#ParsedReport #CompletenessMedium
13-12-2023
Responding to CitrixBleed (CVE-2023-4966): Key Takeaways from Affected Companies
https://blog.morphisec.com/responding-to-citrixbleed
Report completeness: Medium
Threats:
Citrix_bleed_vuln
Lockbit
Blackcat
Powersploit
Bloodhound_tool
Mimikatz_tool
Winrm_tool
Industry:
Healthcare
Geo:
German, Russia, Russian, French
CVEs:
CVE-2023-4966 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- citrix netscaler application delivery controller (<12.1-55.300, <13.0-92.19, <13.1-37.164, <13.1-49.15, <14.1-8.50)
- citrix netscaler gateway (<13.0-92.19, <13.1-49.15, <14.1-8.50)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1071, T1485, T1041, T1046, T1021, T1110, T1566
IOCs:
IP: 1
File: 1
Soft:
windows security, OpenSSH
Algorithms:
base64
Languages:
powershell
13-12-2023
Responding to CitrixBleed (CVE-2023-4966): Key Takeaways from Affected Companies
https://blog.morphisec.com/responding-to-citrixbleed
Report completeness: Medium
Threats:
Citrix_bleed_vuln
Lockbit
Blackcat
Powersploit
Bloodhound_tool
Mimikatz_tool
Winrm_tool
Industry:
Healthcare
Geo:
German, Russia, Russian, French
CVEs:
CVE-2023-4966 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- citrix netscaler application delivery controller (<12.1-55.300, <13.0-92.19, <13.1-37.164, <13.1-49.15, <14.1-8.50)
- citrix netscaler gateway (<13.0-92.19, <13.1-49.15, <14.1-8.50)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1071, T1485, T1041, T1046, T1021, T1110, T1566
IOCs:
IP: 1
File: 1
Soft:
windows security, OpenSSH
Algorithms:
base64
Languages:
powershell
Morphisec
Responding to CitrixBleed (CVE-2023-4966): Key Takeaways from Affected Companies
This blog provides an analysis by Morphisec of responding to actual Citrix Bleed attacks (CVE-2023-4966), detailing threat actor tactics and recommended safeguards.
CTT Report Hub
#ParsedReport #CompletenessMedium 13-12-2023 Responding to CitrixBleed (CVE-2023-4966): Key Takeaways from Affected Companies https://blog.morphisec.com/responding-to-citrixbleed Report completeness: Medium Threats: Citrix_bleed_vuln Lockbit Blackcat Powersploit…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Агентство по кибербезопасности и защите инфраструктуры (CISA) забило тревогу в связи с широким распространением уязвимости Citrix Bleed (CVE-2023-4966). Этот критический недостаток в системе безопасности побудил CISA призвать больницы устранить уязвимость, а инцидент подчеркивает важность постоянной бдительности в области кибербезопасности и применения таких мер защиты, как мониторинг, обновление систем, защита привилегированных учетных записей, защита данных и сегментация сети.
-----
Недавно CISA забила тревогу в связи с широким распространением уязвимости Citrix Bleed (CVE-2023-4966).
Уязвимость использовали Lockbit и AlphV / BlackCat.
Citrix выпустила обновления безопасности 10 октября 2023 года, но обширная информация о том, как использовать CitrixBleed, по-прежнему доступна в сети.
Злоумышленники обычно начинают атаку со сканирования внешних сетей целевых организаций на предмет наличия устройств, уязвимых к эксплойту CitrixBleed.
Злоумышленники обычно выбирают серверы баз данных в качестве первого шага после латерального перемещения из-за прибыльности хранящихся там данных.
Чтобы успешно отправить данные на свой FTP-сервер, злоумышленнику нужно было найти устройство с неограниченным исходящим доступом.
Постоянный мониторинг и своевременные обновления системы имеют решающее значение для предотвращения эксплойтов, подобных CitrixBleed.
Необходим строгий контроль и наблюдение за привилегированными учетными записями для предотвращения несанкционированного доступа.
Защита конфиденциальной информации, особенно на серверах баз данных, крайне важна, а использование солевых паролей и сегментации сети может значительно усилить защиту.
Контроль входящего и исходящего трафика очень важен для обнаружения и предотвращения несанкционированных действий и утечки данных.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Агентство по кибербезопасности и защите инфраструктуры (CISA) забило тревогу в связи с широким распространением уязвимости Citrix Bleed (CVE-2023-4966). Этот критический недостаток в системе безопасности побудил CISA призвать больницы устранить уязвимость, а инцидент подчеркивает важность постоянной бдительности в области кибербезопасности и применения таких мер защиты, как мониторинг, обновление систем, защита привилегированных учетных записей, защита данных и сегментация сети.
-----
Недавно CISA забила тревогу в связи с широким распространением уязвимости Citrix Bleed (CVE-2023-4966).
Уязвимость использовали Lockbit и AlphV / BlackCat.
Citrix выпустила обновления безопасности 10 октября 2023 года, но обширная информация о том, как использовать CitrixBleed, по-прежнему доступна в сети.
Злоумышленники обычно начинают атаку со сканирования внешних сетей целевых организаций на предмет наличия устройств, уязвимых к эксплойту CitrixBleed.
Злоумышленники обычно выбирают серверы баз данных в качестве первого шага после латерального перемещения из-за прибыльности хранящихся там данных.
Чтобы успешно отправить данные на свой FTP-сервер, злоумышленнику нужно было найти устройство с неограниченным исходящим доступом.
Постоянный мониторинг и своевременные обновления системы имеют решающее значение для предотвращения эксплойтов, подобных CitrixBleed.
Необходим строгий контроль и наблюдение за привилегированными учетными записями для предотвращения несанкционированного доступа.
Защита конфиденциальной информации, особенно на серверах баз данных, крайне важна, а использование солевых паролей и сегментации сети может значительно усилить защиту.
Контроль входящего и исходящего трафика очень важен для обнаружения и предотвращения несанкционированных действий и утечки данных.
#ParsedReport #CompletenessLow
13-12-2023
FakeSG campaign, Akira ransomware and AMOS macOS stealer
https://securelist.com/crimeware-report-fakesg-akira-amos/111483
Report completeness: Low
Threats:
Akira_ransomware
Fakesg
Amos_stealer
Netsupportmanager_rat
Socgholish_loader
Conti
Redline_stealer
Raccoon_stealer
Formbook
Macstealer
Victims:
Over 60 organizations have been infected by the attackers behind akira, and victims of amos include russia and brazil
Industry:
Education, Retail
Geo:
Brazil, Russia
IOCs:
Hash: 6
Soft:
macOS, Telegram, Chrome, Discord
Crypto:
binance
Algorithms:
zip
Languages:
php, powershell
Platforms:
apple, cross-platform
13-12-2023
FakeSG campaign, Akira ransomware and AMOS macOS stealer
https://securelist.com/crimeware-report-fakesg-akira-amos/111483
Report completeness: Low
Threats:
Akira_ransomware
Fakesg
Amos_stealer
Netsupportmanager_rat
Socgholish_loader
Conti
Redline_stealer
Raccoon_stealer
Formbook
Macstealer
Victims:
Over 60 organizations have been infected by the attackers behind akira, and victims of amos include russia and brazil
Industry:
Education, Retail
Geo:
Brazil, Russia
IOCs:
Hash: 6
Soft:
macOS, Telegram, Chrome, Discord
Crypto:
binance
Algorithms:
zip
Languages:
php, powershell
Platforms:
apple, cross-platform
Securelist
Kaspersky crimeware report: FakeSG, Akira and AMOS
In this report, we share our latest crimeware findings: FakeSG malware distribution campaign delivering NetSupport RAT, new Conti-like Akira ransomware and AMOS stealer for macOS.
CTT Report Hub
#ParsedReport #CompletenessLow 13-12-2023 FakeSG campaign, Akira ransomware and AMOS macOS stealer https://securelist.com/crimeware-report-fakesg-akira-amos/111483 Report completeness: Low Threats: Akira_ransomware Fakesg Amos_stealer Netsupportmanager_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: В этой статье рассматриваются три недавние киберпреступные кампании: FakeSG, Akira ransomware и AMOS stealer, с подробным описанием каждой из них.
-----
Криминальный ландшафт невероятно разнообразен: киберпреступники постоянно создают новые вредоносные программы для эксплуатации своих жертв. За последние месяцы исследователи изучили множество различных тем, начиная от кросс-платформенного выкупного ПО и заканчивая похитителями macOS и кампаниями по распространению вредоносного ПО. В этой статье рассматриваются три такие кампании: FakeSG, Akira ransomware и AMOS stealer.
FakeSG - это кампания по распространению RAT от NetSupport. Она имитирует печально известную кампанию по распространению SocGholish: зараженные веб-сайты отображают уведомление о том, что браузер пользователя нуждается в обновлении. При нажатии на уведомление на устройство загружается вредоносный файл, который затем создает запланированное задание для сохранения вредоносной программы, извлекает и копирует ее. Вредоносный файл конфигурации содержит адрес C2.
Akira - относительно новый вариант вымогательского ПО, впервые обнаруженный в апреле 2020 года. Он написан на C++ и заразил более 60 организаций в различных отраслях, включая розничную торговлю, потребительские товары и образование. В некоторых аспектах он похож на Conti, включая список папок, исключенных из шифрования, и функцию обфускации строк. Панель C2, используемая Akira, отличается: в ней используется старый минималистичный веб-сайт с мерами безопасности.
Впервые AMOS был обнаружен в апреле 2023 года и был доступен для аренды злоумышленникам через Telegram за 1000 долларов в месяц. Теперь он написан на языке C вместо Go и распространяется через вредоносную рекламу. Он собирает имена пользователей, пароли, файлы, данные браузера и системные пароли и отправляет их в C2 по HTTP. Основными целями являются Россия и Бразилия.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: В этой статье рассматриваются три недавние киберпреступные кампании: FakeSG, Akira ransomware и AMOS stealer, с подробным описанием каждой из них.
-----
Криминальный ландшафт невероятно разнообразен: киберпреступники постоянно создают новые вредоносные программы для эксплуатации своих жертв. За последние месяцы исследователи изучили множество различных тем, начиная от кросс-платформенного выкупного ПО и заканчивая похитителями macOS и кампаниями по распространению вредоносного ПО. В этой статье рассматриваются три такие кампании: FakeSG, Akira ransomware и AMOS stealer.
FakeSG - это кампания по распространению RAT от NetSupport. Она имитирует печально известную кампанию по распространению SocGholish: зараженные веб-сайты отображают уведомление о том, что браузер пользователя нуждается в обновлении. При нажатии на уведомление на устройство загружается вредоносный файл, который затем создает запланированное задание для сохранения вредоносной программы, извлекает и копирует ее. Вредоносный файл конфигурации содержит адрес C2.
Akira - относительно новый вариант вымогательского ПО, впервые обнаруженный в апреле 2020 года. Он написан на C++ и заразил более 60 организаций в различных отраслях, включая розничную торговлю, потребительские товары и образование. В некоторых аспектах он похож на Conti, включая список папок, исключенных из шифрования, и функцию обфускации строк. Панель C2, используемая Akira, отличается: в ней используется старый минималистичный веб-сайт с мерами безопасности.
Впервые AMOS был обнаружен в апреле 2023 года и был доступен для аренды злоумышленникам через Telegram за 1000 долларов в месяц. Теперь он написан на языке C вместо Go и распространяется через вредоносную рекламу. Он собирает имена пользователей, пароли, файлы, данные браузера и системные пароли и отправляет их в C2 по HTTP. Основными целями являются Россия и Бразилия.
#ParsedReport #CompletenessLow
13-12-2023
Threat actors misuse OAuth applications to automate financially driven attacks
https://www.microsoft.com/en-us/security/blog/2023/12/12/threat-actors-misuse-oauth-applications-to-automate-financially-driven-attacks
Report completeness: Low
Actors/Campaigns:
Bec (motivation: financially_motivated)
Storm-1283
Storm-1286
Threats:
Password_spray_technique
Aitm_technique
Polymorphism_technique
Industry:
Financial
Geo:
Korea, Canada, France, Poland, Australia, Japan, Brazil
ChatGPT TTPs:
T1078, T1048, T1136, T1040, T1112, T1090, T1098, T1096, T1037, T1105, have more...
IOCs:
File: 2
Soft:
Microsoft Defender, Office 365, Microsoft 365 Defender, Microsoft Outlook, Microsoft Exchange, Azure Active Directory
Languages:
powershell
Platforms:
arm
13-12-2023
Threat actors misuse OAuth applications to automate financially driven attacks
https://www.microsoft.com/en-us/security/blog/2023/12/12/threat-actors-misuse-oauth-applications-to-automate-financially-driven-attacks
Report completeness: Low
Actors/Campaigns:
Bec (motivation: financially_motivated)
Storm-1283
Storm-1286
Threats:
Password_spray_technique
Aitm_technique
Polymorphism_technique
Industry:
Financial
Geo:
Korea, Canada, France, Poland, Australia, Japan, Brazil
ChatGPT TTPs:
do not use without manual checkT1078, T1048, T1136, T1040, T1112, T1090, T1098, T1096, T1037, T1105, have more...
IOCs:
File: 2
Soft:
Microsoft Defender, Office 365, Microsoft 365 Defender, Microsoft Outlook, Microsoft Exchange, Azure Active Directory
Languages:
powershell
Platforms:
arm
Microsoft News
Threat actors misuse OAuth applications to automate financially driven attacks
Microsoft presents cases of threat actors misusing OAuth applications as automation tools in financially motivated attacks.
CTT Report Hub
#ParsedReport #CompletenessLow 13-12-2023 Threat actors misuse OAuth applications to automate financially driven attacks https://www.microsoft.com/en-us/security/blog/2023/12/12/threat-actors-misuse-oauth-applications-to-automate-financially-driven-attacks…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Угрожающие субъекты используют приложения OAuth в качестве инструмента автоматизации в финансово мотивированных атаках, таких как развертывание виртуальных машин для майнинга криптовалюты, создание постоянства после компрометации деловой электронной почты и запуск спам-рассылок с использованием ресурсов и доменного имени целевой организации. Microsoft заметила различные атаки, в которых приложения OAuth используются для широкого спектра вредоносных действий, и предложила меры по уменьшению площади атаки и обнаружению вредоносной активности.
-----
OAuth - это открытый стандарт аутентификации и авторизации на основе маркеров, который позволяет приложениям получать доступ к данным и ресурсам на основе разрешений, установленных пользователем.
Угрожающие субъекты используют приложения OAuth в качестве инструмента автоматизации в финансово мотивированных атаках.
Угрожающие субъекты запускают фишинговые атаки или атаки с использованием паролей, чтобы скомпрометировать учетные записи пользователей.
Компания Microsoft наблюдала различные атаки, которые использовали приложения OAuth для широкого спектра вредоносных действий.
Развертывание MFA для всех пользователей, особенно для администраторов арендаторов и учетных записей с привилегиями Azure VM Contributor, может помочь ограничить риск.
Microsoft Defender XDR обнаруживает компоненты угроз, связанные с такими действиями, как компрометация пользователя в ходе фишинговой атаки AiTM, компрометация пользователя с помощью известного фишингового набора AiTM и разведка, связанная с финансовым мошенничеством BEC.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Угрожающие субъекты используют приложения OAuth в качестве инструмента автоматизации в финансово мотивированных атаках, таких как развертывание виртуальных машин для майнинга криптовалюты, создание постоянства после компрометации деловой электронной почты и запуск спам-рассылок с использованием ресурсов и доменного имени целевой организации. Microsoft заметила различные атаки, в которых приложения OAuth используются для широкого спектра вредоносных действий, и предложила меры по уменьшению площади атаки и обнаружению вредоносной активности.
-----
OAuth - это открытый стандарт аутентификации и авторизации на основе маркеров, который позволяет приложениям получать доступ к данным и ресурсам на основе разрешений, установленных пользователем.
Угрожающие субъекты используют приложения OAuth в качестве инструмента автоматизации в финансово мотивированных атаках.
Угрожающие субъекты запускают фишинговые атаки или атаки с использованием паролей, чтобы скомпрометировать учетные записи пользователей.
Компания Microsoft наблюдала различные атаки, которые использовали приложения OAuth для широкого спектра вредоносных действий.
Развертывание MFA для всех пользователей, особенно для администраторов арендаторов и учетных записей с привилегиями Azure VM Contributor, может помочь ограничить риск.
Microsoft Defender XDR обнаруживает компоненты угроз, связанные с такими действиями, как компрометация пользователя в ходе фишинговой атаки AiTM, компрометация пользователя с помощью известного фишингового набора AiTM и разведка, связанная с финансовым мошенничеством BEC.
#ParsedReport #CompletenessMedium
13-12-2023
A pernicious potpourri of Python packages in PyPI
https://www.welivesecurity.com/en/eset-research/pernicious-potpourri-python-packages-pypi
Report completeness: Medium
Threats:
W4sp
Typosquatting_technique
Billythegoat_actor
Supply_chain_technique
Victims:
Python programmers
Geo:
Ukraine
TTPs:
Tactics: 6
Technics: 7
IOCs:
File: 7
Path: 1
Coin: 1
Domain: 1
Hash: 7
IP: 1
Crypto:
bitcoin, ethereum, monero, litecoin
Algorithms:
zip
Languages:
powershell, python
Links:
13-12-2023
A pernicious potpourri of Python packages in PyPI
https://www.welivesecurity.com/en/eset-research/pernicious-potpourri-python-packages-pypi
Report completeness: Medium
Threats:
W4sp
Typosquatting_technique
Billythegoat_actor
Supply_chain_technique
Victims:
Python programmers
Geo:
Ukraine
TTPs:
Tactics: 6
Technics: 7
IOCs:
File: 7
Path: 1
Coin: 1
Domain: 1
Hash: 7
IP: 1
Crypto:
bitcoin, ethereum, monero, litecoin
Algorithms:
zip
Languages:
powershell, python
Links:
https://github.com/eset/malware-ioc/tree/master/pypi\_backdoorhttps://github.com/mate-desktop/mate-user-shareWelivesecurity
A pernicious potpourri of Python packages in PyPI
The past year has seen over 10,000 downloads of malicious packages hosted on the official Python package repository, ESET research finds
CTT Report Hub
#ParsedReport #CompletenessMedium 13-12-2023 A pernicious potpourri of Python packages in PyPI https://www.welivesecurity.com/en/eset-research/pernicious-potpourri-python-packages-pypi Report completeness: Medium Threats: W4sp Typosquatting_technique …
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Кибератакующие злоупотребили открытым исходным кодом W4SP Stealer и развернули простой бэкдор в пакетах Python на PyPI, и эти пакеты были загружены более 10 000 раз. Разработчикам Python следует быть осторожными при загрузке кода из любого публичного репозитория программного обеспечения и проверять код перед установкой на свои системы. Компания ESET приняла меры против вредоносных пакетов, и теперь они отключены.
-----
Python Package Index (PyPI) - это официальный репозиторий пакетов Python, который широко используется программистами на Python. Однако компания ESET Research обнаружила в PyPI 116 вредоносных пакетов, которые были загружены более 10 000 раз с мая 2023 года. Эти пакеты предоставляют бэкдор, способный удаленно выполнять команды, осуществлять эксфильтрацию и делать скриншоты. В некоторых случаях вместо них поставляется W4SP Stealer или монитор буфера обмена, крадущий криптовалюту, или и то, и другое.
Пакеты Python в PyPI могут принимать две формы: исходные пакеты, содержащие весь исходный код проекта, и предварительно собранные пакеты (называемые "колесами"), которые могут содержать скомпилированные модули. В некоторых случаях вредоносный код присутствует только в собранном дистрибутиве, а не в исходном коде, поэтому он устанавливается, если явно не запросить иное. Злоумышленники, стоящие за этой кампанией, использовали три техники для встраивания вредоносного кода в пакеты Python: они импортировали вредоносный тестовый модуль в исходный код основного модуля пакета, встраивали код PowerShell в файл setup.py и создавали пакеты без легитимного кода, только вредоносный код в слегка обфусцированной форме.
В Windows полезной нагрузкой обычно является пользовательский бэкдор, реализованный на Python, а в Linux - бэкдор, реализованный на Go. В некоторых случаях вместо бэкдора в качестве полезной нагрузки используется вариант печально известного W4SP Stealer или простой монитор буфера обмена, который крадет криптовалюту.
Стойкость достигается путем размещения вредоносного элемента рабочего стола в каталоге \~/.config/autostart/ в Linux. В Windows вредоносный код записывается во временные файлы, а затем запускается с помощью pythonw.exe.
PyPI не является проблемой безопасности, а программное обеспечение, работающее на нем, соответствует общепринятым лучшим практикам. Кибератакующие продолжают злоупотреблять открытым исходным кодом W4SP Stealer, а также развернули простой, но эффективный бэкдор. Разработчикам Python следует быть осторожными при загрузке кода из любого публичного репозитория программного обеспечения и тщательно проверять код перед установкой в свои системы. ESET связалась с PyPI, чтобы принять меры против вредоносных пакетов, и теперь они отключены.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Кибератакующие злоупотребили открытым исходным кодом W4SP Stealer и развернули простой бэкдор в пакетах Python на PyPI, и эти пакеты были загружены более 10 000 раз. Разработчикам Python следует быть осторожными при загрузке кода из любого публичного репозитория программного обеспечения и проверять код перед установкой на свои системы. Компания ESET приняла меры против вредоносных пакетов, и теперь они отключены.
-----
Python Package Index (PyPI) - это официальный репозиторий пакетов Python, который широко используется программистами на Python. Однако компания ESET Research обнаружила в PyPI 116 вредоносных пакетов, которые были загружены более 10 000 раз с мая 2023 года. Эти пакеты предоставляют бэкдор, способный удаленно выполнять команды, осуществлять эксфильтрацию и делать скриншоты. В некоторых случаях вместо них поставляется W4SP Stealer или монитор буфера обмена, крадущий криптовалюту, или и то, и другое.
Пакеты Python в PyPI могут принимать две формы: исходные пакеты, содержащие весь исходный код проекта, и предварительно собранные пакеты (называемые "колесами"), которые могут содержать скомпилированные модули. В некоторых случаях вредоносный код присутствует только в собранном дистрибутиве, а не в исходном коде, поэтому он устанавливается, если явно не запросить иное. Злоумышленники, стоящие за этой кампанией, использовали три техники для встраивания вредоносного кода в пакеты Python: они импортировали вредоносный тестовый модуль в исходный код основного модуля пакета, встраивали код PowerShell в файл setup.py и создавали пакеты без легитимного кода, только вредоносный код в слегка обфусцированной форме.
В Windows полезной нагрузкой обычно является пользовательский бэкдор, реализованный на Python, а в Linux - бэкдор, реализованный на Go. В некоторых случаях вместо бэкдора в качестве полезной нагрузки используется вариант печально известного W4SP Stealer или простой монитор буфера обмена, который крадет криптовалюту.
Стойкость достигается путем размещения вредоносного элемента рабочего стола в каталоге \~/.config/autostart/ в Linux. В Windows вредоносный код записывается во временные файлы, а затем запускается с помощью pythonw.exe.
PyPI не является проблемой безопасности, а программное обеспечение, работающее на нем, соответствует общепринятым лучшим практикам. Кибератакующие продолжают злоупотреблять открытым исходным кодом W4SP Stealer, а также развернули простой, но эффективный бэкдор. Разработчикам Python следует быть осторожными при загрузке кода из любого публичного репозитория программного обеспечения и тщательно проверять код перед установкой в свои системы. ESET связалась с PyPI, чтобы принять меры против вредоносных пакетов, и теперь они отключены.
#ParsedReport #CompletenessMedium
13-12-2023
UTG-Q-003: Supply Chain Poisoning of 7ZIP on the Microsoft App Store
https://ti.qianxin.com/blog/articles/UTG-Q-003-Supply-Chain-Poisoning-of-7ZIP-on-the-Microsoft-App-Store-EN
Report completeness: Medium
Actors/Campaigns:
Utg-q-003
Threats:
Supply_chain_technique
Raindrop_tool
Lumma_stealer
Redline_stealer
Amadey
Geo:
Russia, Russian, Chinese, Ukraine, China, Asia
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 2
Hash: 4
Domain: 36
Soft:
WordPress, Chrome, Android
Algorithms:
md5, 7zip
Languages:
java, php, javascript
13-12-2023
UTG-Q-003: Supply Chain Poisoning of 7ZIP on the Microsoft App Store
https://ti.qianxin.com/blog/articles/UTG-Q-003-Supply-Chain-Poisoning-of-7ZIP-on-the-Microsoft-App-Store-EN
Report completeness: Medium
Actors/Campaigns:
Utg-q-003
Threats:
Supply_chain_technique
Raindrop_tool
Lumma_stealer
Redline_stealer
Amadey
Geo:
Russia, Russian, Chinese, Ukraine, China, Asia
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- rarlab winrar (<6.23)
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 2
Hash: 4
Domain: 36
Soft:
WordPress, Chrome, Android
Algorithms:
md5, 7zip
Languages:
java, php, javascript
Qianxin
奇安信威胁情报中心
Nuxt.js project
CTT Report Hub
#ParsedReport #CompletenessMedium 13-12-2023 UTG-Q-003: Supply Chain Poisoning of 7ZIP on the Microsoft App Store https://ti.qianxin.com/blog/articles/UTG-Q-003-Supply-Chain-Poisoning-of-7ZIP-on-the-Microsoft-App-Store-EN Report completeness: Medium A…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Центр анализа угроз QiAnXin обнаружил вредоносное программное обеспечение в Microsoft App Store и выяснил, что злоумышленники использовали методы социальной инженерии для распространения фишинговых ссылок, чтобы заставить жертв загрузить и открыть файлы-приманки. Этот инцидент подчеркивает плохую экологию загрузки программного обеспечения в Китае и необходимость для пользователей быть более бдительными при загрузке приложений из Microsoft App Store.
-----
Специалисты Центра анализа угроз QiAnXin обнаружили необычное поведение, при котором процесс под названием WindowsPackageManagerServer инициировал незамеченный Lumma Stealer. В ходе дальнейшего расследования в Microsoft App Store был обнаружен вредоносный установочный пакет, который представлялся как русская версия программы 7zip. О вредоносной программе быстро сообщили в Microsoft и удалили ее из App Store.
Злоумышленники использовали функцию библиотеки JPHP "jurl" для загрузки последующей полезной нагрузки с удаленного сервера. Их целью была кража различных типов файлов, включая txt, doc, rdp, key, wallet, seed, lnk и т. д. Вредоносные программы были представлены семействами Redline Malware, Lumma Stealer и Amadey. Злоумышленники также создали страницу защиты от DDoS-атак Cloudflare и десять доменов, перенаправляющих на browserneedupdate.com. Они использовали методы социальной инженерии для рассылки фишинговых ссылок, чтобы заставить жертв скачать и открыть файлы-приманки.
Согласно данным телеметрии, количество загрузок вредоносного установочного пакета из Microsoft App Store значительно увеличилось с августа, что может быть связано с уязвимостью WinRAR. Отечественные поисковые системы подверглись манипуляциям со стороны черношляпных SEO-групп, что затруднило поиск официального сайта загрузки 7zip. Это привело к тому, что пользователи стали загружать 7zip из Microsoft App Store, что привело к компрометации.
Регистрационная информация доменов, использованных злоумышленниками, относится к России и Украине, но происхождение жертв остается неизвестным. В связи с этим невозможно определить соответствующую атрибуцию. В целом, этот инцидент свидетельствует о плохой экологии загрузки программного обеспечения в Китае и о том, что пользователи должны быть более бдительными при загрузке приложений из Microsoft App Store.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Центр анализа угроз QiAnXin обнаружил вредоносное программное обеспечение в Microsoft App Store и выяснил, что злоумышленники использовали методы социальной инженерии для распространения фишинговых ссылок, чтобы заставить жертв загрузить и открыть файлы-приманки. Этот инцидент подчеркивает плохую экологию загрузки программного обеспечения в Китае и необходимость для пользователей быть более бдительными при загрузке приложений из Microsoft App Store.
-----
Специалисты Центра анализа угроз QiAnXin обнаружили необычное поведение, при котором процесс под названием WindowsPackageManagerServer инициировал незамеченный Lumma Stealer. В ходе дальнейшего расследования в Microsoft App Store был обнаружен вредоносный установочный пакет, который представлялся как русская версия программы 7zip. О вредоносной программе быстро сообщили в Microsoft и удалили ее из App Store.
Злоумышленники использовали функцию библиотеки JPHP "jurl" для загрузки последующей полезной нагрузки с удаленного сервера. Их целью была кража различных типов файлов, включая txt, doc, rdp, key, wallet, seed, lnk и т. д. Вредоносные программы были представлены семействами Redline Malware, Lumma Stealer и Amadey. Злоумышленники также создали страницу защиты от DDoS-атак Cloudflare и десять доменов, перенаправляющих на browserneedupdate.com. Они использовали методы социальной инженерии для рассылки фишинговых ссылок, чтобы заставить жертв скачать и открыть файлы-приманки.
Согласно данным телеметрии, количество загрузок вредоносного установочного пакета из Microsoft App Store значительно увеличилось с августа, что может быть связано с уязвимостью WinRAR. Отечественные поисковые системы подверглись манипуляциям со стороны черношляпных SEO-групп, что затруднило поиск официального сайта загрузки 7zip. Это привело к тому, что пользователи стали загружать 7zip из Microsoft App Store, что привело к компрометации.
Регистрационная информация доменов, использованных злоумышленниками, относится к России и Украине, но происхождение жертв остается неизвестным. В связи с этим невозможно определить соответствующую атрибуцию. В целом, этот инцидент свидетельствует о плохой экологии загрузки программного обеспечения в Китае и о том, что пользователи должны быть более бдительными при загрузке приложений из Microsoft App Store.
#ParsedReport #CompletenessLow
14-12-2023
Gaza Cybergang \| Unified Front Targeting Hamas Opposition
https://www.sentinelone.com/labs/gaza-cybergang-unified-front-targeting-hamas-opposition
Report completeness: Low
Actors/Campaigns:
Molerats (motivation: cyber_espionage)
Wirte
Aridviper
Bearded_barbie
Lastconn
Threats:
Pierogi
Micropsia
Vamp
Barbwire
Bigbang
Victims:
Israeli and palestinian entities
Industry:
Military, Government
Geo:
Ukrainian, Israel, Israeli, Syria, Palestinian
IOCs:
Domain: 20
Hash: 27
Soft:
curl
Algorithms:
base64, sha1
Languages:
pascal, python, powershell, delphi
Links:
14-12-2023
Gaza Cybergang \| Unified Front Targeting Hamas Opposition
https://www.sentinelone.com/labs/gaza-cybergang-unified-front-targeting-hamas-opposition
Report completeness: Low
Actors/Campaigns:
Molerats (motivation: cyber_espionage)
Wirte
Aridviper
Bearded_barbie
Lastconn
Threats:
Pierogi
Micropsia
Vamp
Barbwire
Bigbang
Victims:
Israeli and palestinian entities
Industry:
Military, Government
Geo:
Ukrainian, Israel, Israeli, Syria, Palestinian
IOCs:
Domain: 20
Hash: 27
Soft:
curl
Algorithms:
base64, sha1
Languages:
pascal, python, powershell, delphi
Links:
https://github.com/Gcow-Sec/GcowPublic/blob/master/APT-C-23\_report.pdfhttps://github.com/curl/curl/tree/master/libSentinelOne
Gaza Cybergang | Unified Front Targeting Hamas Opposition
Cluster of threat groups continues on trajectory to consolidate with shared victims, TTPs and evolving malware.
CTT Report Hub
#ParsedReport #CompletenessLow 14-12-2023 Gaza Cybergang \| Unified Front Targeting Hamas Opposition https://www.sentinelone.com/labs/gaza-cybergang-unified-front-targeting-hamas-opposition Report completeness: Low Actors/Campaigns: Molerats (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Gaza Cybergang - это зонтик, состоящий из множества подгрупп, которые с конца 2021 года атакуют израильские и палестинские организации, уделяя особое внимание палестинским организациям и новым бэкдорам в их арсенале вредоносного ПО. SentinelLabs продолжает следить за деятельностью Gaza Cybergang для дальнейшего расширения коллективных знаний о динамике развития группы.
-----
Кибербанда Газы - это зонтик, состоящий из нескольких подгрупп, которые с конца 2021 года атакуют израильские и палестинские организации. В большинстве случаев используются разновидности вредоносного ПО семейства Micropsia, при этом документы-обманки пишутся на арабском языке и заманивают цели политическими темами. В феврале 2020 года бэкдор Pierogi и его инфраструктура были связаны с Arid Viper, а самый последний вариант Pierogi - Pierogi++, впервые замеченный в 2022 и 2023 годах.
Бэкдор Pierogi++ реализован на C++ и маскируется под артефакты Windows, встроенные в макросы или Base64-кодировку, взаимодействуя с сервером C2 с помощью библиотеки curl. Большинство C2-серверов зарегистрированы на Namecheap и размещены компанией Stark Industries Solutions LTD. Предполагается, что кластеры TA402, WIRTE и Gaza Cybergang связаны и пересекаются друг с другом. Последние данные указывают на использование бэкдора BarbWire в кампании, направленной на израильских чиновников в правоохранительных органах, армии и экстренных службах.
Анализ вредоносного ПО Gaza Cybergang выявил устойчивую направленность на борьбу с палестинскими организациями, причем с начала войны между Израилем и Хамасом динамика развития не претерпела существенных изменений. Группа продолжает обновлять свой арсенал вредоносного ПО, добавляя новые бэкдоры, трансформируя старые реализации в новые инструменты, обмениваясь ТТП, вредоносным ПО и жертвами, что позволяет предположить, что она представляет собой единый фронт борьбы с интересами ХАМАС.
Вполне вероятно, что группа проходит процесс консолидации, включающий формирование внутренних и/или внешних линий поставок вредоносного ПО и упорядочивание поставок от внешних поставщиков. SentinelLabs продолжает следить за деятельностью Gaza Cybergang, чтобы расширить коллективные знания о динамике развития группы и предоставить индикаторы, которые будут полезны командам безопасности, защищающим свои организации и частных лиц от атак.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Gaza Cybergang - это зонтик, состоящий из множества подгрупп, которые с конца 2021 года атакуют израильские и палестинские организации, уделяя особое внимание палестинским организациям и новым бэкдорам в их арсенале вредоносного ПО. SentinelLabs продолжает следить за деятельностью Gaza Cybergang для дальнейшего расширения коллективных знаний о динамике развития группы.
-----
Кибербанда Газы - это зонтик, состоящий из нескольких подгрупп, которые с конца 2021 года атакуют израильские и палестинские организации. В большинстве случаев используются разновидности вредоносного ПО семейства Micropsia, при этом документы-обманки пишутся на арабском языке и заманивают цели политическими темами. В феврале 2020 года бэкдор Pierogi и его инфраструктура были связаны с Arid Viper, а самый последний вариант Pierogi - Pierogi++, впервые замеченный в 2022 и 2023 годах.
Бэкдор Pierogi++ реализован на C++ и маскируется под артефакты Windows, встроенные в макросы или Base64-кодировку, взаимодействуя с сервером C2 с помощью библиотеки curl. Большинство C2-серверов зарегистрированы на Namecheap и размещены компанией Stark Industries Solutions LTD. Предполагается, что кластеры TA402, WIRTE и Gaza Cybergang связаны и пересекаются друг с другом. Последние данные указывают на использование бэкдора BarbWire в кампании, направленной на израильских чиновников в правоохранительных органах, армии и экстренных службах.
Анализ вредоносного ПО Gaza Cybergang выявил устойчивую направленность на борьбу с палестинскими организациями, причем с начала войны между Израилем и Хамасом динамика развития не претерпела существенных изменений. Группа продолжает обновлять свой арсенал вредоносного ПО, добавляя новые бэкдоры, трансформируя старые реализации в новые инструменты, обмениваясь ТТП, вредоносным ПО и жертвами, что позволяет предположить, что она представляет собой единый фронт борьбы с интересами ХАМАС.
Вполне вероятно, что группа проходит процесс консолидации, включающий формирование внутренних и/или внешних линий поставок вредоносного ПО и упорядочивание поставок от внешних поставщиков. SentinelLabs продолжает следить за деятельностью Gaza Cybergang, чтобы расширить коллективные знания о динамике развития группы и предоставить индикаторы, которые будут полезны командам безопасности, защищающим свои организации и частных лиц от атак.