#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в кибератаке, проведенной APT-C-60 против местных организаций в августе 2024 года. Атака включала рассылку вредоносных электронных писем, выдаваемых за заявления о приеме на работу, с целью заражения организаций вредоносным ПО. В статье подробно описывается метод атаки, включая анализ загрузчиков и бэкдоров, а также кампании с использованием того же вредоносного ПО. Важность атаки заключается в использовании законных сервисов, таких как Bitbucket и StatCounter, ее нацеленности на страны Восточной Азии и необходимости усиления мер кибербезопасности для защиты от APT-C-60 и подобных хакеров.
-----

Группа атак APT-C-60 провела атаки на местные организации в августе 2024 года, что подтверждено JPCERT/CC. Атака включала отправку вредоносных электронных писем, выдаваемых за заявления о приеме на работу, в отдел по подбору персонала организаций с целью заражения их вредоносным ПО. В этой статье рассматривается метод атаки, описывается процесс, приводящий к заражению вредоносным ПО, анализ загрузчиков, бэкдоров и кампаний, использующих одно и то же вредоносное ПО.

Атака началась с рассылки целевого электронного письма, в котором получателям предлагалось загрузить файл по ссылке Google Drive, указанной в электронном письме. При переходе по ссылке Google Drive загружается файл VHDX, содержащий вредоносное ПО. Файлы VHDX - это форматы файлов на виртуальном диске, которые можно просмотреть, установив их. Файл VHDX в ходе этой атаки содержал файл LNK и документ-приманку, как показано на рисунке 2. Открыв IPML.txt , обнаруживается документ-приманка, в то время как загрузчик, известный как SecureBootUEFI.dat, создается и поддерживается для сохранения посредством перехвата COM, регистрируя путь к идентификатору COM-интерфейса F82B4EF1-93A9-4DDE-8015-F7950A1A6E31.

ESET назвала бэкдор, использованный в этой атаке, SpyGrace. Конфигурация, встроенная в бэкдор, включает информацию о версии, причем образец идентифицирован как v3.1.6. Фаза инициализации бэкдора включает выполнение определенных команд и URL-адресов C2, как подробно описано в приложении A. В отчетах от поставщиков средств безопасности за август-сентябрь 2024 года указывалось на вредоносное ПО, похожее на подтвержденный образец, с акцентом на использование законных средств защиты. такие сервисы, как Bitbucket и StatCounter, а также сохранение данных с помощью перехвата COM. Кроме того, наличие документа-приманки в файле VHDX указывает на потенциальные аналогичные атаки в странах Восточной Азии, таких как Япония, Южная Корея и Китай, что согласуется с сообщениями об атаках, направленных против этих стран.

Эта атака вызывает беспокойство из-за использования законных сервисов, таких как Bitbucket и StatCounter, и ее направленности на страны Восточной Азии, в частности Японию. Дополнительные сведения о образцах и CCE, использованных при атаке, можно найти в предоставленном приложении. Важность этих результатов подчеркивается совпадением элементов в разных кампаниях с точки зрения типов команд, ключей RC4, ключей AES и других характеристик, наблюдаемых в проанализированных выборках.

Учитывая изощренность и размах этих атак, бдительность и усовершенствованные меры кибербезопасности имеют решающее значение для защиты организаций и конфиденциальных данных от попадания в руки APT-C-60 и подобных хакеров. Выводы, изложенные в этой статье, проливают свет на тактику, методы и процедуры, используемые APT-C-60, подчеркивая необходимость упреждающего анализа угроз и возможностей реагирования на них перед лицом развивающихся киберугроз.

#ParsedReport #CompletenessLow
27-11-2024

Credit Card Skimmer Malware Targeting Magento Checkout Pages

https://blog.sucuri.net/2024/11/credit-card-skimmer-malware-targeting-magento-checkout-pages.html

Report completeness: Low

Victims:
Magento websites

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1036, T1078.003

IOCs:
Domain: 3
File: 1

Algorithms:
base64, xor

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносная программа нацелена на веб-сайты Magento с помощью вредоносного JavaScript-кода, предназначенного для кражи ценных данных клиентов во время оформления заказа. Вредоносная программа создает поддельные формы кредитных карт или извлекает поля для оплаты, отправляя зашифрованные данные на удаленный сервер. В тексте также рассказывается об обнаружении вредоносного ПО на зараженных веб-сайтах, о том, как оно работает, и даются рекомендации по защите платформ электронной коммерции. Кроме того, в нем рассказывается о Пудже Шриваставе (Puja Srivastava), аналитике по безопасности, специализирующемся на исследовании вредоносных программ и устранении их последствий, который занимается борьбой с новыми вредоносными угрозами.
-----

Веб-сайты Magento являются главной мишенью для киберпреступников из-за их распространенности в сфере электронной коммерции и ценной информации о клиентах, которую они обрабатывают.

Была обнаружена вредоносная программа JavaScript, нацеленная на сайты Magento с целью кражи зашифрованных данных клиентов во время оформления заказа.

Вредоносная программа работает путем создания поддельных бланков кредитных карт или извлечения полей для оплаты непосредственно на страницах оформления заказа.

Вредоносная программа была впервые обнаружена Уэстоном Генри (Weston Henry) и предназначена для объединения вредоносных программ для файловой системы и баз данных с передовыми методами обфускации.

На момент написания статьи 8 веб-сайтов были заражены этой вредоносной программой, исходящей из занесенного в черный список домена dynamicopenfonts.app.

Информация о кредитной карте и пользовательские данные, собранные с помощью API-интерфейсов Magento, шифруются и отправляются на удаленный сервер по адресу staticfonts.com stealthly.

Рекомендации по защите платформ электронной коммерции включают постоянное обновление программного обеспечения, безопасное управление учетными записями администраторов, внедрение мониторинга целостности файлов и развертывание брандмауэра веб-приложений (WAF).

Пуджа Шривастава, аналитик по безопасности, специализирующийся на исследовании, обнаружении и устранении вредоносных программ, активно борется с новыми вредоносными угрозами в этой области.

#ParsedReport #CompletenessLow
28-11-2024

Malicious PyPI crypto pay package aiocpa implants infostealer code

https://www.reversinglabs.com/blog/malicious-pypi-crypto-pay-package-aiocpa-implants-infostealer-code

Report completeness: Low

Threats:
Aiocpa_stealer
Typosquatting_technique
Supply_chain_technique

ChatGPT TTPs:
do not use without manual check
T1204, T1071

IOCs:
Hash: 4

Algorithms:
base64

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе вредоносного кода, скрытого в, казалось бы, легальном пакете Python под названием aiocpa, который был нацелен на криптовалютные кошельки. ReversingLabs, система поиска угроз, основанная на машинном обучении, обнаружила вредоносный пакет и отправила сообщение об этом в Python Package Index (PyPI) для удаления, подчеркнув уникальный подход злоумышленников. Используя для дифференциального анализа такие инструменты, как Spectra Assure, исследователи смогли выявить модели вредоносного поведения в различных версиях пакета и подчеркнуть важность передовых средств обеспечения безопасности цепочки поставок программного обеспечения для обнаружения и устранения таких угроз. Этот инцидент подчеркивает растущую сложность угроз безопасности программного обеспечения с открытым исходным кодом и необходимость для организаций внедрять специальные инструменты для глубокого изучения поведения программного обеспечения для эффективной борьбы с этими угрозами.
-----

ReversingLabs выявила вредоносный код в пакете aiocpa, направленный на компрометацию криптовалютных кошельков.

Атака была уникальной, поскольку участники не выдавали себя за легальные пакеты, а разработали свой собственный крипто-клиентский инструмент для привлечения пользователей.

Вредоносный код был внедрен в сам пакет PyPI, что позволило избежать традиционных проверок безопасности.

RL Spectra Assure был использован для дифференциального анализа двух версий пакета, чтобы выявить методы злоумышленников.

Вредоносный код был идентифицирован в версиях 0.1.13 и 0.1.14 путем обнаружения моделей поведения, связанных с вредоносным ПО.

Spectra Assure использует извлечение индикаторов поведения во время статического анализа для оценки и снижения рисков безопасности программного обеспечения сторонних производителей.

Политики поиска угроз (Threat Hunting, TH) в рамках Spectra помогают автоматизировать обнаружение угроз и смягчать угрозы в цепочке поставок программного обеспечения.

Этот инцидент подчеркивает необходимость в таких передовых инструментах, как Spectra Assure, для борьбы с появляющимися угрозами безопасности программного обеспечения с открытым исходным кодом.

#cyberthreattech
Что-то уже начало работать.
Но, скорее всего, в декабре в паблик выкатить не успеем, только закрытый бета-тест проведем.

#ParsedReport #CompletenessHigh
29-11-2024

Matrix Unleashes A New Widespread DDoS Campaign

https://www.aquasec.com/blog/matrix-unleashes-a-new-widespread-ddos-campaign

Report completeness: High

Actors/Campaigns:
Matrix (motivation: script_kiddie, financially_motivated)

Threats:
Mirai
Pybot
Discordgo
Gorillabot
911s5
Zephyrus
Supply_chain_technique
Kryptik
Sshscan_tool
Siggen
Casdet
Bashlite

Industry:
Iot, Telco, Software_development, Critical_infrastructure

Geo:
Ukraine, Ukrainian, Russian, Japan, China, Apac, Usa, Russia

CVEs:
CVE-2017-17106 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zivif pr115-204-p-rs firmware (2.3.4.2103)

CVE-2017-18368 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- billion 5200w-t firmware (7.3.8.0)

CVE-2014-8361 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-905l firmware (le2.05b01)

CVE-2024-27348 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache hugegraph (<1.3.0)

CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- huawei hg532 firmware (-)

CVE-2022-30075 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tp-link archer ax50 firmware (le210730)

CVE-2022-30525 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel usg flex 100w firmware (<5.30)

CVE-2021-20090 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- buffalo wsr-2533dhpl2-bk firmware (le1.02)

CVE-2018-10561 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dasannetworks gpon router firmware (-)

CVE-2018-10562 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dasannetworks gpon router firmware (-)

CVE-2018-9995 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tbkvision tbk-dvr4216 firmware (-)


TTPs:
Tactics: 8
Technics: 0

IOCs:
Hash: 11
File: 2
IP: 6

Soft:
Telegram, Hadoop, Linux, OpenSSH, OpenWRT, Discord, Windows Defender, SQLlite, ubuntu, Zyxel, have more...

Algorithms:
md5

Win API:
pie

Languages:
perl, golang, python, javascript, java

Platforms:
x86

Links:
https://github.com/milesrack/pynet
https://github.com/bwmarrin/discordgo
have more...
https://github.com/wodxgod/PYbot

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи Aqua Nautilus раскрыли широкомасштабную кампанию DDoS, организованную хакером по имени Matrix, использующим доступные инструменты и методы для выявления уязвимостей в IoT и корпоративных системах с целью получения финансовой выгоды, а также для майнинга криптовалют. Кампания предполагает использование уязвимостей, неправильных настроек и слабых учетных данных на различных устройствах, что приводит к созданию глобальной ботнета под управлением Matrix. Для борьбы с такими угрозами Aqua Nautilus предлагает решения для обеспечения безопасности, такие как CNAPP и DTA, которые помогают организациям укрепить свои позиции в области защиты от возникающих киберугроз.
-----

Исследователи Aqua Nautilus раскрыли широкомасштабную кампанию по борьбе с отказом в обслуживании (DDoS), организованную хакером по имени Matrix. Расследование раскрывает методы, цели и инструментарий Matrix, демонстрируя, как доступные инструменты и минимальные технические знания могут способствовать проведению крупномасштабных кибератак. Кампания нацелена на уязвимости и неправильные настройки в IoT и корпоративных системах, используя общедоступные скрипты, атаки методом перебора и использование слабых учетных данных для создания глобальной ботнет-сети для сбоев.

Кампания Matrix знаменует собой смещение акцента в сторону серверов разработки и производства, что указывает на заинтересованность в использовании корпоративных уязвимостей для DDoS-атак. Хакер использует ряд инструментов и методов для использования слабых мест в различных устройствах и программных системах, демонстрируя ориентацию на финансовую выгоду, а не на политические мотивы. Используя широкий спектр общедоступных скриптов и инструментов, злоумышленники могут получить доступ к целому ряду подключенных к Интернету устройств, включая устройства Интернета вещей, маршрутизаторы, телекоммуникационное оборудование и корпоративные серверы. Примечательно, что значительное количество взломанных устройств по-прежнему использует учетные данные по умолчанию или ненадежные учетные данные, что делает их уязвимыми для использования.

Хакерская кампания включает использование уязвимостей в маршрутизаторах, видеорегистраторах, камерах, телекоммуникационном оборудовании, устройствах Интернета вещей и корпоративных программных системах. Аккаунт Matrix на GitHub демонстрирует использование Python, Shell, Golang и других языков для разработки и модификации вредоносных инструментов. Наблюдаемая схема активности предполагает структурированный подход к созданию и совершенствованию инструментов ботнета при изучении различных областей атак, демонстрируя значительное внимание сканированию, использованию и развертыванию вредоносных программ, в первую очередь для DDoS-атак на устройства и серверы Интернета вещей.

Исследователь обнаружил множество распространенных уязвимостей (CVE), на которые нацелился хакер, в основном на устройствах Интернета вещей, маршрутизаторах и корпоративных серверах. Кампания использует неправильные настройки и слабые учетные данные в качестве начальных средств доступа для компрометации большого количества устройств по всему миру, что потенциально может привести к созданию крупной ботнета под контролем хакера.

Кампания Matrix также включает в себя создание Telegram-бота для продажи услуг DDoS-атак, нацеленных как на атаки уровня 4, так и на атаки уровня 7 с целью перегрузки серверов. Хотя в кампании преобладают финансовые мотивы, хакер также занимается добычей криптовалюты, хотя и с ограниченной финансовой выгодой.

Для борьбы с такими угрозами Aqua Nautilus предлагает платформу облачных приложений (CNAPP) для обеспечения безопасности во время выполнения в облачных средах и динамический анализ угроз (DTA) для анализа вредоносных программ в контейнерных средах. Выявляя и устраняя уязвимости, организации могут укрепить свою систему безопасности против развивающихся киберугроз, подобных той, которую реализует Matrix.

#ParsedReport #CompletenessHigh
30-11-2024

RomCom exploits Firefox and Windows zero days in the wild

https://www.welivesecurity.com/en/eset-research/romcom-exploits-firefox-and-windows-zero-days-in-the-wild

Report completeness: High

Actors/Campaigns:
Void_rabisu (motivation: cyber_espionage)
Unc2596 (motivation: cyber_espionage)

Threats:
Romcom_rat
Redir
Dll_injection_technique

Industry:
Energy, Healthcare

Geo:
Russia, Ukraine, Germany, America

CVEs:
CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20107)
- microsoft windows 10 1607 (<10.0.14393.6167)
- microsoft windows 10 1809 (<10.0.17763.4737)
- microsoft windows 10 21h2 (<10.0.19044.3324)
- microsoft windows 10 22h2 (<10.0.19044.3324)
have more...
CVE-2024-9680 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- mozilla firefox (<115.16.1, <131.0.2, <128.3.1)
- mozilla thunderbird (<115.16.0, <128.3.1, 131.0)

CVE-2024-49039 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20826)
- microsoft windows 10 1607 (<10.0.14393.7515)
- microsoft windows 10 1809 (<10.0.17763.6532)
- microsoft windows 10 21h2 (<10.0.19044.5131)
- microsoft windows 10 22h2 (<10.0.19045.5131)
have more...

TTPs:
Tactics: 13
Technics: 31

IOCs:
File: 12
Domain: 9
Url: 1
IP: 10
Hash: 6

Soft:
Firefox, Windows Task Scheduler, Component Object Model, wordpad, Microsoft Word, Tor Browser, task scheduler, Windows security

Algorithms:
sha1, zip

Functions:
getInfo

Win API:
NdrClientCall2

Languages:
javascript, powershell

Links:
https://github.com/monoxgas/sRDI/blob/master/ShellcodeRDI/ShellcodeRDI.c
https://github.com/silverf0x/RpcView
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 11, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении критической уязвимости нулевого дня CVE-2024-9680 в продуктах Mozilla, эксплуатируемой хакерской группой RomCom, а также в использовании другой уязвимости нулевого дня в Windows для внедрения бэкдора в системы жертв. Атака включает в себя перенаправление пользователей на поддельный веб-сайт, на котором размещен эксплойт, что позволяет выполнять вредоносный код без участия пользователя. Кроме того, в тексте обсуждается сложность атак RomCom, их сотрудничество с Mozilla для раскрытия информации и важность надежных мер кибербезопасности против APT, использующих уязвимости нулевого дня.
-----

Исследователи ESET обнаружили критическую уязвимость нулевого дня CVE-2024-9680 в продуктах Mozilla, которую использовала связанная с Россией хакерская группа RomCom.

RomCom использовал CVE-2024-9680 для запуска кода в контексте таких браузеров, как Firefox, Thunderbird и Tor Browser.

RomCom также использовал уязвимость Windows нулевого дня CVE-2024-49039, которая в сочетании с уязвимостью Mozilla позволяла выполнять произвольный код в пользовательском контексте.

Жертвы, посещающие скомпрометированные веб-сайты, могут невольно выполнить вредоносный код, который приведет к установке бэкдора RomCom в их системах.

RomCom, также известный как Storm-0978, специализируется на кибершпионаже и оппортунистических кампаниях, нацеленных на конкретные сектора бизнеса.

Эксплуатация включала перенаправление пользователей на поддельный веб-сайт для развертывания бэкдора RomCom с использованием шеллкода.

Mozilla и Microsoft оперативно исправили уязвимости после их обнаружения.

Жертвами нападений были люди в Европе и Северной Америке, причем число жертв в разных странах было разным.

Метод атаки заключался в создании запланированной задачи для повышения привилегий и выхода из изолированной среды браузера.

Совместное использование RomCom двух уязвимостей нулевого дня продемонстрировало высокую степень изощренности, что потребовало принятия надежных мер кибербезопасности для защиты.

#ParsedReport #CompletenessLow
30-11-2024

T-Mobile Thwarts Chinese Hackers: Salt Typhoon Telecom Breach Stopped

https://www.secureblink.com/cyber-security-news/t-mobile-thwarts-chinese-hackers-salt-typhoon-telecom-breach-stopped

Report completeness: Low

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage)
Volt_typhoon

Victims:
T-mobile, At&t, Verizon, Lumen technologies

Industry:
Government, Critical_infrastructure, Telco

Geo:
Canada, India, China, Chinese, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1049

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что T-Mobile успешно предотвратила кибератаку, проведенную спонсируемой китайским государством хакерской группой "Salt Typhoon", что подчеркивает более широкую тенденцию кибератак, нацеленных на критически важную инфраструктуру в различных регионах. Атака была нацелена на сеть T-Mobile из-за уязвимостей в маршрутизаторах, но упреждающий мониторинг и защитные механизмы помогли обнаружить и предотвратить значительную компрометацию клиентских данных. Этот инцидент проливает свет на более масштабные телекоммуникационные атаки группы и подчеркивает глобальный охват подобных кампаний, подчеркивая важность раннего обнаружения и надежной защиты от кибербезопасности для борьбы со сложными киберугрозами.
-----

Недавно T-Mobile предотвратила кибератаку, организованную спонсируемой китайским государством хакерской группой, известной как "Солт Тайфун", также известной под псевдонимами Earth Estries, FamousSparrow, Ghost Emperor и UNC2286. Эта атака была частью более широкой тенденции кибератак, нацеленных на критически важную инфраструктуру в регионах, включая Юго-Восточную Азию, Соединенные Штаты и Канаду. Хакеры проникли в сеть T-Mobile через уязвимости в маршрутизаторах компании, потенциально намереваясь переместиться в другое место для поиска других уязвимостей. Однако проактивный мониторинг T-Mobile и надежные защитные механизмы помогли обнаружить нарушение на ранней стадии, предотвратив существенную компрометацию клиентских данных.

Брешь в T-Mobile была обнаружена, когда инженеры заметили необычные команды на маршрутизаторах, которые соответствовали тактике и показателям компрометации, связанным с Salt Typhoon. Этот инцидент пролил свет на более масштабные телекоммуникационные атаки, приписываемые этой группе, которые были направлены против крупных провайдеров, таких как AT&T, Verizon и Lumen Technologies, а также правительственных органов и политических учреждений. Как Агентство кибербезопасности и защиты инфраструктуры США (CISA), так и ФБР подтвердили, что злоумышленники взломали конфиденциальные коммуникации с участием правительственных чиновников, подчеркнув серьезность угрозы.

Более того, обнародование Канадой результатов сканирования сети, связанных с китайскими хакерами, еще раз подчеркнуло глобальный охват таких кампаний, что согласуется со всеобъемлющей стратегией Китая в области кибершпионажа. Хотя китайская группа Volt Typhoon напрямую не связана с Salt Typhoon, она недавно провела атаки на интернет-провайдеров и поставщиков управляемых услуг (MSP) в США и Индии. В этих атаках использовались украденные учетные данные и эксплойты нулевого дня, демонстрирующие высокий уровень изощренности и настойчивости, сродни кампании Salt Typhoon.

Быстрая реакция T-Mobile на взлом служит подтверждением ценности раннего обнаружения и надежной защиты от кибербезопасности для предотвращения крупных инцидентов безопасности. Однако этот инцидент подчеркивает сохраняющуюся уязвимость телекоммуникационного сектора, подчеркивая необходимость укрепления международного сотрудничества и усиления мер кибербезопасности для защиты от сложных угроз, подобных тем, которые исходят от Salt Typhoon и связанных с ними группировок.

#ParsedReport #CompletenessHigh
30-11-2024

The RAT race: What happens when RATs go undetected

https://fieldeffect.com/blog/what-happens-when-rats-go-undetected

Report completeness: High

Threats:
Motw_bypass_technique
Batchshield_tool
Donut
Lazzzy
Dcrat
Asyncrat
Xworm_rat
Purelogs

Industry:
Financial

CVEs:
CVE-2024-38213 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20680)
- microsoft windows 10 1607 (<10.0.14393.7070)
- microsoft windows 10 1809 (<10.0.17763.5936)
- microsoft windows 10 21h2 (<10.0.19044.4529)
- microsoft windows 10 22h2 (<10.0.19045.4529)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1553.005, T1204.005, T1566.001, T1027, T1059.005, T1027.002, T1140, T1505.001, T1071.001

IOCs:
File: 33
Hash: 49
IP: 11
Domain: 8
Email: 1
Url: 1

Soft:
Windows Defender SmartScreen, Windows Explorer, Selenium, Chrome, Microsoft Edge, TryCloudflare

Algorithms:
zip, sha256, rc4

Languages:
python, javascript, visual_basic