#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что компания Proofpoint выявила серию кампаний, использующих поддельные предложения о работе, направленных на студентов университетов Северной Америки с конечной целью проведения мошеннических операций с авансовыми платежами.
-----

Компания Proofpoint выявила серию кампаний с использованием мошеннических предложений о работе, направленных на студентов университетов в Северной Америке. Активность началась еще в марте 2023 года и продолжалась до июня 2023 года. Электронные сообщения поступали от различных организаций, большинство из которых были связаны с биологическими науками, здравоохранением и биотехнологиями, а также от некоторых не связанных с ними организаций. Угрожающий агент создавал поддельные домены, которые якобы принадлежали легитимным компаниям, обычно добавляя к доменному имени слово "карьера". Поддельные организации, как правило, относились к сфере бионаук, здравоохранения, биотехнологий и смежных отраслей. Адреса электронной почты, как правило, выдавали себя за реальных сотрудников компаний, которые пытались подделать.

Университеты часто становятся мишенью для мошенничества с трудоустройством, поскольку студенты, скорее всего, более открыты для гибкой и удаленной работы, иностранные студенты могут не распознать признаки мошенничества по электронной почте так же хорошо, как носители английского языка, а растущая инфляция и стоимость обучения бьет по финансам студентов, делая обещание быстрых денег более привлекательным. Конечной целью этих кампаний, скорее всего, было мошенничество с авансовыми платежами (AFF). В некоторых случаях актер также может просить криптовалютные платежи для покрытия расходов на доставку товаров, которые они должны были приобрести.

Компания Proofpoint обнаружила в тех же кампаниях и другие темы, схожие по тактике, технике и процедурам. Исходя из наблюдаемых полезных нагрузок, виктимологии, объема кампаний и сообщений, компания Proofpoint с высокой степенью уверенности считает, что это кластер киберпреступной деятельности, имеющий финансовую мотивацию. Как правило, эта деятельность направлена на студентов вузов, особенно тех, кто находится в поиске работы.

#ParsedReport #CompletenessMedium
18-07-2023

Taking Microsoft Office by "Storm"

https://www.varonis.com/blog/taking-microsoft-office-by-storm

Report completeness: Medium

Actors/Campaigns:
Dev-0978 (motivation: cyber_criminal, financially_motivated, cyber_espionage)

Threats:
Romcom_rat
Trigona

Industry:
Financial, Government, Telco

Geo:
America, Ukrainian

CVEs:
CVE-2023-36884 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.3
X-Force: Patch: Unavailable
Soft:
- microsoft word (2013, 2016)
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
have more...

IOCs:
Domain: 2
Path: 1
File: 7
IP: 4
Hash: 5
Url: 14

Soft:
microsoft office, microsoft defender, microsoft word

Algorithms:
sha256

#ParsedReport #CompletenessMedium
19-07-2023

P2PInfect: The Rusty Peer-to-Peer Self-Replicating Worm

https://unit42.paloaltonetworks.com/peer-to-peer-worm-p2pinfect

Report completeness: Medium

Actors/Campaigns:
Purpleurchin
Teamtnt

Threats:
P2pinfect
Wildfire
Tsunami_botnet
Redigo
Kinsing_miner
Upx_tool

Victims:
Redis instances

Geo:
Emea, Japan, Apac, America

CVEs:
CVE-2022-0543 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.4
X-Force: Patch: Unavailable
Soft:
- redis (-)
- debian debian linux (9.0, 10.0, 11.0)


ChatGPT TTPs:
do not use without manual check
T1190, T1090, T1086

IOCs:
Path: 1
File: 1
Hash: 4
IP: 5

Soft:
redis, debian

Algorithms:
sha256

Languages:
lua, rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что Unit 42 обнаружило вредоносный P2P-червь P2PInfect, который использует уязвимость выхода из песочницы Lua, CVE-2022-0543, для получения начального доступа к облачным средам. В Национальной базе данных уязвимостей NIST он оценен по критической шкале CVSS в 10,0 баллов, и компания Palo Alto Networks обеспечивает защиту от этой угрозы.
-----

Unit 42 обнаружило 11 июля 2023 года вредоносный P2P-червь под названием P2PInfect. Этот червь нацелен на Redis, приложение для работы с базами данных с открытым исходным кодом, используемое в облачных средах, и использует уязвимость выхода из песочницы Lua, CVE-2022-0543, для получения начального доступа. За последние две недели Unit 42 выявило более 307 000 уникальных систем Redis, находящихся в открытом доступе, из которых 934 могут быть уязвимы для этого варианта P2P-червя.

P2PInfect представляет собой серьезную атаку, которую могут провести злоумышленники, использующие данную уязвимость, и входит в Национальную базу данных уязвимостей NIST с критической оценкой CVSS 10,0. Червь написан на Rust, высокомасштабируемом и удобном для облачных вычислений языке программирования, и использует P2P-сеть для распространения последующих вредоносных программ на новые зараженные системы или облачные инстанции. После первой компрометации системы он устанавливает сетевое соединение с P2P-сетью и загружает образцы используемого пользовательского протокола.

Червь P2PInfect обладает рядом особенностей, которые делают его эффективным в облачных контейнерных средах. Он способен автоматически обновлять вредоносную полезную нагрузку, что позволяет злоумышленникам изменять и повышать эффективность любой из вредоносных операций. Кроме того, он может сканировать открытые хосты Redis и порт 22 SSH, а также обладает способностью к самоудалению.

Важно отметить, что данная уязвимость не является уязвимостью приложения Redis, а представляет собой уязвимость песочницы Lua. Хотя P2PInfect и нацеливается на уязвимые экземпляры Redis, нет никаких связей с другими группами угроз, известными тем, что нацелены на Redis и развертывание червей.

#ParsedReport #CompletenessMedium
19-07-2023

Sophos Discovers Ransomware Abusing Sophos Name

https://news.sophos.com/en-us/2023/07/18/sophos-discovers-ransomware-abusing-sophos-name

Report completeness: Medium

Threats:
Cobalt_strike

Geo:
Russian

IOCs:
IP: 2
Domain: 1
Hash: 2
Url: 1

Soft:
jabber

Algorithms:
sha256

Languages:
rust

Links:
https://github.com/sophoslabs/IoCs/blob/master/Troj-Ransom-GXS.csv

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея заключается в том, что аналитик X-Ops обнаружил исполняемый файл ransomware, использующий в своем пользовательском интерфейсе название компании Sophos, и что в продуктах Sophos Intercept X имеются сигнатуры, блокирующие исполнение и вредоносное поведение этого ransomware.
-----

Этот исполняемый файл вымогательского ПО, использующий в своем пользовательском интерфейсе название компании Sophos, был обнаружен аналитиком X-Ops. Необычным в этой программе является то, что она не предоставляет дополнительных возможностей, как большинство современных ransomware. Он включает в себя такие способы связи с атакующим, как электронная почта и мессенджер Jabber, а также отказывается запускаться, если в языковых настройках установлен русский язык. Кроме того, исполняемый файл подключается к адресу командно-контрольного сервера в "темной паутине" Tor (.onion).

При запуске в консоли программа предлагает пользователю ввести строку информации, которая настраивает ее поведение и содержание письма с выкупом. После этого программа начинает шифровать файлы, переименовывая их в соответствии со значением токена и добавляя к каждому файлу уникальный идентификатор машины, адрес электронной почты, указанный при настройке, и суффикс .sophos. Кроме того, он меняет обои рабочего стола Windows на экран с надписью Sophos.

Кроме того, при запуске на компьютере, подключенном к Интернету, программа пытается подтвердить разрешение пользователя на использование программы. Если значение токена не принимается, программа выдает сообщение об ошибке и завершает работу. Если же программа запускается на компьютере, не подключенном к Интернету, то она продолжает свою работу и предлагает пользователю ввести 32-байтный пароль, контактную информацию и начать шифрование. В таблицах свойств исполняемых файлов ransomware указано, что они имеют версии 0.0.8 и 0.0.9 соответственно, и ни один из них не подписан.

Продукты Sophos Intercept X имеют сигнатуры, блокирующие исполнение и вредоносное поведение этой программы-вымогателя. CryptoGuard блокирует попытки шифрования выкупа во время выполнения программы, Impact_6a блокирует вредоносную активность на этапе Impact, Troj/Ransom-GXS обнаруживает вредоносный файл перед выполнением, Mal/Generic-R использует определение репутации для предотвращения выполнения вредоносной программы, а определение репутации для C2 IP блокирует доступ к C2, связанному с вредоносной программой. Несмотря на то, что данные образцы были обнаружены только в общедоступном репозитории вредоносного ПО, компания Sophos продолжит отслеживать использование этой программы-вымогателя в природе.

#ParsedReport #CompletenessMedium
19-07-2023

BYOS Bundle Your Own Stealer. Highlights:

https://research.checkpoint.com/2023/byos-bundle-your-own-stealer

Report completeness: Medium

Threats:
Bundlebot
Ducktail_stealer
Asmresolver_tool
Junk_code_technique
De4dot_tool
Infostealer.wins
Infostealer.win.fakegoogleai.a
Infostealer.win.fakegoogleai.b
Infostealer.win.fakegoogleai.c
Infostealer.win.fakegoogleai.d
Infostealer.win.fakegoogleai.e

Victims:
Facebook ads and compromised accounts

Industry:
Telco

IOCs:
Url: 12
File: 2
Path: 2
Registry: 1
IP: 5
Hash: 47

Soft:
net core, macos, telegram, discord, chrome, opera, coccoc

Wallets:
harmony_wallet

Algorithms:
gzip, sha256, zip, base64

Languages:
dotnet

Platforms:
x86

Links:
https://github.com/de4dot/de4dot
https://github.com/dnSpyEx/dnSpy/releases
https://github.com/Washi1337/AsmResolver
https://github.com/dnSpyEx/dnSpy
https://github.com/dnSpyEx/dnSpy/issues/48
https://github.com/icsharpcode/ILSpy
https://github.com/dotnet/sdk/blob/main/documentation/specs/runtime-configuration-file.md
https://github.com/dnSpyEx/dnSpy/releases/tag/v6.4.0

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Check Point Research (CPR) недавно обнаружила новый штамм вредоносного ПО под названием BundleBot, который распространяется через рекламные объявления Facebook и скомпрометированные учетные записи. Он способен похищать данные учетной записи Facebook, данные Telegram, токен Discord, информацию о компьютере, данные веб-браузеров и передавать их на командно-контрольный сервер по протоколу HTTPS. Он использует специализированную обфускацию, в основном сконцентрированную на обфускации имен и раздувании модулей dotnet нежелательным кодом.
-----

Компания Check Point Research (CPR) недавно обнаружила новый штамм вредоносного ПО, получивший название BundleBot. Он распространяется скрытно, используя самодостаточный формат dotnet bundle (однофайловый), что приводит к очень низкому уровню статического обнаружения или его полному отсутствию. Обычно BundleBot распространяется через рекламные объявления Facebook и скомпрометированные учетные записи и ведет на сайты, маскирующиеся под обычные программные утилиты, инструменты искусственного интеллекта и игры. CPR исследовала несколько методик, которые были признаны эффективными для реверс-инжиниринга dotnet bundle (single-file), self-contained format.

Содержимое автономного файла пакета dotnet может быть извлечено с помощью инструментов и библиотеки, основанных на графическом интерфейсе. Для отладки автономных файлов dotnet bundle рекомендуется использовать последнюю версию dnSpyEx (v6.4.0). Отладка обфусцированных сборок dotnet требует извлечения всего содержимого файла пакета, деобфусцирования сборок и модификации содержимого конфигурационных файлов. Самодостаточный (однофайловый) пакет dotnet может быть также преобразован в несамодостаточную, не однофайловую программу .NET путем установки той версии среды выполнения dotnet, от которой зависит приложение.

BundleBot способен похищать информацию об учетной записи Facebook. Его основной модуль - загрузчик, который скачивает с диска защищенный паролем ZIP-архив. В этом архиве содержится RiotClientServices.exe - dotnet bundle (однофайловое), самодостаточное приложение. Это приложение содержит два вредоносных модуля dotnet: BundleBot и сериализатор пакетных данных LibrarySharing.dll C2. BundleBot использует пользовательскую обфускацию, в основном сконцентрированную на обфускации имен и раздувании модулей dotnet нежелательным кодом. Он также использует обнаружение "спящих" патчей (Anti-Sandbox) и персистентную установку/деинсталляцию по пути реестра HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, значение ApplicationName.

BundleBot способен передавать похищенные данные на командно-контрольный сервер по протоколу HTTPS с помощью URL https://cp.bemilcoin.io/api/cookiePc?cookie. Похищенная информация включает данные Telegram, токен Discord, информацию о компьютере, данные веб-браузеров, учетную запись Facebook.

#ParsedReport #CompletenessMedium
19-07-2023

DDoS Botnets Target Zyxel Vulnerability CVE-2023-28771

https://www.fortinet.com/blog/threat-research/ddos-botnets-target-zyxel-vulnerability-cve-2023-28771

Report completeness: Medium

Threats:
Mirai
Rapperbot
Udpflood_technique
Synflood_technique
Ackflood_technique

Victims:
Zyxel

Industry:
Iot

Geo:
Asia, America

CVEs:
CVE-2023-28771 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zyxel atp100 firmware (<5.36)
- zyxel atp100w firmware (<5.35)
- zyxel atp200 firmware (<5.36)
- zyxel atp500 firmware (<5.36)
- zyxel atp700 firmware (<5.36)
have more...

IOCs:
File: 7
IP: 9
Domain: 3
Hash: 19

Soft:
zyxel, curl, telegram

Algorithms:
exhibit, chacha20, xor

Platforms:
mips

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В июне 2023 года были обнаружены ботнеты, использующие уязвимость Zyxel, в том числе Dark.IoT, вариант Mirai и еще один ботнет, производный от варианта Mirai. Эти атаки демонстрируют необходимость проактивных мер безопасности для защиты уязвимых устройств.
-----

В июне 2023 года компания FortiGuard Labs обнаружила несколько бот-сетей, эксплуатирующих уязвимость Zyxel (CVE-2023-28771). Эта уязвимость получила оценку 9.8 по системе оценок CVSS и была впервые публично анонсирована 25 апреля. IP-адрес злоумышленника был идентифицирован, а атаки происходили в нескольких регионах. Одним из обнаруженных ботнетов был Dark.IoT - вариант, основанный на Mirai. В файлах сценариев, полученных в ходе этих атак, загружаются исключительно файлы, предназначенные для архитектуры MIPS, что свидетельствует о высокой специфичности цели.

Dark.IoT - это вредоносный ботнет, использующий уязвимые IoT-устройства и Linux-серверы. В апреле он обновил свой C2-сервер по адресу "raw.pastebin.com", а в июне была обнаружена более новая версия. Кроме того, для разрешения DNS используется сервер OpenNIC, а используемые им C2-серверы трудно отследить. Кроме того, он использует закодированные конфигурации и коллекцию XOR-ключей.

Другой ботнет, обнаруженный в этой кампании, был создан на основе варианта Mirai и использует индексный метод для декодирования данных, полученных из секции ".rodata". Затем он использует функцию декодирования XOR для получения серверов C2. Этот ботнет был первоначально обнаружен 25 мая 2023 года. Он включает 11 методов DDoS-атак и имеет группу в Telegram под названием "SHINJI.APP \| Katana botnet", которая активно занимается обновлением методов ботнета и выполнением задач по его обслуживанию.

Эти атаки служат напоминанием о важности принятия проактивных мер по обеспечению безопасности уязвимых устройств. Применение патчей и обновлений по мере возможности - лучший способ защиты от злоумышленников. Кроме того, пользователи должны регулярно следить за своими системами и выявлять любые подозрительные действия.

#ParsedReport #CompletenessLow
19-07-2023

DEV-0970/Storm-0970 : The Threat Actors Behind Big Head and Poop69 Ransomware

https://www.cyfirma.com/outofband/dev-0970-storm-0970-the-threat-actors-behind-big-head-and-poop69-ransomware

Report completeness: Low

Actors/Campaigns:
Dev-0970 (motivation: cyber_criminal, financially_motivated)

Threats:
Big_head_ransomware
Poop69
Big_head
Chaos_builder_tool

Industry:
Financial

Geo:
Georgian, Belarusian, Ukrainian, Russian

IOCs:
Email: 1
Hash: 35

Algorithms:
aes

Functions:
GetTheResource

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа угроз DEV-0970/Storm-0970 очень опасна, поскольку использует варианты ransomware и другие вредоносные программы для атак на операционные системы Windows, шифруя файлы и требуя выкуп за доступ к ним. Анализ временных меток компиляции и значений энтропии Poop69 и BIG HEAD позволяет предположить, что они происходят из региона СНГ.
-----

Исследовательская группа CYFIRMA недавно обнаружила финансово мотивированную группу угроз под названием DEV-0970/Storm-0970, которая использует конструктор вымогательского ПО для развертывания нескольких вариантов вымогательского ПО. Два наиболее заметных варианта, Poop69 и BIGHEAD, были замечены в дикой природе в мае 2023 года. Оба варианта имеют одинаковую контактную информацию и вредоносные библиотеки и, как предполагается, происходят из региона СНГ, поскольку в них не используются некоторые языки.

Анализ временных меток компиляции и значений энтропии Poop69 и BIG HEAD показывает, что Poop69 был создан 7 апреля 2023 года, а BIG HEAD - 12 апреля 2023 года. Кроме того, их контактная информация идентична: poop69news@gmail.com.

Среди вредоносных библиотек, используемых как Poop69, так и BIG HEAD, - AES_Decryptor для расшифровки файлов жертв и GetTheResource для сбора системной информации, сетевых данных и учетных данных. Общие ТТП указывают на то, что это один и тот же угрожающий агент, вероятно, использующий сборщик от оператора (операторов) "вредоносного ПО как услуги" (Malware-as-a-Service, MaaS).

Группа агентов угроз DEV-0970/Storm-0970 считается очень опасной, поскольку ее варианты роуд-программ нацелены на операционные системы Windows. Кроме того, вместе с выкупными программами они могут распространять трояны для кражи паролей и другие вредоносные программы, что еще больше усложняет ситуацию. Поскольку пока нет публичных сообщений о жертвах, возможно, они либо заплатили выкуп, либо злоумышленники пытаются продать похищенные данные или использовать их во вредоносных целях. Как следствие, файлы были зашифрованы, что сделало их недоступными до тех пор, пока не будет выплачен выкуп.

#ParsedReport #CompletenessLow
19-07-2023

New hacker group Quartz Wolf leverages legitimate software to attack the hospitality industry

https://bi.zone/eng/expertise/blog/novaya-gruppirovka-quartz-wolf-primenyaet-otechestvennoe-po-v-atakakh-na-gostinichnyy-biznes

Report completeness: Low

Actors/Campaigns:
Quartz_wolf (motivation: cyber_criminal)

Victims:
Ooo federal hotel service

Industry:
Healthcare

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 6
Registry: 1
Url: 1
Hash: 2

Algorithms:
crc-32, rc4

Functions:
GetCommandLine

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Quartz Wolf - хакерская группа, использующая программное обеспечение удаленного доступа Assistant для обхода традиционных средств защиты и получения доступа к целевым системам.
-----

Quartz Wolf - хакерская группа, придумавшая уникальный способ обхода традиционных средств защиты. Используя программу удаленного доступа Assistant, группа пытается скомпрометировать системы своих жертв. Группа рассылает фишинговые письма под видом ООО "Федеральная гостиничная служба" со ссылкой на архив с вредоносным файлом. Вредоносный файл содержит следующий этап, который зашифрован в RC4, где ключом является контрольная сумма MD5, вычисленная по контрольной сумме CRC32 с адреса сервера C2. Угрожающие лица используют это редкое, но легитимное программное обеспечение для обхода традиционных средств защиты.

При загрузке вредоносного файла программа Assistant записывает контрольную сумму MD5 от известного злоумышленникам пароля, присваивает атрибуты Hidden и System всем файлам в текущем каталоге, обеспечивает автоматический запуск Assistant путем создания параметра tip в Software\Microsoft\Windows\CurrentVersion\RunOnce, создает уникальный идентификатор пользователя, вычисляя контрольную сумму MD5 из суммы контрольных сумм CRC32 версии ОС, имени пользователя и имени компьютера, и получает идентификатор пользователя Assistant из HKEY_CURRENT_USER\Software\safib\ast\SS - your_id. Кроме того, он многократно отправляет GET-запросы, содержащие идентификатор пользователя Assistant и уникальный идентификатор пользователя, на сервер C2 и передает параметры ast.exe -AHIDE -ASTART для скрытого запуска.

#ParsedReport #CompletenessMedium
19-07-2023

HotRat: The Risks of Illegal Software Downloads and Hidden AutoHotkey Script Within. Conclusion

https://decoded.avast.io/martinchlumecky/hotrat-the-risks-of-illegal-software-downloads-and-hidden-autohotkey-script-within

Report completeness: Medium

Actors/Campaigns:
Pyration

Threats:
Hotrat
Asyncrat_rat
Steganography_technique
Disabling_antivirus_technique
Empire_loader
Iobit_tool
Anydesk_tool

Victims:
Users downloading illegal software from unverified sources

Geo:
Africa, Asia, America

ChatGPT TTPs:
do not use without manual check
T1036, T1055, T1112, T1078, T1083, T1105, T1090, T1022, T1110, T1106, have more...

IOCs:
File: 6
Command: 1
Path: 9
IP: 4
Domain: 15

Soft:
autohotkey, photoshop, windows defender, task scheduler, discord, net framework, adobe illustrator, microsoft office, tiktok

Algorithms:
zip, exhibit

Platforms:
x64, x86

Links:
https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносная программа HotRat представляет собой усовершенствованную версию AsyncRAT, распространяемую через предварительно взломанное программное обеспечение и обладающую такими вредоносными возможностями, как кража учетных данных, криптовалютных кошельков, захват скриншотов, кейлоггинг и установка дополнительных вредоносных программ. Важно проявлять осторожность при загрузке программного обеспечения из непроверенных источников и использовать антивирусные программы для защиты от киберугроз.
-----

Проблема пиратства программного обеспечения продолжает оставаться актуальной, и распространение вредоносных программ является одним из возможных ее последствий. Недавно был замечен вариант вредоносной программы AsyncRAT (получивший название HotRat), который разворачивался с помощью скрипта AutoHotkey, прикрепленного к предварительно взломанному программному обеспечению. HotRat - это усовершенствованная версия AsyncRAT, способная похищать учетные данные, криптовалютные кошельки, делать снимки экрана, вести кейлоггинг и устанавливать другие вредоносные программы. Кроме того, он обладает стойкостью, используя запланированные задачи, что позволяет ему закрепиться на инфицированных системах.

Процесс развертывания прост и использует базовую форму шифрования - PNG-стеганографию - для доставки конечной полезной нагрузки. Кроме того, вредоносная программа демонстрирует стойкость, используя запланированные задачи, что позволяет ей удерживаться на зараженных системах. Он также способен уничтожать антивирусные программы, что ставит под угрозу общую безопасность системы.

В середине октября 2022 года начался значительный рост числа случаев заражения вредоносным ПО HotRat, который был отмечен в различных регионах мира. Чаще всего злоумышленники, использующие HotRat, взламывают такие программы, как Adobe Illustrator, Adobe Master Collection, Adobe Photoshop, Age of Empires IV, Microsoft Office и Windows. Для распространения вредоносной программы HotRat использовалась программа CCleaner.

Зараженные файлы обычно хранятся на общедоступных репозиториях, таких как krakenfiles.com, send.cm, easybytez.com, easyupload.io, wetransfer.com и www.mediafire.com. URL-адреса, ведущие к файлам, распространяются на машинах жертв через различные платформы, такие как социальные сети, торренты, форумы или публичные репозитории с возможностью поиска. Злоумышленники обычно применяют обманную тактику, активно участвуя в работе интернет-форумов.

Важно подчеркнуть, что загрузка сомнительного программного обеспечения из непроверенных источников поможет снизить риск заражения вредоносным ПО и утечки данных. Пользователи должны загружать программное обеспечение у легальных и проверенных поставщиков, что гарантирует безопасность, легальность и постоянную поддержку. Для защиты от киберугроз следует также использовать антивирусные программы.

#technique

Exploiting SteelSeries' Subapplication Mechanism for Privilege Escalation

https://www.akamai.com/blog/security-research/exploit-steelseries-subapp-privilege-escalation

#technique

Escalating Privileges via Third-Party Windows Installers

https://www.mandiant.com/resources/blog/privileges-third-party-windows-installers

#ParsedReport #CompletenessLow
20-07-2023

CVE-2023-34362 : MOVEit Transfer Exploitation Analysis

https://labs.k7computing.com/index.php/cve-2023-34362-moveit-transfer-exploitation-analysis

Report completeness: Low

Threats:
Clop

Victims:
High-profile government, finance, media, aviation and healthcare organisations

Industry:
Government, Financial, Healthcare, Aerospace

CVEs:
CVE-2023-34362 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- progress moveit cloud (<15.0.2.39, <14.0.5.45, <14.1.6.97)
- progress moveit transfer (<2023.0.2, <2022.1.6, <2022.0.5, <2021.1.5, <2021.0.7, le2020.1.6)


IOCs:
File: 4
Path: 1
Hash: 5

Soft:
moveit

Links:
https://github.com/horizon3ai/CVE-2023-34362/blob/master/CVE-2023-34362.py