#ParsedReport #CompletenessHigh
07-12-2023

Threat Actors Exploit Adobe ColdFusion CVE-2023-26360 for Initial Access to Government Servers

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-339a

Report completeness: High

Actors/Campaigns:
0ktapus

Threats:
Rhysida
Nltest_tool
Credential_dumping_technique

Industry:
Government

CVEs:
CVE-2023-26360 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: 8.6
X-Force: Patch: Official fix
Soft:
- adobe coldfusion (2018, 2021)


TTPs:
Tactics: 5
Technics: 21

IOCs:
IP: 2
File: 26
Hash: 4
Path: 1

Soft:
Adobe ColdFusion, ColdFusion, Microsoft Defender for Endpoint, Microsoft Edge, local security authority

Algorithms:
sha1

Languages:
javascript, java

Links:
https://github.com/Tas9er/ByPassGodzilla
https://github.com/cisagov/Decider/

#ParsedReport #CompletenessMedium
07-12-2023

Beware of predatory fin(tech): Loan sharks use Android apps to reach new depths

https://www.welivesecurity.com/en/eset-research/beware-predatory-fintech-loan-sharks-use-android-apps-reach-new-depths

Report completeness: Medium

Threats:
Spyloan

Industry:
Financial

Geo:
Ukraine, Indian, Philippines, Pakistan, Egypt, Vietnam, Colombia, Nigeria, Usa, Indonesian, America, American, Singapore, India, Asia, Egyptian, Canada, Spanish, Kenya, Thailand, Peru, Africa, Indonesia, Mexico

TTPs:
Tactics: 5
Technics: 7

IOCs:
Hash: 17
Domain: 17
IP: 17

Soft:
Android, Flutter

Algorithms:
aes

Platforms:
apple, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные кредитные приложения были загружены более 12 миллионов раз и могут обманывать и мошенничать с пользователями. Важно знать о признаках вредоносного кредитного приложения и проявлять осторожность при обращении за финансовыми услугами в Интернете.
-----

Легальные кредитные приложения становятся все более популярными благодаря своему привлекательному внешнему виду и возможности получения кредитов под высокие проценты. Однако существует и скрытый риск - вредоносные кредитные приложения могут обманывать и мошенничать с пользователями. Компания ESET Research обнаружила 18 приложений SpyLoan, которые были загружены из Google Play более 12 миллионов раз. В основном эти приложения нацелены на пользователей из Юго-Восточной Азии, Африки и Латинской Америки.

Когда пользователь загружает приложение SpyLoan, ему предлагается принять условия обслуживания и предоставить широкие полномочия для доступа к конфиденциальным данным, хранящимся на устройстве. Приложение запрашивает личную информацию, такую как адресные данные, контактная информация, подтверждение дохода, информация о банковском счете и даже фотографии лицевой и оборотной сторон удостоверения личности и селфи. Затем эти данные отправляются на серверы злоумышленников, где используются для преследования и шантажа пользователей с целью совершения платежей.

За последние три года компания Google ввела новые требования к приложениям для персональных займов в нескольких регионах и удалила вредоносные приложения для займов после того, как ESET уведомила их об этом. Однако в январе 2023 года количество обнаружений SpyLoan снова начало расти, поскольку злоумышленники продвигают вредоносные приложения с помощью SMS-сообщений и в социальных сетях, таких как Twitter, Facebook и YouTube. Некоторые приложения SpyLoan даже выдают себя за авторитетных поставщиков кредитов и финансовых услуг.

Важно знать о признаках вредоносного кредитного приложения и проявлять осторожность при поиске финансовых услуг в Интернете. Следует полагаться на законные источники и обращать пристальное внимание на отзывы пользователей при загрузке приложений из Google Play. Жертвы цифровых ростовщиков должны сообщать о случившемся в правоохранительные или соответствующие юридические органы своей страны и обращаться в органы по защите прав потребителей. Оставаясь информированными и бдительными, пользователи смогут лучше защитить себя от того, чтобы стать жертвой подобных обманных схем.

#ParsedReport #CompletenessMedium
07-12-2023

Fighting Ursa Aka APT28: Illuminating a Covert Campaign

https://unit42.paloaltonetworks.com/russian-apt-fighting-ursa-exploits-cve-2023-233397

Report completeness: Medium

Actors/Campaigns:
Fancy_bear
Forest_blizzard

Threats:
Wildfire

Victims:
Organizations and nations using microsoft outlook

Industry:
Telco, Government, Transport, Chemical, Energy, Military

Geo:
Russian, Germany, France, Russia, Ukraine, Ukrainian, Jordan, Emirates

CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft outlook (2016, 2013)
- microsoft office (2019, 2021)
- microsoft 365 apps (-)


IOCs:
Domain: 1
Hash: 1
IP: 14

Soft:
Microsoft Outlook, Outlook

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа Fighting Ursa, связанная с российской военной разведкой, использует уязвимости в Microsoft Outlook для получения доступа к конфиденциальной информации, нацеливаясь на организации, представляющие очевидную разведывательную ценность для российских военных. Правительствам и поставщикам критически важной инфраструктуры следует принять меры для защиты своих систем от подобных атак.
-----

Fighting Ursa - группа, связанная с российской военной разведкой и приписанная к 85-му центру спецслужб ГРУ (ГЦСС), подразделение военной разведки 26165. В течение последних 20 месяцев они использовали эксплойт нулевого дня в Microsoft Outlook, известный как CVE-2023-23397. Целями группы стали по меньшей мере 30 организаций в 14 странах, все из которых являются членами НАТО, за исключением Украины, Иордании и ОАЭ. Эксплойт позволяет провести ретрансляционную атаку с использованием Windows (New Technology) NT LAN Manager (NTLM) и таким образом получить доступ к системам жертвы.

Группа впервые использовала эксплойт вскоре после вторжения России в Украину и продолжила использовать его даже после того, как украинские исследователи кибербезопасности обнаружили его. Судя по всему, их целью являются организации, представляющие очевидную разведывательную ценность для российских военных, например, связанные с энергетикой, транспортом, телекоммуникациями, информационными технологиями и военно-промышленной базой.

Очевидно, что Fighting Ursa умело использует уязвимости Microsoft Outlook для получения доступа к конфиденциальной информации. Поэтому правительствам и поставщикам критически важной инфраструктуры следует незамедлительно принять меры по защите своих систем от подобных атак. Соблюдая необходимые меры предосторожности, организации могут защитить себя от того, чтобы стать жертвами вредоносных кампаний Fighting Ursa.

#ParsedReport #CompletenessMedium
07-12-2023

Star Blizzard increases sophistication and evasion in ongoing attacks

https://www.microsoft.com/en-us/security/blog/2023/12/07/star-blizzard-increases-sophistication-and-evasion-in-ongoing-attacks

Report completeness: Medium

Actors/Campaigns:
Seaborgium (motivation: cyber_espionage)

Threats:
Spear-phishing_technique
Evilginx_tool
Lockdown

Victims:
Defense and government entities, Academic institutions, Think tanks, Research organizations

Industry:
Telco, Logistic, Government

Geo:
Russian, Ukraine, Russia

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 249

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Selenium, PhantomJS, HubSpot, MailerLite, Microsoft OneDrive, Office 365, Microsoft Edge, Microsoft 365 Defender, have more...

Functions:
pluginsEmpty, isAutomationTool, eval

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 3, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Microsoft выявила серию атак, совершенных российским государственным агентом Star Blizzard, и приняла меры по снижению угрозы, в частности, напрямую уведомила клиентов и предоставила им необходимую информацию для защиты своих учетных записей. Пользователям важно знать об угрозе, исходящей от Star Blizzard, и принимать дополнительные меры предосторожности, а также использовать Microsoft Defender для Office и Microsoft 365 Defender для усиления защиты.
-----

Специалисты Microsoft Threat Intelligence выявили серию целенаправленных социально-инженерных атак, проведенных российским агентом угроз Star Blizzard, спонсируемым государством. В ходе этих атак использовались фишинговые заманухи для кражи учетных данных, рассылаемые угрожающим агентом, которого Microsoft относит к отдельному угрожающему агенту, отслеживаемому как Cadet Blizzard и Storm-0978. Microsoft выявила пять различных методов, которые Star Blizzard использовал для уклонения от обнаружения, например, использование скриптов на стороне сервера, платформ маркетинга электронной почты и DNS-провайдеров для сокрытия истинных адресов отправителей электронной почты. Угрожающий агент также был замечен в отправке защищенных паролем PDF-приманок или ссылок на облачные файлообменные платформы, где размещаются PDF-приманки, а также в переходе на более рандомизированный алгоритм генерации доменов (DGA) для зарегистрированных агентом доменов.

Star Blizzard обычно атакует академические институты, аналитические центры и другие исследовательские организации, пытаясь получить учетные данные для американского портала управления грантами. Письма обычно представляются письмами от легитимных контактов и могут быть отправлены с любого бесплатного почтового провайдера. Когда пользователь нажимает на кнопку в PDF-приманке, открывается сессия браузера, после чего следует цепочка переадресации, которая заканчивается на контролируемом актером сервере Evilginx, настроенном на фишлет для целевого провайдера электронной почты. Если процесс аутентификации завершен, значит, учетные данные были успешно скомпрометированы Star Blizzard.

Microsoft предприняла шаги по снижению угрозы, исходящей от Star Blizzard, в частности, напрямую уведомила клиентов, подвергшихся атаке или взлому, предоставила им необходимую информацию для защиты своих учетных записей, приостановила работу учетных записей, обнаруженных при использовании платформы Microsoft для фишинга, и внедрила обнаружение вредоносных доменов с помощью защиты Network. Клиенты Microsoft также могут использовать отчеты в продуктах Microsoft, чтобы получить самую свежую информацию о субъекте угрозы, вредоносной активности и рекомендуемых действиях по предотвращению, смягчению и реагированию на связанные угрозы.

Пользователям корпоративной и потребительской электронной почты важно помнить об угрозе, исходящей от Star Blizzard, и обращать внимание на письма от известных контактов, которые могут быть вредоносными. Лицам и организациям, связанным с правительством или дипломатией, исследованиями в области оборонной политики или международных отношений, когда речь идет о России, а также с оказанием помощи Украине в связи с продолжающимся конфликтом с Россией, следует принять дополнительные меры предосторожности. Microsoft Defender для Office и Microsoft 365 Defender предлагают расширенные решения для блокировки и выявления вредоносных писем.

#technique

Abusing WSUS with MITM to perform ADCS ESC8 attack

https://j4s0nmo0n.github.io/belettetimoree.github.io/2023-12-01-WSUS-to-ESC8.html

#ParsedReport #CompletenessMedium
08-12-2023

ITG05 operations leverage Israel-Hamas conflict lures to deliver Headlace malware

https://securityintelligence.com/x-force/itg05-ops-leverage-israel-hamas-conflict-lures-to-deliver-headlace-malware

Report completeness: Medium

Actors/Campaigns:
Fancy_bear
Forest_blizzard
Steal-it

Threats:
Headlace
Dll_hijacking_technique
Spear-phishing_technique
Nishang_tool
Graphite

Victims:
Organizations in hungary, turkey, australia, poland, belgium, ukraine, germany, azerbaijan, saudi arabia, kazakhstan, italy, latvia and romania

Industry:
Energy, Ngo, Financial, Education, Government

Geo:
Russian, Romania, Kazakhstan, Ukrainian, Italy, Poland, Latvia, Belarus, Azerbaijan, Israel, Austria, Russia, Belgium, Hungary, Germany, Israeli, French, Palestinian, Ukraine, Turkish, Australia, Turkey

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1193, T1190, T1204, T1036, T1210, T1003, T1098

IOCs:
File: 6
Url: 9
Hash: 36

Soft:
Mockbin

Algorithms:
sha256, sha1, zip, md5

Functions:
URL

Languages:
visual_basic, javascript, php

Links:
https://github.com/samratashok/nishang/blob/master/Utility/Start-CaptureServer.ps1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: IBM X-Force обнаружила целенаправленную кампанию ITG05, вероятно, спонсируемой российским государством группы, использующей продолжающуюся войну между Израилем и Хамасом в качестве приманки для доставки эксклюзивного бэкдора Headlace в 13 стран мира. Headlace - это многокомпонентное вредоносное ПО, и было замечено, что угрожающий субъект использует коммерческие хостинги для размещения вредоносной полезной нагрузки. После закрепления в системе несколько последующих полезных нагрузок используются для захвата учетных данных NTLM или хэшей SMB учетных записей пользователей и попытки их утечки через сеть TOR.
-----

IBM X-Force обнаружила целенаправленную кампанию ITG05, вероятно, спонсируемой российским государством группы, использующей продолжающуюся войну между Израилем и Хамасом в качестве приманки для доставки своего эксклюзивного бэкдора Headlace. Кампания направлена на цели в 13 странах мира, включая Венгрию, Турцию, Австралию, Польшу, Бельгию, Украину, Германию, Азербайджан, Саудовскую Аравию, Казахстан, Италию, Латвию и Румынию. Все страны, кроме одной, указанные в геолокационных периметрах для загрузки Headlace, являются членами Совета ООН по правам человека.

Приманки, используемые ITG05, содержат контент, предназначенный для уникальной аудитории, заинтересованной в исследованиях и разработке политики. В них использованы документы Организации Объединенных Наций, Банка Израиля, Исследовательской службы Конгресса США, Европейского парламента, украинского аналитического центра и Межправительственной комиссии Азербайджана и Белоруссии. По наблюдениям X-Force, развертывание Headlace и вторичных полезных нагрузок было направлено именно на эти страны.

Headlace - это многокомпонентная вредоносная программа, включающая дроппер, VBS-запускатор и бэкдор, использующий MSEdge в режиме headless для постоянной загрузки вторичной полезной нагрузки, которая, вероятно, предназначена для утечки учетных данных и конфиденциальной информации. Угрожающий агент использовал коммерческие хостинги, включая API Mocky и Mockbin, а также сервис Infinityfreeapp, для размещения вредоносной полезной нагрузки. X-Force выявила три возможные цепочки выполнения, реализованные ITG05 для запуска вредоносной программы Headlace.

После того как система закрепилась, несколько последующих полезных нагрузок используются для захвата учетных данных NTLM или хэшей SMB учетных записей пользователей и попытки их эксфильтрации через сеть TOR. По оценке X-Force, ITG05 будет продолжать использовать атаки на дипломатические и академические центры, чтобы предоставить противнику расширенное понимание возникающих политических решений, используя публичные CVE и коммерчески доступную инфраструктуру.

#ParsedReport #CompletenessMedium
07-12-2023

MrAnon Stealer Spreads via Email with Fake Hotel Booking PDF

https://www.fortinet.com/blog/threat-research/mranon-stealer-spreads-via-email-with-fake-hotel-booking-pdf

Report completeness: Medium

Threats:
Mranon
Hydra

Industry:
Entertainment

Geo:
Germany

ChatGPT TTPs:
do not use without manual check
T1566.001, T1170.001, T1117.001, T1059.005, T1036.003, T1036.005, T1036.006, T1106.001, T1543.003, T1003.001, have more...

IOCs:
File: 25
Path: 1
Domain: 2
Url: 3
Hash: 8

Soft:
chrome, Discord, DiscordCanary, KeePassXC, seamonkey, Telegram, opera, waterfox, 7Star, Chrome Canary, have more...

Wallets:
atomicwallet, coinomi, guarda_wallet

Crypto:
bitcoin

Algorithms:
zip

Functions:
Exec

Win API:
WinMain

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания FortiGuard Labs обнаружила фишинговую кампанию, использующую обманчивую информацию о бронировании, чтобы заставить жертву нажать на вредоносный PDF-файл. Вредоносный PDF-файл содержит ссылку-загрузчик, которая загружает исполняемый файл .NET, запускающий сценарий PowerShell для получения конечного вредоносного ПО - MrAnon Stealer. Эта вредоносная полезная нагрузка похищает учетные данные, системную информацию, сессии браузера и криптовалютные расширения и загружает украденные данные на общедоступный файлообменный веб-сайт. Пользователям следует обращать внимание на фишинговые письма и неясные PDF-файлы и проверять свою систему с помощью надежного антивирусного ПО, если они подозревают, что их система была взломана.
-----

Недавно лаборатория FortiGuard Labs обнаружила фишинговую кампанию, в которой использовалась обманчивая информация о бронировании, чтобы заставить жертву нажать на вредоносный PDF-файл. Эта атака была нацелена в основном на Германию, где количество запросов по вредоносному URL значительно возросло в ноябре 2023 года. Вредоносный PDF-файл содержит скрытую в потоковом объекте ссылку-загрузчик, которая загружает исполняемый файл .NET, созданный с помощью PowerGUI. Этот исполняемый файл запускает сценарий PowerShell для получения конечного вредоносного ПО - MrAnon Stealer.

MrAnon Stealer - это похититель информации на базе Python, сжатый с помощью cx-Freeze, чтобы избежать обнаружения. Вредоносная полезная нагрузка похищает учетные данные, системную информацию, сессии браузера и криптовалютные расширения. Затем он сжимает и загружает украденные данные на общедоступный файлообменный сайт и Telegram-канал угрожающего агента.

Злоумышленник маскируется под компанию, занимающуюся бронированием гостиничных номеров, и рассылает фишинговые письма с темой December Room Availability Query. В теле письма содержатся фиктивные данные о бронировании номеров в отелях на праздничный сезон. Исполняемый файл .NET использует ScriptRunner.dll для извлечения Scripts.zip, чтобы получить сценарий PowerShell. Извлеченный файл помещается во временную папку и выполняется с помощью PowerShell.exe. Чтобы ввести пользователей в заблуждение и заставить их поверить, что вредоносная программа не была успешно выполнена, отображается окно с именем File Not Supported и сообщением о статусе Not Run: python.exe.

Вредоносная полезная нагрузка загружает и извлекает файлы из определенного домена для запуска вредоносного скрипта Python. Он извлекает чистые DLL-файлы и вредоносное ПО с именем python.exe, которое прикрывает загрузку вредоносной полезной нагрузки. Сценарий ищет определенные расширения файлов на Рабочем столе, в Документах, Загрузках, Изображениях и захватывает их.

Пользователям следует остерегаться фишинговых писем и неясных PDF-файлов. Важно знать о вредоносных кампаниях, чтобы не стать их жертвой. Если вы подозреваете, что ваша система подверглась взлому, рекомендуется проверить ее с помощью надежного антивирусного программного обеспечения.

#ParsedReport #CompletenessLow
08-12-2023

40 New Domains of Magecart Veteran ATMZOW Found in Google Tag Manager

https://blog.sucuri.net/2023/12/40-new-domains-of-magecart-veteran-atmzow-found-in-google-tag-manager.html

Report completeness: Low

Actors/Campaigns:
Magecart

Threats:
Atmzow

Victims:
Magento sites

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1140, T1218

IOCs:
Domain: 45
IP: 4

Soft:
WordPress

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Вредоносный код внедряется на сайты через Google Tag Manager, причем наиболее распространенный идентификатор контейнера - GTM-WJ6S9J6. Решения по безопасности теперь обучены обнаруживать фиктивные версии популярных аналитических сервисов, а те же банды, которые 8 лет назад стали пионерами в скимминге кредитных карт, по-прежнему активны и совершенствуют свою тактику. Если вы подозреваете, что ваш сайт заражен, ознакомьтесь с нашим руководством по очистке Magento и обратитесь за помощью к нашим высококвалифицированным аналитикам.
-----

Диспетчер тегов Google - это популярный инструмент, используемый многими веб-сайтами для управления тегами и отслеживания их эффективности. К сожалению, в последнее время он используется для установки на сайты вредоносного кода, например, скиммеров кредитных карт. За последние 11 месяцев 2023 года наш сканер удаленных сайтов SiteCheck обнаружил известные вредоносные контейнеры GTM на 327 сайтах, с наиболее распространенным идентификатором контейнера - GTM-WJ6S9J6. В октябре 2023 года этот контейнер содержал вредоносный скрипт с сайта gtm-statistlc.com, который был создан 11 июля 2023 года.

В ноябре 2023 года был обнаружен еще один контейнер, GTM-TVKQ79ZS, с новой вариацией скиммера в переменной vtp_html. Этот код был более сложным и использовал кодировку base64 для скрытия доменного имени и URL страницы, которые интересовали злоумышленников. Он также использовал знакомый стиль обфускации ATMZOW, который был связан с инфекцией Guruincsite 2015 года, поразившей тысячи сайтов Magento в начале эры Magecart.

Чтобы избежать обнаружения, вредоносный код случайным образом выбирает два из 40 недавно зарегистрированных доменов, используемых для внедрения еще одного уровня скиммера. Эти домены были зарегистрированы через Hostinger тремя партиями в ноябре 2023 года. В них используются ключевые слова, связанные с искусством, чтобы придать им более доброкачественный вид, поскольку многие решения по безопасности уже обучены определять фиктивные версии популярных аналитических сервисов.

После того как Google удалил контейнер GTM-TVKQ79ZS, злоумышленники создали новые контейнеры GTM-NTV2JTB4 и GTM-MX7L8F2M с тем же вредоносным скриптом. Интересно, что на одном из сайтов скиммер Google Tag Manager был обнаружен рядом с скиммером WebSocket lgstd . io. Это указывает на то, что те же банды, которые 8 лет назад стали пионерами скимминга кредитных карт, по-прежнему активны и совершенствуют свою тактику.

Если вы подозреваете, что ваш сайт заражен скиммером ATMZOW, ознакомьтесь с нашим руководством по очистке Magento. Обязательно проверьте все шаблоны, хранящиеся в core_config_data, так как это обычное место для клиентских скриптов скиммера. Если вы считаете, что на вашем сайте есть вредоносное ПО, наши высококвалифицированные аналитики готовы помочь вам 24 часа в сутки 7 дней в неделю.