для патриотических акций. Они были особенно активны в атаках на российские организации, поддерживающие SVO, используя удаленную загрузку шаблонов, встроенных в вредоносные документы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в анализе кибератак, проведенных четырьмя различными группами - Core Werewolf, Unicorn, Sticky Werewolf и Cloud Atlas, - с акцентом на их тактику, методы и процедуры, направленные против различных организаций и отраслей, особенно в контексте кибершпионажа.
-----
В блоге анализируются кибератаки, проведенные Core Werewolf, Unicorn, Sticky Werewolf и Cloud Atlas, с акцентом на обновлениях их тактики, методов и процедур (TTP).
Core Werewolf, кибершпионажная группа, нацеленная на российские организации, связанные с военно-промышленным комплексом, использует в своих кампаниях программное обеспечение UltraVNC и MeshCentral. Их атаки связаны с использованием цепочки скриптов VBS для развертывания UltraVNC, а недавнее обнаружение нового SSH-бэкдора приписывается этой группе. Эта группа работает с августа 2021 года и продемонстрировала изменение тактики: от использования сценариев AutoIt к сценариям VBS для развертывания UltraVNC.
Unicorn, еще одна группа APT, недавно выявленная в сентябре 2024 года, нацелена на российские энергетические компании, заводы и поставщиков электронных компонентов. Они были названы в честь пользовательского вредоносного ПО Trojan-Spy.VBS.Unicorn, которое использовалось в их атаках. Принцип работы Unicorn заключается в распространении вредоносных файлов, замаскированных под законные документы, чтобы заманить жертв к их загрузке и выполнению.
Группировка Sticky Werewolf, действующая с апреля 2023 года, использует в своих атаках широко доступные инструменты, что облегчает их обнаружение и блокирование. Они известны тем, что используют в своих кампаниях КРЫСУ темного следа. Недавние выводы специалистов F.A.C.C.T. по анализу угроз связывают эту группу с атаками на компании оборонной промышленности и поставщиков с использованием определенной цепочки атак, включающей архивы RAR, NSIS EXE, Powershell stegodownloader и полезную нагрузку DarkTrack RAT.
Cloud Atlas, проправительственная APT-группа, действующая как минимум с 2014 года, специализируется на кибершпионаже и атаках на промышленные предприятия и государственные компании. Их атаки, как правило, включают целевые рассылки по электронной почте с вредоносными вложениями. В недавнем случае Cloud Atlas замаскировал вредоносную деятельность под поддержку участников SVO, используя приманку, такую как приложения для патриотических акций. Они были особенно активны в атаках на российские организации, поддерживающие SVO, используя удаленную загрузку шаблонов, встроенных в вредоносные документы.
#ParsedReport #CompletenessHigh
14-11-2024
BLACK BASTA : RANSOMWARE
https://www.cyfirma.com/research/black-basta-ransomware
Report completeness: High
Actors/Campaigns:
Blackbasta
Threats:
Blackbasta
Spear-phishing_technique
Credential_dumping_technique
Quick_assist_tool
Anydesk_tool
Systembc
Cobalt_strike
Rhysida
Gootkit
Emotet
Brc4_tool
Qakbot
Mimikatz_tool
Rclone_tool
Screenconnect_tool
Splashtop_tool
Evilproxy_tool
Backstab_tool
Netcat_tool
Netsupportmanager_rat
Industry:
Retail, Healthcare, Entertainment, Financial
TTPs:
Tactics: 11
Technics: 25
IOCs:
File: 5
Hash: 4
Domain: 4
Soft:
Windows Service, Microsoft Teams, Microsoft Defender, PSExec, WinSCP
Algorithms:
sha256, base64, md5
Languages:
powershell
YARA: Found
14-11-2024
BLACK BASTA : RANSOMWARE
https://www.cyfirma.com/research/black-basta-ransomware
Report completeness: High
Actors/Campaigns:
Blackbasta
Threats:
Blackbasta
Spear-phishing_technique
Credential_dumping_technique
Quick_assist_tool
Anydesk_tool
Systembc
Cobalt_strike
Rhysida
Gootkit
Emotet
Brc4_tool
Qakbot
Mimikatz_tool
Rclone_tool
Screenconnect_tool
Splashtop_tool
Evilproxy_tool
Backstab_tool
Netcat_tool
Netsupportmanager_rat
Industry:
Retail, Healthcare, Entertainment, Financial
TTPs:
Tactics: 11
Technics: 25
IOCs:
File: 5
Hash: 4
Domain: 4
Soft:
Windows Service, Microsoft Teams, Microsoft Defender, PSExec, WinSCP
Algorithms:
sha256, base64, md5
Languages:
powershell
YARA: Found
CYFIRMA
BLACK BASTA : RANSOMWARE - CYFIRMA
EXECUTIVE SUMMARY Black Basta, known for its targeted attacks across multiple industries, emerged as a formidable ransomware group in 2022....
CTT Report Hub
#ParsedReport #CompletenessHigh 14-11-2024 BLACK BASTA : RANSOMWARE https://www.cyfirma.com/research/black-basta-ransomware Report completeness: High Actors/Campaigns: Blackbasta Threats: Blackbasta Spear-phishing_technique Credential_dumping_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте рассказывается о деятельности и тактике группы вымогателей Black Basta, подробно описываются методы их работы, ключевые инструменты, такие как SystemBC, используемые семейства вредоносных программ, процедуры атаки и стратегии защиты от их атак. В нем подчеркивается важность надежных мер кибербезопасности, обучения сотрудников и возможностей быстрого реагирования для организаций в борьбе с меняющимся ландшафтом угроз, создаваемых продвинутыми группами программ-вымогателей.
-----
Black Basta, печально известная группа программ-вымогателей, с момента своего появления в 2022 году оказала значительное влияние на широкий спектр отраслей промышленности. Используя тактику социальной инженерии и передовые вредоносные программы, Black Basta успешно взломала более 500 организаций по всему миру, требуя выкуп с угрозой раскрытия конфиденциальных данных. Группа использует различные тактики, такие как фишинг, использование уязвимостей и двойное вымогательство, чтобы оказать максимальное давление на жертв и добиться удовлетворения их требований.
Одним из ключевых инструментов, используемых Black Basta, является SystemBC, троян удаленного доступа (RAT), действующий как прокси-сервер SOCKS5. Этот инструмент позволяет группе устанавливать постоянный доступ к скомпрометированным сетям и доставлять дополнительные вредоносные программы, расширяя их возможности для атаки. Помимо SystemBC, Black Basta использует в своей работе различные семейства вредоносных программ, включая Rhysida, Cuba, Gootloader, Cobalt Strike и Emotet. Они также предоставляют инструкции по блокированию их полезной нагрузки с помощью хэширования в антивирусных системах нового поколения (NGAV) или системах обнаружения и реагирования на конечные точки (EDR), что позволяет организациям активно защищаться от их атак.
Методы атаки группы включают в себя несколько этапов, начиная с установки вредоносного ПО через спам-рассылку по электронной почте или выдачу себя за сотрудников службы технической поддержки на таких платформах, как Microsoft Teams. Они также используют законные средства удаленного доступа к рабочему столу, такие как AnyDesk и Quick Assist, для получения первоначального доступа к целевым сетям. Оказавшись внутри, Black Basta использует такие инструменты, как Cobalt Strike, для горизонтального перемещения, выполнения команд и развертывания дополнительных полезных программ, что в конечном итоге приводит к шифрованию и вымогательству у программ-вымогателей.
Чтобы усилить давление на своих жертв, Black Basta использует функцию внешних коммуникаций Microsoft Teams, выдавая себя за службу ИТ-поддержки и доставляя вредоносную информацию непосредственно пользователям. Это позволяет обойти традиционные методы фишинга, основанные на электронной почте, что делает их атаки более обманчивыми и их трудно обнаружить. Программа-вымогатель, установленная Black Basta, создает несколько экземпляров уведомлений о требовании выкупа в виде файлов с именами readme.txt или instructions_read_me.txt, что подчеркивает срочность и серьезность их требований.
Тактика, применяемая Black Basta, подчеркивает исключительную важность надежных мер кибербезопасности для организаций. Такие стратегии, как инвестирование в комплексные решения для обеспечения безопасности, регулярное обучение сотрудников и развитие возможностей быстрого реагирования, необходимы для эффективной борьбы с меняющимся ландшафтом угроз, создаваемых передовыми группами программ-вымогателей, такими как Black Basta. Понимая инструменты и тактику, используемые такими хакерами, организации могут лучше подготовиться к защите от потенциальных атак и снизить риски, связанные с киберугрозами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: В тексте рассказывается о деятельности и тактике группы вымогателей Black Basta, подробно описываются методы их работы, ключевые инструменты, такие как SystemBC, используемые семейства вредоносных программ, процедуры атаки и стратегии защиты от их атак. В нем подчеркивается важность надежных мер кибербезопасности, обучения сотрудников и возможностей быстрого реагирования для организаций в борьбе с меняющимся ландшафтом угроз, создаваемых продвинутыми группами программ-вымогателей.
-----
Black Basta, печально известная группа программ-вымогателей, с момента своего появления в 2022 году оказала значительное влияние на широкий спектр отраслей промышленности. Используя тактику социальной инженерии и передовые вредоносные программы, Black Basta успешно взломала более 500 организаций по всему миру, требуя выкуп с угрозой раскрытия конфиденциальных данных. Группа использует различные тактики, такие как фишинг, использование уязвимостей и двойное вымогательство, чтобы оказать максимальное давление на жертв и добиться удовлетворения их требований.
Одним из ключевых инструментов, используемых Black Basta, является SystemBC, троян удаленного доступа (RAT), действующий как прокси-сервер SOCKS5. Этот инструмент позволяет группе устанавливать постоянный доступ к скомпрометированным сетям и доставлять дополнительные вредоносные программы, расширяя их возможности для атаки. Помимо SystemBC, Black Basta использует в своей работе различные семейства вредоносных программ, включая Rhysida, Cuba, Gootloader, Cobalt Strike и Emotet. Они также предоставляют инструкции по блокированию их полезной нагрузки с помощью хэширования в антивирусных системах нового поколения (NGAV) или системах обнаружения и реагирования на конечные точки (EDR), что позволяет организациям активно защищаться от их атак.
Методы атаки группы включают в себя несколько этапов, начиная с установки вредоносного ПО через спам-рассылку по электронной почте или выдачу себя за сотрудников службы технической поддержки на таких платформах, как Microsoft Teams. Они также используют законные средства удаленного доступа к рабочему столу, такие как AnyDesk и Quick Assist, для получения первоначального доступа к целевым сетям. Оказавшись внутри, Black Basta использует такие инструменты, как Cobalt Strike, для горизонтального перемещения, выполнения команд и развертывания дополнительных полезных программ, что в конечном итоге приводит к шифрованию и вымогательству у программ-вымогателей.
Чтобы усилить давление на своих жертв, Black Basta использует функцию внешних коммуникаций Microsoft Teams, выдавая себя за службу ИТ-поддержки и доставляя вредоносную информацию непосредственно пользователям. Это позволяет обойти традиционные методы фишинга, основанные на электронной почте, что делает их атаки более обманчивыми и их трудно обнаружить. Программа-вымогатель, установленная Black Basta, создает несколько экземпляров уведомлений о требовании выкупа в виде файлов с именами readme.txt или instructions_read_me.txt, что подчеркивает срочность и серьезность их требований.
Тактика, применяемая Black Basta, подчеркивает исключительную важность надежных мер кибербезопасности для организаций. Такие стратегии, как инвестирование в комплексные решения для обеспечения безопасности, регулярное обучение сотрудников и развитие возможностей быстрого реагирования, необходимы для эффективной борьбы с меняющимся ландшафтом угроз, создаваемых передовыми группами программ-вымогателей, такими как Black Basta. Понимая инструменты и тактику, используемые такими хакерами, организации могут лучше подготовиться к защите от потенциальных атак и снизить риски, связанные с киберугрозами.
#ParsedReport #CompletenessMedium
14-11-2024
ShrinkLocker (+Decryptor): From Friend to Foe, and Back Again
https://www.bitdefender.com/en-us/blog/businessinsights/shrinklocker-decryptor-from-friend-to-foe-and-back-again
Report completeness: Medium
Threats:
Shrinklocker
Bitlocker
Supply_chain_technique
Victims:
Healthcare company
Industry:
Healthcare
Geo:
Middle east
ChatGPT TTPs:
T1021.001, T1053.005, T1562.004, T1021.002, T1490, T1105, T1218.011
IOCs:
File: 8
Path: 2
Hash: 1
Command: 1
Registry: 1
Soft:
BitLocker, Active Directory, TryCloudflare, Windows Firewall
Algorithms:
md5
Languages:
rust, powershell
14-11-2024
ShrinkLocker (+Decryptor): From Friend to Foe, and Back Again
https://www.bitdefender.com/en-us/blog/businessinsights/shrinklocker-decryptor-from-friend-to-foe-and-back-again
Report completeness: Medium
Threats:
Shrinklocker
Bitlocker
Supply_chain_technique
Victims:
Healthcare company
Industry:
Healthcare
Geo:
Middle east
ChatGPT TTPs:
do not use without manual checkT1021.001, T1053.005, T1562.004, T1021.002, T1490, T1105, T1218.011
IOCs:
File: 8
Path: 2
Hash: 1
Command: 1
Registry: 1
Soft:
BitLocker, Active Directory, TryCloudflare, Windows Firewall
Algorithms:
md5
Languages:
rust, powershell
Bitdefender Blog
ShrinkLocker (+Decryptor): From Friend to Foe, and Back Again
Imagine a ransomware attack that's so old-school it's using VBScript and a built-in Windows feature for encryption.
CTT Report Hub
#ParsedReport #CompletenessMedium 14-11-2024 ShrinkLocker (+Decryptor): From Friend to Foe, and Back Again https://www.bitdefender.com/en-us/blog/businessinsights/shrinklocker-decryptor-from-friend-to-foe-and-back-again Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что ShrinkLocker - это уникальная разновидность программы-вымогателя, обнаруженная в мае 2024 года, которая отличается использованием устаревших технологий, нетрадиционных методов шифрования, простотой выполнения атак и ориентацией на корпоративные организации. Несмотря на то, что ShrinkLocker основан на устаревшем коде, он представляет серьезную угрозу для организаций из-за своей адаптивности, методов шифрования и возможности атак на цепочки поставок. Разработка средств дешифрования для этой программы-вымогателя является сложной задачей, а использование устаревших систем и VBScript подчеркивает ее устаревший характер. Усилия по пониманию и снижению рисков, связанных с ShrinkLocker, имеют решающее значение для специалистов по безопасности и исследователей в области защиты от подобных атак.
-----
ShrinkLocker - это вирус-вымогатель, обнаруженный в мае 2024 года, который использует VBScript и BitLocker для шифрования систем, что делает его уникальным среди современных программ-вымогателей, использующих передовые алгоритмы шифрования.
Он генерирует уникальный пароль, загружает его на сервер злоумышленника и требует выкуп за ключ дешифрования, представляя значительную угрозу из-за своей простоты и эффективности при шифровании нескольких систем в сети с использованием объектов групповой политики (GPO) и запланированных задач.
Похоже, что код для ShrinkLocker был переработан более десяти лет назад, и в нем отсутствуют современные описания его поведения в современных сетях, несмотря на его эффективность при атаках.
Несмотря на растущее число программ-вымогателей, использующих передовые технологии, для ShrinkLocker был разработан дешифратор для восстановления данных путем удаления средств защиты с дисков, зашифрованных BitLocker, наряду с 32 другими инструментами дешифрования.
Программа-вымогатель нацелена на устаревшие системы, такие как Windows 7/8 и Windows Server 2008/2012, использует устаревший VBScript и демонстрирует настраиваемое поведение, ориентированное на конкретные организации, а также пытается отключить меры безопасности и поддерживать конфиденциальные соединения.
Наблюдения показывают, что ShrinkLocker переключился на корпоративные структуры, демонстрируя угрозу цепочке поставок путем проникновения через неуправляемые системы, а адаптация указывает на более широкую доступность для злоумышленников независимо от навыков программирования.
Понимание и снижение рисков, связанных с ShrinkLocker, имеют решающее значение для специалистов по безопасности и исследователей в области защиты от этой нетрадиционной угрозы со стороны программ-вымогателей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в том, что ShrinkLocker - это уникальная разновидность программы-вымогателя, обнаруженная в мае 2024 года, которая отличается использованием устаревших технологий, нетрадиционных методов шифрования, простотой выполнения атак и ориентацией на корпоративные организации. Несмотря на то, что ShrinkLocker основан на устаревшем коде, он представляет серьезную угрозу для организаций из-за своей адаптивности, методов шифрования и возможности атак на цепочки поставок. Разработка средств дешифрования для этой программы-вымогателя является сложной задачей, а использование устаревших систем и VBScript подчеркивает ее устаревший характер. Усилия по пониманию и снижению рисков, связанных с ShrinkLocker, имеют решающее значение для специалистов по безопасности и исследователей в области защиты от подобных атак.
-----
ShrinkLocker - это вирус-вымогатель, обнаруженный в мае 2024 года, который использует VBScript и BitLocker для шифрования систем, что делает его уникальным среди современных программ-вымогателей, использующих передовые алгоритмы шифрования.
Он генерирует уникальный пароль, загружает его на сервер злоумышленника и требует выкуп за ключ дешифрования, представляя значительную угрозу из-за своей простоты и эффективности при шифровании нескольких систем в сети с использованием объектов групповой политики (GPO) и запланированных задач.
Похоже, что код для ShrinkLocker был переработан более десяти лет назад, и в нем отсутствуют современные описания его поведения в современных сетях, несмотря на его эффективность при атаках.
Несмотря на растущее число программ-вымогателей, использующих передовые технологии, для ShrinkLocker был разработан дешифратор для восстановления данных путем удаления средств защиты с дисков, зашифрованных BitLocker, наряду с 32 другими инструментами дешифрования.
Программа-вымогатель нацелена на устаревшие системы, такие как Windows 7/8 и Windows Server 2008/2012, использует устаревший VBScript и демонстрирует настраиваемое поведение, ориентированное на конкретные организации, а также пытается отключить меры безопасности и поддерживать конфиденциальные соединения.
Наблюдения показывают, что ShrinkLocker переключился на корпоративные структуры, демонстрируя угрозу цепочке поставок путем проникновения через неуправляемые системы, а адаптация указывает на более широкую доступность для злоумышленников независимо от навыков программирования.
Понимание и снижение рисков, связанных с ShrinkLocker, имеют решающее значение для специалистов по безопасности и исследователей в области защиты от этой нетрадиционной угрозы со стороны программ-вымогателей.
#ParsedReport #CompletenessMedium
14-11-2024
New PXA Stealer targets government and education sectors for sensitive information. Victimology and targeted information. New PXA Stealer targets government and education sectors for sensitive information
https://blog.talosintelligence.com/new-pxa-stealer
Report completeness: Medium
Actors/Campaigns:
Coralraider
Muddywater
Threats:
Pxa_stealer
Industry:
Government, Entertainment, Education
Geo:
Denmark, Asia, Sweden, Vietnam, India, Vietnamese
IOCs:
Domain: 2
Hash: 1
File: 18
Url: 3
Path: 3
Registry: 1
Soft:
Telegram, Windows Security, Google Chrome, Firefox, Mozilla Firefox, Pale Moon, SeaMonkey, Waterfox, IceDragon, Cyberfox, have more...
Algorithms:
base64, zip, aes, 3des
Functions:
Remove-Item
Win API:
CryptUnprotectData
Languages:
rust, powershell, javascript, python
Platforms:
x86
Links:
14-11-2024
New PXA Stealer targets government and education sectors for sensitive information. Victimology and targeted information. New PXA Stealer targets government and education sectors for sensitive information
https://blog.talosintelligence.com/new-pxa-stealer
Report completeness: Medium
Actors/Campaigns:
Coralraider
Muddywater
Threats:
Pxa_stealer
Industry:
Government, Entertainment, Education
Geo:
Denmark, Asia, Sweden, Vietnam, India, Vietnamese
IOCs:
Domain: 2
Hash: 1
File: 18
Url: 3
Path: 3
Registry: 1
Soft:
Telegram, Windows Security, Google Chrome, Firefox, Mozilla Firefox, Pale Moon, SeaMonkey, Waterfox, IceDragon, Cyberfox, have more...
Algorithms:
base64, zip, aes, 3des
Functions:
Remove-Item
Win API:
CryptUnprotectData
Languages:
rust, powershell, javascript, python
Platforms:
x86
Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/11Cisco Talos Blog
New PXA Stealer targets government and education sectors for sensitive information
Cisco Talos discovered a new information stealing campaign operated by a Vietnamese-speaking threat actor targeting government and education entities in Europe and Asia.
CTT Report Hub
#ParsedReport #CompletenessMedium 14-11-2024 New PXA Stealer targets government and education sectors for sensitive information. Victimology and targeted information. New PXA Stealer targets government and education sectors for sensitive information htt…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Исследователи в области кибербезопасности из Cisco Talos выявили сложную кампанию по краже информации, организованную хакером, говорящим на вьетнамском языке, целью которой были правительственные и образовательные учреждения в Европе и Азии. В ходе операции используется недавно обнаруженная программа на Python под названием PXA Stealer для извлечения широкого спектра конфиденциальных данных, включая учетные данные, финансовую информацию, файлы cookie браузера и сведения об игровом программном обеспечении. Злоумышленник использует передовые методы обфускации, чтобы избежать обнаружения, и был замечен за продажей украденных учетных данных в Telegram-канале. Основными целями являются сектор образования в Индии и государственные учреждения в европейских странах, при этом злоумышленник размещал вредоносные скрипты на домене, возможно, связанном с вьетнамским поставщиком услуг SEO. Аккаунт злоумышленника в Telegram, вьетнамское происхождение и участие в подпольных каналах свидетельствуют о высоком уровне изощренности и профессионализма в проведении операции. Первоначальный доступ к жертвам осуществляется с помощью фишинговых электронных писем, содержащих вредоносные исполняемые файлы-загрузчики, что в конечном итоге приводит к запуску программы PXA Stealer для утечки данных и сокрытия следов.
-----
Cisco Talos раскрыла сложную кампанию по краже информации с использованием программы Python под названием PXA Stealer, организованную вьетнамоязычным хакером, целью которой были правительственные и образовательные учреждения в Европе и Азии.
PXA Stealer может извлекать конфиденциальную информацию, такую как учетные данные онлайн-аккаунта, данные клиентов VPN и FTP, финансовую информацию, файлы cookie браузера и данные игрового программного обеспечения. Он также может расшифровывать мастер-пароли браузера для доступа к сохраненным учетным данным онлайн-аккаунта.
Хакер использует передовые методы обфускации в пакетных скриптах, чтобы избежать обнаружения, и продает украденные учетные данные и инструменты в Telegram-канале под названием "Mua Bn Scan MINI", который потенциально связан с злоумышленником CoralRaider.
Целями кампании являются сектор образования в Индии и государственные учреждения в таких европейских странах, как Швеция и Дания.
Злоумышленник размещает вредоносные скрипты и PXA Stealer на домене "tvdseo . com" и использует Telegram-бота для извлечения данных жертвы, что указывает на методичный подход к извлечению данных.
Учетная запись злоумышленника в Telegram "Lone None", судя по отображаемым символам и языку, имеет вьетнамское происхождение, а в биографии есть ссылка на веб-сайт для проверки антивируса, позволяющий оценить уровень обнаружения вредоносных программ.
Первоначальный доступ к жертвам осуществляется через фишинговые электронные письма с вложениями в ZIP-файлы, содержащие вредоносный загрузчик на языке Rust, который загружает программу-похититель PXA в системы жертв.
PXA Stealer собирает широкий спектр данных, удаляет собранные данные после фильтрации и нацелен на информацию для входа в систему, файлы cookie, данные кредитной карты, токены Discord, криптовалютные кошельки и многое другое.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Исследователи в области кибербезопасности из Cisco Talos выявили сложную кампанию по краже информации, организованную хакером, говорящим на вьетнамском языке, целью которой были правительственные и образовательные учреждения в Европе и Азии. В ходе операции используется недавно обнаруженная программа на Python под названием PXA Stealer для извлечения широкого спектра конфиденциальных данных, включая учетные данные, финансовую информацию, файлы cookie браузера и сведения об игровом программном обеспечении. Злоумышленник использует передовые методы обфускации, чтобы избежать обнаружения, и был замечен за продажей украденных учетных данных в Telegram-канале. Основными целями являются сектор образования в Индии и государственные учреждения в европейских странах, при этом злоумышленник размещал вредоносные скрипты на домене, возможно, связанном с вьетнамским поставщиком услуг SEO. Аккаунт злоумышленника в Telegram, вьетнамское происхождение и участие в подпольных каналах свидетельствуют о высоком уровне изощренности и профессионализма в проведении операции. Первоначальный доступ к жертвам осуществляется с помощью фишинговых электронных писем, содержащих вредоносные исполняемые файлы-загрузчики, что в конечном итоге приводит к запуску программы PXA Stealer для утечки данных и сокрытия следов.
-----
Cisco Talos раскрыла сложную кампанию по краже информации с использованием программы Python под названием PXA Stealer, организованную вьетнамоязычным хакером, целью которой были правительственные и образовательные учреждения в Европе и Азии.
PXA Stealer может извлекать конфиденциальную информацию, такую как учетные данные онлайн-аккаунта, данные клиентов VPN и FTP, финансовую информацию, файлы cookie браузера и данные игрового программного обеспечения. Он также может расшифровывать мастер-пароли браузера для доступа к сохраненным учетным данным онлайн-аккаунта.
Хакер использует передовые методы обфускации в пакетных скриптах, чтобы избежать обнаружения, и продает украденные учетные данные и инструменты в Telegram-канале под названием "Mua Bn Scan MINI", который потенциально связан с злоумышленником CoralRaider.
Целями кампании являются сектор образования в Индии и государственные учреждения в таких европейских странах, как Швеция и Дания.
Злоумышленник размещает вредоносные скрипты и PXA Stealer на домене "tvdseo . com" и использует Telegram-бота для извлечения данных жертвы, что указывает на методичный подход к извлечению данных.
Учетная запись злоумышленника в Telegram "Lone None", судя по отображаемым символам и языку, имеет вьетнамское происхождение, а в биографии есть ссылка на веб-сайт для проверки антивируса, позволяющий оценить уровень обнаружения вредоносных программ.
Первоначальный доступ к жертвам осуществляется через фишинговые электронные письма с вложениями в ZIP-файлы, содержащие вредоносный загрузчик на языке Rust, который загружает программу-похититель PXA в системы жертв.
PXA Stealer собирает широкий спектр данных, удаляет собранные данные после фильтрации и нацелен на информацию для входа в систему, файлы cookie, данные кредитной карты, токены Discord, криптовалютные кошельки и многое другое.
#ParsedReport #CompletenessMedium
14-11-2024
DDoSia malware analysis report on DDoS attacks on domestic organizations
https://asec.ahnlab.com/ko/84426
Report completeness: Medium
Actors/Campaigns:
Noname057 (motivation: hacktivism)
Cyberarmyofrussia (motivation: hacktivism)
Alixsec (motivation: hacktivism)
Threats:
Ddosia_botnet
Tcpsynflood_technique
Synflood_technique
Victims:
Major domestic government agencies, Domestic organizations
Industry:
Military, Government
Geo:
Russian, Ukraine
ChatGPT TTPs:
T1498, T1027, T1071.001, T1105, T1566, T1071.004
IOCs:
File: 1
Hash: 5
IP: 4
Soft:
Telegram
Algorithms:
md5
Languages:
python
14-11-2024
DDoSia malware analysis report on DDoS attacks on domestic organizations
https://asec.ahnlab.com/ko/84426
Report completeness: Medium
Actors/Campaigns:
Noname057 (motivation: hacktivism)
Cyberarmyofrussia (motivation: hacktivism)
Alixsec (motivation: hacktivism)
Threats:
Ddosia_botnet
Tcpsynflood_technique
Synflood_technique
Victims:
Major domestic government agencies, Domestic organizations
Industry:
Military, Government
Geo:
Russian, Ukraine
ChatGPT TTPs:
do not use without manual checkT1498, T1027, T1071.001, T1105, T1566, T1071.004
IOCs:
File: 1
Hash: 5
IP: 4
Soft:
Telegram
Algorithms:
md5
Languages:
python
ASEC
국내 기관들을 DDoS 공격 중인 DDoSia 악성코드 분석 보고서 - ASEC
러시아의 핵티비스트 그룹인 NoName057(16)은 2022년 3월부터 활동이 확인되고 있으며 반러시아적 시각을 가진 대상에 DDoS 공격을 수행하는 것이 목적이다. 2024년 11월에는 친 러시아 성향의 핵티비스트들인 Cyber Army of Russia Reborn, Alixsec와 함께 국내 주요 정부 기관 웹사이트를 대상으로 DDoS 공격을 수행하였는데 이는 우리나라 정부의 우크라이나 무기 지원 발언이 공격의 계기인 것으로 보인다. 해당 공격에…
CTT Report Hub
#ParsedReport #CompletenessMedium 14-11-2024 DDoSia malware analysis report on DDoS attacks on domestic organizations https://asec.ahnlab.com/ko/84426 Report completeness: Medium Actors/Campaigns: Noname057 (motivation: hacktivism) Cyberarmyofrussia (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - о деятельности российской хактивистской группировки NoName057 (16), которая известна проведением DDoS-атак в сотрудничестве с другими пророссийскими хактивистскими группами. Их основная цель - использовать DDoS-атаки для оказания психологического давления в военных конфликтах, нарушения работы служб, разжигания социальных волнений и передачи политических сообщений. Группа использует автоматизированных DDoS-ботов, таких как DDoSia, поощряет участников криптовалютными вознаграждениями и использует социальные сети для продвижения своей деятельности и координации атак. В тексте также содержатся технические подробности о том, как работает DDoSia, и о методах, которые она использует для взаимодействия со своим сервером управления (C&C).
-----
Российская хактивистская группа NoName057 (16) действует с марта 2022 года, сосредоточившись на проведении DDoS-атак на цели, придерживающиеся антироссийских взглядов. В ноябре 2024 года NoName057 (16) совместно с пророссийскими хактивистами Cyber Army of Russia Reborn и Alixsec провели масштабную DDoS-атаку на веб-сайты крупных отечественных правительственных учреждений. Это нападение, по-видимому, было вызвано замечаниями министра иностранных дел Чо Тхэ Ель и президента Юн Сок Ель относительно поставок оружия Украине, что привело к нанесению ущерба различным национальным организациям.
Одной из ключевых характеристик NoName057 (16) является использование автоматизированных DDoS-ботов, таких как DDoSia, и поощрение отдельных пользователей к участию в этих атаках. Группа ведет Telegram-канал с десятками тысяч подписчиков, активно используя социальные сети для продвижения своей деятельности и обмена обновлениями о целях атаки и ходе ее проведения в режиме реального времени. Участники получают вознаграждение в криптовалюте за успешные атаки, что способствует дальнейшему вовлечению. Основной целью этих DDoS-атак является оказание психологического давления в сценариях военного конфликта путем нарушения работы служб, провоцирования социальных волнений и передачи четких политических сообщений.
DDoSia работает, загружая файл с именем "client_id.txt" из Telegram-канала и запуская его в том же каталоге. Двоичный файл содержит адрес сервера C&C по умолчанию, но из-за того, что адрес сервера постоянно меняется, злоумышленник должен получить новый IP-адрес из Telegram в случае сбоя соединения. После выполнения DDoSia проходит процедуру аутентификации, передавая основную системную информацию, зашифрованную в файле "client_id.txt", на сервер C&C по URL-адресу "/client/login". Впоследствии он получает временную метку от сервера и снова подключается для получения списка целей атаки по URL-адресу "/client/get_targets". Результаты атаки периодически передаются обратно на сервер C&C по URL-адресу "/set_attack_count". Сервер C&C выдает такие команды, как http, http2, tcp и методы nginx_loris. DDoSia, разработанная на языке Go, поддерживает команды http и http2, но не tcp и nginx_loris; однако отмечается, что более ранняя версия Python поддерживала TCP SYN Flood, намекая на потенциальную поддержку в будущем. Кроме того, DDoSia использует случайный выбор пользовательского агента при отправке HTTP-запросов на сервер C&C или объект атаки, чтобы избежать обнаружения продукта безопасности во время операций DDoS.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста - о деятельности российской хактивистской группировки NoName057 (16), которая известна проведением DDoS-атак в сотрудничестве с другими пророссийскими хактивистскими группами. Их основная цель - использовать DDoS-атаки для оказания психологического давления в военных конфликтах, нарушения работы служб, разжигания социальных волнений и передачи политических сообщений. Группа использует автоматизированных DDoS-ботов, таких как DDoSia, поощряет участников криптовалютными вознаграждениями и использует социальные сети для продвижения своей деятельности и координации атак. В тексте также содержатся технические подробности о том, как работает DDoSia, и о методах, которые она использует для взаимодействия со своим сервером управления (C&C).
-----
Российская хактивистская группа NoName057 (16) действует с марта 2022 года, сосредоточившись на проведении DDoS-атак на цели, придерживающиеся антироссийских взглядов. В ноябре 2024 года NoName057 (16) совместно с пророссийскими хактивистами Cyber Army of Russia Reborn и Alixsec провели масштабную DDoS-атаку на веб-сайты крупных отечественных правительственных учреждений. Это нападение, по-видимому, было вызвано замечаниями министра иностранных дел Чо Тхэ Ель и президента Юн Сок Ель относительно поставок оружия Украине, что привело к нанесению ущерба различным национальным организациям.
Одной из ключевых характеристик NoName057 (16) является использование автоматизированных DDoS-ботов, таких как DDoSia, и поощрение отдельных пользователей к участию в этих атаках. Группа ведет Telegram-канал с десятками тысяч подписчиков, активно используя социальные сети для продвижения своей деятельности и обмена обновлениями о целях атаки и ходе ее проведения в режиме реального времени. Участники получают вознаграждение в криптовалюте за успешные атаки, что способствует дальнейшему вовлечению. Основной целью этих DDoS-атак является оказание психологического давления в сценариях военного конфликта путем нарушения работы служб, провоцирования социальных волнений и передачи четких политических сообщений.
DDoSia работает, загружая файл с именем "client_id.txt" из Telegram-канала и запуская его в том же каталоге. Двоичный файл содержит адрес сервера C&C по умолчанию, но из-за того, что адрес сервера постоянно меняется, злоумышленник должен получить новый IP-адрес из Telegram в случае сбоя соединения. После выполнения DDoSia проходит процедуру аутентификации, передавая основную системную информацию, зашифрованную в файле "client_id.txt", на сервер C&C по URL-адресу "/client/login". Впоследствии он получает временную метку от сервера и снова подключается для получения списка целей атаки по URL-адресу "/client/get_targets". Результаты атаки периодически передаются обратно на сервер C&C по URL-адресу "/set_attack_count". Сервер C&C выдает такие команды, как http, http2, tcp и методы nginx_loris. DDoSia, разработанная на языке Go, поддерживает команды http и http2, но не tcp и nginx_loris; однако отмечается, что более ранняя версия Python поддерживала TCP SYN Flood, намекая на потенциальную поддержку в будущем. Кроме того, DDoSia использует случайный выбор пользовательского агента при отправке HTTP-запросов на сервер C&C или объект атаки, чтобы избежать обнаружения продукта безопасности во время операций DDoS.
#ParsedReport #CompletenessMedium
16-11-2024
Dark Web Profile: Cadet Blizzard
https://socradar.io/dark-web-profile-cadet-blizzard
Report completeness: Medium
Actors/Campaigns:
Cadet_blizzard (motivation: sabotage, cyber_espionage, politically_motivated)
Ruinous_ursa
Emissary_panda
Threats:
Whispergate
Supply_chain_technique
Proxyshell_vuln
P0wnyshell
Regeorg_tool
Credential_harvesting_technique
Lolbin_technique
Procdump_tool
Impacket_tool
Netcat_tool
Meterpreter_tool
Advancedrun_tool
Spear-phishing_technique
Amass_tool
Acunetix_tool
Raspberry_robin
Credential_dumping_technique
Password_spray_technique
Nmap_tool
Passthehash_technique
Proxychains_tool
Dns_tunneling_technique
Rclone_tool
Victims:
Ukrainian government agencies, European entities, Nato member states
Industry:
Iot, Military, Critical_infrastructure, Government
Geo:
Russia, Russian, Ukraine, Latin america, Ukrainian
CVEs:
CVE-2022-41040 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)
CVE-2021-33044 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dahuasecurity ipc-hum7xxx firmware (<2.820.0000000.5.r.210705)
CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<6.13.23, <7.4.11, <7.11.6, <7.12.5)
- atlassian confluence server (<6.13.23, <7.4.11, <7.11.6, <7.12.5)
TTPs:
Tactics: 12
Technics: 31
IOCs:
File: 1
Soft:
Telegram, Confluence, Microsoft Defender
Win Services:
WinDefend
Languages:
powershell
16-11-2024
Dark Web Profile: Cadet Blizzard
https://socradar.io/dark-web-profile-cadet-blizzard
Report completeness: Medium
Actors/Campaigns:
Cadet_blizzard (motivation: sabotage, cyber_espionage, politically_motivated)
Ruinous_ursa
Emissary_panda
Threats:
Whispergate
Supply_chain_technique
Proxyshell_vuln
P0wnyshell
Regeorg_tool
Credential_harvesting_technique
Lolbin_technique
Procdump_tool
Impacket_tool
Netcat_tool
Meterpreter_tool
Advancedrun_tool
Spear-phishing_technique
Amass_tool
Acunetix_tool
Raspberry_robin
Credential_dumping_technique
Password_spray_technique
Nmap_tool
Passthehash_technique
Proxychains_tool
Dns_tunneling_technique
Rclone_tool
Victims:
Ukrainian government agencies, European entities, Nato member states
Industry:
Iot, Military, Critical_infrastructure, Government
Geo:
Russia, Russian, Ukraine, Latin america, Ukrainian
CVEs:
CVE-2022-41040 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)
CVE-2021-33044 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dahuasecurity ipc-hum7xxx firmware (<2.820.0000000.5.r.210705)
CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<6.13.23, <7.4.11, <7.11.6, <7.12.5)
- atlassian confluence server (<6.13.23, <7.4.11, <7.11.6, <7.12.5)
TTPs:
Tactics: 12
Technics: 31
IOCs:
File: 1
Soft:
Telegram, Confluence, Microsoft Defender
Win Services:
WinDefend
Languages:
powershell
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: Cadet Blizzard - SOCRadar® Cyber Intelligence Inc.
Cadet Blizzard (DEV-0586) is a Russian GRU-affiliated cyber threat group first tracked by Microsoft in early 2022, following a series of disruptive
👍1
CTT Report Hub
#ParsedReport #CompletenessMedium 16-11-2024 Dark Web Profile: Cadet Blizzard https://socradar.io/dark-web-profile-cadet-blizzard Report completeness: Medium Actors/Campaigns: Cadet_blizzard (motivation: sabotage, cyber_espionage, politically_motivated)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в описании профиля и деятельности российской хакерской группы Cadet Blizzard, связанной с подразделением 29155 и ГРУ, известной своими разрушительными кибератаками на правительственные учреждения Украины и расширением операций на Европу и Латинскую Америку. Группа придерживается детальной цепочки кибератак, специализируется на кибершпионаже и диверсионных кампаниях и стремится разрушить и дестабилизировать целевые организации. Чтобы защититься от таких групп APT, организациям рекомендуется применять многоуровневую стратегию защиты и использовать такие инструменты, как SOCRadar, для просмотра, мониторинга и анализа угроз в режиме реального времени.
-----
Cadet Blizzard - российская хакерская группировка, связанная с ГРУ, специализирующаяся на кибершпионаже и диверсионных кампаниях, нацеленных на критически важную инфраструктуру по всему миру.
Впервые группа привлекла к себе внимание в начале 2022 года из-за проведения разрушительных кибератак на правительственные учреждения Украины во время эскалации военной напряженности.
Курсант Blizzard подробно описывает цепочку кибератак, используя уязвимости, внедряя бэкдоры и используя методы "жизни вне земли" для перемещения в пространстве.
В задачи группы входит эксфильтрация конфиденциальных данных и участие в подрывных действиях, таких как внедрение вредоносного ПО WhisperGate для создания хаоса.
Чтобы защититься от Cadet Blizzard и аналогичных APT-групп, организации должны принять многоуровневую стратегию защиты, включающую надежную фильтрацию электронной почты и веб-сайтов, надежное обнаружение конечных точек, сегментацию сети, архитектуру с нулевым уровнем доверия и эффективное управление учетными данными с помощью многофакторной аутентификации.
SOCRadar предлагает инструменты, помогающие организациям защищаться от групп APT, таких как Cadet Blizzard, обеспечивая видимость, мониторинг, анализ угроз и управление инцидентами в режиме реального времени для быстрого реагирования на угрозы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в описании профиля и деятельности российской хакерской группы Cadet Blizzard, связанной с подразделением 29155 и ГРУ, известной своими разрушительными кибератаками на правительственные учреждения Украины и расширением операций на Европу и Латинскую Америку. Группа придерживается детальной цепочки кибератак, специализируется на кибершпионаже и диверсионных кампаниях и стремится разрушить и дестабилизировать целевые организации. Чтобы защититься от таких групп APT, организациям рекомендуется применять многоуровневую стратегию защиты и использовать такие инструменты, как SOCRadar, для просмотра, мониторинга и анализа угроз в режиме реального времени.
-----
Cadet Blizzard - российская хакерская группировка, связанная с ГРУ, специализирующаяся на кибершпионаже и диверсионных кампаниях, нацеленных на критически важную инфраструктуру по всему миру.
Впервые группа привлекла к себе внимание в начале 2022 года из-за проведения разрушительных кибератак на правительственные учреждения Украины во время эскалации военной напряженности.
Курсант Blizzard подробно описывает цепочку кибератак, используя уязвимости, внедряя бэкдоры и используя методы "жизни вне земли" для перемещения в пространстве.
В задачи группы входит эксфильтрация конфиденциальных данных и участие в подрывных действиях, таких как внедрение вредоносного ПО WhisperGate для создания хаоса.
Чтобы защититься от Cadet Blizzard и аналогичных APT-групп, организации должны принять многоуровневую стратегию защиты, включающую надежную фильтрацию электронной почты и веб-сайтов, надежное обнаружение конечных точек, сегментацию сети, архитектуру с нулевым уровнем доверия и эффективное управление учетными данными с помощью многофакторной аутентификации.
SOCRadar предлагает инструменты, помогающие организациям защищаться от групп APT, таких как Cadet Blizzard, обеспечивая видимость, мониторинг, анализ угроз и управление инцидентами в режиме реального времени для быстрого реагирования на угрозы.
#ParsedReport #CompletenessMedium
15-11-2024
BrazenBamboo Weaponizes FortiClient Vulnerability to Steal VPN Credentials via DEEPDATA
https://www.volexity.com/blog/2024/11/15/brazenbamboo-weaponizes-forticlient-vulnerability-to-steal-vpn-credentials-via-deepdata
Report completeness: Medium
Actors/Campaigns:
Brazenbamboo
Winnti
Chengdu_404_leak
I-soon_leak
Threats:
Deepdata
Lightspy
Deeppost_tool
Heavens_gate_technique
Dragonegg
Wyrmspy
Gh0st_rat
Mimikatz_tool
Mobaxterm_tool
Securecrt_tool
Putty_tool
Xshell_tool
Victims:
Fortinet, Ios, Android, Macos, Windows, Linux, Router
Industry:
Software_development, E-commerce
Geo:
Hong kong, Chinese, China
ChatGPT TTPs:
T1003, T1027, T1071, T1005, T1567
IOCs:
File: 24
Hash: 2
IP: 3
Soft:
WeChat, Feishu, WhatsApp, Outlook, Microsoft Outlook, DingDing, Telegram, Firefox, Chrome, Opera, macOS, have more...
Algorithms:
sha1, xor, sha256, md5
Functions:
GetPluginCommandID, GetPluginName, GetPluginVersion
Languages:
javascript
Platforms:
x86, x64
Links:
have more...
15-11-2024
BrazenBamboo Weaponizes FortiClient Vulnerability to Steal VPN Credentials via DEEPDATA
https://www.volexity.com/blog/2024/11/15/brazenbamboo-weaponizes-forticlient-vulnerability-to-steal-vpn-credentials-via-deepdata
Report completeness: Medium
Actors/Campaigns:
Brazenbamboo
Winnti
Chengdu_404_leak
I-soon_leak
Threats:
Deepdata
Lightspy
Deeppost_tool
Heavens_gate_technique
Dragonegg
Wyrmspy
Gh0st_rat
Mimikatz_tool
Mobaxterm_tool
Securecrt_tool
Putty_tool
Xshell_tool
Victims:
Fortinet, Ios, Android, Macos, Windows, Linux, Router
Industry:
Software_development, E-commerce
Geo:
Hong kong, Chinese, China
ChatGPT TTPs:
do not use without manual checkT1003, T1027, T1071, T1005, T1567
IOCs:
File: 24
Hash: 2
IP: 3
Soft:
WeChat, Feishu, WhatsApp, Outlook, Microsoft Outlook, DingDing, Telegram, Firefox, Chrome, Opera, macOS, have more...
Algorithms:
sha1, xor, sha256, md5
Functions:
GetPluginCommandID, GetPluginName, GetPluginVersion
Languages:
javascript
Platforms:
x86, x64
Links:
https://github.com/volexity/threat-intel/blob/main/2024/2024-11-15%20BrazenBamboo/rules.yarhttps://github.com/scrapy/scrapyhave more...
https://github.com/volexity/threat-intel/blob/main/2024/2024-11-15%20BrazenBamboo/iocs.csvVolexity
BrazenBamboo Weaponizes FortiClient Vulnerability to Steal VPN Credentials via DEEPDATA
In July 2024, Volexity identified exploitation of a zero-day credential disclosure vulnerability in Fortinet’s Windows VPN client that allowed credentials to be stolen from the memory of the client’s process. This vulnerability was discovered while analyzing…