#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Antiy CERT недавно обнаружил несколько атак Akira ransomware, которые состоят из пяти этапов.
-----

Недавно Antiy CERT (член рабочей группы CCTGA по предотвращению и реагированию на Ransomware) обнаружил многочисленные атаки Akira ransomware. Впервые программа Akira ransomware была обнаружена в марте 2023 года, а ее полезная нагрузка атаки не получила масштабного распространения. Зарубежные производители систем безопасности обнаружили, что злоумышленник изначально получал доступ к системе жертвы через VPN, поэтому предполагается, что организация, стоящая за атакой, использует режим целевой атаки для проведения атак ransomware.

После проникновения в систему жертвы злоумышленник использует инструмент Remote Desktop Protocol (RDP) или другие инструменты для распространения во внутренней сети. Полезная нагрузка ransomware использует алгоритм AES+RSA для шифрования файла, и до сих пор не было найдено общедоступного инструмента расшифровки. Akira ransomware работает в режиме "двойного вымогательства", то есть "кража данных + шифрование файлов". С 21 апреля организация, стоящая за этой атакой, публикует информацию о жертвах и похищенные данные на сайте Tor. По состоянию на 30 мая в Японии была обнародована информация о 25 жертвах и данные, похищенные из систем 11 жертв, включая строительство, финансы, образование, недвижимость и другие отрасли.

Процесс атаки Akira ransomware можно разделить на пять этапов: 1. Сброс инструментов кражи и полезной нагрузки ransomware в систему жертвы; 2. Использование инструмента командной строки для удаления теневых резервных копий дисковых томов, отключения восстановления системы и обхода функций безопасности Windows Defender для обеспечения беспрепятственного выполнения последующих процессов; 3. Возврат украденных данных злоумышленнику через определенный канал C2 или инструмент; 4. Доставка записки с выкупом; 5. Шифрование файла данных.

#ParsedReport #CompletenessLow
14-06-2023

Shampoo: A New ChromeLoader Campaign

https://threatresearch.ext.hp.com/shampoo-a-new-chromeloader-campaign

Report completeness: Low

Threats:
Shampoo
Chromeloader

TTPs:
Tactics: 2
Technics: 10

IOCs:
File: 5
Registry: 1
Domain: 36
Hash: 2

Softs:
chrome, google chrome, chrome_, task scheduler

Algorithms:
base64, xor, rc4, zip

Languages:
javascript, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
code: 7, schema: 2, windows: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Команда HP Wolf Security обнаружила новую кампанию вредоносного ПО под названием Shampoo, которое, вероятно, является вариантом ChromeLoader и используется для внедрения рекламы и кражи личной информации. Цепочка заражения начинается с вредоносного VBScript и завершается установкой вредоносного расширения Chrome. Он сильно обфусцирован и имеет несколько механизмов сохранения.
-----

Команда HP Wolf Security недавно обнаружила новую кампанию вредоносного ПО под названием Shampoo, основанную на вредоносном расширении браузера ChromeLoader. Кампания, вероятно, началась в начале марта 2023 года, и жертвы сталкивались с ней в основном при загрузке нелегального контента, такого как фильмы и видеоигры. Вредоносный файл VBScript, загруженный жертвой, запускает сложную цепочку заражения, которая в конечном итоге приводит к установке вредоносного расширения Chrome.

Цепочка заражения начинается с вредоносного сценария VBScript, который запускает сценарий PowerShell, устанавливающий запланированную задачу, делающую заражение постоянным. Эта запланированная задача каждые 50 минут запускает циклический сценарий, который загружает и запускает другой сценарий PowerShell. Этот сценарий загружает и устанавливает вредоносное расширение Chrome. После установки расширение начинает собирать конфиденциальную личную информацию, такую как поисковые запросы, а также перенаправлять поиск и внедрять рекламу в сеанс просмотра веб-страниц жертвы.

Вредоносное расширение сильно обфусцировано и содержит множество ловушек, препятствующих отладке и анализу. Кроме того, оно имеет множество механизмов сохранения, таких как отключение предложений поиска в адресной строке, регулярная отправка данных на командно-контрольный сервер, перенаправление поиска Google, Yahoo и Bing, запись последнего поискового запроса в локальное хранилище Chrome и предотвращение доступа жертв к chrome://extensions. Все взаимодействия с командно-контрольным сервером защищены и требуют аутентификационного cookie.

Данные, отправляемые на командно-контрольный сервер, шифруются с помощью смеси RC4 и собственной схемы шифрования. Пользовательская схема состоит из генерации 20-30 длинных ключей из случайных байтов и последующего их сшивания с сообщением.

Кампания ChromeLoader Shampoo очень похожа на старые версии ChromeLoader по цепочке заражения, распространению и цели. Существует множество сходств кода между расширением Shampoo и публично задокументированными версиями ChromeLoader. Мы с высокой степенью уверенности считаем, что Shampoo - это вариант ChromeLoader, использованный в данной кампании. Монетизация этого варианта соответствует другим публично задокументированным вариантам ChromeLoader, а именно рекламе через перенаправления.

#ParsedReport #CompletenessHigh
14-06-2023

Behind the Scenes: Unveiling the Hidden Workings of Earth Preta. Introduction

https://www.trendmicro.com/en_us/research/23/f/behind-the-scenes-unveiling-the-hidden-workings-of-earth-preta.html

Report completeness: High

Actors/Campaigns:
Earth_preta
Red_delta

Threats:
Mirogo
Qmagent
Tonedrop
Toneins
Toneshell
Mqsttang
Windbg_tool
Pubload

Victims:
Government entities, telecommunications industry, individuals across different regions

Industry:
Government, Iot, Telco

Geo:
Japan, Apac, Asia-pacific, Australia, Asia, Taiwan, Asian, Philippines, Myanmar

TTPs:

IOCs:
File: 21
Path: 9
Url: 170
Hash: 18
IP: 4

Algorithms:
xor, sha256

Win API:
CoCreateGuid, GetTickCount

Languages:
golang, javascript

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 13, schema: 6, code: 7, chart: 2, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Earth Preta - это APT-группа, которая с 2022 года нацелена на жертв в Азиатско-Тихоокеанском регионе, а недавно расширила свою деятельность на другие регионы. Группа использовала различные инструменты, методы и процедуры для проведения своих кампаний, и мы выявили ряд показателей, связанных с ней. Кроме того, мы смогли проанализировать рабочий процесс группы и заметили их склонность к повторному использованию определенных C&C-серверов и созданию своего арсенала с похожими C&C-протоколами и возможностями.
-----

Earth Preta - это передовая постоянная угроза (APT), действующая с 2022 года и нацеленная на жертв в Азиатско-Тихоокеанском регионе (APAC). В конце 2023 года мы заметили, что группа начала действовать в других регионах, таких как Восточная Европа и Западная Азия. Для проведения своих кампаний группа использовала различные инструменты, методы и процедуры (TTP), включая фишинговые электронные письма, вредоносные веб-сайты и вредоносное ПО.

В ходе нашего исследования мы выявили ряд признаков, связанных с APT-группой Earth Preta. К ним относятся кампания spear-phishing, начатая в ноябре 2022 года, доставка различных полезных нагрузок различным жертвам, размещение вредоносных веб-сайтов и использование таких вредоносных программ, как MIROGO, QMAGENT, TONEINS и TONESHELL. Мы также заметили тенденцию группы к повторному использованию определенных C&C-серверов в последующих волнах атак.

Мы смогли определить рабочий процесс кампаний Earth Preta, проанализировав скрипты, развернутые на сайтах загрузки вредоносных программ. Мы также заметили тенденцию группы к созданию своего арсенала с похожими протоколами C&C и возможностями на разных языках программирования, что свидетельствует о том, что участники Earth Preta, вероятно, оттачивали свои навыки разработки.

#ParsedReport #CompletenessMedium
14-06-2023

Threat Actor Targets Russian Gaming Community With WannaCry-Imitator

https://blog.cyble.com/2023/06/13/threat-actor-targets-russian-gaming-community-with-wannacry-imitator

Report completeness: Medium

Threats:
Wannacry

Victims:
Russian-speaking gamers

Industry:
Entertainment, Financial

Geo:
Russian

TTPs:
Tactics: 5
Technics: 7

IOCs:
Url: 3
Path: 3
File: 9
Command: 1
Hash: 6

Softs:
pyinstaller, task scheduler, telegram

Algorithms:
sha256, aes, sha1

Functions:
MutexAlreadyAcquired

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: WannaCry 3.0 Ransomware - это вредоносная программа, которая эксплуатирует геймеров и нацелена на русскоязычных пользователей, используя модифицированную версию открытого ПО Crypter ransomware. Важно знать об этой угрозе и принять меры предосторожности.
-----

Cyble Research and Intelligence Labs (CRIL) обнаружила фишинговую кампанию, направленную на русскоязычных геймеров для распространения ransomware. На поддельном сайте размещается установочный файл, который содержит два файла - легитимный установщик игры и вымогательское ПО с именем WannaCry 3.0. Эта программа-вымогатель представляет собой модифицированную версию криптовалюты Ransomware Crypter с открытым исходным кодом, разработанную для Windows и написанную на языке Python.

Программа-вымогатель использует расширение файла wncry для шифрования файлов и создает в системе мьютекс с именем mutex_rr_windows. Он получает свои параметры конфигурации из файла runtime.cfg, который представляет собой JSON-файл. Кроме того, он добавляет два файла в папку C:\Users\user\AppData\Roaming, enc_test.txt и encrypted_files.txt. Для шифрования файлов он использует алгоритм шифрования AES и меняет фоновое изображение рабочего стола, чтобы показать дополнительную информацию. Он также содержит идентификатор учетной записи Telegram - wncry_support_bot - для ведения переговоров с субъектами угрозы.

WannaCry 3.0 Ransomware - это вредоносная программа, эксплуатирующая геймеров и нацеленная на русскоязычных пользователей. Она имеет простое управление и не имеет сайта утечки или выделенной ссылки на чат, но использует бота Telegram для связи, связанной с выкупом. Она является модифицированной версией Crypter ransomware с открытым исходным кодом, поэтому важно знать об этой угрозе и принять меры предосторожности.

#ParsedReport #CompletenessLow
14-06-2023

Threat Hunt: KillNet s DDoS HEAD Flood Attacks - cc\.py

https://cybersecurity.att.com/blogs/security-essentials/killnets-ddos-head-flood-attacks-cc.py

Report completeness: Low

Actors/Campaigns:
Killnet

Victims:
State and local governments, telecommunications, and defense

Industry:
Telco, Government, Aerospace

Geo:
Ukraine, Russia

ChatGPT TTPs:
do not use without manual check
T1105, T1095, T1497, T1498

IOCs:
File: 1

Languages:
perl, python

Links:
https://github.com/Leeon123/CC-attack

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Killnet - это группа передовых постоянных угроз (APT), базирующаяся в России и нацеленная на тех, кто поддерживает Украину и ее политическую повестку дня. Для защиты от вредоносной деятельности Killnet была создана виртуальная среда атаки, имитирующая тактику, методы и процедуры (TTPs) Killnet. Были разработаны две гипотезы для определения использования DDoS HEAD-флудов, которые могут быть использованы для защиты от вредоносной деятельности Killnet.
-----

Killnet - это группа постоянных угроз (APT), базирующаяся в России. Она действует как минимум с 2015 года и известна своими изощренными и постоянными атаками на различные отрасли, включая государственные и местные органы власти, телекоммуникации и оборону. Killnet связана с некоторыми громкими атаками, такими как взлом Демократического национального комитета (DNC) во время президентских выборов в США в 2016 году и DDoS-атаки на американские аэропорты и службу спутниковой широкополосной связи Starlink Элона Маска.

В последнее время Killnet атакует тех, кто наиболее активно поддерживает Украину и ее политическую повестку дня. Для борьбы с этой угрозой была создана виртуальная среда атаки для моделирования тактики, техники и процедур (ТТП) Killnet. Эта среда будет использоваться для написания обнаружений и запросов на поиск угроз, чтобы проактивно выявлять ТТП Killnet, компенсируя при этом ограничения традиционного исторического поиска IOC.

Для эмуляции атаки Killnet был использован cc.py, который генерировал непрерывные HEAD-запросы к серверу Apache. При просмотре HTTP-трафика HEAD было обнаружено, что после "HEAD /?" постоянно появляются цифры в диапазоне 11-12. Эта закономерность послужила основой для первой гипотезы, позволяющей определить использование DDoS HEAD-флуда. Для использования контекста, полученного из захвата пакетов, при анализе угроз можно использовать регулярные выражения, совместимые с Perl. Это позволяет писать правила Suricata/Snort, которые будут соответствовать наблюдаемым шаблонам в заголовках.

Кроме того, охотничьи запросы Splunk можно использовать для выявления "большого количества соединений из общего источника за короткий промежуток времени". Запрос разбивает временной столбец на 1-секундные отрезки, и можно установить порог для ретроактивного поиска в течение последних 7 дней с момента, когда активность была замечена впервые. Этот запрос служит в качестве второй гипотезы для определения использования DDoS HEAD-флудов.

Cc.py - это доступный в интернете инструмент Python, который может использоваться для DDoS-атак 7-го уровня. Он использует различные динамические характеристики для запуска DDoS-атак на веб-активы. Инструмент автоматизирует процесс использования открытых прокси-серверов для ретрансляции атак, сохраняя анонимность, что означает неэффективность традиционных методов блокировки на основе IP-адресов. Для запуска атаки используется следующая команда: python3 cc.py url http:// -f proxy.txt m head v 4 s 30. Эта команда определяет использование модуля "head" и устанавливает продолжительность атаки в 30 секунд. Модуль "head" заваливает целевой сервер непрерывными запросами HTTP HEAD до тех пор, пока он не будет выведен из строя.

Создав виртуальную среду атаки, можно написать запросы на обнаружение и поиск угроз, чтобы проактивно идентифицировать тактику, технику и процедуры Killnet, компенсируя при этом ограничения традиционного исторического поиска IOC. С помощью cc.py были разработаны две гипотезы для выявления использования DDoS HEAD-флудов. Первая гипотеза использует регулярные выражения, совместимые с Perl, для использования контекста, полученного из захвата пакетов при анализе угроз, а вторая гипотеза использует запросы Splunk hunt для выявления "большого количества соединений от общего источника за короткий промежуток времени". Оба этих метода могут быть использованы для защиты от вредоносной деятельности Killnet.

#ParsedReport #CompletenessMedium
14-06-2023

Cloud Mining Scam Distributes Roamer Banking Trojan

https://blog.cyble.com/2023/06/14/cloud-mining-scam-distributes-roamer-banking-trojan

Report completeness: Medium

Threats:
Roamer
Tron

Victims:
Unsuspecting individuals, cryptocurrency wallet applications, banking institutions

Industry:
Financial, Entertainment

Geo:
Vietnam, India

TTPs:
Tactics: 4
Technics: 10

IOCs:
Url: 10
File: 6
Hash: 5

Softs:
android, telegram

Wallets:
coinbase, metamask, tokenpocket, tronlink

Crypto:
bitcoin, ethereum, binance, kucoin

Algorithms:
sha256, sha1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Банковский троян Roamer - это вредоносное приложение, которое нацелено на различные криптовалютные кошельки и банковские приложения и способно скомпрометировать конфиденциальные личные данные. Пользователи должны принимать меры по защите, например, сохранять бдительность, применять надежные меры безопасности и быть в курсе возникающих киберугроз.
-----

Киберпреступность становится все более изощренной, злоумышленники находят новые способы эксплуатации ничего не подозревающих людей и организаций. Недавно был выявлен агент угроз (TA), который использовал обманную тактику для распространения вредоносного ПО для Android через фишинговые веб-сайты и мошеннический канал Telegram. Вредоносное приложение, названное Roamer Banking Trojan, нацелено на различные криптовалютные кошельки и банковские приложения.

Банковский троянец Roamer использует службу Accessibility Service для извлечения конфиденциальной информации с зараженного устройства, такой как PIN-коды и пароли, хранящиеся в файле общих предпочтений config.xml. Кроме того, вредоносная программа способна перехватывать фотографии, собирать данные SMS, файлы и сведения о местоположении. Она также может выполнять такие операции, как автоматическое нажатие на компоненты, разблокировка и блокировка устройства, создание скриншотов, запуск записи экрана и замена данных буфера обмена.

Угроза, исходящая от банковского троянца Roamer, значительна из-за широкого спектра целевых приложений и возможности компрометации конфиденциальных персональных данных. Поэтому пользователи должны проявлять осторожность и принимать меры по защите от этого типа атак, например, сохранять бдительность, применять надежные меры безопасности и быть в курсе возникающих киберугроз. Кроме того, пользователям следует обращать внимание на подозрительные каналы для добычи криптовалюты на таких платформах, как Telegram, поскольку они могут привести к существенным финансовым потерям и значительным утечкам данных. Принимая необходимые меры предосторожности и сохраняя бдительность, пользователи и организации могут эффективно снизить риски, связанные с банковским троянцем Roamer и подобными атаками вредоносного ПО.

#ParsedReport #CompletenessMedium
14-06-2023

Understanding Ransomware Threat Actors: LockBit

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a

Report completeness: Medium

Actors/Campaigns:
Blackmatter
Blackcat
Darkside (motivation: cyber_criminal)

Threats:
Lockbit
Stealbit
Blackcat
Conti
Credential_dumping_technique
Cobalt_strike
Metasploit_tool
Adfind_tool
Anydesk_tool
Atera_tool
Backstab_tool
Bloodhound_tool
Gmer_tool
Impacket_tool
Lazagne
Ligolo
Megasync_tool
Procdump_tool
Mimikatz_tool
Pchunter_tool
Powertool_tool
Process_hacker_tool
Plink_tool
Putty_tool
Seatbelt_tool
Screenconnect_tool
Connectwise_rat
Splashtop_tool
Teamviewer_tool
Log4shell_vuln
Uac_bypass_technique
Uacme
Blister_loader

Victims:
Organizations from various critical infrastructure sectors

Industry:
Energy, Foodtech, Government, Financial, Education, Transport, Healthcare

Geo:
Canadian, German, Australian, Canada, Australia, Germany, France

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2023-0669 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- fortra goanywhere managed file transfer (<7.1.2)

CVE-2019-0708 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2003 (r2, -)
- microsoft windows 7 (-)
- microsoft windows vista (-)
- microsoft windows xp (-)
have more...
CVE-2018-13379 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.7, le6.0.4)

CVE-2021-22986 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- f5 big-ip access policy manager (<16.0.1.1, <13.1.3.6, <15.1.2.1, <12.1.5.3, <14.1.4)
- f5 big-ip advanced firewall manager (<16.0.1.1, <15.1.2.1, <14.1.4, <12.1.5.3, <13.1.3.6)
- f5 big-ip application acceleration manager (<16.0.1.1, <13.1.3.6, <15.1.2.1, <12.1.5.3, <14.1.4)
- f5 big-ip analytics (<16.0.1.1, <13.1.3.6, <15.1.2.1, <14.1.4, <12.1.5.3)
- f5 big-ip application security manager (<16.0.1.1, <13.1.3.6, <15.1.2.1, <12.1.5.3, <14.1.4)
have more...
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)


TTPs:
Tactics: 10
Technics: 42

IOCs:
File: 3
Email: 1

Softs:
esxi, macos, active directory, microsoft defender, sysinternals, local security authority, sysinternals psexec, psexec, softperfect network scanner, winscp, have more...

Algorithms:
des

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
chart: 2, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: LockBit - это поставщик услуг Ransomware-as-a-Service, на счету которого множество успешных атак с использованием ransomware с 2020 года. Организациям следует сообщать властям об инцидентах с вымогательским ПО, чтобы помочь в расследовании и предотвращении дальнейших атак.
-----

LockBit - это поставщик услуг Ransomware-as-a-Service (RaaS), который несет ответственность за многие успешные атаки ransomware с 2020 года. LockBit предлагает своим филиалам гарантию оплаты, позволяя им получать платежи за выкуп до того, как отправить долю основной группе. Активность LockBit наблюдалась в разных странах: в 2022 году 18% инцидентов с ransomware произошли в Австралии, 22% - в Канаде, 23% - в Новой Зеландии и 16% - в США. Зафиксировано, что филиалы LockBit эксплуатируют многочисленные CVE, включая CVE-2021-44228, CVE-2021-22986, CVE-2019-0708 и CVE-2018-13379.

Важно помнить, что уплата выкупа не гарантирует восстановления файлов жертвы и может побудить злоумышленников атаковать другие организации. Поэтому организациям следует сообщать об инцидентах, связанных с ransomware, в соответствующие органы, чтобы помочь в расследовании и предотвращении дальнейших атак.

#technique

Gateway layer GZIP page zero-overhead injection script - allows you to inject JavaScript into a gziped HTTP response payload without the need to decompress (assuming you are in the TLS tunnel)

https://github-com.translate.goog/EtherDream/gzip-js-injector?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp

#ParsedReport #CompletenessLow
15-06-2023

Hijacking S3 Buckets: New Attack Technique Exploited in the Wild by Supply Chain Attackers

https://checkmarx.com/blog/hijacking-s3-buckets-new-attack-technique-exploited-in-the-wild-by-supply-chain-attackers

Report completeness: Low

Threats:
Supply_chain_technique
Bignum

ChatGPT TTPs:
do not use without manual check
T1137.004, T1497, T1059.001, T1486

IOCs:
Hash: 6

Softs:
node.js

Algorithms:
sha1, sha256

Languages:
javascript

Links:
https://github.com/advisories/GHSA-7cgc-fjv4-52x6

#ParsedReport #ExtractedSchema

Classified images:
code: 4, windows: 2, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Checkmarx предупредила об атаке на экосистему открытого исходного кода. Атака была направлена на пакет NPM bignum и заключалась в захвате Amazon AWS S3, в котором хранились двоичные файлы, необходимые для его работы, и замене их на вредоносные.
-----

Checkmarx - компания по безопасности программного обеспечения, которая недавно предупредила об атаке на экосистему открытого исходного кода. Атака была направлена на пакет NPM bignum и заключалась в захвате Amazon AWS S3, в котором хранились двоичные файлы, необходимые для его работы, и замене их на вредоносные. Когда пользователи неосознанно загружали вредоносный двоичный файл, размещенный злоумышленником, он выполнял обычные и ожидаемые действия пакета, а также добавлял вредоносную полезную нагрузку, предназначенную для кражи учетных данных пользователя и отправки их в тот же перехваченный ведро. Эта атака подчеркивает хрупкость наших процессов цепочки поставок программного обеспечения и служит напоминанием о том, что полагаясь на программные зависимости для доставки скомпилированных частей во время сборки, можно непреднамеренно доставить вредоносное ПО, если злоумышленник завладеет его службой хранения.

#ParsedReport #CompletenessLow
15-06-2023

Fake Security Researcher GitHub Repositories Deliver Malicious Implant. Key Takeaways

https://vulncheck.com/blog/fake-repos-deliver-malicious-implant

Report completeness: Low

Threats:
Findzip

Victims:
Security researchers

IOCs:
File: 2

Softs:
chrome, discord, whatsapp

Algorithms:
zip

Languages:
python

Links:
https://github.com/researchkendra91/signal-zeroday-exploit
https://github.com/darthvander20/whatsapp-zero-day-exploit/blob/main/poc.py