#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа Pterodo от Gamaredon group, в частности ее PteroLNK VBScript, использует сложную систему обфускации, создает постоянные угрозы путем изменения системных настроек и использует вводящие в заблуждение имена файлов для распространения. В нем используются быстрые туннели Cloudflare и средства распознавания скрытых данных для скрытой связи командования и контроля, в первую очередь нацеленные на украинские предприятия в условиях геополитической напряженности.
-----

Экосистема вредоносных программ Pterodo, связанная, в частности, с Gamaredon group, в последнее время является объектом атак в сфере кибербезопасности. Технический анализ показывает, что Gamaredon использует сложный подход при развертывании своей вредоносной программы PteroLNK на VBScript. Эта вредоносная программа использует сложные методы обфускации, которые свидетельствуют о стратегии группы по сокрытию своих оперативных целей. После выполнения основной PteroLNK VBScript динамически генерирует две дополнительные полезные нагрузки: загрузчик и LNK-дроппер, чтобы обеспечить постоянство и избежать обнаружения.

Вредоносная программа PteroLNK предназначена для изменения системных настроек, чтобы скрыть свою активность, создавая постоянное присутствие путем выполнения запланированных задач. После выполнения она может заменять законные файлы и папки вредоносными ярлыками, скрывая при этом исходные документы. Такое поведение позволяет вредоносному ПО распространяться по сети, используя общие диски и вводя пользователей в заблуждение, заставляя их запускать видимые файлы-приманки, используя стеганографию в виде имен файлов военной тематики для маскировки своих намерений. Вредоносная программа использует wscript.exe в своем пути выполнения, что свидетельствует о ее основных функциях и манипулировании настройками проводника Windows.

Инфраструктура командования и контроля (C2) Gamaredon отличается своей избыточностью и адаптивностью. Группа использует быстрые туннели Cloudflare для маскировки своих коммуникаций C2, что обеспечивает скрытность операций и большую устойчивость к попыткам обнаружения. Инфраструктура включает в себя средства распознавания скрытых данных (DDR), которые жестко запрограммированы в вредоносном ПО и служат первыми точками связи для скомпрометированных систем. Использование DDRS позволяет Gamaredon часто обновлять свои каналы связи, повышая устойчивость к нарушениям со стороны правоохранительных органов и кибербезопасности.

Географически образцы вредоносного ПО, упомянутые в этом отчете, были сосредоточены в Украине и нацелены на правительственные, военные и важнейшие объекты инфраструктуры. Это согласуется с более широкой стратегией Gamaredon по подрыву возможностей Украины в условиях сохраняющейся геополитической напряженности. Примечательно, что приманки военной тематики, используемые в кампаниях фишинга, были одинаковыми во всех выборках, что еще больше определило тип стратегий нацеливания.

Предположение о причастности к этой деятельности Gamaredon полностью подтверждается, учитывая связи с Федеральной службой безопасности России (ФСБ) и устаревшие домены, часто используемые для связи C2, которые исторически были связаны с их деятельностью. Тактика группы подчеркивает нацеленность на оперативную эффективность, а не на скрытность, о чем свидетельствует низкий уровень обнаружения вредоносных программ с помощью решений для обеспечения безопасности.

Таким образом, группа Gamaredon использует сложный и адаптивный инструментарий для проведения киберопераций, подчеркивая необходимость постоянной бдительности и усиления контрмер среди целевых организаций. Понимание этой тактики будет иметь решающее значение для специалистов по кибербезопасности, чтобы снизить риски, связанные с будущими операциями, связанными с этой группой, и аналогичными возникающими угрозами.

#ParsedReport #CompletenessMedium
16-04-2025

CVE-2025-24054, NTLM Exploit in the Wild

https://research.checkpoint.com/2025/cve-2025-24054-ntlm-exploit-in-the-wild/

Report completeness: Medium

Actors/Campaigns:
Uac-0194
Fancy_bear

Threats:
Passthehash_technique
Mitm_technique

Victims:
Government, Private institutions

Industry:
Government

Geo:
Ukraine, Bulgaria, Turkey, Russian, Polish, Australia, Romanian, Poland, Netherlands, Russia, Romania

CVEs:
CVE-2025-24054 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-24071 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-43451 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20826)
- microsoft windows 10 1607 (<10.0.14393.7515)
- microsoft windows 10 1809 (<10.0.17763.6532)
- microsoft windows 10 21h2 (<10.0.19044.5131)
- microsoft windows 10 22h2 (<10.0.19045.5131)
have more...

ChatGPT TTPs:
do not use without manual check
T1557.002, T1078, T1078.003

IOCs:
IP: 2
File: 2
Email: 9
Hash: 5

Soft:
Dropbox, Windows Explorer, SMB server

Wallets:
harmony_wallet

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-24054 - это критическая уязвимость, позволяющая раскрыть хэш NTLM, которая используется с помощью специально созданного файла .library-ms. Злоумышленники нацеливаются на пользователей с помощью вредоносных рассылок, компрометируя системы с помощью аутентификации SMB с минимальным взаимодействием, что приводит к потенциальному перехвату учетных данных.
-----

CVE-2025-24054 - это критическая уязвимость, которая позволяет раскрыть хэш NTLM с помощью метода подмены, в основном используемого с помощью вредоносно созданного файла .library-ms. Впервые было замечено, что уязвимость активно эксплуатировалась 19 марта 2025 года, всего через несколько дней после того, как Microsoft выпустила исправление для этой уязвимости 11 марта 2025 года. Эксплойт может привести к утечке хэшей NTLM или паролей пользователей, что может привести к компрометации уязвимых систем. Использование требует минимального взаимодействия с пользователем; оно может быть запущено простым щелчком правой кнопки мыши или переходом к папке, содержащей вредоносный файл, что инициирует отправку запроса проверки подлинности с блокировкой сообщений сервера (SMB) на удаленный сервер.

Первоначально целью атаки были государственные и частные учреждения в Польше и Румынии, которые использовали вредоносные кампании по рассылке спама, содержащие ссылки на архивы, размещенные в Dropbox. После извлечения этих архивов пользователи непреднамеренно запустили эксплойт. Первая известная кампания, использующая эту уязвимость, была связана с использованием архива Dropbox “xd.zip”, который содержал файлы, предназначенные для использования уязвимости CVE-2025-24054. Кроме того, целью этих атак был сбор хэшей NTLMv2-SSP с использованием скомпрометированных SMB-серверов, расположенных в нескольких странах, включая Россию и Болгарию.

NTLM, или New Technology LAN Manager, - это протокол аутентификации Microsoft, который претерпел несколько модификаций, при этом NTLMv2 значительно повысил безопасность по сравнению со своим предшественником, NTLMv1. Однако, если злоумышленники перехватывают ответы NTLMv2, они могут проводить автономные атаки методом перебора или ретрансляции, используя захваченные хэши для аутентификации в качестве законных пользователей в сети. Последствия этих атак особенно серьезны, когда злоумышленник использует учетные данные привилегированных пользователей для горизонтального перемещения по сети.

Методология атак в этих кампаниях свидетельствовала о растущей изощренности хакеров, использующих как ранее исправленные уязвимости, такие как CVE-2024-43451, так и недавно обнаруженные бреши, такие как CVE-2025-24054. Архитектура, лежащая в основе этих эксплойтов, основана на оперативности, с которой хакеры могут адаптироваться к недавно обнаруженным уязвимостям, что подчеркивает настоятельную необходимость в эффективных стратегиях управления исправлениями для защиты среды от быстро меняющихся векторов атак. Учитывая, что некоторые методы использования не требуют непосредственных действий пользователя, риски повышаются, что требует от организаций осведомленности и быстрого реагирования для снижения вероятности успешных взломов.

#technique

Connexion API Memory Horse Implant Research

https://mp-weixin-qq-com.translate.goog/s/5sU_8sWyYzJyQg3HLPgxhg?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp

#ParsedReport #CompletenessMedium
17-04-2025

UNC5221s Latest Exploit: Weaponizing CVE-2025-22457 in Ivanti Connect Secure

https://www.picussecurity.com/resource/blog/unc5221-cve-2025-22457-ivanti-connect-secure

Report completeness: Medium

Actors/Campaigns:
Unc5221 (motivation: cyber_espionage, information_theft)
Dragonfish

Threats:
Process_injection_technique
Trailblaze
Code_cave_technique
Brushfire
Spawnsloth
Dryhook
Warpwire
Credential_harvesting_technique
Nmap_tool
Spawnsnare_tool
Pysoxy_tool

Industry:
Government, Ics

Geo:
Chinese, China

CVEs:
CVE-2025-22457 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (<22.7)
- ivanti neurons for zero-trust access (-, 22.2, 22.3, 22.4, 22.5)
- ivanti policy secure (<22.7)


TTPs:
Tactics: 7
Technics: 18

Soft:
Ivanti, Active Directory, Linux

Algorithms:
base64, aes, rc4

Languages:
python, perl, javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Связанная с Китаем группа кибершпионажа UNC5221 использует CVE-2025-22457 в защищенных VPN-сетях Ivanti Connect для удаленного выполнения кода и внедряет вредоносное ПО TRAILBLAZE для внедрения бэкдора BRUSHFIRE. Они сосредоточены на сборе учетных данных с помощью DRYHOOK и используют встроенные инструменты сканирования, облегчающие боковое перемещение и эксфильтрацию данных, в то же время избегая обнаружения за счет манипулирования журналами. Организациям следует модернизировать устройства ICS для предотвращения подобных атак.
-----

Группа кибершпионажа UNC5221, связанная с Китаем, активно использует уязвимости в устройствах Ivanti Connect Secure (ICS) VPN с марта 2025 года, в частности, используя CVE-2025-22457. Это критическое переполнение буфера на основе стека позволяет выполнять несанкционированное удаленное выполнение кода в непатченных версиях ICS (22.7R2.5 и более ранних) и в устаревших версиях Pulse Connect Secure, подверженных уязвимостям. Изначально Ivanti недооценил серьезность уязвимости, посчитав, что ее невозможно использовать, и 11 февраля 2025 года выпустил патч, который в UNC5221, вероятно, был переработан для создания сложного пользовательского эксплойта.

Как только цель скомпрометирована, UNC5221 использует ряд встроенных в память программ для развертывания вредоносных программ, в частности, программу-дроппер TRAILBLAZE, которая незаметно внедряет бэкдор, известный как BRUSHFIRE, в процесс веб-службы ICS. Такой тактический подход позволяет злоумышленникам сохранять присутствие с удаленным доступом, не оставляя значительных артефактов в системе, что затрудняет усилия по обнаружению. Они используют различные методы для очистки журналов и подавления мер безопасности, включая развертывание инструмента под названием SPAWNSLOTH для управления службами ведения журнала на устройстве.

Сбор учетных данных является основной задачей UNC5221, которая использует несколько методов для сбора конфиденциальной информации. Вредоносная программа DRYHOOK, предназначенная для кражи учетных данных, перехватывает имена пользователей и пароли VPN, изменяя процесс аутентификации. Они также внедрили анализаторы на основе JavaScript и извлекли из устройства кэшированные базы данных учетных данных, чтобы еще больше расширить свои возможности доступа. Это обеспечивает горизонтальное перемещение по сети, позволяя UNC5221 запрашивать Active Directory организаций с помощью украденных учетных данных учетной записи службы LDAP, что позволяет получить более глубокое представление о целевых средах.

На этапе рекогносцировки UNC5221 использует взломанное устройство VPN для проведения сканирования внутренней сети, используя такие инструменты, как nmap, для сканирования портов и служб, и подключается к службам каталогов для детального отображения учетных записей пользователей и системы. Это подготавливает их к последующему этапу фильтрации данных, на котором они собирают конфиденциальные журналы, данные сеанса и конфигурации с устройства VPN и внутренних систем. Утечка данных осуществляется с помощью малозаметных методов, включая маскировку украденных файлов под законный веб-контент, чтобы они не выделялись из обычного трафика, использование зашифрованных туннелей и использование трафика из самой скомпрометированной инфраструктуры.

Для устранения угроз, связанных с UNC5221, организациям рекомендуется обновить все устройства ICS до версии 22.7 R2.6 или более поздней и вывести из эксплуатации неподдерживаемые устройства Pulse Connect Secure. Внедрение надежного мониторинга необычного поведения, усиление механизмов аутентификации и обеспечение ограниченных прав доступа для учетных записей служб также являются важными стратегиями защиты от уклонения от обнаружения и перемещения в сторону, чему способствуют скомпрометированные устройства. В целом, UNC5221 является примером передовой тактики, присущей субъектам национального государства, что делает их серьезной угрозой как для правительственных, так и для частных организаций.

#ParsedReport #CompletenessMedium
17-04-2025

Threat Spotlight: Hijacked and Hidden: New Backdoor and Persistence Technique - ReliaQuest

https://reliaquest.com/blog/threat-spotlight-hijacked-and-hidden-new-backdoor-and-persistence-technique/

Report completeness: Medium

Actors/Campaigns:
Storm_1811
Stac5777
Blackbasta

Threats:
Blackbasta
Com_hijacking_technique
Microsoft_quick_assist_tool
Junk_code_technique
Boxter

Industry:
Financial

Geo:
Russian, Latvia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1059.001, T1071.001, T1059.007, T1036

IOCs:
File: 20
IP: 12
Email: 1
Registry: 1
Url: 6

Soft:
Microsoft Teams, Windows Defender Application Control, Component Object Model, Windows Registry, Internet Explorer, Windows Installer, Telegram

Win API:
ShowWindow, ReleaseMutex

Win Services:
WebClient

Languages:
powershell, jscript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый бэкдор PowerShell, связанный с группой Storm-1811, использует фишинговую кампанию с помощью Microsoft Teams, используя для обеспечения сохраняемости перехват COM-кода TypeLib. Вредоносная программа маскирует свое выполнение с помощью JScript и PowerShell, что усложняет обнаружение. Чтобы противостоять таким угрозам, организации должны ограничить внешние коммуникации, внедрить белый список и улучшить параметры безопасности.
-----

Недавние расследования кибератаки выявили появление нового бэкдора PowerShell, связанного с фишинговой кампанией в Microsoft Teams. Цепочка атак, восходящая к хакерской группе Storm-1811, известной внедрением программы-вымогателя Black Basta, включала в себя сложные методы сохранения и новые вредоносные программы, что указывает на эволюцию или возможный раскол внутри группы. Кампания была нацелена в первую очередь на высокопоставленных сотрудников в таких секторах, как финансы и научные услуги, и использовала методы социальной инженерии, которые обходили традиционную защиту электронной почты.

Атака была инициирована с помощью фишинговых сообщений, замаскированных под запросы в ИТ-службу поддержки, отправленные через Microsoft Teams. Получение доступа через эту надежную платформу позволило злоумышленникам использовать законные инструменты Windows, такие как "Quick Assist", для удаленных сеансов. Критически важным для их стратегии был ранее не сообщавшийся метод персистентности, связанный с перехватом COM-кода TypeLib, который изменяет параметры системного реестра для выполнения сценариев с удаленного URL-адреса при доступе к определенным COM-объектам. Этот механизм позволял непрерывно загружать и запускать вредоносные программы, размещенные на таких платформах, как Google Drive.

Недавно обнаруженная вредоносная программа использует комбинацию JScript и PowerShell, которые выполняются скрытым образом. Код JScript отвечает за написание и выполнение команд PowerShell без привлечения внимания пользователей. Затем бэкдор PowerShell устанавливает канал управления (C2), который включает серийный номер жесткого диска скомпрометированного устройства, что еще больше усложняет усилия по обнаружению из-за его запутанного характера и минимального влияния вредоносных программ на таких платформах, как VirusTotal.

Чтобы усилить защиту от подобных атак, организациям рекомендуется ограничить внешние коммуникации в Microsoft Teams и внедрить строгие политики внесения в белые списки. Дополнительные меры безопасности включают блокировку определенных доменов на границе сети, отключение JScript и Windows Script Host с помощью групповой политики и AppLocker, а также строгие настройки контроля приложений защитника Windows, чтобы свести к минимуму возможности, которые могут использовать вредоносные программы. Эти шаги направлены на защиту систем от новых методов, используемых в условиях меняющегося ландшафта угроз, особенно в связи с растущим доверием к инструментам совместной работы, таким как Microsoft Teams.

#ParsedReport #CompletenessLow
17-04-2025

Russian organizations attack Backdor, mimicating under VIPNET updates

https://securelist.ru/new-backdoor-mimics-security-software-update/112326/

Report completeness: Low

Threats:
Trojan.win32.loader.gen

Victims:
Large organizations

Geo:
Russia, Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1059.001, T1105

IOCs:
File: 4
Hash: 3

Soft:
VIPNET

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложный бэкдор нацелен на крупные российские организации через скрытые в них сети Vipnet.LZH архивируется в виде обновлений программного обеспечения. Он использует вредоносный исполняемый файл для загрузки зашифрованной полезной нагрузки, облегчая связь с сервером управления для кражи файлов и развертывания дополнительных вредоносных программ.
-----

В апреле 2025 года расследование кибератаки привело к обнаружению сложного бэкдора, нацеленного на крупные организации в России, особенно в государственном, финансовом и промышленном секторах. Этот бэкдор в первую очередь заражает компьютеры, работающие в сетях Vipnet, которые используются для установления защищенных коммуникаций.

Бэкдор был обнаружен скрытым в архивах с использованием расширения .Файл LZH, имитирующий обновления программного обеспечения для платформы Vipnet. Содержимое этих архивов включало информационный файл (Action.inf), легальный исполняемый файл (lumpdiag.exe) и вредоносный исполняемый файл (msinfo32.exe), а также зашифрованную полезную информацию с переменными именами файлов. В файле Action.inf указано, что при обработке службой обновления Vipnet (ITCSRVUP64.EXE) легитимный исполняемый файл вызывается с помощью команды, которая позволяет запустить вредоносный компонент.

Вредоносный код msinfo32.exe функционирует как загрузчик, извлекая встроенную зашифрованную информацию для загрузки бэкдора в память. Примечательно, что этот бэкдор обладает способностью устанавливать TCP-соединение с сервером управления, что позволяет злоумышленникам красть файлы и развертывать дополнительные вредоносные компоненты. Решения по кибербезопасности, в частности от "Лаборатории Касперского", определили этот бэкдор как Heur: Trojan.win32.loader.gen из-за его поведения и характеристик.

Расследование подчеркивает растущую сложность кибератак, особенно тех, которые организуются APT-группами. Эти злоумышленники используют нетрадиционные методы для проникновения в свои объекты, что требует надежной, многоуровневой стратегии безопасности для защиты от таких сложных угроз. Развертывание многоуровневой архитектуры защиты имеет важное значение для эффективной защиты организаций от подобных атак.

#ParsedReport #CompletenessMedium
17-04-2025

Proton66 Part 2: Compromised WordPress Pages and Malware Campaigns

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/proton66-part-2-compromised-wordpress-pages-and-malware-campaigns/

Report completeness: Medium

Actors/Campaigns:
Mora_001

Threats:
Superblack
Xworm_rat
Strela_stealer
Weaxor
Remcos_rat
Targetcompany

Victims:
Wordpress websites, Android device users, Korean-speaking chat room users, Mozilla thunderbird users, Microsoft outlook users

Industry:
Financial

Geo:
Rus, Germany, French, German, Liechtenstein, Switzerland, Spanish, Luxembourg, Korean, Austria, Korea

ChatGPT TTPs:
do not use without manual check
T1566.002, T1574.002, T1027, T1105, T1547.001, T1041, T1486

IOCs:
IP: 6
File: 4
Url: 2
Hash: 12

Soft:
WordPress, Android, Google Play, Mozilla Thunderbird, Microsoft Outlook

Algorithms:
sha256, base64, zip

Languages:
php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование в отношении Proton66 выявило его связи с группой программ-вымогателей SuperBlack, которые использовали взломанные сайты WordPress для перенаправления пользователей Android на фишинговые домены. К числу известных вредоносных программ относятся кампания XWorm, нацеленная на корейских пользователей чата с помощью социальной инженерии, и программа Strela Stealer, которая удаляет учетные данные электронной почты. Кроме того, программа-вымогатель WeaXor, разновидность Mallox, шифрует файлы, требуя выкуп в криптовалюте, что подчеркивает растущую сложность и угрозу, исходящую от этого субъекта.
-----

Расследование вредоносных действий, связанных с Proton66, выявило важные подробности о различных вредоносных кампаниях и методах эксплуатации, используемых хакерами, в частности, связанных с группой вымогателей SuperBlack и связанными с ней организациями, такими как Mora_001. Важным аспектом этого расследования стало то, что взломанные сайты WordPress были нацелены на пользователей Android. В частности, в феврале 2025 года на взломанных страницах были обнаружены скрипты, которые перенаправляли пользователей устройств Android на фишинговые домены, похожие на Google Play Store. хакеры использовали различные соглашения об именовании, чтобы казаться локализованными, создавая домены, такие как us-playmarket.com и playstors-france.com, ориентированные на пользователей, говорящих на разных языках. Скрипты-перенаправители использовали методы обфускации и выполняли проверки, чтобы отфильтровать нецелевых пользователей, что свидетельствует о сложном подходе к уклонению от обнаружения, при котором скрипты, казалось бы, не были обнаружены на VirusTotal.

Кроме того, анализ показал, что в сети Proton66 был общедоступный ZIP-архив, содержащий ресурсы неустановленного хакера, связанные с кампанией, получившей название XWorm. Эта кампания в основном была нацелена на корейскоязычных пользователей чата, используя тактику социальной инженерии для заражения жертв. Цепочка заражения началась с создания файла быстрого доступа, выполняющего команду PowerShell, которая затем запустила сценарий для загрузки библиотеки .NET DLL в кодировке Base64, что привело к загрузке двоичного файла XWorm. Информация, доступная в архиве, указывала на потенциальное использование взломанного законного программного обеспечения для облегчения атаки.

Кроме того, было обнаружено, что вредоносная программа Strela Stealer использовала сервисы хостинга Proton66 в период с января по февраль 2025 года, нацеливаясь на почтовые клиенты, такие как Mozilla Thunderbird и Microsoft Outlook. Strela Stealer извлекает учетные данные электронной почты и участвует в целенаправленных фишинговых кампаниях, которые ведут к определенному серверу управления.

Наконец, было замечено, что программа-вымогатель WeaXor, модифицированная версия Mallox, работает в сети Proton66, шифруя файлы с помощью суффикса ".wex". В записке с требованием выкупа содержался уникальный идентификатор жертвы и требовались 2000 долларов в криптовалюте за расшифровку.

Использование хакерами целого ряда скомпрометированных платформ и сложных методов перенаправления указывает на растущий уровень угроз, что требует принятия строгих защитных мер против диапазонов CIDR, связанных с Proton66, для снижения потенциальных рисков.

#ParsedReport #CompletenessLow
17-04-2025

APT PROFILE EARTH ESTRIES

https://www.cyfirma.com/research/apt-profile-earth-estries-2/

Report completeness: Low

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage)

Threats:
Dll_sideloading_technique
Cobalt_strike
Hemigate
Ghostspide
Zingdoor
Masol
Snappybe
Demodex_tool
Ghostspider
Deed_rat
Proxylogon_exploit
Lolbin_technique
Psexec_tool
Crowdoor
Portscan_tool
Trillclient

Industry:
Chemical, Military, Ngo, Telco, Aerospace, Government, Transport, Critical_infrastructure, Iot

Geo:
Germany, Thailand, Taiwan, Chinese, Asia, Canada, Singapore, South africa, Indonesia, Afghanistan, Philippines, Malaysia, Pakistan, Apac, Vietnam, India, Middle east, Brazil, America

CVEs:
CVE-2024-20399 [Vulners]
CVSS V3.1: 6.7,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco nx-os (6.2\(2\), 6.2\(2a\), 6.2\(6\), 6.2\(6a\), 6.2\(6b\))

CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient enterprise management server (<7.0.11, <7.2.3)

CVE-2023-20198 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios xe (<16.12.10a, <17.3.8a, <17.6.6a, <17.9.4a)

CVE-2022-3236 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos firewall (le19.0.1)

CVE-2023-20273 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios xe (16.1.1, 16.1.2, 16.1.3, 16.2.1, 16.2.2)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)


ChatGPT TTPs:
do not use without manual check
T1190, T1059.001, T1574.002, T1070.004, T1071.001, T1071.004, T1566.001, T1041

Soft:
Microsoft Exchange, Ivanti, PSEXEC, curl

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4