#ParsedReport #CompletenessHigh
13-12-2023

Russian Foreign Intelligence Service (SVR) Exploiting JetBrains TeamCity CVE Globally

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-347a

Report completeness: High

Actors/Campaigns:
Duke
Fancy_bear

Threats:
Supply_chain_technique
Spear-phishing_technique
Wellmess_rat
Wellmail
Password_spray_technique
Nltest_tool
Netstat_tool
Edrsandblast_tool
Mimikatz_tool
Dll_hijacking_technique
Graphicalproton
Winpeas_tool
Lsadump_tool
Rubeus_tool
Powersploit
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique
Golden_ticket_technique

Victims:
Energy trade association; companies that provide software for billing, medical devices, customer care, employee monitoring, financial management, marketing, sales, and video games; as well as hosting companies, tools manufacturers and small and large it companies

Industry:
Financial, Military, Biotechnology, Healthcare, Energy, Government

Geo:
Australia, Russian, Russia, Polish, Asia, Canadian

CVEs:
CVE-2023-42793 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- jetbrains teamcity (<2023.05.4)


TTPs:
Tactics: 2
Technics: 35

IOCs:
File: 27
Command: 4
Path: 15
Registry: 4
IP: 4
Domain: 1
Hash: 28
Url: 1

Soft:
JetBrains TeamCity, TeamCity, JetBrains, Visual Studio, Microsoft OneDrive, Windows Registry, WordPress, Microsoft SQL server

Win Services:
bits

Languages:
powershell

Platforms:
x86

Links:
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Российская служба внешней разведки (СВР) обнаружила уязвимость нулевого дня в программном обеспечении JetBrains TeamCity, которая давала им доступ к исходному коду и сертификатам подписи. Федеральное бюро расследований США (ФБР), Агентство кибербезопасности и защиты инфраструктуры США (CISA), Агентство национальной безопасности США (АНБ), Служба военной контрразведки Польши (SKW), CERT Polska (CERT.PL) и Национальный центр кибербезопасности Великобритании (NCSC) выявили угрозу и создали рекомендацию, чтобы помочь организациям провести собственное расследование и обеспечить безопасность своих сетей.
-----

Служба внешней разведки России (СВР) эксплуатирует уязвимость нулевого дня в ПО JetBrains TeamCity, CVE-2023-42793, с сентября 2023 года.

Федеральное бюро расследований США (ФБР), Агентство кибербезопасности и защиты инфраструктуры США (CISA), Агентство национальной безопасности США (АНБ), Служба военной контрразведки Польши (SKW), CERT Polska (CERT.PL) и Национальный центр кибербезопасности Великобритании (NCSC) выявили угрозу и создали соответствующее уведомление.

Кибероперации СВР представляют постоянную угрозу для государственных и частных организаций по всему миру с 2013 года.

СВР нацелилась на технологические компании для проведения дополнительных киберопераций, используя эксплойт нулевого дня и облачные среды Microsoft 365.

Было выявлено несколько десятков взломанных компаний в США, Европе, Азии и Австралии с более чем сотней взломанных устройств.

Организации с затронутыми системами должны предположить компрометацию и начать поиск угроз, используя предоставленные индикаторы компрометации (IOC).

Фреймворк MITRE ATT&CK можно использовать для составления карты злонамеренной кибер-активности и выявления вредоносных моделей.

СВР может попытаться замести следы, стерев файлы журналов, поэтому организациям следует обеспечить мониторинг на предмет вредоносной активности и утечки данных.

#ParsedReport #CompletenessMedium
13-12-2023

Apache ActiveMQ (CVE-2023-46604)

https://asec.ahnlab.com/ko/59786

Report completeness: Medium

Actors/Campaigns:
Andariel

Threats:
Meterpreter_tool
Cobalt_strike
Hellokitty
Metasploit_tool
Ladon_tool
Netcat_tool
Anydesk_tool
Z0miner
Netsupportmanager_rat
Xmrig_miner

Geo:
Chinese

CVEs:
CVE-2023-46604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)

CVE-2020-14882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)

CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)

CVE-2020-14883 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)


ChatGPT TTPs:
do not use without manual check
T1199, T1059, T1060, T1063, T1203, T1046, T1053, T1486, T1090

IOCs:
Url: 7
File: 5
Hash: 7
IP: 2

Soft:
ActiveMQ, MS-SQL, Chrome, Confluence

Algorithms:
md5

Languages:
powershell, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Злоумышленники осуществляют вредоносные атаки на уязвимые и непропатченные сервисы Apache ActiveMQ. Для получения доступа к системам злоумышленники используют различные инструменты, такие как HelloKitty ransomware, Cobalt Strike, Metasploit Meterpreter, Ladon, NetCat, AnyDesk и z0Miner. Чтобы предотвратить подобные атаки, важно контролировать доступ с помощью брандмауэров и обновить V3 до последней версии.
-----

Угрожающая группа Andariel недавно раскрыла случай, когда она устанавливала вредоносное ПО, атакуя уязвимость CVE-2023-46604, уязвимость удаленного выполнения кода сервера Apache ActiveMQ. CVE-2023-46604 - это сервер с открытым исходным кодом для обмена сообщениями и шаблонами интеграции, который позволяет злоумышленникам получить контроль над системами, если оставить их открытыми для доступа в Интернет. В этой атаке злоумышленник использовал различные инструменты для получения доступа, включая HelloKitty ransomware, Cobalt Strike, Metasploit Meterpreter, Ladon, NetCat, AnyDesk и z0Miner.

Ladon - это инструмент, используемый в основном китайскими злоумышленниками, о чем можно судить по его странице на GitHub. Он поддерживает различные функции, необходимые в процессе атаки, включая сканирование, повышение привилегий, кражу информации об учетной записи и обратный shell. Создатели постоянно обновляют Ladon, и он также сканирует уязвимости CVE-2023-46604. Убедившись, что уязвимая версия службы Apache ActiveMQ запущена, злоумышленник загрузил Ladon и выполнил команду с помощью Powershell.

Netcat - это утилита для передачи и приема данных по сети, подключенной по протоколам TCP/UDP, и широко используется сетевыми администраторами. Однако она также может стать объектом злоупотреблений со стороны злоумышленников, которые могут использовать команду, отправленную при запуске Netcat, в качестве обратной оболочки или оболочки привязки. Злоумышленники используют Netcat для получения доступа к уязвимым веб-серверам или серверам MS-SQL.

В этой подтвержденной атаке после загрузки Netcat злоумышленник получил командную оболочку на зараженной системе с помощью команды reverse shell. Для удаленного управления экраном злоумышленник устанавливал дополнительные VNC, RDP и инструменты удаленного управления, такие как AnyDesk, NetSupport и Chrome Remote Desktop. AnyDesk устанавливался с помощью Netcat, а установочный файл загружался с обычной домашней страницы.

Кроме того, была подтверждена атакующая кампания, устанавливающая майнеры монет XMRig. XML-файл конфигурации содержит данные для выполнения команд PowerShell с помощью CMD, а сценарий PowerShell загружает и запускает майнер монет XMRig и файлы конфигурации. Эта атака похожа на атаку z0Miner, о которой впервые сообщила команда безопасности Tencent в 2020 году и которая распространялась через уязвимость удаленного выполнения кода в Oracle Weblogic (CVE-2020-14882 / CVE-2020-14883).

Злоумышленники постоянно совершают атаки на уязвимые и непропатченные сервисы Apache ActiveMQ. Среди подтвержденных атак есть случаи установки майнеров для добычи криптовалюты, однако выявлено множество вредоносных кодов для управления зараженными системами. Получив контроль над зараженной системой, злоумышленник может украсть информацию или установить вымогательское ПО. Чтобы предотвратить подобные атаки, важно контролировать доступ злоумышленников с помощью продуктов безопасности, таких как брандмауэры, и обновить V3 до последней версии.

#ParsedReport #CompletenessMedium
13-12-2023

Responding to CitrixBleed (CVE-2023-4966): Key Takeaways from Affected Companies

https://blog.morphisec.com/responding-to-citrixbleed

Report completeness: Medium

Threats:
Citrix_bleed_vuln
Lockbit
Blackcat
Powersploit
Bloodhound_tool
Mimikatz_tool
Winrm_tool

Industry:
Healthcare

Geo:
German, Russia, Russian, French

CVEs:
CVE-2023-4966 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- citrix netscaler application delivery controller (<12.1-55.300, <13.0-92.19, <13.1-37.164, <13.1-49.15, <14.1-8.50)
- citrix netscaler gateway (<13.0-92.19, <13.1-49.15, <14.1-8.50)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071, T1485, T1041, T1046, T1021, T1110, T1566

IOCs:
IP: 1
File: 1

Soft:
windows security, OpenSSH

Algorithms:
base64

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Агентство по кибербезопасности и защите инфраструктуры (CISA) забило тревогу в связи с широким распространением уязвимости Citrix Bleed (CVE-2023-4966). Этот критический недостаток в системе безопасности побудил CISA призвать больницы устранить уязвимость, а инцидент подчеркивает важность постоянной бдительности в области кибербезопасности и применения таких мер защиты, как мониторинг, обновление систем, защита привилегированных учетных записей, защита данных и сегментация сети.
-----

Недавно CISA забила тревогу в связи с широким распространением уязвимости Citrix Bleed (CVE-2023-4966).

Уязвимость использовали Lockbit и AlphV / BlackCat.

Citrix выпустила обновления безопасности 10 октября 2023 года, но обширная информация о том, как использовать CitrixBleed, по-прежнему доступна в сети.

Злоумышленники обычно начинают атаку со сканирования внешних сетей целевых организаций на предмет наличия устройств, уязвимых к эксплойту CitrixBleed.

Злоумышленники обычно выбирают серверы баз данных в качестве первого шага после латерального перемещения из-за прибыльности хранящихся там данных.

Чтобы успешно отправить данные на свой FTP-сервер, злоумышленнику нужно было найти устройство с неограниченным исходящим доступом.

Постоянный мониторинг и своевременные обновления системы имеют решающее значение для предотвращения эксплойтов, подобных CitrixBleed.

Необходим строгий контроль и наблюдение за привилегированными учетными записями для предотвращения несанкционированного доступа.

Защита конфиденциальной информации, особенно на серверах баз данных, крайне важна, а использование солевых паролей и сегментации сети может значительно усилить защиту.

Контроль входящего и исходящего трафика очень важен для обнаружения и предотвращения несанкционированных действий и утечки данных.

#ParsedReport #CompletenessLow
13-12-2023

FakeSG campaign, Akira ransomware and AMOS macOS stealer

https://securelist.com/crimeware-report-fakesg-akira-amos/111483

Report completeness: Low

Threats:
Akira_ransomware
Fakesg
Amos_stealer
Netsupportmanager_rat
Socgholish_loader
Conti
Redline_stealer
Raccoon_stealer
Formbook
Macstealer

Victims:
Over 60 organizations have been infected by the attackers behind akira, and victims of amos include russia and brazil

Industry:
Education, Retail

Geo:
Brazil, Russia

IOCs:
Hash: 6

Soft:
macOS, Telegram, Chrome, Discord

Crypto:
binance

Algorithms:
zip

Languages:
php, powershell

Platforms:
apple, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В этой статье рассматриваются три недавние киберпреступные кампании: FakeSG, Akira ransomware и AMOS stealer, с подробным описанием каждой из них.
-----

Криминальный ландшафт невероятно разнообразен: киберпреступники постоянно создают новые вредоносные программы для эксплуатации своих жертв. За последние месяцы исследователи изучили множество различных тем, начиная от кросс-платформенного выкупного ПО и заканчивая похитителями macOS и кампаниями по распространению вредоносного ПО. В этой статье рассматриваются три такие кампании: FakeSG, Akira ransomware и AMOS stealer.

FakeSG - это кампания по распространению RAT от NetSupport. Она имитирует печально известную кампанию по распространению SocGholish: зараженные веб-сайты отображают уведомление о том, что браузер пользователя нуждается в обновлении. При нажатии на уведомление на устройство загружается вредоносный файл, который затем создает запланированное задание для сохранения вредоносной программы, извлекает и копирует ее. Вредоносный файл конфигурации содержит адрес C2.

Akira - относительно новый вариант вымогательского ПО, впервые обнаруженный в апреле 2020 года. Он написан на C++ и заразил более 60 организаций в различных отраслях, включая розничную торговлю, потребительские товары и образование. В некоторых аспектах он похож на Conti, включая список папок, исключенных из шифрования, и функцию обфускации строк. Панель C2, используемая Akira, отличается: в ней используется старый минималистичный веб-сайт с мерами безопасности.

Впервые AMOS был обнаружен в апреле 2023 года и был доступен для аренды злоумышленникам через Telegram за 1000 долларов в месяц. Теперь он написан на языке C вместо Go и распространяется через вредоносную рекламу. Он собирает имена пользователей, пароли, файлы, данные браузера и системные пароли и отправляет их в C2 по HTTP. Основными целями являются Россия и Бразилия.

#ParsedReport #CompletenessLow
13-12-2023

Threat actors misuse OAuth applications to automate financially driven attacks

https://www.microsoft.com/en-us/security/blog/2023/12/12/threat-actors-misuse-oauth-applications-to-automate-financially-driven-attacks

Report completeness: Low

Actors/Campaigns:
Bec (motivation: financially_motivated)
Storm-1283
Storm-1286

Threats:
Password_spray_technique
Aitm_technique
Polymorphism_technique

Industry:
Financial

Geo:
Korea, Canada, France, Poland, Australia, Japan, Brazil

ChatGPT TTPs:
do not use without manual check
T1078, T1048, T1136, T1040, T1112, T1090, T1098, T1096, T1037, T1105, have more...

IOCs:
File: 2

Soft:
Microsoft Defender, Office 365, Microsoft 365 Defender, Microsoft Outlook, Microsoft Exchange, Azure Active Directory

Languages:
powershell

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Угрожающие субъекты используют приложения OAuth в качестве инструмента автоматизации в финансово мотивированных атаках, таких как развертывание виртуальных машин для майнинга криптовалюты, создание постоянства после компрометации деловой электронной почты и запуск спам-рассылок с использованием ресурсов и доменного имени целевой организации. Microsoft заметила различные атаки, в которых приложения OAuth используются для широкого спектра вредоносных действий, и предложила меры по уменьшению площади атаки и обнаружению вредоносной активности.
-----

OAuth - это открытый стандарт аутентификации и авторизации на основе маркеров, который позволяет приложениям получать доступ к данным и ресурсам на основе разрешений, установленных пользователем.

Угрожающие субъекты используют приложения OAuth в качестве инструмента автоматизации в финансово мотивированных атаках.

Угрожающие субъекты запускают фишинговые атаки или атаки с использованием паролей, чтобы скомпрометировать учетные записи пользователей.

Компания Microsoft наблюдала различные атаки, которые использовали приложения OAuth для широкого спектра вредоносных действий.

Развертывание MFA для всех пользователей, особенно для администраторов арендаторов и учетных записей с привилегиями Azure VM Contributor, может помочь ограничить риск.

Microsoft Defender XDR обнаруживает компоненты угроз, связанные с такими действиями, как компрометация пользователя в ходе фишинговой атаки AiTM, компрометация пользователя с помощью известного фишингового набора AiTM и разведка, связанная с финансовым мошенничеством BEC.

#ParsedReport #CompletenessMedium
13-12-2023

A pernicious potpourri of Python packages in PyPI

https://www.welivesecurity.com/en/eset-research/pernicious-potpourri-python-packages-pypi

Report completeness: Medium

Threats:
W4sp
Typosquatting_technique
Billythegoat_actor
Supply_chain_technique

Victims:
Python programmers

Geo:
Ukraine

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 7
Path: 1
Coin: 1
Domain: 1
Hash: 7
IP: 1

Crypto:
bitcoin, ethereum, monero, litecoin

Algorithms:
zip

Languages:
powershell, python

Links:
https://github.com/eset/malware-ioc/tree/master/pypi\_backdoor
https://github.com/mate-desktop/mate-user-share

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Кибератакующие злоупотребили открытым исходным кодом W4SP Stealer и развернули простой бэкдор в пакетах Python на PyPI, и эти пакеты были загружены более 10 000 раз. Разработчикам Python следует быть осторожными при загрузке кода из любого публичного репозитория программного обеспечения и проверять код перед установкой на свои системы. Компания ESET приняла меры против вредоносных пакетов, и теперь они отключены.
-----

Python Package Index (PyPI) - это официальный репозиторий пакетов Python, который широко используется программистами на Python. Однако компания ESET Research обнаружила в PyPI 116 вредоносных пакетов, которые были загружены более 10 000 раз с мая 2023 года. Эти пакеты предоставляют бэкдор, способный удаленно выполнять команды, осуществлять эксфильтрацию и делать скриншоты. В некоторых случаях вместо них поставляется W4SP Stealer или монитор буфера обмена, крадущий криптовалюту, или и то, и другое.

Пакеты Python в PyPI могут принимать две формы: исходные пакеты, содержащие весь исходный код проекта, и предварительно собранные пакеты (называемые "колесами"), которые могут содержать скомпилированные модули. В некоторых случаях вредоносный код присутствует только в собранном дистрибутиве, а не в исходном коде, поэтому он устанавливается, если явно не запросить иное. Злоумышленники, стоящие за этой кампанией, использовали три техники для встраивания вредоносного кода в пакеты Python: они импортировали вредоносный тестовый модуль в исходный код основного модуля пакета, встраивали код PowerShell в файл setup.py и создавали пакеты без легитимного кода, только вредоносный код в слегка обфусцированной форме.

В Windows полезной нагрузкой обычно является пользовательский бэкдор, реализованный на Python, а в Linux - бэкдор, реализованный на Go. В некоторых случаях вместо бэкдора в качестве полезной нагрузки используется вариант печально известного W4SP Stealer или простой монитор буфера обмена, который крадет криптовалюту.

Стойкость достигается путем размещения вредоносного элемента рабочего стола в каталоге \~/.config/autostart/ в Linux. В Windows вредоносный код записывается во временные файлы, а затем запускается с помощью pythonw.exe.

PyPI не является проблемой безопасности, а программное обеспечение, работающее на нем, соответствует общепринятым лучшим практикам. Кибератакующие продолжают злоупотреблять открытым исходным кодом W4SP Stealer, а также развернули простой, но эффективный бэкдор. Разработчикам Python следует быть осторожными при загрузке кода из любого публичного репозитория программного обеспечения и тщательно проверять код перед установкой в свои системы. ESET связалась с PyPI, чтобы принять меры против вредоносных пакетов, и теперь они отключены.

#ParsedReport #CompletenessMedium
13-12-2023

UTG-Q-003: Supply Chain Poisoning of 7ZIP on the Microsoft App Store

https://ti.qianxin.com/blog/articles/UTG-Q-003-Supply-Chain-Poisoning-of-7ZIP-on-the-Microsoft-App-Store-EN

Report completeness: Medium

Actors/Campaigns:
Utg-q-003

Threats:
Supply_chain_technique
Raindrop_tool
Lumma_stealer
Redline_stealer
Amadey

Geo:
Russia, Russian, Chinese, Ukraine, China, Asia

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)


TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 2
Hash: 4
Domain: 36

Soft:
WordPress, Chrome, Android

Algorithms:
md5, 7zip

Languages:
java, php, javascript