CTT Report Hub
#ParsedReport #CompletenessHigh 20-07-2023 Threat Group Assessment: Mallox Ransomware https://unit42.paloaltonetworks.com/mallox-ransomware Report completeness: High Actors/Campaigns: Mallox Threats: Targetcompany Owassrf Proxylogon_exploit Proxyshell_vuln…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Группа разработчиков антивирусного ПО Mallox активно атакует системы Microsoft Windows и использует незащищенные серверы MS-SQL для проникновения в сети. Кроме того, группа Mallox привлекает аффилированных лиц для участия в своей партнерской программе ransomware-as-a-service (RaaS), что может привести к расширению ее атакующих возможностей.
-----
Mallox, известный также под названиями TargetCompany, FARGO и Tohnichi, - это штамм вымогательского ПО, нацеленный на системы Microsoft (MS) Windows. Он активен с июня 2021 года и использует незащищенные серверы MS-SQL в качестве средства проникновения в сети своих жертв. Исследователи из компании Unit 42 отмечают рост активности вымогательского ПО Mallox почти на 174% по сравнению с предыдущим годом. Для получения доступа к сетям Mallox использует грубый форсинг, эксфильтрацию данных, сетевые сканеры и другие инструменты.
Mallox придерживается тенденции "двойного вымогательства", когда перед шифрованием файлов организации она похищает данные, а затем угрожает опубликовать их на сайте утечки информации, чтобы убедить жертву заплатить выкуп. Группа Mallox заявляет о сотнях жертв, хотя точное их число остается неизвестным. Телеметрия Unit 42 указывает на десятки потенциальных жертв в различных отраслях, таких как производство, профессиональные и юридические услуги, оптовая и розничная торговля.
С 2021 года группа придерживается одного и того же подхода: атакует незащищенные серверы MS-SQL с целью проникновения в сеть. Атака начинается с перебора словарей, после чего злоумышленники с помощью командной строки и PowerShell загружают с удаленного сервера полезную нагрузку Mallox ransomware. Эта полезная нагрузка пытается выполнить несколько действий: остановить и удалить службы, связанные с SQL, удалить тени томов, очистить журналы событий, изменить права доступа к файлам, завершить процессы безопасности и обойти защиту от вымогательства Raccine. Он шифрует файлы с помощью алгоритма шифрования ChaCha20, добавляет к зашифрованным файлам расширение .malox и оставляет записку с требованием выкупа в каждом каталоге на диске жертвы.
Группа Mallox, судя по всему, работает над расширением своей деятельности и набирает аффилированных лиц на хакерских форумах. Пользователь под ником Mallx недавно написал на хакерском форуме RAMP, что группа Mallox набирает аффилиатов для новой партнерской программы Mallox ransomware-as-a-service (RaaS). Другой пользователь под ником RansomR в мае 2022 года разместил на хакерском форуме nulled.to сообщение о том, что группа Mallox ищет аффилиатов для присоединения к своей команде. Если эти усилия будут успешными, то группа Mallox может расширить сферу своей деятельности и охватить больше организаций.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Группа разработчиков антивирусного ПО Mallox активно атакует системы Microsoft Windows и использует незащищенные серверы MS-SQL для проникновения в сети. Кроме того, группа Mallox привлекает аффилированных лиц для участия в своей партнерской программе ransomware-as-a-service (RaaS), что может привести к расширению ее атакующих возможностей.
-----
Mallox, известный также под названиями TargetCompany, FARGO и Tohnichi, - это штамм вымогательского ПО, нацеленный на системы Microsoft (MS) Windows. Он активен с июня 2021 года и использует незащищенные серверы MS-SQL в качестве средства проникновения в сети своих жертв. Исследователи из компании Unit 42 отмечают рост активности вымогательского ПО Mallox почти на 174% по сравнению с предыдущим годом. Для получения доступа к сетям Mallox использует грубый форсинг, эксфильтрацию данных, сетевые сканеры и другие инструменты.
Mallox придерживается тенденции "двойного вымогательства", когда перед шифрованием файлов организации она похищает данные, а затем угрожает опубликовать их на сайте утечки информации, чтобы убедить жертву заплатить выкуп. Группа Mallox заявляет о сотнях жертв, хотя точное их число остается неизвестным. Телеметрия Unit 42 указывает на десятки потенциальных жертв в различных отраслях, таких как производство, профессиональные и юридические услуги, оптовая и розничная торговля.
С 2021 года группа придерживается одного и того же подхода: атакует незащищенные серверы MS-SQL с целью проникновения в сеть. Атака начинается с перебора словарей, после чего злоумышленники с помощью командной строки и PowerShell загружают с удаленного сервера полезную нагрузку Mallox ransomware. Эта полезная нагрузка пытается выполнить несколько действий: остановить и удалить службы, связанные с SQL, удалить тени томов, очистить журналы событий, изменить права доступа к файлам, завершить процессы безопасности и обойти защиту от вымогательства Raccine. Он шифрует файлы с помощью алгоритма шифрования ChaCha20, добавляет к зашифрованным файлам расширение .malox и оставляет записку с требованием выкупа в каждом каталоге на диске жертвы.
Группа Mallox, судя по всему, работает над расширением своей деятельности и набирает аффилированных лиц на хакерских форумах. Пользователь под ником Mallx недавно написал на хакерском форуме RAMP, что группа Mallox набирает аффилиатов для новой партнерской программы Mallox ransomware-as-a-service (RaaS). Другой пользователь под ником RansomR в мае 2022 года разместил на хакерском форуме nulled.to сообщение о том, что группа Mallox ищет аффилиатов для присоединения к своей команде. Если эти усилия будут успешными, то группа Mallox может расширить сферу своей деятельности и охватить больше организаций.
#ParsedReport #CompletenessLow
21-07-2023
Threat Actors Exploiting Citrix CVE-2023-3519 to Implant Webshells
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-201a
Report completeness: Low
Victims:
Critical infrastructure organization
CVEs:
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.1-37.159, <13.1-49.13, <13.0-91.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)
TTPs:
Tactics: 3
Technics: 20
IOCs:
File: 1
Soft:
active directory, openssl, curl
Algorithms:
zip
Languages:
python, php
Links:
21-07-2023
Threat Actors Exploiting Citrix CVE-2023-3519 to Implant Webshells
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-201a
Report completeness: Low
Victims:
Critical infrastructure organization
CVEs:
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.1-37.159, <13.1-49.13, <13.0-91.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)
TTPs:
Tactics: 3
Technics: 20
IOCs:
File: 1
Soft:
active directory, openssl, curl
Algorithms:
zip
Languages:
python, php
Links:
https://github.com/cisagov/Decider/Vulners Database
CVE-2023-3519 - vulnerability database | Vulners.com
Unauthenticated remote code execution
CTT Report Hub
#ParsedReport #CompletenessLow 21-07-2023 Threat Actors Exploiting Citrix CVE-2023-3519 to Implant Webshells https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-201a Report completeness: Low Victims: Critical infrastructure organization CVEs:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Организация CISA выпустила совет по кибербезопасности, предупреждающий защитников сетей об уязвимости "нулевого дня" CVE-2023-3519 - неавторизованном удаленном выполнении кода (RCE) в контроллере доставки приложений NetScaler (ранее Citrix) и шлюзе NetScaler Gateway. Для снижения риска, связанного с эксплуатацией CVE-2023-3519, организациям следует провести обновление уязвимых систем и внедрить компенсирующие средства контроля, а также обеспечить всестороннюю инвентаризацию ИТ-активов для выявления несанкционированного доступа или модификации систем.
-----
CISA выпустила совет по кибербезопасности, предупреждающий об уязвимости нулевого дня, эксплуатирующей CVE-2023-3519.
Уязвимость затрагивает NetScaler (ранее Citrix) Application Delivery Controller (ADC) и NetScaler Gateway.
CISA добавила CVE-2023-3519 в свой каталог известных эксплуатируемых уязвимостей в июле 2023 года.
Угрожающие лица загрузили на устройство ADC файл TGZ, содержащий веб-шелл, скрипт обнаружения и двоичный файл setuid.
Защитники сети должны проверить наличие в различных местах файлов, более новых, чем последняя установка, а также просмотреть журналы сетевых и межсетевых экранов на предмет сканирования всей подсети.
Организациям следует незамедлительно выполнить исправление уязвимых систем и внедрить компенсирующие средства контроля для снижения риска.
Организации также должны обеспечить всестороннюю инвентаризацию своих ИТ-активов для выявления несанкционированного доступа или модификации систем.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Организация CISA выпустила совет по кибербезопасности, предупреждающий защитников сетей об уязвимости "нулевого дня" CVE-2023-3519 - неавторизованном удаленном выполнении кода (RCE) в контроллере доставки приложений NetScaler (ранее Citrix) и шлюзе NetScaler Gateway. Для снижения риска, связанного с эксплуатацией CVE-2023-3519, организациям следует провести обновление уязвимых систем и внедрить компенсирующие средства контроля, а также обеспечить всестороннюю инвентаризацию ИТ-активов для выявления несанкционированного доступа или модификации систем.
-----
CISA выпустила совет по кибербезопасности, предупреждающий об уязвимости нулевого дня, эксплуатирующей CVE-2023-3519.
Уязвимость затрагивает NetScaler (ранее Citrix) Application Delivery Controller (ADC) и NetScaler Gateway.
CISA добавила CVE-2023-3519 в свой каталог известных эксплуатируемых уязвимостей в июле 2023 года.
Угрожающие лица загрузили на устройство ADC файл TGZ, содержащий веб-шелл, скрипт обнаружения и двоичный файл setuid.
Защитники сети должны проверить наличие в различных местах файлов, более новых, чем последняя установка, а также просмотреть журналы сетевых и межсетевых экранов на предмет сканирования всей подсети.
Организациям следует незамедлительно выполнить исправление уязвимых систем и внедрить компенсирующие средства контроля для снижения риска.
Организации также должны обеспечить всестороннюю инвентаризацию своих ИТ-активов для выявления несанкционированного доступа или модификации систем.
#ParsedReport #CompletenessLow
21-07-2023
First Known Targeted OSS Supply Chain Attacks Against the Banking Sector
https://checkmarx.com/blog/first-known-targeted-oss-supply-chain-attacks-against-the-banking-sector
Report completeness: Low
Threats:
Supply_chain_technique
Havoc
C5pider_actor
Cobalt_strike
Brc4_tool
Sliver_tool
Ratel
Victims:
Banking sector
Industry:
Financial
ChatGPT TTPs:
T1036.003, T1071.001, T1027.002
IOCs:
Hash: 5
Soft:
macos, windows defender
Links:
21-07-2023
First Known Targeted OSS Supply Chain Attacks Against the Banking Sector
https://checkmarx.com/blog/first-known-targeted-oss-supply-chain-attacks-against-the-banking-sector
Report completeness: Low
Threats:
Supply_chain_technique
Havoc
C5pider_actor
Cobalt_strike
Brc4_tool
Sliver_tool
Ratel
Victims:
Banking sector
Industry:
Financial
ChatGPT TTPs:
do not use without manual checkT1036.003, T1071.001, T1027.002
IOCs:
Hash: 5
Soft:
macos, windows defender
Links:
https://github.com/Cracked5piderhttps://github.com/HavocFramework/HavocCheckmarx
First Known Targeted OSS Supply Chain Attacks Against the Banking Sector
In the first half of 2023, Checkmarxs Supply Chain research team detected several open-source software supply chain attacks that specifically targeted the banking sector.
CTT Report Hub
#ParsedReport #CompletenessLow 21-07-2023 First Known Targeted OSS Supply Chain Attacks Against the Banking Sector https://checkmarx.com/blog/first-known-targeted-oss-supply-chain-attacks-against-the-banking-sector Report completeness: Low Threats: Su…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Checkmarx обнаружила две различные атаки на цепочки поставок ПО с открытым исходным кодом, направленные на банковский сектор, и прогнозирует продолжение этой тенденции. Компания Checkmarx следит за развитием ситуации и прогнозирует дальнейшее развитие событий, поэтому ей необходимо внедрять проактивную архитектуру безопасности, включающую защитные меры на всех этапах разработки и до конечного пользователя.
-----
В апреле 2023 года команда Checkmarx по исследованию цепочек поставок обнаружила две различные атаки на цепочки поставок программного обеспечения с открытым исходным кодом, направленные, в частности, на банковский сектор. Злоумышленники использовали обманные приемы, чтобы придать своим вредоносным пакетам видимость легитимности и достоверности, например, создавали поддельные профили LinkedIn и собственные центры управления для каждой из целей. Несмотря на то, что вредоносные пакеты были удалены, Checkmarx прогнозирует, что тенденция атак на банковский сектор будет продолжаться и что существующих средств контроля, направленных на обнаружение и управление известными уязвимостями, может оказаться недостаточно для борьбы с ними.
Для усиления защиты от этих атак необходимо общеотраслевое сотрудничество. Банковская отрасль стала объектом нового вида киберугроз, требующих адаптации и бдительности. Организациям необходимо понять, что нельзя относиться к вредоносным пакетам так же, как к обычным уязвимостям, и принять проактивную, интегрированную архитектуру безопасности, включающую защитные меры от стадии разработки до конечного пользователя.
Тактика, методы и процедуры, использованные злоумышленниками, были идентифицированы и распространены с целью содействия коллективному пониманию и осознанию этих возникающих угроз. Клиенты Checkmarx, занимающиеся аналитикой цепочек поставок, защищены от этих атак, компания активно следит за ситуацией и будет информировать о дальнейшем развитии событий.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Компания Checkmarx обнаружила две различные атаки на цепочки поставок ПО с открытым исходным кодом, направленные на банковский сектор, и прогнозирует продолжение этой тенденции. Компания Checkmarx следит за развитием ситуации и прогнозирует дальнейшее развитие событий, поэтому ей необходимо внедрять проактивную архитектуру безопасности, включающую защитные меры на всех этапах разработки и до конечного пользователя.
-----
В апреле 2023 года команда Checkmarx по исследованию цепочек поставок обнаружила две различные атаки на цепочки поставок программного обеспечения с открытым исходным кодом, направленные, в частности, на банковский сектор. Злоумышленники использовали обманные приемы, чтобы придать своим вредоносным пакетам видимость легитимности и достоверности, например, создавали поддельные профили LinkedIn и собственные центры управления для каждой из целей. Несмотря на то, что вредоносные пакеты были удалены, Checkmarx прогнозирует, что тенденция атак на банковский сектор будет продолжаться и что существующих средств контроля, направленных на обнаружение и управление известными уязвимостями, может оказаться недостаточно для борьбы с ними.
Для усиления защиты от этих атак необходимо общеотраслевое сотрудничество. Банковская отрасль стала объектом нового вида киберугроз, требующих адаптации и бдительности. Организациям необходимо понять, что нельзя относиться к вредоносным пакетам так же, как к обычным уязвимостям, и принять проактивную, интегрированную архитектуру безопасности, включающую защитные меры от стадии разработки до конечного пользователя.
Тактика, методы и процедуры, использованные злоумышленниками, были идентифицированы и распространены с целью содействия коллективному пониманию и осознанию этих возникающих угроз. Клиенты Checkmarx, занимающиеся аналитикой цепочек поставок, защищены от этих атак, компания активно следит за ситуацией и будет информировать о дальнейшем развитии событий.
#ParsedReport #CompletenessLow
21-07-2023
Ransomware Roundup - Cl0p
https://www.fortinet.com/blog/threat-research/ransomware-roundup-cl0p
Report completeness: Low
Actors/Campaigns:
Fin11 (motivation: financially_motivated)
Threats:
Clop
Cryptomix
Cryptxxx
Cryptowall
Cobalt_strike
Dewmode
Lemurloot
Sdbot
Flawedammyy
Lockbit
Blackcat
Filecoder
Hydracrypt
W32/encoder.q!tr.ransom
W32/ransom.clop!tr
Victims:
419 victim organizations
Industry:
Financial, Healthcare
Geo:
America
CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2021-27102 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- accellion fta (le9_12_411)
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)
CVE-2022-1388 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- f5 big-ip access policy manager (le11.6.5, le12.1.6, <16.1.2.2, <15.1.5.1, <14.1.4.6, <13.1.5)
- f5 big-ip advanced firewall manager (le11.6.5, le12.1.6, <15.1.5.1, <14.1.4.6, <13.1.5, <16.1.2.2)
- f5 big-ip analytics (le11.6.5, le12.1.6, <16.1.2.2, <15.1.5.1, <14.1.4.6, <13.1.5)
- f5 big-ip application acceleration manager (le11.6.5, le12.1.6, <16.1.2.2, <15.1.5.1, <14.1.4.6, <13.1.5)
- f5 big-ip application security manager (le11.6.5, le12.1.6, <16.1.2.2, <15.1.5.1, <14.1.4.6, <13.1.5)
have more...
CVE-2023-0669 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- fortra goanywhere managed file transfer (<7.1.2)
CVE-2023-27351 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<21.2.11, <22.0.9, <20.1.7)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)
CVE-2021-35211 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- solarwinds serv-u (<15.2.3)
CVE-2023-34362 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- progress moveit cloud (<15.0.2.39, <14.0.5.45, <14.1.6.97)
- progress moveit transfer (<2023.0.2, <2022.1.6, <2022.0.5, <2021.1.5, <2021.0.7, le2020.1.6)
IOCs:
File: 9
Hash: 8
Soft:
moveit, goanywhere, serv-u, big-ip
21-07-2023
Ransomware Roundup - Cl0p
https://www.fortinet.com/blog/threat-research/ransomware-roundup-cl0p
Report completeness: Low
Actors/Campaigns:
Fin11 (motivation: financially_motivated)
Threats:
Clop
Cryptomix
Cryptxxx
Cryptowall
Cobalt_strike
Dewmode
Lemurloot
Sdbot
Flawedammyy
Lockbit
Blackcat
Filecoder
Hydracrypt
W32/encoder.q!tr.ransom
W32/ransom.clop!tr
Victims:
419 victim organizations
Industry:
Financial, Healthcare
Geo:
America
CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2021-27102 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Unavailable
Soft:
- accellion fta (le9_12_411)
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-, 1903, 1909, 2004)
- microsoft windows server 2019 (-)
- fedoraproject fedora (31, 32, 33)
have more...
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)
CVE-2022-1388 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- f5 big-ip access policy manager (le11.6.5, le12.1.6, <16.1.2.2, <15.1.5.1, <14.1.4.6, <13.1.5)
- f5 big-ip advanced firewall manager (le11.6.5, le12.1.6, <15.1.5.1, <14.1.4.6, <13.1.5, <16.1.2.2)
- f5 big-ip analytics (le11.6.5, le12.1.6, <16.1.2.2, <15.1.5.1, <14.1.4.6, <13.1.5)
- f5 big-ip application acceleration manager (le11.6.5, le12.1.6, <16.1.2.2, <15.1.5.1, <14.1.4.6, <13.1.5)
- f5 big-ip application security manager (le11.6.5, le12.1.6, <16.1.2.2, <15.1.5.1, <14.1.4.6, <13.1.5)
have more...
CVE-2023-0669 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- fortra goanywhere managed file transfer (<7.1.2)
CVE-2023-27351 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.2
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<21.2.11, <22.0.9, <20.1.7)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)
CVE-2021-35211 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- solarwinds serv-u (<15.2.3)
CVE-2023-34362 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- progress moveit cloud (<15.0.2.39, <14.0.5.45, <14.1.6.97)
- progress moveit transfer (<2023.0.2, <2022.1.6, <2022.0.5, <2021.1.5, <2021.0.7, le2020.1.6)
IOCs:
File: 9
Hash: 8
Soft:
moveit, goanywhere, serv-u, big-ip
Fortinet Blog
Ransomware Roundup - Cl0p | FortiGuard Labs
Learn about the Cl0p ransomware group's past activities including using the MOVEit Transfer vulnerability to compromise organizations.…
CTT Report Hub
#ParsedReport #CompletenessLow 21-07-2023 Ransomware Roundup - Cl0p https://www.fortinet.com/blog/threat-research/ransomware-roundup-cl0p Report completeness: Low Actors/Campaigns: Fin11 (motivation: financially_motivated) Threats: Clop Cryptomix Cryptxxx…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Группа Cl0p ransomware - это финансово мотивированный агент угроз, проявляющий активность с начала 2019 года. Как правило, ее жертвами становятся компании, работающие в сфере бизнес-услуг, программного обеспечения и финансов, а большинство пострадавших находятся в Северной Америке и Европе.
-----
Группа Cl0p - один из наиболее активных на сегодняшний день угроз в сфере рансомного ПО. Эта группа связана с финансово-мотивированным игроком FIN11 (также известным как TA505 и Snakefly) и является потомком CryptoMix. Cl0p ransomware обычно используется для шифрования файлов после кражи информации, а FIN11 известна тем, что использует уязвимости высокой степени опасности, включая недавно раскрытую уязвимость MOVEit Transfer.
Эта группа вымогателей проявляет активность с начала 2019 года, а в 2023 году ее активность возросла по сравнению с предыдущими годами. Согласно данным, собранным с помощью сервиса FortiRecon компании Fortinet, в период с января по июнь 2023 года жертвами группы Cl0p стали представители нескольких отраслей, среди которых лидируют бизнес-услуги, за которыми следуют программное обеспечение и финансы. По регионам почти три четверти жертв находятся в Северной Америке и Европе, причем США занимают первое место со значительным отрывом. Группа также создала на TOR сайт утечки данных под названием CL0P^_-LEAKS, на котором размещает информацию, похищенную у жертв.
Основной мотивацией группы Cl0p ransomware является финансовая выгода, однако они не атакуют больницы и социальные учреждения. Для защиты от Cl0p ransomware и других разновидностей важно следить за тем, чтобы все системы были обновлены последними патчами и обновлениями безопасности.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Группа Cl0p ransomware - это финансово мотивированный агент угроз, проявляющий активность с начала 2019 года. Как правило, ее жертвами становятся компании, работающие в сфере бизнес-услуг, программного обеспечения и финансов, а большинство пострадавших находятся в Северной Америке и Европе.
-----
Группа Cl0p - один из наиболее активных на сегодняшний день угроз в сфере рансомного ПО. Эта группа связана с финансово-мотивированным игроком FIN11 (также известным как TA505 и Snakefly) и является потомком CryptoMix. Cl0p ransomware обычно используется для шифрования файлов после кражи информации, а FIN11 известна тем, что использует уязвимости высокой степени опасности, включая недавно раскрытую уязвимость MOVEit Transfer.
Эта группа вымогателей проявляет активность с начала 2019 года, а в 2023 году ее активность возросла по сравнению с предыдущими годами. Согласно данным, собранным с помощью сервиса FortiRecon компании Fortinet, в период с января по июнь 2023 года жертвами группы Cl0p стали представители нескольких отраслей, среди которых лидируют бизнес-услуги, за которыми следуют программное обеспечение и финансы. По регионам почти три четверти жертв находятся в Северной Америке и Европе, причем США занимают первое место со значительным отрывом. Группа также создала на TOR сайт утечки данных под названием CL0P^_-LEAKS, на котором размещает информацию, похищенную у жертв.
Основной мотивацией группы Cl0p ransomware является финансовая выгода, однако они не атакуют больницы и социальные учреждения. Для защиты от Cl0p ransomware и других разновидностей важно следить за тем, чтобы все системы были обновлены последними патчами и обновлениями безопасности.
#ParsedReport #CompletenessLow
21-07-2023
Reptile Malware Targeting Linux Systems
https://asec.ahnlab.com/ko/55379
Report completeness: Low
Actors/Campaigns:
Axiom
Threats:
Reptile
Syslogk_rootkit
Adoreng_rootkit
Rekoobe_rootkit
Mlofe
Kmatryoshka
Cloaking_technique
Smokeloader
Melofee
Victims:
Linux systems, fortinet's products, domestic companies
Geo:
China, Chinese
IOCs:
File: 6
Hash: 9
Algorithms:
hmac, sha1, aes-128
Functions:
init_module, sys_init_module, ip_rcv, inet_ioctl, fillonedir, filldir, filldir64, find_task_by_vpid, vfs_statx, getsid, have more...
Links:
21-07-2023
Reptile Malware Targeting Linux Systems
https://asec.ahnlab.com/ko/55379
Report completeness: Low
Actors/Campaigns:
Axiom
Threats:
Reptile
Syslogk_rootkit
Adoreng_rootkit
Rekoobe_rootkit
Mlofe
Kmatryoshka
Cloaking_technique
Smokeloader
Melofee
Victims:
Linux systems, fortinet's products, domestic companies
Geo:
China, Chinese
IOCs:
File: 6
Hash: 9
Algorithms:
hmac, sha1, aes-128
Functions:
init_module, sys_init_module, ip_rcv, inet_ioctl, fillonedir, filldir, filldir64, find_task_by_vpid, vfs_statx, getsid, have more...
Links:
https://github.com/milabs/kmatryoshkahttps://github.com/f0rb1dd3n/Reptilehttps://github.com/milabs/khookASEC
리눅스 시스템을 노리는 Reptile 악성코드 - ASEC
Reptile은 깃허브에 오픈 소스로 공개되어 있는 리눅스 시스템 대상 커널 모듈 루트킷이다. [1] 루트킷은 자신이나 다른 악성코드를 은폐하는 기능을 갖는 악성코드로서 주로 파일 및 프로세스, 네트워크 통신이 그 은폐 대상이다. Reptile이 지원하는 은폐 기능으로는 커널 모듈 자신 외에도 파일 및 디렉터리, 파일의 내용, 프로세스, 네트워크 트래픽이 있다. 일반적으로 은폐 기능만을 제공하는 다른 루트킷 악성코드와 달리 […]
CTT Report Hub
#ParsedReport #CompletenessLow 21-07-2023 Reptile Malware Targeting Linux Systems https://asec.ahnlab.com/ko/55379 Report completeness: Low Actors/Campaigns: Axiom Threats: Reptile Syslogk_rootkit Adoreng_rootkit Rekoobe_rootkit Mlofe Kmatryoshka Cloaking_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея данного текста заключается в том, что Reptile - это руткит с модулем ядра для Linux-систем, который использовался различными злоумышленниками и обеспечивает скрытность файлов/каталогов, процессов и сетевого взаимодействия. Он связан с группой атак Winnti и упаковывается с помощью kmatryoshka. Для передачи команд он использует KHOOK, механизм подцепления функций ядра Linux, и перехват портов. Также поддерживается маскировка файлов и каталогов, самоскрытие и сокрытие содержимого файлов. В качестве обратной оболочки используется TinySHell, а для поддержки перехвата портов - руткит Syslogk. Для шифрования данных используется алгоритм HMAC SHA1 и ключ AES-128.
-----
Reptile - это руткит для Linux-систем с модулем ядра, который был выпущен с открытым исходным кодом на GitHub и с тех пор используется различными злоумышленниками. Он обеспечивает скрытность файлов/каталогов и процессов, а также сетевого взаимодействия. Reptile поддерживает такие вредоносные программы и инструменты, используемые злоумышленниками, как Listener, Packet и Client, и упаковывается с помощью инструмента с открытым исходным кодом kmatryoshka. Reptile использует KHOOK, механизм подключения функций ядра Linux, для подключения функций ядра, а также port knocking в качестве метода доставки команд. Также поддерживается маскировка файлов и каталогов, самоскрытие и сокрытие содержимого файлов.
Недавно китайская атакующая группа Winnti использовала "нулевые дни" Fortinet, и в отчете ExaTrack, посвященном анализу вредоносной программы Mlofe, был обнаружен руткит Reptile, приписываемый группе Winnti. Вредоносная программа reverse shell, исполняемая руткитом Reptile, подключается к C&C-серверу и предоставляет оболочку. Обратный шелл основан на TinySHell, вредоносной программе-бэкдоре для Linux с открытым исходным кодом. Руткит Syslogk также поддерживает метод пробивания портов, который работает как триггер с Magic Packet. Для шифрования коммуникационных данных используется алгоритм HMAC SHA1 и ключ AES-128.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея данного текста заключается в том, что Reptile - это руткит с модулем ядра для Linux-систем, который использовался различными злоумышленниками и обеспечивает скрытность файлов/каталогов, процессов и сетевого взаимодействия. Он связан с группой атак Winnti и упаковывается с помощью kmatryoshka. Для передачи команд он использует KHOOK, механизм подцепления функций ядра Linux, и перехват портов. Также поддерживается маскировка файлов и каталогов, самоскрытие и сокрытие содержимого файлов. В качестве обратной оболочки используется TinySHell, а для поддержки перехвата портов - руткит Syslogk. Для шифрования данных используется алгоритм HMAC SHA1 и ключ AES-128.
-----
Reptile - это руткит для Linux-систем с модулем ядра, который был выпущен с открытым исходным кодом на GitHub и с тех пор используется различными злоумышленниками. Он обеспечивает скрытность файлов/каталогов и процессов, а также сетевого взаимодействия. Reptile поддерживает такие вредоносные программы и инструменты, используемые злоумышленниками, как Listener, Packet и Client, и упаковывается с помощью инструмента с открытым исходным кодом kmatryoshka. Reptile использует KHOOK, механизм подключения функций ядра Linux, для подключения функций ядра, а также port knocking в качестве метода доставки команд. Также поддерживается маскировка файлов и каталогов, самоскрытие и сокрытие содержимого файлов.
Недавно китайская атакующая группа Winnti использовала "нулевые дни" Fortinet, и в отчете ExaTrack, посвященном анализу вредоносной программы Mlofe, был обнаружен руткит Reptile, приписываемый группе Winnti. Вредоносная программа reverse shell, исполняемая руткитом Reptile, подключается к C&C-серверу и предоставляет оболочку. Обратный шелл основан на TinySHell, вредоносной программе-бэкдоре для Linux с открытым исходным кодом. Руткит Syslogk также поддерживает метод пробивания портов, который работает как триггер с Magic Packet. Для шифрования коммуникационных данных используется алгоритм HMAC SHA1 и ключ AES-128.
#ParsedReport #CompletenessLow
19-07-2023
Stealth Mode: Chinese Cyber Espionage Actors Continue to Evolve Tactics to Avoid Detection
https://www.mandiant.com/resources/blog/chinese-espionage-tactics
Report completeness: Low
Actors/Campaigns:
Unc3886 (motivation: cyber_espionage)
Unc4841 (motivation: cyber_espionage)
Apt5
Volt_typhoon (motivation: cyber_espionage)
Axiom (motivation: cyber_espionage)
Apt31 (motivation: cyber_espionage)
Playful_taurus (motivation: cyber_espionage)
Camaro_dragon (motivation: cyber_espionage)
Sparklinggoblin
Unc215
Threats:
Supply_chain_technique
Lolbin_technique
Thincrust
Castletap
Tableflip_tool
Reptile
Virtualpita
Virtualpie
Saltwater
Seaside
Seaspy
Seaspray
Skipjack
Horse_shell
Bpfdoor
Vulture
Sidewalk
Crosswalk
Zuo_rat
Aitm_technique
Daxin
Hyperbro
Focusfjord
Victims:
Defense industrial base (dib), telecommunication organizations, governments and organizations associated with verticals of high priority to china, ministries of foreign affairs (mfas) of asean member nations, foreign trade offices and academic research organizations in taiwan and hong kong, critical infrastructure organizations in the us, european foreign affairs organizations, a hong kong university
Industry:
Logistic, Iot, Government, Transport, Military, Education, Telco
Geo:
Asia, America, Taiwan, Asian, French, Chinese, China, Taiwanese
CVEs:
CVE-2023-20867 [Vulners]
CVSS V3.1: 3.9,
Vulners: Exploitation: True
X-Force: Risk: 3.9
X-Force: Patch: Official fix
Soft:
- vmware tools (<12.2.5)
CVE-2021-22893 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- pulsesecure pulse connect secure (9.0, 9.1)
CVE-2022-1040 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- sophos sfos (le18.5.3)
CVE-2021-20023 [Vulners]
CVSS V3.1: 4.9,
Vulners: Exploitation: True
X-Force: Risk: 6.7
X-Force: Patch: Official fix
Soft:
- sonicwall email security (<10.0.9.6173)
- sonicwall hosted email security (<10.0.9.6173)
CVE-2022-41328 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: True
X-Force: Risk: 6.7
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le6.0.16, le6.4.11, le7.2.3, le6.2.13, le7.0.9)
have more ...
IOCs:
File: 2
19-07-2023
Stealth Mode: Chinese Cyber Espionage Actors Continue to Evolve Tactics to Avoid Detection
https://www.mandiant.com/resources/blog/chinese-espionage-tactics
Report completeness: Low
Actors/Campaigns:
Unc3886 (motivation: cyber_espionage)
Unc4841 (motivation: cyber_espionage)
Apt5
Volt_typhoon (motivation: cyber_espionage)
Axiom (motivation: cyber_espionage)
Apt31 (motivation: cyber_espionage)
Playful_taurus (motivation: cyber_espionage)
Camaro_dragon (motivation: cyber_espionage)
Sparklinggoblin
Unc215
Threats:
Supply_chain_technique
Lolbin_technique
Thincrust
Castletap
Tableflip_tool
Reptile
Virtualpita
Virtualpie
Saltwater
Seaside
Seaspy
Seaspray
Skipjack
Horse_shell
Bpfdoor
Vulture
Sidewalk
Crosswalk
Zuo_rat
Aitm_technique
Daxin
Hyperbro
Focusfjord
Victims:
Defense industrial base (dib), telecommunication organizations, governments and organizations associated with verticals of high priority to china, ministries of foreign affairs (mfas) of asean member nations, foreign trade offices and academic research organizations in taiwan and hong kong, critical infrastructure organizations in the us, european foreign affairs organizations, a hong kong university
Industry:
Logistic, Iot, Government, Transport, Military, Education, Telco
Geo:
Asia, America, Taiwan, Asian, French, Chinese, China, Taiwanese
CVEs:
CVE-2023-20867 [Vulners]
CVSS V3.1: 3.9,
Vulners: Exploitation: True
X-Force: Risk: 3.9
X-Force: Patch: Official fix
Soft:
- vmware tools (<12.2.5)
CVE-2021-22893 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- pulsesecure pulse connect secure (9.0, 9.1)
CVE-2022-1040 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- sophos sfos (le18.5.3)
CVE-2021-20023 [Vulners]
CVSS V3.1: 4.9,
Vulners: Exploitation: True
X-Force: Risk: 6.7
X-Force: Patch: Official fix
Soft:
- sonicwall email security (<10.0.9.6173)
- sonicwall hosted email security (<10.0.9.6173)
CVE-2022-41328 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: True
X-Force: Risk: 6.7
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le6.0.16, le6.4.11, le7.2.3, le6.2.13, le7.0.9)
have more ...
IOCs:
File: 2
Google Cloud Blog
Stealth Mode: Chinese Cyber Espionage Actors Continue to Evolve Tactics to Avoid Detection | Mandiant | Google Cloud Blog
CTT Report Hub
#ParsedReport #CompletenessLow 19-07-2023 Stealth Mode: Chinese Cyber Espionage Actors Continue to Evolve Tactics to Avoid Detection https://www.mandiant.com/resources/blog/chinese-espionage-tactics Report completeness: Low Actors/Campaigns: Unc3886 (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Китайские кибершпионы принимают чрезвычайные меры, чтобы остаться незамеченными, используя уязвимости "нулевого дня", внедряя пользовательские вредоносные программы и используя бот-сети скомпрометированных устройств для маскировки своей деятельности. Эти действия свидетельствуют об инвестициях китайского правительства в оснащение своих кибероператоров более совершенными средствами, и организациям следует принять меры по защите своих систем от этих угроз.
-----
По данным Mandiant Intelligence, в 2021 и 2022 годах китайские субъекты кибершпионажа будут все чаще использовать эксплойты "нулевого дня". В частности, они сосредоточились на использовании технологий безопасности, сетевых технологий и технологий виртуализации для получения и сохранения доступа к дорогостоящим сетям, принимая при этом меры для того, чтобы остаться незамеченными.
В качестве примера можно привести группу UNC3886, которая атаковала организации оборонно-промышленной базы (ОПК), технологические и телекоммуникационные организации в США и Азии. Для того чтобы остаться незамеченной, эта группа принимала чрезвычайные меры: использовала нетрадиционные протоколы, очищала и изменяла журналы, отключала проверку файловой системы при запуске. Они также использовали семейства вредоносных программ, разработанные для взаимодействия с устройствами Fortinet. Кроме того, по данным Mandiant, UNC3886 использовал уязвимость обхода пути (CVE-2022-41328) и уязвимость обхода аутентификации (CVE-2023-20867) на хостах ESXi.
Еще одним примером использования китайскими угрозами уязвимости нулевого дня является группа UNC4841, которая с октября 2022 года эксплуатировала уязвимость нулевого дня CVE-2023-2868 в устройствах Barracuda Email Security Gateway (ESG). Эта группа атаковала правительства и организации, связанные с приоритетными для Китая вертикалями экономики, министерства иностранных дел (МИД) стран-членов АСЕАН, внешнеторговые представительства и академические исследовательские организации Тайваня и Гонконга. Для эксплуатации уязвимости они использовали специально созданные вложения TAR-файлов, рассылали письма, которые попадали в спам-фильтры, разрабатывали собственные вредоносные программы, использовали легитимные временные самоподписанные сертификаты SSL и украденные сертификаты для маскировки трафика C2.
Компания Mandiant также отмечает, что предполагаемые китайские операторы кибершпионажа используют пользовательские вредоносные программы для ретрансляции и маскировки трафика в сетях жертв, например, с помощью перехвата DNS, HTTP и TCP/IP. Кроме того, для маскировки внешнего трафика между инфраструктурой C2 и средами жертв используются бот-сети из взломанных устройств Интернета вещей (IoT), смарт-устройств и маршрутизаторов, а также многочисленные семейства вредоносных программ, включающие функции для скрытой ретрансляции трафика злоумышленников внутри взломанных сетей.
Эти действия свидетельствуют о том, что китайские операторы кибершпионажа становятся все более искусными в применении сложных тактик, инструментов и эксплойтов для уклонения от обнаружения и затруднения атрибуции. Это говорит о том, что долгосрочные инвестиции китайского правительства в оснащение своих кибероператоров более совершенными средствами приносят свои плоды. Поэтому организациям следует сохранять бдительность и принимать меры по защите своих систем от этих угроз.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Китайские кибершпионы принимают чрезвычайные меры, чтобы остаться незамеченными, используя уязвимости "нулевого дня", внедряя пользовательские вредоносные программы и используя бот-сети скомпрометированных устройств для маскировки своей деятельности. Эти действия свидетельствуют об инвестициях китайского правительства в оснащение своих кибероператоров более совершенными средствами, и организациям следует принять меры по защите своих систем от этих угроз.
-----
По данным Mandiant Intelligence, в 2021 и 2022 годах китайские субъекты кибершпионажа будут все чаще использовать эксплойты "нулевого дня". В частности, они сосредоточились на использовании технологий безопасности, сетевых технологий и технологий виртуализации для получения и сохранения доступа к дорогостоящим сетям, принимая при этом меры для того, чтобы остаться незамеченными.
В качестве примера можно привести группу UNC3886, которая атаковала организации оборонно-промышленной базы (ОПК), технологические и телекоммуникационные организации в США и Азии. Для того чтобы остаться незамеченной, эта группа принимала чрезвычайные меры: использовала нетрадиционные протоколы, очищала и изменяла журналы, отключала проверку файловой системы при запуске. Они также использовали семейства вредоносных программ, разработанные для взаимодействия с устройствами Fortinet. Кроме того, по данным Mandiant, UNC3886 использовал уязвимость обхода пути (CVE-2022-41328) и уязвимость обхода аутентификации (CVE-2023-20867) на хостах ESXi.
Еще одним примером использования китайскими угрозами уязвимости нулевого дня является группа UNC4841, которая с октября 2022 года эксплуатировала уязвимость нулевого дня CVE-2023-2868 в устройствах Barracuda Email Security Gateway (ESG). Эта группа атаковала правительства и организации, связанные с приоритетными для Китая вертикалями экономики, министерства иностранных дел (МИД) стран-членов АСЕАН, внешнеторговые представительства и академические исследовательские организации Тайваня и Гонконга. Для эксплуатации уязвимости они использовали специально созданные вложения TAR-файлов, рассылали письма, которые попадали в спам-фильтры, разрабатывали собственные вредоносные программы, использовали легитимные временные самоподписанные сертификаты SSL и украденные сертификаты для маскировки трафика C2.
Компания Mandiant также отмечает, что предполагаемые китайские операторы кибершпионажа используют пользовательские вредоносные программы для ретрансляции и маскировки трафика в сетях жертв, например, с помощью перехвата DNS, HTTP и TCP/IP. Кроме того, для маскировки внешнего трафика между инфраструктурой C2 и средами жертв используются бот-сети из взломанных устройств Интернета вещей (IoT), смарт-устройств и маршрутизаторов, а также многочисленные семейства вредоносных программ, включающие функции для скрытой ретрансляции трафика злоумышленников внутри взломанных сетей.
Эти действия свидетельствуют о том, что китайские операторы кибершпионажа становятся все более искусными в применении сложных тактик, инструментов и эксплойтов для уклонения от обнаружения и затруднения атрибуции. Это говорит о том, что долгосрочные инвестиции китайского правительства в оснащение своих кибероператоров более совершенными средствами приносят свои плоды. Поэтому организациям следует сохранять бдительность и принимать меры по защите своих систем от этих угроз.
#ParsedReport #CompletenessMedium
24-07-2023
NemesisProject. Technical Overview
https://medium.com/walmartglobaltech/nemesisproject-816ed5c1e8d5
Report completeness: Medium
Actors/Campaigns:
Carbanak
Dev-0960
Threats:
Nemesisproject
Lizar_loader
Botloaderstarter
Nemesis
Industry:
Financial
Geo:
Kyrgyzstan, Russia, Armenia, Moldova, Kazakhstan, Uzbekistan, Ukraine, Belarus, Azerbaijan
ChatGPT TTPs:
T1166, T1184, T1547, T1074, T1086
IOCs:
File: 249
IP: 6
Url: 1
Coin: 1
Soft:
avastbrowser, virtualbox, chromium, google chrome, opera, coolnovo, orbitum, amigo, torch, comodo dragon, have more...
Wallets:
electrum, jaxx, coinomi, guarda_wallet, zcash, metamask, tronlink
Crypto:
ethereum, binance
Algorithms:
rc4, base64, gzip
Functions:
CreateNoWindow
Win Services:
arsm, AvastSvc, ekrn, Mcshield, MsMpEng, ccSetMgr, tpvcgateway, tpautoconnsvc
Languages:
python
Platforms:
x64, x86
24-07-2023
NemesisProject. Technical Overview
https://medium.com/walmartglobaltech/nemesisproject-816ed5c1e8d5
Report completeness: Medium
Actors/Campaigns:
Carbanak
Dev-0960
Threats:
Nemesisproject
Lizar_loader
Botloaderstarter
Nemesis
Industry:
Financial
Geo:
Kyrgyzstan, Russia, Armenia, Moldova, Kazakhstan, Uzbekistan, Ukraine, Belarus, Azerbaijan
ChatGPT TTPs:
do not use without manual checkT1166, T1184, T1547, T1074, T1086
IOCs:
File: 249
IP: 6
Url: 1
Coin: 1
Soft:
avastbrowser, virtualbox, chromium, google chrome, opera, coolnovo, orbitum, amigo, torch, comodo dragon, have more...
Wallets:
electrum, jaxx, coinomi, guarda_wallet, zcash, metamask, tronlink
Crypto:
ethereum, binance
Algorithms:
rc4, base64, gzip
Functions:
CreateNoWindow
Win Services:
arsm, AvastSvc, ekrn, Mcshield, MsMpEng, ccSetMgr, tpvcgateway, tpautoconnsvc
Languages:
python
Platforms:
x64, x86
Medium
NemesisProject
By: Jason Reaves, Jonathan McCay and Joshua Platt
CTT Report Hub
#ParsedReport #CompletenessMedium 24-07-2023 NemesisProject. Technical Overview https://medium.com/walmartglobaltech/nemesisproject-816ed5c1e8d5 Report completeness: Medium Actors/Campaigns: Carbanak Dev-0960 Threats: Nemesisproject Lizar_loader Botloaderstarter…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: NemesisProject - это мощный и эффективный фреймворк бэкдора, используемый FIN7 для доставки вредоносных полезных нагрузок и кражи данных из зараженных систем.
-----
NemesisProject - это фреймворк бэкдора с подключаемыми компонентами, который недавно был замечен в работе FIN7. BotLoaderStarter - это загрузчик, предназначенный для загрузки и запуска файла, который использует встроенную строку SeparateWord из настроек для поиска ключа RC4 и начала зашифрованных данных. Он способен использовать C2-трафик через Web, OneDrive или Azure.
Сообщалось также о компоненте кражи NemesisProject, который поставляется с собственной конфигурацией, позволяющей использовать его самостоятельно. Хотя он может работать по протоколу HTTP, он также проверяет страну системы, на которой запущен, на принадлежность к определенным странам. Если это так, то он попытается отключить определенные значения реестра. Кроме того, похититель попытается собрать с зараженной системы файлы, соответствующие списку расширений, включая DOCX, XLSX, PDF, TXT и JPG.
В целом NemesisProject является эффективным инструментом, используемым FIN7 для доставки вредоносной полезной нагрузки и кражи данных с зараженных систем. Загрузчик BotLoaderStarter отлично справляется с загрузкой и запуском файла, а компонент stealer способен проверять определенные значения реестра и собирать файлы определенных типов. Сочетание этих двух компонентов делает NemesisProject мощным и эффективным инструментом для получения доступа и утечки данных из зараженных систем.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: NemesisProject - это мощный и эффективный фреймворк бэкдора, используемый FIN7 для доставки вредоносных полезных нагрузок и кражи данных из зараженных систем.
-----
NemesisProject - это фреймворк бэкдора с подключаемыми компонентами, который недавно был замечен в работе FIN7. BotLoaderStarter - это загрузчик, предназначенный для загрузки и запуска файла, который использует встроенную строку SeparateWord из настроек для поиска ключа RC4 и начала зашифрованных данных. Он способен использовать C2-трафик через Web, OneDrive или Azure.
Сообщалось также о компоненте кражи NemesisProject, который поставляется с собственной конфигурацией, позволяющей использовать его самостоятельно. Хотя он может работать по протоколу HTTP, он также проверяет страну системы, на которой запущен, на принадлежность к определенным странам. Если это так, то он попытается отключить определенные значения реестра. Кроме того, похититель попытается собрать с зараженной системы файлы, соответствующие списку расширений, включая DOCX, XLSX, PDF, TXT и JPG.
В целом NemesisProject является эффективным инструментом, используемым FIN7 для доставки вредоносной полезной нагрузки и кражи данных с зараженных систем. Загрузчик BotLoaderStarter отлично справляется с загрузкой и запуском файла, а компонент stealer способен проверять определенные значения реестра и собирать файлы определенных типов. Сочетание этих двух компонентов делает NemesisProject мощным и эффективным инструментом для получения доступа и утечки данных из зараженных систем.
#ParsedReport #CompletenessMedium
24-07-2023
Lookout Attributes Advanced Android Surveillanceware to Chinese Espionage Group APT41
https://www.lookout.com/threat-intelligence/article/wyrmspy-dragonegg-surveillanceware-apt41
Report completeness: Medium
Actors/Campaigns:
Axiom (motivation: cyber_espionage, financially_motivated)
Threats:
Wyrmspy
Dragonegg
Monokle
Kingroot_tool
Victims:
Public and private sector organizations, software development companies, computer hardware manufacturers, telecommunications providers, social media companies, and video game companies
Industry:
Education, Government, Telco, Foodtech
Geo:
Taiwan, India, Japan, Korea, Australia, Russian, Singapore, Chinese, China, Russia
ChatGPT TTPs:
T1059, T1060, T1063, T1071, T1201, T1204, T1205, T1547, T1566.002
IOCs:
IP: 5
Domain: 9
Email: 1
File: 2
Hash: 34
Soft:
android, tiktok, telegram, selinux
Algorithms:
sha1
YARA: Found
24-07-2023
Lookout Attributes Advanced Android Surveillanceware to Chinese Espionage Group APT41
https://www.lookout.com/threat-intelligence/article/wyrmspy-dragonegg-surveillanceware-apt41
Report completeness: Medium
Actors/Campaigns:
Axiom (motivation: cyber_espionage, financially_motivated)
Threats:
Wyrmspy
Dragonegg
Monokle
Kingroot_tool
Victims:
Public and private sector organizations, software development companies, computer hardware manufacturers, telecommunications providers, social media companies, and video game companies
Industry:
Education, Government, Telco, Foodtech
Geo:
Taiwan, India, Japan, Korea, Australia, Russian, Singapore, Chinese, China, Russia
ChatGPT TTPs:
do not use without manual checkT1059, T1060, T1063, T1071, T1201, T1204, T1205, T1547, T1566.002
IOCs:
IP: 5
Domain: 9
Email: 1
File: 2
Hash: 34
Soft:
android, tiktok, telegram, selinux
Algorithms:
sha1
YARA: Found
Lookout
WyrmSpy and DragonEgg: Lookout Attributes Android Spyware to China’s APT41 | Threat Intel
Lookout researchers discover advanced Android surveillanceware tied to Chinese espionage group APT41 known to target a wide range of public and private sector organizations.
CTT Report Hub
#ParsedReport #CompletenessMedium 24-07-2023 Lookout Attributes Advanced Android Surveillanceware to Chinese Espionage Group APT41 https://www.lookout.com/threat-intelligence/article/wyrmspy-dragonegg-surveillanceware-apt41 Report completeness: Medium …
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Такие программы наблюдения за мобильными устройствами, как WyrmSpy и DragonEgg, становятся все более совершенными и свидетельствуют о том, что государственные угрозы используют мобильную платформу для осуществления шпионажа. Для защиты своих данных организациям следует применять меры безопасности на мобильных устройствах.
-----
WyrmSpy и DragonEgg - две программы наблюдения для Android, приписываемые китайской группе угроз APT41.
Вредоносная программа запрашивает обширные разрешения на устройстве и использует модули, загружаемые после установки приложений, для обеспечения возможности фильтрации данных.
Lookout смогла отнести эти две вредоносные программы к APT41 благодаря связи между командно-контрольной (C2) инфраструктурой, жестко закодированной в исходном коде вредоносной программы, и Chengdu 404.
Обе вредоносные программы связаны между собой использованием перекрывающихся сертификатов подписи Android.
Monokle - это новый и сложный набор пользовательских программных средств наблюдения для Android, разработанный российской компанией ООО "Центр специальных технологий".
Мобильные конечные точки являются ценными объектами, на которых хранятся ценные данные, и угрозы используют преимущества мобильной платформы для осуществления шпионажа.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Такие программы наблюдения за мобильными устройствами, как WyrmSpy и DragonEgg, становятся все более совершенными и свидетельствуют о том, что государственные угрозы используют мобильную платформу для осуществления шпионажа. Для защиты своих данных организациям следует применять меры безопасности на мобильных устройствах.
-----
WyrmSpy и DragonEgg - две программы наблюдения для Android, приписываемые китайской группе угроз APT41.
Вредоносная программа запрашивает обширные разрешения на устройстве и использует модули, загружаемые после установки приложений, для обеспечения возможности фильтрации данных.
Lookout смогла отнести эти две вредоносные программы к APT41 благодаря связи между командно-контрольной (C2) инфраструктурой, жестко закодированной в исходном коде вредоносной программы, и Chengdu 404.
Обе вредоносные программы связаны между собой использованием перекрывающихся сертификатов подписи Android.
Monokle - это новый и сложный набор пользовательских программных средств наблюдения для Android, разработанный российской компанией ООО "Центр специальных технологий".
Мобильные конечные точки являются ценными объектами, на которых хранятся ценные данные, и угрозы используют преимущества мобильной платформы для осуществления шпионажа.
#ParsedReport #CompletenessLow
24-07-2023
June s Sophisticated npm Attack Attributed to North Korea
https://blog.phylum.io/junes-sophisticated-npm-attack-attributed-to-north-korea
Report completeness: Low
Actors/Campaigns:
Dev-0954
Threats:
Supply_chain_technique
Typosquatting_technique
Victims:
Technology firm employees
Industry:
Financial
Geo:
Korean, Korea
Algorithms:
base64
Links:
24-07-2023
June s Sophisticated npm Attack Attributed to North Korea
https://blog.phylum.io/junes-sophisticated-npm-attack-attributed-to-north-korea
Report completeness: Low
Actors/Campaigns:
Dev-0954
Threats:
Supply_chain_technique
Typosquatting_technique
Victims:
Technology firm employees
Industry:
Financial
Geo:
Korean, Korea
Algorithms:
base64
Links:
https://github.com/marketplace/phylum-io