#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Progress выпустила сообщение об обнаружении критической уязвимости SQL-инъекции в веб-приложении программного обеспечения MOVEit Transfer and Cloud, которая может быть использована для получения контроля над всей системой. Компания Progress рекомендовала предпринять ряд мер по устранению уязвимости, а пользователям настоятельно рекомендуется как можно скорее обновить свои системы для защиты от этой и других киберугроз.
-----

31 мая 2023 года компания Progress выпустила сообщение об обнаружении критической уязвимости SQL-инъекции в веб-приложении программного обеспечения MOVEit Transfer and Cloud. Эта уязвимость, отслеживаемая как CVE-2023-34362, может позволить злоумышленникам получить административный доступ, произвести утечку данных и выполнить произвольный код. Сообщалось, что группа CLOP, занимающаяся распространением вымогательского ПО, использовала эту уязвимость и провела множество атак на высокопоставленные государственные, финансовые, медийные, авиационные и медицинские организации.

Серьезность уязвимости оценивается как "критическая", и она может быть использована для получения повышенных прав на уязвимых системах. Уязвимость связана с недостаточной входной проверкой данных, предоставляемых пользователем, перед использованием в SQL-запросе. В случае успешной эксплуатации злоумышленник может получить неограниченный доступ к пораженной системе.

Злоумышленник, использующий эту уязвимость, может получить контроль над всей системой, включая полный доступ ко всем хранящимся в ней данным. Это может быть использовано для утечки конфиденциальной информации, модификации или удаления данных без ведома легитимного пользователя. Кроме того, злоумышленник может установить в систему вредоносный код, позволяющий удаленно управлять системой и проводить дальнейшие атаки.

Компания Progress рекомендовала ряд мер по устранению уязвимости, включая обновление до последней версии программного обеспечения и отключение служб, которые не требуются для нормальной работы системы. Кроме того, пользователи должны убедиться в том, что все остальные меры безопасности, такие как межсетевые экраны и антивирусное программное обеспечение, являются актуальными и эффективными.

Важно отметить, что Progress тесно сотрудничает с исследователями безопасности и правоохранительными органами для изучения и устранения этой уязвимости. Progress также выпустил патч для устранения уязвимости, и пользователям настоятельно рекомендуется как можно скорее обновить свои системы.

В связи с серьезностью этой уязвимости организациям необходимо принять необходимые меры для обеспечения безопасности своих систем. Регулярное обновление программного обеспечения, применение надежных мер безопасности и мониторинг сетевой активности помогут защититься от этой и других киберугроз. Как всегда, организациям следует регулярно создавать резервные копии важных данных и хранить их в удаленном месте на случай чрезвычайных ситуаций.

#ParsedReport #CompletenessMedium
20-07-2023

Kanti: A NIM-Based Ransomware Unleashed in the Wild

https://blog.cyble.com/2023/07/20/kanti-a-nim-based-ransomware-unleashed-in-the-wild

Report completeness: Medium

Threats:
Kanti
Dark_power_ransomware

Victims:
Cryptocurrency users

Industry:
Financial

TTPs:
Tactics: 4
Technics: 7

IOCs:
File: 3
Command: 2
Path: 1
IP: 1
Hash: 3

Crypto:
bitcoin

Algorithms:
sha256, sha1, zip

Win API:
FindFirstFileW, FindNextFileW, BCryptGenRandom, MoveFileExW

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что злоумышленники используют язык программирования NIM для создания новых вариантов рандомного ПО, ориентированных на криптовалютных пользователей, и одним из последних примеров является программа Kanti. В статье также рассказывается о том, как эта программа выборочно исключает определенные файлы/папки и расширения файлов, а также как она использует BCrypt.dll для генерации защищенных ключей. Наконец, в статье подчеркивается, что важно всегда быть в курсе последних событий, связанных с разработкой программ-вымогателей.
-----

NIM, язык программирования, специально разработанный для эффективного исполнения и повышения производительности, в последнее время стал объектом внимания разработчиков вредоносных программ благодаря своей уникальной новизне. Он обладает кроссплатформенной поддержкой, позволяя компилировать код в исполняемые файлы, пригодные как для операционных систем Windows, так и для Linux. Одна из известных групп рандомных программ, Dark Power ransomware, использовала язык программирования NIM для создания вариантов рандомных программ, способных шифровать файлы жертв, намеренно исключая критически важные системные файлы. Кроме того, эта программа способна очищать журналы и генерировать записку с выкупом в каждой зараженной папке.

Недавно компания Cyble Research and Intelligence Labs (CRIL) столкнулась с новым штаммом программы-рансома под названием Kanti. Эта программа изменяет расширение зашифрованного файла на .kanti и после завершения процесса шифрования высылает записку с требованием выкупа под названием Kanti.html. Эта программа специально нацелена на пользователей криптовалют, поскольку использует имена файлов, связанные с криптовалютными кошельками, в частности BTC (Bitcoin).

Название zip-файла говорит о том, что он, скорее всего, распространяется через спам-письма или с фишинговых сайтов. ZIP-файл содержит файл быстрого доступа для Windows под названием Open Private Keys For Access To Wallet.lnk, который призван обмануть пользователей и заставить их поверить в то, что он предоставляет доступ к закрытым ключам для разблокировки средств, хранящихся в ZIP-файле. При его выполнении запускается целевая команда cmd.exe /c start Locked_253_BTC.zip, которая обходит некорректную ассоциацию файлов и напрямую запускает ZIP-файл в качестве исполняемого файла.

Kanti ransomware выборочно исключает из шифрования определенные имена файлов/папок и расширения файлов. Для генерации защищенных ключей он использует модуль BCrypt.dll с флагом BCRYPT_USE_SYSTEM_PREFERRED_RNG. После шифрования файлов он заменяет оригинальные файлы их зашифрованными копиями и переименовывает их с расширением .kanti. После этого на рабочем столе появляется записка с выкупом Kanti.html, содержащая инструкции о том, как связаться со злоумышленниками.

В последнее время все большее внимание TA, занимающиеся атаками на вымогателей, уделяют пользователям криптовалют, поскольку они могут получить более высокий выкуп, анонимность криптовалютных транзакций и технические ноу-хау. Отсутствие в NIM надежных механизмов защиты и обнаружения по сравнению с более распространенными языками программирования дает возможность авторам вредоносных программ уходить от обнаружения и повышать эффективность своих атак. Cyble Research and Intelligence Labs постоянно отслеживает новые кампании по борьбе с вымогательством, обеспечивая наших читателей информацией о последних находках и разработках вредоносного ПО.

#ParsedReport #CompletenessLow
20-07-2023

CHM malware impersonating domestic financial companies and insurance companies

https://asec.ahnlab.com/ko/55351

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
M2rat

Victims:
Domestic financial companies, Insurance companies

Industry:
Financial

Geo:
Korea

IOCs:
Path: 1
File: 1
Url: 4
Hash: 4

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно выявил вредоносное распространение CHM-программ, выдающих себя за письма безопасности от отечественных финансовых и страховых компаний, созданное атакующей группой RedEyes. Для предотвращения такого рода атак важно воздерживаться от чтения писем из неизвестных источников и обновлять продукты безопасности до последней версии.
-----

Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно обнаружил распространение вредоносной программы CHM, выдающей себя за письма безопасности от отечественных финансовых и страховых компаний. Предполагается, что она была создана атакующей группой RedEyes, известной также как APT37 или ScarCruft. Вредоносный файл распространялся в сжатом виде (RAR), при выполнении которого создавалось окно помощи. В справочном окне содержались уведомления, выдающие себя за отечественные финансовые и страховые компании, в том числе информация о лимитах использования карт, результатах снятия страховки, договорах банковских продуктов.

Вредоносный код использовал команду, которая также применялась в процессе атаки вредоносной программы M2RAT, представленной в феврале прошлого года. В нем также использовался объект быстрого доступа (ShortCut) и метод Click, однако теги Object и команды выполнялись не сразу. Вместо этого они вставлялись в определенную область ID через свойство innerHTML и выполнялись после объединения строк. Файл Docs.jse представлял собой закодированный JavaScript, причем строки, используемые для вредоносного поведения, были закодированы таким образом, чтобы обойти диагностику файла. Наконец, скрипт регистрировал файл Docs.jse в ключе Run для сохранения, а затем пытался загрузить дополнительные вредоносные файлы с помощью команды powershell.

Этот тип вредоносного кода может нанести большой ущерб, например, похитить информацию, в зависимости от загружаемых дополнительных вредоносных файлов. Для предотвращения такого рода атак пользователям следует воздерживаться от чтения писем из неизвестных источников и не выполнять вложенные файлы. Кроме того, необходимо периодически проводить сканирование ПК и обновлять продукты безопасности до последней версии.

#ParsedReport #CompletenessMedium
20-07-2023

Bad ad fad leads to IcedID, Gozi infections

https://news.sophos.com/en-us/2023/07/20/bad-ad-fad-leads-to-icedid-gozi-infections

Report completeness: Medium

Actors/Campaigns:
Dev-0569

Threats:
Icedid
Gozi
Batloader
Fakebat
Seo_poisoning_technique
Gootkit
Aurora
Redline_stealer
Vidar_stealer
Formbook
Ars_loader
Rhadamanthys
Blackseo_technique
Raccoon_stealer
Royal_ransomware
Mitm_technique
Anydesk_tool
Teamviewer_tool
Qakbot
Cobalt_strike
Stealc
Nsudo_tool
Atera_tool

Victims:
Users lured to malicious sites, victims of seo poisoning, victims of icedid

Industry:
Financial, Entertainment, E-commerce

IOCs:
Domain: 1
File: 1

Soft:
capcut, virtualbox, slack, midjourney, chatgpt, onenote, windows defender, tradingview, microsoft teams, libreoffice, have more...

Algorithms:
zip

Links:
https://github.com/felixweyne/imaginaryC2/tree/master/examples/use-case-8-gozi\_ursnif

#ParsedReport #ExtractedSchema

Classified images:
code: 3, chats: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Малвертайзинг - это вид кибератак, при котором угрожающие субъекты используют SEO-отравление или покупку рекламы, чтобы вывести свои вредоносные сайты на первые места в результатах поиска. Такие вредоносные программы, как IcedID, BatLoader, FakeBat и Raccoon, распространяются через вредоносную рекламу.
-----

Число киберпреступлений растет, причем угрозы все чаще используют платную рекламу для завлечения пользователей на вредоносные сайты. Такие атаки известны как malvertising, использующие SEO-травление или покупку рекламы для вывода своих сайтов на первые места в результатах поиска. Например, в январе 2023 года компания Tech Monitor сообщила о появлении вредоносных ссылок в верхней части результатов поиска, когда пользователи искали OBS (приложение для скринкастинга и потокового вещания), при нажатии на которые загружался инфопохититель Rhadamanthys. Об увеличении числа таких случаев также сообщили Spamhaus и Guardio Labs, а также компания Sophos в своем отчете "Угрозы 2023". Малвертайзинг дает угрозам ряд преимуществ, например, нацеленность на конкретные регионы, а поскольку жертвы уже хотят что-то скачать, вероятность заражения может возрасти.

Малвертайзинг опирается на SEO-отравление и нацелен на конкретных пользователей, особенно географических. В конце 2022 года один из клиентов загрузил файл виртуального жесткого диска (VHD), содержащий вредоносные файлы виртуального контейнера, который, как выяснилось, содержал вредоносную программу BatLoader. Этот загрузчик вредоносного ПО с первоначальным доступом загружает дополнительные, более сложные вредоносные программы, и при дальнейшем исследовании было обнаружено, что он загружает два зашифрованных файла, содержащих бэкдор Gozi - банковский троян, который был замечен в кампании по SEO-травлению BatLoader в 2022 году.

IcedID - еще один тип угроз, использующий вредоносную рекламу, особенно в декабре 2022 и январе 2023 года. Для точного нацеливания на веб-трафик использовались Google AdSense и системы распределения трафика (TDS) типа Keitaro. После того как в конце января 2022 года компания Google приняла меры по подавлению этой кампании, угрозы IcedID продолжили использовать вредоносные программы OneNote на основе электронной почты. В кампании были замечены и другие угрозы, например Qakbot.

Кампании BatLoader и FakeBat также используют вредоносную рекламу, что приводит к заражению такими вредоносными программами, как Raccoon infostealer, Gozi/Ursnif, Stealc infostealer, Cobalt Strike, а также злоупотребляют легитимными инструментами, такими как NSudo и Atera. В последнее время вредоносные рекламные объявления нацелены на пользователей, ищущих инструменты, связанные с искусственным интеллектом, такие как Midjourney и ChatGPT.

#ParsedReport #CompletenessLow
21-07-2023

Information leaking malware distributed as CHM file

https://asec.ahnlab.com/ko/55462

Report completeness: Low

Threats:
Infostealer/win.generic.r5505251906

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 3
Path: 1
Hash: 5
Url: 14

#ParsedReport #CompletenessLow
21-07-2023

Android SpyNote attacks electric and water public utility users in Japan

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-spynote-attacks-electric-and-water-public-utility-users-in-japan

Report completeness: Low

Threats:
Spynote_rat

Victims:
Japanese android users, power and water infrastructure company

Industry:
Energy, Financial

Geo:
Japanese, Japan, Tokyo

IOCs:
IP: 1
Hash: 16

Soft:
android

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В начале июня 2023 г. была замечена фишинговая кампания, направленная на японских пользователей Android и использующая фишинговый веб-сайт для заражения устройств вредоносной программой SpyNote, которая использует привилегии администратора устройства для получения доступа к пользовательской информации. McAfee Mobile Security может обнаружить и предупредить пользователей об этой угрозе, а пользователи могут защитить себя, следуя рекомендациям лучших практик.
-----

В начале июня 2023 года команда McAfee Mobile Security обнаружила smishing-кампанию, направленную на японских пользователей Android. SMS-сообщения выдавали себя за компанию, занимающуюся энерго- или водоснабжением, утверждали, что возникли проблемы с оплатой, и направляли жертв на фишинговый сайт. При переходе на сайт их устройства заражались удаленно управляемой вредоносной программой SpyNote.

Фишинговое сообщение создавало ощущение срочности и побуждало жертву к немедленным действиям - подобную тактику киберпреступники уже использовали в прошлом при атаках на финансовые учреждения. В сообщении утверждалось, что оно исходит от энергетической или водопроводной компании в Токио, и приводилась URL-ссылка на фишинговый сайт.

После этого сайт начинал загрузку вредоносной программы и отображал диалог подтверждения ее установки. Вредоносная программа относится к семейству SpyNote, распространившемуся после утечки исходного кода в октябре 2022 года. Она использует сервисы доступа и привилегии администратора устройства для получения доступа к таким данным пользователя, как его местоположение, контакты, входящие и исходящие SMS-сообщения, телефонные звонки, данные двухфакторной аутентификации через Google Authenticator, а также данные Gmail и Facebook.

SpyNote также специально нацелен на мобильные приложения для инфраструктуры жизнедеятельности, такой как электро- и водоснабжение. McAfee Mobile Security обнаруживает эту угрозу как Android/SpyNote и предупреждает пользователей мобильных устройств о ее наличии. Следуя рекомендациям лучших практик, например, не переходя по ссылкам из неизвестных источников, пользователи могут защитить себя от подобных угроз.

#ParsedReport #CompletenessMedium
21-07-2023

Fabricated Microsoft Crypto Wallet Phishing Site Spreads Infostealer

https://blog.cyble.com/2023/07/21/fabricated-microsoft-crypto-wallet-phishing-site-spreads-infostealer

Report completeness: Medium

Actors/Campaigns:
Dev-0960

Threats:
Luca_stealer
Antivm
Gravity_rat
Beacon

Victims:
Cryptocurrency enthusiasts

Industry:
Financial

TTPs:
Tactics: 8
Technics: 17

IOCs:
Url: 2
Hash: 1

Soft:
chedot, torch, opera, chromium, chrome canary, epic privacy browser, 7star, chrome, amigo, google chrome, have more...

Wallets:
atomicwallet, jaxx, electrum, sollet, leaf_wallet, iconex, cyano, metamask, tezbox, nabox, have more...

Algorithms:
sha256, sha1

Languages:
rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Luca Stealer - это вредоносный InfoStealer, предназначенный для атак на дорогостоящие криптовалюты, а его открытый исходный код позволяет злоумышленникам создавать уникальные варианты и модифицировать его поведение в соответствии со своими целями. Это представляет опасность для пользователей, поэтому важно знать об этой угрозе и предпринимать меры по защите от потенциальных атак.
-----

Недавно CRIL обнаружил вредоносный сайт, маскирующийся под легитимную платформу Microsoft Crypto Wallet, которая является готовящимся продуктом компании Microsoft для браузера Edge. Этот сайт, hxxps://microsoft-en.com/cryptowallet/, предназначен для любителей криптовалют и содержит вредоносный InfoStealer под названием Luca Stealer. Luca Stealer используется для сбора конфиденциальной информации и персональных данных ничего не подозревающих пользователей и создан с использованием языка программирования Rust. В нем реализованы технологии Clipper и AntiVM, позволяющие перехватывать и манипулировать криптовалютными адресами во время транзакций и уклоняться от обнаружения в виртуализированных средах соответственно.

Luca Stealer предназначен для кражи таких дорогих криптовалют, как Bitcoin, Ethereum, Ripple, Litecoin, Dogecoin и др. Кроме того, для скрытой передачи похищенных данных он использует платформу обмена сообщениями Telegram. Отличительной особенностью Luca Stealer от других инфокрадчиков является то, что он специализируется на поиске данных, связанных с криптовалютными кошельками и программным обеспечением для управления паролями. Еще большее беспокойство вызывает тот факт, что исходный код программы находится в открытом доступе, что позволяет злоумышленникам создавать уникальные варианты и модифицировать поведение Luca Stealer в соответствии со своими целями.

Потенциальная возможность злоумышленников использовать растущую популярность и стоимость криптовалют, а также возможность завладения конфиденциальными учетными данными вызывает опасения. Доступность исходного кода Luca Stealer еще больше усиливает этот риск, поскольку позволяет злоумышленникам создавать новые варианты вредоносной программы и модифицировать ее поведение под свои нужды. В результате можно ожидать постоянного роста числа двоичных файлов крадущего, нацеленных на пользователей. Поэтому важно знать об угрозе, исходящей от Luca Stealer, и предпринимать меры по защите от возможных атак.

#ParsedReport #CompletenessHigh
20-07-2023

Threat Group Assessment: Mallox Ransomware

https://unit42.paloaltonetworks.com/mallox-ransomware

Report completeness: High

Actors/Campaigns:
Mallox

Threats:
Targetcompany
Owassrf
Proxylogon_exploit
Proxyshell_vuln
Wildfire
Wevtutil_tool
Xollam
Process_injection_technique

Victims:
Microsoft (ms) windows systems

Industry:
Financial, Retail

Geo:
America, Emea, Apac, Japan

TTPs:
Tactics: 2
Technics: 0

IOCs:
Path: 1
File: 18
Url: 1
Domain: 1
Hash: 71
IP: 21

Soft:
ms-sql, bcdedit, active directory, sqlbrowser, mssql, sqlagent

Algorithms:
chacha20, sha256

Win Services:
WebClient, sqlbrowser, sqlwriter, sqlservr, msmdsrv, SQLAGENT

Platforms:
intel

Links:
https://github.com/Neo23x0/Raccine

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 2, chart: 1, code: 2, table: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа разработчиков антивирусного ПО Mallox активно атакует системы Microsoft Windows и использует незащищенные серверы MS-SQL для проникновения в сети. Кроме того, группа Mallox привлекает аффилированных лиц для участия в своей партнерской программе ransomware-as-a-service (RaaS), что может привести к расширению ее атакующих возможностей.
-----

Mallox, известный также под названиями TargetCompany, FARGO и Tohnichi, - это штамм вымогательского ПО, нацеленный на системы Microsoft (MS) Windows. Он активен с июня 2021 года и использует незащищенные серверы MS-SQL в качестве средства проникновения в сети своих жертв. Исследователи из компании Unit 42 отмечают рост активности вымогательского ПО Mallox почти на 174% по сравнению с предыдущим годом. Для получения доступа к сетям Mallox использует грубый форсинг, эксфильтрацию данных, сетевые сканеры и другие инструменты.

Mallox придерживается тенденции "двойного вымогательства", когда перед шифрованием файлов организации она похищает данные, а затем угрожает опубликовать их на сайте утечки информации, чтобы убедить жертву заплатить выкуп. Группа Mallox заявляет о сотнях жертв, хотя точное их число остается неизвестным. Телеметрия Unit 42 указывает на десятки потенциальных жертв в различных отраслях, таких как производство, профессиональные и юридические услуги, оптовая и розничная торговля.

С 2021 года группа придерживается одного и того же подхода: атакует незащищенные серверы MS-SQL с целью проникновения в сеть. Атака начинается с перебора словарей, после чего злоумышленники с помощью командной строки и PowerShell загружают с удаленного сервера полезную нагрузку Mallox ransomware. Эта полезная нагрузка пытается выполнить несколько действий: остановить и удалить службы, связанные с SQL, удалить тени томов, очистить журналы событий, изменить права доступа к файлам, завершить процессы безопасности и обойти защиту от вымогательства Raccine. Он шифрует файлы с помощью алгоритма шифрования ChaCha20, добавляет к зашифрованным файлам расширение .malox и оставляет записку с требованием выкупа в каждом каталоге на диске жертвы.

Группа Mallox, судя по всему, работает над расширением своей деятельности и набирает аффилированных лиц на хакерских форумах. Пользователь под ником Mallx недавно написал на хакерском форуме RAMP, что группа Mallox набирает аффилиатов для новой партнерской программы Mallox ransomware-as-a-service (RaaS). Другой пользователь под ником RansomR в мае 2022 года разместил на хакерском форуме nulled.to сообщение о том, что группа Mallox ищет аффилиатов для присоединения к своей команде. Если эти усилия будут успешными, то группа Mallox может расширить сферу своей деятельности и охватить больше организаций.

#ParsedReport #CompletenessLow
21-07-2023

Threat Actors Exploiting Citrix CVE-2023-3519 to Implant Webshells

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-201a

Report completeness: Low

Victims:
Critical infrastructure organization

CVEs:
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.1-37.159, <13.1-49.13, <13.0-91.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)


TTPs:
Tactics: 3
Technics: 20

IOCs:
File: 1

Soft:
active directory, openssl, curl

Algorithms:
zip

Languages:
python, php

Links:
https://github.com/cisagov/Decider/

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Организация CISA выпустила совет по кибербезопасности, предупреждающий защитников сетей об уязвимости "нулевого дня" CVE-2023-3519 - неавторизованном удаленном выполнении кода (RCE) в контроллере доставки приложений NetScaler (ранее Citrix) и шлюзе NetScaler Gateway. Для снижения риска, связанного с эксплуатацией CVE-2023-3519, организациям следует провести обновление уязвимых систем и внедрить компенсирующие средства контроля, а также обеспечить всестороннюю инвентаризацию ИТ-активов для выявления несанкционированного доступа или модификации систем.
-----

CISA выпустила совет по кибербезопасности, предупреждающий об уязвимости нулевого дня, эксплуатирующей CVE-2023-3519.

Уязвимость затрагивает NetScaler (ранее Citrix) Application Delivery Controller (ADC) и NetScaler Gateway.

CISA добавила CVE-2023-3519 в свой каталог известных эксплуатируемых уязвимостей в июле 2023 года.

Угрожающие лица загрузили на устройство ADC файл TGZ, содержащий веб-шелл, скрипт обнаружения и двоичный файл setuid.

Защитники сети должны проверить наличие в различных местах файлов, более новых, чем последняя установка, а также просмотреть журналы сетевых и межсетевых экранов на предмет сканирования всей подсети.

Организациям следует незамедлительно выполнить исправление уязвимых систем и внедрить компенсирующие средства контроля для снижения риска.

Организации также должны обеспечить всестороннюю инвентаризацию своих ИТ-активов для выявления несанкционированного доступа или модификации систем.

#ParsedReport #CompletenessLow
21-07-2023

First Known Targeted OSS Supply Chain Attacks Against the Banking Sector

https://checkmarx.com/blog/first-known-targeted-oss-supply-chain-attacks-against-the-banking-sector

Report completeness: Low

Threats:
Supply_chain_technique
Havoc
C5pider_actor
Cobalt_strike
Brc4_tool
Sliver_tool
Ratel

Victims:
Banking sector

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1036.003, T1071.001, T1027.002

IOCs:
Hash: 5

Soft:
macos, windows defender

Links:
https://github.com/Cracked5pider
https://github.com/HavocFramework/Havoc

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2, windows: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Checkmarx обнаружила две различные атаки на цепочки поставок ПО с открытым исходным кодом, направленные на банковский сектор, и прогнозирует продолжение этой тенденции. Компания Checkmarx следит за развитием ситуации и прогнозирует дальнейшее развитие событий, поэтому ей необходимо внедрять проактивную архитектуру безопасности, включающую защитные меры на всех этапах разработки и до конечного пользователя.
-----

В апреле 2023 года команда Checkmarx по исследованию цепочек поставок обнаружила две различные атаки на цепочки поставок программного обеспечения с открытым исходным кодом, направленные, в частности, на банковский сектор. Злоумышленники использовали обманные приемы, чтобы придать своим вредоносным пакетам видимость легитимности и достоверности, например, создавали поддельные профили LinkedIn и собственные центры управления для каждой из целей. Несмотря на то, что вредоносные пакеты были удалены, Checkmarx прогнозирует, что тенденция атак на банковский сектор будет продолжаться и что существующих средств контроля, направленных на обнаружение и управление известными уязвимостями, может оказаться недостаточно для борьбы с ними.

Для усиления защиты от этих атак необходимо общеотраслевое сотрудничество. Банковская отрасль стала объектом нового вида киберугроз, требующих адаптации и бдительности. Организациям необходимо понять, что нельзя относиться к вредоносным пакетам так же, как к обычным уязвимостям, и принять проактивную, интегрированную архитектуру безопасности, включающую защитные меры от стадии разработки до конечного пользователя.

Тактика, методы и процедуры, использованные злоумышленниками, были идентифицированы и распространены с целью содействия коллективному пониманию и осознанию этих возникающих угроз. Клиенты Checkmarx, занимающиеся аналитикой цепочек поставок, защищены от этих атак, компания активно следит за ситуацией и будет информировать о дальнейшем развитии событий.