#ParsedReport #ExtractedSchema

Classified images:
code: 3, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Microsoft выявила серию атак, совершенных российским государственным агентом Star Blizzard, и приняла меры по снижению угрозы, в частности, напрямую уведомила клиентов и предоставила им необходимую информацию для защиты своих учетных записей. Пользователям важно знать об угрозе, исходящей от Star Blizzard, и принимать дополнительные меры предосторожности, а также использовать Microsoft Defender для Office и Microsoft 365 Defender для усиления защиты.
-----

Специалисты Microsoft Threat Intelligence выявили серию целенаправленных социально-инженерных атак, проведенных российским агентом угроз Star Blizzard, спонсируемым государством. В ходе этих атак использовались фишинговые заманухи для кражи учетных данных, рассылаемые угрожающим агентом, которого Microsoft относит к отдельному угрожающему агенту, отслеживаемому как Cadet Blizzard и Storm-0978. Microsoft выявила пять различных методов, которые Star Blizzard использовал для уклонения от обнаружения, например, использование скриптов на стороне сервера, платформ маркетинга электронной почты и DNS-провайдеров для сокрытия истинных адресов отправителей электронной почты. Угрожающий агент также был замечен в отправке защищенных паролем PDF-приманок или ссылок на облачные файлообменные платформы, где размещаются PDF-приманки, а также в переходе на более рандомизированный алгоритм генерации доменов (DGA) для зарегистрированных агентом доменов.

Star Blizzard обычно атакует академические институты, аналитические центры и другие исследовательские организации, пытаясь получить учетные данные для американского портала управления грантами. Письма обычно представляются письмами от легитимных контактов и могут быть отправлены с любого бесплатного почтового провайдера. Когда пользователь нажимает на кнопку в PDF-приманке, открывается сессия браузера, после чего следует цепочка переадресации, которая заканчивается на контролируемом актером сервере Evilginx, настроенном на фишлет для целевого провайдера электронной почты. Если процесс аутентификации завершен, значит, учетные данные были успешно скомпрометированы Star Blizzard.

Microsoft предприняла шаги по снижению угрозы, исходящей от Star Blizzard, в частности, напрямую уведомила клиентов, подвергшихся атаке или взлому, предоставила им необходимую информацию для защиты своих учетных записей, приостановила работу учетных записей, обнаруженных при использовании платформы Microsoft для фишинга, и внедрила обнаружение вредоносных доменов с помощью защиты Network. Клиенты Microsoft также могут использовать отчеты в продуктах Microsoft, чтобы получить самую свежую информацию о субъекте угрозы, вредоносной активности и рекомендуемых действиях по предотвращению, смягчению и реагированию на связанные угрозы.

Пользователям корпоративной и потребительской электронной почты важно помнить об угрозе, исходящей от Star Blizzard, и обращать внимание на письма от известных контактов, которые могут быть вредоносными. Лицам и организациям, связанным с правительством или дипломатией, исследованиями в области оборонной политики или международных отношений, когда речь идет о России, а также с оказанием помощи Украине в связи с продолжающимся конфликтом с Россией, следует принять дополнительные меры предосторожности. Microsoft Defender для Office и Microsoft 365 Defender предлагают расширенные решения для блокировки и выявления вредоносных писем.

#technique

Abusing WSUS with MITM to perform ADCS ESC8 attack

https://j4s0nmo0n.github.io/belettetimoree.github.io/2023-12-01-WSUS-to-ESC8.html

#ParsedReport #CompletenessMedium
08-12-2023

ITG05 operations leverage Israel-Hamas conflict lures to deliver Headlace malware

https://securityintelligence.com/x-force/itg05-ops-leverage-israel-hamas-conflict-lures-to-deliver-headlace-malware

Report completeness: Medium

Actors/Campaigns:
Fancy_bear
Forest_blizzard
Steal-it

Threats:
Headlace
Dll_hijacking_technique
Spear-phishing_technique
Nishang_tool
Graphite

Victims:
Organizations in hungary, turkey, australia, poland, belgium, ukraine, germany, azerbaijan, saudi arabia, kazakhstan, italy, latvia and romania

Industry:
Energy, Ngo, Financial, Education, Government

Geo:
Russian, Romania, Kazakhstan, Ukrainian, Italy, Poland, Latvia, Belarus, Azerbaijan, Israel, Austria, Russia, Belgium, Hungary, Germany, Israeli, French, Palestinian, Ukraine, Turkish, Australia, Turkey

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1193, T1190, T1204, T1036, T1210, T1003, T1098

IOCs:
File: 6
Url: 9
Hash: 36

Soft:
Mockbin

Algorithms:
sha256, sha1, zip, md5

Functions:
URL

Languages:
visual_basic, javascript, php

Links:
https://github.com/samratashok/nishang/blob/master/Utility/Start-CaptureServer.ps1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: IBM X-Force обнаружила целенаправленную кампанию ITG05, вероятно, спонсируемой российским государством группы, использующей продолжающуюся войну между Израилем и Хамасом в качестве приманки для доставки эксклюзивного бэкдора Headlace в 13 стран мира. Headlace - это многокомпонентное вредоносное ПО, и было замечено, что угрожающий субъект использует коммерческие хостинги для размещения вредоносной полезной нагрузки. После закрепления в системе несколько последующих полезных нагрузок используются для захвата учетных данных NTLM или хэшей SMB учетных записей пользователей и попытки их утечки через сеть TOR.
-----

IBM X-Force обнаружила целенаправленную кампанию ITG05, вероятно, спонсируемой российским государством группы, использующей продолжающуюся войну между Израилем и Хамасом в качестве приманки для доставки своего эксклюзивного бэкдора Headlace. Кампания направлена на цели в 13 странах мира, включая Венгрию, Турцию, Австралию, Польшу, Бельгию, Украину, Германию, Азербайджан, Саудовскую Аравию, Казахстан, Италию, Латвию и Румынию. Все страны, кроме одной, указанные в геолокационных периметрах для загрузки Headlace, являются членами Совета ООН по правам человека.

Приманки, используемые ITG05, содержат контент, предназначенный для уникальной аудитории, заинтересованной в исследованиях и разработке политики. В них использованы документы Организации Объединенных Наций, Банка Израиля, Исследовательской службы Конгресса США, Европейского парламента, украинского аналитического центра и Межправительственной комиссии Азербайджана и Белоруссии. По наблюдениям X-Force, развертывание Headlace и вторичных полезных нагрузок было направлено именно на эти страны.

Headlace - это многокомпонентная вредоносная программа, включающая дроппер, VBS-запускатор и бэкдор, использующий MSEdge в режиме headless для постоянной загрузки вторичной полезной нагрузки, которая, вероятно, предназначена для утечки учетных данных и конфиденциальной информации. Угрожающий агент использовал коммерческие хостинги, включая API Mocky и Mockbin, а также сервис Infinityfreeapp, для размещения вредоносной полезной нагрузки. X-Force выявила три возможные цепочки выполнения, реализованные ITG05 для запуска вредоносной программы Headlace.

После того как система закрепилась, несколько последующих полезных нагрузок используются для захвата учетных данных NTLM или хэшей SMB учетных записей пользователей и попытки их эксфильтрации через сеть TOR. По оценке X-Force, ITG05 будет продолжать использовать атаки на дипломатические и академические центры, чтобы предоставить противнику расширенное понимание возникающих политических решений, используя публичные CVE и коммерчески доступную инфраструктуру.

#ParsedReport #CompletenessMedium
07-12-2023

MrAnon Stealer Spreads via Email with Fake Hotel Booking PDF

https://www.fortinet.com/blog/threat-research/mranon-stealer-spreads-via-email-with-fake-hotel-booking-pdf

Report completeness: Medium

Threats:
Mranon
Hydra

Industry:
Entertainment

Geo:
Germany

ChatGPT TTPs:
do not use without manual check
T1566.001, T1170.001, T1117.001, T1059.005, T1036.003, T1036.005, T1036.006, T1106.001, T1543.003, T1003.001, have more...

IOCs:
File: 25
Path: 1
Domain: 2
Url: 3
Hash: 8

Soft:
chrome, Discord, DiscordCanary, KeePassXC, seamonkey, Telegram, opera, waterfox, 7Star, Chrome Canary, have more...

Wallets:
atomicwallet, coinomi, guarda_wallet

Crypto:
bitcoin

Algorithms:
zip

Functions:
Exec

Win API:
WinMain

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания FortiGuard Labs обнаружила фишинговую кампанию, использующую обманчивую информацию о бронировании, чтобы заставить жертву нажать на вредоносный PDF-файл. Вредоносный PDF-файл содержит ссылку-загрузчик, которая загружает исполняемый файл .NET, запускающий сценарий PowerShell для получения конечного вредоносного ПО - MrAnon Stealer. Эта вредоносная полезная нагрузка похищает учетные данные, системную информацию, сессии браузера и криптовалютные расширения и загружает украденные данные на общедоступный файлообменный веб-сайт. Пользователям следует обращать внимание на фишинговые письма и неясные PDF-файлы и проверять свою систему с помощью надежного антивирусного ПО, если они подозревают, что их система была взломана.
-----

Недавно лаборатория FortiGuard Labs обнаружила фишинговую кампанию, в которой использовалась обманчивая информация о бронировании, чтобы заставить жертву нажать на вредоносный PDF-файл. Эта атака была нацелена в основном на Германию, где количество запросов по вредоносному URL значительно возросло в ноябре 2023 года. Вредоносный PDF-файл содержит скрытую в потоковом объекте ссылку-загрузчик, которая загружает исполняемый файл .NET, созданный с помощью PowerGUI. Этот исполняемый файл запускает сценарий PowerShell для получения конечного вредоносного ПО - MrAnon Stealer.

MrAnon Stealer - это похититель информации на базе Python, сжатый с помощью cx-Freeze, чтобы избежать обнаружения. Вредоносная полезная нагрузка похищает учетные данные, системную информацию, сессии браузера и криптовалютные расширения. Затем он сжимает и загружает украденные данные на общедоступный файлообменный сайт и Telegram-канал угрожающего агента.

Злоумышленник маскируется под компанию, занимающуюся бронированием гостиничных номеров, и рассылает фишинговые письма с темой December Room Availability Query. В теле письма содержатся фиктивные данные о бронировании номеров в отелях на праздничный сезон. Исполняемый файл .NET использует ScriptRunner.dll для извлечения Scripts.zip, чтобы получить сценарий PowerShell. Извлеченный файл помещается во временную папку и выполняется с помощью PowerShell.exe. Чтобы ввести пользователей в заблуждение и заставить их поверить, что вредоносная программа не была успешно выполнена, отображается окно с именем File Not Supported и сообщением о статусе Not Run: python.exe.

Вредоносная полезная нагрузка загружает и извлекает файлы из определенного домена для запуска вредоносного скрипта Python. Он извлекает чистые DLL-файлы и вредоносное ПО с именем python.exe, которое прикрывает загрузку вредоносной полезной нагрузки. Сценарий ищет определенные расширения файлов на Рабочем столе, в Документах, Загрузках, Изображениях и захватывает их.

Пользователям следует остерегаться фишинговых писем и неясных PDF-файлов. Важно знать о вредоносных кампаниях, чтобы не стать их жертвой. Если вы подозреваете, что ваша система подверглась взлому, рекомендуется проверить ее с помощью надежного антивирусного программного обеспечения.

#ParsedReport #CompletenessLow
08-12-2023

40 New Domains of Magecart Veteran ATMZOW Found in Google Tag Manager

https://blog.sucuri.net/2023/12/40-new-domains-of-magecart-veteran-atmzow-found-in-google-tag-manager.html

Report completeness: Low

Actors/Campaigns:
Magecart

Threats:
Atmzow

Victims:
Magento sites

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1140, T1218

IOCs:
Domain: 45
IP: 4

Soft:
WordPress

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Вредоносный код внедряется на сайты через Google Tag Manager, причем наиболее распространенный идентификатор контейнера - GTM-WJ6S9J6. Решения по безопасности теперь обучены обнаруживать фиктивные версии популярных аналитических сервисов, а те же банды, которые 8 лет назад стали пионерами в скимминге кредитных карт, по-прежнему активны и совершенствуют свою тактику. Если вы подозреваете, что ваш сайт заражен, ознакомьтесь с нашим руководством по очистке Magento и обратитесь за помощью к нашим высококвалифицированным аналитикам.
-----

Диспетчер тегов Google - это популярный инструмент, используемый многими веб-сайтами для управления тегами и отслеживания их эффективности. К сожалению, в последнее время он используется для установки на сайты вредоносного кода, например, скиммеров кредитных карт. За последние 11 месяцев 2023 года наш сканер удаленных сайтов SiteCheck обнаружил известные вредоносные контейнеры GTM на 327 сайтах, с наиболее распространенным идентификатором контейнера - GTM-WJ6S9J6. В октябре 2023 года этот контейнер содержал вредоносный скрипт с сайта gtm-statistlc.com, который был создан 11 июля 2023 года.

В ноябре 2023 года был обнаружен еще один контейнер, GTM-TVKQ79ZS, с новой вариацией скиммера в переменной vtp_html. Этот код был более сложным и использовал кодировку base64 для скрытия доменного имени и URL страницы, которые интересовали злоумышленников. Он также использовал знакомый стиль обфускации ATMZOW, который был связан с инфекцией Guruincsite 2015 года, поразившей тысячи сайтов Magento в начале эры Magecart.

Чтобы избежать обнаружения, вредоносный код случайным образом выбирает два из 40 недавно зарегистрированных доменов, используемых для внедрения еще одного уровня скиммера. Эти домены были зарегистрированы через Hostinger тремя партиями в ноябре 2023 года. В них используются ключевые слова, связанные с искусством, чтобы придать им более доброкачественный вид, поскольку многие решения по безопасности уже обучены определять фиктивные версии популярных аналитических сервисов.

После того как Google удалил контейнер GTM-TVKQ79ZS, злоумышленники создали новые контейнеры GTM-NTV2JTB4 и GTM-MX7L8F2M с тем же вредоносным скриптом. Интересно, что на одном из сайтов скиммер Google Tag Manager был обнаружен рядом с скиммером WebSocket lgstd . io. Это указывает на то, что те же банды, которые 8 лет назад стали пионерами скимминга кредитных карт, по-прежнему активны и совершенствуют свою тактику.

Если вы подозреваете, что ваш сайт заражен скиммером ATMZOW, ознакомьтесь с нашим руководством по очистке Magento. Обязательно проверьте все шаблоны, хранящиеся в core_config_data, так как это обычное место для клиентских скриптов скиммера. Если вы считаете, что на вашем сайте есть вредоносное ПО, наши высококвалифицированные аналитики готовы помочь вам 24 часа в сутки 7 дней в неделю.

#ParsedReport #CompletenessMedium
08-12-2023

Citrix Bleed Vulnerability: A Gateway to LockBit Ransomware

https://www.esentire.com/blog/citrix-bleed-vulnerability-a-gateway-to-lockbit-ransomware

Report completeness: Medium

Threats:
Citrix_bleed_vuln
Lockbit
Brc4_tool
Kerberoasting_technique
Screenconnect_tool
Netscan_tool
Dll_injection_technique

Victims:
Esentire

Geo:
Africa, America, Emea, Apac, Russian

CVEs:
CVE-2023-4966 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- citrix netscaler application delivery controller (<12.1-55.300, <13.0-92.19, <13.1-37.164, <13.1-49.15, <14.1-8.50)
- citrix netscaler gateway (<13.0-92.19, <13.1-49.15, <14.1-8.50)


IOCs:
Domain: 2
File: 7
IP: 2
Url: 2
Hash: 14

Soft:
chrome

Algorithms:
zip, sha256, md5

Win Services:
bits

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessMedium
08-12-2023

DanaBot's Latest Move: Deploying IcedID

https://www.esentire.com/blog/danabots-latest-move-deploying-icedid

Report completeness: Medium

Threats:
Danabot
Icedid
Hvnc_tool
Egregor
Maze
Conti
Idat_loader
Process_doppelganging_technique

Industry:
Financial

Geo:
Apac, Russian, Africa, America, Emea

TTPs:

ChatGPT TTPs:
do not use without manual check
T1547.001, T1497, T1059, T1053, T1059

IOCs:
File: 3
Hash: 7
Command: 7
Path: 9
IP: 3

Algorithms:
md5, crc-32, base64, xor

Win API:
decompress, GetVolumeInformationW, NtDelayExecution, HttpOpenRequestA, InternetOpenW, HttpSendRequestA, CreateToolhelp32Snapshot, Process32First, Process32Next

Languages:
python

Platforms:
x86

Links:
https://github.com/esThreatIntelligence/RussianPanda\_tools/blob/main/IcedID\_IDAPython\_string\_decryption.py
https://github.com/esThreatIntelligence/iocs/blob/main/IcedID/icedid\_decrypted\_strings.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) обнаружила и отреагировала на DanaBot и IcedID - две вредоносные программы, распространяемые с помощью "попутных" загрузок.
-----

Недавно TRU выявила и приняла меры по борьбе с DanaBot, банковским троянцем, известным своей способностью похищать финансовую и личную информацию, и IcedID, разновидностью вредоносного ПО, связанного с атаками вымогателей с 2020 года. Первоначальное заражение обеими вредоносными программами происходило путем загрузки с диска, в которой использовались методы побочной загрузки, позволяющие избежать обнаружения.

После успешного заражения IcedID создавал свою копию в папке AppData и выполнял разведывательные команды на зараженном хосте. Полезная нагрузка использовала алгоритм хэширования CRC-32 для вычисления хэшей используемых API, а чтобы избежать множественных заражений на одной машине, вредонос создавал жестко закодированный мьютекс и вводил бесконечный цикл, если такой мьютекс уже существовал.

В ответ на эти угрозы кибер-аналитики круглосуточного SOC выявили вредоносные сетевые подключения, изолировали пострадавший компьютер и проинформировали об этом клиента.

Этот инцидент наглядно демонстрирует эффективность загрузки вредоносных программ по принципу drive-by, передовые методы, используемые злоумышленниками, чтобы избежать обнаружения, важность мониторинга активности командной строки на конечных устройствах и риск, связанный с непроверенными загрузками. Он также подчеркивает важность наличия опытной команды охотников за угрозами и исследователей, призванных обеспечить безопасность организаций от злоумышленников.

#ParsedReport #CompletenessMedium
08-12-2023

Star Blizzard increases sophistication and evasion in ongoing attacks

https://www.microsoft.com/en-us/security/blog/2023/12/07/star-blizzard-increases-sophistication-and-evasion-in-ongoing-attacks

Report completeness: Medium

Actors/Campaigns:
Seaborgium (motivation: cyber_espionage)

Threats:
Spear-phishing_technique
Evilginx_tool
Lockdown

Victims:
Individuals and organizations involved in international affairs, defense and logistics support to ukraine, as well as academia, information security companies, and other entities aligning with russian state interests

Industry:
Government, Logistic, Telco

Geo:
Russia, Russian, Ukraine

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 249

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Selenium, PhantomJS, HubSpot, MailerLite, Microsoft OneDrive, Office 365, Microsoft Edge, Microsoft 365 Defender, have more...

Functions:
pluginsEmpty, isAutomationTool, eval

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 3, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4