#ParsedReport #CompletenessMedium
14-12-2023
Rhadamanthys v0.5.0 a deep dive into the stealers components. IOC/Analyzed samples
https://research.checkpoint.com/2023/rhadamanthys-v0-5-0-a-deep-dive-into-the-stealers-components
Report completeness: Medium
Threats:
Rhadamanthys
Hidden_bee
Heavens_gate_technique
Process_injection_technique
Teamviewer_tool
Putty_tool
Infostealer.wins
Geo:
Chinese
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1090, T1036, T1137, T1003, T1056, T1053, T1082, T1086, T1115, T1071, have more...
IOCs:
Hash: 20
File: 40
Path: 4
Soft:
Telegram, Discord, Chrome, KeePass, WinSCP, K-Meleon, FoxMail, Internet Explorer, CoreFTP, 360Browser, have more...
Wallets:
tronlink, tokenpocket, kardiachain, terra_station, metamask, dashcore, atomicdex, atomicwallet, bitcoincore, defichain-electrum, have more...
Crypto:
binance, dogecoin, monero
Algorithms:
rc4, sha1, aes, zip
Win API:
WaitForSingleObject, CloseHandle, VirtualAlloc, VirtualFree, VirtualProtect, HeapFree, HeapDestroy, LocalAlloc, LocalFree, TlsAlloc, have more...
Languages:
dotnet, jscript, lua, powershell
Platforms:
x64, x86, amd64
Links:
14-12-2023
Rhadamanthys v0.5.0 a deep dive into the stealers components. IOC/Analyzed samples
https://research.checkpoint.com/2023/rhadamanthys-v0-5-0-a-deep-dive-into-the-stealers-components
Report completeness: Medium
Threats:
Rhadamanthys
Hidden_bee
Heavens_gate_technique
Process_injection_technique
Teamviewer_tool
Putty_tool
Infostealer.wins
Geo:
Chinese
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1090, T1036, T1137, T1003, T1056, T1053, T1082, T1086, T1115, T1071, have more...
IOCs:
Hash: 20
File: 40
Path: 4
Soft:
Telegram, Discord, Chrome, KeePass, WinSCP, K-Meleon, FoxMail, Internet Explorer, CoreFTP, 360Browser, have more...
Wallets:
tronlink, tokenpocket, kardiachain, terra_station, metamask, dashcore, atomicdex, atomicwallet, bitcoincore, defichain-electrum, have more...
Crypto:
binance, dogecoin, monero
Algorithms:
rc4, sha1, aes, zip
Win API:
WaitForSingleObject, CloseHandle, VirtualAlloc, VirtualFree, VirtualProtect, HeapFree, HeapDestroy, LocalAlloc, LocalFree, TlsAlloc, have more...
Languages:
dotnet, jscript, lua, powershell
Platforms:
x64, x86, amd64
Links:
https://github.com/mandiant/flare-flosshttps://github.com/hayasec/360SafeBrowsergetpass/blob/main/3Bpass/Program.cshttps://github.com/hasherezade/hidden\_bee\_tools/releases/https://gist.github.com/hasherezade/ac63c0cbe7855276780126be006f7304https://github.com/hasherezade/hidden\_bee\_tools/blob/17ed1f325b0918fc5e6c6cf0221e7b10084f67ea/bee\_lvl2\_converter/xs\_exe.h#L86https://gist.github.com/hasherezade/c7701821784c436d40d1442c1a623614https://github.com/hasherezade/pe-sievehttps://github.com/DaveGamble/cJSONhttps://gist.github.com/hasherezade/51cb827b101cd31ef3061543d001b190https://gist.github.com/hasherezade/47fa641d054d82de4059ff36c7e99918https://gist.github.com/hasherezade/fb91598f6de62bdecf06edf9606a54fbhttps://github.com/ARMmbed/mbed-crypto/blob/8cc246c6d33a139914d3070c6cf630aea6806aa4/library/ecp\_curves.c#L686C48-L686C80https://github.com/ARMmbed/mbed-crypto/blob/development/library/ecp\_curves.c#L737https://github.com/Mbed-TLS/mbedtlshttps://github.com/hasherezade/tiny\_tracerCheck Point Research
Rhadamanthys v0.5.0 - a deep dive into the stealer’s components - Check Point Research
Research by: hasherezade Highlights Introduction Rhadamanthys is an information stealer with a diverse set of modules and an interesting multilayered design. In our last article on Rhadamanthys [1], we focused on the custom executable formats used by this…
CTT Report Hub
#ParsedReport #CompletenessMedium 14-12-2023 Rhadamanthys v0.5.0 a deep dive into the stealers components. IOC/Analyzed samples https://research.checkpoint.com/2023/rhadamanthys-v0-5-0-a-deep-dive-into-the-stealers-components Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Rhadamanthys - это мощная и опасная вредоносная программа, продающаяся на черном рынке, которая регулярно обновляется и обладает функциями, позволяющими красть данные с зараженных машин. Он способен запускать LUA-скрипты, сценарии PowerShell и сборки .NET, а также имеет систему плагинов. Он включает в себя коллекцию встроенных похитителей и поддерживает до 100 LUA-расширений. Кроме того, он включает статически подключаемую библиотеку для SQLite и использует статически подключаемую библиотеку с эллиптическими кривыми.
-----
Rhadamanthys - это сложная и постоянно развивающаяся многоуровневая вредоносная программа, которая продается на черном рынке и часто обновляется. В недавно выпущенной версии 0.5.0 расширены возможности кражи и добавлены функции шпионажа общего назначения. Кроме того, в ней реализована система плагинов, позволяющая расширить ее возможности в соответствии с потребностями конкретного распространителя. Он способен запускать LUA-скрипты, PowerShell-скрипты и сборки .NET. Он также оснащен модулями для поддержки вторичной разработки пользовательских плагинов. В зависимости от команды, передаваемой с C2, вредоносная программа может выдавать себя за несколько приложений.
Вредоносная программа использует пользовательские форматы исполняемых файлов (XS1 и XS2) и проверяет имя исполняемого файла, чтобы убедиться, что он анализируется, и в случае положительного ответа выходит из программы. Добавляется новый раздел .textbss, который во время выполнения заполняется шеллкодом, используемым для распаковки и загрузки первого модуля из пакета. В функции инициализации сначала выделяется TLS, а значение, полученное от TlsAlloc, сохраняется в глобальной переменной. Затем вредоносная программа выделяет пользовательскую структуру с буфером и присоединяет ее к TLS. Алгоритмы, используемые для деобфускации строк, отличаются на разных этапах работы вредоносной программы.
Роль модулей, задействованных в Stage 2, не изменилась с момента выхода предыдущей версии. Операцию загрузки выполняет модуль netclient, а вредоносная программа внедряется во вновь созданный процесс. В зависимости от аргумента команды модуль может следовать одному из 4 различных путей выполнения. Вредоносная программа создает новый 64-битный процесс и использует технику Heaven's Gate для внедрения функций. Первым элементом, загружаемым из нового пакета, является шеллкод, который расшифровывает и распаковывает остальную часть загруженного пакета и извлекает главный модуль кражи. В конце концов, выполнение достигает главного модуля похитителя: coredll.bin (в формате XS2). Он координирует всю работу, собирает результаты и сообщает их C2.
Вредоносная программа поставляется с набором встроенных краж, которые могут быть включены или отключены в зависимости от конфигурации. Существуют две различные группы похитителей: пассивные и активные. Пассивные крадуны для получения сохраненных учетных данных используют чтение и разбор файлов, принадлежащих определенным приложениям. Активные похитители открывают запущенные процессы и внедряют дополнительные компоненты, такие как KeePassHax.dll, в процесс KeePass, чтобы украсть учетные данные из этого менеджера паролей с открытым исходным кодом. Кроме того, вредоносная программа поддерживает до 100 LUA-расширений, которые загружаются из пакета и используются для выполнения дополнительного набора крадников.
Помимо запуска модулей, встроенных в пакет, и отправки результатов, вредоносная программа устанавливает соединение с C2 для получения дополнительных инструкций. По запросу он может подбрасывать и запускать дополнительные исполняемые файлы или выполнять скрипты через другие модули. Содержимое, полученное от C2, передается в переменную и, в зависимости от специфики конкретной команды, может быть сохранено в файл или в именованное отображение.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Rhadamanthys - это мощная и опасная вредоносная программа, продающаяся на черном рынке, которая регулярно обновляется и обладает функциями, позволяющими красть данные с зараженных машин. Он способен запускать LUA-скрипты, сценарии PowerShell и сборки .NET, а также имеет систему плагинов. Он включает в себя коллекцию встроенных похитителей и поддерживает до 100 LUA-расширений. Кроме того, он включает статически подключаемую библиотеку для SQLite и использует статически подключаемую библиотеку с эллиптическими кривыми.
-----
Rhadamanthys - это сложная и постоянно развивающаяся многоуровневая вредоносная программа, которая продается на черном рынке и часто обновляется. В недавно выпущенной версии 0.5.0 расширены возможности кражи и добавлены функции шпионажа общего назначения. Кроме того, в ней реализована система плагинов, позволяющая расширить ее возможности в соответствии с потребностями конкретного распространителя. Он способен запускать LUA-скрипты, PowerShell-скрипты и сборки .NET. Он также оснащен модулями для поддержки вторичной разработки пользовательских плагинов. В зависимости от команды, передаваемой с C2, вредоносная программа может выдавать себя за несколько приложений.
Вредоносная программа использует пользовательские форматы исполняемых файлов (XS1 и XS2) и проверяет имя исполняемого файла, чтобы убедиться, что он анализируется, и в случае положительного ответа выходит из программы. Добавляется новый раздел .textbss, который во время выполнения заполняется шеллкодом, используемым для распаковки и загрузки первого модуля из пакета. В функции инициализации сначала выделяется TLS, а значение, полученное от TlsAlloc, сохраняется в глобальной переменной. Затем вредоносная программа выделяет пользовательскую структуру с буфером и присоединяет ее к TLS. Алгоритмы, используемые для деобфускации строк, отличаются на разных этапах работы вредоносной программы.
Роль модулей, задействованных в Stage 2, не изменилась с момента выхода предыдущей версии. Операцию загрузки выполняет модуль netclient, а вредоносная программа внедряется во вновь созданный процесс. В зависимости от аргумента команды модуль может следовать одному из 4 различных путей выполнения. Вредоносная программа создает новый 64-битный процесс и использует технику Heaven's Gate для внедрения функций. Первым элементом, загружаемым из нового пакета, является шеллкод, который расшифровывает и распаковывает остальную часть загруженного пакета и извлекает главный модуль кражи. В конце концов, выполнение достигает главного модуля похитителя: coredll.bin (в формате XS2). Он координирует всю работу, собирает результаты и сообщает их C2.
Вредоносная программа поставляется с набором встроенных краж, которые могут быть включены или отключены в зависимости от конфигурации. Существуют две различные группы похитителей: пассивные и активные. Пассивные крадуны для получения сохраненных учетных данных используют чтение и разбор файлов, принадлежащих определенным приложениям. Активные похитители открывают запущенные процессы и внедряют дополнительные компоненты, такие как KeePassHax.dll, в процесс KeePass, чтобы украсть учетные данные из этого менеджера паролей с открытым исходным кодом. Кроме того, вредоносная программа поддерживает до 100 LUA-расширений, которые загружаются из пакета и используются для выполнения дополнительного набора крадников.
Помимо запуска модулей, встроенных в пакет, и отправки результатов, вредоносная программа устанавливает соединение с C2 для получения дополнительных инструкций. По запросу он может подбрасывать и запускать дополнительные исполняемые файлы или выполнять скрипты через другие модули. Содержимое, полученное от C2, передается в переменную и, в зависимости от специфики конкретной команды, может быть сохранено в файл или в именованное отображение.
#ParsedReport #CompletenessMedium
15-12-2023
PikaBot distributed via malicious search ads
https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-ads
Report completeness: Medium
Actors/Campaigns:
Ta577
Threats:
Pikabot
Fakebat
Qakbot
Matanbuchus
Cobalt_strike
Icedid
Systembc
Darkgate
Anydesk_tool
Victims:
Businesses, victims of malspam campaigns, users tricked to download malicious javascript, users exposed to malicious ads
IOCs:
Path: 2
Url: 1
File: 1
Domain: 3
Hash: 3
IP: 9
Soft:
curl, Zoom, Slack
Algorithms:
zip
Languages:
javascript
15-12-2023
PikaBot distributed via malicious search ads
https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-ads
Report completeness: Medium
Actors/Campaigns:
Ta577
Threats:
Pikabot
Fakebat
Qakbot
Matanbuchus
Cobalt_strike
Icedid
Systembc
Darkgate
Anydesk_tool
Victims:
Businesses, victims of malspam campaigns, users tricked to download malicious javascript, users exposed to malicious ads
IOCs:
Path: 2
Url: 1
File: 1
Domain: 3
Hash: 3
IP: 9
Soft:
curl, Zoom, Slack
Algorithms:
zip
Languages:
javascript
ThreatDown by Malwarebytes
PikaBot distributed via malicious search ads - ThreatDown by Malwarebytes
PikaBot, a stealthy malware normally distributed via malspam is now being spread via malicious ads.
CTT Report Hub
#ParsedReport #CompletenessMedium 15-12-2023 PikaBot distributed via malicious search ads https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-ads Report completeness: Medium Actors/Campaigns: Ta577 Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Вредоносные рекламные объявления, в частности вредоносная программа PikaBot, все чаще используются для атак на предприятия через поисковые системы, что затрудняет их обнаружение и предотвращение.
-----
В последний год вредоносная реклама (malvertising) все чаще используется для распространения вредоносных программ, нацеленных на бизнес, особенно через поисковые системы. Эта форма браузерных атак очень успешна благодаря специализированным сервисам, которые помогают распространителям и филиалам вредоносного ПО обходить меры безопасности Google, создавать приманки и приобретать новых жертв. Недавно исследователи заметили, что PikaBot, новое семейство вредоносных программ, распространяется через цепочки вредоносной рекламы, ранее использовавшиеся для распространения FakeBat.
PikaBot связан с агентом угроз, известным как TA577, который был связан с распространением других полезных нагрузок, таких как QakBot, IcedID, SystemBC и Cobalt Strike, а также программ-вымогателей. Обычно он распространяется через кампании вредоносного спама и начинается с перехваченного потока сообщений электронной почты, содержащего ссылку на внешний веб-сайт. После того как пользователи переходят по ссылке, их обманом заставляют загрузить zip-архив, содержащий вредоносный JavaScript. Этот JavaScript создает произвольную структуру каталогов, в которой с помощью утилиты curl извлекает вредоносную полезную нагрузку с внешнего веб-сайта.
Загрузчик PikaBot скрывает свою инъекцию в легитимный процесс SearchProtocolHost.exe, используя косвенные вызовы системы, что делает вредоносную программу очень скрытной. Кроме того, кампания нацелена на поиск в Google удаленного приложения AnyDesk и выдает себя за бренд AnyDesk, используя поддельную личность по имени Manca Marina. Угрожающие лица с помощью JavaScript определяют, запущена ли у пользователя виртуальная машина, а затем перенаправляют его на главную целевую страницу (ложный сайт AnyDesk).
Используя поисковые системы и покупая рекламу, злоумышленники могут достигать своих целей, не требуя от них посещения взломанного сайта. Это представляет собой серьезный риск для предприятий, поскольку его трудно обнаружить и предотвратить. Чтобы защититься от таких атак, компаниям следует разрешать конечным пользователям устанавливать приложения только через собственные доверенные репозитории. Malwarebytes обнаружила вредоносные программы установки MSI, а также веб-инфраструктуру, используемую в этих рекламных кампаниях, и сообщила о вредоносной рекламе и URL-адресах загрузки в Google и Dropbox соответственно.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Вредоносные рекламные объявления, в частности вредоносная программа PikaBot, все чаще используются для атак на предприятия через поисковые системы, что затрудняет их обнаружение и предотвращение.
-----
В последний год вредоносная реклама (malvertising) все чаще используется для распространения вредоносных программ, нацеленных на бизнес, особенно через поисковые системы. Эта форма браузерных атак очень успешна благодаря специализированным сервисам, которые помогают распространителям и филиалам вредоносного ПО обходить меры безопасности Google, создавать приманки и приобретать новых жертв. Недавно исследователи заметили, что PikaBot, новое семейство вредоносных программ, распространяется через цепочки вредоносной рекламы, ранее использовавшиеся для распространения FakeBat.
PikaBot связан с агентом угроз, известным как TA577, который был связан с распространением других полезных нагрузок, таких как QakBot, IcedID, SystemBC и Cobalt Strike, а также программ-вымогателей. Обычно он распространяется через кампании вредоносного спама и начинается с перехваченного потока сообщений электронной почты, содержащего ссылку на внешний веб-сайт. После того как пользователи переходят по ссылке, их обманом заставляют загрузить zip-архив, содержащий вредоносный JavaScript. Этот JavaScript создает произвольную структуру каталогов, в которой с помощью утилиты curl извлекает вредоносную полезную нагрузку с внешнего веб-сайта.
Загрузчик PikaBot скрывает свою инъекцию в легитимный процесс SearchProtocolHost.exe, используя косвенные вызовы системы, что делает вредоносную программу очень скрытной. Кроме того, кампания нацелена на поиск в Google удаленного приложения AnyDesk и выдает себя за бренд AnyDesk, используя поддельную личность по имени Manca Marina. Угрожающие лица с помощью JavaScript определяют, запущена ли у пользователя виртуальная машина, а затем перенаправляют его на главную целевую страницу (ложный сайт AnyDesk).
Используя поисковые системы и покупая рекламу, злоумышленники могут достигать своих целей, не требуя от них посещения взломанного сайта. Это представляет собой серьезный риск для предприятий, поскольку его трудно обнаружить и предотвратить. Чтобы защититься от таких атак, компаниям следует разрешать конечным пользователям устанавливать приложения только через собственные доверенные репозитории. Malwarebytes обнаружила вредоносные программы установки MSI, а также веб-инфраструктуру, используемую в этих рекламных кампаниях, и сообщила о вредоносной рекламе и URL-адресах загрузки в Google и Dropbox соответственно.
#ParsedReport #CompletenessHigh
15-12-2023
From Macro to Payload: Decrypting the Sidewinder Cyber Intrusion Tactics
https://www.cyfirma.com/outofband/from-macro-to-payload-decrypting-the-sidewinder-cyber-intrusion-tactics
Report completeness: High
Actors/Campaigns:
Sidewinder
Diamondback
Babyelephant
Threats:
Spear-phishing_technique
Metasploit_tool
Powershell_shell_tool
Thor
Victims:
Nepalese government officials
Industry:
Government, Telco, Education, Healthcare, Military
Geo:
Bhutan, Asia, Asian, Italy, Nepal
TTPs:
Tactics: 1
Technics: 3
IOCs:
File: 60
IP: 1
Url: 4
Hash: 4
Command: 1
Path: 1
Soft:
Microsoft Word
Algorithms:
sha256, exhibit, md5, zip
Win API:
GetObject
Languages:
swift, cscript
Platforms:
x86
15-12-2023
From Macro to Payload: Decrypting the Sidewinder Cyber Intrusion Tactics
https://www.cyfirma.com/outofband/from-macro-to-payload-decrypting-the-sidewinder-cyber-intrusion-tactics
Report completeness: High
Actors/Campaigns:
Sidewinder
Diamondback
Babyelephant
Threats:
Spear-phishing_technique
Metasploit_tool
Powershell_shell_tool
Thor
Victims:
Nepalese government officials
Industry:
Government, Telco, Education, Healthcare, Military
Geo:
Bhutan, Asia, Asian, Italy, Nepal
TTPs:
Tactics: 1
Technics: 3
IOCs:
File: 60
IP: 1
Url: 4
Hash: 4
Command: 1
Path: 1
Soft:
Microsoft Word
Algorithms:
sha256, exhibit, md5, zip
Win API:
GetObject
Languages:
swift, cscript
Platforms:
x86
CYFIRMA
Decoding Sidewinder Cyber Intrusion Tactics: From Macro to Payload
Explore the intricacies of Sidewinder cyber intrusion tactics, decrypting the journey from macro to payload. Gain insights into evolving cyber threats and intrusion methods for enhanced cybersecurity preparedness.
CTT Report Hub
#ParsedReport #CompletenessHigh 15-12-2023 From Macro to Payload: Decrypting the Sidewinder Cyber Intrusion Tactics https://www.cyfirma.com/outofband/from-macro-to-payload-decrypting-the-sidewinder-cyber-intrusion-tactics Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: В этом отчете подробно рассматривается сложная киберугроза, организованная группой Sidewinder. Атака начинается с вредоносного документа Word, который при открытии запускает сложную последовательность событий, включающую создание и выполнение различных скриптов и создание механизмов персистентности. Основной полезной нагрузкой является Conhost.exe, который служит шлюзом для несанкционированного доступа, подключаясь к командно-контрольному (C2) серверу противника. Вредоносный документ, а также бэкдор Nim в качестве конечной полезной нагрузки приписываются группе Sidewinder, и их деятельность можно проследить с 2012 года.
-----
Группа Sidewinder - это изощренный субъект киберугроз, происходящий из Южной Азии.
Группа атаковала различные государственные структуры Южной Азии, распространяя вредоносные документы, замаскированные под сообщения из офиса премьер-министра Непала.
Вредоносный документ при открытии запускает сложную последовательность событий, включающую создание и выполнение различных скриптов, а также создание механизмов персистенции.
Основной полезной нагрузкой является файл Conhost.exe, служащий шлюзом для несанкционированного доступа и подключающийся к командно-контрольному (C2) серверу противника.
Вредоносная программа имеет механизм проактивной защиты, который обнаруживает и выходит из системы при обнаружении инструментов анализа.
Группа Sidewinder действует с 2012 года и обычно совершает атаки на правительственные и военные организации.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: В этом отчете подробно рассматривается сложная киберугроза, организованная группой Sidewinder. Атака начинается с вредоносного документа Word, который при открытии запускает сложную последовательность событий, включающую создание и выполнение различных скриптов и создание механизмов персистентности. Основной полезной нагрузкой является Conhost.exe, который служит шлюзом для несанкционированного доступа, подключаясь к командно-контрольному (C2) серверу противника. Вредоносный документ, а также бэкдор Nim в качестве конечной полезной нагрузки приписываются группе Sidewinder, и их деятельность можно проследить с 2012 года.
-----
Группа Sidewinder - это изощренный субъект киберугроз, происходящий из Южной Азии.
Группа атаковала различные государственные структуры Южной Азии, распространяя вредоносные документы, замаскированные под сообщения из офиса премьер-министра Непала.
Вредоносный документ при открытии запускает сложную последовательность событий, включающую создание и выполнение различных скриптов, а также создание механизмов персистенции.
Основной полезной нагрузкой является файл Conhost.exe, служащий шлюзом для несанкционированного доступа и подключающийся к командно-контрольному (C2) серверу противника.
Вредоносная программа имеет механизм проактивной защиты, который обнаруживает и выходит из системы при обнаружении инструментов анализа.
Группа Sidewinder действует с 2012 года и обычно совершает атаки на правительственные и военные организации.
#ParsedReport #CompletenessLow
16-12-2023
Imperva Detects Undocumented 8220 Gang Activities
https://www.imperva.com/blog/imperva-detects-undocumented-8220-gang-activities
Report completeness: Low
Actors/Campaigns:
8220_gang
Threats:
Log4shell_vuln
Agent_tesla
Victims:
Healthcare, telecommunications, and financial services targets in the united states, south africa, spain, columbia, and mexico
Industry:
Telco, Financial, Healthcare
Geo:
Chinese, Spain, Russia, Columbia, Mexico, Africa
CVEs:
CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)
CVE-2019-2725 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0)
- oracle peoplesoft enterprise peopletools (8.56, 8.57, 8.58)
- oracle agile plm (9.3.3, 9.3.4, 9.3.5)
- oracle vm virtualbox (<6.1.2, <6.0.16, <5.2.36)
- oracle tape library acsls (8.5)
have more...
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2017-3506 [Vulners]
CVSS V3.1: 7.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.4
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.2.1.0.0, 12.1.3.0.0, 12.2.1.2.0, 10.3.6.0.0, 12.2.1.1.0)
CVE-2020-14882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)
CVE-2020-14883 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)
CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
Soft:
Drupal, Hadoop, Apache Struts2, Confluence, Oracle WebLogic Server, cURL, Apache Log4j
Algorithms:
base64
Win Services:
WebClient
Languages:
java, powershell, python
16-12-2023
Imperva Detects Undocumented 8220 Gang Activities
https://www.imperva.com/blog/imperva-detects-undocumented-8220-gang-activities
Report completeness: Low
Actors/Campaigns:
8220_gang
Threats:
Log4shell_vuln
Agent_tesla
Victims:
Healthcare, telecommunications, and financial services targets in the united states, south africa, spain, columbia, and mexico
Industry:
Telco, Financial, Healthcare
Geo:
Chinese, Spain, Russia, Columbia, Mexico, Africa
CVEs:
CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)
CVE-2019-2725 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0)
- oracle peoplesoft enterprise peopletools (8.56, 8.57, 8.58)
- oracle agile plm (9.3.3, 9.3.4, 9.3.5)
- oracle vm virtualbox (<6.1.2, <6.0.16, <5.2.36)
- oracle tape library acsls (8.5)
have more...
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2017-3506 [Vulners]
CVSS V3.1: 7.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.4
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.2.1.0.0, 12.1.3.0.0, 12.2.1.2.0, 10.3.6.0.0, 12.2.1.1.0)
CVE-2020-14882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)
CVE-2020-14883 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)
CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
Soft:
Drupal, Hadoop, Apache Struts2, Confluence, Oracle WebLogic Server, cURL, Apache Log4j
Algorithms:
base64
Win Services:
WebClient
Languages:
java, powershell, python
Blog
Imperva Detects Undocumented 8220 Gang Activities | Imperva
Learn about undocumented activity from the 8220 gang including attack vectors used and indicators of compromise (IoCs) from recent campaigns.
CTT Report Hub
#ParsedReport #CompletenessLow 16-12-2023 Imperva Detects Undocumented 8220 Gang Activities https://www.imperva.com/blog/imperva-detects-undocumented-8220-gang-activities Report completeness: Low Actors/Campaigns: 8220_gang Threats: Log4shell_vuln Agent_tesla…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Банда 8220 - известный угрожающий агент китайского происхождения, использующий общедоступные эксплойты для уязвимостей, чтобы эксплуатировать легкие цели, и известный своими вариантами вредоносного ПО AgentTesla, rhajk и nasqa. Они были замечены в использовании двух различных цепочек гаджетов и разнообразных методов загрузки и выполнения файлов второй фазы. Атрибуция группы облегчается благодаря постоянному использованию ими IoC и TTP, а также их привычке повторно использовать IP-адреса, веб-серверы, полезную нагрузку и инструменты атаки.
-----
Банда 8220 - это известный угрожающий агент китайского происхождения, впервые выявленный Cisco Talos в 2017 году. С тех пор появилось множество обновлений о развивающихся тактиках, методах и процедурах (TTP) группы. Imperva Threat Research обнаружила ранее незадокументированную активность группы, включая эксплуатацию уязвимостей Confluence и Log4j, а также уязвимостей Oracle WebLogic CVE-2017-3506 и CVE-2020-14883. Группа, судя по всему, выбирает цели оппортунистически, без четкой тенденции по странам или отраслям, и известно, что она использует вредоносное ПО для криптоджекинга как для веб-серверов Windows, так и для Linux.
Imperva заметила, что группа использует две различные цепочки гаджетов, которые позволяют загрузить XML-файл или выполнить Java-код. Группа также использует различные методы для загрузки и выполнения файлов второй фазы, такие как cURL, wget, lwp-download и python urllib (в кодировке base64). После заражения хосты инфицируются известными вариантами вредоносного ПО AgentTesla, rhajk и nasqa.
Группу считают неискушенной, поскольку она использует простые, общедоступные эксплойты для борьбы с известными уязвимостями и эксплуатации легких целей. Однако постоянное использование ими легко отслеживаемых индикаторов компрометации (IoC) и TTP, а также их привычка повторять IP-адреса, веб-серверы, полезную нагрузку и инструменты атаки делают приписывание атак этой группе относительно простым.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Банда 8220 - известный угрожающий агент китайского происхождения, использующий общедоступные эксплойты для уязвимостей, чтобы эксплуатировать легкие цели, и известный своими вариантами вредоносного ПО AgentTesla, rhajk и nasqa. Они были замечены в использовании двух различных цепочек гаджетов и разнообразных методов загрузки и выполнения файлов второй фазы. Атрибуция группы облегчается благодаря постоянному использованию ими IoC и TTP, а также их привычке повторно использовать IP-адреса, веб-серверы, полезную нагрузку и инструменты атаки.
-----
Банда 8220 - это известный угрожающий агент китайского происхождения, впервые выявленный Cisco Talos в 2017 году. С тех пор появилось множество обновлений о развивающихся тактиках, методах и процедурах (TTP) группы. Imperva Threat Research обнаружила ранее незадокументированную активность группы, включая эксплуатацию уязвимостей Confluence и Log4j, а также уязвимостей Oracle WebLogic CVE-2017-3506 и CVE-2020-14883. Группа, судя по всему, выбирает цели оппортунистически, без четкой тенденции по странам или отраслям, и известно, что она использует вредоносное ПО для криптоджекинга как для веб-серверов Windows, так и для Linux.
Imperva заметила, что группа использует две различные цепочки гаджетов, которые позволяют загрузить XML-файл или выполнить Java-код. Группа также использует различные методы для загрузки и выполнения файлов второй фазы, такие как cURL, wget, lwp-download и python urllib (в кодировке base64). После заражения хосты инфицируются известными вариантами вредоносного ПО AgentTesla, rhajk и nasqa.
Группу считают неискушенной, поскольку она использует простые, общедоступные эксплойты для борьбы с известными уязвимостями и эксплуатации легких целей. Однако постоянное использование ими легко отслеживаемых индикаторов компрометации (IoC) и TTP, а также их привычка повторять IP-адреса, веб-серверы, полезную нагрузку и инструменты атаки делают приписывание атак этой группе относительно простым.
#ParsedReport #CompletenessLow
16-12-2023
Toward Ending the Domain Wars: Early Detection of Malicious Stockpiled Domains
https://unit42.paloaltonetworks.com/detecting-malicious-stockpiled-domains
Report completeness: Low
Threats:
Fastflux_technique
Cloaking_technique
Industry:
Retail, Financial
ChatGPT TTPs:
T1514, T1599, T1595, T1595, T1590, T1499
IOCs:
Domain: 21
File: 1
Algorithms:
sha1
Languages:
javascript
16-12-2023
Toward Ending the Domain Wars: Early Detection of Malicious Stockpiled Domains
https://unit42.paloaltonetworks.com/detecting-malicious-stockpiled-domains
Report completeness: Low
Threats:
Fastflux_technique
Cloaking_technique
Industry:
Retail, Financial
ChatGPT TTPs:
do not use without manual checkT1514, T1599, T1595, T1595, T1590, T1499
IOCs:
Domain: 21
File: 1
Algorithms:
sha1
Languages:
javascript
Unit 42
Toward Ending the Domain Wars: Early Detection of Malicious Stockpiled Domains
Using machine learning to target stockpiled malicious domains, the results of our detection pipeline tool highlight campaigns from phishing to scams.
CTT Report Hub
#ParsedReport #CompletenessLow 16-12-2023 Toward Ending the Domain Wars: Early Detection of Malicious Stockpiled Domains https://unit42.paloaltonetworks.com/detecting-malicious-stockpiled-domains Report completeness: Low Threats: Fastflux_technique Cl…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Исследователи разработали детектор для выявления вредоносных доменов, который использует данные из журналов прозрачности сертификатов и данные pDNS для выявления фишинговых и других вредоносных доменов, зарегистрированных в массовом порядке.
-----
В последнее время злоумышленники все чаще приобретают большое количество доменных имен и создают свою инфраструктуру в автоматическом режиме, что затрудняет защитникам безопасности обнаружение и реагирование на их кампании. Чтобы противостоять этому, исследователи Palo Alto Networks создали детектор для выявления вредоносных доменов, который использует более 300 функций для обработки терабайтов данных и миллиардов пассивных записей DNS (pDNS) и сертификатов. По состоянию на июль 2023 года конвейер обнаружения выявил 1 114 499 уникальных корневых доменных имен, включая 45 862 вредоносных, 8 989 фишинговых и 844 C2-домена.
Детектор использовал данные из журналов прозрачности сертификатов и данные pDNS для выявления фишинговых и других вредоносных доменов, зарегистрированных в массовом порядке. Для обучения классификатора машинного обучения Random Forest он использовал такие характеристики, как случайность доменного имени, количество слов, кодировка TLD и оценки репутации, извлеченные из данных. Классификатор показал точность 99 % при 48 % запоминания.
Клиенты Palo Alto Networks получают защиту от накопленных доменов благодаря использованию автоматизированного классификатора в нескольких облачных сервисах безопасности. Модель обнаружения смогла выявить вредоносные домены в среднем на 32,3 дня раньше, чем их смогли обнаружить поставщики VirusTotal.
Борьба с доменными войнами - дело рук глобального сообщества. Исследователи показали, что данные pDNS и строки доменных имен могут быть использованы для обнаружения вредоносных доменов. Объединение нескольких наборов данных, таких как pDNS и журналы сертификатов, позволяет обнаруживать накопленные домены независимо от времени регистрации, что дает возможность защитникам безопасности раньше обнаруживать вредоносные кампании.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: Исследователи разработали детектор для выявления вредоносных доменов, который использует данные из журналов прозрачности сертификатов и данные pDNS для выявления фишинговых и других вредоносных доменов, зарегистрированных в массовом порядке.
-----
В последнее время злоумышленники все чаще приобретают большое количество доменных имен и создают свою инфраструктуру в автоматическом режиме, что затрудняет защитникам безопасности обнаружение и реагирование на их кампании. Чтобы противостоять этому, исследователи Palo Alto Networks создали детектор для выявления вредоносных доменов, который использует более 300 функций для обработки терабайтов данных и миллиардов пассивных записей DNS (pDNS) и сертификатов. По состоянию на июль 2023 года конвейер обнаружения выявил 1 114 499 уникальных корневых доменных имен, включая 45 862 вредоносных, 8 989 фишинговых и 844 C2-домена.
Детектор использовал данные из журналов прозрачности сертификатов и данные pDNS для выявления фишинговых и других вредоносных доменов, зарегистрированных в массовом порядке. Для обучения классификатора машинного обучения Random Forest он использовал такие характеристики, как случайность доменного имени, количество слов, кодировка TLD и оценки репутации, извлеченные из данных. Классификатор показал точность 99 % при 48 % запоминания.
Клиенты Palo Alto Networks получают защиту от накопленных доменов благодаря использованию автоматизированного классификатора в нескольких облачных сервисах безопасности. Модель обнаружения смогла выявить вредоносные домены в среднем на 32,3 дня раньше, чем их смогли обнаружить поставщики VirusTotal.
Борьба с доменными войнами - дело рук глобального сообщества. Исследователи показали, что данные pDNS и строки доменных имен могут быть использованы для обнаружения вредоносных доменов. Объединение нескольких наборов данных, таких как pDNS и журналы сертификатов, позволяет обнаруживать накопленные домены независимо от времени регистрации, что дает возможность защитникам безопасности раньше обнаруживать вредоносные кампании.
#ParsedReport #CompletenessLow
18-12-2023
Hiring? New scam campaign means resume downloads may contain malware
https://www.proofpoint.com/us/newsroom/news/hiring-new-scam-campaign-means-resume-downloads-may-contain-malware
Report completeness: Low
Actors/Campaigns:
Magecart
Venom_spider
Cobalt
Evilnum
Threats:
Spear-phishing_technique
More_eggs
Typosquatting_technique
Victims:
Hiring managers and recruiters
Geo:
French, Romanian, Russia, Russian
IOCs:
Domain: 2
File: 3
Algorithms:
zip, rc4
Win API:
NtQueryInformationProcess
18-12-2023
Hiring? New scam campaign means resume downloads may contain malware
https://www.proofpoint.com/us/newsroom/news/hiring-new-scam-campaign-means-resume-downloads-may-contain-malware
Report completeness: Low
Actors/Campaigns:
Magecart
Venom_spider
Cobalt
Evilnum
Threats:
Spear-phishing_technique
More_eggs
Typosquatting_technique
Victims:
Hiring managers and recruiters
Geo:
French, Romanian, Russia, Russian
IOCs:
Domain: 2
File: 3
Algorithms:
zip, rc4
Win API:
NtQueryInformationProcess
SC Media
Hiring? New scam campaign means ‘resume’ downloads may contain malware
Cybercriminals posing as job candidates are luring recruiters to install the “more_eggs” backdoor.
CTT Report Hub
#ParsedReport #CompletenessLow 18-12-2023 Hiring? New scam campaign means resume downloads may contain malware https://www.proofpoint.com/us/newsroom/news/hiring-new-scam-campaign-means-resume-downloads-may-contain-malware Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: TA4557 - киберпреступная группировка, нацелившаяся на рекрутеров и менеджеров по подбору персонала в рамках новой фишинговой кампании с использованием вредоносной программы-бэкдора more_eggs, которая способна облегчить целый ряд дальнейших атак. Организациям следует сохранять бдительность в отношении этой угрозы и принимать меры по защите.
-----
Киберпреступная группировка, известная как TA4557, начала атаковать рекрутеров и менеджеров по подбору персонала в рамках новой фишинговой кампании. Угрожающие лица используют сложную социальную инженерию и инфраструктуру для рассылки электронных писем от якобы ищущих работу людей, а для заманивания жертв используют вредоносные загрузки резюме. Чтобы обойти защищенные почтовые шлюзы, злоумышленники предлагают жертвам обратиться к доменному имени своего адреса электронной почты, чтобы получить доступ к портфолио. Когда жертва нажимает на ссылку, она попадает в ZIP-файл, содержащий LNK-файл, замаскированный под резюме, который при выполнении запускает установку вредоносной программы-бэкдора more_eggs.
More_eggs - это разновидность вредоносного ПО как услуги (MaaS), широко используемого такими кибербандами, как FIN6 и Cobalt Group. Он перехватывает функции легитимного программного обеспечения для создания бэкдора и получения дополнительной информации о системе жертвы. Кроме того, он использует функцию NtQueryInformationProcess для постоянной проверки отладки, а также использует WMI для инициирования создания процесса MSXSL перед удалением. После успешной установки вредоносная программа может быть использована для целого ряда дальнейших атак.
Личность угрожающего субъекта неясна, поскольку его деятельность пересекается с деятельностью других групп, использующих more_eggs. Однако TA4557 заметно отличается от них благодаря уникальному использованию инструментов и вредоносных программ, направленности кампаний, использованию приманок на тему кандидатов на работу, изощренным мерам уклонения, применяемым для предотвращения обнаружения, отдельным цепочкам атак и контролируемой агентом инфраструктуре. Поэтому организациям следует сохранять бдительность в отношении этой угрозы и принимать меры по защите себя и своих сотрудников.
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)
------
Основная идея: TA4557 - киберпреступная группировка, нацелившаяся на рекрутеров и менеджеров по подбору персонала в рамках новой фишинговой кампании с использованием вредоносной программы-бэкдора more_eggs, которая способна облегчить целый ряд дальнейших атак. Организациям следует сохранять бдительность в отношении этой угрозы и принимать меры по защите.
-----
Киберпреступная группировка, известная как TA4557, начала атаковать рекрутеров и менеджеров по подбору персонала в рамках новой фишинговой кампании. Угрожающие лица используют сложную социальную инженерию и инфраструктуру для рассылки электронных писем от якобы ищущих работу людей, а для заманивания жертв используют вредоносные загрузки резюме. Чтобы обойти защищенные почтовые шлюзы, злоумышленники предлагают жертвам обратиться к доменному имени своего адреса электронной почты, чтобы получить доступ к портфолио. Когда жертва нажимает на ссылку, она попадает в ZIP-файл, содержащий LNK-файл, замаскированный под резюме, который при выполнении запускает установку вредоносной программы-бэкдора more_eggs.
More_eggs - это разновидность вредоносного ПО как услуги (MaaS), широко используемого такими кибербандами, как FIN6 и Cobalt Group. Он перехватывает функции легитимного программного обеспечения для создания бэкдора и получения дополнительной информации о системе жертвы. Кроме того, он использует функцию NtQueryInformationProcess для постоянной проверки отладки, а также использует WMI для инициирования создания процесса MSXSL перед удалением. После успешной установки вредоносная программа может быть использована для целого ряда дальнейших атак.
Личность угрожающего субъекта неясна, поскольку его деятельность пересекается с деятельностью других групп, использующих more_eggs. Однако TA4557 заметно отличается от них благодаря уникальному использованию инструментов и вредоносных программ, направленности кампаний, использованию приманок на тему кандидатов на работу, изощренным мерам уклонения, применяемым для предотвращения обнаружения, отдельным цепочкам атак и контролируемой агентом инфраструктуре. Поэтому организациям следует сохранять бдительность в отношении этой угрозы и принимать меры по защите себя и своих сотрудников.