#ParsedReport #CompletenessHigh
16-06-2023
eSentire Threat Intelligence Malware Analysis: Aurora Stealer
https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-aurora-stealer
Report completeness: High
Threats:
Aurora
Cheshire_botnet
Hvnc_tool
Nmap_tool
Teamviewer_tool
Traffer
Raccoon_stealer
Vidar_stealer
Redline_stealer
Victims:
Manufacturing industry
Industry:
E-commerce, Financial
Geo:
America, Emea, Africa, Russian, Apac, Russia
TTPs:
IOCs:
File: 4
Command: 2
Hash: 3
IP: 4
Softs:
opera, mozilla firefox, chrome, telegram
Algorithms:
gzip, aes, zip, base64
Win API:
CreateCompatibleDC, GetDC, BitBlt, CryptProtectData, CryptUnprotectData
Languages:
python, golang
Platforms:
intel
YARA: Found
Links:
16-06-2023
eSentire Threat Intelligence Malware Analysis: Aurora Stealer
https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-aurora-stealer
Report completeness: High
Threats:
Aurora
Cheshire_botnet
Hvnc_tool
Nmap_tool
Teamviewer_tool
Traffer
Raccoon_stealer
Vidar_stealer
Redline_stealer
Victims:
Manufacturing industry
Industry:
E-commerce, Financial
Geo:
America, Emea, Africa, Russian, Apac, Russia
TTPs:
IOCs:
File: 4
Command: 2
Hash: 3
IP: 4
Softs:
opera, mozilla firefox, chrome, telegram
Algorithms:
gzip, aes, zip, base64
Win API:
CreateCompatibleDC, GetDC, BitBlt, CryptProtectData, CryptUnprotectData
Languages:
python, golang
Platforms:
intel
YARA: Found
Links:
https://github.com/RussianPanda95/Configuration\_extractors/blob/main/aurora\_config\_extractor.pyeSentire
eSentire Threat Intelligence Malware Analysis: Aurora Stealer
Dive deeper into the technical details gathered during eSentire’s Threat Response Unit (TRU) team’s research and threat analysis of the Aurora Stealer malware.
CTT Report Hub
#ParsedReport #CompletenessHigh 16-06-2023 eSentire Threat Intelligence Malware Analysis: Aurora Stealer https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-aurora-stealer Report completeness: High Threats: Aurora Cheshire_botnet…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что отдел реагирования на угрозы eSentire (TRU) заметил рост заражений вредоносным ПО Aurora Stealer в производственной отрасли.
-----
С декабря 2022 года отдел реагирования на угрозы (TRU) компании eSentire отмечает рост числа заражений вредоносным ПО Aurora Stealer в производственной сфере. Aurora Stealer - это вредоносная программа для кражи данных, которая собирает конфиденциальную информацию, включая файлы cookie, данные автозаполнения и зашифрованные пароли из таких веб-браузеров, как Opera, Brave и Chrome. Она продается на русскоязычных форумах по цене $125USD за один месяц доступа, $300USD за 3 месяца доступа и $1,000USD за пожизненный доступ.
Aurora Stealer распространяется различными методами. Google Ads используется для создания поддельных установочных файлов Notepad++, TeamViewer, Nvidia Driver и т.д. Вредоносная программа также использует преимущества инсталляторов (Russian: ), трейдеров (Russian: ) и сервисов Pay-Per-Install (PPI). После того как пользователь перенаправляется на целевую страницу злоумышленника, ему предлагается загрузить вредоносную полезную нагрузку stealer. Крадун также может распространяться через уже зараженные узлы с помощью других семейств вредоносных программ, таких как трояны удаленного доступа (RAT).
Чтобы избежать обнаружения антивирусными сканерами, Aurora Stealer упаковывается нежелательными байтами для увеличения размера файла и его архивирования. Он также использует сертификат Extended Validation (EV) для защиты онлайн-общения и отображения зеленой адресной строки в браузере, чтобы указать, что сайт заслуживает доверия. Вредоносная программа написана на языке Golang, способна похитить более 90 криптокошельков и имеет встроенный модуль Loader. Вредоносная программа хранит свои конфигурации в base64-кодированном формате и отправляет логи на C2-сервер через стандартный порт 8081 в формате JSON, сжатом GZIP, base64-кодированном.
В марте 2023 года разработчик крадника выпустил первое обновление с октября 2022 года. Обновление добавило новые возможности, такие как возможность захвата учетных данных FTP и RDP и изменение портов для панели крадущего и связи C2. Оно также позволяло злоумышленнику указывать расширения и дисковые накопители для модуля граббера.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что отдел реагирования на угрозы eSentire (TRU) заметил рост заражений вредоносным ПО Aurora Stealer в производственной отрасли.
-----
С декабря 2022 года отдел реагирования на угрозы (TRU) компании eSentire отмечает рост числа заражений вредоносным ПО Aurora Stealer в производственной сфере. Aurora Stealer - это вредоносная программа для кражи данных, которая собирает конфиденциальную информацию, включая файлы cookie, данные автозаполнения и зашифрованные пароли из таких веб-браузеров, как Opera, Brave и Chrome. Она продается на русскоязычных форумах по цене $125USD за один месяц доступа, $300USD за 3 месяца доступа и $1,000USD за пожизненный доступ.
Aurora Stealer распространяется различными методами. Google Ads используется для создания поддельных установочных файлов Notepad++, TeamViewer, Nvidia Driver и т.д. Вредоносная программа также использует преимущества инсталляторов (Russian: ), трейдеров (Russian: ) и сервисов Pay-Per-Install (PPI). После того как пользователь перенаправляется на целевую страницу злоумышленника, ему предлагается загрузить вредоносную полезную нагрузку stealer. Крадун также может распространяться через уже зараженные узлы с помощью других семейств вредоносных программ, таких как трояны удаленного доступа (RAT).
Чтобы избежать обнаружения антивирусными сканерами, Aurora Stealer упаковывается нежелательными байтами для увеличения размера файла и его архивирования. Он также использует сертификат Extended Validation (EV) для защиты онлайн-общения и отображения зеленой адресной строки в браузере, чтобы указать, что сайт заслуживает доверия. Вредоносная программа написана на языке Golang, способна похитить более 90 криптокошельков и имеет встроенный модуль Loader. Вредоносная программа хранит свои конфигурации в base64-кодированном формате и отправляет логи на C2-сервер через стандартный порт 8081 в формате JSON, сжатом GZIP, base64-кодированном.
В марте 2023 года разработчик крадника выпустил первое обновление с октября 2022 года. Обновление добавило новые возможности, такие как возможность захвата учетных данных FTP и RDP и изменение портов для панели крадущего и связи C2. Оно также позволяло злоумышленнику указывать расширения и дисковые накопители для модуля граббера.
#ParsedReport #CompletenessLow
19-06-2023
Warning: Malware Disguised as a Security Update Installer Being Distributed
https://asec.ahnlab.com/en/54375
Report completeness: Low
Industry:
Government
IOCs:
File: 1
Hash: 1
Domain: 1
19-06-2023
Warning: Malware Disguised as a Security Update Installer Being Distributed
https://asec.ahnlab.com/en/54375
Report completeness: Low
Industry:
Government
IOCs:
File: 1
Hash: 1
Domain: 1
ASEC BLOG
Warning: Malware Disguised as a Security Update Installer Being Distributed - ASEC BLOG
AhnLab, in collaboration with the National Cyber Security Center (NCSC) Joint Analysis and Consultation Council, has recently uncovered the attack of a hacking group that is supported by a certain government. The discovered malware disguised itself as a security…
CTT Report Hub
#ParsedReport #CompletenessLow 19-06-2023 Warning: Malware Disguised as a Security Update Installer Being Distributed https://asec.ahnlab.com/en/54375 Report completeness: Low Industry: Government IOCs: File: 1 Hash: 1 Domain: 1
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: AhnLab и Объединенный совет по анализу и консультациям NCSC обнаружили вредоносную атаку, замаскированную под обновление системы безопасности, и выпустили предупреждение, призывающее пользователей с осторожностью относиться к незнакомому программному обеспечению. Они также создали защиту от будущих атак, чтобы защитить пользователей от вредоносных действий.
-----
Компания AhnLab в сотрудничестве с Объединенным советом по анализу и консультациям Национального центра кибербезопасности (NCSC) недавно обнаружила вредоносную деятельность хакерской группы, поддерживаемой определенным правительством. Вредоносная программа была замаскирована под программу установки обновлений безопасности и разработана с использованием программного обеспечения Inno Setup. Краткое описание программы приведено в таблице ниже.
При дальнейшем изучении файла сценария было обнаружено, что вредоносная программа была установлена в системный путь C:\ProgramData. Также было обнаружено, что она была зарегистрирована при запуске в области реестра, работая при этом в системе. Затем с зараженного компьютера была похищена системная информация и отправлена на командно-контрольный (C&C) сервер хакеров. Кроме того, хакеры смогли удаленно выполнить целый ряд дополнительных команд.
Inno Setup - это программное обеспечение, используемое для создания инсталляторов для программ Windows. Она позволяет разработчикам создавать инсталляторы для своих приложений и даже может использоваться для создания самораспаковывающихся архивов. Программа доступна бесплатно и широко используется многими разработчиками благодаря высокой степени настройки.
Когда AhnLab и Объединенный совет по анализу и консультациям NCSC обнаружили атаку, они немедленно выпустили предупреждение о вредоносной программе. Они призвали пользователей убедиться, что все обновления безопасности, которые они устанавливают, получены из надежного источника, и с опаской относиться к незнакомому программному обеспечению. Кроме того, они рекомендовали пользователям регулярно проверять свои системы на предмет любой подозрительной активности.
К сожалению, источник атаки остается неизвестным. AhnLab и NCSC совместно работают над анализом вредоносного ПО и созданием защиты от будущих атак. Однако опасность все еще сохраняется, и пользователи должны оставаться бдительными. Просвещая пользователей об опасности вредоносных программ и создавая средства защиты от потенциальных атак, AhnLab и NCSC надеются защитить пользователей от вредоносных действий и обезопасить их системы.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: AhnLab и Объединенный совет по анализу и консультациям NCSC обнаружили вредоносную атаку, замаскированную под обновление системы безопасности, и выпустили предупреждение, призывающее пользователей с осторожностью относиться к незнакомому программному обеспечению. Они также создали защиту от будущих атак, чтобы защитить пользователей от вредоносных действий.
-----
Компания AhnLab в сотрудничестве с Объединенным советом по анализу и консультациям Национального центра кибербезопасности (NCSC) недавно обнаружила вредоносную деятельность хакерской группы, поддерживаемой определенным правительством. Вредоносная программа была замаскирована под программу установки обновлений безопасности и разработана с использованием программного обеспечения Inno Setup. Краткое описание программы приведено в таблице ниже.
При дальнейшем изучении файла сценария было обнаружено, что вредоносная программа была установлена в системный путь C:\ProgramData. Также было обнаружено, что она была зарегистрирована при запуске в области реестра, работая при этом в системе. Затем с зараженного компьютера была похищена системная информация и отправлена на командно-контрольный (C&C) сервер хакеров. Кроме того, хакеры смогли удаленно выполнить целый ряд дополнительных команд.
Inno Setup - это программное обеспечение, используемое для создания инсталляторов для программ Windows. Она позволяет разработчикам создавать инсталляторы для своих приложений и даже может использоваться для создания самораспаковывающихся архивов. Программа доступна бесплатно и широко используется многими разработчиками благодаря высокой степени настройки.
Когда AhnLab и Объединенный совет по анализу и консультациям NCSC обнаружили атаку, они немедленно выпустили предупреждение о вредоносной программе. Они призвали пользователей убедиться, что все обновления безопасности, которые они устанавливают, получены из надежного источника, и с опаской относиться к незнакомому программному обеспечению. Кроме того, они рекомендовали пользователям регулярно проверять свои системы на предмет любой подозрительной активности.
К сожалению, источник атаки остается неизвестным. AhnLab и NCSC совместно работают над анализом вредоносного ПО и созданием защиты от будущих атак. Однако опасность все еще сохраняется, и пользователи должны оставаться бдительными. Просвещая пользователей об опасности вредоносных программ и создавая средства защиты от потенциальных атак, AhnLab и NCSC надеются защитить пользователей от вредоносных действий и обезопасить их системы.
#ParsedReport #CompletenessLow
16-06-2023
OnlyDcRatFans: Malware Distributed Using Explicit Lures of OnlyFans Pages and Other Adult Content
https://www.esentire.com/blog/onlydcratfans-malware-distributed-using-explicit-lures-of-onlyfans-pages-and-other-adult-content
Report completeness: Low
Threats:
Dcrat
Asyncrat_rat
More_eggs
Geo:
Emea, America, Apac, Africa
ChatGPT TTPs:
T1113, T1059, T1064, T1083, T1053, T1086, T1047, T1112
IOCs:
Hash: 3
File: 5
IP: 1
Softs:
discord
Algorithms:
pbkdf2, zip
Functions:
replace
Win API:
CallWindowProcW, VirtualAlloc
Languages:
javascript
Platforms:
intel
Links:
16-06-2023
OnlyDcRatFans: Malware Distributed Using Explicit Lures of OnlyFans Pages and Other Adult Content
https://www.esentire.com/blog/onlydcratfans-malware-distributed-using-explicit-lures-of-onlyfans-pages-and-other-adult-content
Report completeness: Low
Threats:
Dcrat
Asyncrat_rat
More_eggs
Geo:
Emea, America, Apac, Africa
ChatGPT TTPs:
do not use without manual checkT1113, T1059, T1064, T1083, T1053, T1086, T1047, T1112
IOCs:
Hash: 3
File: 5
IP: 1
Softs:
discord
Algorithms:
pbkdf2, zip
Functions:
replace
Win API:
CallWindowProcW, VirtualAlloc
Languages:
javascript
Platforms:
intel
Links:
https://github.com/qwqdanchun/DcRateSentire
OnlyDcRatFans: Malware Distributed Using Explicit Lures of OnlyFans…
Learn more about the DcRAT malware and get security recommendations from our Threat Response Unit (TRU) to protect your business from this cyber threat.
CTT Report Hub
#ParsedReport #CompletenessLow 16-06-2023 OnlyDcRatFans: Malware Distributed Using Explicit Lures of OnlyFans Pages and Other Adult Content https://www.esentire.com/blog/onlydcratfans-malware-distributed-using-explicit-lures-of-onlyfans-pages-and-other-adult…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: TRU выявили опасную угрозу под названием DcRAT, которая активно распространяется с помощью откровенных заманух для взрослых.
-----
Threat Response Unit (TRU) в мае 2023 года выявила DcRAT, клон AsyncRAT, у клиента из сферы бытовых услуг. DcRAT - это инструмент удаленного доступа с возможностями кражи информации и выкупа, который активно распространяется с помощью откровенных заманух на страницах OnlyFans и другого контента для взрослых. Вредоносная программа закодирована в шестнадцатеричном коде, перевернута и дополнена нежелательными символами, чтобы скрыть ее от обнаружения. Она внедряется в \Microsoft.NET\Framework\v4.0.30319\RegAsm.exe и использует объект DynamicWrapperX для загрузки CallWindowProcW из user32.dll и VirtualAlloc из kernel32.dll.
DcRAT имеет несколько плагинов, не предлагаемых в базовом репозитории AsyncRAT, включая кражу учетных данных и файлов cookie в браузере, кражу токенов Discord и плагин для выкупа. Плагин ransomware шифрует несистемные файлы и добавляет к имени файла .DcRat. Поскольку код DcRAT доступен на GitHub, он, скорее всего, будет отмечен антивирусными программами или песочницами вредоносных программ как AsyncRAT, поскольку большая часть кодовой базы совпадает. Однако значение соли PBKDF2 и мьютекс DC*string*RatMutexqwqdan3chun могут помочь быстро идентифицировать DcRAT.
Средства защиты с открытым исходным кодом и вредоносные программы обычно используются как низкоквалифицированными, так и сложными субъектами. Использование приманок, связанных с контентом для взрослых, снижает вероятность самоотчета жертв, а DcRAT предлагает множество способов монетизации зараженных систем. Общедоступные образцы, связанные с этой деятельностью, датируются январем 2023 года, что указывает на то, что операторы, вероятно, добились определенного успеха за этот шестимесячный период, используя комбинацию бесплатного вредоносного ПО и общеизвестного VBS-загрузчика.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: TRU выявили опасную угрозу под названием DcRAT, которая активно распространяется с помощью откровенных заманух для взрослых.
-----
Threat Response Unit (TRU) в мае 2023 года выявила DcRAT, клон AsyncRAT, у клиента из сферы бытовых услуг. DcRAT - это инструмент удаленного доступа с возможностями кражи информации и выкупа, который активно распространяется с помощью откровенных заманух на страницах OnlyFans и другого контента для взрослых. Вредоносная программа закодирована в шестнадцатеричном коде, перевернута и дополнена нежелательными символами, чтобы скрыть ее от обнаружения. Она внедряется в \Microsoft.NET\Framework\v4.0.30319\RegAsm.exe и использует объект DynamicWrapperX для загрузки CallWindowProcW из user32.dll и VirtualAlloc из kernel32.dll.
DcRAT имеет несколько плагинов, не предлагаемых в базовом репозитории AsyncRAT, включая кражу учетных данных и файлов cookie в браузере, кражу токенов Discord и плагин для выкупа. Плагин ransomware шифрует несистемные файлы и добавляет к имени файла .DcRat. Поскольку код DcRAT доступен на GitHub, он, скорее всего, будет отмечен антивирусными программами или песочницами вредоносных программ как AsyncRAT, поскольку большая часть кодовой базы совпадает. Однако значение соли PBKDF2 и мьютекс DC*string*RatMutexqwqdan3chun могут помочь быстро идентифицировать DcRAT.
Средства защиты с открытым исходным кодом и вредоносные программы обычно используются как низкоквалифицированными, так и сложными субъектами. Использование приманок, связанных с контентом для взрослых, снижает вероятность самоотчета жертв, а DcRAT предлагает множество способов монетизации зараженных систем. Общедоступные образцы, связанные с этой деятельностью, датируются январем 2023 года, что указывает на то, что операторы, вероятно, добились определенного успеха за этот шестимесячный период, используя комбинацию бесплатного вредоносного ПО и общеизвестного VBS-загрузчика.
#ParsedReport #CompletenessLow
19-06-2023
Evasive File Smuggling with Skyhook
https://www.blackhillsinfosec.com/evasive-file-smuggling-with-skyhook
Report completeness: Low
Threats:
File_smuggling_technique
Skyhook_tool
Glasses
Beacon
Imminentmonitor_rat
Victims:
Corporate workstations defended by signature-based perimeter controls
ChatGPT TTPs:
T1090, T1566.003, T1036, T1573.001, T1071.001, T1573.002
Softs:
docker
Algorithms:
aes, xor, base64
Functions:
REST
Languages:
javascript
Links:
19-06-2023
Evasive File Smuggling with Skyhook
https://www.blackhillsinfosec.com/evasive-file-smuggling-with-skyhook
Report completeness: Low
Threats:
File_smuggling_technique
Skyhook_tool
Glasses
Beacon
Imminentmonitor_rat
Victims:
Corporate workstations defended by signature-based perimeter controls
ChatGPT TTPs:
do not use without manual checkT1090, T1566.003, T1036, T1573.001, T1071.001, T1573.002
Softs:
docker
Algorithms:
aes, xor, base64
Functions:
REST
Languages:
javascript
Links:
https://github.com/SnaffCon/Snafflerhttps://github.com/blackhillsinfosec/skyhookhttps://github.com/blackhillsinfosec/skyhook-obfuscation
CTT Report Hub
#ParsedReport #CompletenessLow 19-06-2023 Evasive File Smuggling with Skyhook https://www.blackhillsinfosec.com/evasive-file-smuggling-with-skyhook Report completeness: Low Threats: File_smuggling_technique Skyhook_tool Glasses Beacon Imminentmonitor_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что Skyhook - это новый инструмент с открытым исходным кодом, доступный на GitHub, который устраняет два незначительных этапа The Obfuscation Hustle, обеспечивая при этом функциональность обфусцированной эксфильтрации файлов. Он эффективно избегает обнаружения IDPS или другими сетевыми средствами контроля и является отличным инструментом для операторов, которым необходимо эффективно и безопасно получить доступ к внутренней рабочей станции или передать файлы.
-----
Обфускация - это утомительный процесс, который используется для доставки файлов на корпоративные рабочие станции, защищенные сигнатурными средствами контроля периметра. Skyhook - это новый инструмент с открытым исходным кодом, доступный на GitHub, который устраняет два несущественных этапа The Hustle, обеспечивая при этом функциональность эксфильтрации файлов с обфускацией. Skyhook не повышает конфиденциальность передаваемых файлов, не обманывая средства контроля периметра, а служит способом обфускации данных достаточно долго, чтобы их можно было пронести мимо средств контроля, а затем деобфусцировать их перед записью на диск. Skyhook был разработан для того, чтобы сократить ручной труд по применению обфускации для обхода сетевого контроля, и позволяет пользователям настраивать различные алгоритмы шифрования для изменения содержимого при передаче. Skyhook предлагает четыре дополнительных метода обфускации, которые могут быть соединены в произвольном порядке: AES, XOR, Blowfish, Twofish. В нем также есть кнопка быстрого копирования, которая генерирует ссылки на службу передачи, содержащие динамически сгенерированные пути, созданные при получении конфигурационного файла командой создания Skyhook, а также ключи шифрования для JS-загрузчика. Сообщалось, что Skyhook эффективно избегает обнаружения IDPS или другими сетевыми средствами контроля во время тех немногих операций, в которых он использовался. Однако трудно определить его эффективность при наличии хорошо настроенных средств обнаружения. Skyhook - отличный инструмент для операторов, которым необходим эффективный и безопасный доступ к внутренней рабочей станции или передача файлов через безопасный и надежный метод доступа к сети.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея этого текста заключается в том, что Skyhook - это новый инструмент с открытым исходным кодом, доступный на GitHub, который устраняет два незначительных этапа The Obfuscation Hustle, обеспечивая при этом функциональность обфусцированной эксфильтрации файлов. Он эффективно избегает обнаружения IDPS или другими сетевыми средствами контроля и является отличным инструментом для операторов, которым необходимо эффективно и безопасно получить доступ к внутренней рабочей станции или передать файлы.
-----
Обфускация - это утомительный процесс, который используется для доставки файлов на корпоративные рабочие станции, защищенные сигнатурными средствами контроля периметра. Skyhook - это новый инструмент с открытым исходным кодом, доступный на GitHub, который устраняет два несущественных этапа The Hustle, обеспечивая при этом функциональность эксфильтрации файлов с обфускацией. Skyhook не повышает конфиденциальность передаваемых файлов, не обманывая средства контроля периметра, а служит способом обфускации данных достаточно долго, чтобы их можно было пронести мимо средств контроля, а затем деобфусцировать их перед записью на диск. Skyhook был разработан для того, чтобы сократить ручной труд по применению обфускации для обхода сетевого контроля, и позволяет пользователям настраивать различные алгоритмы шифрования для изменения содержимого при передаче. Skyhook предлагает четыре дополнительных метода обфускации, которые могут быть соединены в произвольном порядке: AES, XOR, Blowfish, Twofish. В нем также есть кнопка быстрого копирования, которая генерирует ссылки на службу передачи, содержащие динамически сгенерированные пути, созданные при получении конфигурационного файла командой создания Skyhook, а также ключи шифрования для JS-загрузчика. Сообщалось, что Skyhook эффективно избегает обнаружения IDPS или другими сетевыми средствами контроля во время тех немногих операций, в которых он использовался. Однако трудно определить его эффективность при наличии хорошо настроенных средств обнаружения. Skyhook - отличный инструмент для операторов, которым необходим эффективный и безопасный доступ к внутренней рабочей станции или передача файлов через безопасный и надежный метод доступа к сети.
#ParsedReport #CompletenessHigh
16-06-2023
eSentire Threat Intelligence Malware Analysis: Resident Campaign
https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-resident-campaign
Report completeness: High
Actors/Campaigns:
Dev-0960
Threats:
Rhadamanthys
Teamviewer_tool
Cobalt_strike
Lolbas_technique
Tron
Beacon
Redline_stealer
Vidar_stealer
Industry:
Financial, Healthcare
Geo:
America, Africa, Russian, Ukraine, Russia, Apac, Emea
TTPs:
IOCs:
Domain: 1
Hash: 21
File: 25
Path: 5
Registry: 1
IP: 6
Url: 2
Command: 3
Softs:
wordpress, windows installer, autohotkey, task scheduler, irfanview, authy, keepass, pidgin, discord, telegram, have more...
Wallets:
auvitas, bitapp, crocobit, finnie, guild_wallet, iconex, jaxx, keplr, liquality_wallet, mtv_wallet, have more...
Crypto:
starcoin, binance, bitcoingold, dogecoin, ethereum, monero
Algorithms:
base64, rc4, aes-256, crc-32
Functions:
_ScreenCapture_SetJPGQuality, _ScreenCapture_Capture
Win API:
LoadLibraryA, CryptStringToBinaryA, CreateFileMappingA, MapViewOfFile, CreateToolhelp32Snapshot, CreateThread, SetThreadContext, CreateRemoteThread, RtlCreateUserThread, VirtualAllocEx, have more...
Languages:
autoit, python, php, visual_basic, javascript
Platforms:
intel
YARA: Found
16-06-2023
eSentire Threat Intelligence Malware Analysis: Resident Campaign
https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-resident-campaign
Report completeness: High
Actors/Campaigns:
Dev-0960
Threats:
Rhadamanthys
Teamviewer_tool
Cobalt_strike
Lolbas_technique
Tron
Beacon
Redline_stealer
Vidar_stealer
Industry:
Financial, Healthcare
Geo:
America, Africa, Russian, Ukraine, Russia, Apac, Emea
TTPs:
IOCs:
Domain: 1
Hash: 21
File: 25
Path: 5
Registry: 1
IP: 6
Url: 2
Command: 3
Softs:
wordpress, windows installer, autohotkey, task scheduler, irfanview, authy, keepass, pidgin, discord, telegram, have more...
Wallets:
auvitas, bitapp, crocobit, finnie, guild_wallet, iconex, jaxx, keplr, liquality_wallet, mtv_wallet, have more...
Crypto:
starcoin, binance, bitcoingold, dogecoin, ethereum, monero
Algorithms:
base64, rc4, aes-256, crc-32
Functions:
_ScreenCapture_SetJPGQuality, _ScreenCapture_Capture
Win API:
LoadLibraryA, CryptStringToBinaryA, CreateFileMappingA, MapViewOfFile, CreateToolhelp32Snapshot, CreateThread, SetThreadContext, CreateRemoteThread, RtlCreateUserThread, VirtualAllocEx, have more...
Languages:
autoit, python, php, visual_basic, javascript
Platforms:
intel
YARA: Found
eSentire
eSentire Threat Intelligence Malware Analysis: Resident Campaign
Learn about the Resident campaign and the threat actor's use of Rhamadanthys stealer in this malware analysis from Threat Response Unit (TRU).
CTT Report Hub
#ParsedReport #CompletenessHigh 16-06-2023 eSentire Threat Intelligence Malware Analysis: Resident Campaign https://www.esentire.com/blog/esentire-threat-intelligence-malware-analysis-resident-campaign Report completeness: High Actors/Campaigns: Dev-0960…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Отдел реагирования на угрозы eSentire (TRU) обнаружил вредоносную кампанию, направленную на производственные, коммерческие и медицинские организации. Предполагается, что эта кампания проводится русскоязычными угрожающими субъектами и осуществляется через фишинговые электронные письма с вложениями PDF и взломанные веб-сайты, на которых размещаются полезные нагрузки JavaScript. Вредоносная полезная нагрузка включает пользовательский бэкдор, загрузчик Cobalt Strike, Windows-kill.exe, netping.exe, i_view32.exe и Rhadamanthys stealer.
-----
Отдел реагирования на угрозы eSentire (TRU) обнаружил вредоносную кампанию, направленную на производственные, коммерческие и медицинские организации, аналогичную той, о которой исследователи Trend Micro сообщили в декабре 2020 года. Предполагается, что эта кампания проводится русскоязычными субъектами угроз. Вредоносная полезная нагрузка распространяется через фишинговые электронные письма с PDF-вложениями и взломанные веб-сайты, содержащие полезную нагрузку JavaScript. Кампания получила название "Resident" в честь пользовательского бэкдора, полученного в ходе одной из установленных сессий с командно-контрольным (C2) сервером. Бэкдор обладает возможностями для достижения стойкости и развертывания вторичной полезной нагрузки.
Начальным вектором заражения является фишинговое электронное письмо, и угрожающие субъекты используют перехват электронной почты для доставки вредоносной полезной нагрузки с вложением в формате PDF. Вредоносная полезная нагрузка JavaScript обычно размещается на взломанных веб-сайтах WordPress. Вредоносная команда PowerShell извлекает и выполняет сценарий PowerShell с домена, размещенного злоумышленником. Вредоносной полезной нагрузкой является загрузчик Cobalt Strike, который способен перечислить процесс powershell.exe и запросить права доступа на чтение и запись к этому процессу.
Угрожающий агент(ы) также развернул инструмент бэкдора под названием resident2.exe, а также инструменты Windows-kill.exe и netping.exe. Кроме того, был запущен инструмент графического редактора i_view32.exe, чтобы сделать снимок экрана зараженного узла. Угрожающий агент попытался развернуть стеллер Rhadamanthys, который известен своими скрытными возможностями, эксфильтрацией системной информации, скриншотами, учетными данными браузера и cookies, криптокошельками, FTP, почтовыми клиентами и многим другим.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Отдел реагирования на угрозы eSentire (TRU) обнаружил вредоносную кампанию, направленную на производственные, коммерческие и медицинские организации. Предполагается, что эта кампания проводится русскоязычными угрожающими субъектами и осуществляется через фишинговые электронные письма с вложениями PDF и взломанные веб-сайты, на которых размещаются полезные нагрузки JavaScript. Вредоносная полезная нагрузка включает пользовательский бэкдор, загрузчик Cobalt Strike, Windows-kill.exe, netping.exe, i_view32.exe и Rhadamanthys stealer.
-----
Отдел реагирования на угрозы eSentire (TRU) обнаружил вредоносную кампанию, направленную на производственные, коммерческие и медицинские организации, аналогичную той, о которой исследователи Trend Micro сообщили в декабре 2020 года. Предполагается, что эта кампания проводится русскоязычными субъектами угроз. Вредоносная полезная нагрузка распространяется через фишинговые электронные письма с PDF-вложениями и взломанные веб-сайты, содержащие полезную нагрузку JavaScript. Кампания получила название "Resident" в честь пользовательского бэкдора, полученного в ходе одной из установленных сессий с командно-контрольным (C2) сервером. Бэкдор обладает возможностями для достижения стойкости и развертывания вторичной полезной нагрузки.
Начальным вектором заражения является фишинговое электронное письмо, и угрожающие субъекты используют перехват электронной почты для доставки вредоносной полезной нагрузки с вложением в формате PDF. Вредоносная полезная нагрузка JavaScript обычно размещается на взломанных веб-сайтах WordPress. Вредоносная команда PowerShell извлекает и выполняет сценарий PowerShell с домена, размещенного злоумышленником. Вредоносной полезной нагрузкой является загрузчик Cobalt Strike, который способен перечислить процесс powershell.exe и запросить права доступа на чтение и запись к этому процессу.
Угрожающий агент(ы) также развернул инструмент бэкдора под названием resident2.exe, а также инструменты Windows-kill.exe и netping.exe. Кроме того, был запущен инструмент графического редактора i_view32.exe, чтобы сделать снимок экрана зараженного узла. Угрожающий агент попытался развернуть стеллер Rhadamanthys, который известен своими скрытными возможностями, эксфильтрацией системной информации, скриншотами, учетными данными браузера и cookies, криптокошельками, FTP, почтовыми клиентами и многим другим.
#ParsedReport #CompletenessLow
19-06-2023
Case Study: cracking a global Adversary-In-The-Middle campaign using a threat intelligence toolkit
https://blog.sygnia.co/cracking-global-phishing-campaign-using-threat-intelligence-toolkit
Report completeness: Low
Actors/Campaigns:
Bronze_starlight
Energeticbear
Bec
Threats:
Aitm_technique
Nightsky
Cheerscrypt
Formbook
Industry:
Financial
Geo:
Australia
IOCs:
Domain: 5
IP: 1
File: 1
Softs:
office365, microsoft 365 defender
19-06-2023
Case Study: cracking a global Adversary-In-The-Middle campaign using a threat intelligence toolkit
https://blog.sygnia.co/cracking-global-phishing-campaign-using-threat-intelligence-toolkit
Report completeness: Low
Actors/Campaigns:
Bronze_starlight
Energeticbear
Bec
Threats:
Aitm_technique
Nightsky
Cheerscrypt
Formbook
Industry:
Financial
Geo:
Australia
IOCs:
Domain: 5
IP: 1
File: 1
Softs:
office365, microsoft 365 defender
blog.sygnia.co
Case Study: cracking a global Adversary-In-The-Middle campaign using a threat intelligence toolkit
Using a variety of CTI enrichment techniques Sygnia was able to determine that the BEC attack was only a part of a much wider campaign, potentially impacting dozens of world-wide organizations.
CTT Report Hub
#ParsedReport #CompletenessLow 19-06-2023 Case Study: cracking a global Adversary-In-The-Middle campaign using a threat intelligence toolkit https://blog.sygnia.co/cracking-global-phishing-campaign-using-threat-intelligence-toolkit Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Sygnia недавно расследовала атаку Cheerscrypt ransomware, которая использовала TTPs Night Sky ransomware, и обнаружила, что она была частью более крупной атаки BEC.-----
Недавно компания Sygnia расследовала атаку Cheerscrypt ransomware, в которой использовалась технология Night Sky ransomware TTP. Дальнейший анализ показал, что эти два ребрендинга одной и той же угрожающей группы, которую Sygnia назвала Emperor Dragonfly, были частью более крупной BEC-атаки. Вначале субъект угрозы получил доступ к учетной записи одного из сотрудников жертвы и эксфильтрировал данные со скомпрометированной учетной записи. Затем он использовал свой доступ для распространения фишинговых атак на других сотрудников жертвы и несколько внешних целевых организаций.
Используя различные методы обогащения CTI, Sygnia смогла определить, что эта BEC-атака была лишь частью гораздо более широкой кампании, потенциально затрагивающей десятки организаций по всему миру. Чтобы помочь специалистам по безопасности проанализировать подозрительные и вредоносные IOC, с которыми они сталкиваются в ходе ежедневного мониторинга и обнаружения, Sygnia разработала набор инструментов для обогащения CTI.
Фишинговое письмо, отправленное сотруднику клиента, пришло с легитимного почтового ящика внешней компании, который, как предполагается, был ранее взломан. Фишинговое письмо содержало ссылку, ведущую на страницу запроса обмена файлами, которая располагалась на предполагаемом взломанном домене. После прохождения проверки I'm not a robot, организованной Cloudflare, жертва была направлена на мошенническую страницу аутентификации Office365, созданную фишинговым набором. После того как жертва ввела свои учетные данные, фишинговый набор инициировал атаку Adversary in the Middle (AiTM), перенаправляя клиентскую аутентификацию и вызов MFA в легитимную службу аутентификации Microsoft, при этом похищая полученный токен сессии, а также учетные данные для доступа к учетной записи.
Затем угрожающий субъект вошел в учетную запись жертвы, используя украденный токен, и добавил новое устройство MFA, чтобы получить постоянный доступ. Он использовал этот доступ для отправки новых фишинговых писем с вредоносной ссылкой десяткам сотрудников клиента, а также другим целевым организациям. Запись WHOIS домена, на котором размещена фишинговая страница, была обновлена 2 июня 2022 года и зарегистрирована на имя NAMECHEAP INC с ограничениями конфиденциальности. Запрос на вредоносный IP с помощью RiskIQ дал несколько результатов, а запрос на связи IP с помощью VirusTotal обнаружил около 100 вредоносных файлов с недавними загрузками, связанных с ним. Некоторые из этих файлов оказались связаны с семейством вредоносных программ FormBook.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Sygnia недавно расследовала атаку Cheerscrypt ransomware, которая использовала TTPs Night Sky ransomware, и обнаружила, что она была частью более крупной атаки BEC.-----
Недавно компания Sygnia расследовала атаку Cheerscrypt ransomware, в которой использовалась технология Night Sky ransomware TTP. Дальнейший анализ показал, что эти два ребрендинга одной и той же угрожающей группы, которую Sygnia назвала Emperor Dragonfly, были частью более крупной BEC-атаки. Вначале субъект угрозы получил доступ к учетной записи одного из сотрудников жертвы и эксфильтрировал данные со скомпрометированной учетной записи. Затем он использовал свой доступ для распространения фишинговых атак на других сотрудников жертвы и несколько внешних целевых организаций.
Используя различные методы обогащения CTI, Sygnia смогла определить, что эта BEC-атака была лишь частью гораздо более широкой кампании, потенциально затрагивающей десятки организаций по всему миру. Чтобы помочь специалистам по безопасности проанализировать подозрительные и вредоносные IOC, с которыми они сталкиваются в ходе ежедневного мониторинга и обнаружения, Sygnia разработала набор инструментов для обогащения CTI.
Фишинговое письмо, отправленное сотруднику клиента, пришло с легитимного почтового ящика внешней компании, который, как предполагается, был ранее взломан. Фишинговое письмо содержало ссылку, ведущую на страницу запроса обмена файлами, которая располагалась на предполагаемом взломанном домене. После прохождения проверки I'm not a robot, организованной Cloudflare, жертва была направлена на мошенническую страницу аутентификации Office365, созданную фишинговым набором. После того как жертва ввела свои учетные данные, фишинговый набор инициировал атаку Adversary in the Middle (AiTM), перенаправляя клиентскую аутентификацию и вызов MFA в легитимную службу аутентификации Microsoft, при этом похищая полученный токен сессии, а также учетные данные для доступа к учетной записи.
Затем угрожающий субъект вошел в учетную запись жертвы, используя украденный токен, и добавил новое устройство MFA, чтобы получить постоянный доступ. Он использовал этот доступ для отправки новых фишинговых писем с вредоносной ссылкой десяткам сотрудников клиента, а также другим целевым организациям. Запись WHOIS домена, на котором размещена фишинговая страница, была обновлена 2 июня 2022 года и зарегистрирована на имя NAMECHEAP INC с ограничениями конфиденциальности. Запрос на вредоносный IP с помощью RiskIQ дал несколько результатов, а запрос на связи IP с помощью VirusTotal обнаружил около 100 вредоносных файлов с недавними загрузками, связанных с ним. Некоторые из этих файлов оказались связаны с семейством вредоносных программ FormBook.
👍1
#ParsedReport #CompletenessLow
19-06-2023
Fragments of Cross-Platform Backdoor Hint at Larger Mac OS Attack
https://www.bitdefender.com/blog/labs/fragments-of-cross-platform-backdoor-hint-at-larger-mac-os-attack
Report completeness: Low
Threats:
JokerSpy
Victims:
Mac os, windows and linux-based operating systems
TTPs:
Tactics: 1
Technics: 0
IOCs:
Hash: 6
File: 4
Softs:
mac os, macos
Algorithms:
base64, sha1
Functions:
load_setting, CGPreflightScreenCaptureAccess
Languages:
python
Platforms:
arm, intel, x86, apple
19-06-2023
Fragments of Cross-Platform Backdoor Hint at Larger Mac OS Attack
https://www.bitdefender.com/blog/labs/fragments-of-cross-platform-backdoor-hint-at-larger-mac-os-attack
Report completeness: Low
Threats:
JokerSpy
Victims:
Mac os, windows and linux-based operating systems
TTPs:
Tactics: 1
Technics: 0
IOCs:
Hash: 6
File: 4
Softs:
mac os, macos
Algorithms:
base64, sha1
Functions:
load_setting, CGPreflightScreenCaptureAccess
Languages:
python
Platforms:
arm, intel, x86, apple
Bitdefender Labs
Fragments of Cross-Platform Backdoor Hint at Larger Mac OS Attack
During routine detection maintenance, our Mac researchers stumbled upon a small set of files with backdoor capabilities that seem to form part of a more complex malware toolkit.
CTT Report Hub
#ParsedReport #CompletenessLow 19-06-2023 Fragments of Cross-Platform Backdoor Hint at Larger Mac OS Attack https://www.bitdefender.com/blog/labs/fragments-of-cross-platform-backdoor-hint-at-larger-mac-os-attack Report completeness: Low Threats: JokerSpy…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Наши исследователи Mac недавно обнаружили набор инструментов вредоносного ПО, который нацелен на несколько операционных систем и извлекает конкретные сведения о системе жертвы. Вредоносные субъекты, стоящие за этой атакой, использовали специальную подпись для своих файлов и жестко закодировали командно-контрольный сервер в одном из бэкдоров, чтобы остаться незамеченными.
-----
Наши исследователи Mac недавно обнаружили набор файлов с возможностями бэкдора, которые, по-видимому, являются частью более сложного набора инструментов вредоносного ПО. Выделенные образцы представляли собой общие бэкдоры, написанные на языке Python и предназначенные для операционных систем на базе Mac OS, Windows и Linux. Бэкдор sh.py мог сохранять параметры конфигурации в файле \~/Public/Safari/sar.dat после кодирования их в base64. Этот бэкдор также имел функцию 'get_basic_information' для извлечения специфических сведений о системе, таких как имя хоста, имя пользователя, версия ОС и версия Python. Третий компонент представлял собой двоичный файл FAT, содержащий файлы Mach-O для архитектур x86 Intel и ARM M1 и был написан на языке Swift. Он был предназначен для проверки разрешений перед использованием потенциально шпионского компонента, но не включал его.
Командно-контрольный сервер был жестко закодирован в бэкдоре share.dat Python, а первое упоминание о домене датируется 10 февраля 2023 года. Продукты Bitdefender идентифицировали компоненты Python как Trojan.Python.JokerSpy, а двоичные файлы Mach-O как Trojan.MAC.JokerSpy.
Эти находки указывают на то, что исследованный нами набор инструментов вредоносного ПО был частью гораздо более масштабной атаки, в которой могут присутствовать и другие компоненты, которые пока не обнаружены. Хотя анализ еще не завершен, ясно, что этот конкретный набор инструментов был разработан для атаки на несколько операционных систем и извлечения конкретных сведений о системе жертвы. Похоже, что злоумышленники, стоящие за этой атакой, хотели остаться незамеченными, используя специальную подпись для своих файлов и жестко кодируя сервер командного управления в одном из бэкдоров.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Наши исследователи Mac недавно обнаружили набор инструментов вредоносного ПО, который нацелен на несколько операционных систем и извлекает конкретные сведения о системе жертвы. Вредоносные субъекты, стоящие за этой атакой, использовали специальную подпись для своих файлов и жестко закодировали командно-контрольный сервер в одном из бэкдоров, чтобы остаться незамеченными.
-----
Наши исследователи Mac недавно обнаружили набор файлов с возможностями бэкдора, которые, по-видимому, являются частью более сложного набора инструментов вредоносного ПО. Выделенные образцы представляли собой общие бэкдоры, написанные на языке Python и предназначенные для операционных систем на базе Mac OS, Windows и Linux. Бэкдор sh.py мог сохранять параметры конфигурации в файле \~/Public/Safari/sar.dat после кодирования их в base64. Этот бэкдор также имел функцию 'get_basic_information' для извлечения специфических сведений о системе, таких как имя хоста, имя пользователя, версия ОС и версия Python. Третий компонент представлял собой двоичный файл FAT, содержащий файлы Mach-O для архитектур x86 Intel и ARM M1 и был написан на языке Swift. Он был предназначен для проверки разрешений перед использованием потенциально шпионского компонента, но не включал его.
Командно-контрольный сервер был жестко закодирован в бэкдоре share.dat Python, а первое упоминание о домене датируется 10 февраля 2023 года. Продукты Bitdefender идентифицировали компоненты Python как Trojan.Python.JokerSpy, а двоичные файлы Mach-O как Trojan.MAC.JokerSpy.
Эти находки указывают на то, что исследованный нами набор инструментов вредоносного ПО был частью гораздо более масштабной атаки, в которой могут присутствовать и другие компоненты, которые пока не обнаружены. Хотя анализ еще не завершен, ясно, что этот конкретный набор инструментов был разработан для атаки на несколько операционных систем и извлечения конкретных сведений о системе жертвы. Похоже, что злоумышленники, стоящие за этой атакой, хотели остаться незамеченными, используя специальную подпись для своих файлов и жестко кодируя сервер командного управления в одном из бэкдоров.
#ParsedReport #CompletenessLow
16-06-2023
Cisco Talos Intelligence Blog. Active exploitation of the MOVEit Transfer vulnerability - CVE-2023-34362 - by Clop ransomware group
https://blog.talosintelligence.com/active-exploitation-of-moveit
Report completeness: Low
Threats:
Clop
Lemurloot
Victims:
Progress software corporation, customers of their moveit transfer solution
Industry:
Healthcare, Financial
CVEs:
CVE-2023-35036 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- progress moveit transfer (<2023.0.2, <2022.1.6, <2022.0.5, <2021.1.5, <2021.0.7)
CVE-2023-35708 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
CVE-2023-34362 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- progress moveit cloud (<15.0.2.39, <14.0.5.45, <14.1.6.97)
- progress moveit transfer (<2023.0.2, <2022.1.6, <2022.0.5, <2021.1.5, <2021.0.7, le2020.1.6)
ChatGPT TTPs:
T1218.003, T1059.003, T1090, T1140
IOCs:
Hash: 9
Softs:
moveit
16-06-2023
Cisco Talos Intelligence Blog. Active exploitation of the MOVEit Transfer vulnerability - CVE-2023-34362 - by Clop ransomware group
https://blog.talosintelligence.com/active-exploitation-of-moveit
Report completeness: Low
Threats:
Clop
Lemurloot
Victims:
Progress software corporation, customers of their moveit transfer solution
Industry:
Healthcare, Financial
CVEs:
CVE-2023-35036 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- progress moveit transfer (<2023.0.2, <2022.1.6, <2022.0.5, <2021.1.5, <2021.0.7)
CVE-2023-35708 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
CVE-2023-34362 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- progress moveit cloud (<15.0.2.39, <14.0.5.45, <14.1.6.97)
- progress moveit transfer (<2023.0.2, <2022.1.6, <2022.0.5, <2021.1.5, <2021.0.7, le2020.1.6)
ChatGPT TTPs:
do not use without manual checkT1218.003, T1059.003, T1090, T1140
IOCs:
Hash: 9
Softs:
moveit
Cisco Talos Blog
Active exploitation of the MOVEit Transfer vulnerability — CVE-2023-34362 — by Clop ransomware group
The Clop ransomware group has claimed responsibility for exploiting the vulnerability to deploy a previously unseen web shell, LemurLoot.
CTT Report Hub
#ParsedReport #CompletenessLow 16-06-2023 Cisco Talos Intelligence Blog. Active exploitation of the MOVEit Transfer vulnerability - CVE-2023-34362 - by Clop ransomware group https://blog.talosintelligence.com/active-exploitation-of-moveit Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Недавние попытки эксплуатации решения MOVEit Transfer демонстрируют важность своевременного исправления известных уязвимостей и регулярного резервного копирования данных для защиты от злоумышленников.
-----
Cisco Talos отслеживает сообщения о попытках эксплуатации уязвимости нулевого дня SQL-инъекции (CVE-2023-34362) в решении для управляемой передачи файлов (MFT) MOVEit Transfer с конца мая 2023 года. В случае успешной эксплуатации уязвимость может позволить неаутентифицированным противникам выполнить произвольный код, что приведет к удаленному выполнению кода (RCE), который затем может быть использован для отключения антивирусных решений (AV) или развертывания полезной нагрузки вредоносного ПО. Группа разработчиков вымогательского ПО Clop взяла на себя ответственность за использование этой уязвимости для развертывания ранее невиданной веб-оболочки LemurLoot для утечки данных жертв и вымогательства платежей. Компания Microsoft также приписала эти атаки той же группе.
С момента обнаружения первой уязвимости в решениях MOVEit Transfer были найдены еще две: CVE-2023-35036 и CVE-2023-35708. Однако ни одна из них в настоящее время активно не эксплуатируется. 31 мая Progress Software Corporation выпустила консультацию по безопасности, предупреждающую клиентов о первой уязвимости, а для второй уязвимости были выпущены исправления и консультация.
Цепочка эксплойтов, используемая группой Clop ransomware для доступа к уязвимости MOVEit Transfer, использует SQL-инъекцию для получения токена API сисадмина, который затем может быть использован для вызова функции десериализации, не проверяющей должным образом входные данные, что позволяет удаленно выполнить код. LemurLoot предназначен для эксфильтрации данных и выполнения на системах с MOVEit Transfer, используя поле заголовка X-siLock-Step1 для получения команд от оператора. Есть две четко определенные команды: -1 и -2. Команда -1 получает системные настройки Azure из MOVEit Transfer и выполняет SQL-запросы для получения файлов, а команда -2 удаляет учетную запись пользователя с LoginName и RealName, установленными на "Health Check Service".
5 июня группа разработчиков вымогательского ПО Clop опубликовала заявление на своем сайте утечки данных Tor, взяв на себя ответственность за атаки и угрожая опубликовать данные жертв, если вымогательское требование не будет выполнено. Группа указала крайний срок - 14 июня - для жертв, чтобы начать контакт, иначе название их компании будет размещено на сайте утечки данных в качестве предупреждения. На данный момент данные не опубликованы, но они начали публично называть и позорить пострадавшие компании.
Недавние попытки эксплуатации решения MOVEit Transfer демонстрируют важность своевременного исправления известных уязвимостей. Очень важно, чтобы организации действовали быстро, чтобы их системы поддерживались в актуальном состоянии и чтобы любые новые уязвимости устранялись как можно скорее. Кроме того, организациям следует регулярно создавать резервные копии своих данных и внедрять решения безопасности, способные обнаруживать и блокировать вредоносные действия.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Недавние попытки эксплуатации решения MOVEit Transfer демонстрируют важность своевременного исправления известных уязвимостей и регулярного резервного копирования данных для защиты от злоумышленников.
-----
Cisco Talos отслеживает сообщения о попытках эксплуатации уязвимости нулевого дня SQL-инъекции (CVE-2023-34362) в решении для управляемой передачи файлов (MFT) MOVEit Transfer с конца мая 2023 года. В случае успешной эксплуатации уязвимость может позволить неаутентифицированным противникам выполнить произвольный код, что приведет к удаленному выполнению кода (RCE), который затем может быть использован для отключения антивирусных решений (AV) или развертывания полезной нагрузки вредоносного ПО. Группа разработчиков вымогательского ПО Clop взяла на себя ответственность за использование этой уязвимости для развертывания ранее невиданной веб-оболочки LemurLoot для утечки данных жертв и вымогательства платежей. Компания Microsoft также приписала эти атаки той же группе.
С момента обнаружения первой уязвимости в решениях MOVEit Transfer были найдены еще две: CVE-2023-35036 и CVE-2023-35708. Однако ни одна из них в настоящее время активно не эксплуатируется. 31 мая Progress Software Corporation выпустила консультацию по безопасности, предупреждающую клиентов о первой уязвимости, а для второй уязвимости были выпущены исправления и консультация.
Цепочка эксплойтов, используемая группой Clop ransomware для доступа к уязвимости MOVEit Transfer, использует SQL-инъекцию для получения токена API сисадмина, который затем может быть использован для вызова функции десериализации, не проверяющей должным образом входные данные, что позволяет удаленно выполнить код. LemurLoot предназначен для эксфильтрации данных и выполнения на системах с MOVEit Transfer, используя поле заголовка X-siLock-Step1 для получения команд от оператора. Есть две четко определенные команды: -1 и -2. Команда -1 получает системные настройки Azure из MOVEit Transfer и выполняет SQL-запросы для получения файлов, а команда -2 удаляет учетную запись пользователя с LoginName и RealName, установленными на "Health Check Service".
5 июня группа разработчиков вымогательского ПО Clop опубликовала заявление на своем сайте утечки данных Tor, взяв на себя ответственность за атаки и угрожая опубликовать данные жертв, если вымогательское требование не будет выполнено. Группа указала крайний срок - 14 июня - для жертв, чтобы начать контакт, иначе название их компании будет размещено на сайте утечки данных в качестве предупреждения. На данный момент данные не опубликованы, но они начали публично называть и позорить пострадавшие компании.
Недавние попытки эксплуатации решения MOVEit Transfer демонстрируют важность своевременного исправления известных уязвимостей. Очень важно, чтобы организации действовали быстро, чтобы их системы поддерживались в актуальном состоянии и чтобы любые новые уязвимости устранялись как можно скорее. Кроме того, организациям следует регулярно создавать резервные копии своих данных и внедрять решения безопасности, способные обнаруживать и блокировать вредоносные действия.