CTT Report Hub
#ParsedReport #CompletenessLow 03-06-2025 The Transparent Tribe Vibe: APT36 Returns With CapraRAT Impersonating Viber https://www.cloudsek.com/blog/the-transparent-tribe-vibe-apt36-returns-with-caprarat-impersonating-viber Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT36, или Transparent Tribe, использует инфраструктуру Contabo для размещения вредоносных программ CapraRAT и Crimson RAT, причем первая из них замаскирована под приложение Viber, что обеспечивает широкие возможности для наблюдения. Тактика группы заключается в использовании знакомых приложений для социальной инженерии для повышения эффективности вторжения.
-----
Было обнаружено, что APT36, также известный как Transparent Tribe, использует инфраструктуру VPS-провайдера Contabo для размещения вредоносных действий, связанных с трояном удаленного доступа для Android (RAT) CapraRAT, а также для целей Windows, использующих Crimson RAT. Недавние события указывают на усовершенствованную тактику, при которой группа теперь маскирует вредоносное по CapraRAT под законное приложение для обмена сообщениями Viber. Этот вредоносный вариант оснащен широкими правами доступа, которые позволяют записывать аудио, читать текстовые сообщения, отслеживать местоположение устройства и получать доступ к контактам и истории звонков.
Расследование, проведенное CloudSEK, показало, что APT36 по-прежнему отдает предпочтение Contabo в плане предоставления услуг хостинга и DNS, которые также были отмечены в предыдущем отчете об их усилиях по распространению CapraRAT. CapraRAT сам по себе является модифицированной версией AndroRAT с открытым исходным кодом. Чтобы выявить дополнительные потенциальные угрозы, был выполнен запрос Censys для определения местонахождения любой командно-диспетчерской инфраструктуры Crimson RAT, также использующей услуги Contabo. Проверка этих результатов была проведена с помощью VirusTotal, которая выявила значительные совпадения в тактике, методах и процедурах (TTP), связанных с APT36.
Более того, было обнаружено, что среди идентифицированной инфраструктуры один IP-адрес, обозначенный как Crimson RAT command-and-control, часто использовался APT36 для прошлых вредоносных операций. Детальный анализ файлов, передаваемых с этого IP-адреса, выявил несколько вредоносных пакетов APK, два из которых имеют общее название "com.moves.media.tubes", что тесно связано с кампаниями APT36 в этом году. Один конкретный пример был примечателен тем, что он выдавал себя за Viber, используя различные разрешения, которые предоставляют широкие возможности для наблюдения за зараженными устройствами.
Эти разрешения включают в себя возможность контролировать исходящие звонки, записывать аудио, читать и перехватывать SMS-сообщения, получать доступ к камере и контактным данным, точно отслеживать местоположение и управлять учетными записями. Этот особый подход, сочетающий стратегии социальной инженерии с законной маскировкой приложений, подчеркивает неустанное стремление APT36 использовать уязвимости, одновременно используя знакомую цифровую среду для повышения вероятности успешных вторжений. Полученные данные указывают на сохраняющуюся угрозу, исходящую от APT36, что требует принятия бдительных мер кибербезопасности для снижения подверженности таким изощренным вредоносным действиям.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT36, или Transparent Tribe, использует инфраструктуру Contabo для размещения вредоносных программ CapraRAT и Crimson RAT, причем первая из них замаскирована под приложение Viber, что обеспечивает широкие возможности для наблюдения. Тактика группы заключается в использовании знакомых приложений для социальной инженерии для повышения эффективности вторжения.
-----
Было обнаружено, что APT36, также известный как Transparent Tribe, использует инфраструктуру VPS-провайдера Contabo для размещения вредоносных действий, связанных с трояном удаленного доступа для Android (RAT) CapraRAT, а также для целей Windows, использующих Crimson RAT. Недавние события указывают на усовершенствованную тактику, при которой группа теперь маскирует вредоносное по CapraRAT под законное приложение для обмена сообщениями Viber. Этот вредоносный вариант оснащен широкими правами доступа, которые позволяют записывать аудио, читать текстовые сообщения, отслеживать местоположение устройства и получать доступ к контактам и истории звонков.
Расследование, проведенное CloudSEK, показало, что APT36 по-прежнему отдает предпочтение Contabo в плане предоставления услуг хостинга и DNS, которые также были отмечены в предыдущем отчете об их усилиях по распространению CapraRAT. CapraRAT сам по себе является модифицированной версией AndroRAT с открытым исходным кодом. Чтобы выявить дополнительные потенциальные угрозы, был выполнен запрос Censys для определения местонахождения любой командно-диспетчерской инфраструктуры Crimson RAT, также использующей услуги Contabo. Проверка этих результатов была проведена с помощью VirusTotal, которая выявила значительные совпадения в тактике, методах и процедурах (TTP), связанных с APT36.
Более того, было обнаружено, что среди идентифицированной инфраструктуры один IP-адрес, обозначенный как Crimson RAT command-and-control, часто использовался APT36 для прошлых вредоносных операций. Детальный анализ файлов, передаваемых с этого IP-адреса, выявил несколько вредоносных пакетов APK, два из которых имеют общее название "com.moves.media.tubes", что тесно связано с кампаниями APT36 в этом году. Один конкретный пример был примечателен тем, что он выдавал себя за Viber, используя различные разрешения, которые предоставляют широкие возможности для наблюдения за зараженными устройствами.
Эти разрешения включают в себя возможность контролировать исходящие звонки, записывать аудио, читать и перехватывать SMS-сообщения, получать доступ к камере и контактным данным, точно отслеживать местоположение и управлять учетными записями. Этот особый подход, сочетающий стратегии социальной инженерии с законной маскировкой приложений, подчеркивает неустанное стремление APT36 использовать уязвимости, одновременно используя знакомую цифровую среду для повышения вероятности успешных вторжений. Полученные данные указывают на сохраняющуюся угрозу, исходящую от APT36, что требует принятия бдительных мер кибербезопасности для снижения подверженности таким изощренным вредоносным действиям.
#ParsedReport #CompletenessHigh
03-06-2025
OtterCookie Malware Analysis and Distribution
https://any.run/cybersecurity-blog/ottercookie-malware-analysis/
Report completeness: High
Actors/Campaigns:
Lazarus
Contagious_interview
Dev_popper
Threats:
Ottercookie
Invisibleferret
Beavertail
Anydesk_tool
Credential_dumping_technique
Geo:
Finland, Dprk, North korean
TTPs:
IOCs:
Url: 1
Domain: 1
IP: 2
File: 3
Hash: 4
Soft:
Node.js, macOS, Ubuntu, Google Chrome, Opera, Mozilla Firefox, Firefox, Unix
Wallets:
exodus_wallet
Crypto:
solana
Algorithms:
sha256
Functions:
require
Win Services:
bits
Languages:
javascript, python
Platforms:
cross-platform
03-06-2025
OtterCookie Malware Analysis and Distribution
https://any.run/cybersecurity-blog/ottercookie-malware-analysis/
Report completeness: High
Actors/Campaigns:
Lazarus
Contagious_interview
Dev_popper
Threats:
Ottercookie
Invisibleferret
Beavertail
Anydesk_tool
Credential_dumping_technique
Geo:
Finland, Dprk, North korean
TTPs:
IOCs:
Url: 1
Domain: 1
IP: 2
File: 3
Hash: 4
Soft:
Node.js, macOS, Ubuntu, Google Chrome, Opera, Mozilla Firefox, Firefox, Unix
Wallets:
exodus_wallet
Crypto:
solana
Algorithms:
sha256
Functions:
require
Win Services:
bits
Languages:
javascript, python
Platforms:
cross-platform
ANY.RUN's Cybersecurity Blog
OtterCookie: Analysis of New Lazarus Group Malware
Explore in-depth technical analysis of OtterCookie, a new North Korean Lazarus APT malware that steals victims' crypto and credentials.
CTT Report Hub
#ParsedReport #CompletenessHigh 03-06-2025 OtterCookie Malware Analysis and Distribution https://any.run/cybersecurity-blog/ottercookie-malware-analysis/ Report completeness: High Actors/Campaigns: Lazarus Contagious_interview Dev_popper Threats: Ottercookie…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
OtterCookie - это вредоносная программа-похититель, связанная с Lazarus Group, нацеленная на учетные данные и криптовалюту с помощью обманчивых предложений о работе. Он использует запутанный JavaScript для сокрытия вредоносных действий, таких как утечка данных через сервер C2 в США, и загружает программу InvisibleFerret RAT для постоянного доступа. Вредоносная программа использует тактику платформы MITRE ATT&CK, такую как сброс учетных данных и эксфильтрация данных, что указывает на растущие угрозы в технологическом и финансовом секторах.
-----
OtterCookie - это недавно обнаруженная вредоносная программа-похититель, связанная с Lazarus Group, северокорейским хакером, спонсируемым государством. В первую очередь она нацелена на учетные данные, криптокошельки и конфиденциальные данные лиц, работающих в технологическом и финансовом секторах. Эта вредоносная программа распространяется обманным путем, маскируясь под простую внештатную задачу по написанию кода и используя чисто выглядящие Node.js хранилища, чтобы свести к минимуму подозрения. Кампания, получившая название "Заразительное интервью", включает в себя тактику социальной инженерии, включая поддельные предложения о работе и проблемы с кодированием.
Вредоносная программа сама по себе является сложной и использует сильно запутанный код JavaScript, чтобы избежать обнаружения. Она запускается с помощью уникальной последовательности инициализации, которая использует преднамеренные ошибки для запуска загрузки вредоносного кода с удаленного сервера. В частности, после настройки сервера Node.js он имитирует ошибку в коде, которая побуждает вредоносную программу загружать и выполнять дополнительную полезную нагрузку из внешнего API. Этот метод демонстрирует творческий подход к развертыванию вредоносного ПО, повышая его шансы остаться незамеченным.
OtterCookie нацелен на различные типы конфиденциальных данных, включая учетные данные браузера, хранящиеся в разных профилях, цепочки для ключей macOS и информацию о криптовалютных кошельках, таких как Solana и Exodus. После сбора необходимых данных OtterCookie отправляет их на сервер командно-диспетчерского управления (C2), расположенный в США, через порт 1224 - метод, соответствующий более ранним кампаниям Lazarus, таким как Beavertail и InvisibleFerret. Вредоносная программа сжимает украденные данные перед их отправкой, используя знакомые имена файлов и методы, которые использовались при предыдущих атаках.
Кроме того, после первоначальной фильтрации данных OtterCookie приступает к следующему этапу атаки, загружая троянскую программу удаленного доступа InvisibleFerret (RAT), которая помогает поддерживать постоянный доступ к скомпрометированным системам. Этот прогресс демонстрирует взаимосвязанность семейств вредоносных программ в рамках операций Lazarus Group, а также их постоянное внимание к краже, связанной с криптовалютами, что облегчает отмывание денег и обеспечивает анонимность.
Поведение вредоносного ПО соответствует нескольким тактикам, описанным в платформе MITRE ATT&CK, таким как обнаружение системной информации, сброс учетных данных операционной системы и использование протоколов прикладного уровня для эксфильтрации. Эволюция OtterCookie усиливает необходимость в постоянной бдительности, поскольку хакеры становятся все более изощренными и прибегают к обману, особенно с помощью социальной инженерии и нацеливания на сектора с высокой добавленной стоимостью.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
OtterCookie - это вредоносная программа-похититель, связанная с Lazarus Group, нацеленная на учетные данные и криптовалюту с помощью обманчивых предложений о работе. Он использует запутанный JavaScript для сокрытия вредоносных действий, таких как утечка данных через сервер C2 в США, и загружает программу InvisibleFerret RAT для постоянного доступа. Вредоносная программа использует тактику платформы MITRE ATT&CK, такую как сброс учетных данных и эксфильтрация данных, что указывает на растущие угрозы в технологическом и финансовом секторах.
-----
OtterCookie - это недавно обнаруженная вредоносная программа-похититель, связанная с Lazarus Group, северокорейским хакером, спонсируемым государством. В первую очередь она нацелена на учетные данные, криптокошельки и конфиденциальные данные лиц, работающих в технологическом и финансовом секторах. Эта вредоносная программа распространяется обманным путем, маскируясь под простую внештатную задачу по написанию кода и используя чисто выглядящие Node.js хранилища, чтобы свести к минимуму подозрения. Кампания, получившая название "Заразительное интервью", включает в себя тактику социальной инженерии, включая поддельные предложения о работе и проблемы с кодированием.
Вредоносная программа сама по себе является сложной и использует сильно запутанный код JavaScript, чтобы избежать обнаружения. Она запускается с помощью уникальной последовательности инициализации, которая использует преднамеренные ошибки для запуска загрузки вредоносного кода с удаленного сервера. В частности, после настройки сервера Node.js он имитирует ошибку в коде, которая побуждает вредоносную программу загружать и выполнять дополнительную полезную нагрузку из внешнего API. Этот метод демонстрирует творческий подход к развертыванию вредоносного ПО, повышая его шансы остаться незамеченным.
OtterCookie нацелен на различные типы конфиденциальных данных, включая учетные данные браузера, хранящиеся в разных профилях, цепочки для ключей macOS и информацию о криптовалютных кошельках, таких как Solana и Exodus. После сбора необходимых данных OtterCookie отправляет их на сервер командно-диспетчерского управления (C2), расположенный в США, через порт 1224 - метод, соответствующий более ранним кампаниям Lazarus, таким как Beavertail и InvisibleFerret. Вредоносная программа сжимает украденные данные перед их отправкой, используя знакомые имена файлов и методы, которые использовались при предыдущих атаках.
Кроме того, после первоначальной фильтрации данных OtterCookie приступает к следующему этапу атаки, загружая троянскую программу удаленного доступа InvisibleFerret (RAT), которая помогает поддерживать постоянный доступ к скомпрометированным системам. Этот прогресс демонстрирует взаимосвязанность семейств вредоносных программ в рамках операций Lazarus Group, а также их постоянное внимание к краже, связанной с криптовалютами, что облегчает отмывание денег и обеспечивает анонимность.
Поведение вредоносного ПО соответствует нескольким тактикам, описанным в платформе MITRE ATT&CK, таким как обнаружение системной информации, сброс учетных данных операционной системы и использование протоколов прикладного уровня для эксфильтрации. Эволюция OtterCookie усиливает необходимость в постоянной бдительности, поскольку хакеры становятся все более изощренными и прибегают к обману, особенно с помощью социальной инженерии и нацеливания на сектора с высокой добавленной стоимостью.
#ParsedReport #CompletenessLow
03-06-2025
In-depth Analysis of a 2025 ViperSoftX Variant
https://labs.k7computing.com/index.php/in-depth-analysis-of-a-2025-vipersoftx-variant/
Report completeness: Low
Threats:
Vipersoftx
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1027, T1053.005, T1059.001, T1071.001, T1082, T1547.001, T1555.003, T1555.004
IOCs:
File: 2
Hash: 1
Soft:
Task Scheduler, Windows scheduled task, Windows Registry, Keepass, Twitter
Wallets:
exodus_wallet, electrum, metamask, coinbase
Crypto:
binance
Algorithms:
xor, base64
Functions:
Get-ServerID, Get-UserInfo
Win Services:
WebClient
Languages:
powershell
03-06-2025
In-depth Analysis of a 2025 ViperSoftX Variant
https://labs.k7computing.com/index.php/in-depth-analysis-of-a-2025-vipersoftx-variant/
Report completeness: Low
Threats:
Vipersoftx
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1053.005, T1059.001, T1071.001, T1082, T1547.001, T1555.003, T1555.004
IOCs:
File: 2
Hash: 1
Soft:
Task Scheduler, Windows scheduled task, Windows Registry, Keepass, Twitter
Wallets:
exodus_wallet, electrum, metamask, coinbase
Crypto:
binance
Algorithms:
xor, base64
Functions:
Get-ServerID, Get-UserInfo
Win Services:
WebClient
Languages:
powershell
K7 Labs
In-depth Analysis of a 2025 ViperSoftX Variant
Introduction In early 2025, new samples of PowerShell-based malware began appearing across underground forums and threat hunting communities. The sample […]
CTT Report Hub
#ParsedReport #CompletenessLow 03-06-2025 In-depth Analysis of a 2025 ViperSoftX Variant https://labs.k7computing.com/index.php/in-depth-analysis-of-a-2025-vipersoftx-variant/ Report completeness: Low Threats: Vipersoftx TTPs: Tactics: 2 Technics: 0 …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В начале 2025 года появился вариант вредоносного ПО на базе PowerShell, отличающийся улучшенной модульностью, постоянством и скрытностью благодаря трехуровневой стратегии сохранения. Оно эффективно собирает конфиденциальные пользовательские данные и использует шифр XOR для обмена данными C2, что улучшает его производительность и возможности скрытности.
-----
В начале 2025 года на подпольных форумах появился новый вариант вредоносного ПО на базе PowerShell, напоминающий ViperSoftX stealers из 2024 года. Эта последняя версия демонстрирует улучшенные механизмы модульности, скрытности и постоянства, что делает ее более серьезной угрозой. Структурированная логика выполнения вредоносного ПО демонстрирует его модульную конструкцию, которая позволяет ему эффективно выполнять задачи на нескольких этапах, включая инициализацию, настройку сохраняемости и взаимодействие с серверами управления (C2).
В версии 2024 года использовался простой мьютекс для предотвращения запуска нескольких экземпляров, что заставляло его ждать 10 секунд перед выходом, если обнаруживалось, что он уже активен. Однако в более новой версии 2025 года реализована более надежная трехуровневая стратегия сохранения. Он устанавливает запланированную задачу Windows с именем "WindowsUpdateTask", которая гарантирует запуск вредоносного ПО при входе пользователя в систему, а также вносит изменения в реестр для повышения устойчивости к перезагрузкам. Кроме того, он поддерживает улучшенную связь с C2, проверяя, перезапустился ли C2, чтобы сбросить сеанс или получить новые команды, если нет.
Версия 2025 года расширила свои целевые возможности, поддерживая более широкий спектр расширений и приложений для кошельков, таких как Exodus, Atomic, Electrum, а также различные расширения для браузера, включая MetaMask, Binance и Coinbase. Он активно собирает конфиденциальные данные от пользователей, такие как сведения об операционной системе, имена пользователей, IP-адреса и обнаруженные приложения, тем самым расширяя свои функциональные возможности по удалению конфиденциальной информации.
Что касается обмена данными, вредоносная программа использует базовый шифр XOR для шифрования полезной нагрузки, передаваемой на сервер C2, которая затем расшифровывается при получении. Эта стратегия обеспечивает усовершенствованный процесс выполнения, при котором каждая расшифрованная полезная нагрузка выполняется как задание PowerShell. Преимущества таких заданий заключаются в том, что они менее заметны, не блокируют выполнение и имеют возможность тайм-аута, что значительно повышает скрытность и стабильность вредоносного ПО по сравнению с его предшественником.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В начале 2025 года появился вариант вредоносного ПО на базе PowerShell, отличающийся улучшенной модульностью, постоянством и скрытностью благодаря трехуровневой стратегии сохранения. Оно эффективно собирает конфиденциальные пользовательские данные и использует шифр XOR для обмена данными C2, что улучшает его производительность и возможности скрытности.
-----
В начале 2025 года на подпольных форумах появился новый вариант вредоносного ПО на базе PowerShell, напоминающий ViperSoftX stealers из 2024 года. Эта последняя версия демонстрирует улучшенные механизмы модульности, скрытности и постоянства, что делает ее более серьезной угрозой. Структурированная логика выполнения вредоносного ПО демонстрирует его модульную конструкцию, которая позволяет ему эффективно выполнять задачи на нескольких этапах, включая инициализацию, настройку сохраняемости и взаимодействие с серверами управления (C2).
В версии 2024 года использовался простой мьютекс для предотвращения запуска нескольких экземпляров, что заставляло его ждать 10 секунд перед выходом, если обнаруживалось, что он уже активен. Однако в более новой версии 2025 года реализована более надежная трехуровневая стратегия сохранения. Он устанавливает запланированную задачу Windows с именем "WindowsUpdateTask", которая гарантирует запуск вредоносного ПО при входе пользователя в систему, а также вносит изменения в реестр для повышения устойчивости к перезагрузкам. Кроме того, он поддерживает улучшенную связь с C2, проверяя, перезапустился ли C2, чтобы сбросить сеанс или получить новые команды, если нет.
Версия 2025 года расширила свои целевые возможности, поддерживая более широкий спектр расширений и приложений для кошельков, таких как Exodus, Atomic, Electrum, а также различные расширения для браузера, включая MetaMask, Binance и Coinbase. Он активно собирает конфиденциальные данные от пользователей, такие как сведения об операционной системе, имена пользователей, IP-адреса и обнаруженные приложения, тем самым расширяя свои функциональные возможности по удалению конфиденциальной информации.
Что касается обмена данными, вредоносная программа использует базовый шифр XOR для шифрования полезной нагрузки, передаваемой на сервер C2, которая затем расшифровывается при получении. Эта стратегия обеспечивает усовершенствованный процесс выполнения, при котором каждая расшифрованная полезная нагрузка выполняется как задание PowerShell. Преимущества таких заданий заключаются в том, что они менее заметны, не блокируют выполнение и имеют возможность тайм-аута, что значительно повышает скрытность и стабильность вредоносного ПО по сравнению с его предшественником.
#ParsedReport #CompletenessLow
03-06-2025
The Security Risks of Internet-Exposed Solar Power Systems
https://www.forescout.com/blog/the-security-risks-of-internet-exposed-solar-power-systems/
Report completeness: Low
Victims:
Solar power vendors, Device owners
Industry:
Energy
Geo:
China, Netherlands, Portugal, Japan, Germany, Chinese, Asia, Italy, Singapore, Greece, Austria
CVEs:
CVE-2022-40881 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- contec solarview compact firmware (6.00)
CVE-2022-29303 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- contec sv-cpt-mc310 firmware (6.00)
CVE-2023-29919 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- contec solarview compact firmware (le6.0)
CVE-2023-23333 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- contec solarview compact firmware (le6.00)
ChatGPT TTPs:
T1046, T1059, T1068, T1090.003, T1133, T1190, T1583.001
IOCs:
IP: 43
Soft:
Twitter
Functions:
Internet-Exposed
03-06-2025
The Security Risks of Internet-Exposed Solar Power Systems
https://www.forescout.com/blog/the-security-risks-of-internet-exposed-solar-power-systems/
Report completeness: Low
Victims:
Solar power vendors, Device owners
Industry:
Energy
Geo:
China, Netherlands, Portugal, Japan, Germany, Chinese, Asia, Italy, Singapore, Greece, Austria
CVEs:
CVE-2022-40881 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- contec solarview compact firmware (6.00)
CVE-2022-29303 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- contec sv-cpt-mc310 firmware (6.00)
CVE-2023-29919 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- contec solarview compact firmware (le6.0)
CVE-2023-23333 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- contec solarview compact firmware (le6.00)
ChatGPT TTPs:
do not use without manual checkT1046, T1059, T1068, T1090.003, T1133, T1190, T1583.001
IOCs:
IP: 43
Soft:
Functions:
Internet-Exposed
Forescout
The Security Risks of Internet-Exposed Solar Power Systems
Forescout’s Vedere Labs follows up on its solar power grid research to discuss the risks of internet-exposed administrative interfaces in inverters.
CTT Report Hub
#ParsedReport #CompletenessLow 03-06-2025 The Security Risks of Internet-Exposed Solar Power Systems https://www.forescout.com/blog/the-security-risks-of-internet-exposed-solar-power-systems/ Report completeness: Low Victims: Solar power vendors, Device…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Сектор солнечной энергетики выявил 46 новых уязвимостей, особенно в интерфейсах управления удаленными инверторами, причем устройства в основном расположены в Европе. Ботнеты активно используют такие известные уязвимости, как CVE-2022-29303 и CVE-2023-29919, и был выявлен глобальный ландшафт угроз, с целевыми IP-адресами в основном из Сингапура, Германии и Нидерландов.
-----
Растущее использование солнечной энергии привлекло внимание к значительным уязвимостям в области кибербезопасности в этом секторе. Недавнее исследование выявило 46 новых уязвимостей, связанных с системами солнечной энергетики, с акцентом на интерфейсы управления удаленными инверторами, доступ к которым осуществляется через облачные приложения или прямыми методами. В частности, в ходе анализа было выявлено около 35 000 устройств, использующих солнечную энергию, преимущественно в Европе, где расположено 76% этих уязвимых устройств. Примечательно, что за последние два года количество подключенных к Интернету компактных устройств CONTEC SolarView увеличилось на 350%.
Несмотря на стремительный рост солнечной энергетики, уязвимость интерфейсов управления представляет собой существенную угрозу безопасности. Предыдущие выводы указывают на то, что эти интерфейсы могут быть подвержены различным уязвимостям, описанным в отчете SUN:DOWN, некоторые из которых, как сообщается, нацелены на ботнеты. Опрос десяти крупнейших производителей уязвимых устройств показал, что за последнее десятилетие уязвимости были обнаружены в продуктах всех этих компаний; интересно, что такие производители, как Huawei и Ginlong Solis, выделяются своим отсутствием в этом списке, несмотря на их преобладающую долю на рынке. Географическое распределение этих устройств сильно смещено в сторону Европы: на Германию и Грецию приходится по 20% от общего числа устройств, за ними следуют Япония и Португалия (по 9%).
Несколько уязвимостей, обнаруженных в компактных устройствах SolarView, вызывают особую обеспокоенность, поскольку в настоящее время они активно используются ботнетами. К ним относятся CVE-2022-29303, CVE-2022-40881, CVE-2023-23333 и CVE-2023-29919 — три из них классифицируются как уязвимости при внедрении команд, в то время как последняя относится к небезопасным разрешениям. Анализ, объединяющий данные из среды взаимодействия с злоумышленниками и Greynoise, выявил 43 IP-адреса, которые были нацелены на эти уязвимые устройства в течение предыдущего года, причем значительная часть из них была связана с операциями ботнета или поиском слабых мест. Среди них значительное число IP-адресов размещено в таких регионах, как Сингапур (21%), Германия (16%) и Нидерланды (14%), что свидетельствует о глобальной угрозе, влияющей на инфраструктуру солнечной энергетики.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Сектор солнечной энергетики выявил 46 новых уязвимостей, особенно в интерфейсах управления удаленными инверторами, причем устройства в основном расположены в Европе. Ботнеты активно используют такие известные уязвимости, как CVE-2022-29303 и CVE-2023-29919, и был выявлен глобальный ландшафт угроз, с целевыми IP-адресами в основном из Сингапура, Германии и Нидерландов.
-----
Растущее использование солнечной энергии привлекло внимание к значительным уязвимостям в области кибербезопасности в этом секторе. Недавнее исследование выявило 46 новых уязвимостей, связанных с системами солнечной энергетики, с акцентом на интерфейсы управления удаленными инверторами, доступ к которым осуществляется через облачные приложения или прямыми методами. В частности, в ходе анализа было выявлено около 35 000 устройств, использующих солнечную энергию, преимущественно в Европе, где расположено 76% этих уязвимых устройств. Примечательно, что за последние два года количество подключенных к Интернету компактных устройств CONTEC SolarView увеличилось на 350%.
Несмотря на стремительный рост солнечной энергетики, уязвимость интерфейсов управления представляет собой существенную угрозу безопасности. Предыдущие выводы указывают на то, что эти интерфейсы могут быть подвержены различным уязвимостям, описанным в отчете SUN:DOWN, некоторые из которых, как сообщается, нацелены на ботнеты. Опрос десяти крупнейших производителей уязвимых устройств показал, что за последнее десятилетие уязвимости были обнаружены в продуктах всех этих компаний; интересно, что такие производители, как Huawei и Ginlong Solis, выделяются своим отсутствием в этом списке, несмотря на их преобладающую долю на рынке. Географическое распределение этих устройств сильно смещено в сторону Европы: на Германию и Грецию приходится по 20% от общего числа устройств, за ними следуют Япония и Португалия (по 9%).
Несколько уязвимостей, обнаруженных в компактных устройствах SolarView, вызывают особую обеспокоенность, поскольку в настоящее время они активно используются ботнетами. К ним относятся CVE-2022-29303, CVE-2022-40881, CVE-2023-23333 и CVE-2023-29919 — три из них классифицируются как уязвимости при внедрении команд, в то время как последняя относится к небезопасным разрешениям. Анализ, объединяющий данные из среды взаимодействия с злоумышленниками и Greynoise, выявил 43 IP-адреса, которые были нацелены на эти уязвимые устройства в течение предыдущего года, причем значительная часть из них была связана с операциями ботнета или поиском слабых мест. Среди них значительное число IP-адресов размещено в таких регионах, как Сингапур (21%), Германия (16%) и Нидерланды (14%), что свидетельствует о глобальной угрозе, влияющей на инфраструктуру солнечной энергетики.
#cyberthreattech
Кирилл у себя в канале написал новость про создание маппинга названий группировок Microsoft|CrowdStrike.
QB_channel (подписывайтесь, кстати)
Мы задачкой маппинга названий занимаемся уже пару лет в рамках продукта CTT ThreatKB.
Думаю, что вот эта репа может быть полезной.
https://github.com/rstcloud/awesome-threat-actor-resources/tree/main
Кирилл у себя в канале написал новость про создание маппинга названий группировок Microsoft|CrowdStrike.
QB_channel (подписывайтесь, кстати)
Мы задачкой маппинга названий занимаемся уже пару лет в рамках продукта CTT ThreatKB.
Думаю, что вот эта репа может быть полезной.
https://github.com/rstcloud/awesome-threat-actor-resources/tree/main
#technique
LOLCLOUD - Azure Arc - C2aaS
Exploring Azure Arc’s overlooked C2aaS potential. Attacking and Defending against its usage and exploring usecases.
https://blog.zsec.uk/azure-arc-c2aas/
LOLCLOUD - Azure Arc - C2aaS
Exploring Azure Arc’s overlooked C2aaS potential. Attacking and Defending against its usage and exploring usecases.
https://blog.zsec.uk/azure-arc-c2aas/
ZephrSec - Adventures In Information Security
Azure Arc - C2aaS
Exploring Azure Arc’s overlooked C2aaS potential. Attacking and Defending against its usage and exploring usecases.
#technique
OnionC2
C2 writen in Rust & Go powered by Tor network.
https://github.com/zarkones/OnionC2
P.s. На реддитах пишут, что начали появляться зеркала репы с малварью в подарок.
OnionC2
C2 writen in Rust & Go powered by Tor network.
https://github.com/zarkones/OnionC2
P.s. На реддитах пишут, что начали появляться зеркала репы с малварью в подарок.
GitHub
GitHub - zarkones/OnionC2: C2 writen in Rust & Go powered by Tor network.
C2 writen in Rust & Go powered by Tor network. Contribute to zarkones/OnionC2 development by creating an account on GitHub.
#technique
scepter-rs
A Rust-based server-agent Command-and-Control designed to maximize compatability with non-standard devices. scepter-rs provides a minimal command and control interface that can be leveraged from your favorite C2 framework.
https://github.com/0xTriboulet/scepter-rs
scepter-rs
A Rust-based server-agent Command-and-Control designed to maximize compatability with non-standard devices. scepter-rs provides a minimal command and control interface that can be leveraged from your favorite C2 framework.
https://github.com/0xTriboulet/scepter-rs
GitHub
GitHub - 0xTriboulet/scepter-rs: A hacky way of getting cross-arch/platform support in Cobalt Strike
A hacky way of getting cross-arch/platform support in Cobalt Strike - 0xTriboulet/scepter-rs
#ParsedReport #CompletenessLow
04-06-2025
Phishing campaign in progress for Liberomail accounts
https://cert-agid.gov.it/news/campagna-di-phishing-in-corso-per-gli-account-di-liberomail/
Report completeness: Low
Victims:
Liberomail users
Geo:
Italian
ChatGPT TTPs:
T1102, T1114, T1566.001, T1566.002
Soft:
Telegram
04-06-2025
Phishing campaign in progress for Liberomail accounts
https://cert-agid.gov.it/news/campagna-di-phishing-in-corso-per-gli-account-di-liberomail/
Report completeness: Low
Victims:
Liberomail users
Geo:
Italian
ChatGPT TTPs:
do not use without manual checkT1102, T1114, T1566.001, T1566.002
Soft:
Telegram
CERT-AGID
Campagna di phishing in corso per gli account di LiberoMail
Attualmente è in corso una campagna di phishing diffusa tramite email in lingua italiana, rivolta agli utenti con account LiberoMail. Queste email invitano le vittime a saldare una fattura inesistente.
CTT Report Hub
#ParsedReport #CompletenessLow 04-06-2025 Phishing campaign in progress for Liberomail accounts https://cert-agid.gov.it/news/campagna-di-phishing-in-corso-per-gli-account-di-liberomail/ Report completeness: Low Victims: Liberomail users Geo: Italian…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Фишинговая кампания нацелена на итальянских пользователей Liberomail, которые рассылают электронные письма с просьбой оплатить поддельный счет, что приводит к появлению мошеннической страницы входа для сбора учетных данных, которые отправляются в Telegram-канал.
-----
В настоящее время пользователи Liberomail подвергаются фишинговой кампании с помощью электронных писем, написанных на итальянском языке. В электронных письмах жертвам предлагается оплатить фиктивный счет, что является частью обмана. Получателям предлагается загрузить PDF-документ, который, как утверждается, защищен; при нажатии на ссылку они будут перенаправлены на мошенническую страницу входа в систему, имитирующую законную службу веб-почты, libero.it.
Цель этой кампании - получить учетные данные пользователей для почтовой службы, предложив жертвам ввести свои регистрационные данные на поддельной странице. Примечательно, что собранные учетные данные затем передаются в Telegram-канал, который работает с 21 сентября 2023 года и специально разработан для сбора данных об учетной записи электронной почты. Эта кампания отражает типичную тактику фишинга, использующую методы социальной инженерии для использования доверия пользователей и манипулирования ими с целью предоставления конфиденциальной информации. Ориентация на италоязычных пользователей указывает на конкретную географическую направленность, что потенциально создает значительный риск для людей, принадлежащих к этой демографической группе.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Фишинговая кампания нацелена на итальянских пользователей Liberomail, которые рассылают электронные письма с просьбой оплатить поддельный счет, что приводит к появлению мошеннической страницы входа для сбора учетных данных, которые отправляются в Telegram-канал.
-----
В настоящее время пользователи Liberomail подвергаются фишинговой кампании с помощью электронных писем, написанных на итальянском языке. В электронных письмах жертвам предлагается оплатить фиктивный счет, что является частью обмана. Получателям предлагается загрузить PDF-документ, который, как утверждается, защищен; при нажатии на ссылку они будут перенаправлены на мошенническую страницу входа в систему, имитирующую законную службу веб-почты, libero.it.
Цель этой кампании - получить учетные данные пользователей для почтовой службы, предложив жертвам ввести свои регистрационные данные на поддельной странице. Примечательно, что собранные учетные данные затем передаются в Telegram-канал, который работает с 21 сентября 2023 года и специально разработан для сбора данных об учетной записи электронной почты. Эта кампания отражает типичную тактику фишинга, использующую методы социальной инженерии для использования доверия пользователей и манипулирования ими с целью предоставления конфиденциальной информации. Ориентация на италоязычных пользователей указывает на конкретную географическую направленность, что потенциально создает значительный риск для людей, принадлежащих к этой демографической группе.
#ParsedReport #CompletenessMedium
04-06-2025
one, Attack Analysis
https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247506191&idx=1&sn=89db49b84b7462bbf8731dbcc787e8c4&chksm=f9c1ea06ceb6631006eec73a1129db88dcbce705fd5bbfefe4eba48b5d4db5ed5017e34c9669&scene=178&cur_album_id=1955835290309230595&search_click_id
Report completeness: Medium
Actors/Campaigns:
Gamaredon
Threats:
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln
Industry:
Critical_infrastructure, Government, Military
ChatGPT TTPs:
T1027, T1036.002, T1056.001, T1059.001, T1059.005, T1071.001, T1074.001, T1105, T1112, T1204.002, have more...
IOCs:
Hash: 1
IP: 1
Domain: 3
Path: 2
File: 3
Soft:
Windows registry, trycloudflare, istory</p><p di, , telegram, l http, egram.me/s
Algorithms:
base64
Languages:
javascript, powershell
04-06-2025
one, Attack Analysis
https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247506191&idx=1&sn=89db49b84b7462bbf8731dbcc787e8c4&chksm=f9c1ea06ceb6631006eec73a1129db88dcbce705fd5bbfefe4eba48b5d4db5ed5017e34c9669&scene=178&cur_album_id=1955835290309230595&search_click_id
Report completeness: Medium
Actors/Campaigns:
Gamaredon
Threats:
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln
Industry:
Critical_infrastructure, Government, Military
ChatGPT TTPs:
do not use without manual checkT1027, T1036.002, T1056.001, T1059.001, T1059.005, T1071.001, T1074.001, T1105, T1112, T1204.002, have more...
IOCs:
Hash: 1
IP: 1
Domain: 3
Path: 2
File: 3
Soft:
Windows registry, trycloudflare, istory</p><p di, , telegram, l http, egram.me/s
Algorithms:
base64
Languages:
javascript, powershell