CTT Report Hub
#ParsedReport #CompletenessLow 24-12-2024 LITTLELAMB.WOOLTEA: Stealthy Network Edge Device Backdoor https://northwave-cybersecurity.com/hubfs/LITTLELAMB%20WOOLTEA%20technical%20writeup%20Schrijver%20and%20Oudenaarden.pdf Report completeness: Low Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в подробном описании сложного бэкдора под названием LITTLELAMB.WOOLTEA, нацеленного на периферийные сетевые устройства, такие как сетевые брандмауэры Palo Alto. Бэкдор позволяет хакерам получать постоянный доступ, собирать разведданные и осуществлять дальнейшие атаки с помощью различных вредоносных функций и тактик, включая скрытую работу, зашифрованную связь и фишинговые кампании для распространения. Обсуждается инцидент, связанный с предполагаемым национальным хакером, который воспользовался уязвимостью на устройстве в Пало-Альто и установил бэкдор, а также подробные сведения о его возможностях и методах работы. Кроме того, представлена информация о фирме по кибербезопасности Northwave Cyber Security.
-----
В тексте описывается сложный бэкдор, известный как LITTLELAMB.WOOLTEA, который нацелен на периферийные сетевые устройства, такие как сетевые брандмауэры Palo Alto. Этот бэкдор работает скрытно, обеспечивая постоянный доступ в скомпрометированных средах, позволяя хакерам собирать разведданные и проводить дальнейшие атаки. Бэкдор является модульным и включает компоненты для обеспечения сохраняемости, передачи данных по зашифрованным каналам и выполнения вредоносных программ. Он распространяется с помощью фишинговых кампаний и использования уязвимостей, таких как неустановленное программное обеспечение и слабые места в конфигурации периферийных сетевых устройств.
Подробно описан инцидент, связанный с предполагаемым национальным хакером, получившим доступ к сетевому устройству в Пало-Альто через известную уязвимость (CVE-2024-9474). Хакер ввел команды с помощью curl для загрузки файла, который устанавливает бэкдор, маскируясь под легальный сервис. Бэкдор обеспечивает постоянство работы, изменяя системные файлы, и использует динамическую библиотеку, чтобы избежать открытия собственного порта. Он устанавливает зашифрованную связь с использованием SSL и локального сертификата для целей управления. Бэкдор предоставляет различные функции и команды для чтения/записи файлов, доступа к командной строке, создания сетевых туннелей и настройки прокси-сервера SOCKS5.
Бэкдор может поддерживать связи с другими узлами и различать прямые подключения оператора и межузловые связи. Каждый узел поддерживает сетевое представление для эффективной маршрутизации сообщений. Бэкдор поддерживает запуск команд в командной строке, взаимодействие с файлами в системе, настройку функций туннелирования (которые могут быть намеренно отключены) и реализацию базового прокси-сервера SOCKS5 по сети. В тексте также содержится информация об организации Northwave Cyber Security, голландской фирме, специализирующейся на предоставлении услуг в области кибербезопасности с 2006 года.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в подробном описании сложного бэкдора под названием LITTLELAMB.WOOLTEA, нацеленного на периферийные сетевые устройства, такие как сетевые брандмауэры Palo Alto. Бэкдор позволяет хакерам получать постоянный доступ, собирать разведданные и осуществлять дальнейшие атаки с помощью различных вредоносных функций и тактик, включая скрытую работу, зашифрованную связь и фишинговые кампании для распространения. Обсуждается инцидент, связанный с предполагаемым национальным хакером, который воспользовался уязвимостью на устройстве в Пало-Альто и установил бэкдор, а также подробные сведения о его возможностях и методах работы. Кроме того, представлена информация о фирме по кибербезопасности Northwave Cyber Security.
-----
В тексте описывается сложный бэкдор, известный как LITTLELAMB.WOOLTEA, который нацелен на периферийные сетевые устройства, такие как сетевые брандмауэры Palo Alto. Этот бэкдор работает скрытно, обеспечивая постоянный доступ в скомпрометированных средах, позволяя хакерам собирать разведданные и проводить дальнейшие атаки. Бэкдор является модульным и включает компоненты для обеспечения сохраняемости, передачи данных по зашифрованным каналам и выполнения вредоносных программ. Он распространяется с помощью фишинговых кампаний и использования уязвимостей, таких как неустановленное программное обеспечение и слабые места в конфигурации периферийных сетевых устройств.
Подробно описан инцидент, связанный с предполагаемым национальным хакером, получившим доступ к сетевому устройству в Пало-Альто через известную уязвимость (CVE-2024-9474). Хакер ввел команды с помощью curl для загрузки файла, который устанавливает бэкдор, маскируясь под легальный сервис. Бэкдор обеспечивает постоянство работы, изменяя системные файлы, и использует динамическую библиотеку, чтобы избежать открытия собственного порта. Он устанавливает зашифрованную связь с использованием SSL и локального сертификата для целей управления. Бэкдор предоставляет различные функции и команды для чтения/записи файлов, доступа к командной строке, создания сетевых туннелей и настройки прокси-сервера SOCKS5.
Бэкдор может поддерживать связи с другими узлами и различать прямые подключения оператора и межузловые связи. Каждый узел поддерживает сетевое представление для эффективной маршрутизации сообщений. Бэкдор поддерживает запуск команд в командной строке, взаимодействие с файлами в системе, настройку функций туннелирования (которые могут быть намеренно отключены) и реализацию базового прокси-сервера SOCKS5 по сети. В тексте также содержится информация об организации Northwave Cyber Security, голландской фирме, специализирующейся на предоставлении услуг в области кибербезопасности с 2006 года.
#ParsedReport #CompletenessLow
24-12-2024
JPCERT/CC Eyes
https://blogs.jpcert.or.jp/ja/2024/12/watering_hole_attack_part1.html
Report completeness: Low
Threats:
Watering_hole_technique
Cobalt_strike
Dll_injection_technique
Victims:
University laboratory, Ministry of economy, trade and industry
Industry:
Education
Geo:
Usa, Japanese, Japan
ChatGPT TTPs:
T1189, T1566.001, T1059.007, T1218.011, T1036.005
IOCs:
File: 5
Hash: 7
Path: 3
Soft:
Flash Player
Algorithms:
deflate
Win API:
EnumWindows
Languages:
javascript
24-12-2024
JPCERT/CC Eyes
https://blogs.jpcert.or.jp/ja/2024/12/watering_hole_attack_part1.html
Report completeness: Low
Threats:
Watering_hole_technique
Cobalt_strike
Dll_injection_technique
Victims:
University laboratory, Ministry of economy, trade and industry
Industry:
Education
Geo:
Usa, Japanese, Japan
ChatGPT TTPs:
do not use without manual checkT1189, T1566.001, T1059.007, T1218.011, T1036.005
IOCs:
File: 5
Hash: 7
Path: 3
Soft:
Flash Player
Algorithms:
deflate
Win API:
EnumWindows
Languages:
javascript
JPCERT/CC Eyes
近年の水飲み場攻撃事例 Part1 - JPCERT/CC Eyes
現在、多くの方が攻撃者の侵入経路はVPNやファイアウォールなどの外部公開資産の脆...
CTT Report Hub
#ParsedReport #CompletenessLow 24-12-2024 JPCERT/CC Eyes https://blogs.jpcert.or.jp/ja/2024/12/watering_hole_attack_part1.html Report completeness: Low Threats: Watering_hole_technique Cobalt_strike Dll_injection_technique Victims: University laboratory…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждаются недавние атаки на подпольные сети и подчеркивается тенденция использования злоумышленниками уязвимостей VPN и брандмауэра. В нем подчеркиваются риски, связанные с такими маршрутами проникновения, как электронная почта, веб-сайты и социальные сети, которыми часто пренебрегают. Приводится конкретное исследование, проведенное в 2023 году, в котором подробно описывается изощренная атака на веб-сайт университетской лаборатории с использованием тактики социальной инженерии. Злоумышленники использовали вредоносное ПО под названием FlashUpdateInstall.exe для обмана пользователей, что привело к запуску основного вредоносного ПО, system32.dll используя раннюю инъекцию. Злоумышленники использовали сотрудников Cloudflare для общения, и была обнаружена их причастность к многочисленным атакам. Технические подробности о конфигурациях вредоносного ПО, методах связи и деталях HTTP-запросов к серверу C2 приведены в тексте, автором которого является специалист по кибербезопасности, имеющий опыт анализа вредоносных программ и криминалистических расследований.
-----
В тексте обсуждаются недавние атаки, связанные с подпольем, и подчеркивается растущая тенденция использования злоумышленниками уязвимостей в сетях виртуальной сети (VPN) и брандмауэрах. О таких типах инцидентов безопасности обычно сообщается в JPCERT/CC, что указывает на значительный риск, связанный с такими маршрутами проникновения. В то время как многие сосредотачиваются на защите этих уязвимых ресурсов извне, о других путях проникновения, таких как электронная почта, веб-сайты и социальные сети, часто забывают.
В статье приводится пример из 2023 года, когда веб-сайт университетской лаборатории подвергся хакерской атаке. Отличительной особенностью этой атаки является то, что она основывалась на социальной инженерии, а не на использовании уязвимостей, чтобы обманом заставить пользователей загружать и запускать вредоносное ПО самостоятельно. Вредоносная программа с именем FlashUpdateInstall.exe при запуске отображала ложный документ, указывающий на успешное обновление Adobe Flash Player. Затем эта вредоносная программа создала и запустила основную вредоносную программу system32.dll, которая была внедрена в процесс Explorer с помощью Early Bird Injection. Примечательно, что этот DLL-файл имеет характеристики Cobalt Strike Beacon версии 4.5 с водяным знаком 666666.
Группа злоумышленников, ответственная за эти атаки, остается неизвестной. Для передачи данных вредоносное ПО было настроено с помощью Cloudflare Workers, пограничного бессерверного сервиса Cloudflare. Дальнейшее расследование показало, что тот же злоумышленник участвовал и в других атаках. Были обнаружены различные вредоносные программы, одна из которых маскировалась под файл Министерства экономики, торговли и промышленности, чтобы заманить жертв. Другая вредоносная программа, Tips.exe, имела настраиваемые параметры выполнения, позволяющие злоумышленнику задавать различные настройки во время выполнения.
Что касается технических деталей, то в тексте приведены конфигурации, связанные с вредоносным ПО, внедренным во время атаки, включая информацию о каналах связи, путях URI, именах файлов и различных параметрах команд, которые могут быть переданы вредоносному ПО. В тексте также содержится ссылка на строку user-agent и другие данные HTTP-запроса, используемые вредоносной программой при взаимодействии с сервером C2.
Автор статьи - специалист по кибербезопасности, имеющий опыт анализа вредоносных программ и криминалистических расследований, связанных с целенаправленными атаками. Они выступали с докладами на различных конференциях и активно участвуют в жизни сообщества безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В тексте обсуждаются недавние атаки на подпольные сети и подчеркивается тенденция использования злоумышленниками уязвимостей VPN и брандмауэра. В нем подчеркиваются риски, связанные с такими маршрутами проникновения, как электронная почта, веб-сайты и социальные сети, которыми часто пренебрегают. Приводится конкретное исследование, проведенное в 2023 году, в котором подробно описывается изощренная атака на веб-сайт университетской лаборатории с использованием тактики социальной инженерии. Злоумышленники использовали вредоносное ПО под названием FlashUpdateInstall.exe для обмана пользователей, что привело к запуску основного вредоносного ПО, system32.dll используя раннюю инъекцию. Злоумышленники использовали сотрудников Cloudflare для общения, и была обнаружена их причастность к многочисленным атакам. Технические подробности о конфигурациях вредоносного ПО, методах связи и деталях HTTP-запросов к серверу C2 приведены в тексте, автором которого является специалист по кибербезопасности, имеющий опыт анализа вредоносных программ и криминалистических расследований.
-----
В тексте обсуждаются недавние атаки, связанные с подпольем, и подчеркивается растущая тенденция использования злоумышленниками уязвимостей в сетях виртуальной сети (VPN) и брандмауэрах. О таких типах инцидентов безопасности обычно сообщается в JPCERT/CC, что указывает на значительный риск, связанный с такими маршрутами проникновения. В то время как многие сосредотачиваются на защите этих уязвимых ресурсов извне, о других путях проникновения, таких как электронная почта, веб-сайты и социальные сети, часто забывают.
В статье приводится пример из 2023 года, когда веб-сайт университетской лаборатории подвергся хакерской атаке. Отличительной особенностью этой атаки является то, что она основывалась на социальной инженерии, а не на использовании уязвимостей, чтобы обманом заставить пользователей загружать и запускать вредоносное ПО самостоятельно. Вредоносная программа с именем FlashUpdateInstall.exe при запуске отображала ложный документ, указывающий на успешное обновление Adobe Flash Player. Затем эта вредоносная программа создала и запустила основную вредоносную программу system32.dll, которая была внедрена в процесс Explorer с помощью Early Bird Injection. Примечательно, что этот DLL-файл имеет характеристики Cobalt Strike Beacon версии 4.5 с водяным знаком 666666.
Группа злоумышленников, ответственная за эти атаки, остается неизвестной. Для передачи данных вредоносное ПО было настроено с помощью Cloudflare Workers, пограничного бессерверного сервиса Cloudflare. Дальнейшее расследование показало, что тот же злоумышленник участвовал и в других атаках. Были обнаружены различные вредоносные программы, одна из которых маскировалась под файл Министерства экономики, торговли и промышленности, чтобы заманить жертв. Другая вредоносная программа, Tips.exe, имела настраиваемые параметры выполнения, позволяющие злоумышленнику задавать различные настройки во время выполнения.
Что касается технических деталей, то в тексте приведены конфигурации, связанные с вредоносным ПО, внедренным во время атаки, включая информацию о каналах связи, путях URI, именах файлов и различных параметрах команд, которые могут быть переданы вредоносному ПО. В тексте также содержится ссылка на строку user-agent и другие данные HTTP-запроса, используемые вредоносной программой при взаимодействии с сервером C2.
Автор статьи - специалист по кибербезопасности, имеющий опыт анализа вредоносных программ и криминалистических расследований, связанных с целенаправленными атаками. Они выступали с докладами на различных конференциях и активно участвуют в жизни сообщества безопасности.
#ParsedReport #CompletenessLow
24-12-2024
WikiKit AiTM Phishing Kit: Where Links Tell Lies
https://trac-labs.com/wikikit-aitm-phishing-kit-where-links-tell-lies-abdea71ba094
Report completeness: Low
Threats:
Wikikit
Aitm_technique
Credential_harvesting_technique
Industry:
Healthcare, Entertainment, Transport
ChatGPT TTPs:
T1566, T1071.001, T1204.002, T1078, T1110.001
IOCs:
Url: 2
Soft:
Office_365, outlook.office365
Algorithms:
base64
Functions:
hideOption, function, _0x5e3e02, _0x5152d1
Languages:
javascript
Links:
24-12-2024
WikiKit AiTM Phishing Kit: Where Links Tell Lies
https://trac-labs.com/wikikit-aitm-phishing-kit-where-links-tell-lies-abdea71ba094
Report completeness: Low
Threats:
Wikikit
Aitm_technique
Credential_harvesting_technique
Industry:
Healthcare, Entertainment, Transport
ChatGPT TTPs:
do not use without manual checkT1566, T1071.001, T1204.002, T1078, T1110.001
IOCs:
Url: 2
Soft:
Office_365, outlook.office365
Algorithms:
base64
Functions:
hideOption, function, _0x5e3e02, _0x5152d1
Languages:
javascript
Links:
https://github.com/TRACLabs1/Phishing/blob/main/WikiKit/WikiKit\_IOCs\_12\_2024.txt?source=post\_page-----abdea71ba094--------------------------------
CTT Report Hub
#ParsedReport #CompletenessLow 24-12-2024 WikiKit AiTM Phishing Kit: Where Links Tell Lies https://trac-labs.com/wikikit-aitm-phishing-kit-where-links-tell-lies-abdea71ba094 Report completeness: Low Threats: Wikikit Aitm_technique Credential_harvesting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении нового фишингового набора под названием WikiKit, который нацелен на различные отрасли и использует целевые страницы, размещенные на Jimdosite, для сбора корпоративных учетных данных. Хакер, стоящий за кампанией, использует скомпрометированные учетные записи электронной почты и имитирует законные URL-адреса, чтобы повысить доверие к фишинговым письмам. Фишинговый набор настраивает свой метод аутентификации в зависимости от конфигурации жертвы и предлагает несколько механизмов многофакторной аутентификации. Было замечено, что кампания постоянно размещает фишинговые страницы по определенным URL-адресам для сбора учетных данных. Пользователям рекомендуется ознакомиться с разделом "Индикаторы компрометации" (IOCs) для получения более подробной информации об этой фишинговой кампании.
-----
Компания TRAC Labs обнаружила новый набор для фишинга под названием WikiKit, названный так из-за его способности перенаправлять пользователей на страницы Википедии, если JavaScript отключен или если фишинговая ссылка недействительна. Эта фишинговая кампания, нацеленная на различные отрасли, такие как автомобилестроение, производство, медицина, строительство, консалтинг и развлечения, началась в начале октября 2024 года. Уникальным аспектом кампании WikiKit является использование целевых страниц, размещенных на Jimdosite, на которых на заднем плане отображается логотип целевой компании. На этих целевых страницах пользователям предлагается перейти по ссылке "Просмотреть документ здесь", которая затем перенаправляет их на страницу сбора учетных данных.
Хакер, стоящий за кампанией, получает несанкционированный доступ к корпоративным учетным данным, связанным с целевыми страницами, и использует взломанные учетные записи электронной почты для дальнейшего распространения фишинговых ссылок. Фишинговые электронные письма часто содержат "вложение" со встроенной ссылкой, некоторые из которых начинаются с app.salesforceiq.com для придания легитимности. Имитируя законные URL-адреса, такие как hxxps://app.salesforceiq.com/r?target=отредактировано&url=hxxps://домен-двойник жертвы.jimdosite.com, злоумышленники повышают доверие к своим фишинговым письмам.
Ранее кампания использовала сервисы Google Ads для перенаправления, но в настоящее время она использует href.сервис анонимизации li для перенаправления. Фишинговый набор использует различные параметры, такие как live, grablogo, email, значок и фон для настройки фишинговых страниц. Существует функция _0x5152d1(), которая создает бесконечный цикл, если входной параметр _0x1001fa имеет строковый тип, чтобы предотвратить любые попытки отладчиков вмешаться в процесс выполнения.
WikiKit настраивает свой метод аутентификации в зависимости от конфигурации жертвы, предлагая три основных метода: PhoneAppNotification, PhoneAppOTP и OneWaySMS, соответствующие различным механизмам многофакторной аутентификации (MFA). Каждый метод отправляет определенные параметры на сервер управления (C2), включая auth=verify_app, auth=verify_code или auth=verify_sms, вместе с адресом электронной почты жертвы и кодом подтверждения.
В ходе последней кампании, проведенной в декабре 2024 года, фишинговые страницы постоянно размещались по URL-адресу yugaljeeautomotive.com/z/pro/mentanance/auth для сбора учетных данных. Такое постоянство в использовании URL-адреса помогает хакерам поддерживать последовательность в своих атаках. Пользователи могут ознакомиться с подробным списком показателей, связанных с этой фишинговой кампанией, в разделе Индикаторы компрометации (IOCs).
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении нового фишингового набора под названием WikiKit, который нацелен на различные отрасли и использует целевые страницы, размещенные на Jimdosite, для сбора корпоративных учетных данных. Хакер, стоящий за кампанией, использует скомпрометированные учетные записи электронной почты и имитирует законные URL-адреса, чтобы повысить доверие к фишинговым письмам. Фишинговый набор настраивает свой метод аутентификации в зависимости от конфигурации жертвы и предлагает несколько механизмов многофакторной аутентификации. Было замечено, что кампания постоянно размещает фишинговые страницы по определенным URL-адресам для сбора учетных данных. Пользователям рекомендуется ознакомиться с разделом "Индикаторы компрометации" (IOCs) для получения более подробной информации об этой фишинговой кампании.
-----
Компания TRAC Labs обнаружила новый набор для фишинга под названием WikiKit, названный так из-за его способности перенаправлять пользователей на страницы Википедии, если JavaScript отключен или если фишинговая ссылка недействительна. Эта фишинговая кампания, нацеленная на различные отрасли, такие как автомобилестроение, производство, медицина, строительство, консалтинг и развлечения, началась в начале октября 2024 года. Уникальным аспектом кампании WikiKit является использование целевых страниц, размещенных на Jimdosite, на которых на заднем плане отображается логотип целевой компании. На этих целевых страницах пользователям предлагается перейти по ссылке "Просмотреть документ здесь", которая затем перенаправляет их на страницу сбора учетных данных.
Хакер, стоящий за кампанией, получает несанкционированный доступ к корпоративным учетным данным, связанным с целевыми страницами, и использует взломанные учетные записи электронной почты для дальнейшего распространения фишинговых ссылок. Фишинговые электронные письма часто содержат "вложение" со встроенной ссылкой, некоторые из которых начинаются с app.salesforceiq.com для придания легитимности. Имитируя законные URL-адреса, такие как hxxps://app.salesforceiq.com/r?target=отредактировано&url=hxxps://домен-двойник жертвы.jimdosite.com, злоумышленники повышают доверие к своим фишинговым письмам.
Ранее кампания использовала сервисы Google Ads для перенаправления, но в настоящее время она использует href.сервис анонимизации li для перенаправления. Фишинговый набор использует различные параметры, такие как live, grablogo, email, значок и фон для настройки фишинговых страниц. Существует функция _0x5152d1(), которая создает бесконечный цикл, если входной параметр _0x1001fa имеет строковый тип, чтобы предотвратить любые попытки отладчиков вмешаться в процесс выполнения.
WikiKit настраивает свой метод аутентификации в зависимости от конфигурации жертвы, предлагая три основных метода: PhoneAppNotification, PhoneAppOTP и OneWaySMS, соответствующие различным механизмам многофакторной аутентификации (MFA). Каждый метод отправляет определенные параметры на сервер управления (C2), включая auth=verify_app, auth=verify_code или auth=verify_sms, вместе с адресом электронной почты жертвы и кодом подтверждения.
В ходе последней кампании, проведенной в декабре 2024 года, фишинговые страницы постоянно размещались по URL-адресу yugaljeeautomotive.com/z/pro/mentanance/auth для сбора учетных данных. Такое постоянство в использовании URL-адреса помогает хакерам поддерживать последовательность в своих атаках. Пользователи могут ознакомиться с подробным списком показателей, связанных с этой фишинговой кампанией, в разделе Индикаторы компрометации (IOCs).
#ParsedReport #CompletenessMedium
24-12-2024
What's Behind the Mask: FACCT Forensics Analyzes Attacks by New Masque Ransomware Group
https://www-facct-ru.translate.goog/blog/masque/?_x_tr_sl=ru&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp
Report completeness: Medium
Actors/Campaigns:
Head_mare
Morlock
Masque
Threats:
Masque
Mystiqueloader
Log4shell_vuln
Xenallpasswordspro_tool
Smbexec_tool
Anydesk_tool
Tdsskiller_tool
Password_spray_technique
Credential_dumping_technique
Mimikatz_tool
Procdump_tool
Winrm_tool
Chisel_tool
Lockbit
Babuk
Conti
Localtonet_tool
Impacket_tool
Victims:
Russian businesses
Geo:
Russian
CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (<2.3.1, <2.12.2, <2.15.0, 2.0)
TTPs:
Tactics: 10
Technics: 34
IOCs:
File: 6
Command: 1
Path: 2
Soft:
Unix, Windows Service, PsExec, docker, Process Explorer, ESXi, VMware Horizon, XenAllPasswordPro, Telegram, Viber, have more...
Algorithms:
base32, crc-32, xor
Win API:
NtAllocateVirtualMemory
Win Services:
bits
Languages:
powershell, python
24-12-2024
What's Behind the Mask: FACCT Forensics Analyzes Attacks by New Masque Ransomware Group
https://www-facct-ru.translate.goog/blog/masque/?_x_tr_sl=ru&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp
Report completeness: Medium
Actors/Campaigns:
Head_mare
Morlock
Masque
Threats:
Masque
Mystiqueloader
Log4shell_vuln
Xenallpasswordspro_tool
Smbexec_tool
Anydesk_tool
Tdsskiller_tool
Password_spray_technique
Credential_dumping_technique
Mimikatz_tool
Procdump_tool
Winrm_tool
Chisel_tool
Lockbit
Babuk
Conti
Localtonet_tool
Impacket_tool
Victims:
Russian businesses
Geo:
Russian
CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (<2.3.1, <2.12.2, <2.15.0, 2.0)
TTPs:
Tactics: 10
Technics: 34
IOCs:
File: 6
Command: 1
Path: 2
Soft:
Unix, Windows Service, PsExec, docker, Process Explorer, ESXi, VMware Horizon, XenAllPasswordPro, Telegram, Viber, have more...
Algorithms:
base32, crc-32, xor
Win API:
NtAllocateVirtualMemory
Win Services:
bits
Languages:
powershell, python
Vulners Database
CVE-2021-44228 - vulnerability database | Vulners.com
CVE-2021-44228 (Log4Shell) affects Apache Log4j2 2.0-beta9 through 2.15.0 (excluding some security releases) and is specific to log4j-core. The vulnerability arises from JNDI features used in configuration, log messages, and parameters, which can be...
CTT Report Hub
#ParsedReport #CompletenessMedium 24-12-2024 What's Behind the Mask: FACCT Forensics Analyzes Attacks by New Masque Ransomware Group https://www-facct-ru.translate.goog/blog/masque/?_x_tr_sl=ru&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: киберпреступная группировка Masque, нацеленная в первую очередь на российские предприятия, использует программы-вымогатели, такие как LockBit 3 и Babuk, для компрометации систем путем использования уязвимостей, развертывания средств удаленного доступа, создания сетевых туннелей и использования специального набора инструментов для перемещения по скомпрометированным сетям. Методы группы включают использование уникальных инструментов, таких как MystiqueLoader, заимствование методов из других проектов и маскировку своей деятельности с помощью методов шифрования и обфускации.
-----
The Masque group - русскоязычная киберпреступная организация, преследующая финансовые цели в отношении российских компаний с помощью программ-вымогателей, таких как LockBit 3 (Black) и Babuk (ESXi). Чтобы скомпрометировать свои цели, Masque использует уязвимость CVE-2021-44228 в библиотеке log4j, специально предназначенную для общедоступных сервисов, таких как VMware Horizon. После взлома Masque устанавливает средства удаленного доступа, такие как AnyDesk, для обеспечения сохранности и повышает привилегии на взломанных серверах путем создания локальных и доменных учетных записей. Они используют различные инструменты, такие как mimikatz, ProcDump и comsvcs.библиотека dll для настройки и распространения программ-вымогателей.
Masque создает сетевые туннели, используя такие инструменты, как chisel и LocaltoNet, для связи со своими командными центрами и создания альтернативных каналов доступа в скомпрометированных сетях. Для перемещения по сети в поперечном направлении Masque использует комбинацию методов, включая RDP, SSH, WinRM и SMBExec из платформы Impacket framework. Примечательно, что Masque не тратит много времени на изучение инфраструктуры жертвы, часто оставляя резервные копии нетронутыми, а некоторые данные незашифрованными. Их набор инструментов не отличается разнообразием, и AnyDesk является ключевым инструментом наряду с chisel, LocaltoNet и mimikatz.
Используемые Masque программы-вымогатели LockBit 3 (Black) и Babuk (ESXi) используются для шифрования данных с использованием просочившейся версии builder, датированной 13 сентября 2022 года. Как правило, киберпреступные группы, нацеленные на российские компании с помощью программ-вымогателей, обычно не используют сложные или патентованные инструменты. Однако в случае с Masque они, как выяснилось, используют интересные инструменты, такие как dwm.exe, обнаруженные в ходе расследования. Эта программа, развертываемая на хосте с помощью однострочной команды PowerShell в контексте системной учетной записи, действует как агент загрузки, который извлекает и запускает программные модули PE из Интернета под управлением управляющего сервера по протоколу DNS.
Им MystiqueLoader программа dwm.exe взаимодействует с сервером управления через зашифрованные конфигурационные данные, содержащиеся в теле программы, хранящиеся в виде строк с IPv6-адресами. Во время работы MystiqueLoader шифрует и расшифровывает адреса C2 в памяти по мере необходимости, облегчая связь с управляющим сервером посредством DNS-запросов AAAA для поддоменов, сформированных с использованием XOR-шифрования и Base32-кодирования. После успешного подключения агент получает идентификаторы сеанса от C2, что позволяет выполнять команды и получать обратную связь о состоянии.
Автор MystiqueLoader позаимствовал методы из проекта AtomLdr, реализовав пользовательский алгоритм вычисления хэш-суммы и методы шифрования. Чтобы еще больше замаскировать свою деятельность, MystiqueLoader использует значок законной программы Microsoft (Netplwiz) и маскирует свои коммуникации с помощью DNS-запросов и зашифрованного обмена данными с сервером C2.
Для тех, кто ищет подробную техническую информацию о программах-вымогателях и киберпреступных группах, дополнительную информацию можно найти в тематических репозиториях GitHub, таких как <https://github.com/facct-ransomware>. Будьте в курсе и будьте бдительны в отношении новых хакеров.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея: киберпреступная группировка Masque, нацеленная в первую очередь на российские предприятия, использует программы-вымогатели, такие как LockBit 3 и Babuk, для компрометации систем путем использования уязвимостей, развертывания средств удаленного доступа, создания сетевых туннелей и использования специального набора инструментов для перемещения по скомпрометированным сетям. Методы группы включают использование уникальных инструментов, таких как MystiqueLoader, заимствование методов из других проектов и маскировку своей деятельности с помощью методов шифрования и обфускации.
-----
The Masque group - русскоязычная киберпреступная организация, преследующая финансовые цели в отношении российских компаний с помощью программ-вымогателей, таких как LockBit 3 (Black) и Babuk (ESXi). Чтобы скомпрометировать свои цели, Masque использует уязвимость CVE-2021-44228 в библиотеке log4j, специально предназначенную для общедоступных сервисов, таких как VMware Horizon. После взлома Masque устанавливает средства удаленного доступа, такие как AnyDesk, для обеспечения сохранности и повышает привилегии на взломанных серверах путем создания локальных и доменных учетных записей. Они используют различные инструменты, такие как mimikatz, ProcDump и comsvcs.библиотека dll для настройки и распространения программ-вымогателей.
Masque создает сетевые туннели, используя такие инструменты, как chisel и LocaltoNet, для связи со своими командными центрами и создания альтернативных каналов доступа в скомпрометированных сетях. Для перемещения по сети в поперечном направлении Masque использует комбинацию методов, включая RDP, SSH, WinRM и SMBExec из платформы Impacket framework. Примечательно, что Masque не тратит много времени на изучение инфраструктуры жертвы, часто оставляя резервные копии нетронутыми, а некоторые данные незашифрованными. Их набор инструментов не отличается разнообразием, и AnyDesk является ключевым инструментом наряду с chisel, LocaltoNet и mimikatz.
Используемые Masque программы-вымогатели LockBit 3 (Black) и Babuk (ESXi) используются для шифрования данных с использованием просочившейся версии builder, датированной 13 сентября 2022 года. Как правило, киберпреступные группы, нацеленные на российские компании с помощью программ-вымогателей, обычно не используют сложные или патентованные инструменты. Однако в случае с Masque они, как выяснилось, используют интересные инструменты, такие как dwm.exe, обнаруженные в ходе расследования. Эта программа, развертываемая на хосте с помощью однострочной команды PowerShell в контексте системной учетной записи, действует как агент загрузки, который извлекает и запускает программные модули PE из Интернета под управлением управляющего сервера по протоколу DNS.
Им MystiqueLoader программа dwm.exe взаимодействует с сервером управления через зашифрованные конфигурационные данные, содержащиеся в теле программы, хранящиеся в виде строк с IPv6-адресами. Во время работы MystiqueLoader шифрует и расшифровывает адреса C2 в памяти по мере необходимости, облегчая связь с управляющим сервером посредством DNS-запросов AAAA для поддоменов, сформированных с использованием XOR-шифрования и Base32-кодирования. После успешного подключения агент получает идентификаторы сеанса от C2, что позволяет выполнять команды и получать обратную связь о состоянии.
Автор MystiqueLoader позаимствовал методы из проекта AtomLdr, реализовав пользовательский алгоритм вычисления хэш-суммы и методы шифрования. Чтобы еще больше замаскировать свою деятельность, MystiqueLoader использует значок законной программы Microsoft (Netplwiz) и маскирует свои коммуникации с помощью DNS-запросов и зашифрованного обмена данными с сервером C2.
Для тех, кто ищет подробную техническую информацию о программах-вымогателях и киберпреступных группах, дополнительную информацию можно найти в тематических репозиториях GitHub, таких как <https://github.com/facct-ransomware>. Будьте в курсе и будьте бдительны в отношении новых хакеров.
#ParsedReport #CompletenessHigh
24-12-2024
Rhadamanthys Stealer Spoofs Emails to Attack Switzerland and the United Kingdom
https://www.forcepoint.com/blog/x-labs/rhadamanthys-stealer-phishing-switzerland-united-kingdom
Report completeness: High
Threats:
Rhadamanthys
Xworm_rat
Agent_tesla
Typosquatting_technique
Dotnet_reactor_tool
Victims:
Hotels, Restaurants, Businesses
Industry:
Entertainment
Geo:
Switzerland, United kingdom
ChatGPT TTPs:
T1189, T1140, T1059.001, T1055.012, T1071.001, T1083, T1027, T1547.001
IOCs:
Path: 1
Url: 2
Hash: 1
File: 7
Command: 1
IP: 2
Domain: 2
Soft:
task scheduler, net reactor, Chrome
Languages:
powershell, javascript
24-12-2024
Rhadamanthys Stealer Spoofs Emails to Attack Switzerland and the United Kingdom
https://www.forcepoint.com/blog/x-labs/rhadamanthys-stealer-phishing-switzerland-united-kingdom
Report completeness: High
Threats:
Rhadamanthys
Xworm_rat
Agent_tesla
Typosquatting_technique
Dotnet_reactor_tool
Victims:
Hotels, Restaurants, Businesses
Industry:
Entertainment
Geo:
Switzerland, United kingdom
ChatGPT TTPs:
do not use without manual checkT1189, T1140, T1059.001, T1055.012, T1071.001, T1083, T1027, T1547.001
IOCs:
Path: 1
Url: 2
Hash: 1
File: 7
Command: 1
IP: 2
Domain: 2
Soft:
task scheduler, net reactor, Chrome
Languages:
powershell, javascript
Forcepoint
Rhadamanthys Stealer Spoofs Emails to Attack Switzerland and the United Kingdom
Recently, X-Labs also observed concurrent activity with the Rhadamanthys infostealer targeting hotels, restaurants and other businesses in Switzerland and the United Kingdom.
CTT Report Hub
#ParsedReport #CompletenessHigh 24-12-2024 Rhadamanthys Stealer Spoofs Emails to Attack Switzerland and the United Kingdom https://www.forcepoint.com/blog/x-labs/rhadamanthys-stealer-phishing-switzerland-united-kingdom Report completeness: High Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и подробном анализе Rhadamanthys infostealer - сложной вредоносной программы, нацеленной на предприятия гостиничного сектора, в частности на отели и рестораны в Швейцарии и Соединенном Королевстве. Вредоносная программа использует передовые методы социальной инженерии, такие как электронные письма, генерируемые искусственным интеллектом, и домены с опечатками, чтобы обмануть пользователей и украсть конфиденциальную информацию. В рамках кампании используются вредоносные PDF-вложения с запутанным кодом JavaScript и PowerShell для загрузки дополнительной полезной информации и установления связи с сервером управления для утечки данных. Защитные меры, принимаемые компанией Forcepoint, направлены на смягчение угрозы, исходящей от этого скрытого инфокрада.
-----
Вредоносная программа XWorm, нацеленная на гостиничный сектор, была освещена в блоге Лидии.
Информационный агент Rhadamanthys активно атакует предприятия в Швейцарии и Великобритании, в частности отели и рестораны, используя поддельные электронные письма якобы от Booking.com.
Кампания Радаманта имеет сходство с действиями агента Tesla в 2024 году, что наводит на мысль о потенциальной связи между хакерами.
В кампании Rhadamanty использовались передовые методы социальной инженерии, в том числе подозрительные электронные письма, созданные с помощью искусственного интеллекта, и опечатки законных доменов, таких как Booking.com.
Вредоносные электронные письма содержат вложения в формате PDF, выдающие себя за поддельные счета-фактуры или предупреждающие сообщения, которые запускают вредоносные действия при открытии.
Вредоносная программа использует методы обфускации, такие как длинные имена переменных и функций, что затрудняет анализ и обнаружение.
Код PowerShell запускает загрузку дополнительных полезных файлов, размещенных в blogspot.com и облачных репозиториях.
Rhadamanthys infostealer устанавливает связь с командно-контрольным сервером и пытается извлечь конфиденциальную информацию, собрать сведения о системе и установить постоянство в системе.
Защитные меры, принимаемые Forcepoint, включают в себя идентификацию и блокировку вредоносных PDF-вложений, предотвращение перенаправлений на подозрительные URL-адреса, блокирование известных файлов-дропперов и перехват сообщений с серверов C2 для защиты клиентов от угрозы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в обнаружении и подробном анализе Rhadamanthys infostealer - сложной вредоносной программы, нацеленной на предприятия гостиничного сектора, в частности на отели и рестораны в Швейцарии и Соединенном Королевстве. Вредоносная программа использует передовые методы социальной инженерии, такие как электронные письма, генерируемые искусственным интеллектом, и домены с опечатками, чтобы обмануть пользователей и украсть конфиденциальную информацию. В рамках кампании используются вредоносные PDF-вложения с запутанным кодом JavaScript и PowerShell для загрузки дополнительной полезной информации и установления связи с сервером управления для утечки данных. Защитные меры, принимаемые компанией Forcepoint, направлены на смягчение угрозы, исходящей от этого скрытого инфокрада.
-----
Вредоносная программа XWorm, нацеленная на гостиничный сектор, была освещена в блоге Лидии.
Информационный агент Rhadamanthys активно атакует предприятия в Швейцарии и Великобритании, в частности отели и рестораны, используя поддельные электронные письма якобы от Booking.com.
Кампания Радаманта имеет сходство с действиями агента Tesla в 2024 году, что наводит на мысль о потенциальной связи между хакерами.
В кампании Rhadamanty использовались передовые методы социальной инженерии, в том числе подозрительные электронные письма, созданные с помощью искусственного интеллекта, и опечатки законных доменов, таких как Booking.com.
Вредоносные электронные письма содержат вложения в формате PDF, выдающие себя за поддельные счета-фактуры или предупреждающие сообщения, которые запускают вредоносные действия при открытии.
Вредоносная программа использует методы обфускации, такие как длинные имена переменных и функций, что затрудняет анализ и обнаружение.
Код PowerShell запускает загрузку дополнительных полезных файлов, размещенных в blogspot.com и облачных репозиториях.
Rhadamanthys infostealer устанавливает связь с командно-контрольным сервером и пытается извлечь конфиденциальную информацию, собрать сведения о системе и установить постоянство в системе.
Защитные меры, принимаемые Forcepoint, включают в себя идентификацию и блокировку вредоносных PDF-вложений, предотвращение перенаправлений на подозрительные URL-адреса, блокирование известных файлов-дропперов и перехват сообщений с серверов C2 для защиты клиентов от угрозы.
👍1
#ParsedReport #CompletenessLow
24-12-2024
Blogs. Hacktivist Groups: The Shadowy Links to Nation-State Agendas. Hacktivist Groups: The Shadowy Links to Nation-State Agendas
https://www.trellix.com/blogs/research/hacktivist-groups-the-shadowy-links-to-nation-state-agendas
Report completeness: Low
Actors/Campaigns:
Sandworm (motivation: hacktivism, propaganda)
Cyberarmyofrussia (motivation: hacktivism)
Xaknet (motivation: hacktivism)
Noname057 (motivation: hacktivism)
Irgc (motivation: hacktivism)
Marnanbridge (motivation: hacktivism)
Altoufan
Amc239
Anzu_team
Byte_blitz
Cyber_cheetahs
Menelaus
Sangkancil
Mosesstaff (motivation: hacktivism)
Cyber_av3ngers (motivation: hacktivism)
Soldiers_of_solomon (motivation: hacktivism)
Blackshadow (motivation: hacktivism)
Malek_team (motivation: hacktivism)
Unc5174 (motivation: hacktivism)
Threats:
Ddosia_botnet
Blackmagic
Moneybird
Industry:
Transport, Government
Geo:
Israeli, Japanese, Iran, Yemen, Middle east, Iranians, Deus, Russian, Israel, Russia, Chinese, China, Ukraine, Ukrainian, Iranian, Palestine, Australian
CVEs:
CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip access policy manager (le13.1.5, le14.1.5, le15.1.10, le16.1.4, le17.1.1)
ChatGPT TTPs:
T1498, T1190, T1485
IOCs:
Url: 1
Soft:
Telegram, Instagram, Twitter
24-12-2024
Blogs. Hacktivist Groups: The Shadowy Links to Nation-State Agendas. Hacktivist Groups: The Shadowy Links to Nation-State Agendas
https://www.trellix.com/blogs/research/hacktivist-groups-the-shadowy-links-to-nation-state-agendas
Report completeness: Low
Actors/Campaigns:
Sandworm (motivation: hacktivism, propaganda)
Cyberarmyofrussia (motivation: hacktivism)
Xaknet (motivation: hacktivism)
Noname057 (motivation: hacktivism)
Irgc (motivation: hacktivism)
Marnanbridge (motivation: hacktivism)
Altoufan
Amc239
Anzu_team
Byte_blitz
Cyber_cheetahs
Menelaus
Sangkancil
Mosesstaff (motivation: hacktivism)
Cyber_av3ngers (motivation: hacktivism)
Soldiers_of_solomon (motivation: hacktivism)
Blackshadow (motivation: hacktivism)
Malek_team (motivation: hacktivism)
Unc5174 (motivation: hacktivism)
Threats:
Ddosia_botnet
Blackmagic
Moneybird
Industry:
Transport, Government
Geo:
Israeli, Japanese, Iran, Yemen, Middle east, Iranians, Deus, Russian, Israel, Russia, Chinese, China, Ukraine, Ukrainian, Iranian, Palestine, Australian
CVEs:
CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip access policy manager (le13.1.5, le14.1.5, le15.1.10, le16.1.4, le17.1.1)
ChatGPT TTPs:
do not use without manual checkT1498, T1190, T1485
IOCs:
Url: 1
Soft:
Telegram, Instagram, Twitter
Trellix
Hacktivist Groups: The Shadowy Links to Nation-State Agendas
The recent conflicts between Ukraine and the Middle East have seen a surge in hacktivist activity, with groups aligned with both sides engaging in cyberattacks. In this blog we will cover a large set of Hacktivist groups.
CTT Report Hub
#ParsedReport #CompletenessLow 24-12-2024 Blogs. Hacktivist Groups: The Shadowy Links to Nation-State Agendas. Hacktivist Groups: The Shadowy Links to Nation-State Agendas https://www.trellix.com/blogs/research/hacktivist-groups-the-shadowy-links-to-nation…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в росте хактивизма, особенно в контексте того, что различные группы, связанные с национальными государствами по всему миру, совершают кибератаки в политических и социальных целях. В тексте освещается деятельность групп хактивистов из России, Ирана и Китая, их тактика, такая как DDoS-атаки, фальсификация, утечка информации и распространение пропаганды, а также их связи с государственными структурами, такими как команда Sandworm. Меняющийся ландшафт угроз, создаваемый группами хактивистов, создает риски, варьирующиеся от нарушения работы онлайн-систем до более разрушительных атак, таких как программы-вымогатели и вредоносные программы-очистители.
-----
Хактивизм - это растущая тенденция, когда хакерские методы используются в целях активизма, разрушения онлайн-систем или манипулирования ими в социальных или политических целях.
Число хактивистских групп, связанных с Россией, увеличилось, причем некоторые группы действуют независимо, поддерживая интересы России, и в то же время имеют потенциальную связь с правительством через посредников, таких как команда Sandworm.
CARR - это группа, специализирующаяся на DDoS-атаках и распространении информации, потенциально сотрудничающая с такими организациями, как XakNet и Infoccentr. Между CARR и NoName057(16) существуют тесные связи, что указывает на их связь с командой Sandworm.
NoName057(16) фокусируется на DDoS-атаках и хакерской атаке на страны, поддерживающие правительства Украины и Израиля, со связями с предыдущими администраторами CARR.
Поддерживаемые Ираном группировки хактивистов нацелены на Израиль и Соединенные Штаты с помощью атак типа "отказ в обслуживании", фальсификации, утечки информации и распространения пропаганды. Эменнет Пасаргад координирует группы хактивистов для таких организаций, как КСИР.
Moses Staff, CyberAveng3rs и Soldiers of Solomon - иранские хактивистские группировки, связанные с КСИР и занимающиеся операциями по взлому и утечке информации. Agrius, связанная с иранским MOIS, атакует израильские организации, используя программы-вымогатели и вредоносные программы-очистители.
Uteus (UNC5174) - это поддерживаемый правительством Китая брокер начального доступа, эксплуатирующий системы по всему миру с использованием эксплойтов N-day.
Группы хактивистов, связанные с национальными государствами, представляют собой динамичный ландшафт угроз, способный перейти от традиционных атак к более разрушительным формам, таким как программы-вымогатели и вредоносные программы-очистители.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Основная идея текста заключается в росте хактивизма, особенно в контексте того, что различные группы, связанные с национальными государствами по всему миру, совершают кибератаки в политических и социальных целях. В тексте освещается деятельность групп хактивистов из России, Ирана и Китая, их тактика, такая как DDoS-атаки, фальсификация, утечка информации и распространение пропаганды, а также их связи с государственными структурами, такими как команда Sandworm. Меняющийся ландшафт угроз, создаваемый группами хактивистов, создает риски, варьирующиеся от нарушения работы онлайн-систем до более разрушительных атак, таких как программы-вымогатели и вредоносные программы-очистители.
-----
Хактивизм - это растущая тенденция, когда хакерские методы используются в целях активизма, разрушения онлайн-систем или манипулирования ими в социальных или политических целях.
Число хактивистских групп, связанных с Россией, увеличилось, причем некоторые группы действуют независимо, поддерживая интересы России, и в то же время имеют потенциальную связь с правительством через посредников, таких как команда Sandworm.
CARR - это группа, специализирующаяся на DDoS-атаках и распространении информации, потенциально сотрудничающая с такими организациями, как XakNet и Infoccentr. Между CARR и NoName057(16) существуют тесные связи, что указывает на их связь с командой Sandworm.
NoName057(16) фокусируется на DDoS-атаках и хакерской атаке на страны, поддерживающие правительства Украины и Израиля, со связями с предыдущими администраторами CARR.
Поддерживаемые Ираном группировки хактивистов нацелены на Израиль и Соединенные Штаты с помощью атак типа "отказ в обслуживании", фальсификации, утечки информации и распространения пропаганды. Эменнет Пасаргад координирует группы хактивистов для таких организаций, как КСИР.
Moses Staff, CyberAveng3rs и Soldiers of Solomon - иранские хактивистские группировки, связанные с КСИР и занимающиеся операциями по взлому и утечке информации. Agrius, связанная с иранским MOIS, атакует израильские организации, используя программы-вымогатели и вредоносные программы-очистители.
Uteus (UNC5174) - это поддерживаемый правительством Китая брокер начального доступа, эксплуатирующий системы по всему миру с использованием эксплойтов N-day.
Группы хактивистов, связанные с национальными государствами, представляют собой динамичный ландшафт угроз, способный перейти от традиционных атак к более разрушительным формам, таким как программы-вымогатели и вредоносные программы-очистители.
#ParsedReport #CompletenessMedium
24-12-2024
ICS Threat Analysis: New, Experimental Malware Can Kill Engineering Processes
https://www.forescout.com/blog/ics-threat-analysis-new-experimental-malware-can-kill-engineering-processes
Report completeness: Medium
Actors/Campaigns:
Chaya_002
Threats:
Ramnit
Chaya_003
Frostygoop
Aisuru
Kaiten
Bashlite
Phoenix_keylogger
Zeus
Bumblebee
Sality
Virut
Expiro
Jeefo
Neshta
Parite
Floxif
Upx_tool
Asyncrat
Wacapew
Victims:
Mitsubishi, Siemens
Industry:
Ics, Iot, Financial
Geo:
Belgium, Dutch, Spanish, Canada
ChatGPT TTPs:
T1105, T1082
IOCs:
Hash: 15
Domain: 5
File: 8
Command: 1
IP: 1
Soft:
Discord, curl, chatgpt, Twitter
Algorithms:
exhibit, sha256
Functions:
Win32
Win API:
CreateToolhelp32Snapshot, Process32First
Platforms:
x86
24-12-2024
ICS Threat Analysis: New, Experimental Malware Can Kill Engineering Processes
https://www.forescout.com/blog/ics-threat-analysis-new-experimental-malware-can-kill-engineering-processes
Report completeness: Medium
Actors/Campaigns:
Chaya_002
Threats:
Ramnit
Chaya_003
Frostygoop
Aisuru
Kaiten
Bashlite
Phoenix_keylogger
Zeus
Bumblebee
Sality
Virut
Expiro
Jeefo
Neshta
Parite
Floxif
Upx_tool
Asyncrat
Wacapew
Victims:
Mitsubishi, Siemens
Industry:
Ics, Iot, Financial
Geo:
Belgium, Dutch, Spanish, Canada
ChatGPT TTPs:
do not use without manual checkT1105, T1082
IOCs:
Hash: 15
Domain: 5
File: 8
Command: 1
IP: 1
Soft:
Discord, curl, chatgpt, Twitter
Algorithms:
exhibit, sha256
Functions:
Win32
Win API:
CreateToolhelp32Snapshot, Process32First
Platforms:
x86
Forescout
ICS Threat Analysis: New Malware Can Kill Engineering Processes
Forescout’s ICS threat hunting finds new malware that kills Siemens workstation processes and finds aged banking Trojan software in the mix.