#ParsedReport #CompletenessLow
19-02-2025

Vgod RANSOMWARE

https://www.cyfirma.com/research/vgod-ransomware/

Report completeness: Low

Threats:
Vgod
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique

TTPs:
Tactics: 9
Technics: 30

IOCs:
File: 1
Hash: 1

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Vgod нацелена на системы Windows, шифрует файлы с расширением ".Vgod", использует тактику уклонения, изменяет обои для рабочего стола и использует стратегию двойного вымогательства, удаляя конфиденциальные данные наряду с шифрованием.
-----

Программа-вымогатель Vgod, недавно обнаруженная исследователями CYFIRMA, представляет собой сложную угрозу, предназначенную для систем Windows. При взломе системы жертвы Vgod шифрует файлы с использованием передовых методов шифрования и присваивает уязвимым файлам особое расширение ".Vgod". Этот метод гарантирует, что файлы нелегко идентифицировать или восстановить без ключа дешифрования, что усложняет задачу по обнаружению и исправлению ошибок для сотрудников службы безопасности.

Программа-вымогатель использует сложную тактику уклонения и механизмы сохранения, которые повышают ее способность оставаться незамеченной в уязвимой среде. Во время выполнения она также изменяет обои на рабочем столе жертвы, что, вероятно, направлено на привлечение внимания к атаке и усиление психологического воздействия требования выкупа. После заражения остается записка с требованием выкупа под названием "Расшифровка Instructions.txt", в которой описаны шаги, которые жертвы должны предпринять для восстановления файла.

Примечательным аспектом программы-вымогателя Vgod является реализация стратегии двойного вымогательства. Согласно сообщению о требовании выкупа, программа не только шифрует файлы, но и передает конфиденциальные данные в хранилище злоумышленника. Такой двойной подход усиливает давление на жертв, поскольку они сталкиваются как с риском финансовых потерь в результате оплаты программ-вымогателей, так и с потенциальным раскрытием данных, если они решат не платить. Судя по всему, эта угроза нацелена как на отдельных лиц, так и на организации, что подчеркивает важность принятия комплексных мер кибербезопасности и надежного протокола реагирования на инциденты для снижения рисков, связанных с такими передовыми атаками программ-вымогателей.

#ParsedReport #CompletenessLow
19-02-2025

Exposing the Deceit: Phishing Sites Impersonating Government Entities

https://labs.k7computing.com/index.php/exposing-the-deceit-phishing-sites-impersonating-government-entities/

Report completeness: Low

Actors/Campaigns:
Sidecopy
Transparenttribe

Threats:
Lumma_stealer

Victims:
Government institutions and agencies, Military personnel, Research institutes, Educational institutions

Industry:
Government, Military, Financial

Geo:
Pakistan, Indian, India

ChatGPT TTPs:
do not use without manual check
T1566, T1110

IOCs:
Domain: 15
IP: 4
File: 1
Url: 15

Soft:
WordPress

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
хакеры выдают себя за государственные учреждения, особенно в Индии, для проведения сложных фишинговых атак, нацеленных на личную и банковскую информацию. Известный фишинговый сайт, имитирующий Верховный суд Индии, содержит скрипты для сбора данных и связан с предыдущими вредоносными кампаниями. Группа SideCopy APT также связана с этими поддельными сайтами, что свидетельствует об организованной попытке воспользоваться доверием пользователей.
-----

хакеры все чаще выдают себя за государственные учреждения, чтобы манипулировать жертвами, заставляя их раскрывать свою личную или банковскую информацию с помощью фишинговых страниц, приложений или прямых звонков. Тревожная тенденция в Индии, известная как "цифровой арест", привела к правительственным инициативам, направленным на обучение граждан способам самозащиты от подобных угроз. К особо уязвимым группам относятся сотрудники правительственных организаций, и в многочисленных случаях атаки APT нацелены на военных, исследовательские учреждения и образовательные учреждения. Эти атаки часто включают длительные стратегии с использованием знакомых инструментов и структур, что отражает систематический подход к компрометации конфиденциальных данных.

Одним из ярких примеров является фишинговый сайт, маскирующийся под официальный веб-сайт Верховного суда Индии, идентифицируемый по домену "spcourt-in.com." Этот сайт предназначен для сбора информации, позволяющей установить личность (PII), включая банковские реквизиты, контактную информацию и номера Aadhaar. Фишинговая страница содержит логотипы законных организаций, таких как Центральное бюро расследований и Резервный банк Индии, для создания видимости подлинности. Сервер, на котором размещен сайт, находится в Пакистане, с IP-адресом "64.31.22.34", который ранее подвергался атаке методом перебора на WordPress и был связан с вредоносной кампанией с участием Lumma Stealer. Фишинговый сайт использует SSL-сертификаты, выданные компанией Let's Encrypt, чтобы создать у жертв ложное ощущение безопасности.

В рамках этой структуры персональные данные, представленные на сайте, обрабатываются с помощью скриптов, предназначенных для сбора и хранения информации в формате JSON. Различные фишинговые сайты, по-видимому, используют одну и ту же инфраструктуру, что позволяет предположить скоординированные усилия по нацеливанию на пользователей под предлогом доверия, имитируя правительственные организации. Это указывает на более широкую и коварную кампанию, которая может привести к значительным утечкам данных, если ее не распознать и не устранить.

Еще один фишинговый домен, "email.gov.in.defenceindia.link", который имитирует законный сайт "email.gov.in", еще больше подчеркивает эту проблему. При подключении к этим поддельным сайтам были выявлены различные вредоносные программы и связи с группой SideCopy APT, действующей из Пакистана. Такие фишинговые кампании становятся все более изощренными, что все больше затрудняет пользователям проведение различия между законными и мошенническими сообщениями.

Учитывая растущую сложность этих фишинговых ловушек, пользователям настоятельно рекомендуется проявлять осторожность при использовании ссылок, которые могут показаться небезопасными. Проведение предварительной проверки URL-адресов и осведомленность о запрашиваемой информации становятся решающими для того, чтобы не стать жертвами подобных мошенничеств. Повышение осведомленности о кибербезопасности и использование надежных средств блокировки вредоносных веб-сайтов могут стать эффективными стратегиями защиты отдельных лиц от этих постоянных онлайн-угроз.

#ParsedReport #CompletenessLow
19-02-2025

SPAWNCHIMERA malware installed using a vulnerability in Ivanti Connect Secure

https://blogs.jpcert.or.jp/ja/2025/02/spawnchimera.html

Report completeness: Low

Threats:
Spawnchimera
Spawnnant
Spawnmole
Spawnsnail
Netstat_tool
Spawnsloth

CVEs:
CVE-2025-0283 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (<9.1, <22.7, 21.9, 21.12, 22.1)
- ivanti neurons for zero-trust access (22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (<22.7)

CVE-2025-0282 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (22.7)
- ivanti neurons for zero-trust access (22.7)
- ivanti policy secure (22.7)


ChatGPT TTPs:
do not use without manual check
T1190, T1055, T1070, T1027

IOCs:
IP: 1
File: 3
Coin: 1
Hash: 2

Soft:
Ivanti, unix, OPENSSH

Algorithms:
xor

Links:
https://github.com/sfewer-r7/CVE-2025-0282/blob/main/CVE-2025-0282.rb

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2025 года Ivanti сообщила о критической уязвимости, связанной с переполнением буфера (CVE-2025-0282), которая была использована атакующими группами для развертывания нового варианта вредоносного ПО SPAWN, SPAWNCHIMERA. Эта вредоносная программа использует усовершенствованные методы обфускации, используя доменные сокеты UNIX для обмена данными, модифицированную функцию strncpy для обходного копирования и зашифрованные секретные ключи, что значительно усложняет обнаружение и реверс-инжиниринг.
-----

В январе 2025 года Ivanti опубликовала предупреждение о критической уязвимости в своем программном обеспечении connect secure, идентифицированной как CVE-2025-0282. Эта уязвимость, проблема переполнения буфера, связанная с использованием функции strncpy, использовалась в различных атаках, начиная с конца декабря 2024 года, до публичного раскрытия. JPCERT/CC подтвердил многочисленные инциденты, связанные с использованием этой уязвимости, когда различные группы злоумышленников использовали ее для развертывания семейства вредоносных программ SPAWN, в частности, обновленного варианта, получившего название SPAWNCHIMERA.

В SPAWNCHIMERA внесены некоторые изменения, направленные на обфускацию и уклонение от обнаружения. Одно из существенных изменений касается методологии взаимодействия между процессами; она перешла от использования TCP-портов для передачи вредоносного трафика к внутренним сокетам домена UNIX. Эта настройка позволяет экземплярам SPAWNCHIMERA, внедренным в различные процессы, отправлять и получать данные, не отображаясь в обычных инструментах сетевого мониторинга, таких как netstat, что усложняет усилия по обнаружению.

Кроме того, в SPAWNCHIMERA реализована функция динамического устранения уязвимости CVE-2025-0282. В ней реализована модифицированная функция strncpy, предназначенная для ограничения размера копии до 256 байт, но сохраняющая способность распознавать потенциальные попытки использования. Примечательно, что если первый байт скопированного исходного кода соответствует предопределенному значению, защитный механизм может быть отключен, что позволит злоумышленникам проверить свои методы эксплойта, не запуская защиту.

Другая заметная эволюция связана с обработкой секретных ключей в вредоносной программе. В предыдущих версиях секретные SSH-серверные ключи были жестко закодированы в текстовом формате и экспортировались в виде файлов, что повышало вероятность обнаружения. Однако SPAWNCHIMERA кодирует эти ключи с помощью функции XOR и не экспортирует их в виде отдельных файлов, тем самым снижая вероятность того, что они оставят заметные следы во время криминалистического анализа.

SPAWNCHIMERA также отличается от своих предшественников, в частности, в том, как она идентифицирует вредоносный трафик. Вместо статических проверок, основанных на жестко заданных значениях, теперь в своих функциях декодирования используется более сложный метод расчета, что усложняет обратное проектирование и анализ. Кроме того, были удалены функции отладки, которые снижали эффективность работы, что еще больше повысило скрытность вредоносного ПО.

#ParsedReport #CompletenessHigh
19-02-2025

#StopRansomware: Ghost (Cring) Ransomware

https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-050a

Report completeness: High

Actors/Campaigns:
Ghost_ransomware (motivation: financially_motivated)

Threats:
Ghost_ransomware
Crypt3r
Wickrme
Hsharada
Rapture
Proxyshell_vuln
Cobalt_strike
Beacon
Sharpzerologon_tool
Sharpgpppass_tool
Badpotato_tool
Godpotato_tool
Mimikatz_tool
Ladon_tool
Sharpshares_tool
Sharpnbtscan_tool
Shadow_copies_delete_technique
Beichendream_tool
Credential_dumping_technique

Industry:
Education, Government, Healthcare, Critical_infrastructure

Geo:
China

CVEs:
CVE-2021-31207 [Vulners]
CVSS V3.1: 6.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2017-0144 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server message block (1.0)

CVE-2010-2861 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe coldfusion (le9.0.1)

CVE-2009-3960 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe blazeds (le3.2)
- adobe coldfusion (7.0.2, 8.0, 8.0.1, 9.0)
- adobe flex data services (2.0.1)
- adobe livecycle (8.0.1, 8.2.1, 9.0)
- adobe livecycle data services (2.5.1, 2.6.1, 3.0)
have more...
CVE-2014-1812 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2)

CVE-2019-0604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint enterprise server (2016)
- microsoft sharepoint foundation (2013)
- microsoft sharepoint server (2010, 2019)

CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2)

CVE-2018-13379 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<1.2.9, 2.0.0)
- fortinet fortios (<5.4.13, <5.6.8, <6.0.5)

CVE-2017-0143 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server message block (1.0)

CVE-2021-34473 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2021-34523 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)


TTPs:
Tactics: 11
Technics: 28

IOCs:
File: 19
Command: 1
Hash: 14
Email: 30

Soft:
Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint, Microsoft Exchange, Windows Defender, ProtonMail

Crypto:
bitcoin

Algorithms:
md5

Functions:
Set-MpPreference

Win API:
NetBIOS

Languages:
powershell

Links:
https://github.com/leitosama/SharpZeroLogon
https://github.com/BeichenDream/GodPotato
https://github.com/BeichenDream/BadPotato
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская группа программ-вымогателей Ghost нацелена на выявление известных уязвимостей в приложениях и системах, используя быстрое внедрение вредоносного ПО Cobalt Strike и множество вариантов программ-вымогателей для вымогательства крупных сумм. Они используют незащищенные системы и методы, отключающие возможности восстановления, что затрудняет восстановление данных. Организациям рекомендуется уделять приоритетное внимание своевременному обновлению, безопасному резервному копированию и защите от фишинга, чтобы снизить риски.
-----

В рекомендациях говорится о серьезной угрозе, исходящей от группы программ-вымогателей, известной как Ghost (также известной как Cring), которая активно использует уязвимости в общедоступных приложениях и операционных системах для взлома сетей в более чем 70 странах. Группа, которая, как полагают, родом из Китая, сосредоточена на получении финансовой выгоды и атакует широкий спектр секторов, включая важнейшую инфраструктуру, здравоохранение, образование, правительство и крупные коммерческие структуры.

Злоумышленники-призраки используют общедоступные уязвимости, в том числе связанные с Fortinet FortiOS (CVE-2018-13379), Adobe ColdFusion (CVE-2010-2861, CVE-2009-3960) и службами Microsoft, включая Exchange и SharePoint (CVE-2021-34473, CVE-2021-34523), в том числе уязвимости, связанные с Fortinet FortiOS (CVE-2018-13379)., CVE-2021-31207). Эти уязвимости используются для получения первоначального доступа к сетям, в первую очередь для систем, которые не были исправлены для устранения этих известных проблем. После использования злоумышленники-призраки развертывают веб-оболочки, используют командную строку Windows и PowerShell для загрузки вредоносного ПО Cobalt Strike Beacon и продолжают устанавливать его на компьютеры жертв.

Было замечено, что злоумышленники-призраки проводят свои атаки с высокой степенью эффективности, часто переходя от первоначального взлома к развертыванию программ-вымогателей в течение одного дня. Обычно они не уделяют особого внимания постоянству, но могут создавать новые локальные и доменные учетные записи или изменять существующие для сохранения доступа. Они активно используют Cobalt Strike для повышения привилегий, выполняя встроенные функции для кражи учетных данных с помощью таких инструментов, как Mimikatz.

В своих операциях с программами-вымогателями Ghost использует несколько вариантов исполняемых файлов-вымогателей, включая Cring.exe, Ghost.exe и Locker.exe, которые шифруют данные жертв и требуют выкуп, который обычно составляет от десятков до сотен тысяч долларов в криптовалюте. Программа-вымогатель предназначена для обхода мер по восстановлению путем отключения службы теневого копирования томов и удаления теневых копий, что делает невозможным восстановление данных без ключа расшифровки.

Кроме того, известно, что злоумышленники-призраки общаются с помощью зашифрованных почтовых сервисов и используют механизмы управления, которые не связаны с регулярно регистрируемыми доменами. Вместо этого они напрямую подключаются к IP-адресам, назначенным их серверам C2, что облегчает прямую загрузку вредоносного ПО. С 2024 года группа также перешла на использование идентификаторов TOX для связи в записках о выкупе, что свидетельствует о продолжающемся совершенствовании методов работы.

Рекомендации по кибербезопасности для снижения рисков включают регулярное и надежное резервное копирование, своевременное внесение исправлений для устранения известных уязвимостей, сегментацию сети для ограничения перемещения по сети и внедрение многофакторной аутентификации, защищенной от фишинга (MFA), для привилегированного доступа. Организациям настоятельно рекомендуется незамедлительно сообщать о любых инцидентах с программами-вымогателями в соответствующие органы, чтобы помочь в эффективной борьбе с этими угрозами.

#ParsedReport #CompletenessHigh
19-02-2025

An inside look at NSA (Equation Group) TTPs from Chinas lense

https://www.inversecos.com/2025/02/an-inside-look-at-nsa-equation-group.html

Report completeness: High

Actors/Campaigns:
Equation (motivation: cyber_espionage, information_theft)
Apt_c_40 (motivation: cyber_espionage)
Duke

Threats:
Sdelete_tool
Timestomp_technique
Golden_saml_technique
Iot_reaper
Mirai
Qealler
Slingshot
Steganography_technique
Stuxnet
Foxacid
Nopen
Shadow_brokers_tool
Spear-phishing_technique
Mitm_technique
Island_tool
Seconddate
Flame_spray
Foxacid_tool
Cunning_heretics
Stoic_surgeon
Credential_harvesting_technique
Toast_bread_tool
Anydesk_tool

Victims:
Northwestern polytechnical university

Industry:
Foodtech, Telco, Aerospace, Education, Healthcare, Iot

Geo:
Russia, Denmark, Poland, Sweden, Chinese, Japan, Australia, American, Chinas, Germany, Netherlands, Taiwan, Egypt, China, Czech, Asia, Russian, Korea, Ukraine, Usa, Colombia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1557, T1190, T1003, T1573, T1070, T1219

IOCs:
File: 11
Hash: 3
Path: 1

Soft:
azure ad, chrome, linux, adfs, office 365, office365, FireFox, Android, Gmail, JunOS, have more...

Algorithms:
md5, sha1, sha256

Win API:
ntsetinformationkey

Win Services:
NTLMSSP

Languages:
objective_c

Platforms:
arm, x86, intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Equation из АНБ нацелилась на Северо-Западный политехнический университет Китая, используя более 40 разновидностей вредоносных программ в рамках сложной операции, включающей MiTM-атаки и точечный фишинг, используя для кражи данных такие инструменты, как NOPEN и SECONDDATE. Их тактика включала использование законных учетных данных для доступа к сети и поддержание постоянства с помощью бэкдоров, в то время как операции были скрыты с помощью зашифрованной связи и нескольких прокси-серверов.
-----

В ходе недавнего расследования китайских отчетов о кибербезопасности стало известно о предполагаемых кибероперациях АНБ, в частности о тех, которые приписываются Equation Group (APT-C-40). Этот анализ основан на обширных исследованиях, проведенных в различных китайских изданиях по кибербезопасности, включая отчеты Qihoo 360 и Национального центра экстренного реагирования на компьютерные вирусы (CVERC). Похоже, что АНБ нацелилось на Северо-Западный политехнический университет Китая, используя различные сложные методы и инструменты, которые, вероятно, способствуют краже данных и шпионажу.

В кибератаке на университет было задействовано более 40 различных видов вредоносных программ, и она была осуществлена с помощью подразделения специального доступа АНБ (TAO). Злоумышленники использовали комбинацию тактик, методов и процедур (TTP), включая атаки MiTM (Man-in-the-Middle) и фишинговые кампании spear. Эти попытки фишинга, в частности, были замаскированы под электронные письма, в которых обсуждался "обзор научных исследований", и были нацелены на сотрудников университетов и студентов путем внедрения вредоносных программ. Примечательно, что операция проводилась в обычное рабочее время в Соединенных Штатах, что свидетельствует о скоординированной атаке.

Критически важными для этой операции были четыре IP-адреса, которые, как сообщается, были получены АНБ через компании-прикрытия. Среди вредоносных программных платформ, использованных при атаке, был выделен "NOPEN", поскольку для его реализации требуется участие человека. Специальные инструменты, такие как "SECONDDATE", использовались для перехвата внутреннего сетевого трафика и перенаправления его на платформу FOXACID АНБ, известную благодаря использованию браузера. Кроме того, для получения первоначального доступа был использован эксплойт для систем Solaris, использующих платформу "ISLAND". Оказавшись внутри сети, АНБ использовало бэкдоры и инструменты сброса учетных данных, чтобы обеспечить постоянство.

Кроме того, злоумышленники использовали стратегии, позволяющие скрыть свои перемещения в сети. Для проникновения в брандмауэры использовались подлинные учетные данные, в то время как инструменты, способные перехватывать учетные данные SSH и Telnet, облегчали дальнейший доступ. При внедрении вредоносных программ использовались сложные варианты, такие как FLAME SPRAY и STOIC SURGEON, предназначенные для поддержания контроля и уклонения от обнаружения. Защита их обратной связи с серверами командования и контроля (C2) осуществлялась по зашифрованным каналам, а извлечение данных осуществлялось с помощью инструментов, специально разработанных для конфиденциальных телекоммуникационных данных и данных, связанных с обороной.

Использование нескольких прокси-серверов для маршрутизации данных не только скрыло источник атаки, но и продемонстрировало многоуровневый подход к обеспечению операционной безопасности. Китайский криминалистический анализ позволил выявить четкие закономерности на разных этапах атаки, а также получить представление о времени работы, что подчеркивает сотрудничество в ходе расследования этих кибератак. Информация, связанная с этими методами, дает представление о APT и их эксплуатационных возможностях, вызывая дискуссии об эволюционирующих методологиях реагирования на инциденты и протоколах безопасности.

#ParsedReport #CompletenessLow
20-02-2025

Weathering the storm: In the midst of a Typhoon

https://blog.talosintelligence.com/salt-typhoon-analysis/

Report completeness: Low

Actors/Campaigns:
Ghostemperor

Threats:
Lolbin_technique
Jumbledpath_tool

Victims:
Telecommunications companies

Industry:
Government, Telco, Education

CVEs:
CVE-2024-20399 [Vulners]
CVSS V3.1: 6.7,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco nx-os (6.2\(2\), 6.2\(2a\), 6.2\(6\), 6.2\(6a\), 6.2\(6b\))

CVE-2023-20273 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios xe (<17.3.8a, <17.6.6a, <17.9.4a)

CVE-2018-0171 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios (15.2\(5\)e)

CVE-2023-20198 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios xe (<16.12.10a, <17.3.8a, <17.6.6a, <17.9.4a)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1070, T1190, T1040, T1090

IOCs:
File: 1
IP: 2

Soft:
Linux

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Salt Typhoon, опытный хакер, нацелился на телекоммуникационные компании США, используя кражу учетных данных и методы "жизни за пределами страны". Они манипулируют конфигурациями устройств Cisco и используют специальный инструмент JumbledPath для скрытой утечки данных. Cisco рекомендует усилить меры безопасности, включая отключение ненужных служб и внедрение политики надежных паролей.
-----

Компания Cisco Talos сообщила о продолжающихся кампаниях по вторжению в телекоммуникационные компании США, которые, как утверждается, были совершены опытным хакером, известным как Salt Typhoon. Эти атаки позволили хакеру получить доступ к базовой сетевой инфраструктуре, что позволило собрать обширную информацию. Примечательно, что только один случай подтвердил использование конкретной уязвимости Cisco (CVE-2018-0171), в то время как большинство инцидентов были связаны с получением хакером законных учетных данных для входа в систему.

Salt Typhoon продемонстрировал длительную устойчивость, сохранив доступ к оборудованию различных поставщиков, причем один случай свидетельствовал о более чем трехлетнем необнаруженном присутствии в сети. Злоумышленник в значительной степени полагался на методы "живого взаимодействия", используя существующее программное обеспечение и конфигурации, чтобы избежать обнаружения и действовать скрытно в целевых средах. Большинство рассмотренных инцидентов не включали обнаружение новых уязвимостей Cisco. Хотя поступали заявления о злоупотреблении тремя другими известными уязвимостями Cisco, никаких существенных доказательств в поддержку этих утверждений найдено не было.

Тактика вредоносного ПО, применяемая Salt Typhoon, включала в себя переключение со скомпрометированных устройств в рамках одной телекоммуникационной сети на другие, используя эти исходные точки в основном для утечки данных. Хакер манипулировал конфигурациями устройств, особенно теми, которые связаны с Bash и Guest Shell, виртуальной средой на базе Linux на устройствах Cisco, позволяя выполнять команды Linux. Они создали несанкционированные SSH-серверы на высоких портах для обеспечения постоянного доступа, а также изменили учетные записи системных пользователей для дальнейшего повышения привилегий.

Важным инструментом в их арсенале является пользовательская утилита под названием JumbledPath, которая позволяет удаленно перехватывать пакеты через взломанное устройство, устанавливая ряд соединений, определенных участниками. Этот инструмент, написанный на Go и скомпилированный в виде двоичного файла ELF, предназначен для сокрытия исходного источника запроса и конечного пункта назначения. Он помогает хакеру работать незамеченным в сетях нескольких поставщиков, что было подтверждено его присутствием на скомпрометированных устройствах Cisco Nexus.

Что касается защитных мер, Cisco рекомендует организациям отключать ненужные службы, которые могут подвергать оборудование угрозам, включая незашифрованный веб-сервер и доступ по Telnet. Решающее значение имеет использование SSH для всех протоколов управления, отключение гостевой консоли, если это не требуется, и внедрение обновленных и сложных политик паролей. Организациям настоятельно рекомендуется следовать строгим протоколам безопасности, которые включают частое обновление систем, разделение сетей и использование многофакторной аутентификации в точках доступа.

В ходе этого мониторинга появились дополнительные сообщения об атаках с использованием функции Smart Install со ссылками на CVE-2018-0171. Однако, похоже, что эти действия не связаны с кампанией Salt Typhoon и не связаны с известным хакером. Следовательно, это подчеркивает необходимость исправления известных уязвимостей и защиты даже некритичных устройств, чтобы они не могли использоваться в качестве шлюзов для доступа к более критичным системам.

#ParsedReport #CompletenessMedium
20-02-2025

LightSpy Expands Command List to Include Social Media Platforms

https://hunt.io/blog/lightspy-malware-targets-facebook-instagram

Report completeness: Medium

Threats:
Lightspy
Watering_hole_technique
Deepdata

Victims:
Facebook, Instagram, Telegram, Qq, Wechat, Whatsapp, Line

Geo:
Hong kong

ChatGPT TTPs:
do not use without manual check
T1189, T1190, T1071

IOCs:
IP: 24
Url: 6
Hash: 19
File: 5
Domain: 1
Path: 4

Soft:
macOS, Linux, Instagram, Telegram, WeChat, WhatsApp, Android, Google Play

Algorithms:
md5

Platforms:
x64, x86