#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении нового фишингового набора под названием WikiKit, который нацелен на различные отрасли и использует целевые страницы, размещенные на Jimdosite, для сбора корпоративных учетных данных. Хакер, стоящий за кампанией, использует скомпрометированные учетные записи электронной почты и имитирует законные URL-адреса, чтобы повысить доверие к фишинговым письмам. Фишинговый набор настраивает свой метод аутентификации в зависимости от конфигурации жертвы и предлагает несколько механизмов многофакторной аутентификации. Было замечено, что кампания постоянно размещает фишинговые страницы по определенным URL-адресам для сбора учетных данных. Пользователям рекомендуется ознакомиться с разделом "Индикаторы компрометации" (IOCs) для получения более подробной информации об этой фишинговой кампании.
-----

Компания TRAC Labs обнаружила новый набор для фишинга под названием WikiKit, названный так из-за его способности перенаправлять пользователей на страницы Википедии, если JavaScript отключен или если фишинговая ссылка недействительна. Эта фишинговая кампания, нацеленная на различные отрасли, такие как автомобилестроение, производство, медицина, строительство, консалтинг и развлечения, началась в начале октября 2024 года. Уникальным аспектом кампании WikiKit является использование целевых страниц, размещенных на Jimdosite, на которых на заднем плане отображается логотип целевой компании. На этих целевых страницах пользователям предлагается перейти по ссылке "Просмотреть документ здесь", которая затем перенаправляет их на страницу сбора учетных данных.

Хакер, стоящий за кампанией, получает несанкционированный доступ к корпоративным учетным данным, связанным с целевыми страницами, и использует взломанные учетные записи электронной почты для дальнейшего распространения фишинговых ссылок. Фишинговые электронные письма часто содержат "вложение" со встроенной ссылкой, некоторые из которых начинаются с app.salesforceiq.com для придания легитимности. Имитируя законные URL-адреса, такие как hxxps://app.salesforceiq.com/r?target=отредактировано&url=hxxps://домен-двойник жертвы.jimdosite.com, злоумышленники повышают доверие к своим фишинговым письмам.

Ранее кампания использовала сервисы Google Ads для перенаправления, но в настоящее время она использует href.сервис анонимизации li для перенаправления. Фишинговый набор использует различные параметры, такие как live, grablogo, email, значок и фон для настройки фишинговых страниц. Существует функция _0x5152d1(), которая создает бесконечный цикл, если входной параметр _0x1001fa имеет строковый тип, чтобы предотвратить любые попытки отладчиков вмешаться в процесс выполнения.

WikiKit настраивает свой метод аутентификации в зависимости от конфигурации жертвы, предлагая три основных метода: PhoneAppNotification, PhoneAppOTP и OneWaySMS, соответствующие различным механизмам многофакторной аутентификации (MFA). Каждый метод отправляет определенные параметры на сервер управления (C2), включая auth=verify_app, auth=verify_code или auth=verify_sms, вместе с адресом электронной почты жертвы и кодом подтверждения.

В ходе последней кампании, проведенной в декабре 2024 года, фишинговые страницы постоянно размещались по URL-адресу yugaljeeautomotive.com/z/pro/mentanance/auth для сбора учетных данных. Такое постоянство в использовании URL-адреса помогает хакерам поддерживать последовательность в своих атаках. Пользователи могут ознакомиться с подробным списком показателей, связанных с этой фишинговой кампанией, в разделе Индикаторы компрометации (IOCs).

#ParsedReport #CompletenessMedium
24-12-2024

What's Behind the Mask: FACCT Forensics Analyzes Attacks by New Masque Ransomware Group

https://www-facct-ru.translate.goog/blog/masque/?_x_tr_sl=ru&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

Report completeness: Medium

Actors/Campaigns:
Head_mare
Morlock
Masque

Threats:
Masque
Mystiqueloader
Log4shell_vuln
Xenallpasswordspro_tool
Smbexec_tool
Anydesk_tool
Tdsskiller_tool
Password_spray_technique
Credential_dumping_technique
Mimikatz_tool
Procdump_tool
Winrm_tool
Chisel_tool
Lockbit
Babuk
Conti
Localtonet_tool
Impacket_tool

Victims:
Russian businesses

Geo:
Russian

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (<2.3.1, <2.12.2, <2.15.0, 2.0)


TTPs:
Tactics: 10
Technics: 34

IOCs:
File: 6
Command: 1
Path: 2

Soft:
Unix, Windows Service, PsExec, docker, Process Explorer, ESXi, VMware Horizon, XenAllPasswordPro, Telegram, Viber, have more...

Algorithms:
base32, crc-32, xor

Win API:
NtAllocateVirtualMemory

Win Services:
bits

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: киберпреступная группировка Masque, нацеленная в первую очередь на российские предприятия, использует программы-вымогатели, такие как LockBit 3 и Babuk, для компрометации систем путем использования уязвимостей, развертывания средств удаленного доступа, создания сетевых туннелей и использования специального набора инструментов для перемещения по скомпрометированным сетям. Методы группы включают использование уникальных инструментов, таких как MystiqueLoader, заимствование методов из других проектов и маскировку своей деятельности с помощью методов шифрования и обфускации.
-----

The Masque group - русскоязычная киберпреступная организация, преследующая финансовые цели в отношении российских компаний с помощью программ-вымогателей, таких как LockBit 3 (Black) и Babuk (ESXi). Чтобы скомпрометировать свои цели, Masque использует уязвимость CVE-2021-44228 в библиотеке log4j, специально предназначенную для общедоступных сервисов, таких как VMware Horizon. После взлома Masque устанавливает средства удаленного доступа, такие как AnyDesk, для обеспечения сохранности и повышает привилегии на взломанных серверах путем создания локальных и доменных учетных записей. Они используют различные инструменты, такие как mimikatz, ProcDump и comsvcs.библиотека dll для настройки и распространения программ-вымогателей.

Masque создает сетевые туннели, используя такие инструменты, как chisel и LocaltoNet, для связи со своими командными центрами и создания альтернативных каналов доступа в скомпрометированных сетях. Для перемещения по сети в поперечном направлении Masque использует комбинацию методов, включая RDP, SSH, WinRM и SMBExec из платформы Impacket framework. Примечательно, что Masque не тратит много времени на изучение инфраструктуры жертвы, часто оставляя резервные копии нетронутыми, а некоторые данные незашифрованными. Их набор инструментов не отличается разнообразием, и AnyDesk является ключевым инструментом наряду с chisel, LocaltoNet и mimikatz.

Используемые Masque программы-вымогатели LockBit 3 (Black) и Babuk (ESXi) используются для шифрования данных с использованием просочившейся версии builder, датированной 13 сентября 2022 года. Как правило, киберпреступные группы, нацеленные на российские компании с помощью программ-вымогателей, обычно не используют сложные или патентованные инструменты. Однако в случае с Masque они, как выяснилось, используют интересные инструменты, такие как dwm.exe, обнаруженные в ходе расследования. Эта программа, развертываемая на хосте с помощью однострочной команды PowerShell в контексте системной учетной записи, действует как агент загрузки, который извлекает и запускает программные модули PE из Интернета под управлением управляющего сервера по протоколу DNS.

Им MystiqueLoader программа dwm.exe взаимодействует с сервером управления через зашифрованные конфигурационные данные, содержащиеся в теле программы, хранящиеся в виде строк с IPv6-адресами. Во время работы MystiqueLoader шифрует и расшифровывает адреса C2 в памяти по мере необходимости, облегчая связь с управляющим сервером посредством DNS-запросов AAAA для поддоменов, сформированных с использованием XOR-шифрования и Base32-кодирования. После успешного подключения агент получает идентификаторы сеанса от C2, что позволяет выполнять команды и получать обратную связь о состоянии.

Автор MystiqueLoader позаимствовал методы из проекта AtomLdr, реализовав пользовательский алгоритм вычисления хэш-суммы и методы шифрования. Чтобы еще больше замаскировать свою деятельность, MystiqueLoader использует значок законной программы Microsoft (Netplwiz) и маскирует свои коммуникации с помощью DNS-запросов и зашифрованного обмена данными с сервером C2.

Для тех, кто ищет подробную техническую информацию о программах-вымогателях и киберпреступных группах, дополнительную информацию можно найти в тематических репозиториях GitHub, таких как <https://github.com/facct-ransomware>. Будьте в курсе и будьте бдительны в отношении новых хакеров.

#ParsedReport #CompletenessHigh
24-12-2024

Rhadamanthys Stealer Spoofs Emails to Attack Switzerland and the United Kingdom

https://www.forcepoint.com/blog/x-labs/rhadamanthys-stealer-phishing-switzerland-united-kingdom

Report completeness: High

Threats:
Rhadamanthys
Xworm_rat
Agent_tesla
Typosquatting_technique
Dotnet_reactor_tool

Victims:
Hotels, Restaurants, Businesses

Industry:
Entertainment

Geo:
Switzerland, United kingdom

ChatGPT TTPs:
do not use without manual check
T1189, T1140, T1059.001, T1055.012, T1071.001, T1083, T1027, T1547.001

IOCs:
Path: 1
Url: 2
Hash: 1
File: 7
Command: 1
IP: 2
Domain: 2

Soft:
task scheduler, net reactor, Chrome

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и подробном анализе Rhadamanthys infostealer - сложной вредоносной программы, нацеленной на предприятия гостиничного сектора, в частности на отели и рестораны в Швейцарии и Соединенном Королевстве. Вредоносная программа использует передовые методы социальной инженерии, такие как электронные письма, генерируемые искусственным интеллектом, и домены с опечатками, чтобы обмануть пользователей и украсть конфиденциальную информацию. В рамках кампании используются вредоносные PDF-вложения с запутанным кодом JavaScript и PowerShell для загрузки дополнительной полезной информации и установления связи с сервером управления для утечки данных. Защитные меры, принимаемые компанией Forcepoint, направлены на смягчение угрозы, исходящей от этого скрытого инфокрада.
-----

Вредоносная программа XWorm, нацеленная на гостиничный сектор, была освещена в блоге Лидии.

Информационный агент Rhadamanthys активно атакует предприятия в Швейцарии и Великобритании, в частности отели и рестораны, используя поддельные электронные письма якобы от Booking.com.

Кампания Радаманта имеет сходство с действиями агента Tesla в 2024 году, что наводит на мысль о потенциальной связи между хакерами.

В кампании Rhadamanty использовались передовые методы социальной инженерии, в том числе подозрительные электронные письма, созданные с помощью искусственного интеллекта, и опечатки законных доменов, таких как Booking.com.

Вредоносные электронные письма содержат вложения в формате PDF, выдающие себя за поддельные счета-фактуры или предупреждающие сообщения, которые запускают вредоносные действия при открытии.

Вредоносная программа использует методы обфускации, такие как длинные имена переменных и функций, что затрудняет анализ и обнаружение.

Код PowerShell запускает загрузку дополнительных полезных файлов, размещенных в blogspot.com и облачных репозиториях.

Rhadamanthys infostealer устанавливает связь с командно-контрольным сервером и пытается извлечь конфиденциальную информацию, собрать сведения о системе и установить постоянство в системе.

Защитные меры, принимаемые Forcepoint, включают в себя идентификацию и блокировку вредоносных PDF-вложений, предотвращение перенаправлений на подозрительные URL-адреса, блокирование известных файлов-дропперов и перехват сообщений с серверов C2 для защиты клиентов от угрозы.

#ParsedReport #CompletenessLow
24-12-2024

Blogs. Hacktivist Groups: The Shadowy Links to Nation-State Agendas. Hacktivist Groups: The Shadowy Links to Nation-State Agendas

https://www.trellix.com/blogs/research/hacktivist-groups-the-shadowy-links-to-nation-state-agendas

Report completeness: Low

Actors/Campaigns:
Sandworm (motivation: hacktivism, propaganda)
Cyberarmyofrussia (motivation: hacktivism)
Xaknet (motivation: hacktivism)
Noname057 (motivation: hacktivism)
Irgc (motivation: hacktivism)
Marnanbridge (motivation: hacktivism)
Altoufan
Amc239
Anzu_team
Byte_blitz
Cyber_cheetahs
Menelaus
Sangkancil
Mosesstaff (motivation: hacktivism)
Cyber_av3ngers (motivation: hacktivism)
Soldiers_of_solomon (motivation: hacktivism)
Blackshadow (motivation: hacktivism)
Malek_team (motivation: hacktivism)
Unc5174 (motivation: hacktivism)

Threats:
Ddosia_botnet
Blackmagic
Moneybird

Industry:
Transport, Government

Geo:
Israeli, Japanese, Iran, Yemen, Middle east, Iranians, Deus, Russian, Israel, Russia, Chinese, China, Ukraine, Ukrainian, Iranian, Palestine, Australian

CVEs:
CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip access policy manager (le13.1.5, le14.1.5, le15.1.10, le16.1.4, le17.1.1)


ChatGPT TTPs:
do not use without manual check
T1498, T1190, T1485

IOCs:
Url: 1

Soft:
Telegram, Instagram, Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в росте хактивизма, особенно в контексте того, что различные группы, связанные с национальными государствами по всему миру, совершают кибератаки в политических и социальных целях. В тексте освещается деятельность групп хактивистов из России, Ирана и Китая, их тактика, такая как DDoS-атаки, фальсификация, утечка информации и распространение пропаганды, а также их связи с государственными структурами, такими как команда Sandworm. Меняющийся ландшафт угроз, создаваемый группами хактивистов, создает риски, варьирующиеся от нарушения работы онлайн-систем до более разрушительных атак, таких как программы-вымогатели и вредоносные программы-очистители.
-----

Хактивизм - это растущая тенденция, когда хакерские методы используются в целях активизма, разрушения онлайн-систем или манипулирования ими в социальных или политических целях.

Число хактивистских групп, связанных с Россией, увеличилось, причем некоторые группы действуют независимо, поддерживая интересы России, и в то же время имеют потенциальную связь с правительством через посредников, таких как команда Sandworm.

CARR - это группа, специализирующаяся на DDoS-атаках и распространении информации, потенциально сотрудничающая с такими организациями, как XakNet и Infoccentr. Между CARR и NoName057(16) существуют тесные связи, что указывает на их связь с командой Sandworm.

NoName057(16) фокусируется на DDoS-атаках и хакерской атаке на страны, поддерживающие правительства Украины и Израиля, со связями с предыдущими администраторами CARR.

Поддерживаемые Ираном группировки хактивистов нацелены на Израиль и Соединенные Штаты с помощью атак типа "отказ в обслуживании", фальсификации, утечки информации и распространения пропаганды. Эменнет Пасаргад координирует группы хактивистов для таких организаций, как КСИР.

Moses Staff, CyberAveng3rs и Soldiers of Solomon - иранские хактивистские группировки, связанные с КСИР и занимающиеся операциями по взлому и утечке информации. Agrius, связанная с иранским MOIS, атакует израильские организации, используя программы-вымогатели и вредоносные программы-очистители.

Uteus (UNC5174) - это поддерживаемый правительством Китая брокер начального доступа, эксплуатирующий системы по всему миру с использованием эксплойтов N-day.

Группы хактивистов, связанные с национальными государствами, представляют собой динамичный ландшафт угроз, способный перейти от традиционных атак к более разрушительным формам, таким как программы-вымогатели и вредоносные программы-очистители.

#ParsedReport #CompletenessMedium
24-12-2024

ICS Threat Analysis: New, Experimental Malware Can Kill Engineering Processes

https://www.forescout.com/blog/ics-threat-analysis-new-experimental-malware-can-kill-engineering-processes

Report completeness: Medium

Actors/Campaigns:
Chaya_002

Threats:
Ramnit
Chaya_003
Frostygoop
Aisuru
Kaiten
Bashlite
Phoenix_keylogger
Zeus
Bumblebee
Sality
Virut
Expiro
Jeefo
Neshta
Parite
Floxif
Upx_tool
Asyncrat
Wacapew

Victims:
Mitsubishi, Siemens

Industry:
Ics, Iot, Financial

Geo:
Belgium, Dutch, Spanish, Canada

ChatGPT TTPs:
do not use without manual check
T1105, T1082

IOCs:
Hash: 15
Domain: 5
File: 8
Command: 1
IP: 1

Soft:
Discord, curl, chatgpt, Twitter

Algorithms:
exhibit, sha256

Functions:
Win32

Win API:
CreateToolhelp32Snapshot, Process32First

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждаются недавние инциденты, связанные с вредоносным ПО, нацеленным на инженерные рабочие станции в среде OT/ICS, с выделением различных образцов и штаммов вредоносного ПО, таких как Chaya_003 и Ramnit. В нем подчеркивается важность безопасности OT, исследуется наличие вредоносных программ, специфичных для OT, автоматизированные ботнеты, нацеленные на устройства OT, и разрабатывается правило YARA для обнаружения вредоносных файлов. В ходе обсуждения также рассматриваются поведение и эволюция вредоносного ПО Chaya_003, рекомендации по устранению последствий и основные исходные векторы атак при инцидентах с системами OT/control.
-----

В тексте содержится подробная информация о недавних инцидентах, связанных с вредоносным ПО, нацеленным на инженерные рабочие станции в среде OT/ICS (Операционные технологии/промышленные системы управления). В нем сообщается об обнаружении различных образцов вредоносного ПО, таких как test.exe, Isass.exe и elsass.exe, отправленных из Бельгии, а также о новом штамме вредоносного ПО под названием Chaya_003, который способен прерывать технологические процессы Siemens.

Анализ выявил постоянный поток вредоносных программ OT/ICS с акцентом на инциденты, связанные с рабочими станциями Mitsubishi и Siemens engineering, зараженными червем Ramnit. Кроме того, в тексте указывается на существование вредоносных программ, специфичных для OT, таких как FrostyGoop и BUSTLEBERM, что подчеркивает важность обеспечения безопасности OT, учитывая распространенность вредоносных программ, нацеленных на рабочие станции инженеров.

В ходе исследования были выявлены семейства автоматизированных ботнетов, таких как Aisuru, Kaiten и Gafgyt, в общедоступном хранилище вредоносных программ VirusTotal. Эти ботнеты обычно используют учетные данные устройств OT по умолчанию для получения первоначального доступа или предоставления инструкций по удалению конфиденциальных данных из каталогов. В отчете Института SANS отмечается, что подключенные устройства являются одним из основных первоначальных векторов атак при инцидентах с системами OT/control, а компрометация инженерных рабочих станций занимает четвертое место по распространенности.

Кроме того, в тексте обсуждается разработка правила YARA для обнаружения потенциально вредоносных файлов, предназначенных для взаимодействия с инженерным программным обеспечением. С помощью этого правила были выявлены совпадения для артефактов Phoenix Contact, Mitsubishi и Siemens, при этом особое внимание было уделено двум кластерам Ramnit, заражающим рабочие станции инженеров. Вредоносная программа Ramnit, изначально являвшаяся банковским трояном, превратилась в модульную платформу, способную выполнять различные вредоносные действия, включая удаленный рабочий стол и захват скриншотов.

Дальнейшие находки раскрывают поведение и эволюцию вредоносного кластера Chaya_003, который использует инфраструктуру C2 с использованием веб-узлов Discord для разведки системы и нарушения процессов. В тексте приводятся указания разработчиков на местоположение и детали инфраструктуры, что указывает на потенциальную связь с известными вредоносными действиями.

Что касается смягчения последствий, в тексте рекомендуются такие рекомендации, как предотвращение прямого доступа инженерных рабочих станций к Интернету, правильное сегментирование сетей, ограничение сетевых подключений разрешенными устройствами и внедрение решений мониторинга для обнаружения вредоносных индикаторов.

#ParsedReport #CompletenessHigh
25-12-2024

DarkVision RAT: A Persistent Threat Delivered via PureCrypter

https://socradar.io/darkvision-rat-a-threat-delivered-via-purecrypter

Report completeness: High

Threats:
Darkvisionrat
Purecryptor
Process_injection_technique

Industry:
Financial, Healthcare, Government

TTPs:
Tactics: 1
Technics: 6

IOCs:
Hash: 3
Url: 1
Domain: 1

Soft:
Windows Defender, Windows Registry

Win API:
NtMapViewOfSection, NtCreateSection

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа DarkVision RAT, распространяемая с помощью загрузчика PureCrypter, представляет серьезную угрозу для организаций в различных секторах, предоставляя злоумышленникам широкие возможности удаленного доступа и используя сложные методы обфускации, чтобы избежать обнаружения. Для защиты от этой угрозы организациям рекомендуется применять строгие меры безопасности, усиливать защиту конечных устройств и активно отслеживать подозрительные действия и изменения в реестре. В случае заражения следует незамедлительно предпринять действия по устранению неполадок, уделяя особое внимание использованию системных журналов, средств обнаружения конечных точек и постоянному мониторингу для эффективной борьбы с DarkVision RAT и подобными угрозами. Использование таких решений, как SOCRadar, может помочь в обнаружении подобных кампаний и реагировании на них, повысив общую безопасность и защищенность от продвинутых хакеров.
-----

Вредоносная программа DarkVision RAT, использующая загрузчик PureCrypter, представляет серьезную угрозу для организаций в различных секторах, таких как финансы, здравоохранение и правительство. Эта сложная атака распространяется с помощью фишинга и использует передовые методы обфускации, чтобы избежать обнаружения. DarkVision RAT предоставляет злоумышленникам удаленный доступ к скомпрометированным системам, позволяя выполнять такие действия, как ведение кейлогга, захват экрана и аудио, манипулирование системными процессами и изменение записей реестра для обеспечения сохраняемости.

DarkVision RAT, распространяемый через PureCrypter, запускает цепочку заражения, расшифровывая и запуская вредоносное ПО через загрузчик. Этот троянец, известный своей способностью избегать обнаружения, использует такие тактические приемы, как вызовы API, внедрение процессов и маскировку под законные задачи. Командная и управляющая связь вредоносного ПО осуществляется через нестандартные порты, что затрудняет обнаружение его присутствия в стандартных конфигурациях брандмауэра. Организациям настоятельно рекомендуется использовать платформу SOCRadar XTI для изучения раздела "Кампании", чтобы собрать информацию о DarkVision RAT и аналогичных угрозах, подчеркивая важность упреждающих мер безопасности.

Чтобы защититься от DarkVision RAT, организации должны применять строгие меры безопасности, укреплять защиту конечных устройств и постоянно отслеживать подозрительные действия и изменения в реестре. Реализация следующих стратегий снижения рисков может помочь организациям помешать распространению DarkVision RAT и значительно снизить риски компрометации. Эти стратегии нацелены на наиболее часто применяемую тактику DarkVision RAT, подчеркивая проактивный подход к кибербезопасности.

В случае заражения систем DarkVision RAT организации должны незамедлительно предпринять действия по исправлению ситуации, чтобы обнаружить и уничтожить вредоносное ПО. Подчеркивая важность системных журналов, средств обнаружения конечных точек и постоянного мониторинга, организации могут эффективно устранить DarkVision RAT. Сохранение бдительности и принятие ключевых мер по устранению неполадок имеет решающее значение для смягчения последствий этой вредоносной кампании.

Кампания DarkVision RAT служит суровым напоминанием о серьезной угрозе, которую представляют продвинутые трояны для удаленного доступа, передаваемые через загрузчики, такие как PureCrypter. Благодаря широкому спектру возможностей, включая кейлоггинг, захват видео и внедрение процессов, DarkVision RAT позволяет хакерам получить значительный контроль над скомпрометированными системами. Для борьбы с этими угрозами необходим комплексный подход, включающий защиту конечных точек, внесение приложений в белый список и мониторинг в режиме реального времени. Использование передовых решений, таких как SOCRadar, может помочь организациям выявлять кампании, подобные DarkVision RAT, и реагировать на них, тем самым укрепляя их общую систему безопасности и защищая от изощренных хакеров.

#ParsedReport #CompletenessMedium
25-12-2024

Androxgh0st Malware: Unmasking the Silent Threat to Cloud and Web Security

https://www.picussecurity.com/resource/blog/androxgh0st-malware-cloud-web-security-threat

Report completeness: Medium

Actors/Campaigns:
Duke
Fox_kitten
Andariel

Threats:
Androxgh0st
Credential_harvesting_technique
Spear-phishing_technique
Ransomhub

Industry:
Military, Critical_infrastructure

Geo:
Iranian, North korean, Russian

CVEs:
CVE-2021-41773 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache http server (2.4.49)

CVE-2024-9474 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-47575 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortimanager (<6.2.13, <6.4.15, <7.0.13, <7.2.8, <7.4.5)
- fortinet fortimanager cloud (le6.4.7, <7.0.13, <7.2.8, <7.4.5)

CVE-2024-0012 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-38063 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20751)
- microsoft windows 10 1607 (<10.0.14393.7259)
- microsoft windows 10 1809 (<10.0.17763.6189)
- microsoft windows 10 21h2 (<10.0.19044.4780)
- microsoft windows 10 22h2 (<10.0.19045.4780)
have more...
CVE-2018-15133 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- laravel (le5.5.40, le5.6.29)

CVE-2017-9841 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- phpunit project phpunit (le4.8.27, <5.6.3)


TTPs:
Tactics: 10
Technics: 13

IOCs:
File: 4

Soft:
Laravel, Office 365, SendGrid, Microsoft Office 365, PHPUnit, Apache Struts, curl

Algorithms:
exhibit, base64

Functions:
CreateUser, DeleteAccessKey, AWS, GetSendQuota

Languages:
python, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessHigh
25-12-2024

OilRig Exposed: Unveiling the Tools and Techniques of APT34

https://www.picussecurity.com/resource/blog/oilrig-exposed-tools-techniques-apt34

Report completeness: High

Actors/Campaigns:
Oilrig (motivation: cyber_espionage)
Duke
Fox_kitten
Andariel

Threats:
Spear-phishing_technique
Quadagent
Ismagent
Supply_chain_technique
Stealhook_tool
Lazagne_tool
Credential_dumping_technique
Dumplsass_tool
Mimikatz_tool
Putty_tool
Keypunch
Longwatch
Dns_tunneling_technique
Plink_tool
Ransomhub

Victims:
Saudi arabian organizations, Governmental bodies, Technology services provider, Energy and oil industries, Telecommunications providers, Critical infrastructure

Industry:
Petroleum, Telco, Critical_infrastructure, Military, Energy, Government

Geo:
Middle east, Iranian, Iran, Saudi arabian, Saudi, Russian, North korean

CVEs:
CVE-2024-9474 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-47575 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortimanager (<6.2.13, <6.4.15, <7.0.13, <7.2.8, <7.4.5)
- fortinet fortimanager cloud (le6.4.7, <7.0.13, <7.2.8, <7.4.5)

CVE-2024-38063 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20751)
- microsoft windows 10 1607 (<10.0.14393.7259)
- microsoft windows 10 1809 (<10.0.17763.6189)
- microsoft windows 10 21h2 (<10.0.19044.4780)
- microsoft windows 10 22h2 (<10.0.19045.4780)
have more...
CVE-2024-30088 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20680)
- microsoft windows 10 1607 (<10.0.14393.7070)
- microsoft windows 10 1809 (<10.0.17763.5936)
- microsoft windows 10 21h2 (<10.0.19044.4529)
- microsoft windows 10 22h2 (<10.0.19045.4529)
have more...
CVE-2024-0012 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.12, <11.0.6, <11.1.5, <11.2.4)


TTPs:
Tactics: 12
Technics: 17

IOCs:
File: 4
Hash: 5

Soft:
Windows Kernel, Microsoft Exchange

Crypto:
ripple

Algorithms:
base64

Languages:
powershell, visual_basic