#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что глобальная группа экстренного реагирования "Лаборатории Касперского" (GERT) выявила хакера, который использовал уязвимость в программном обеспечении FortiClient EMS от Fortinet, что привело к атакам с использованием SQL-инъекций, которые позволили злоумышленникам выполнять произвольный код в целевых системах. Злоумышленники использовали для вредоносных действий такие инструменты, как ScreenConnect и AnyDesk, и установили постоянство с помощью этих средств удаленного доступа. Анализ также выявил мультирегиональную направленность атак злоумышленников, с акцентом на Южную Америку, и подчеркнул важность своевременных обновлений для предотвращения использования уязвимостей в технологиях, доступных через Интернет. Рекомендации включали обновление FortiClient EMS до защищенных версий и регулярную установку исправлений для всех приложений, доступных через Интернет, для усиления защиты от кибербезопасности.
-----

Глобальная группа экстренного реагирования "Лаборатории Касперского" (GERT) недавно выявила хакера, который использовал уязвимость в Fortinet для проникновения в корпоративную инфраструктуру. Уязвимость CVE-2023-48788 затрагивает FortiClient EMS версий с 7.0.1 по 7.0.10 и с 7.2.0 по 7.2.2 из-за неправильной фильтрации входных данных SQL-команд, что делает возможными атаки с использованием SQL-инъекций. Злоумышленники могут выполнять произвольный код или команды, отправляя специально созданные пакеты данных через эту уязвимость.

Целью атаки был сервер Windows с доступом в Интернет и только двумя открытыми портами, связанными с FortiClient EMS. Пострадавшая компания использовала FortiClient EMS для загрузки политик на корпоративные устройства и безопасного доступа к Fortinet VPN. Анализ данных с исходного сервера выявил удаленные действия, указывающие на доступность Интернета и использование инструментов RMM, таких как ScreenConnect и AnyDesk. Было подтверждено, что установленная версия FortiClient EMS (7.01) уязвима, что потребовало дальнейшего изучения системных журналов на предмет наличия признаков уязвимости.

В ходе анализа были обнаружены доказательства вредоносного SQL-внедрения в файлы журнала ошибок, указывающие на команды, выполняемые злоумышленниками. Злоумышленники использовали URL-адреса в кодировке base64 для загрузки ScreenConnect, а для установки и запуска использовали такие инструменты, как curl и certutil. После установки злоумышленники загрузили дополнительную полезную нагрузку, выполнили действия по перемещению в разные стороны и установили постоянство с помощью AnyDesk. Анализ журналов AnyDesk выявил IP-адрес, привязанный к российскому региону и связанный со вредоносной кампанией с использованием Cobalt Strike.

Данные телеметрии указывают на то, что злоумышленники нацеливались на несколько регионов, используя различные поддомены ScreenConnect для каждой цели. Примечательно, что активность по эксплуатации была более частой в Южной Америке. Кроме того, 23 октября 2024 года было отмечено активное использование CVE-2023-48788 наряду с использованием сервиса webhook.сайт для сбора ответов от уязвимых объектов. В частности, было выявлено 25 запросов с IP-адресами из 18 стран, включая подозрительный IP-адрес 135.XXX.XXX.47, размещенный в Германии, который ранее был связан с деятельностью infostealer.

Анализ выявил эволюцию тактики злоумышленников при развертывании средств удаленного доступа и подчеркнул необходимость своевременного обновления технологий, доступных через Интернет, для предотвращения их использования. Рекомендации включали обновление FortiClient EMS до версий 7.0.11-7.0.13 или 7.2.3 и выше, а также регулярную установку исправлений и уведомлений для всех приложений, доступных через Интернет, для повышения уровня кибербезопасности.

#ParsedReport #CompletenessMedium
24-12-2024

Analyzing Malicious Intent in Python Code: A Case Study

https://www.fortinet.com/blog/threat-research/analyzing-malicious-intent-in-python-code

Report completeness: Medium

Threats:
Zebo
Cometlogger
Upx_tool
Exela

Victims:
Individuals, Institutions

Industry:
Education

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.001, T1113, T1041, T1140, T1204.002, T1090.002, T1497.001

IOCs:
File: 3
Hash: 3

Soft:
Discord, Steam, Instagram, Twitter, TikTok, Firefox, VirtualBox

Algorithms:
exhibit

Functions:
GetWallets

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Система обнаружения вредоносных программ OSS, управляемая искусственным интеллектом, Fortinet выявила вредоносные пакеты Zebo-0.1.0 и Cometlogger-0.1, нацеленные на платформы PyPI и представляющие серьезную угрозу из-за слежки, утечки данных, несанкционированного контроля, кражи информации и манипулирования системой, что подчеркивает острую необходимость повышения осведомленности о кибербезопасности и тщательного изучения кода для предотвращения кибератак. потенциальные утечки данных и компрометация системы.
-----

Вредоносные пакеты Zebo-0.1.0 и Cometlogger-0.1 были недавно идентифицированы системой обнаружения вредоносных программ для операционной системы Fortinet, управляемой искусственным интеллектом. Эти пакеты созданы для того, чтобы казаться легитимными, но при этом скрывают вредоносные функции за сложной логикой и обфускацией. Они нацелены на все платформы, на которых могут быть установлены пакеты PyPI, что представляет серьезную угрозу для любых лиц или учреждений, у которых они установлены.

Zebo-0.1.0 является классическим примером вредоносного ПО с функциями, предназначенными для наблюдения, утечки данных и несанкционированного контроля. В нем используются методы обфускации, позволяющие обойти механизмы обнаружения, и библиотеки, такие как pynput и ImageGrab, для выполнения вредоносных действий. Скрипт фиксирует нажатия клавиш, делает скриншоты, загружает конфиденциальную информацию на удаленный сервер и обеспечивает постоянство работы, повторно запускаясь при запуске системы. Использование обфускации направлено на то, чтобы скрыть истинное назначение кода и обойти меры безопасности, создавая значительные риски для конфиденциальности пользователей и целостности системы.

Аналогичным образом, Cometlogger-0.1 демонстрирует вредоносное поведение, такое как динамическое манипулирование файлами, внедрение веб-перехватчиков, кража информации и проверки на защиту от виртуальных машин. Скрипт может изменять файлы Python во время выполнения, внедрять веб-интерфейсы для командно-контрольных операций и поддерживать долгосрочное присутствие в системе жертвы. Он крадет токены, пароли и учетные записи с различных платформ, таких как Discord, Steam, Instagram и других, а также нацелен на корпоративные аккаунты, что потенциально может привести к утечке данных и юридическим последствиям.

Оба вредоносных скрипта вызывают опасения по поводу угроз безопасности, включая несанкционированный доступ, кражу данных, нарушение конфиденциальности пользователей и возможность использования злоумышленниками. Скрипты могут манипулировать файлами, внедрять поддельные сообщения об ошибках и интегрироваться с такими инструментами, как UPX, для обфускации, что затрудняет их обнаружение средствами безопасности. Наличие подозрительных действий, таких как частое использование UPX-сжатия и жестко запрограммированных веб-подключений, указывает на явное злонамеренное намерение нанести вред пользователям и использовать системы в своих целях.

Вредоносный характер этих скриптов подчеркивает важность повышения осведомленности о кибербезопасности, обучения пользователей распознавать попытки фишинга и проверки источников перед выполнением скриптов. Крайне важно тщательно изучать код, особенно из непроверенных источников, чтобы не стать жертвой вредоносного ПО, которое может поставить под угрозу конфиденциальную информацию и безопасность системы.

#technique

Malware Series: Process Injection Mapped Sections

https://trustedsec.com/blog/malware-series-process-injection-mapped-sections

#technique

C2 infrastructure that allows Red Teamers to execute system commands on compromised hosts through Microsoft Teams.

https://github.com/cxnturi0n/convoC2

#technique #llm

Alignment faking in large language models

https://arxiv.org/abs/2412.14093v1

#technique

PMKID Attacks: Debunking the 802.11r Myth

https://www.nccgroup.com/us/research-blog/pmkid-attacks-debunking-the-80211r-myth/

#ParsedReport #CompletenessLow
24-12-2024

Weekly Phishing Email Distribution Cases (2024/12/15\~2024/12/21)

https://asec.ahnlab.com/ko/85309

Report completeness: Low

Geo:
China

IOCs:
File: 18

Languages:
swift

#ParsedReport #CompletenessLow
24-12-2024

Analysis of attack cases targeting domestic solutions of Andariel Group (SmallTiger)

https://asec.ahnlab.com/ko/85270

Report completeness: Low

Actors/Campaigns:
Andariel

Threats:
Smalltiger
Modeloader
Advanced-port-scanner_tool
Netstat_tool

ChatGPT TTPs:
do not use without manual check
T1059.001, T1021.001

IOCs:
File: 3
Registry: 1
IP: 2
Path: 1
Hash: 4
Url: 1

Soft:
Apache Tomcat

Algorithms:
md5

Functions:
CreateHiddenAccount

Win Services:
WebClient

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа компаний Andariel нацелена на программное обеспечение отечественных компаний, в частности на решения для управления активами и предотвращения утечки данных, путем использования уязвимостей и установки вредоносного ПО, такого как SmallTiger. Их атаки включают захват серверов управления, использование таких инструментов, как ModeLoader, и получение несанкционированного доступа к системам для выполнения команд и установки дополнительных вредоносных программ. Для снижения риска заражения в результате кибератак группы Andariel особое внимание уделяется превентивным мерам безопасности и регулярному внесению исправлений.
-----

Группа компаний Andariel нацелена на программное обеспечение отечественных компаний, уделяя особое внимание решениям по управлению активами и предотвращению утечки данных (DLP), а также использованию уязвимостей в различных других программах. Их атаки продолжались и во второй половине 2024 года, при этом основное внимание уделялось установке SmallTiger. Одной из их основных целей является решение для управления внутренними активами, которое постоянно используется в течение нескольких лет. Кроме того, в подтвержденных случаях они атаковали решение для централизации документов.

Предполагается, что злоумышленники захватывают серверы управления, а затем используют их для выполнения команд по установке вредоносного ПО, преимущественно ModeLoader. Также известно, что они захватывают управление с помощью неизбирательных атак по словарю на незащищенные серверы обновлений, заменяя программу обновления на SmallTiger для ее распространения в организациях. SmallTiger устанавливается в пути установки решения для управления активами, часто вместе с кейлоггером, который сохраняет нажатия клавиш пользователя в файле "MsMpLog.tmp".

Злоумышленники используют SmallTiger для обеспечения доступа к зараженным системам по протоколу удаленного рабочего стола (RDP), выполняя команды для добавления и скрытия скрытых учетных записей с помощью инструмента с открытым исходным кодом CreateHiddenAccount. Они также получают доступ к базовой системной информации и могут устанавливать дополнительные инструменты, такие как Advanced Port Scanner и web shell, используя команды PowerShell. Сервер загрузки, используемый злоумышленниками, "45.61.148.153", также идентифицирован как командно-контрольный сервер SmallTiger (C&C), что указывает на прямую связь между вредоносной программой и злоумышленниками.

Недавние подтверждения от ASEC свидетельствуют о том, что атаки Andariel group с использованием SmallTiger возобновляются. Они продолжают использовать отечественные решения и уязвимости для установки вредоносных программ, в частности, нацеленных на решения для управления активами и централизации документов. Сотрудникам службы корпоративной безопасности рекомендуется усилить мониторинг таких решений централизованного управления, применять исправления для устранения уязвимостей в системе безопасности и следить за тем, чтобы такие программы, как операционные системы и интернет-браузеры, были обновлены до последних версий, чтобы предотвратить заражение вредоносными программами.

Таким образом, кибератаки Andariel group связаны с использованием программного обеспечения, используемого отечественными компаниями, с особым акцентом на решения по управлению активами и централизации документооборота. Они используют SmallTiger и другие инструменты для установки вредоносных программ и получения несанкционированного доступа к системам, подчеркивая важность упреждающих мер безопасности и регулярного внесения исправлений для снижения риска заражения.

#ParsedReport #CompletenessLow
24-12-2024

Dark Web Profile: Bashe (APT73)

https://socradar.io/dark-web-profile-bashe-apt73

Report completeness: Low

Actors/Campaigns:
Eraleig (motivation: financially_motivated, cyber_criminal)

Threats:
Lockbit
Supply_chain_technique
Spear-phishing_technique
Process_injection_technique

Industry:
Bp_outsourcing, Healthcare, Logistic, Transport

Geo:
India, France, United kingdom, Australia, Germany

TTPs:
Tactics: 11
Technics: 20

Crypto:
bitcoin

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа программ-вымогателей Bashe, ранее известная как APT73 или Eraleig, появилась в 2024 году, нацелившись на критически важные отрасли промышленности в развитых странах. Bashe работает через сайт утечки данных (DLS) на базе TOR и использует тактику, аналогичную LockBit, для вымогательства данных, чтобы заставить жертв соблюдать требования. Bashe стратегически нацелен на развитые страны и отрасли промышленности, применяя тактику двойного вымогательства и фишинговые методы для получения доступа к системам жертв. Для защиты от атак программ-вымогателей, подобных тем, которые проводит Bashe, организациям рекомендуется внедрять многоуровневую стратегию безопасности и использовать передовые инструменты, подобные тем, которые предлагает SOCRadar.
-----

Bashe, ранее известная как APT73 или Eraleig, - это группа программ-вымогателей, которая появилась в 2024 году и нацелена на критически важные отрасли промышленности в развитых странах. Группа действует через сайт утечки данных (DLS) на базе TOR и использует тактику, аналогичную LockBit, для вымогательства данных в качестве средства давления на жертв, чтобы заставить их соблюдать требования.

Впервые появившись в середине апреля 2024 года, Bashe представила себя как "АПТ" (APT), обозначение, обычно ассоциирующееся с очень изощренными кибер-игроками. После перерыва в несколько месяцев группа провела ребрендинг, ранее известная как APT73 или Eraleig, с новыми доменами. Структура DLS Bashe напоминает структуру группы программ-вымогателей LockBit, с такими разделами, как "Свяжитесь с нами", "Как купить биткоин", "Вознаграждение за ошибки в веб-безопасности" и "Зеркала", которые отображаются в настройках LockBit.

Стратегически Bashe нацелена на развитые страны и отрасли, где уязвимость данных и сбои в работе оказывают значительное влияние. Группа использует тактику двойного вымогательства, шифруя файлы жертв и угрожая раскрыть украденные данные в их DLS, чтобы максимизировать финансовую выгоду и добиться соблюдения требований. Жертвы были выявлены в Соединенных Штатах, Соединенном Королевстве, Франции, Германии, Индии и Австралии, причем в каждой стране они были ориентированы на конкретные отрасли.

Методы атак группы включают фишинг, в частности, spear-фишинг, с целью получения доступа путем использования уязвимостей в общедоступных приложениях. Получив доступ, Баше занимается утечкой данных и двойным вымогательством. Они шифруют системы жертвы и извлекают конфиденциальные данные, используя это как рычаг давления на жертв, угрожая обнародовать украденные данные, если не будут выполнены требования о выкупе. DLS от Bashe размещен в даркнете и доступен только через Tor, что подчеркивает анонимность и усложняет отслеживание.

Для защиты от атак программ-вымогателей, подобных тем, что были совершены Bashe, организациям рекомендуется внедрять многоуровневую стратегию безопасности. Меры включают многофакторную аутентификацию (MFA), политику защиты паролей, постоянное обучение сотрудников рискам фишинга, обнаружение конечных точек и реагирование на них (EDR), внесение приложений в белый список, поведенческую аналитику, принцип наименьших привилегий (PoLP), усиление удаленных служб, мониторинг сетевого трафика, резервное копирование и изоляцию данных, планирование реагирования на инциденты, использование инструментов для расшифровки программ-вымогателей, судебно-медицинской экспертизы и анализа логов, а также сотрудничество с правоохранительными органами.

SOCRadar предлагает передовые инструменты, помогающие организациям обнаруживать, смягчать и предотвращать атаки программ-вымогателей, подобные тем, которые проводит Bashe. Эти инструменты включают в себя анализ угроз, мониторинг темного интернета, анализ уязвимостей, отслеживание программ-вымогателей и своевременные оповещения для повышения общей безопасности и готовности к новым угрозам.

#ParsedReport #CompletenessLow
24-12-2024

LITTLELAMB.WOOLTEA: Stealthy Network Edge Device Backdoor

https://northwave-cybersecurity.com/hubfs/LITTLELAMB%20WOOLTEA%20technical%20writeup%20Schrijver%20and%20Oudenaarden.pdf

Report completeness: Low

Threats:
Littlelamb_wooltea

Victims:
Palo alto network firewall

Geo:
Dutch

CVEs:
CVE-2024-9474 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.12, <11.0.6, <11.1.5, <11.2.4)


ChatGPT TTPs:
do not use without manual check
T1071.001, T1573, T1008, T1055, T1090

IOCs:
File: 1
Email: 1

Soft:
curl, PanOS, nginx, Unix, Debian Linux, Debian

Algorithms:
prng

Functions:
execve, accept, time

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном описании сложного бэкдора под названием LITTLELAMB.WOOLTEA, нацеленного на периферийные сетевые устройства, такие как сетевые брандмауэры Palo Alto. Бэкдор позволяет хакерам получать постоянный доступ, собирать разведданные и осуществлять дальнейшие атаки с помощью различных вредоносных функций и тактик, включая скрытую работу, зашифрованную связь и фишинговые кампании для распространения. Обсуждается инцидент, связанный с предполагаемым национальным хакером, который воспользовался уязвимостью на устройстве в Пало-Альто и установил бэкдор, а также подробные сведения о его возможностях и методах работы. Кроме того, представлена информация о фирме по кибербезопасности Northwave Cyber Security.
-----

В тексте описывается сложный бэкдор, известный как LITTLELAMB.WOOLTEA, который нацелен на периферийные сетевые устройства, такие как сетевые брандмауэры Palo Alto. Этот бэкдор работает скрытно, обеспечивая постоянный доступ в скомпрометированных средах, позволяя хакерам собирать разведданные и проводить дальнейшие атаки. Бэкдор является модульным и включает компоненты для обеспечения сохраняемости, передачи данных по зашифрованным каналам и выполнения вредоносных программ. Он распространяется с помощью фишинговых кампаний и использования уязвимостей, таких как неустановленное программное обеспечение и слабые места в конфигурации периферийных сетевых устройств.

Подробно описан инцидент, связанный с предполагаемым национальным хакером, получившим доступ к сетевому устройству в Пало-Альто через известную уязвимость (CVE-2024-9474). Хакер ввел команды с помощью curl для загрузки файла, который устанавливает бэкдор, маскируясь под легальный сервис. Бэкдор обеспечивает постоянство работы, изменяя системные файлы, и использует динамическую библиотеку, чтобы избежать открытия собственного порта. Он устанавливает зашифрованную связь с использованием SSL и локального сертификата для целей управления. Бэкдор предоставляет различные функции и команды для чтения/записи файлов, доступа к командной строке, создания сетевых туннелей и настройки прокси-сервера SOCKS5.

Бэкдор может поддерживать связи с другими узлами и различать прямые подключения оператора и межузловые связи. Каждый узел поддерживает сетевое представление для эффективной маршрутизации сообщений. Бэкдор поддерживает запуск команд в командной строке, взаимодействие с файлами в системе, настройку функций туннелирования (которые могут быть намеренно отключены) и реализацию базового прокси-сервера SOCKS5 по сети. В тексте также содержится информация об организации Northwave Cyber Security, голландской фирме, специализирующейся на предоставлении услуг в области кибербезопасности с 2006 года.

#ParsedReport #CompletenessLow
24-12-2024

JPCERT/CC Eyes

https://blogs.jpcert.or.jp/ja/2024/12/watering_hole_attack_part1.html

Report completeness: Low

Threats:
Watering_hole_technique
Cobalt_strike
Dll_injection_technique

Victims:
University laboratory, Ministry of economy, trade and industry

Industry:
Education

Geo:
Usa, Japanese, Japan

ChatGPT TTPs:
do not use without manual check
T1189, T1566.001, T1059.007, T1218.011, T1036.005

IOCs:
File: 5
Hash: 7
Path: 3

Soft:
Flash Player

Algorithms:
deflate

Win API:
EnumWindows

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 2