#ParsedReport #CompletenessLow
12-12-2023

Security Brief: TA4557 Targets Recruiters Directly via Email

https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta4557-targets-recruiters-directly-email

Report completeness: Low

Actors/Campaigns:
Magecart (motivation: financially_motivated)
Cobalt
Evilnum

Threats:
Lolbin_technique
More_eggs

IOCs:
File: 2
Hash: 3

Algorithms:
sha256, rc4, zip

Win API:
NtQueryInformationProcess

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что TA4557 является уникальным и опасным субъектом угроз в киберпреступном мире благодаря его сложным навыкам социальной инженерии, использованию вредоносных URL-адресов, приманкам на тему кандидатов на работу и мерам уклонения, применяемым для того, чтобы затруднить обнаружение вредоносного контента. Кроме того, было замечено, что деятельность этого угрожающего субъекта частично совпадает с деятельностью других угрожающих субъектов.
-----

Компания Proofpoint отслеживает угрожающего актера TA4557 с 2018 года и идентифицирует его как опытную и финансово мотивированную группу. В октябре 2023 года группа перешла к новой тактике - отправке прямых электронных писем рекрутерам с вредоносными URL-адресами без гиперссылок. Это дополнение к старой технике подачи заявок на открытые объявления о работе. При выполнении LNK злоупотребляет функциями легитимного программного обеспечения, чтобы загрузить и выполнить скрипт. Скрипт загружает бэкдор More_Eggs вместе с исполняемым файлом MSXSL. Бэкдор способен устанавливать постоянство, профилировать машину и передавать дополнительную полезную нагрузку.

TA4557 продемонстрировали сложные навыки социальной инженерии, подстраивая свои заманухи под конкретные вакансии, размещенные в Интернете. Письма оформляются так, что создается впечатление, будто их отправил легитимный соискатель, что затрудняет обнаружение вредоносного содержимого автоматическими средствами защиты. Кроме того, злоумышленники регулярно меняют электронные адреса отправителей, домены поддельных резюме и инфраструктуру, чтобы сделать содержимое писем более убедительным и трудным для обнаружения.

Использование этой техники в сочетании с изощренными приманками и мерами уклонения, применяемыми TA4557, делает его уникальным и опасным субъектом угроз в киберпреступном мире. Они отличаются от других приоритетных угроз, отслеживаемых Proofpoint, благодаря использованию инструментов и вредоносного ПО, нацеленности на кампании, использованию приманок на тему кандидатов на работу и контролируемой агентом инфраструктуре. Кроме того, было замечено, что деятельность TA4557 частично пересекается с деятельностью FIN6, Cobalt Group и Evilnum, хотя Proofpoint отслеживает их как отдельные кластеры активности.

#ParsedReport #CompletenessMedium
12-12-2023

How one country is impacting supply chains. IOC

https://checkmarx.com/blog/how-one-country-is-impacting-supply-chains

Report completeness: Medium

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Supply_chain_technique

Geo:
Korean, Korea

IOCs:
Url: 4
Domain: 1
IP: 9
Hash: 54
File: 6

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Северная Корея расширяет свои стратегии кибератак, нацеливаясь на глобальные цепочки поставок с помощью вредоносных программных пакетов на платформах с открытым исходным кодом. Организациям необходимо проявлять бдительность и принимать меры для защиты своих систем от компрометации цепочек поставок.
-----

Северная Корея наращивает свои стратегии кибератак, уделяя особое внимание взлому цепочек поставок. Для этого используются пакеты с открытым исходным кодом на платформах NPM, PyPi и GitHub, чтобы проникнуть в организации и нарушить их цепочки поставок программного обеспечения. Недавно вредоносные пакеты, связанные с Crypto на NPM, были использованы для получения полезной нагрузки второго этапа из удаленного местоположения. Эта полезная нагрузка была связана с недавней деятельностью Lazarus.

Вредоносный скрипт был разработан специально для машин под управлением Windows и состоял из нескольких этапов. Он подтверждал тип операционной системы, после чего записывал два файла, preinstall.bat и preinstall.ps1. Затем он загружал файл с именем npm.mov с жестко заданного IP-адреса и сохранял его локально под именем sqlite.a. Затем он выполнил сценарий PowerShell, который установил политику выполнения на Bypass, чтобы избежать ограничений на запуск сценариев. Затем сценарий считывал все байты из файла sqlite.a в переменную с именем $bytes. Затем данные в переменной $bytes проходили через своего рода операцию расшифровки, в результате которой расшифрованные данные записывались в файл по адресу $path2 (sql.tmp). Сценарий Powershell завершался принудительным удалением исходного файла sqlite.a из системы.

Операция Contagious Interview - это недавняя операция, к которой приписывают угрозы, поддерживаемые Северной Кореей. Эта операция отличается сложной тактикой социальной инженерии, направленной на разработчиков программного обеспечения, которые выдавали себя за потенциальных работодателей. Угрожающие лица создавали несколько учетных записей для размещения нескольких репозиториев GitHub, создавая инфраструктуру, направленную на завоевание доверия своих жертв. Было обнаружено, что репозиторий, форкнутый из репозитория GitHub подставного работодателя, содержит вредоносный код, внедренный в файл NPM.

В 2023 году наблюдается всплеск северокорейской кибернетической активности, направленной на глобальные цепочки поставок. Это вызывает все большую обеспокоенность, поскольку такая деятельность может иметь серьезные последствия для безопасности нашей цифровой инфраструктуры. Организациям необходимо проявлять бдительность и принимать меры для защиты своих систем от компрометации цепочек поставок. К таким мерам относятся регулярный мониторинг компонентов цепочки поставок на предмет наличия вредоносного кода, использование безопасных методов кодирования и применение статического анализа кода для обнаружения вредоносного кода.

#ParsedReport #CompletenessMedium
13-12-2023

Malvertisers zoom in on cryptocurrencies and initial access

https://www.malwarebytes.com/blog/threat-intelligence/2023/12/malvertisers-zoom-in-on-cryptocurrencies-and-initial-access

Report completeness: Medium

Threats:
Hiroshimanukes
Fakebat
Cloaking_technique
Dll_sideloading_technique
Junk_code_technique

IOCs:
Domain: 20
File: 6
Path: 1
Hash: 6
IP: 1

Soft:
zoom, WinSCP, TradingView, Electrum-LTC

Algorithms:
base64, zip

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, code: 3, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В поисковых запросах Google по запросу Zoom были замечены вредоносные объявления, которые использовались для рассылки вредоносных загрузок ИТ-администраторам. Было выявлено два случая, HiroshimaNukes и FakeBat, которые активно отслеживаются и сообщаются, чтобы обеспечить защиту клиентов.
-----

В последний месяц мы наблюдаем увеличение количества вредоносных объявлений в поисковых запросах Google о Zoom, популярном программном обеспечении для проведения видеоконференций. Эти объявления используются угрожающими субъектами для того, чтобы нацелить ИТ-администраторов на вредоносные загрузки. Было выявлено два случая: HiroshimaNukes и FakeBat.

HiroshimaNukes - это вредоносная программа-дроппер, которая использует несколько техник для обхода обнаружения: от побочной загрузки DLL до больших полезных нагрузок. Его цель - сбросить дополнительное вредоносное ПО, как правило, крадущее данные с последующей эксфильтрацией. Вредоносная реклама перенаправляет на домен, который проверяет IP-адрес посетителя и выполняет перенаправление на поддельную версию сайта Zoom. Этот сайт предназначен для того, чтобы обманом заставить пользователя загрузить вредоносную версию программы установки Zoom.

FakeBat - это начальная точка входа, используемая субъектами угроз, которая часто применяется для отслеживания жертв через неизвестную панель под названием Hunting panel 1.40. Вредоносный инсталлятор содержит несколько файлов, но основные вредоносные компоненты содержатся в сценариях PowerShell. Этот скрипт включает в себя командно-контрольный сервер, а также другие команды, такие как отчет телеметрии о машине и установленном защитном ПО. На этом сервере находится страница входа в Hunting Panel 1.40, которая, вероятно, используется угрожающим субъектом для отслеживания своих кампаний по рассылке вредоносной рекламы и полезной нагрузки.

Малвертайзинг продолжает оставаться привилегированным вектором доставки вредоносного ПО, когда угрожающие субъекты способны обойти проверку рекламы и решения по обеспечению безопасности. Мы активно отслеживаем и сообщаем о таких кампаниях, чтобы обеспечить защиту наших клиентов. Мы благодарим Сергея Франкоффа, исследователя вредоносных программ и соучредителя Open Analysis, за помощь в работе над дроппером HiroshimaNukes.

#ParsedReport #CompletenessLow
13-12-2023

Mallox Resurrected \| Ransomware Attacks Exploiting MS-SQL Continue to Burden Enterprises

https://www.sentinelone.com/blog/mallox-resurrected-ransomware-attacks-exploiting-ms-sql-continue-to-burden-enterprises

Report completeness: Low

Threats:
Targetcompany
Burden
Blackbasta
Revil
Conti
Blackcat
Lockbit
Cobalt_strike
Sliver

CVEs:
CVE-2020-0618 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sql server (2014, 2016, 2012)

CVE-2019-1068 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft sql server (2014, 2016, 2017)


IOCs:
File: 5
Email: 1
Hash: 29
Url: 1
IP: 5

Soft:
MS-SQL, Microsoft SQL Server, Microsoft SQL Server Reporting Services, Windows Defender, Internet Explorer, bcdedit

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Mallox - это Ransomware-as-a-Service (RaaS), действующий с 2021 года и представляющий собой постоянную угрозу. Они получают доступ к уязвимым сервисам, используя старые уязвимости и атаки методом перебора по словарю, и рекламируют свои услуги на подпольных форумах и рынках. Несмотря на неудачи, Mallox не прекращает компрометацию и итерации успешных версий своего вымогательского ПО.
-----

Mallox - это Ransomware-as-a-Service (RaaS), которая активна с 2021 года и продолжает оставаться постоянной угрозой. Группа получает доступ к уязвимым и публично доступным сервисам, в частности к интерфейсам MS-SQL и ODBC, используя старые уязвимости удаленного выполнения кода (RCE), такие как CVE-2019-1068 в Microsoft SQL Server и CVE-2020-0618 в Microsoft SQL Server Reporting Services, а также основанные на словаре атаки методом брутфорса на слабо настроенные сервисы и приложения, открытые для публичного доступа в Интернет. Полезные нагрузки Mallox остались неизменными: изменились основные функциональные возможности и примечания к выкупу, вносимые после шифрования. К зашифрованным файлам добавляется расширение .mallox, а в каждую папку с заблокированными файлами записывается записка с именем выкупа HOW TO BACK FILES.TXT.

Mallox рекламирует свои услуги на подпольных форумах и рынках, таких как Nulled и RAMP, и поддерживает сайт утечек на базе TOR, где регулярно публикует объявления о недавно взломанных организациях и выкладывает украденные данные, а также присутствует в Twitter/X для аналогичных целей. Несмотря на неудачи, такие как выпуск публичного дешифратора для ранних версий своих полезных нагрузок, Mallox продолжает поддерживать постоянный поток компроматов и итераций успешных версий своих программ-вымогателей.

#ParsedReport #CompletenessHigh
13-12-2023

Russian Foreign Intelligence Service (SVR) Exploiting JetBrains TeamCity CVE Globally

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-347a

Report completeness: High

Actors/Campaigns:
Duke
Fancy_bear

Threats:
Supply_chain_technique
Spear-phishing_technique
Wellmess_rat
Wellmail
Password_spray_technique
Nltest_tool
Netstat_tool
Edrsandblast_tool
Mimikatz_tool
Dll_hijacking_technique
Graphicalproton
Winpeas_tool
Lsadump_tool
Rubeus_tool
Powersploit
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique
Golden_ticket_technique

Victims:
Energy trade association; companies that provide software for billing, medical devices, customer care, employee monitoring, financial management, marketing, sales, and video games; as well as hosting companies, tools manufacturers and small and large it companies

Industry:
Financial, Military, Biotechnology, Healthcare, Energy, Government

Geo:
Australia, Russian, Russia, Polish, Asia, Canadian

CVEs:
CVE-2023-42793 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- jetbrains teamcity (<2023.05.4)


TTPs:
Tactics: 2
Technics: 35

IOCs:
File: 27
Command: 4
Path: 15
Registry: 4
IP: 4
Domain: 1
Hash: 28
Url: 1

Soft:
JetBrains TeamCity, TeamCity, JetBrains, Visual Studio, Microsoft OneDrive, Windows Registry, WordPress, Microsoft SQL server

Win Services:
bits

Languages:
powershell

Platforms:
x86

Links:
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Российская служба внешней разведки (СВР) обнаружила уязвимость нулевого дня в программном обеспечении JetBrains TeamCity, которая давала им доступ к исходному коду и сертификатам подписи. Федеральное бюро расследований США (ФБР), Агентство кибербезопасности и защиты инфраструктуры США (CISA), Агентство национальной безопасности США (АНБ), Служба военной контрразведки Польши (SKW), CERT Polska (CERT.PL) и Национальный центр кибербезопасности Великобритании (NCSC) выявили угрозу и создали рекомендацию, чтобы помочь организациям провести собственное расследование и обеспечить безопасность своих сетей.
-----

Служба внешней разведки России (СВР) эксплуатирует уязвимость нулевого дня в ПО JetBrains TeamCity, CVE-2023-42793, с сентября 2023 года.

Федеральное бюро расследований США (ФБР), Агентство кибербезопасности и защиты инфраструктуры США (CISA), Агентство национальной безопасности США (АНБ), Служба военной контрразведки Польши (SKW), CERT Polska (CERT.PL) и Национальный центр кибербезопасности Великобритании (NCSC) выявили угрозу и создали соответствующее уведомление.

Кибероперации СВР представляют постоянную угрозу для государственных и частных организаций по всему миру с 2013 года.

СВР нацелилась на технологические компании для проведения дополнительных киберопераций, используя эксплойт нулевого дня и облачные среды Microsoft 365.

Было выявлено несколько десятков взломанных компаний в США, Европе, Азии и Австралии с более чем сотней взломанных устройств.

Организации с затронутыми системами должны предположить компрометацию и начать поиск угроз, используя предоставленные индикаторы компрометации (IOC).

Фреймворк MITRE ATT&CK можно использовать для составления карты злонамеренной кибер-активности и выявления вредоносных моделей.

СВР может попытаться замести следы, стерев файлы журналов, поэтому организациям следует обеспечить мониторинг на предмет вредоносной активности и утечки данных.

#ParsedReport #CompletenessMedium
13-12-2023

Apache ActiveMQ (CVE-2023-46604)

https://asec.ahnlab.com/ko/59786

Report completeness: Medium

Actors/Campaigns:
Andariel

Threats:
Meterpreter_tool
Cobalt_strike
Hellokitty
Metasploit_tool
Ladon_tool
Netcat_tool
Anydesk_tool
Z0miner
Netsupportmanager_rat
Xmrig_miner

Geo:
Chinese

CVEs:
CVE-2023-46604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)

CVE-2020-14882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)

CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)

CVE-2020-14883 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)


ChatGPT TTPs:
do not use without manual check
T1199, T1059, T1060, T1063, T1203, T1046, T1053, T1486, T1090

IOCs:
Url: 7
File: 5
Hash: 7
IP: 2

Soft:
ActiveMQ, MS-SQL, Chrome, Confluence

Algorithms:
md5

Languages:
powershell, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Злоумышленники осуществляют вредоносные атаки на уязвимые и непропатченные сервисы Apache ActiveMQ. Для получения доступа к системам злоумышленники используют различные инструменты, такие как HelloKitty ransomware, Cobalt Strike, Metasploit Meterpreter, Ladon, NetCat, AnyDesk и z0Miner. Чтобы предотвратить подобные атаки, важно контролировать доступ с помощью брандмауэров и обновить V3 до последней версии.
-----

Угрожающая группа Andariel недавно раскрыла случай, когда она устанавливала вредоносное ПО, атакуя уязвимость CVE-2023-46604, уязвимость удаленного выполнения кода сервера Apache ActiveMQ. CVE-2023-46604 - это сервер с открытым исходным кодом для обмена сообщениями и шаблонами интеграции, который позволяет злоумышленникам получить контроль над системами, если оставить их открытыми для доступа в Интернет. В этой атаке злоумышленник использовал различные инструменты для получения доступа, включая HelloKitty ransomware, Cobalt Strike, Metasploit Meterpreter, Ladon, NetCat, AnyDesk и z0Miner.

Ladon - это инструмент, используемый в основном китайскими злоумышленниками, о чем можно судить по его странице на GitHub. Он поддерживает различные функции, необходимые в процессе атаки, включая сканирование, повышение привилегий, кражу информации об учетной записи и обратный shell. Создатели постоянно обновляют Ladon, и он также сканирует уязвимости CVE-2023-46604. Убедившись, что уязвимая версия службы Apache ActiveMQ запущена, злоумышленник загрузил Ladon и выполнил команду с помощью Powershell.

Netcat - это утилита для передачи и приема данных по сети, подключенной по протоколам TCP/UDP, и широко используется сетевыми администраторами. Однако она также может стать объектом злоупотреблений со стороны злоумышленников, которые могут использовать команду, отправленную при запуске Netcat, в качестве обратной оболочки или оболочки привязки. Злоумышленники используют Netcat для получения доступа к уязвимым веб-серверам или серверам MS-SQL.

В этой подтвержденной атаке после загрузки Netcat злоумышленник получил командную оболочку на зараженной системе с помощью команды reverse shell. Для удаленного управления экраном злоумышленник устанавливал дополнительные VNC, RDP и инструменты удаленного управления, такие как AnyDesk, NetSupport и Chrome Remote Desktop. AnyDesk устанавливался с помощью Netcat, а установочный файл загружался с обычной домашней страницы.

Кроме того, была подтверждена атакующая кампания, устанавливающая майнеры монет XMRig. XML-файл конфигурации содержит данные для выполнения команд PowerShell с помощью CMD, а сценарий PowerShell загружает и запускает майнер монет XMRig и файлы конфигурации. Эта атака похожа на атаку z0Miner, о которой впервые сообщила команда безопасности Tencent в 2020 году и которая распространялась через уязвимость удаленного выполнения кода в Oracle Weblogic (CVE-2020-14882 / CVE-2020-14883).

Злоумышленники постоянно совершают атаки на уязвимые и непропатченные сервисы Apache ActiveMQ. Среди подтвержденных атак есть случаи установки майнеров для добычи криптовалюты, однако выявлено множество вредоносных кодов для управления зараженными системами. Получив контроль над зараженной системой, злоумышленник может украсть информацию или установить вымогательское ПО. Чтобы предотвратить подобные атаки, важно контролировать доступ злоумышленников с помощью продуктов безопасности, таких как брандмауэры, и обновить V3 до последней версии.

#ParsedReport #CompletenessMedium
13-12-2023

Responding to CitrixBleed (CVE-2023-4966): Key Takeaways from Affected Companies

https://blog.morphisec.com/responding-to-citrixbleed

Report completeness: Medium

Threats:
Citrix_bleed_vuln
Lockbit
Blackcat
Powersploit
Bloodhound_tool
Mimikatz_tool
Winrm_tool

Industry:
Healthcare

Geo:
German, Russia, Russian, French

CVEs:
CVE-2023-4966 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- citrix netscaler application delivery controller (<12.1-55.300, <13.0-92.19, <13.1-37.164, <13.1-49.15, <14.1-8.50)
- citrix netscaler gateway (<13.0-92.19, <13.1-49.15, <14.1-8.50)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071, T1485, T1041, T1046, T1021, T1110, T1566

IOCs:
IP: 1
File: 1

Soft:
windows security, OpenSSH

Algorithms:
base64

Languages:
powershell