#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно выявил вредоносное распространение CHM-программ, выдающих себя за письма безопасности от отечественных финансовых и страховых компаний, созданное атакующей группой RedEyes. Для предотвращения такого рода атак важно воздерживаться от чтения писем из неизвестных источников и обновлять продукты безопасности до последней версии.
-----

Центр реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) недавно обнаружил распространение вредоносной программы CHM, выдающей себя за письма безопасности от отечественных финансовых и страховых компаний. Предполагается, что она была создана атакующей группой RedEyes, известной также как APT37 или ScarCruft. Вредоносный файл распространялся в сжатом виде (RAR), при выполнении которого создавалось окно помощи. В справочном окне содержались уведомления, выдающие себя за отечественные финансовые и страховые компании, в том числе информация о лимитах использования карт, результатах снятия страховки, договорах банковских продуктов.

Вредоносный код использовал команду, которая также применялась в процессе атаки вредоносной программы M2RAT, представленной в феврале прошлого года. В нем также использовался объект быстрого доступа (ShortCut) и метод Click, однако теги Object и команды выполнялись не сразу. Вместо этого они вставлялись в определенную область ID через свойство innerHTML и выполнялись после объединения строк. Файл Docs.jse представлял собой закодированный JavaScript, причем строки, используемые для вредоносного поведения, были закодированы таким образом, чтобы обойти диагностику файла. Наконец, скрипт регистрировал файл Docs.jse в ключе Run для сохранения, а затем пытался загрузить дополнительные вредоносные файлы с помощью команды powershell.

Этот тип вредоносного кода может нанести большой ущерб, например, похитить информацию, в зависимости от загружаемых дополнительных вредоносных файлов. Для предотвращения такого рода атак пользователям следует воздерживаться от чтения писем из неизвестных источников и не выполнять вложенные файлы. Кроме того, необходимо периодически проводить сканирование ПК и обновлять продукты безопасности до последней версии.

#ParsedReport #CompletenessMedium
20-07-2023

Bad ad fad leads to IcedID, Gozi infections

https://news.sophos.com/en-us/2023/07/20/bad-ad-fad-leads-to-icedid-gozi-infections

Report completeness: Medium

Actors/Campaigns:
Dev-0569

Threats:
Icedid
Gozi
Batloader
Fakebat
Seo_poisoning_technique
Gootkit
Aurora
Redline_stealer
Vidar_stealer
Formbook
Ars_loader
Rhadamanthys
Blackseo_technique
Raccoon_stealer
Royal_ransomware
Mitm_technique
Anydesk_tool
Teamviewer_tool
Qakbot
Cobalt_strike
Stealc
Nsudo_tool
Atera_tool

Victims:
Users lured to malicious sites, victims of seo poisoning, victims of icedid

Industry:
Financial, Entertainment, E-commerce

IOCs:
Domain: 1
File: 1

Soft:
capcut, virtualbox, slack, midjourney, chatgpt, onenote, windows defender, tradingview, microsoft teams, libreoffice, have more...

Algorithms:
zip

Links:
https://github.com/felixweyne/imaginaryC2/tree/master/examples/use-case-8-gozi\_ursnif

#ParsedReport #ExtractedSchema

Classified images:
code: 3, chats: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Малвертайзинг - это вид кибератак, при котором угрожающие субъекты используют SEO-отравление или покупку рекламы, чтобы вывести свои вредоносные сайты на первые места в результатах поиска. Такие вредоносные программы, как IcedID, BatLoader, FakeBat и Raccoon, распространяются через вредоносную рекламу.
-----

Число киберпреступлений растет, причем угрозы все чаще используют платную рекламу для завлечения пользователей на вредоносные сайты. Такие атаки известны как malvertising, использующие SEO-травление или покупку рекламы для вывода своих сайтов на первые места в результатах поиска. Например, в январе 2023 года компания Tech Monitor сообщила о появлении вредоносных ссылок в верхней части результатов поиска, когда пользователи искали OBS (приложение для скринкастинга и потокового вещания), при нажатии на которые загружался инфопохититель Rhadamanthys. Об увеличении числа таких случаев также сообщили Spamhaus и Guardio Labs, а также компания Sophos в своем отчете "Угрозы 2023". Малвертайзинг дает угрозам ряд преимуществ, например, нацеленность на конкретные регионы, а поскольку жертвы уже хотят что-то скачать, вероятность заражения может возрасти.

Малвертайзинг опирается на SEO-отравление и нацелен на конкретных пользователей, особенно географических. В конце 2022 года один из клиентов загрузил файл виртуального жесткого диска (VHD), содержащий вредоносные файлы виртуального контейнера, который, как выяснилось, содержал вредоносную программу BatLoader. Этот загрузчик вредоносного ПО с первоначальным доступом загружает дополнительные, более сложные вредоносные программы, и при дальнейшем исследовании было обнаружено, что он загружает два зашифрованных файла, содержащих бэкдор Gozi - банковский троян, который был замечен в кампании по SEO-травлению BatLoader в 2022 году.

IcedID - еще один тип угроз, использующий вредоносную рекламу, особенно в декабре 2022 и январе 2023 года. Для точного нацеливания на веб-трафик использовались Google AdSense и системы распределения трафика (TDS) типа Keitaro. После того как в конце января 2022 года компания Google приняла меры по подавлению этой кампании, угрозы IcedID продолжили использовать вредоносные программы OneNote на основе электронной почты. В кампании были замечены и другие угрозы, например Qakbot.

Кампании BatLoader и FakeBat также используют вредоносную рекламу, что приводит к заражению такими вредоносными программами, как Raccoon infostealer, Gozi/Ursnif, Stealc infostealer, Cobalt Strike, а также злоупотребляют легитимными инструментами, такими как NSudo и Atera. В последнее время вредоносные рекламные объявления нацелены на пользователей, ищущих инструменты, связанные с искусственным интеллектом, такие как Midjourney и ChatGPT.

#ParsedReport #CompletenessLow
21-07-2023

Information leaking malware distributed as CHM file

https://asec.ahnlab.com/ko/55462

Report completeness: Low

Threats:
Infostealer/win.generic.r5505251906

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 3
Path: 1
Hash: 5
Url: 14

#ParsedReport #CompletenessLow
21-07-2023

Android SpyNote attacks electric and water public utility users in Japan

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-spynote-attacks-electric-and-water-public-utility-users-in-japan

Report completeness: Low

Threats:
Spynote_rat

Victims:
Japanese android users, power and water infrastructure company

Industry:
Energy, Financial

Geo:
Japanese, Japan, Tokyo

IOCs:
IP: 1
Hash: 16

Soft:
android

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В начале июня 2023 г. была замечена фишинговая кампания, направленная на японских пользователей Android и использующая фишинговый веб-сайт для заражения устройств вредоносной программой SpyNote, которая использует привилегии администратора устройства для получения доступа к пользовательской информации. McAfee Mobile Security может обнаружить и предупредить пользователей об этой угрозе, а пользователи могут защитить себя, следуя рекомендациям лучших практик.
-----

В начале июня 2023 года команда McAfee Mobile Security обнаружила smishing-кампанию, направленную на японских пользователей Android. SMS-сообщения выдавали себя за компанию, занимающуюся энерго- или водоснабжением, утверждали, что возникли проблемы с оплатой, и направляли жертв на фишинговый сайт. При переходе на сайт их устройства заражались удаленно управляемой вредоносной программой SpyNote.

Фишинговое сообщение создавало ощущение срочности и побуждало жертву к немедленным действиям - подобную тактику киберпреступники уже использовали в прошлом при атаках на финансовые учреждения. В сообщении утверждалось, что оно исходит от энергетической или водопроводной компании в Токио, и приводилась URL-ссылка на фишинговый сайт.

После этого сайт начинал загрузку вредоносной программы и отображал диалог подтверждения ее установки. Вредоносная программа относится к семейству SpyNote, распространившемуся после утечки исходного кода в октябре 2022 года. Она использует сервисы доступа и привилегии администратора устройства для получения доступа к таким данным пользователя, как его местоположение, контакты, входящие и исходящие SMS-сообщения, телефонные звонки, данные двухфакторной аутентификации через Google Authenticator, а также данные Gmail и Facebook.

SpyNote также специально нацелен на мобильные приложения для инфраструктуры жизнедеятельности, такой как электро- и водоснабжение. McAfee Mobile Security обнаруживает эту угрозу как Android/SpyNote и предупреждает пользователей мобильных устройств о ее наличии. Следуя рекомендациям лучших практик, например, не переходя по ссылкам из неизвестных источников, пользователи могут защитить себя от подобных угроз.

#ParsedReport #CompletenessMedium
21-07-2023

Fabricated Microsoft Crypto Wallet Phishing Site Spreads Infostealer

https://blog.cyble.com/2023/07/21/fabricated-microsoft-crypto-wallet-phishing-site-spreads-infostealer

Report completeness: Medium

Actors/Campaigns:
Dev-0960

Threats:
Luca_stealer
Antivm
Gravity_rat
Beacon

Victims:
Cryptocurrency enthusiasts

Industry:
Financial

TTPs:
Tactics: 8
Technics: 17

IOCs:
Url: 2
Hash: 1

Soft:
chedot, torch, opera, chromium, chrome canary, epic privacy browser, 7star, chrome, amigo, google chrome, have more...

Wallets:
atomicwallet, jaxx, electrum, sollet, leaf_wallet, iconex, cyano, metamask, tezbox, nabox, have more...

Algorithms:
sha256, sha1

Languages:
rust

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Luca Stealer - это вредоносный InfoStealer, предназначенный для атак на дорогостоящие криптовалюты, а его открытый исходный код позволяет злоумышленникам создавать уникальные варианты и модифицировать его поведение в соответствии со своими целями. Это представляет опасность для пользователей, поэтому важно знать об этой угрозе и предпринимать меры по защите от потенциальных атак.
-----

Недавно CRIL обнаружил вредоносный сайт, маскирующийся под легитимную платформу Microsoft Crypto Wallet, которая является готовящимся продуктом компании Microsoft для браузера Edge. Этот сайт, hxxps://microsoft-en.com/cryptowallet/, предназначен для любителей криптовалют и содержит вредоносный InfoStealer под названием Luca Stealer. Luca Stealer используется для сбора конфиденциальной информации и персональных данных ничего не подозревающих пользователей и создан с использованием языка программирования Rust. В нем реализованы технологии Clipper и AntiVM, позволяющие перехватывать и манипулировать криптовалютными адресами во время транзакций и уклоняться от обнаружения в виртуализированных средах соответственно.

Luca Stealer предназначен для кражи таких дорогих криптовалют, как Bitcoin, Ethereum, Ripple, Litecoin, Dogecoin и др. Кроме того, для скрытой передачи похищенных данных он использует платформу обмена сообщениями Telegram. Отличительной особенностью Luca Stealer от других инфокрадчиков является то, что он специализируется на поиске данных, связанных с криптовалютными кошельками и программным обеспечением для управления паролями. Еще большее беспокойство вызывает тот факт, что исходный код программы находится в открытом доступе, что позволяет злоумышленникам создавать уникальные варианты и модифицировать поведение Luca Stealer в соответствии со своими целями.

Потенциальная возможность злоумышленников использовать растущую популярность и стоимость криптовалют, а также возможность завладения конфиденциальными учетными данными вызывает опасения. Доступность исходного кода Luca Stealer еще больше усиливает этот риск, поскольку позволяет злоумышленникам создавать новые варианты вредоносной программы и модифицировать ее поведение под свои нужды. В результате можно ожидать постоянного роста числа двоичных файлов крадущего, нацеленных на пользователей. Поэтому важно знать об угрозе, исходящей от Luca Stealer, и предпринимать меры по защите от возможных атак.

#ParsedReport #CompletenessHigh
20-07-2023

Threat Group Assessment: Mallox Ransomware

https://unit42.paloaltonetworks.com/mallox-ransomware

Report completeness: High

Actors/Campaigns:
Mallox

Threats:
Targetcompany
Owassrf
Proxylogon_exploit
Proxyshell_vuln
Wildfire
Wevtutil_tool
Xollam
Process_injection_technique

Victims:
Microsoft (ms) windows systems

Industry:
Financial, Retail

Geo:
America, Emea, Apac, Japan

TTPs:
Tactics: 2
Technics: 0

IOCs:
Path: 1
File: 18
Url: 1
Domain: 1
Hash: 71
IP: 21

Soft:
ms-sql, bcdedit, active directory, sqlbrowser, mssql, sqlagent

Algorithms:
chacha20, sha256

Win Services:
WebClient, sqlbrowser, sqlwriter, sqlservr, msmdsrv, SQLAGENT

Platforms:
intel

Links:
https://github.com/Neo23x0/Raccine

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 2, chart: 1, code: 2, table: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа разработчиков антивирусного ПО Mallox активно атакует системы Microsoft Windows и использует незащищенные серверы MS-SQL для проникновения в сети. Кроме того, группа Mallox привлекает аффилированных лиц для участия в своей партнерской программе ransomware-as-a-service (RaaS), что может привести к расширению ее атакующих возможностей.
-----

Mallox, известный также под названиями TargetCompany, FARGO и Tohnichi, - это штамм вымогательского ПО, нацеленный на системы Microsoft (MS) Windows. Он активен с июня 2021 года и использует незащищенные серверы MS-SQL в качестве средства проникновения в сети своих жертв. Исследователи из компании Unit 42 отмечают рост активности вымогательского ПО Mallox почти на 174% по сравнению с предыдущим годом. Для получения доступа к сетям Mallox использует грубый форсинг, эксфильтрацию данных, сетевые сканеры и другие инструменты.

Mallox придерживается тенденции "двойного вымогательства", когда перед шифрованием файлов организации она похищает данные, а затем угрожает опубликовать их на сайте утечки информации, чтобы убедить жертву заплатить выкуп. Группа Mallox заявляет о сотнях жертв, хотя точное их число остается неизвестным. Телеметрия Unit 42 указывает на десятки потенциальных жертв в различных отраслях, таких как производство, профессиональные и юридические услуги, оптовая и розничная торговля.

С 2021 года группа придерживается одного и того же подхода: атакует незащищенные серверы MS-SQL с целью проникновения в сеть. Атака начинается с перебора словарей, после чего злоумышленники с помощью командной строки и PowerShell загружают с удаленного сервера полезную нагрузку Mallox ransomware. Эта полезная нагрузка пытается выполнить несколько действий: остановить и удалить службы, связанные с SQL, удалить тени томов, очистить журналы событий, изменить права доступа к файлам, завершить процессы безопасности и обойти защиту от вымогательства Raccine. Он шифрует файлы с помощью алгоритма шифрования ChaCha20, добавляет к зашифрованным файлам расширение .malox и оставляет записку с требованием выкупа в каждом каталоге на диске жертвы.

Группа Mallox, судя по всему, работает над расширением своей деятельности и набирает аффилированных лиц на хакерских форумах. Пользователь под ником Mallx недавно написал на хакерском форуме RAMP, что группа Mallox набирает аффилиатов для новой партнерской программы Mallox ransomware-as-a-service (RaaS). Другой пользователь под ником RansomR в мае 2022 года разместил на хакерском форуме nulled.to сообщение о том, что группа Mallox ищет аффилиатов для присоединения к своей команде. Если эти усилия будут успешными, то группа Mallox может расширить сферу своей деятельности и охватить больше организаций.

#ParsedReport #CompletenessLow
21-07-2023

Threat Actors Exploiting Citrix CVE-2023-3519 to Implant Webshells

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-201a

Report completeness: Low

Victims:
Critical infrastructure organization

CVEs:
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.1-37.159, <13.1-49.13, <13.0-91.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)


TTPs:
Tactics: 3
Technics: 20

IOCs:
File: 1

Soft:
active directory, openssl, curl

Algorithms:
zip

Languages:
python, php

Links:
https://github.com/cisagov/Decider/

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Организация CISA выпустила совет по кибербезопасности, предупреждающий защитников сетей об уязвимости "нулевого дня" CVE-2023-3519 - неавторизованном удаленном выполнении кода (RCE) в контроллере доставки приложений NetScaler (ранее Citrix) и шлюзе NetScaler Gateway. Для снижения риска, связанного с эксплуатацией CVE-2023-3519, организациям следует провести обновление уязвимых систем и внедрить компенсирующие средства контроля, а также обеспечить всестороннюю инвентаризацию ИТ-активов для выявления несанкционированного доступа или модификации систем.
-----

CISA выпустила совет по кибербезопасности, предупреждающий об уязвимости нулевого дня, эксплуатирующей CVE-2023-3519.

Уязвимость затрагивает NetScaler (ранее Citrix) Application Delivery Controller (ADC) и NetScaler Gateway.

CISA добавила CVE-2023-3519 в свой каталог известных эксплуатируемых уязвимостей в июле 2023 года.

Угрожающие лица загрузили на устройство ADC файл TGZ, содержащий веб-шелл, скрипт обнаружения и двоичный файл setuid.

Защитники сети должны проверить наличие в различных местах файлов, более новых, чем последняя установка, а также просмотреть журналы сетевых и межсетевых экранов на предмет сканирования всей подсети.

Организациям следует незамедлительно выполнить исправление уязвимых систем и внедрить компенсирующие средства контроля для снижения риска.

Организации также должны обеспечить всестороннюю инвентаризацию своих ИТ-активов для выявления несанкционированного доступа или модификации систем.

#ParsedReport #CompletenessLow
21-07-2023

First Known Targeted OSS Supply Chain Attacks Against the Banking Sector

https://checkmarx.com/blog/first-known-targeted-oss-supply-chain-attacks-against-the-banking-sector

Report completeness: Low

Threats:
Supply_chain_technique
Havoc
C5pider_actor
Cobalt_strike
Brc4_tool
Sliver_tool
Ratel

Victims:
Banking sector

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1036.003, T1071.001, T1027.002

IOCs:
Hash: 5

Soft:
macos, windows defender

Links:
https://github.com/Cracked5pider
https://github.com/HavocFramework/Havoc

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2, windows: 3

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Checkmarx обнаружила две различные атаки на цепочки поставок ПО с открытым исходным кодом, направленные на банковский сектор, и прогнозирует продолжение этой тенденции. Компания Checkmarx следит за развитием ситуации и прогнозирует дальнейшее развитие событий, поэтому ей необходимо внедрять проактивную архитектуру безопасности, включающую защитные меры на всех этапах разработки и до конечного пользователя.
-----

В апреле 2023 года команда Checkmarx по исследованию цепочек поставок обнаружила две различные атаки на цепочки поставок программного обеспечения с открытым исходным кодом, направленные, в частности, на банковский сектор. Злоумышленники использовали обманные приемы, чтобы придать своим вредоносным пакетам видимость легитимности и достоверности, например, создавали поддельные профили LinkedIn и собственные центры управления для каждой из целей. Несмотря на то, что вредоносные пакеты были удалены, Checkmarx прогнозирует, что тенденция атак на банковский сектор будет продолжаться и что существующих средств контроля, направленных на обнаружение и управление известными уязвимостями, может оказаться недостаточно для борьбы с ними.

Для усиления защиты от этих атак необходимо общеотраслевое сотрудничество. Банковская отрасль стала объектом нового вида киберугроз, требующих адаптации и бдительности. Организациям необходимо понять, что нельзя относиться к вредоносным пакетам так же, как к обычным уязвимостям, и принять проактивную, интегрированную архитектуру безопасности, включающую защитные меры от стадии разработки до конечного пользователя.

Тактика, методы и процедуры, использованные злоумышленниками, были идентифицированы и распространены с целью содействия коллективному пониманию и осознанию этих возникающих угроз. Клиенты Checkmarx, занимающиеся аналитикой цепочек поставок, защищены от этих атак, компания активно следит за ситуацией и будет информировать о дальнейшем развитии событий.

#ParsedReport #CompletenessLow
21-07-2023

Ransomware Roundup - Cl0p

https://www.fortinet.com/blog/threat-research/ransomware-roundup-cl0p

Report completeness: Low

Actors/Campaigns:
Fin11 (motivation: financially_motivated)

Threats:
Clop
Cryptomix
Cryptxxx
Cryptowall
Cobalt_strike
Dewmode
Lemurloot
Sdbot
Flawedammyy
Lockbit
Blackcat
Filecoder
Hydracrypt
W32/encoder.q!tr.ransom
W32/ransom.clop!tr

Victims:
419 victim organizations

Industry:
Financial, Healthcare

Geo:
America

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2021-27102 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- accellion fta (le9_12_411)

CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)

CVE-2022-1388 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- f5 big-ip access policy manager (le11.6.5, le12.1.6, <16.1.2.2, <15.1.5.1, <14.1.4.6, <13.1.5)
- f5 big-ip advanced firewall manager (le11.6.5, le12.1.6, <15.1.5.1, <14.1.4.6, <13.1.5, <16.1.2.2)
- f5 big-ip analytics (le11.6.5, le12.1.6, <16.1.2.2, <15.1.5.1, <14.1.4.6, <13.1.5)
- f5 big-ip application acceleration manager (le11.6.5, le12.1.6, <16.1.2.2, <15.1.5.1, <14.1.4.6, <13.1.5)
- f5 big-ip application security manager (le11.6.5, le12.1.6, <16.1.2.2, <15.1.5.1, <14.1.4.6, <13.1.5)
have more...
CVE-2023-0669 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- fortra goanywhere managed file transfer (<7.1.2)

CVE-2023-27351 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<21.2.11, <22.0.9, <20.1.7)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)

CVE-2021-35211 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- solarwinds serv-u (<15.2.3)

CVE-2023-34362 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- progress moveit cloud (<15.0.2.39, <14.0.5.45, <14.1.6.97)
- progress moveit transfer (<2023.0.2, <2022.1.6, <2022.0.5, <2021.1.5, <2021.0.7, le2020.1.6)


IOCs:
File: 9
Hash: 8

Soft:
moveit, goanywhere, serv-u, big-ip

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Cl0p ransomware - это финансово мотивированный агент угроз, проявляющий активность с начала 2019 года. Как правило, ее жертвами становятся компании, работающие в сфере бизнес-услуг, программного обеспечения и финансов, а большинство пострадавших находятся в Северной Америке и Европе.
-----

Группа Cl0p - один из наиболее активных на сегодняшний день угроз в сфере рансомного ПО. Эта группа связана с финансово-мотивированным игроком FIN11 (также известным как TA505 и Snakefly) и является потомком CryptoMix. Cl0p ransomware обычно используется для шифрования файлов после кражи информации, а FIN11 известна тем, что использует уязвимости высокой степени опасности, включая недавно раскрытую уязвимость MOVEit Transfer.

Эта группа вымогателей проявляет активность с начала 2019 года, а в 2023 году ее активность возросла по сравнению с предыдущими годами. Согласно данным, собранным с помощью сервиса FortiRecon компании Fortinet, в период с января по июнь 2023 года жертвами группы Cl0p стали представители нескольких отраслей, среди которых лидируют бизнес-услуги, за которыми следуют программное обеспечение и финансы. По регионам почти три четверти жертв находятся в Северной Америке и Европе, причем США занимают первое место со значительным отрывом. Группа также создала на TOR сайт утечки данных под названием CL0P^_-LEAKS, на котором размещает информацию, похищенную у жертв.

Основной мотивацией группы Cl0p ransomware является финансовая выгода, однако они не атакуют больницы и социальные учреждения. Для защиты от Cl0p ransomware и других разновидностей важно следить за тем, чтобы все системы были обновлены последними патчами и обновлениями безопасности.

#ParsedReport #CompletenessLow
21-07-2023

Reptile Malware Targeting Linux Systems

https://asec.ahnlab.com/ko/55379

Report completeness: Low

Actors/Campaigns:
Axiom

Threats:
Reptile
Syslogk_rootkit
Adoreng_rootkit
Rekoobe_rootkit
Mlofe
Kmatryoshka
Cloaking_technique
Smokeloader
Melofee

Victims:
Linux systems, fortinet's products, domestic companies

Geo:
China, Chinese

IOCs:
File: 6
Hash: 9

Algorithms:
hmac, sha1, aes-128

Functions:
init_module, sys_init_module, ip_rcv, inet_ioctl, fillonedir, filldir, filldir64, find_task_by_vpid, vfs_statx, getsid, have more...

Links:
https://github.com/milabs/kmatryoshka
https://github.com/f0rb1dd3n/Reptile
https://github.com/milabs/khook

#ParsedReport #ExtractedSchema

Classified images:
code: 26, windows: 4, schema: 2