#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Исследование Datadog в области безопасности выявило MUT-8694, атаку на цепочку поставок, направленную на хранилища пакетов npm и PyPI, в результате которой пользователям Windows были отправлены вредоносные пакеты, содержащие вредоносное ПО infostealer. Атака использует легальные сервисы, такие как GitHub и repl.it, для размещения дополнительной полезной нагрузки, демонстрируя настойчивость хакера, его адаптивность и нацеленность на игровые сообщества и пользователей Discord для кражи учетных данных и эксплойтов, связанных с криптографией.
-----

Исследование Datadog в области безопасности выявило атаку на цепочку поставок, направленную как на хранилища пакетов npm, так и на PyPI, известную как MUT-8694. Это первый случай, когда хакер атаковал две разные экосистемы пакетов одновременно. Атака включает в себя развертывание вредоносных пакетов, которые доставляют вредоносное ПО infostealer пользователям Windows, используя легальные сервисы, такие как GitHub и repl.it для размещения дополнительной полезной нагрузки. Кампания имеет сходство с предыдущей кампанией, описанной исследователями из Socket.

GuardDog, CLI-инструмент Datadog, обнаружил новую угрозу в экосистеме PyPI 10 октября 2024 года. Было обнаружено, что вредоносный пакет с именем "larpexodus" выполняет команду PowerShell, которая извлекает и запускает вредоносное ПО infostealer из внешнего источника. Анализ выявил, что вредоносное ПО -это Blank Grabber, скомпилированное из проекта с открытым исходным кодом на GitHub, а другой образец был взят из проекта Skuld Stealer. Дальнейшее расследование выявило множество похожих двоичных файлов в пакетах на npm, что указывает на более широкую кампанию в разных экосистемах пакетов.

Вредоносные пакеты как в npm, так и в PyPI маскируются под легальное программное обеспечение, часто используя методы опечатывания. GuardDog выявил 42 вредоносных пакета, связанных с этой кампанией в PyPI. Эти пакеты, в том числе такие, как "nodelogic", предназначены для устранения проблем, связанных с программным обеспечением, но на самом деле после установки запускают вредоносное ПО infostealer.

Вредоносное ПО в этих пакетах предназначено для получения полезной информации infostealer из различных источников. Код в пакетах автоматически выполняется при установке, извлекая вредоносное ПО с GitHub и repl.it. Обнаруженная вредоносная программа включает в себя инфокрад Blank Grabber и Skuld Stealer, нацеленные на пользователей Windows с такими возможностями, как кража файлов cookie браузера, криптовалютных кошельков, скриншотов и сведение к минимуму обнаружения с помощью программного обеспечения безопасности, такого как Windows Defender.

Анализ Blank Grabber показал, что вредоносная программа обладает возможностями уклонения и может извлекать украденные данные с помощью веб-сайтов Discord или ботов Telegram. Она может собирать информацию о системе жертвы, отключать функции защитника Windows, делать скриншоты и извлекать конфиденциальную информацию, такую как файлы cookie браузера и ключи продукта. Программа Skuld Stealer, написанная на Go, ориентирована на пользователей Discord в Windows и содержит функции, позволяющие избежать обнаружения, сохраняться в качестве элемента запуска и извлекать украденные учетные данные через веб-узлы Discord.

Хакер, стоящий за MUT-8694, демонстрирует настойчивость и адаптивность, организуя сложную атаку на цепочку поставок, нацеленную на несколько экосистем пакетов. Они используют такие методы, как поиск опечаток, обфускация и легальные сервисы, для доставки вредоносной полезной нагрузки. Внимание к игровым сообществам и пользователям Discord в связи с кражей учетных данных и эксплойтами, связанными с криптографией, подчеркивает их стратегические цели.

#ParsedReport #CompletenessLow
25-11-2024

JarkaStealer in PyPI repository

https://www.kaspersky.ru/blog/jarkastealer-in-pypi-packages/38624

Report completeness: Low

Threats:
Jarkastealer
Supply_chain_technique

CVEs:
CVE-2024-43451 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20826)
- microsoft windows 10 1607 (<10.0.14393.7515)
- microsoft windows 10 1809 (<10.0.17763.6532)
- microsoft windows 10 21h2 (<10.0.19044.5131)
- microsoft windows 10 22h2 (<10.0.19045.5131)
have more...
CVE-2024-10924 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- really-simple-plugins really simple security (<9.1.2)


ChatGPT TTPs:
do not use without manual check
T1195, T1027, T1608.003, T1105, T1041, T1587.001

IOCs:
File: 1

Soft:
ChatGPT, OpenAI, Dropbox, Telegram, Discord, Steam

Languages:
java, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Глобальная исследовательская и аналитическая группа (GReAT) обнаружила вредоносные пакеты для интеграции с ИИ, содержащие вредоносное ПО JarkaStealer, в репозитории Python Package Index (PyPI), что подчеркивает постоянную угрозу, исходящую от таких атак, и подчеркивает необходимость постоянной бдительности в средах разработки программного обеспечения.
-----

Глобальная команда исследователей и аналитиков (GReAT) обнаружила в репозитории Python Package Index (PyPI) вредоносные пакеты для интеграции с искусственным интеллектом, содержащие вредоносное ПО stealer. Эти пакеты были замаскированы под библиотеки для работы с популярными языковыми моделями, но на самом деле были предназначены для установки вредоносного ПО JarkaStealer. Два вредоносных пакета, названные gptplus и claudeai-eng, были загружены в PyPI одним и тем же автором. Оба пакета утверждали, что предоставляют доступ к продвинутым API искусственного интеллекта, но на самом деле использовали демо-версию ChatGPT для обмана жертв. Пакеты включали инструкции о том, как взаимодействовать с языковыми моделями, но их базовый код содержал механизмы загрузки вредоносного ПО JarkaStealer на компьютер жертвы.

Вредоносная программа JarkaStealer, вероятно, созданная русскоязычными авторами, в основном используется для кражи конфиденциальных данных и передачи их хакерам. Он распространяется через Telegram по модели malware-as-a-service (MaaS), а его исходный код был найден на GitHub, что указывает на потенциальное участие других участников в распространении вредоносного ПО. Обнаружив вредоносные пакеты в PyPI, команда GReAT незамедлительно предупредила администраторов, которые удалили пакеты из хранилища. Однако этот инцидент служит напоминанием о постоянной угрозе, исходящей от подобных атак, и подчеркивает необходимость сохранения бдительности.

Пользователям, которые, возможно, случайно загрузили вредоносные пакеты, рекомендуется немедленно удалить их. Хотя вредоносная программа JarkaStealer не сохраняется в системе и активируется только при использовании пакета, скомпрометированные учетные данные и токены следует незамедлительно изменить, чтобы снизить потенциальные риски. Разработчикам настоятельно рекомендуется проявлять осторожность при внедрении пакетов программного обеспечения с открытым исходным кодом в свои проекты, особенно связанные с технологиями искусственного интеллекта. Проведение тщательного анализа зависимостей и элементов цепочки поставок программных продуктов может помочь снизить риски, связанные с интеграцией программного обеспечения сторонних производителей.

Для повышения уровня безопасности и предотвращения атак на цепочки поставок рекомендуется использовать корпоративные решения для обеспечения безопасности, которые предоставляют информацию об угрозах, связанных с компонентами с открытым исходным кодом. Постоянный мониторинг действий, связанных с вредоносным ПО JarkaStealer, и регулярное сканирование репозиториев с открытым исходным кодом на наличие потенциальных угроз являются важными мерами защиты от вредоносных действий, нацеленных на среды разработки программного обеспечения.

#ParsedReport #CompletenessHigh
25-11-2024

Russia-Aligned TAG-110 Targets Asia and Europe with HATVIBE and CHERRYSPY

https://go.recordedfuture.com/hubfs/reports/CTA-RU-2024-1121.pdf

Report completeness: High

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)
Ghostwriter (motivation: cyber_espionage)

Threats:
Hatvibe
Cherryspy
Pyarmor_tool
Themida_tool
Typosquatting_technique
Spear-phishing_technique

Victims:
National center for human rights of the republic of uzbekistan, Kmg-security, Tajik educational and research institution

Industry:
Petroleum, Government, Education, Military

Geo:
Armenia, Mongolia, Uzbekistan, Greece, Kazakhstan, Ukraine, Russia, India, Asian, Israel, Kyrgyzstan, Asia, China, Tajikistan, Moscow, Hungary, Russian, Turkmenistan

CVEs:
CVE-2024-23692 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rejetto http file server (le2.3m)


TTPs:
Tactics: 2
Technics: 11

IOCs:
File: 3
IP: 11
Domain: 11
Hash: 2

Soft:
Microsoft Word, outlook

Algorithms:
aes, base64, sha256, md5, gzip, deflate, xor

Functions:
CreateObject

Languages:
python, php, visual_basic

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является раскрытие кампании кибершпионажа, проводимой группой TAG-110, связанной с Россией и нацеленной на организации в Центральной Азии, Восточной Азии и Европе, для поддержки деятельности России в Украине и мониторинга геополитических событий в соседних странах. Группа использует пользовательские вредоносные программы, такие как HATVIBE и CHERRYSPY, для проникновения в организации, при этом предполагается, что первоначальный доступ осуществляется через вредоносные вложения электронной почты или уязвимые веб-сервисы. Группа Insikt выявила 62 жертвы в разных странах и подготовила рекомендации по усилению безопасности и использованию инструментов анализа угроз. Ожидается, что группа продолжит наносить удары по государствам Центральной Азии, Украине и поддерживающим государствам региона, руководствуясь интересами национальной безопасности, военными операциями и геополитическим влиянием.
-----

Кампания по кибершпионажу, проводимая TAG-110 совместно с Россией, нацелена на правительственный сектор, сектор прав человека и сектор образования, в первую очередь в Центральной Азии, с целью поддержки деятельности России на Украине и мониторинга геополитических событий в соседних странах.

TAG-110 внедряет пользовательские вредоносные программы, такие как HATVIBE loader и CHERRYSPY backdoor, для проникновения в организации в Центральной Азии, Восточной Азии и Европе, при этом первоначальный доступ, вероятно, осуществляется через вредоносные вложения электронной почты или с использованием уязвимых веб-сервисов, таких как Rejetto HTTP File Server.

Заметными жертвами кампании стали организации в таких странах, как Армения, Китай, Греция, Индия, Казахстан, Кыргызстан, Таджикистан, Туркменистан, Украина и Узбекистан.

Меры обнаружения включают правила идентификации для связи HATVIBE C2, правило YARA для файлов HATVIBE и рекомендации по безопасности, включая обучение по повышению уровня безопасности, многофакторную аутентификацию и системы оповещения в режиме реального времени.

Ожидается, что кампания продолжится, сосредоточив внимание на государствах Центральной Азии, Украине и поддерживающих государствах региона, с инфраструктурой и соглашениями о TTP, включая инфраструктуру VPS и соглашение об именовании доменов C2, состоящее из двух слов.

#ParsedReport #CompletenessHigh
24-11-2024

Arctic Wolf Observes Threat Campaign Targeting Palo Alto Networks Firewall Devices

https://arcticwolf.com/resources/blog/arctic-wolf-observes-threat-campaign-targeting-palo-alto-networks-firewall-devices

Report completeness: High

Threats:
Sliver_c2_tool
Cobalt_strike
Upx_tool
Coinminer
Xmrig_miner
Timestomp_technique
Credential_dumping_technique
Aurora

Industry:
Government, Healthcare

Geo:
United kingdom, Jordan

CVEs:
CVE-2024-0012 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-9474 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)


TTPs:
Tactics: 8
Technics: 11

IOCs:
File: 6
IP: 14
Coin: 1
Domain: 1
Hash: 1

Soft:
PAN-OS, curl, Linux, AN-OS so, url to

Algorithms:
base64, xor, sha256, ghostrider

Languages:
javascript, php

#ParsedReport #CompletenessHigh
25-11-2024

Game of Emperor: Unveiling Long Term Earth Estries Cyber Intrusions

https://www.trendmicro.com/en_us/research/24/k/earth-estries.html

Report completeness: High

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage, financially_motivated)
Unc4841

Threats:
Ghostspider
Masol
Deed_rat
Lolbin_technique
Demodex_tool
Webadmin_tool
Proxylogon_exploit
Frpc_tool
Winmm
Neo-regeorg_tool
Fscan_tool
Shadowpad
Dll_hijacking_technique
Dllsearchorder_hijacking_technique
Crowdoor
Inc_ransomware
Sparrowdoor
Zingdoor
Cobalt_strike
Trillclient
Hemigate

Victims:
Telecommunications companies, Government entities, Consulting firms, Ngos, Military units, Federal government entities, Chemical companies, Transportation industries, Technology companies, Service providers, have more...

Industry:
Government, Ngo, Telco, Chemical, Transport, Military

Geo:
Brazil, Indonesia, Asia-pacific, Middle east, Malaysia, Taiwan, Asia, Pakistan, India, Chinese, Thailand, Vietnam, Philippines, Afghanistan, Taiwanese, South africa, Asian

CVEs:
CVE-2021-26857 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2010, 2013, 2016, 2019)

CVE-2022-3236 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos firewall (le19.0.1)

CVE-2021-26855 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2021-27065 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient enterprise management server (le7.0.10, le7.2.2)

CVE-2021-26858 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2010, 2013, 2016, 2019)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1570, T1027, T1105, T1071, T1036, T1018

IOCs:
File: 24
IP: 25
Domain: 18
Hash: 13
Command: 1
Path: 4
Url: 1

Soft:
Linux, Ivanti, Microsoft Exchange, PSEXEC, SoftEther

Algorithms:
aes, sha256, base64, zip, crc-64, crc-32

Languages:
powershell

Platforms:
x64, x86, cross-platform

YARA: Found

Links:
https://gist.github.com/andrew-morris/7679a18ef815068897bf27bf631f2ede

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 6, dump: 3, chart: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что китайская APT-группа Earth Estries проводит агрессивные кибератаки на критически важные отрасли по всему миру, используя сложные методы и новые бэкдоры, нацеливаясь на ключевые секторы, такие как телекоммуникации, государственные учреждения, консалтинговые фирмы и НПО. Группа использует передовые методы атак, множество бэкдоров и инструменты, которыми она делится с другими китайскими APT-группами, демонстрируя высокий уровень сложности и организации своей деятельности. Для организаций крайне важно усилить свою систему кибербезопасности, чтобы защититься от подобных угроз.
-----

С 2023 года китайская APT-группа Earth Estries, также известная как Salt Typhoon, FamousSparrow, GhostEmperor и UNC2286, активно атакует критически важные отрасли промышленности по всему миру, используя сложные технологии и новые бэкдоры. Они были сосредоточены на ключевых секторах, таких как телекоммуникации, государственные учреждения, консалтинговые фирмы и НПО в США, Азиатско-Тихоокеанском регионе, на Ближнем Востоке и в Южной Африке. Группа использует передовые методы атак и множество бэкдоров, включая GHOSTSPIDER, SNAPPYBEE и MASOL RAT, для взлома более 20 организаций в различных отраслях промышленности.

Earth Estries использует уязвимости в общедоступных серверах для получения первоначального доступа, использует удаленные двоичные файлы для перемещения по сетям и внедряет вредоносное ПО для долгосрочных шпионских операций. Операции группы часто пересекаются с тактикой, методами и процедурами (TTP) других китайских APT-групп, что указывает на возможное использование общих инструментов от поставщиков вредоносных программ как услуг. Earth Estries хорошо организована с четким разделением труда, разные участники работают в разных регионах и отраслях, а инфраструктура C&C управляется разными командами, что демонстрирует сложность их операций.

Ключевым результатом недавних расследований стало обнаружение нового бэкдора под названием GHOSTSPIDER, который использовался во время атак на телекоммуникационные компании Юго-Восточной Азии. Бэкдор состоит из нескольких модулей для определенных целей, взаимодействует с C&C-сервером по пользовательскому протоколу, защищенному TLS, и может загружать различные модули в зависимости от потребностей злоумышленника. Было замечено, что Earth Estries использует другой бэкдор, MASOL RAT, на устройствах Linux, нацеленных на правительственные сети Юго-Восточной Азии. Группа демонстрирует высокий уровень сложности в проведении скрытых атак с периферийных устройств на облачные среды.

Earth Estries известна тем, что использует известные уязвимости и общедоступные инструменты совместного использования, такие как SNAPPYBEE, в своей деятельности по кибершпионажу. Они создают оперативные сети, эффективно скрывающие свои атаки, что затрудняет их обнаружение. Для организаций крайне важно сохранять бдительность и укреплять свою защиту от подобных угроз. Анализ угроз в рамках Trend Micro Vision One предоставляет исчерпывающую информацию о хакерах и их деятельности, помогая организациям опережать киберугрозы и быть лучше подготовленными к снижению рисков и эффективному реагированию на возникающие угрозы.

#ParsedReport #CompletenessLow
25-11-2024

Microsoft shares latest intelligence on North Korean and Chinese threat actors at CYBERWARCON

https://www.microsoft.com/en-us/security/blog/2024/11/22/microsoft-shares-latest-intelligence-on-north-korean-and-chinese-threat-actors-at-cyberwarcon

Report completeness: Low

Actors/Campaigns:
Bluenoroff
Storm-2077 (motivation: information_theft)
Tag-100

Threats:
Supply_chain_technique
Teamviewer_tool

Victims:
Multiple companies, Aerospace and defense-related organizations, Government agencies, Non-governmental organizations

Industry:
Financial, Aerospace, Ngo, Government, Telco

Geo:
Korean, Dprk, China, North korea, Chinese, Korea, Russia, North korean

ChatGPT TTPs:
do not use without manual check
T1598.002, T1105, T1078, T1566, T1059.005, T1543.003

Soft:
Microsoft Defender, Telegram, Twitter

Languages:
visual_basic, ruby

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждаются основные кибер-хакеры Sapphire Sleet и Ruby Sleet, их тактика и действия, приписываемые Северной Корее и Китаю соответственно. В нем также освещаются проблемы, связанные с отслеживанием этих хакеров, их операций, а также дается информация о другом китайском хакере, спонсируемом государством, Storm-2077. В тексте подчеркивается необходимость того, чтобы организации проявляли бдительность, обучали персонал и принимали меры для защиты от возникающих киберугроз.
-----

В тексте обсуждаются два крупных кибер-хакера: Sapphire Sleet и Ruby Sleet, связанные с Северной Кореей и Китаем соответственно. В нем рассказывается о тактике социальной инженерии, используемой Sapphire Sleet, включая маскировку под венчурного инвестора или рекрутера, чтобы обманом заставить жертв загрузить вредоносное ПО, позволяющее им красть криптовалюту. Microsoft отслеживала деятельность Sapphire Sleet как минимум с 2020 года, подсчитав, что этот хакер украл криптовалюту на сумму более 10 миллионов долларов.

Ruby Sleet, с другой стороны, является изощренным фишинговым хакером, который значительно расширил свои операции, используя законные сертификаты, полученные от скомпрометированных жертв, распространяя вредоносное программное обеспечение и проводя целенаправленные атаки на организации, связанные с аэрокосмической и оборонной деятельностью. Microsoft наблюдала за атакой Ruby Sleet по цепочке поставок на корейскую строительную компанию, что потенциально способствовало усилиям Северной Кореи по наращиванию своего оружейного потенциала.

Кроме того, в тексте подробно описывается стратегия Северной Кореи по отправке ИТ-специалистов за границу для получения дохода для режима. Эти ИТ-работники занимаются различными видами деятельности, такими как создание поддельных профилей, кража личных данных и использование инструментов искусственного интеллекта, таких как Faceswap, для манипулирования изображениями в мошеннических целях. Microsoft отмечает трудности с отслеживанием деятельности северокорейских ИТ-работников из-за их изощренной тактики и привлечения фасилитаторов, которые помогают им получить доступ к платформам для удаленной работы.

В дополнение к обсуждению деятельности этих хакеров, в тексте также содержится информация о Storm-2077, китайском хакере, спонсируемом государством, идентифицированном Microsoft. Storm-2077 нацелен на правительственные учреждения, неправительственные организации и различные отрасли промышленности по всему миру, уделяя особое внимание сбору разведывательной информации с помощью фишинговых электронных писем и кражи учетных данных для доступа к конфиденциальным данным, таким как сообщения электронной почты. Корпорация Майкрософт обращает внимание на сложности отслеживания и идентификации киберопераций, проводимых из Китая, особенно в связи с дублирующейся тактикой, применяемой различными хакерами.

Для борьбы с этими киберугрозами организациям рекомендуется следовать рекомендациям соответствующих правительственных учреждений по выявлению северокорейских ИТ-работников, обучать персонал выявлению подозрительных действий и применять нетехнические меры, такие как периодическая проверка камеры и ознакомление ИТ-работников с пошаговыми инструкциями по коду. Корпорация Майкрософт подчеркивает важность сохранения бдительности и проактивности при защите от возникающих киберугроз различного уровня сложности и мотивации.

#ParsedReport #CompletenessLow
25-11-2024

Perfctl Campaign Exploits Millions of Linux Servers for Crypto Mining and Proxyjacking

https://socradar.io/perfctl-campaign-exploits-millions-of-linux-servers-for-crypto-mining-and-proxyjacking

Report completeness: Low

Threats:
Perfctl
Proxyjacking_technique
Process_injection_technique

Victims:
Cryptocurrency platforms, Software development

Industry:
Software_development

Geo:
Germany, Korea

CVEs:
CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit project polkit (<121)

CVE-2023-33246 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache rocketmq (<4.9.7, <5.1.2)


TTPs:

IOCs:
Hash: 3

Soft:
Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Perfctl - это очень сложная и малозаметная вредоносная программа, нацеленная на серверы Linux по всему миру и предназначенная для майнинга криптовалют и взлома прокси-серверов. Она представляет серьезную угрозу для организаций, особенно в отраслях с высокими вычислительными требованиями. Его передовые технологии, в том числе методы заражения без использования файлов, затрудняют обнаружение с помощью традиционных средств защиты. Для борьбы с Perfctl специалисты по безопасности должны применять многоуровневый подход, включающий мониторинг, повышение надежности системы и упреждающий анализ угроз.
-----

Perfctl, очень сложная и уязвимая вредоносная программа, нацелена на серверы Linux по всему миру, представляя серьезную угрозу для организаций в различных секторах. Эта вредоносная кампания использует передовые методы для скрытного проникновения на серверы, фокусируясь на добыче криптовалют и прокси-взломе, которые используют ресурсы сервера для вредоносных действий. Одна из ключевых сильных сторон Perfctl заключается в его способности избегать обнаружения традиционными средствами защиты с помощью методов безфайлового заражения, сочетаясь с законными системными процессами. В результате это может повлиять на производительность сервера, оставаясь незамеченным, что подчеркивает необходимость надежных мер обнаружения в инфраструктурах Linux.

Влияние Perfctl распространяется по всему миру, в частности, на такие страны, как США, Германия и Южная Корея, которые особенно сильно зависят от серверов Linux, особенно в облачных и корпоративных средах. Вредоносное ПО в первую очередь нацелено на отрасли с высокими вычислительными требованиями, включая криптовалютные платформы и сектора разработки программного обеспечения. Платформы криптовалюты и NFT были естественными мишенями для Perfctl, учитывая ее деятельность по криптомайнингу, в то время как сектора разработки программного обеспечения и публикации уязвимы из-за распространения вредоносного ПО через форумы разработчиков и репозитории.

Perfctl использует сложные тактические приемы для проникновения на серверы Linux и поддержания контроля над ними, что делает его устойчивой угрозой, с которой сложно бороться. Для защиты от Perfctl специалисты по безопасности должны применять многоуровневый подход, включающий мониторинг, повышение надежности системы и упреждающий анализ угроз. Ключевые шаги по снижению рисков включают мониторинг сетевого трафика и системных ресурсов на предмет необычных действий, строгий контроль доступа, регулярное внесение исправлений и обновление систем, развертывание решений для обнаружения конечных точек и реагирования на них (EDR) с возможностями машинного обучения, проведение аудитов безопасности и анализ угроз с помощью таких платформ, как SOCRadar, для получения информации о возникающих угрозах в режиме реального времени.

Продолжающаяся кампания Perfctl против серверов Linux подчеркивает растущую сложность вредоносных программ, нацеленных на серверные среды. Уделяя особое внимание использованию уязвимостей в регионах, сильно зависящих от Linux, команды по кибербезопасности должны сохранять бдительность и внедрять надежные меры обнаружения и смягчения последствий для защиты своих Linux-сред от продвинутых угроз, таких как Perfctl.

#ParsedReport #CompletenessLow
25-11-2024

Blogs. When Guardians Become Predators: How Malware Corrupts the Protectors

https://www.trellix.com/blogs/research/when-guardians-become-predators-how-malware-corrupts-the-protectors

Report completeness: Low

Threats:
Byovd_technique

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1215, T1562.009, T1106, T1574.005

IOCs:
File: 4
Path: 1
Hash: 2

Soft:
Windows kernel

Win API:
DeviceIoControl, KeAttachProcess, ZwTerminateProcess

#ParsedReport #GeneratedSchema
Generated with GPT-4