#ParsedReport #CompletenessMedium
13-12-2023
Malvertisers zoom in on cryptocurrencies and initial access
https://www.malwarebytes.com/blog/threat-intelligence/2023/12/malvertisers-zoom-in-on-cryptocurrencies-and-initial-access
Report completeness: Medium
Threats:
Hiroshimanukes
Fakebat
Cloaking_technique
Dll_sideloading_technique
Junk_code_technique
IOCs:
Domain: 20
File: 6
Path: 1
Hash: 6
IP: 1
Soft:
zoom, WinSCP, TradingView, Electrum-LTC
Algorithms:
base64, zip
Languages:
powershell, javascript
13-12-2023
Malvertisers zoom in on cryptocurrencies and initial access
https://www.malwarebytes.com/blog/threat-intelligence/2023/12/malvertisers-zoom-in-on-cryptocurrencies-and-initial-access
Report completeness: Medium
Threats:
Hiroshimanukes
Fakebat
Cloaking_technique
Dll_sideloading_technique
Junk_code_technique
IOCs:
Domain: 20
File: 6
Path: 1
Hash: 6
IP: 1
Soft:
zoom, WinSCP, TradingView, Electrum-LTC
Algorithms:
base64, zip
Languages:
powershell, javascript
Malwarebytes
Malvertisers zoom in on cryptocurrencies and initial access | Malwarebytes
Threat actors are increasingly placing malicious ads for Zoom within Google searches.
CTT Report Hub
#ParsedReport #CompletenessMedium 13-12-2023 Malvertisers zoom in on cryptocurrencies and initial access https://www.malwarebytes.com/blog/threat-intelligence/2023/12/malvertisers-zoom-in-on-cryptocurrencies-and-initial-access Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: В поисковых запросах Google по запросу Zoom были замечены вредоносные объявления, которые использовались для рассылки вредоносных загрузок ИТ-администраторам. Было выявлено два случая, HiroshimaNukes и FakeBat, которые активно отслеживаются и сообщаются, чтобы обеспечить защиту клиентов.
-----
В последний месяц мы наблюдаем увеличение количества вредоносных объявлений в поисковых запросах Google о Zoom, популярном программном обеспечении для проведения видеоконференций. Эти объявления используются угрожающими субъектами для того, чтобы нацелить ИТ-администраторов на вредоносные загрузки. Было выявлено два случая: HiroshimaNukes и FakeBat.
HiroshimaNukes - это вредоносная программа-дроппер, которая использует несколько техник для обхода обнаружения: от побочной загрузки DLL до больших полезных нагрузок. Его цель - сбросить дополнительное вредоносное ПО, как правило, крадущее данные с последующей эксфильтрацией. Вредоносная реклама перенаправляет на домен, который проверяет IP-адрес посетителя и выполняет перенаправление на поддельную версию сайта Zoom. Этот сайт предназначен для того, чтобы обманом заставить пользователя загрузить вредоносную версию программы установки Zoom.
FakeBat - это начальная точка входа, используемая субъектами угроз, которая часто применяется для отслеживания жертв через неизвестную панель под названием Hunting panel 1.40. Вредоносный инсталлятор содержит несколько файлов, но основные вредоносные компоненты содержатся в сценариях PowerShell. Этот скрипт включает в себя командно-контрольный сервер, а также другие команды, такие как отчет телеметрии о машине и установленном защитном ПО. На этом сервере находится страница входа в Hunting Panel 1.40, которая, вероятно, используется угрожающим субъектом для отслеживания своих кампаний по рассылке вредоносной рекламы и полезной нагрузки.
Малвертайзинг продолжает оставаться привилегированным вектором доставки вредоносного ПО, когда угрожающие субъекты способны обойти проверку рекламы и решения по обеспечению безопасности. Мы активно отслеживаем и сообщаем о таких кампаниях, чтобы обеспечить защиту наших клиентов. Мы благодарим Сергея Франкоффа, исследователя вредоносных программ и соучредителя Open Analysis, за помощь в работе над дроппером HiroshimaNukes.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: В поисковых запросах Google по запросу Zoom были замечены вредоносные объявления, которые использовались для рассылки вредоносных загрузок ИТ-администраторам. Было выявлено два случая, HiroshimaNukes и FakeBat, которые активно отслеживаются и сообщаются, чтобы обеспечить защиту клиентов.
-----
В последний месяц мы наблюдаем увеличение количества вредоносных объявлений в поисковых запросах Google о Zoom, популярном программном обеспечении для проведения видеоконференций. Эти объявления используются угрожающими субъектами для того, чтобы нацелить ИТ-администраторов на вредоносные загрузки. Было выявлено два случая: HiroshimaNukes и FakeBat.
HiroshimaNukes - это вредоносная программа-дроппер, которая использует несколько техник для обхода обнаружения: от побочной загрузки DLL до больших полезных нагрузок. Его цель - сбросить дополнительное вредоносное ПО, как правило, крадущее данные с последующей эксфильтрацией. Вредоносная реклама перенаправляет на домен, который проверяет IP-адрес посетителя и выполняет перенаправление на поддельную версию сайта Zoom. Этот сайт предназначен для того, чтобы обманом заставить пользователя загрузить вредоносную версию программы установки Zoom.
FakeBat - это начальная точка входа, используемая субъектами угроз, которая часто применяется для отслеживания жертв через неизвестную панель под названием Hunting panel 1.40. Вредоносный инсталлятор содержит несколько файлов, но основные вредоносные компоненты содержатся в сценариях PowerShell. Этот скрипт включает в себя командно-контрольный сервер, а также другие команды, такие как отчет телеметрии о машине и установленном защитном ПО. На этом сервере находится страница входа в Hunting Panel 1.40, которая, вероятно, используется угрожающим субъектом для отслеживания своих кампаний по рассылке вредоносной рекламы и полезной нагрузки.
Малвертайзинг продолжает оставаться привилегированным вектором доставки вредоносного ПО, когда угрожающие субъекты способны обойти проверку рекламы и решения по обеспечению безопасности. Мы активно отслеживаем и сообщаем о таких кампаниях, чтобы обеспечить защиту наших клиентов. Мы благодарим Сергея Франкоффа, исследователя вредоносных программ и соучредителя Open Analysis, за помощь в работе над дроппером HiroshimaNukes.
#ParsedReport #CompletenessLow
13-12-2023
Mallox Resurrected \| Ransomware Attacks Exploiting MS-SQL Continue to Burden Enterprises
https://www.sentinelone.com/blog/mallox-resurrected-ransomware-attacks-exploiting-ms-sql-continue-to-burden-enterprises
Report completeness: Low
Threats:
Targetcompany
Burden
Blackbasta
Revil
Conti
Blackcat
Lockbit
Cobalt_strike
Sliver
CVEs:
CVE-2020-0618 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sql server (2014, 2016, 2012)
CVE-2019-1068 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft sql server (2014, 2016, 2017)
IOCs:
File: 5
Email: 1
Hash: 29
Url: 1
IP: 5
Soft:
MS-SQL, Microsoft SQL Server, Microsoft SQL Server Reporting Services, Windows Defender, Internet Explorer, bcdedit
Platforms:
intel
13-12-2023
Mallox Resurrected \| Ransomware Attacks Exploiting MS-SQL Continue to Burden Enterprises
https://www.sentinelone.com/blog/mallox-resurrected-ransomware-attacks-exploiting-ms-sql-continue-to-burden-enterprises
Report completeness: Low
Threats:
Targetcompany
Burden
Blackbasta
Revil
Conti
Blackcat
Lockbit
Cobalt_strike
Sliver
CVEs:
CVE-2020-0618 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sql server (2014, 2016, 2012)
CVE-2019-1068 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft sql server (2014, 2016, 2017)
IOCs:
File: 5
Email: 1
Hash: 29
Url: 1
IP: 5
Soft:
MS-SQL, Microsoft SQL Server, Microsoft SQL Server Reporting Services, Windows Defender, Internet Explorer, bcdedit
Platforms:
intel
SentinelOne
Mallox Resurrected | Ransomware Attacks Exploiting MS-SQL Continue to Burden Enterprises
Learn about the Mallox RaaS and how operators are continuing to compromise enterprises and demand ransoms for stolen data.
CTT Report Hub
#ParsedReport #CompletenessLow 13-12-2023 Mallox Resurrected \| Ransomware Attacks Exploiting MS-SQL Continue to Burden Enterprises https://www.sentinelone.com/blog/mallox-resurrected-ransomware-attacks-exploiting-ms-sql-continue-to-burden-enterprises Report…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Mallox - это Ransomware-as-a-Service (RaaS), действующий с 2021 года и представляющий собой постоянную угрозу. Они получают доступ к уязвимым сервисам, используя старые уязвимости и атаки методом перебора по словарю, и рекламируют свои услуги на подпольных форумах и рынках. Несмотря на неудачи, Mallox не прекращает компрометацию и итерации успешных версий своего вымогательского ПО.
-----
Mallox - это Ransomware-as-a-Service (RaaS), которая активна с 2021 года и продолжает оставаться постоянной угрозой. Группа получает доступ к уязвимым и публично доступным сервисам, в частности к интерфейсам MS-SQL и ODBC, используя старые уязвимости удаленного выполнения кода (RCE), такие как CVE-2019-1068 в Microsoft SQL Server и CVE-2020-0618 в Microsoft SQL Server Reporting Services, а также основанные на словаре атаки методом брутфорса на слабо настроенные сервисы и приложения, открытые для публичного доступа в Интернет. Полезные нагрузки Mallox остались неизменными: изменились основные функциональные возможности и примечания к выкупу, вносимые после шифрования. К зашифрованным файлам добавляется расширение .mallox, а в каждую папку с заблокированными файлами записывается записка с именем выкупа HOW TO BACK FILES.TXT.
Mallox рекламирует свои услуги на подпольных форумах и рынках, таких как Nulled и RAMP, и поддерживает сайт утечек на базе TOR, где регулярно публикует объявления о недавно взломанных организациях и выкладывает украденные данные, а также присутствует в Twitter/X для аналогичных целей. Несмотря на неудачи, такие как выпуск публичного дешифратора для ранних версий своих полезных нагрузок, Mallox продолжает поддерживать постоянный поток компроматов и итераций успешных версий своих программ-вымогателей.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Mallox - это Ransomware-as-a-Service (RaaS), действующий с 2021 года и представляющий собой постоянную угрозу. Они получают доступ к уязвимым сервисам, используя старые уязвимости и атаки методом перебора по словарю, и рекламируют свои услуги на подпольных форумах и рынках. Несмотря на неудачи, Mallox не прекращает компрометацию и итерации успешных версий своего вымогательского ПО.
-----
Mallox - это Ransomware-as-a-Service (RaaS), которая активна с 2021 года и продолжает оставаться постоянной угрозой. Группа получает доступ к уязвимым и публично доступным сервисам, в частности к интерфейсам MS-SQL и ODBC, используя старые уязвимости удаленного выполнения кода (RCE), такие как CVE-2019-1068 в Microsoft SQL Server и CVE-2020-0618 в Microsoft SQL Server Reporting Services, а также основанные на словаре атаки методом брутфорса на слабо настроенные сервисы и приложения, открытые для публичного доступа в Интернет. Полезные нагрузки Mallox остались неизменными: изменились основные функциональные возможности и примечания к выкупу, вносимые после шифрования. К зашифрованным файлам добавляется расширение .mallox, а в каждую папку с заблокированными файлами записывается записка с именем выкупа HOW TO BACK FILES.TXT.
Mallox рекламирует свои услуги на подпольных форумах и рынках, таких как Nulled и RAMP, и поддерживает сайт утечек на базе TOR, где регулярно публикует объявления о недавно взломанных организациях и выкладывает украденные данные, а также присутствует в Twitter/X для аналогичных целей. Несмотря на неудачи, такие как выпуск публичного дешифратора для ранних версий своих полезных нагрузок, Mallox продолжает поддерживать постоянный поток компроматов и итераций успешных версий своих программ-вымогателей.
#ParsedReport #CompletenessHigh
13-12-2023
Russian Foreign Intelligence Service (SVR) Exploiting JetBrains TeamCity CVE Globally
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-347a
Report completeness: High
Actors/Campaigns:
Duke
Fancy_bear
Threats:
Supply_chain_technique
Spear-phishing_technique
Wellmess_rat
Wellmail
Password_spray_technique
Nltest_tool
Netstat_tool
Edrsandblast_tool
Mimikatz_tool
Dll_hijacking_technique
Graphicalproton
Winpeas_tool
Lsadump_tool
Rubeus_tool
Powersploit
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique
Golden_ticket_technique
Victims:
Energy trade association; companies that provide software for billing, medical devices, customer care, employee monitoring, financial management, marketing, sales, and video games; as well as hosting companies, tools manufacturers and small and large it companies
Industry:
Financial, Military, Biotechnology, Healthcare, Energy, Government
Geo:
Australia, Russian, Russia, Polish, Asia, Canadian
CVEs:
CVE-2023-42793 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- jetbrains teamcity (<2023.05.4)
TTPs:
Tactics: 2
Technics: 35
IOCs:
File: 27
Command: 4
Path: 15
Registry: 4
IP: 4
Domain: 1
Hash: 28
Url: 1
Soft:
JetBrains TeamCity, TeamCity, JetBrains, Visual Studio, Microsoft OneDrive, Windows Registry, WordPress, Microsoft SQL server
Win Services:
bits
Languages:
powershell
Platforms:
x86
Links:
13-12-2023
Russian Foreign Intelligence Service (SVR) Exploiting JetBrains TeamCity CVE Globally
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-347a
Report completeness: High
Actors/Campaigns:
Duke
Fancy_bear
Threats:
Supply_chain_technique
Spear-phishing_technique
Wellmess_rat
Wellmail
Password_spray_technique
Nltest_tool
Netstat_tool
Edrsandblast_tool
Mimikatz_tool
Dll_hijacking_technique
Graphicalproton
Winpeas_tool
Lsadump_tool
Rubeus_tool
Powersploit
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique
Golden_ticket_technique
Victims:
Energy trade association; companies that provide software for billing, medical devices, customer care, employee monitoring, financial management, marketing, sales, and video games; as well as hosting companies, tools manufacturers and small and large it companies
Industry:
Financial, Military, Biotechnology, Healthcare, Energy, Government
Geo:
Australia, Russian, Russia, Polish, Asia, Canadian
CVEs:
CVE-2023-42793 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- jetbrains teamcity (<2023.05.4)
TTPs:
Tactics: 2
Technics: 35
IOCs:
File: 27
Command: 4
Path: 15
Registry: 4
IP: 4
Domain: 1
Hash: 28
Url: 1
Soft:
JetBrains TeamCity, TeamCity, JetBrains, Visual Studio, Microsoft OneDrive, Windows Registry, WordPress, Microsoft SQL server
Win Services:
bits
Languages:
powershell
Platforms:
x86
Links:
https://github.com/cisagov/Decider/Vulners Database
CVE-2023-42793 - vulnerability database | Vulners.com
In JetBrains TeamCity before 2023.05.4 authentication bypass leading to RCE on TeamCity Server was possible
CTT Report Hub
#ParsedReport #CompletenessHigh 13-12-2023 Russian Foreign Intelligence Service (SVR) Exploiting JetBrains TeamCity CVE Globally https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-347a Report completeness: High Actors/Campaigns: Duke Fancy_bear…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Российская служба внешней разведки (СВР) обнаружила уязвимость нулевого дня в программном обеспечении JetBrains TeamCity, которая давала им доступ к исходному коду и сертификатам подписи. Федеральное бюро расследований США (ФБР), Агентство кибербезопасности и защиты инфраструктуры США (CISA), Агентство национальной безопасности США (АНБ), Служба военной контрразведки Польши (SKW), CERT Polska (CERT.PL) и Национальный центр кибербезопасности Великобритании (NCSC) выявили угрозу и создали рекомендацию, чтобы помочь организациям провести собственное расследование и обеспечить безопасность своих сетей.
-----
Служба внешней разведки России (СВР) эксплуатирует уязвимость нулевого дня в ПО JetBrains TeamCity, CVE-2023-42793, с сентября 2023 года.
Федеральное бюро расследований США (ФБР), Агентство кибербезопасности и защиты инфраструктуры США (CISA), Агентство национальной безопасности США (АНБ), Служба военной контрразведки Польши (SKW), CERT Polska (CERT.PL) и Национальный центр кибербезопасности Великобритании (NCSC) выявили угрозу и создали соответствующее уведомление.
Кибероперации СВР представляют постоянную угрозу для государственных и частных организаций по всему миру с 2013 года.
СВР нацелилась на технологические компании для проведения дополнительных киберопераций, используя эксплойт нулевого дня и облачные среды Microsoft 365.
Было выявлено несколько десятков взломанных компаний в США, Европе, Азии и Австралии с более чем сотней взломанных устройств.
Организации с затронутыми системами должны предположить компрометацию и начать поиск угроз, используя предоставленные индикаторы компрометации (IOC).
Фреймворк MITRE ATT&CK можно использовать для составления карты злонамеренной кибер-активности и выявления вредоносных моделей.
СВР может попытаться замести следы, стерев файлы журналов, поэтому организациям следует обеспечить мониторинг на предмет вредоносной активности и утечки данных.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Российская служба внешней разведки (СВР) обнаружила уязвимость нулевого дня в программном обеспечении JetBrains TeamCity, которая давала им доступ к исходному коду и сертификатам подписи. Федеральное бюро расследований США (ФБР), Агентство кибербезопасности и защиты инфраструктуры США (CISA), Агентство национальной безопасности США (АНБ), Служба военной контрразведки Польши (SKW), CERT Polska (CERT.PL) и Национальный центр кибербезопасности Великобритании (NCSC) выявили угрозу и создали рекомендацию, чтобы помочь организациям провести собственное расследование и обеспечить безопасность своих сетей.
-----
Служба внешней разведки России (СВР) эксплуатирует уязвимость нулевого дня в ПО JetBrains TeamCity, CVE-2023-42793, с сентября 2023 года.
Федеральное бюро расследований США (ФБР), Агентство кибербезопасности и защиты инфраструктуры США (CISA), Агентство национальной безопасности США (АНБ), Служба военной контрразведки Польши (SKW), CERT Polska (CERT.PL) и Национальный центр кибербезопасности Великобритании (NCSC) выявили угрозу и создали соответствующее уведомление.
Кибероперации СВР представляют постоянную угрозу для государственных и частных организаций по всему миру с 2013 года.
СВР нацелилась на технологические компании для проведения дополнительных киберопераций, используя эксплойт нулевого дня и облачные среды Microsoft 365.
Было выявлено несколько десятков взломанных компаний в США, Европе, Азии и Австралии с более чем сотней взломанных устройств.
Организации с затронутыми системами должны предположить компрометацию и начать поиск угроз, используя предоставленные индикаторы компрометации (IOC).
Фреймворк MITRE ATT&CK можно использовать для составления карты злонамеренной кибер-активности и выявления вредоносных моделей.
СВР может попытаться замести следы, стерев файлы журналов, поэтому организациям следует обеспечить мониторинг на предмет вредоносной активности и утечки данных.
#ParsedReport #CompletenessMedium
13-12-2023
Apache ActiveMQ (CVE-2023-46604)
https://asec.ahnlab.com/ko/59786
Report completeness: Medium
Actors/Campaigns:
Andariel
Threats:
Meterpreter_tool
Cobalt_strike
Hellokitty
Metasploit_tool
Ladon_tool
Netcat_tool
Anydesk_tool
Z0miner
Netsupportmanager_rat
Xmrig_miner
Geo:
Chinese
CVEs:
CVE-2023-46604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)
CVE-2020-14882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)
CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)
CVE-2020-14883 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)
ChatGPT TTPs:
T1199, T1059, T1060, T1063, T1203, T1046, T1053, T1486, T1090
IOCs:
Url: 7
File: 5
Hash: 7
IP: 2
Soft:
ActiveMQ, MS-SQL, Chrome, Confluence
Algorithms:
md5
Languages:
powershell, java
13-12-2023
Apache ActiveMQ (CVE-2023-46604)
https://asec.ahnlab.com/ko/59786
Report completeness: Medium
Actors/Campaigns:
Andariel
Threats:
Meterpreter_tool
Cobalt_strike
Hellokitty
Metasploit_tool
Ladon_tool
Netcat_tool
Anydesk_tool
Z0miner
Netsupportmanager_rat
Xmrig_miner
Geo:
Chinese
CVEs:
CVE-2023-46604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)
CVE-2020-14882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)
CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)
CVE-2020-14883 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)
ChatGPT TTPs:
do not use without manual checkT1199, T1059, T1060, T1063, T1203, T1046, T1053, T1486, T1090
IOCs:
Url: 7
File: 5
Hash: 7
IP: 2
Soft:
ActiveMQ, MS-SQL, Chrome, Confluence
Algorithms:
md5
Languages:
powershell, java
ASEC
지속적인 공격 대상이 되고 있는 Apache ActiveMQ 취약점 (CVE-2023-46604) - ASEC
AhnLab Security Emergency response Center(ASEC)은 2023년 11월에 “Andariel 그룹의 Apache ActiveMQ 취약점 (CVE-2023-46604) 공격 정황” [1] 블로그 포스팅을 통해 Andariel 위협 그룹이 CVE-2023-46604 취약점을 공격해 악성코드를 설치한 사례를 공개한 바 있다. 해당 포스팅에서는 Andariel 그룹의 공격 사례 외에도 HelloKitty 랜섬웨어, 코발트 스트라이크…
CTT Report Hub
#ParsedReport #CompletenessMedium 13-12-2023 Apache ActiveMQ (CVE-2023-46604) https://asec.ahnlab.com/ko/59786 Report completeness: Medium Actors/Campaigns: Andariel Threats: Meterpreter_tool Cobalt_strike Hellokitty Metasploit_tool Ladon_tool Netcat_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Злоумышленники осуществляют вредоносные атаки на уязвимые и непропатченные сервисы Apache ActiveMQ. Для получения доступа к системам злоумышленники используют различные инструменты, такие как HelloKitty ransomware, Cobalt Strike, Metasploit Meterpreter, Ladon, NetCat, AnyDesk и z0Miner. Чтобы предотвратить подобные атаки, важно контролировать доступ с помощью брандмауэров и обновить V3 до последней версии.
-----
Угрожающая группа Andariel недавно раскрыла случай, когда она устанавливала вредоносное ПО, атакуя уязвимость CVE-2023-46604, уязвимость удаленного выполнения кода сервера Apache ActiveMQ. CVE-2023-46604 - это сервер с открытым исходным кодом для обмена сообщениями и шаблонами интеграции, который позволяет злоумышленникам получить контроль над системами, если оставить их открытыми для доступа в Интернет. В этой атаке злоумышленник использовал различные инструменты для получения доступа, включая HelloKitty ransomware, Cobalt Strike, Metasploit Meterpreter, Ladon, NetCat, AnyDesk и z0Miner.
Ladon - это инструмент, используемый в основном китайскими злоумышленниками, о чем можно судить по его странице на GitHub. Он поддерживает различные функции, необходимые в процессе атаки, включая сканирование, повышение привилегий, кражу информации об учетной записи и обратный shell. Создатели постоянно обновляют Ladon, и он также сканирует уязвимости CVE-2023-46604. Убедившись, что уязвимая версия службы Apache ActiveMQ запущена, злоумышленник загрузил Ladon и выполнил команду с помощью Powershell.
Netcat - это утилита для передачи и приема данных по сети, подключенной по протоколам TCP/UDP, и широко используется сетевыми администраторами. Однако она также может стать объектом злоупотреблений со стороны злоумышленников, которые могут использовать команду, отправленную при запуске Netcat, в качестве обратной оболочки или оболочки привязки. Злоумышленники используют Netcat для получения доступа к уязвимым веб-серверам или серверам MS-SQL.
В этой подтвержденной атаке после загрузки Netcat злоумышленник получил командную оболочку на зараженной системе с помощью команды reverse shell. Для удаленного управления экраном злоумышленник устанавливал дополнительные VNC, RDP и инструменты удаленного управления, такие как AnyDesk, NetSupport и Chrome Remote Desktop. AnyDesk устанавливался с помощью Netcat, а установочный файл загружался с обычной домашней страницы.
Кроме того, была подтверждена атакующая кампания, устанавливающая майнеры монет XMRig. XML-файл конфигурации содержит данные для выполнения команд PowerShell с помощью CMD, а сценарий PowerShell загружает и запускает майнер монет XMRig и файлы конфигурации. Эта атака похожа на атаку z0Miner, о которой впервые сообщила команда безопасности Tencent в 2020 году и которая распространялась через уязвимость удаленного выполнения кода в Oracle Weblogic (CVE-2020-14882 / CVE-2020-14883).
Злоумышленники постоянно совершают атаки на уязвимые и непропатченные сервисы Apache ActiveMQ. Среди подтвержденных атак есть случаи установки майнеров для добычи криптовалюты, однако выявлено множество вредоносных кодов для управления зараженными системами. Получив контроль над зараженной системой, злоумышленник может украсть информацию или установить вымогательское ПО. Чтобы предотвратить подобные атаки, важно контролировать доступ злоумышленников с помощью продуктов безопасности, таких как брандмауэры, и обновить V3 до последней версии.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Злоумышленники осуществляют вредоносные атаки на уязвимые и непропатченные сервисы Apache ActiveMQ. Для получения доступа к системам злоумышленники используют различные инструменты, такие как HelloKitty ransomware, Cobalt Strike, Metasploit Meterpreter, Ladon, NetCat, AnyDesk и z0Miner. Чтобы предотвратить подобные атаки, важно контролировать доступ с помощью брандмауэров и обновить V3 до последней версии.
-----
Угрожающая группа Andariel недавно раскрыла случай, когда она устанавливала вредоносное ПО, атакуя уязвимость CVE-2023-46604, уязвимость удаленного выполнения кода сервера Apache ActiveMQ. CVE-2023-46604 - это сервер с открытым исходным кодом для обмена сообщениями и шаблонами интеграции, который позволяет злоумышленникам получить контроль над системами, если оставить их открытыми для доступа в Интернет. В этой атаке злоумышленник использовал различные инструменты для получения доступа, включая HelloKitty ransomware, Cobalt Strike, Metasploit Meterpreter, Ladon, NetCat, AnyDesk и z0Miner.
Ladon - это инструмент, используемый в основном китайскими злоумышленниками, о чем можно судить по его странице на GitHub. Он поддерживает различные функции, необходимые в процессе атаки, включая сканирование, повышение привилегий, кражу информации об учетной записи и обратный shell. Создатели постоянно обновляют Ladon, и он также сканирует уязвимости CVE-2023-46604. Убедившись, что уязвимая версия службы Apache ActiveMQ запущена, злоумышленник загрузил Ladon и выполнил команду с помощью Powershell.
Netcat - это утилита для передачи и приема данных по сети, подключенной по протоколам TCP/UDP, и широко используется сетевыми администраторами. Однако она также может стать объектом злоупотреблений со стороны злоумышленников, которые могут использовать команду, отправленную при запуске Netcat, в качестве обратной оболочки или оболочки привязки. Злоумышленники используют Netcat для получения доступа к уязвимым веб-серверам или серверам MS-SQL.
В этой подтвержденной атаке после загрузки Netcat злоумышленник получил командную оболочку на зараженной системе с помощью команды reverse shell. Для удаленного управления экраном злоумышленник устанавливал дополнительные VNC, RDP и инструменты удаленного управления, такие как AnyDesk, NetSupport и Chrome Remote Desktop. AnyDesk устанавливался с помощью Netcat, а установочный файл загружался с обычной домашней страницы.
Кроме того, была подтверждена атакующая кампания, устанавливающая майнеры монет XMRig. XML-файл конфигурации содержит данные для выполнения команд PowerShell с помощью CMD, а сценарий PowerShell загружает и запускает майнер монет XMRig и файлы конфигурации. Эта атака похожа на атаку z0Miner, о которой впервые сообщила команда безопасности Tencent в 2020 году и которая распространялась через уязвимость удаленного выполнения кода в Oracle Weblogic (CVE-2020-14882 / CVE-2020-14883).
Злоумышленники постоянно совершают атаки на уязвимые и непропатченные сервисы Apache ActiveMQ. Среди подтвержденных атак есть случаи установки майнеров для добычи криптовалюты, однако выявлено множество вредоносных кодов для управления зараженными системами. Получив контроль над зараженной системой, злоумышленник может украсть информацию или установить вымогательское ПО. Чтобы предотвратить подобные атаки, важно контролировать доступ злоумышленников с помощью продуктов безопасности, таких как брандмауэры, и обновить V3 до последней версии.
#ParsedReport #CompletenessMedium
13-12-2023
Responding to CitrixBleed (CVE-2023-4966): Key Takeaways from Affected Companies
https://blog.morphisec.com/responding-to-citrixbleed
Report completeness: Medium
Threats:
Citrix_bleed_vuln
Lockbit
Blackcat
Powersploit
Bloodhound_tool
Mimikatz_tool
Winrm_tool
Industry:
Healthcare
Geo:
German, Russia, Russian, French
CVEs:
CVE-2023-4966 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- citrix netscaler application delivery controller (<12.1-55.300, <13.0-92.19, <13.1-37.164, <13.1-49.15, <14.1-8.50)
- citrix netscaler gateway (<13.0-92.19, <13.1-49.15, <14.1-8.50)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1071, T1485, T1041, T1046, T1021, T1110, T1566
IOCs:
IP: 1
File: 1
Soft:
windows security, OpenSSH
Algorithms:
base64
Languages:
powershell
13-12-2023
Responding to CitrixBleed (CVE-2023-4966): Key Takeaways from Affected Companies
https://blog.morphisec.com/responding-to-citrixbleed
Report completeness: Medium
Threats:
Citrix_bleed_vuln
Lockbit
Blackcat
Powersploit
Bloodhound_tool
Mimikatz_tool
Winrm_tool
Industry:
Healthcare
Geo:
German, Russia, Russian, French
CVEs:
CVE-2023-4966 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- citrix netscaler application delivery controller (<12.1-55.300, <13.0-92.19, <13.1-37.164, <13.1-49.15, <14.1-8.50)
- citrix netscaler gateway (<13.0-92.19, <13.1-49.15, <14.1-8.50)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1071, T1485, T1041, T1046, T1021, T1110, T1566
IOCs:
IP: 1
File: 1
Soft:
windows security, OpenSSH
Algorithms:
base64
Languages:
powershell
Morphisec
Responding to CitrixBleed (CVE-2023-4966): Key Takeaways from Affected Companies
This blog provides an analysis by Morphisec of responding to actual Citrix Bleed attacks (CVE-2023-4966), detailing threat actor tactics and recommended safeguards.
CTT Report Hub
#ParsedReport #CompletenessMedium 13-12-2023 Responding to CitrixBleed (CVE-2023-4966): Key Takeaways from Affected Companies https://blog.morphisec.com/responding-to-citrixbleed Report completeness: Medium Threats: Citrix_bleed_vuln Lockbit Blackcat Powersploit…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Агентство по кибербезопасности и защите инфраструктуры (CISA) забило тревогу в связи с широким распространением уязвимости Citrix Bleed (CVE-2023-4966). Этот критический недостаток в системе безопасности побудил CISA призвать больницы устранить уязвимость, а инцидент подчеркивает важность постоянной бдительности в области кибербезопасности и применения таких мер защиты, как мониторинг, обновление систем, защита привилегированных учетных записей, защита данных и сегментация сети.
-----
Недавно CISA забила тревогу в связи с широким распространением уязвимости Citrix Bleed (CVE-2023-4966).
Уязвимость использовали Lockbit и AlphV / BlackCat.
Citrix выпустила обновления безопасности 10 октября 2023 года, но обширная информация о том, как использовать CitrixBleed, по-прежнему доступна в сети.
Злоумышленники обычно начинают атаку со сканирования внешних сетей целевых организаций на предмет наличия устройств, уязвимых к эксплойту CitrixBleed.
Злоумышленники обычно выбирают серверы баз данных в качестве первого шага после латерального перемещения из-за прибыльности хранящихся там данных.
Чтобы успешно отправить данные на свой FTP-сервер, злоумышленнику нужно было найти устройство с неограниченным исходящим доступом.
Постоянный мониторинг и своевременные обновления системы имеют решающее значение для предотвращения эксплойтов, подобных CitrixBleed.
Необходим строгий контроль и наблюдение за привилегированными учетными записями для предотвращения несанкционированного доступа.
Защита конфиденциальной информации, особенно на серверах баз данных, крайне важна, а использование солевых паролей и сегментации сети может значительно усилить защиту.
Контроль входящего и исходящего трафика очень важен для обнаружения и предотвращения несанкционированных действий и утечки данных.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Агентство по кибербезопасности и защите инфраструктуры (CISA) забило тревогу в связи с широким распространением уязвимости Citrix Bleed (CVE-2023-4966). Этот критический недостаток в системе безопасности побудил CISA призвать больницы устранить уязвимость, а инцидент подчеркивает важность постоянной бдительности в области кибербезопасности и применения таких мер защиты, как мониторинг, обновление систем, защита привилегированных учетных записей, защита данных и сегментация сети.
-----
Недавно CISA забила тревогу в связи с широким распространением уязвимости Citrix Bleed (CVE-2023-4966).
Уязвимость использовали Lockbit и AlphV / BlackCat.
Citrix выпустила обновления безопасности 10 октября 2023 года, но обширная информация о том, как использовать CitrixBleed, по-прежнему доступна в сети.
Злоумышленники обычно начинают атаку со сканирования внешних сетей целевых организаций на предмет наличия устройств, уязвимых к эксплойту CitrixBleed.
Злоумышленники обычно выбирают серверы баз данных в качестве первого шага после латерального перемещения из-за прибыльности хранящихся там данных.
Чтобы успешно отправить данные на свой FTP-сервер, злоумышленнику нужно было найти устройство с неограниченным исходящим доступом.
Постоянный мониторинг и своевременные обновления системы имеют решающее значение для предотвращения эксплойтов, подобных CitrixBleed.
Необходим строгий контроль и наблюдение за привилегированными учетными записями для предотвращения несанкционированного доступа.
Защита конфиденциальной информации, особенно на серверах баз данных, крайне важна, а использование солевых паролей и сегментации сети может значительно усилить защиту.
Контроль входящего и исходящего трафика очень важен для обнаружения и предотвращения несанкционированных действий и утечки данных.
#ParsedReport #CompletenessLow
13-12-2023
FakeSG campaign, Akira ransomware and AMOS macOS stealer
https://securelist.com/crimeware-report-fakesg-akira-amos/111483
Report completeness: Low
Threats:
Akira_ransomware
Fakesg
Amos_stealer
Netsupportmanager_rat
Socgholish_loader
Conti
Redline_stealer
Raccoon_stealer
Formbook
Macstealer
Victims:
Over 60 organizations have been infected by the attackers behind akira, and victims of amos include russia and brazil
Industry:
Education, Retail
Geo:
Brazil, Russia
IOCs:
Hash: 6
Soft:
macOS, Telegram, Chrome, Discord
Crypto:
binance
Algorithms:
zip
Languages:
php, powershell
Platforms:
apple, cross-platform
13-12-2023
FakeSG campaign, Akira ransomware and AMOS macOS stealer
https://securelist.com/crimeware-report-fakesg-akira-amos/111483
Report completeness: Low
Threats:
Akira_ransomware
Fakesg
Amos_stealer
Netsupportmanager_rat
Socgholish_loader
Conti
Redline_stealer
Raccoon_stealer
Formbook
Macstealer
Victims:
Over 60 organizations have been infected by the attackers behind akira, and victims of amos include russia and brazil
Industry:
Education, Retail
Geo:
Brazil, Russia
IOCs:
Hash: 6
Soft:
macOS, Telegram, Chrome, Discord
Crypto:
binance
Algorithms:
zip
Languages:
php, powershell
Platforms:
apple, cross-platform
Securelist
Kaspersky crimeware report: FakeSG, Akira and AMOS
In this report, we share our latest crimeware findings: FakeSG malware distribution campaign delivering NetSupport RAT, new Conti-like Akira ransomware and AMOS stealer for macOS.
CTT Report Hub
#ParsedReport #CompletenessLow 13-12-2023 FakeSG campaign, Akira ransomware and AMOS macOS stealer https://securelist.com/crimeware-report-fakesg-akira-amos/111483 Report completeness: Low Threats: Akira_ransomware Fakesg Amos_stealer Netsupportmanager_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: В этой статье рассматриваются три недавние киберпреступные кампании: FakeSG, Akira ransomware и AMOS stealer, с подробным описанием каждой из них.
-----
Криминальный ландшафт невероятно разнообразен: киберпреступники постоянно создают новые вредоносные программы для эксплуатации своих жертв. За последние месяцы исследователи изучили множество различных тем, начиная от кросс-платформенного выкупного ПО и заканчивая похитителями macOS и кампаниями по распространению вредоносного ПО. В этой статье рассматриваются три такие кампании: FakeSG, Akira ransomware и AMOS stealer.
FakeSG - это кампания по распространению RAT от NetSupport. Она имитирует печально известную кампанию по распространению SocGholish: зараженные веб-сайты отображают уведомление о том, что браузер пользователя нуждается в обновлении. При нажатии на уведомление на устройство загружается вредоносный файл, который затем создает запланированное задание для сохранения вредоносной программы, извлекает и копирует ее. Вредоносный файл конфигурации содержит адрес C2.
Akira - относительно новый вариант вымогательского ПО, впервые обнаруженный в апреле 2020 года. Он написан на C++ и заразил более 60 организаций в различных отраслях, включая розничную торговлю, потребительские товары и образование. В некоторых аспектах он похож на Conti, включая список папок, исключенных из шифрования, и функцию обфускации строк. Панель C2, используемая Akira, отличается: в ней используется старый минималистичный веб-сайт с мерами безопасности.
Впервые AMOS был обнаружен в апреле 2023 года и был доступен для аренды злоумышленникам через Telegram за 1000 долларов в месяц. Теперь он написан на языке C вместо Go и распространяется через вредоносную рекламу. Он собирает имена пользователей, пароли, файлы, данные браузера и системные пароли и отправляет их в C2 по HTTP. Основными целями являются Россия и Бразилия.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: В этой статье рассматриваются три недавние киберпреступные кампании: FakeSG, Akira ransomware и AMOS stealer, с подробным описанием каждой из них.
-----
Криминальный ландшафт невероятно разнообразен: киберпреступники постоянно создают новые вредоносные программы для эксплуатации своих жертв. За последние месяцы исследователи изучили множество различных тем, начиная от кросс-платформенного выкупного ПО и заканчивая похитителями macOS и кампаниями по распространению вредоносного ПО. В этой статье рассматриваются три такие кампании: FakeSG, Akira ransomware и AMOS stealer.
FakeSG - это кампания по распространению RAT от NetSupport. Она имитирует печально известную кампанию по распространению SocGholish: зараженные веб-сайты отображают уведомление о том, что браузер пользователя нуждается в обновлении. При нажатии на уведомление на устройство загружается вредоносный файл, который затем создает запланированное задание для сохранения вредоносной программы, извлекает и копирует ее. Вредоносный файл конфигурации содержит адрес C2.
Akira - относительно новый вариант вымогательского ПО, впервые обнаруженный в апреле 2020 года. Он написан на C++ и заразил более 60 организаций в различных отраслях, включая розничную торговлю, потребительские товары и образование. В некоторых аспектах он похож на Conti, включая список папок, исключенных из шифрования, и функцию обфускации строк. Панель C2, используемая Akira, отличается: в ней используется старый минималистичный веб-сайт с мерами безопасности.
Впервые AMOS был обнаружен в апреле 2023 года и был доступен для аренды злоумышленникам через Telegram за 1000 долларов в месяц. Теперь он написан на языке C вместо Go и распространяется через вредоносную рекламу. Он собирает имена пользователей, пароли, файлы, данные браузера и системные пароли и отправляет их в C2 по HTTP. Основными целями являются Россия и Бразилия.
#ParsedReport #CompletenessLow
13-12-2023
Threat actors misuse OAuth applications to automate financially driven attacks
https://www.microsoft.com/en-us/security/blog/2023/12/12/threat-actors-misuse-oauth-applications-to-automate-financially-driven-attacks
Report completeness: Low
Actors/Campaigns:
Bec (motivation: financially_motivated)
Storm-1283
Storm-1286
Threats:
Password_spray_technique
Aitm_technique
Polymorphism_technique
Industry:
Financial
Geo:
Korea, Canada, France, Poland, Australia, Japan, Brazil
ChatGPT TTPs:
T1078, T1048, T1136, T1040, T1112, T1090, T1098, T1096, T1037, T1105, have more...
IOCs:
File: 2
Soft:
Microsoft Defender, Office 365, Microsoft 365 Defender, Microsoft Outlook, Microsoft Exchange, Azure Active Directory
Languages:
powershell
Platforms:
arm
13-12-2023
Threat actors misuse OAuth applications to automate financially driven attacks
https://www.microsoft.com/en-us/security/blog/2023/12/12/threat-actors-misuse-oauth-applications-to-automate-financially-driven-attacks
Report completeness: Low
Actors/Campaigns:
Bec (motivation: financially_motivated)
Storm-1283
Storm-1286
Threats:
Password_spray_technique
Aitm_technique
Polymorphism_technique
Industry:
Financial
Geo:
Korea, Canada, France, Poland, Australia, Japan, Brazil
ChatGPT TTPs:
do not use without manual checkT1078, T1048, T1136, T1040, T1112, T1090, T1098, T1096, T1037, T1105, have more...
IOCs:
File: 2
Soft:
Microsoft Defender, Office 365, Microsoft 365 Defender, Microsoft Outlook, Microsoft Exchange, Azure Active Directory
Languages:
powershell
Platforms:
arm
Microsoft News
Threat actors misuse OAuth applications to automate financially driven attacks
Microsoft presents cases of threat actors misusing OAuth applications as automation tools in financially motivated attacks.