CTT Report Hub
#ParsedReport 15-02-2023 Disguised as an illegal game program, ChromeLoader is distributing https://asec.ahnlab.com/ko/47775 Threats: Chromeloader Trojan/bat.runner.s2119 Trojan/vbs.runner.s2120 Trojan/html.obfus IOCs: File: 18 Path: 1 Domain: 3 Hash:…
chatgpt_summary_eng.txt
1.7 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
3.5 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
Uncovering The Dark Side of DarkBit Ransomware
https://blog.cyble.com/2023/02/15/uncovering-the-dark-side-of-darkbit-ransomware
Threats:
Darkbit
Industry:
Financial, Education
Geo:
Israel
TTPs:
Tactics: 3
Technics: 5
IOCs:
Hash: 1
File: 2
Functions:
GetDriveType
Win API:
CreateMutexW, GetLogicalDrives, CreateProcessW, NtDeviceIoControlFile, GetQueuedCompletionStatusEx, PostQueuedCompletionStatus, ResumeThread
15-02-2023
Uncovering The Dark Side of DarkBit Ransomware
https://blog.cyble.com/2023/02/15/uncovering-the-dark-side-of-darkbit-ransomware
Threats:
Darkbit
Industry:
Financial, Education
Geo:
Israel
TTPs:
Tactics: 3
Technics: 5
IOCs:
Hash: 1
File: 2
Functions:
GetDriveType
Win API:
CreateMutexW, GetLogicalDrives, CreateProcessW, NtDeviceIoControlFile, GetQueuedCompletionStatusEx, PostQueuedCompletionStatus, ResumeThread
Cyble
Uncovering The Dark Side of DarkBit Ransomware
Cyble analyzes DarkBit Ransomware and their recent politically-motivated cyberattacks against the state of Israel.
CTT Report Hub
#ParsedReport 15-02-2023 Uncovering The Dark Side of DarkBit Ransomware https://blog.cyble.com/2023/02/15/uncovering-the-dark-side-of-darkbit-ransomware Threats: Darkbit Industry: Financial, Education Geo: Israel TTPs: Tactics: 3 Technics: 5 IOCs: Hash:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Программа-вымогатель DarkBit представляет собой угрозу кибербезопасности, нацеленную на операционные системы Windows.
Он использует многопоточность для процесса шифрования и оставляет записку о выкупе с инструкциями по восстановлению.
Предполагается, что нападение на один из крупнейших университетов Израиля было совершено бывшим сотрудником или пропалестинскими активистами.
В записке о выкупе указаны политические мотивы, включая обвинения в адрес режима апартеида, военных преступлений и несправедливого увольнения квалифицированных сотрудников.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Программа-вымогатель DarkBit представляет собой угрозу кибербезопасности, нацеленную на операционные системы Windows.
Он использует многопоточность для процесса шифрования и оставляет записку о выкупе с инструкциями по восстановлению.
Предполагается, что нападение на один из крупнейших университетов Израиля было совершено бывшим сотрудником или пропалестинскими активистами.
В записке о выкупе указаны политические мотивы, включая обвинения в адрес режима апартеида, военных преступлений и несправедливого увольнения квалифицированных сотрудников.
CTT Report Hub
#ParsedReport 15-02-2023 Uncovering The Dark Side of DarkBit Ransomware https://blog.cyble.com/2023/02/15/uncovering-the-dark-side-of-darkbit-ransomware Threats: Darkbit Industry: Financial, Education Geo: Israel TTPs: Tactics: 3 Technics: 5 IOCs: Hash:…
chatgpt_summary_eng.txt
1.8 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
3.6 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
Mirai Variant V3G4 Targets IoT Devices
https://unit42.paloaltonetworks.com/mirai-variant-v3g4
Threats:
Mirai
Moobot
Plugx_rat
Industry:
Iot
Geo:
Japanese, Chinese
CVEs:
CVE-2022-4257 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- cdatatec c-data web management system (-)
CVE-2020-15415 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Unavailable
Soft:
- draytek vigor3900 firmware (<1.5.1)
- draytek vigor2960 firmware (<1.5.1)
- draytek vigor300b firmware (<1.5.1)
CVE-2014-9727 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.8
X-Force: Patch: Unavailable
Soft:
- avm fritz\!box (*)
CVE-2019-15107 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- webmin (le1.920)
CVE-2012-4869 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- sangoma freepbx (2.9, le2.10)
CVE-2022-36267 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Unavailable
Soft:
- airspan airspot 5410 firmware (le0.3.4.1-4)
CVE-2017-5173 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- geutebrueck ip camera g-cam efd-2250 firmware (1.11.0.12)
CVE-2020-8515 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- draytek vigor2960 firmware (1.3.1)
- draytek vigor300b firmware (1.3.3, 1.4.2.1, 1.4.4)
- draytek vigor3900 firmware (1.4.4)
CVE-2022-26134 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
IOCs:
Domain: 1
IP: 3
Hash: 43
File: 3
Softs:
freepbx elastix, confluence, curl
Algorithms:
xor, exhibit
15-02-2023
Mirai Variant V3G4 Targets IoT Devices
https://unit42.paloaltonetworks.com/mirai-variant-v3g4
Threats:
Mirai
Moobot
Plugx_rat
Industry:
Iot
Geo:
Japanese, Chinese
CVEs:
CVE-2022-4257 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- cdatatec c-data web management system (-)
CVE-2020-15415 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Unavailable
Soft:
- draytek vigor3900 firmware (<1.5.1)
- draytek vigor2960 firmware (<1.5.1)
- draytek vigor300b firmware (<1.5.1)
CVE-2014-9727 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.8
X-Force: Patch: Unavailable
Soft:
- avm fritz\!box (*)
CVE-2019-15107 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- webmin (le1.920)
CVE-2012-4869 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- sangoma freepbx (2.9, le2.10)
CVE-2022-36267 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.3
X-Force: Patch: Unavailable
Soft:
- airspan airspot 5410 firmware (le0.3.4.1-4)
CVE-2017-5173 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- geutebrueck ip camera g-cam efd-2250 firmware (1.11.0.12)
CVE-2020-8515 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- draytek vigor2960 firmware (1.3.1)
- draytek vigor300b firmware (1.3.3, 1.4.2.1, 1.4.4)
- draytek vigor3900 firmware (1.4.4)
CVE-2022-26134 [Vulners]
CVSS V2: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
IOCs:
Domain: 1
IP: 3
Hash: 43
File: 3
Softs:
freepbx elastix, confluence, curl
Algorithms:
xor, exhibit
Unit 42
Mirai Variant V3G4 Targets IoT Devices
We observed Mirai variant V3G4 targeting IoT devices in three separate campaigns in 2022.
👍1
CTT Report Hub
#ParsedReport 15-02-2023 Mirai Variant V3G4 Targets IoT Devices https://unit42.paloaltonetworks.com/mirai-variant-v3g4 Threats: Mirai Moobot Plugx_rat Industry: Iot Geo: Japanese, Chinese CVEs: CVE-2022-4257 [Vulners] CVSS V2: Unknown, Vulners:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Unit 42 обнаружил новый вариант Mirai под названием V3G4, который использует несколько уязвимостей с июля по декабрь 2022 года.
Уязвимые устройства полностью контролируются злоумышленниками и становятся частью ботнета, способного запускать DDoS-атаки.
Субъект угрозы, стоящий за V3G4, был идентифицирован путем анализа трех кампаний, содержащих похожие строки, загрузчики сценариев оболочки вредоносного ПО, ключ дешифрования XOR и стоп-лист, а также функции.
Тринадцать эксплуатируемых уязвимостей позволили злоумышленникам удаленно выполнить код и получить контроль.
После получения доступа утилиты wget и curl используются для загрузки образцов клиента Mirai.
Анализ выявил вариант Mirai с унаследованными функциями от оригинального Mirai, включая раздел данных с зашифрованными учетными данными для входа по умолчанию.
Важно применять исправления и обновления, когда они доступны, и обеспечивать использование новейших решений безопасности для защиты от угроз.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Unit 42 обнаружил новый вариант Mirai под названием V3G4, который использует несколько уязвимостей с июля по декабрь 2022 года.
Уязвимые устройства полностью контролируются злоумышленниками и становятся частью ботнета, способного запускать DDoS-атаки.
Субъект угрозы, стоящий за V3G4, был идентифицирован путем анализа трех кампаний, содержащих похожие строки, загрузчики сценариев оболочки вредоносного ПО, ключ дешифрования XOR и стоп-лист, а также функции.
Тринадцать эксплуатируемых уязвимостей позволили злоумышленникам удаленно выполнить код и получить контроль.
После получения доступа утилиты wget и curl используются для загрузки образцов клиента Mirai.
Анализ выявил вариант Mirai с унаследованными функциями от оригинального Mirai, включая раздел данных с зашифрованными учетными данными для входа по умолчанию.
Важно применять исправления и обновления, когда они доступны, и обеспечивать использование новейших решений безопасности для защиты от угроз.
CTT Report Hub
#ParsedReport 15-02-2023 Mirai Variant V3G4 Targets IoT Devices https://unit42.paloaltonetworks.com/mirai-variant-v3g4 Threats: Mirai Moobot Plugx_rat Industry: Iot Geo: Japanese, Chinese CVEs: CVE-2022-4257 [Vulners] CVSS V2: Unknown, Vulners:…
chatgpt_summary_eng.txt
2.2 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
4 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
Malware Disguised as Normal Documents (Kimsuky)
https://asec.ahnlab.com/en/47585
Actors/Campaigns:
Kimsuky
Threats:
Manuscript
Geo:
Korea
IOCs:
File: 4
Url: 10
Hash: 4
Softs:
curl, task scheduler
15-02-2023
Malware Disguised as Normal Documents (Kimsuky)
https://asec.ahnlab.com/en/47585
Actors/Campaigns:
Kimsuky
Threats:
Manuscript
Geo:
Korea
IOCs:
File: 4
Url: 10
Hash: 4
Softs:
curl, task scheduler
ASEC BLOG
Malware Disguised as Normal Documents (Kimsuky) - ASEC BLOG
The ASEC analysis team has recently discovered that the malware introduced in the post, <Malware Disguised as a Manuscript Solicitation Letter (Targeting Security-Related Workers)>, is being distributed to broadcasting and ordinary companies as well as those…
CTT Report Hub
#ParsedReport 15-02-2023 Malware Disguised as Normal Documents (Kimsuky) https://asec.ahnlab.com/en/47585 Actors/Campaigns: Kimsuky Threats: Manuscript Geo: Korea IOCs: File: 4 Url: 10 Hash: 4 Softs: curl, task scheduler
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Вредоносное вредоносное ПО распространяется среди вещательных и обычных компаний, а также в сфере безопасности.
Вредоносные документы макросов Word используются для выполнения самих себя с изображением подсказки, побуждающим пользователей активировать макрос.
Вредоносное ПО содержит файл version.bat, который загружает дополнительный вредоносный скрипт, который собирает системную информацию ПК, установленные вирусные вакцины, список недавно открытых файлов Word, информацию о каталогах, запущенных процессах и реестрах, связанных с IE.
В последнее время вредоносное ПО было распространено среди обычных корпоративных пользователей, нацеленных на лиц, связанных с Северной Кореей.
Всем пользователям важно проявлять максимальную осторожность при работе с подозрительными электронными письмами и документами и воздерживаться от открытия электронных писем от неизвестных отправителей или включения макросов из документов Office.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Вредоносное вредоносное ПО распространяется среди вещательных и обычных компаний, а также в сфере безопасности.
Вредоносные документы макросов Word используются для выполнения самих себя с изображением подсказки, побуждающим пользователей активировать макрос.
Вредоносное ПО содержит файл version.bat, который загружает дополнительный вредоносный скрипт, который собирает системную информацию ПК, установленные вирусные вакцины, список недавно открытых файлов Word, информацию о каталогах, запущенных процессах и реестрах, связанных с IE.
В последнее время вредоносное ПО было распространено среди обычных корпоративных пользователей, нацеленных на лиц, связанных с Северной Кореей.
Всем пользователям важно проявлять максимальную осторожность при работе с подозрительными электронными письмами и документами и воздерживаться от открытия электронных писем от неизвестных отправителей или включения макросов из документов Office.
CTT Report Hub
#ParsedReport 15-02-2023 Malware Disguised as Normal Documents (Kimsuky) https://asec.ahnlab.com/en/47585 Actors/Campaigns: Kimsuky Threats: Manuscript Geo: Korea IOCs: File: 4 Url: 10 Hash: 4 Softs: curl, task scheduler
chatgpt_summary_eng.txt
1.7 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
3.4 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
Recent TZW Campaigns Revealed As Part of GlobeImposter Malware Family
https://www.sentinelone.com/blog/recent-tzw-campaigns-revealed-as-part-of-globeimposter-malware-family
Threats:
Globeimposter
Tzw_ransomware
Lolnek
Lolkek
Geo:
Korean
TTPs:
IOCs:
Hash: 10
Domain: 2
15-02-2023
Recent TZW Campaigns Revealed As Part of GlobeImposter Malware Family
https://www.sentinelone.com/blog/recent-tzw-campaigns-revealed-as-part-of-globeimposter-malware-family
Threats:
Globeimposter
Tzw_ransomware
Lolnek
Lolkek
Geo:
Korean
TTPs:
IOCs:
Hash: 10
Domain: 2
SentinelOne
Recent TZW Campaigns Revealed As Part of GlobeImposter Malware Family
Evidence of shared infrastructure and close file similarities link new TZW ransomware to a rebrand of GlobeImposter.
CTT Report Hub
#ParsedReport 15-02-2023 Recent TZW Campaigns Revealed As Part of GlobeImposter Malware Family https://www.sentinelone.com/blog/recent-tzw-campaigns-revealed-as-part-of-globeimposter-malware-family Threats: Globeimposter Tzw_ransomware Lolnek Lolkek Geo:…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Программа-вымогатель TZW является частью известного семейства вредоносных программ GlobeImposter.
Злоумышленники, стоящие за GlobeImposter, переименовывают свои полезные нагрузки и запутывают свою инфраструктуру, чтобы оставаться анонимными.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
Программа-вымогатель TZW является частью известного семейства вредоносных программ GlobeImposter.
Злоумышленники, стоящие за GlobeImposter, переименовывают свои полезные нагрузки и запутывают свою инфраструктуру, чтобы оставаться анонимными.
CTT Report Hub
#ParsedReport 15-02-2023 Recent TZW Campaigns Revealed As Part of GlobeImposter Malware Family https://www.sentinelone.com/blog/recent-tzw-campaigns-revealed-as-part-of-globeimposter-malware-family Threats: Globeimposter Tzw_ransomware Lolnek Lolkek Geo:…
chatgpt_summary_eng.txt
1.5 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
3 KB
ChatGPT RU summary
#ParsedReport
15-02-2023
Distributed Malware Exploiting Vulnerable Innorix: Andariel
https://asec.ahnlab.com/ko/47751
Actors/Campaigns:
Lazarus
Threats:
Backdoor/win.andardoor.r558252
Backdoor/win.andardoor.c5381120
Backdoor/win.andardoor.c5382662
Backdoor/win.andardoor.c5382103
Backdoor/win.andardoor.c5382101
Geo:
Korea
IOCs:
Hash: 11
IP: 7
Softs:
task scheduler
Algorithms:
xor
15-02-2023
Distributed Malware Exploiting Vulnerable Innorix: Andariel
https://asec.ahnlab.com/ko/47751
Actors/Campaigns:
Lazarus
Threats:
Backdoor/win.andardoor.r558252
Backdoor/win.andardoor.c5381120
Backdoor/win.andardoor.c5382662
Backdoor/win.andardoor.c5382103
Backdoor/win.andardoor.c5382101
Geo:
Korea
IOCs:
Hash: 11
IP: 7
Softs:
task scheduler
Algorithms:
xor
ASEC BLOG
취약한 Innorix 악용한 악성코드 유포 : Andariel - ASEC BLOG
ASEC(AhnLab Security Emergengy response Center) 분석팀은 취약한 버전의 Innorix Agent 사용자를 타겟으로 악성코드 유포 정황을 확인하였다. 확보된 악성코드는 백도어로 C&C 서버로 접속을 시도한다. 유포에 악용된 Innorix Agent 프로그램은 파일 전송 솔루션 클라이언트 프로그램으로, 한국인터넷진흥원(KISA)[1]에서 취약점 관련 내용을 게시하고 보안 업데이트가 권고된 INNORIX Agent 9.2.18.450…
CTT Report Hub
#ParsedReport 15-02-2023 Distributed Malware Exploiting Vulnerable Innorix: Andariel https://asec.ahnlab.com/ko/47751 Actors/Campaigns: Lazarus Threats: Backdoor/win.andardoor.r558252 Backdoor/win.andardoor.c5381120 Backdoor/win.andardoor.c5382662 Bac…
#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
KISA выпустила уведомление об обновлении безопасности, касающееся программы Innorix Agent, которая использовалась в злонамеренных целях.
Вредоносный код классифицируется как бэкдор и является разновидностью Andardoor.
KISA рекомендует обновлять антивирусное программное обеспечение, обновлять операционные системы Windows, использовать надежные пароли и проявлять осторожность при открытии электронных писем и переходе по ссылкам.
Пользователи должны соблюдать правила кибергигиены и предпринимать необходимые шаги для защиты от злонамеренной активности.
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate)
KISA выпустила уведомление об обновлении безопасности, касающееся программы Innorix Agent, которая использовалась в злонамеренных целях.
Вредоносный код классифицируется как бэкдор и является разновидностью Andardoor.
KISA рекомендует обновлять антивирусное программное обеспечение, обновлять операционные системы Windows, использовать надежные пароли и проявлять осторожность при открытии электронных писем и переходе по ссылкам.
Пользователи должны соблюдать правила кибергигиены и предпринимать необходимые шаги для защиты от злонамеренной активности.
CTT Report Hub
#ParsedReport 15-02-2023 Distributed Malware Exploiting Vulnerable Innorix: Andariel https://asec.ahnlab.com/ko/47751 Actors/Campaigns: Lazarus Threats: Backdoor/win.andardoor.r558252 Backdoor/win.andardoor.c5381120 Backdoor/win.andardoor.c5382662 Bac…
chatgpt_summary_eng.txt
1.7 KB
ChatGPT ENG summary
chatgpt_summary_ru.txt
3.2 KB
ChatGPT RU summary