#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении и раскрытии критической уязвимости (CVE-2024-7344) в UEFI Secure Boot, которая позволяет выполнять вредоносный код во время загрузки в обход средств защиты Secure Boot. Уязвимость позволяет злоумышленникам развертывать загрузчики UEFI, такие как Bootkitty или BlackLotus, заменяя загрузчик по умолчанию скомпрометированным двоичным файлом, что приводит к потенциальным угрозам безопасности для различных современных систем. Процесс раскрытия информации включал координацию с поставщиками для принятия мер по смягчению последствий, что привело к отзыву уязвимых двоичных файлов в обновлении Microsoft Patch Tuesday.
-----

Исследователи обнаружили чрезвычайно важную уязвимость, известную как CVE-2024-7344, которая представляет серьезную угрозу для UEFI Secure Boot, важнейшей меры безопасности, предназначенной для поддержания целостности процессов загрузки системы. Эта уязвимость позволяет выполнять вредоносный код во время загрузки, даже при активной безопасной загрузке, создавая значительные угрозы безопасности для широкого спектра современных систем. Этот эксплойт открывает возможности для развертывания загрузчиков UEFI, таких как Bootkitty или BlackLotus, что еще больше усугубляет потенциальное воздействие.

Атака включает замену загрузчика по умолчанию на скомпрометированный двоичный файл с именем reloader.efi. Злоумышленники внедряют вредоносную полезную нагрузку, размещая созданный файл с именем cloak.dat, содержащий неподписанные двоичные файлы, в системном разделе EFI (ESP). После перезагрузки системы вредоносный двоичный файл запускается без соблюдения политик безопасной загрузки. Хотя для этой атаки требуются повышенные привилегии, такие как права локального администратора в Windows или root-доступ в Linux, она может быть выполнена в системах, которые доверяют сертификату UEFI стороннего производителя Microsoft.

Система UEFI Secure Boot работает путем сверки двоичных файлов с двумя важными базами данных для обеспечения целостности процесса загрузки. Раскрытие этой уязвимости последовало за структурированным процессом, направленным на координацию действий поставщиков и оперативное внедрение мер по устранению уязвимостей. Ключевые этапы процесса раскрытия информации включают обнаружение уязвимости исследователями 8 июля 2024 года, представление отчетности в Координационный центр сертификации (CERT/CC) 9 июля, взаимодействие CERT/CC с пострадавшими поставщиками 5 августа, первоначальные проверки исправлений с выявлением дополнительных недостатков 20 августа, перенос сроков обновления. раскрытие информации должно соответствовать срокам исправления 23 сентября, а также отзыву уязвимых двоичных файлов в обновлении Microsoft Patch Tuesday от 14 января 2025 года.

#ParsedReport #CompletenessLow
18-01-2025

Grixba s disguise: Play Ransomware impersonates SentinelOne for stealth recon

https://fieldeffect.com/blog/grixba-play-ransomware-impersonates-sentinelone

Report completeness: Low

Threats:
Playcrypt
Grixba

ChatGPT TTPs:
do not use without manual check
T1082, T1046, T1140, T1027

IOCs:
Path: 1
File: 6
IP: 1
Hash: 3

Soft:
NET Framework

Algorithms:
base64, xor, zip

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в важности средств разведки в преддверии атак программ-вымогателей с акцентом на обнаружение таких средств и упреждающее реагирование на них для разрушения цепочек атак и усиления защиты от кибербезопасности.
-----

Внедрение средств разведки является важным предвестником атак программ-вымогателей, позволяя хакерам собирать важную информацию о среде, в которой они находятся. Эти средства помогают идентифицировать программное обеспечение, службы, меры безопасности, открытые порты, активные службы и потенциальные векторы атак в сети. Недавно компания Field Effect MDR вмешалась в игровую атаку программ-вымогателей с использованием разведывательного инструмента Grixba, который продемонстрировал новые характеристики, ранее публично не раскрывавшиеся. Атака была инициирована путем установки Grixba по протоколу удаленного рабочего стола (RDP) на сервер Windows под видом законного программного обеспечения под названием SentinelOne Compatibility Wizard. Хакер подключился с IP-адреса, связанного с VPN-сервисом Private Internet Access (PIA).

После анализа было обнаружено, что образец Grixba представляет собой запутанное приложение на базе .NET, ориентированное на .NET Framework 4.6.2. Grixba запрашивает аргумент командной строки в кодировке base64 и ключ XOR при выполнении, что позволяет ему декодировать data.dat и получать доступ к inf_g.dll содержащий логику разведки. Восстановленный ключ XOR позволил Field Effect MDR продолжить анализ inf_g.dll, обнаружив различные аргументы командной строки для настройки параметров сканирования и параметров вывода. Инструмент может быть сконфигурирован для сканирования в различных областях, при этом результаты сохраняются в архивном файле с именем exportData.db, который упорядочивает данные сканирования в 18 таблицах с подробным описанием таких аспектов, как активные хосты, история веб-браузера, установленное программное обеспечение и сетевые маршруты.

Обнаружение Grixba с помощью Field Effect MDR и проактивное реагирование подчеркивают важность раннего выявления средств разведки для разрушения цепочек атак программ-вымогателей, предотвращения их перемещения в сторону и снижения рисков. Организациям настоятельно рекомендуется использовать решения по управляемому обнаружению и реагированию (MDR), способные обнаруживать такие инструменты и противодействовать им, для усиления защиты кибербезопасности от развивающихся угроз.

Средства разведки, такие как Grixba, являются не только ключевыми предшественниками, но и неотъемлемой частью успеха атак программ-вымогателей. Их использование позволяет точно определять цели, минимизировать риски обнаружения и максимизировать воздействие программ-вымогателей, обеспечивая стратегическое развертывание для максимального разрушения системы. Организации должны внедрять упреждающие меры, такие как раннее обнаружение таких инструментов, как Grixba, чтобы разорвать цепочки атак, предотвратить перемещение по сети и помешать полномасштабному внедрению программ-вымогателей. Такая упреждающая позиция играет решающую роль в укреплении защиты от изощренных хакеров.

#ParsedReport #CompletenessLow
18-01-2025

Under the cloak of UEFI Secure Boot: Introducing CVE-2024-7344

https://www.welivesecurity.com/en/eset-research/under-cloak-uefi-secure-boot-introducing-cve-2024-7344

Report completeness: Low

Threats:
Blacklotus
Bootkitty

Victims:
Howyar technologies inc., Greenware technologies, Radix technologies ltd., Sanfong inc., Wasay software technology inc., Computer education system inc., Signal computer gmbh

Industry:
Education

Geo:
Ukraine

CVEs:
CVE-2024-7344 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-34302 [Vulners]
CVSS V3.1: 6.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- horizondatasys uefi bootloader (<2022-06-01)


ChatGPT TTPs:
do not use without manual check
T1542, T1098

IOCs:
File: 2

Soft:
Linux

Algorithms:
xor

Functions:
LoadImage

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в необходимости отзыва и замены сертификатов Microsoft Windows Production PCA 2011 и Microsoft Corporation UEFI CA 2011 на более новые версии для устранения уязвимостей, связанных с загрузчиком BlackLotus, влияющим на загрузчики Windows. Уязвимость, идентифицированная как CVE-2024-7344, потенциально может привести к выполнению ненадежного кода во время загрузки системы, что создает риск развертывания вредоносных загрузчиков UEFI. В тексте описываются сроки обнаружения уязвимостей, их влияние на различные пакеты программного обеспечения для восстановления, методы использования и рекомендуемые стратегии устранения, такие как применение последних отзывов UEFI от Microsoft. В нем также предлагается использовать команды PowerShell для проверки на наличие уязвимостей в системах Windows и подчеркивается важность дополнительных мер безопасности, включая управление доступом к файлам системного раздела EFI и реализацию удаленной проверки на соответствие известным допустимым значениям. Наконец, в нем рассматриваются опасения по поводу необходимости обеспечения прозрачности при проверке подписи кода сторонними разработчиками UEFI, проводимой Microsoft, и освещается предстоящее внедрение новых сертификатов UEFI как возможности для повышения стандартов безопасности UEFI.
-----

Необходимость замены сертификата Microsoft Windows Production PCA 2011 на сертификат Windows UEFI CA 2023 для устранения уязвимостей, связанных с загрузчиком BlackLotus.

Сертификат Microsoft UEFI CA 2011 также нуждается в замене на сертификат Microsoft UEFI CA 2023 для подписи новых приложений UEFI.

Уязвимость (CVE-2024-7344) позволяет обойти защищенную загрузку UEFI, потенциально делая возможным выполнение ненадежного кода во время загрузки системы.

Уязвимость затрагивает пакеты программного обеспечения для восстановления системы в режиме реального времени, использующие сторонний сертификат Microsoft UEFI CA 2011.

Эксплуатация заключается в замене двоичного файла загрузчика операционной системы по умолчанию вредоносным приложением UEFI, требующим повышенных привилегий.

Устранение неполадок включает в себя применение последних отзывов UEFI от Microsoft и проверку влияния уязвимостей с помощью PowerShell для систем Windows.

Обновления для систем Linux должны быть доступны через службу встроенного по поставщика Linux.

Дополнительные средства защиты включают управление доступом к файлам в системном разделе EFI, настройку безопасной загрузки UEFI и реализацию удаленной проверки подлинности с помощью TPM.

Были высказаны опасения по поводу небезопасных методов в подписанных приложениях UEFI сторонних производителей и необходимости обеспечения прозрачности при проверке подписи кода сторонними разработчиками Microsoft UEFI.

#ParsedReport #CompletenessMedium
18-01-2025

IoT Botnet Linked to Large-scale DDoS Attacks Since the End of 2024. Summary

https://www.trendmicro.com/en_us/research/25/a/iot-botnet-linked-to-ddos-attacks.html

Report completeness: Medium

Threats:
Mirai
Bashlite
Synflood_technique
Tcpsynflood_technique
Tcpackflood_technique
Ackflood_technique
Udpflood_technique

Industry:
Transport, Financial, Iot

Geo:
India, Japanese, Asia, South africa, Japan, Poland, America, Bahrain

ChatGPT TTPs:
do not use without manual check
T1105, T1090.003, T1070.006, T1569.002

IOCs:
Hash: 11
Domain: 1
IP: 3

Soft:
Zyxel, Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - продолжающиеся крупномасштабные DDoS-атаки, организованные ботнетом Интернета вещей, нацеленные на компании в Японии и по всему миру, использующие варианты вредоносного ПО от Mirai и Bashlite для заражения устройств Интернета вещей и выполнения различных методов DDoS-атак. Атаки были нацелены на отрасли в разных регионах, что подчеркивает важность внедрения надежных мер безопасности устройств Интернета вещей для предотвращения участия в ботнет-атаках и применения контрмер, таких как обновление встроенного ПО, изменение учетных данных по умолчанию и сотрудничество с поставщиками услуг для фильтрации трафика.
-----

С конца 2024 года ведется непрерывный мониторинг крупномасштабных DDoS-атак ботнета Интернета вещей, нацеленных на компании в Японии и по всему миру.

Ботнет состоит из разновидностей вредоносных программ от Mirai и Bashlite, заражающих устройства Интернета вещей через уязвимости и слабые учетные данные.

Процесс заражения включает загрузку и выполнение вредоносных программ, подключающихся к C&C серверам для получения команд атаки, включая различные методы DDoS-атак, обновления вредоносных программ и прокси-сервисы.

Атаки в основном нацелены на Северную Америку и Европу, в основном на беспроводные маршрутизаторы и IP-камеры популярных брендов.

Объекты нападения были географически распределены по всей Азии, Северной и Южной Америке и Европе, с концентрацией в США, Бахрейне и Польше.

Для японских организаций наблюдались различные команды атаки по сравнению с международными целями, с различным воздействием в разных секторах.

Global threat intelligence выявила 348 устройств, использовавшихся при атаках, в основном беспроводные маршрутизаторы (80%) и IP-камеры (15%), распространенные бренды которых включают маршрутизаторы TP-Link, Zyxel и камеры Hikvision.

Большинство устройств ботнета расположены в Индии и Южной Африке из-за уязвимостей устройств Интернета вещей, таких как настройки по умолчанию, отсутствие обновлений и слабые функции безопасности.

Рекомендации по повышению безопасности устройств Интернета вещей для предотвращения распространения ботнетов и их влияния включают изменение учетных данных по умолчанию, регулярное обновление встроенного ПО, отключение неиспользуемых функций, изоляцию устройств, проверку настроек маршрутизатора и надлежащее управление устройствами.

DDoS-атаки перегружают сети и истощают ресурсы сервера, потенциально используя несколько атакующих команд одновременно.

Рекомендации по борьбе с DDoS-атаками включают использование брандмауэров и маршрутизаторов для блокировки IP-адресов, сотрудничество с поставщиками услуг, улучшение аппаратного обеспечения маршрутизаторов, мониторинг в режиме реального времени и блокирование IP-адресов с высоким трафиком.

Зараженные хосты в ботнете могут участвовать в DDoS-атаках и работать в качестве прокси-сервисов. Руководство CISA доступно для ознакомления с обзором DDoS-атак и контрмерами.

#ParsedReport #CompletenessHigh
18-01-2025

Threat Brief: CVE-2025-0282 and CVE-2025-0283 (Updated Jan. 17)

https://unit42.paloaltonetworks.com/threat-brief-ivanti-cve-2025-0282-cve-2025-0283

Report completeness: High

Actors/Campaigns:
Cl-unk-079
Unc5337

Threats:
Spawnmole
Spawnsloth
Spawnsnail
Credential_harvesting_technique
Dll_sideloading_technique
Dumplsass_tool
Lolbin_technique
Process_hollowing_technique

Industry:
Ics

CVEs:
CVE-2025-0282 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (22.7)
- ivanti neurons for zero-trust access (22.7)
- ivanti policy secure (22.7)

CVE-2025-0283 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (<9.1, <22.7, 21.9, 21.12, 22.1)
- ivanti neurons for zero-trust access (-, 22.2, 22.3, 22.4, 22.5)
- ivanti policy secure (<22.7)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1059.007, T1021.001, T1003.001, T1547.011, T1569.001, T1574.002, T1036.005, T1071.001

IOCs:
IP: 4
Hash: 10
File: 6
Path: 2

Soft:
Ivanti, Visual Studio

Algorithms:
xor, sha256

Languages:
perl

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
В тексте обсуждаются недавние атаки, нацеленные на уязвимости в продуктах Ivanti Connect Secure, Policy Secure и ZTA gateway (CVE-2025-0282 и CVE-2025-0283), а также риски удаленного выполнения кода и повышения привилегий. В нем подробно описываются действия злоумышленников, инструменты, методы и стратегии смягчения последствий, предложенные Ivanti, Palo Alto Networks и Cortex Xpanse для защиты от этих хакеров и реагирования на них.
-----

В тексте обсуждается недавняя атака на уязвимости CVE-2025-0282 и CVE-2025-0283 в продуктах Ivanti Connect Secure, Policy Secure и ZTA gateway. Эти уязвимости создают риск удаленного выполнения кода и повышения привилегий, при этом CVE-2025-0282 является критической уязвимостью переполнения буфера, которая позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять удаленный код. Компания Mandiant раскрыла результаты атак в дикой природе с использованием CVE-2025-0282.

Злоумышленники нацелились на устройства Ivanti, которые обеспечивают удаленное подключение к сетям, что делает их уязвимыми для использования из-за того, что они ориентированы на внешние ресурсы. Использование CVE-2025-0282 может предоставить злоумышленникам точку опоры для доступа к внутренней сети, расположенной за устройством, что облегчает перемещение в сторону. CVE-2025-0283 позволяет злоумышленникам, прошедшим локальную проверку подлинности, повышать свои привилегии, хотя о случаях использования этой возможности не сообщалось.

В конкретном случае, помеченном как cluster CL-UNK-0979, злоумышленники использовали CVE-2025-0282 с уязвимостью удаленного выполнения кода предварительной аутентификации нулевого дня в общедоступном устройстве Ivanti Connect Secure VPN. Злоумышленники использовали различные инструменты, такие как Perl-скрипты, протокол удаленного рабочего стола (RDP) и средства сброса данных из памяти для сбора учетных данных и перемещения в горизонтальном направлении. Кроме того, злоумышленники пытались обеспечить сохраняемость устройства Ivanti, используя бэкдоры и утилиты для взлома журналов.

В тексте описываются инструменты и методы, используемые злоумышленниками, включая использование пользовательского Perl-скрипта с именем ldap.pl для сбора паролей, инструментов сброса памяти, таких как package.dll, и методов дополнительной загрузки DLL-файлов, таких как deelevator64.dll и vixDiskLib.dll. Эти вредоносные действия были выявлены с помощью различных средств, таких как анализ данных журнала, отслеживание сетевых подключений и мониторинг вредоносных процессов.

Компания Ivanti предоставила обновления для системы безопасности для устранения уязвимостей, рекомендуя пользователям применять исправления и отслеживать подозрительные действия с помощью своего инструмента проверки целостности. Palo Alto Networks предлагает средства защиты продуктов и обновления для защиты от этой угрозы, используя передовые модели и методы машинного обучения WildFire, фильтрацию URL-адресов и защиту DNS для выявления вредоносных действий. Cortex Xpanse может помочь идентифицировать уязвимые продукты Ivanti в общедоступном Интернете, предупреждая защитников, а также обмениваясь информацией с Альянсом хакеров для совместной защиты.

#ParsedReport #CompletenessLow
18-01-2025

ANDROID MALWARE IN DONOT APT OPERATIONS

https://www.cyfirma.com/research/android-malware-in-donot-apt-operations

Report completeness: Low

Actors/Campaigns:
Donot

Geo:
Indian, Asia, India

TTPs:
Tactics: 6
Technics: 7

IOCs:
Hash: 2
Domain: 4

Soft:
ANDROID

Algorithms:
sha256

#ParsedReport #ExtractedSchema

Classified images:
dump: 1, filemanager: 1, code: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Исследователи CYFIRMA обнаружили серьезную угрозу, исходящую от индийской APT-группы DONOT, которая разработала вредоносные приложения под названием "Tanzeem" и "Tanzeem Update" для сбора разведывательной информации с использованием платформы взаимодействия с клиентами OneSignal. Группа использует тактику обмана, нацелена на организации в Южной Азии и использует библиотеку OneSignal для распространения вредоносного ПО, чтобы поддерживать контроль над зараженными устройствами, подчеркивая эволюцию и постоянство своих киберопераций.
-----

Исследовательская группа CYFIRMA обнаружила серьезную угрозу, исходящую от индийской APT-группы DONOT. Эта группа, которая, как считается, действует в интересах Индии, разработала вредоносное приложение под названием "Tanzeem" и "Обновление Tanzeem". Эти приложения предназначены для сбора информации о внутренних угрозах и используют платформу взаимодействия с клиентами OneSignal для отправки push-уведомлений, содержащих фишинговые ссылки.

Использование невинно звучащих названий, таких как "Танзим", что в переводе с урду означает "организация", является частью обмана, применяемого группой ДОНОТОВ. Маскируясь под законные организации или используя терминологию, ассоциирующуюся с террористическими организациями и индийскими правоохранительными органами, группа стремится избежать обнаружения и вовлечь ничего не подозревающих пользователей в свою вредоносную деятельность.

Образцы вредоносного ПО, собранные CYFIRMA в октябре и декабре, показывают, что приложения Tanzeem практически идентичны, за исключением незначительных изменений в пользовательском интерфейсе. Использование группой библиотеки OneSignal для доставки вредоносных push-уведомлений - это новая тактика, которая повышает устойчивость вредоносного ПО на зараженных устройствах.

Анализ файла Android-манифеста приложения Tanzeem выявил опасные разрешения, предоставленные вредоносному программному обеспечению, включая доступ к серверу управления по определенному URL-адресу. Используя библиотеку OneSignal, группа DONOT может взаимодействовать с доменами Appspot и поддерживать контроль над зараженными устройствами.

Очевидно, что группа DONOT APT сосредоточена не только на внутренних угрозах, но и на организациях по всей Южной Азии, чтобы помочь Индии в сборе стратегической разведывательной информации. Внедрение push-уведомлений для распространения дополнительных вредоносных программ для Android демонстрирует эволюционирующую тактику группы, направленную на обеспечение долговечности ее операций и усиление ее роли в сборе разведывательной информации.

Использование платформы MITRE ATT&CK подчеркивает сложную природу вредоносного ПО для Android, распространяемого DONOT, и подчеркивает постоянную угрозу, исходящую от этой группы. Сообществу специалистов по кибербезопасности настоятельно рекомендуется сохранять бдительность, поскольку DONOT продолжает адаптировать свои методы, такие как включение OneSignal в свои атаки, для повышения устойчивости и сохранения своих позиций в будущих кибератаках.

#ParsedReport #CompletenessLow
19-01-2025

Mastering Azure Managed Identities - Attack & Defense, Part 1

https://www.hunters.security/en/blog/chrome-extension-threat-campaign-0

Report completeness: Low

Actors/Campaigns:
Cyberhaven_breach

Victims:
Chrome extension developers, Cyberhaven

ChatGPT TTPs:
do not use without manual check
T1185, T1003, T1566

IOCs:
Domain: 15
IP: 5

Soft:
Chrome, Google Chrome

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4