#ParsedReport #CompletenessLow
16-12-2023

Imperva Detects Undocumented 8220 Gang Activities

https://www.imperva.com/blog/imperva-detects-undocumented-8220-gang-activities

Report completeness: Low

Actors/Campaigns:
8220_gang

Threats:
Log4shell_vuln
Agent_tesla

Victims:
Healthcare, telecommunications, and financial services targets in the united states, south africa, spain, columbia, and mexico

Industry:
Telco, Financial, Healthcare

Geo:
Chinese, Spain, Russia, Columbia, Mexico, Africa

CVEs:
CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)

CVE-2019-2725 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0)
- oracle peoplesoft enterprise peopletools (8.56, 8.57, 8.58)
- oracle agile plm (9.3.3, 9.3.4, 9.3.5)
- oracle vm virtualbox (<6.1.2, <6.0.16, <5.2.36)
- oracle tape library acsls (8.5)
have more...
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...
CVE-2017-3506 [Vulners]
CVSS V3.1: 7.4,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.4
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.2.1.0.0, 12.1.3.0.0, 12.2.1.2.0, 10.3.6.0.0, 12.2.1.1.0)

CVE-2020-14882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)

CVE-2020-14883 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: 7.2
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)

CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)
- atlassian confluence server (7.18.0, <7.17.4, <7.16.4, <7.15.2, <7.14.3, <7.13.7, <7.4.17)


Soft:
Drupal, Hadoop, Apache Struts2, Confluence, Oracle WebLogic Server, cURL, Apache Log4j

Algorithms:
base64

Win Services:
WebClient

Languages:
java, powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Банда 8220 - известный угрожающий агент китайского происхождения, использующий общедоступные эксплойты для уязвимостей, чтобы эксплуатировать легкие цели, и известный своими вариантами вредоносного ПО AgentTesla, rhajk и nasqa. Они были замечены в использовании двух различных цепочек гаджетов и разнообразных методов загрузки и выполнения файлов второй фазы. Атрибуция группы облегчается благодаря постоянному использованию ими IoC и TTP, а также их привычке повторно использовать IP-адреса, веб-серверы, полезную нагрузку и инструменты атаки.
-----

Банда 8220 - это известный угрожающий агент китайского происхождения, впервые выявленный Cisco Talos в 2017 году. С тех пор появилось множество обновлений о развивающихся тактиках, методах и процедурах (TTP) группы. Imperva Threat Research обнаружила ранее незадокументированную активность группы, включая эксплуатацию уязвимостей Confluence и Log4j, а также уязвимостей Oracle WebLogic CVE-2017-3506 и CVE-2020-14883. Группа, судя по всему, выбирает цели оппортунистически, без четкой тенденции по странам или отраслям, и известно, что она использует вредоносное ПО для криптоджекинга как для веб-серверов Windows, так и для Linux.

Imperva заметила, что группа использует две различные цепочки гаджетов, которые позволяют загрузить XML-файл или выполнить Java-код. Группа также использует различные методы для загрузки и выполнения файлов второй фазы, такие как cURL, wget, lwp-download и python urllib (в кодировке base64). После заражения хосты инфицируются известными вариантами вредоносного ПО AgentTesla, rhajk и nasqa.

Группу считают неискушенной, поскольку она использует простые, общедоступные эксплойты для борьбы с известными уязвимостями и эксплуатации легких целей. Однако постоянное использование ими легко отслеживаемых индикаторов компрометации (IoC) и TTP, а также их привычка повторять IP-адреса, веб-серверы, полезную нагрузку и инструменты атаки делают приписывание атак этой группе относительно простым.

#ParsedReport #CompletenessLow
16-12-2023

Toward Ending the Domain Wars: Early Detection of Malicious Stockpiled Domains

https://unit42.paloaltonetworks.com/detecting-malicious-stockpiled-domains

Report completeness: Low

Threats:
Fastflux_technique
Cloaking_technique

Industry:
Retail, Financial

ChatGPT TTPs:
do not use without manual check
T1514, T1599, T1595, T1595, T1590, T1499

IOCs:
Domain: 21
File: 1

Algorithms:
sha1

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи разработали детектор для выявления вредоносных доменов, который использует данные из журналов прозрачности сертификатов и данные pDNS для выявления фишинговых и других вредоносных доменов, зарегистрированных в массовом порядке.
-----

В последнее время злоумышленники все чаще приобретают большое количество доменных имен и создают свою инфраструктуру в автоматическом режиме, что затрудняет защитникам безопасности обнаружение и реагирование на их кампании. Чтобы противостоять этому, исследователи Palo Alto Networks создали детектор для выявления вредоносных доменов, который использует более 300 функций для обработки терабайтов данных и миллиардов пассивных записей DNS (pDNS) и сертификатов. По состоянию на июль 2023 года конвейер обнаружения выявил 1 114 499 уникальных корневых доменных имен, включая 45 862 вредоносных, 8 989 фишинговых и 844 C2-домена.

Детектор использовал данные из журналов прозрачности сертификатов и данные pDNS для выявления фишинговых и других вредоносных доменов, зарегистрированных в массовом порядке. Для обучения классификатора машинного обучения Random Forest он использовал такие характеристики, как случайность доменного имени, количество слов, кодировка TLD и оценки репутации, извлеченные из данных. Классификатор показал точность 99 % при 48 % запоминания.

Клиенты Palo Alto Networks получают защиту от накопленных доменов благодаря использованию автоматизированного классификатора в нескольких облачных сервисах безопасности. Модель обнаружения смогла выявить вредоносные домены в среднем на 32,3 дня раньше, чем их смогли обнаружить поставщики VirusTotal.

Борьба с доменными войнами - дело рук глобального сообщества. Исследователи показали, что данные pDNS и строки доменных имен могут быть использованы для обнаружения вредоносных доменов. Объединение нескольких наборов данных, таких как pDNS и журналы сертификатов, позволяет обнаруживать накопленные домены независимо от времени регистрации, что дает возможность защитникам безопасности раньше обнаруживать вредоносные кампании.

#ParsedReport #CompletenessLow
18-12-2023

Hiring? New scam campaign means resume downloads may contain malware

https://www.proofpoint.com/us/newsroom/news/hiring-new-scam-campaign-means-resume-downloads-may-contain-malware

Report completeness: Low

Actors/Campaigns:
Magecart
Venom_spider
Cobalt
Evilnum

Threats:
Spear-phishing_technique
More_eggs
Typosquatting_technique

Victims:
Hiring managers and recruiters

Geo:
French, Romanian, Russia, Russian

IOCs:
Domain: 2
File: 3

Algorithms:
zip, rc4

Win API:
NtQueryInformationProcess

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: TA4557 - киберпреступная группировка, нацелившаяся на рекрутеров и менеджеров по подбору персонала в рамках новой фишинговой кампании с использованием вредоносной программы-бэкдора more_eggs, которая способна облегчить целый ряд дальнейших атак. Организациям следует сохранять бдительность в отношении этой угрозы и принимать меры по защите.
-----

Киберпреступная группировка, известная как TA4557, начала атаковать рекрутеров и менеджеров по подбору персонала в рамках новой фишинговой кампании. Угрожающие лица используют сложную социальную инженерию и инфраструктуру для рассылки электронных писем от якобы ищущих работу людей, а для заманивания жертв используют вредоносные загрузки резюме. Чтобы обойти защищенные почтовые шлюзы, злоумышленники предлагают жертвам обратиться к доменному имени своего адреса электронной почты, чтобы получить доступ к портфолио. Когда жертва нажимает на ссылку, она попадает в ZIP-файл, содержащий LNK-файл, замаскированный под резюме, который при выполнении запускает установку вредоносной программы-бэкдора more_eggs.

More_eggs - это разновидность вредоносного ПО как услуги (MaaS), широко используемого такими кибербандами, как FIN6 и Cobalt Group. Он перехватывает функции легитимного программного обеспечения для создания бэкдора и получения дополнительной информации о системе жертвы. Кроме того, он использует функцию NtQueryInformationProcess для постоянной проверки отладки, а также использует WMI для инициирования создания процесса MSXSL перед удалением. После успешной установки вредоносная программа может быть использована для целого ряда дальнейших атак.

Личность угрожающего субъекта неясна, поскольку его деятельность пересекается с деятельностью других групп, использующих more_eggs. Однако TA4557 заметно отличается от них благодаря уникальному использованию инструментов и вредоносных программ, направленности кампаний, использованию приманок на тему кандидатов на работу, изощренным мерам уклонения, применяемым для предотвращения обнаружения, отдельным цепочкам атак и контролируемой агентом инфраструктуре. Поэтому организациям следует сохранять бдительность в отношении этой угрозы и принимать меры по защите себя и своих сотрудников.

#ParsedReport #CompletenessLow
18-12-2023

New malware is using direct emails to hunt the head-hunters

https://www.proofpoint.com/us/newsroom/news/new-malware-using-direct-emails-hunt-head-hunters

Report completeness: Low

Actors/Campaigns:
Magecart (motivation: financially_motivated)

Threats:
More_eggs
Lolbin_technique
Ransomboggs

Victims:
Recruiters

IOCs:
File: 2

Algorithms:
zip

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что TA4557 - это угрожающий агент, который начал использовать новую технику, направленную на рекрутеров с помощью вредоносных писем, используя More_Eggs в качестве дроппера вредоносного ПО. Организации должны знать о тактике TA4557, чтобы защититься от этого злоумышленника и научить своих сотрудников распознавать вредоносные письма.
-----

С 2018 года TA4557 был известен тем, что использовал загрузчик More_Eggs в качестве дроппера вредоносного ПО. Однако в октябре 2023 года было замечено, что этот агент начал использовать новую технику, направленную на рекрутеров с помощью прямых электронных писем, которые в конечном итоге приводят к доставке вредоносного ПО. Эта новая техника включает в себя отправку письма рекрутеру с запросом о вакансии, и когда получатель отвечает на первое письмо, актер отправляет в ответ URL-ссылку на контролируемый TA4557 веб-сайт, выдавая его за резюме кандидата. Сайт содержит скрипт, который расшифровывает и сбрасывает в папку %APPDATA%\Microsoft DLL, использующую для обхода техники анти-песочницы и анти-анализа и сбрасывающую бэкдор More_Eggs.

More_eggs - это бэкдор на Javascript, используемый для установления персистентности, профилирования машины и сброса дополнительной полезной нагрузки. Кроме того, угрожающий агент подавал заявки на вакансии, размещенные на публичных досках объявлений или в LinkedIn, и вставлял вредоносные URL-адреса в приложение, что превращало атаку в двустороннюю.

Proofpoint отмечает, что в последнее время участились случаи, когда угрожающие субъекты используют доброкачественные сообщения для установления доверия и взаимодействия с целью перед отправкой вредоносного контента. Поэтому организации, использующие сторонние объявления о работе, должны знать о тактике, методах и процедурах (TTP) TA4557, чтобы защититься от этого вредоносного агента. Организациям рекомендуется обучать своих сотрудников тому, как распознать вредоносную электронную почту, и следить за тем, чтобы все меры безопасности были актуальными.

#ParsedReport #CompletenessLow
18-12-2023

Luring with love, a network of pig butchering mining scams robbed millions from victims wallets

https://news.sophos.com/en-us/2023/12/18/luring-with-love-defi-mining-scam-indepth

Report completeness: Low

Threats:
Pig_butchering

Industry:
Financial

Geo:
Singapore, Germany, Chinese, Poland

ChatGPT TTPs:
do not use without manual check
T1545, T1541, T1560, T1573, T1593

IOCs:
Domain: 313
Coin: 9
File: 1
IP: 1

Soft:
WhatsApp

Crypto:
tether, binance

Languages:
javascript

Links:
https://github.com/sophoslabs/IoCs/blob/master/defi-mining-scams-iocs.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chart: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что организованные преступные группировки в Китае используют все более изощренные методы для обворовывания жертв, и что осведомленность и здоровый скептицизм - лучшая защита от этих мошенников. Биржи и разработчики кошельков совместно работают над блокировкой мошенничества, а пострадавшие должны предпринять определенные шаги, например, вывести средства и обратиться в правоохранительные органы. Список активных доменов, связанных с мошенничеством, можно найти на GitHub.
-----

Организованные преступные группировки в Китае использовали все более изощренные методы, чтобы похитить до 3 миллионов долларов у 90 жертв в период с июня по август. Предполагается, что для аферы использовались приложения для знакомств и социальные сети, генеративный искусственный интеллект для написания сообщений и поддельные мобильные приложения для торговли криптовалютой. Было выявлено пять кошельков с контролирующими контрактами, а из кошельков жертв была выведена криптовалюта Tether (USDT) на сумму более 1,22 миллиона долларов.

С помощью того же набора было обнаружено 60 мошеннических сайтов, а также еще 350 сайтов, зарегистрированных в домене верхнего уровня .top. Еще около 100 сайтов были обнаружены с использованием другого набора для мошенничества в сфере майнинга. Некоторые сайты используют API от WalletConnect, чтобы скрыть адрес контрактного кошелька.

Биржи и разработчики кошельков совместно работают над блокировкой мошенничества на уровне приложений, а разработчики инструментов для мошенничества принимают меры по блокировке сбора данных об узлах контрактов и ограничению кошельков, которые могут быть использованы для мошенничества.

Лучшая защита от этих постоянно развивающихся мошенничеств - информированность населения и здоровый скептицизм. Пострадавшие должны немедленно вывести все средства с кошелька, связанного с мошенническим сайтом, задокументировать все, что связано с аферой, и обратиться в правоохранительные органы. Сеть поддержки киберпреступности может помочь сообщить о преступлении и справиться с последствиями. Список активных доменов, связанных с этими аферами, можно найти на GitHub.

#technique

A beacon object file implementation of PoolParty Process Injection Technique.

https://github.com/0xEr3bus/PoolPartyBof

#technique

PoC showcasing new DarkGate Install Script retrieval technique via DNS TXT Record

https://github.com/knight0x07/DarkGate-Install-Script-via-DNS-TXT-Record

#technique

Data Bouncing is a technique for transmitting data between two endpoints using DNS lookups and HTTP header manipulation. This PowerShell version encapsulates core functionalities of data bouncing, including reconnaissance, data exfiltration, and file reassembly, based on a proof of concept (PoC) by John and Dave.

https://github.com/Unit-259/DataBouncing

Bulk Analysis of Cobalt Strike's Beacon Configurations

https://www.archcloudlabs.com/projects/bulk-cs-analysis/

#ParsedReport #CompletenessHigh
18-12-2023

Lets Open(Dir) Some Presents: An Analysis of a Persistent Actors Activity. Lets Open(Dir) Some Presents: An Analysis of a Persistent Actor s Activity

https://thedfirreport.com/2023/12/18/lets-opendir-some-presents-an-analysis-of-a-persistent-actors-activity

Report completeness: High

Threats:
Metasploit_tool
Sliver_c2_tool
Opendir
Meterpreter_tool
Ghostcat_vuln
Beacon
Sharpersist_tool
Xmrig_miner
Linpeas_tool
Credential_dumping_technique
Dcsync_technique
Golden_ticket_technique
Powerview
Sysrv-hello
Netstat_tool
Cobalt_strike
Netcat_tool
Mimikatz_tool

Victims:
Indian and israeli governments and defense contractors, manufacturers of defense-related items, banks and financial institutions, escort service websites, hizb ut tahrir, baloch republican party, sindhudesh movement, sindhudesh revolutionary army (sra), tehreek-e-jafaria, umar media, federalpress, new izvestia, tabloid (novaya gazeta), freedom house, michigan state university, massachusetts institute of technology, harvard, lomonosov moscow state university, hse university, grameenphone, teletalk, jazz, bezeq, and cellcom

Industry:
Government, Telco, Financial, Aerospace, Military, Education

Geo:
Pakistan, India, Bangladesh, Russian, Israel

CVEs:
CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.14, le5.4.13, le5.2.15, le5.0.14, le6.2.11, le6.0.15, le6.4.10, le7.2.2, le7.0.8, le6.0.14, le6.4.9, le7.0.7)
- fortinet fortiproxy (le1.0.7, le1.1.6, le1.2.13, 7.2.0, le7.0.7, le2.0.11)

CVE-2021-21972 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- vmware vcenter server (6.5, 6.7, 7.0)
- vmware cloud foundation (<3.10.1.2, <4.2)

CVE-2020-14882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- oracle weblogic server (12.1.3.0.0, 10.3.6.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0)

CVE-2021-26855 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.1
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2016, 2013, 2019)

CVE-2019-9978 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: 5.4
X-Force: Patch: Official fix
Soft:
- warfareplugins social warfare (<3.5.3)
- warfareplugins social warfare pro (<3.5.3)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- polkit project polkit (<121)
- redhat enterprise linux desktop (7.0)
- redhat enterprise linux workstation (7.0)
- redhat enterprise linux for scientific computing (7.0)
- redhat enterprise linux server (7.0, 6.0)
have more...

TTPs:
Tactics: 9
Technics: 38

IOCs:
Domain: 5
IP: 9
Email: 3
File: 27
Path: 3
Command: 10
Registry: 3
Url: 1
Hash: 86

Soft:
Telegram, WordPress, Apache Struts, JBoss, Windows service, Unix, Microsoft Defender, WhatsApp

Crypto:
monero

Algorithms:
md5

Languages:
python, php, powershell

Platforms:
intel, x64

Links:
https://github.com/mazen160/struts-pwn
https://github.com/rapid7/metasploit-framework/blob/1ee32a2d8ed6f1eb5073af2e9ceb263348ea2703/documentation/modules/exploit/linux/local/cve\_2021\_4034\_pwnkit\_lpe\_pkexec.md
have more...