#ParsedReport #CompletenessMedium
17-01-2024

New TTPs observed in Mint Sandstorm campaign targeting high-profile individuals at universities and research orgs

https://www.microsoft.com/en-us/security/blog/2024/01/17/new-ttps-observed-in-mint-sandstorm-campaign-targeting-high-profile-individuals-at-universities-and-research-orgs

Report completeness: Medium

Actors/Campaigns:
Charming_kitten

Threats:
Mediapl
Mischieftut
Nircmd_tool
Eyeglass

Industry:
Education, Military

Geo:
Israel, Iran, Tehran, Belgium, France

TTPs:
Tactics: 2
Technics: 0

IOCs:
Domain: 8
File: 4
Hash: 1

Soft:
Microsoft Defender for Endpoint, Microsoft Defender, curl, Windows Media Player, Microsoft Edge

Algorithms:
base64, sha256, cbc, aes

Languages:
powershell

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Microsoft обнаружила киберкампанию под названием Mint Sandstorm, целью которой являются высокопоставленные лица в университетах и исследовательских организациях. Кампания использует сложные методы фишинга, скомпрометированные учетные записи электронной почты и пользовательские бэкдоры для кражи конфиденциальной информации у своих целей. Считается, что Mint Sandstorm связана с APT35 и Charming Kitten и имеет связи с военной разведкой Ирана. Microsoft предоставляет информацию об анализе, обнаружении и защите, чтобы помочь организациям защититься от этой угрозы. Кампания включает в себя новые тактики, такие как использование скомпрометированных учетных записей электронной почты, использование команды curl для подключения к серверу управления и предоставления пользовательского бэкдора под названием MediaPl. Кампания начинается с выдачи себя за известных лиц и использования вредоносных доменов для распространения вредоносных файлов. Mint Sandstorm также использует методы сохранения и использует пользовательские бэкдоры, такие как MediaPl и MischiefTut, для получения и поддержания удаленного доступа к целевым системам. Microsoft предлагает свой антивирус Defender и Defender for Endpoint в качестве решений для обнаружения и устранения этих угроз.
-----

Киберкампания, известная как Mint Sandstorm (PHOSPHORUS), нацелена на высокопоставленных лиц в университетах и исследовательских организациях во многих странах.

Mint Sandstorm использует сложные методы фишинга и пользовательские фишинговые приманки, отправляемые через скомпрометированные учетные записи электронной почты.

Кампания направлена на кражу конфиденциальной информации у особо ценных объектов, предоставляя информацию по вопросам безопасности и политики.

Mint Sandstorm имеет связи с APT35 и Charming Kitten, оба связаны с военной разведкой Ирана.

Мотивом кампании может быть сбор информации о войне Израиля и ХАМАСА.

Корпорация Майкрософт предоставляет информацию об анализе, обнаружении, поиске и защите, чтобы помочь организациям защититься от Mint Sandstorm.

Mint Sandstorm применяет новую тактику, в том числе использует скомпрометированные учетные записи электронной почты, использует команду curl для подключения к серверу управления и предоставляет пользовательский бэкдор под названием MediaPl.

Кампания начинается с того, что вы выдаете себя за известных людей и отправляете первоначальные безобидные электронные письма для укрепления доверия.

Вредоносный домен cloud-document-edit.onrender.com используется для размещения файла архива RAR, содержащего файл .pdf.lnk, который запускает загрузку вредоносных файлов.

Методы сохранения включают изменение разделов реестра и создание запланированных задач в целевой среде.

Бэкдор MediaPl замаскирован под проигрыватель Windows Media и взаимодействует с сервером управления.

Другим используемым бэкдором является MischiefTut, реализованный в PowerShell, способный проводить разведку и загружать дополнительные инструменты.

Возможности удаленного доступа Mint Sandstorm представляют значительную угрозу конфиденциальности системы с потенциальными юридическими и репутационными рисками для затронутых организаций.

Антивирус Microsoft Defender идентифицирует MediaPl и MischiefTut как вредоносные программы.

Корпорация Майкрософт предлагает средства обнаружения, оповещения, отчеты и рекомендуемые действия для защиты от Mint Sandstorm.

#ParsedReport #CompletenessLow
18-01-2024

Outlook Vulnerability Discovery and New Ways to Leak NTLM Hashes

https://www.varonis.com/blog/outlook-vulnerability-and-new-ways-to-leak-ntlm-hashes

Report completeness: Low

Threats:
Mitm_technique

Industry:
Ics

CVEs:
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)

CVE-2023-35636 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2016, 2019)
- microsoft office long term servicing channel (2021)


ChatGPT TTPs:
do not use without manual check
T1212, T1110, T1566, T1552, T1557.001

IOCs:
File: 2
Path: 1

Soft:
Outlook, Windows File Explorer, Microsoft Outlook

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что Varonis Threat Labs обнаружила новую уязвимость в Microsoft Outlook, а также эксплойты, нацеленные на Windows Performance Analyzer и Windows File Explorer. Эти уязвимости могут позволить злоумышленникам получить доступ к хэшированным паролям NTLM v2, потенциально ставя под угрозу учетные записи пользователей. Корпорация Майкрософт признала серьезность эксплойта Outlook и выпустила исправление для него, а также рекомендовала меры по защите от атак NTLM версии 2.
-----

Недавно Varonis Threat Labs обнаружила новую уязвимость в Microsoft Outlook (CVE-2023-35636), которая может быть использована для получения доступа к хэшированным паролям NTLM версии 2. Эта уязвимость, наряду с эксплойтами, предназначенными для Windows Performance Analyzer (WPA) и Windows File Explorer, может позволить злоумышленникам выполнять автономные атаки методом перебора или ретрансляции аутентификации для компрометации учетных записей пользователей.

В случае эксплойта Outlook злоумышленник добавляет два заголовка к электронному письму, инструктируя Outlook поделиться содержимым и связаться с указанным компьютером. Перехватив сообщение, злоумышленники могут получить хэш NTLM v2, используемый для аутентификации.

Для использования эксплойта WPA злоумышленники создают вредоносную ссылку, при нажатии на которую жертва перенаправляет их на полезную нагрузку, которая извлекает их хэшированный пароль NTLM v2. Эксплойт использует обработчик URI в операционной системе, направляя компьютер жертвы на доступ к компьютеру злоумышленника через SMB.

Аналогичным образом, эксплойт Windows File Explorer включает отправку вредоносной ссылки жертве, которая, щелкнув по ней, позволяет злоумышленнику получить хэш и попытаться взломать пароль пользователя в автономном режиме. Этот эксплойт использует доверенный характер проводника файлов Windows и может быть распространен различными способами, такими как фишинг по электронной почте или социальные сети.

Корпорация Майкрософт признала серьезность эксплойта Outlook, классифицировав его как важную уязвимость с рейтингом 6,5. 12 декабря 2023 года они выпустили исправление для CVE-2023-35636. Кроме того, Корпорация Майкрософт рекомендует меры по защите от атак NTLM версии 2, включая включение подписи SMB для обнаружения несанкционированного доступа к SMB-трафику и блокировку исходящего NTLM версии 2.

#ParsedReport #CompletenessMedium
19-01-2024

Russian threat group COLDRIVER expands its targeting of Western officials to include the use of malware

https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware

Report completeness: Medium

Actors/Campaigns:
Seaborgium (motivation: government_sponsored)

Threats:
Spica_backdoor
Scout

Victims:
High-profile individuals in ngos, Former intelligence and military officials, Nato governments

Industry:
Government, Military, Ngo

Geo:
Ukraine, Russian

ChatGPT TTPs:
do not use without manual check
T1566, T1036, T1096, T1059, T1348, T1090, T1005, T1053

IOCs:
File: 1
IP: 1
Hash: 6
Url: 1

Soft:
Chrome, Opera, telegram

Algorithms:
zip, sha256

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что российская группа угроз, известная как COLDRIVER, нацелена на высокопоставленных лиц в НПО, бывших сотрудников разведки и военных, а также правительства стран НАТО. Первоначально они использовали фишинг с использованием учетных данных, но теперь расширили свою тактику, включив вредоносное ПО, распространяя его через PDF-документы. COLDRIVER использует учетные записи для олицетворения, чтобы установить доверительные отношения со своими целями перед запуском фишинговых кампаний. Они были нарушены командой безопасности TAG, которая добавила их известные домены и хэши в списки блокировок для безопасного просмотра. TAG заметил, что COLDRIVER отправляет зашифрованные PDF-документы адресатам и предоставляет ссылку на утилиту дешифрования, которая на самом деле является бэкдором под названием SPICA. SPICA позволяет COLDRIVER получить доступ к компьютеру жертвы и обеспечивает сохранение с помощью запутанной команды PowerShell. TAG подозревает, что SPICA используется, по крайней мере, с ноября 2022 года. TAG обнаружил несколько вариантов зашифрованной PDF-приманки и извлек один экземпляр SPICA. Они используют результаты своих исследований для улучшения продуктов Google и информируют целевых пользователей для повышения безопасности.
-----

Террористическая группа COLDRIVER, предположительно из России, нацелена на высокопоставленных лиц в неправительственных организациях, бывших сотрудников разведки и военных, а также правительства стран НАТО.

Изначально COLDRIVER фокусировался на фишинге учетных данных, но теперь использует вредоносное ПО, в частности бэкдор под названием SPICA.

Учетные записи для олицетворения используются COLDRIVER для установления доверительных отношений с целями перед запуском фишинговых кампаний.

Цели в первую очередь находятся в Украине, странах НАТО, академических институтах и НПО.

COLDRIVER распространяет вредоносное ПО через PDF-файлы в качестве документов-приманки.

Служба безопасности TAG прервала одну из кампаний COLDRIVER, добавив их известные домены и хэши в списки заблокированных для безопасного просмотра.

COLDRIVER отправляет целевым пользователям безопасные PDF-документы из учетных записей олицетворения, которые выглядят зашифрованными. Они предоставляют ссылку на утилиту для расшифровки, которая на самом деле является бэкдором SPICA.

SPICA, написанная на Rust, использует JSON поверх websockets для управления.

SPICA выполняет такие действия, как расшифровка встроенного PDF-файла, установление постоянства и ожидание команд от злоумышленников.

TAG подозревает, что использование SPICA датируется как минимум ноябрем 2022 года.

TAG обнаружил четыре различных варианта зашифрованного PDF-файла и извлек один экземпляр SPICA с именем "Proton-decrypter.exe.".

TAG добавляет идентифицированные вредоносные веб-сайты, домены и файлы в режим безопасного просмотра для защиты пользователей и информирует целевых пользователей Gmail и Workspace об активности злоумышленников, поддерживаемых правительством.

#ParsedReport #CompletenessMedium
18-01-2024

When the Hunter Becomes the Hunted

https://checkmarx.com/blog/when-the-hunter-becomes-the-hunted

Report completeness: Medium

Threats:
Supply_chain_technique
Metasploit_tool

ChatGPT TTPs:
do not use without manual check
T1195, T1212, T1053, T1064, T1204, T1105, T1128, T1011

IOCs:
Domain: 1
File: 1
Command: 1
Hash: 2
IP: 1
Url: 1

Soft:
Telegram, NET framework, Windows task scheduler

Algorithms:
xor, zip, sha256

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователь кибербезопасности анализирует вредоносный пакет Python из репозитория PyPI, который нацелен как на системы Windows, так и на Linux. Пакет крадет конфиденциальную информацию из веб-браузеров и загружает ее на сервер. Украденные данные включают файлы ярлыков, которые запускают вредоносный код при нажатии. Дальнейшее расследование показывает, что пакет содержит бэкдор, созданный с использованием платформы Metasploit, которая взаимодействует с обработчиком и извлекает данные. Этот инцидент подчеркивает риск появления вредоносных пакетов в цепочке поставок программного обеспечения и необходимость постоянной бдительности в области кибербезопасности.
-----

В этой статье исследователь кибербезопасности анализирует вредоносный пакет Python с именем "testfiwldsd21233s" из репозитория PyPI. Пакет способен нацеливаться как на системы на базе Windows, так и на Linux. В Windows он развертывает вредоносный исполняемый файл, в то время как в Linux он использует собственный код Python для работы в качестве вредоносного ПО для кражи данных. Пакет систематически собирает конфиденциальную информацию из веб-браузеров и сохраняет ее во временные файлы, которые затем загружаются на сервер. Украденные данные можно загрузить, используя жестко запрограммированный URL-адрес API Telegram-бота.

Любопытство исследователя заставляет их изучить отфильтрованные данные из пакета. Они обнаруживают, что данные включают файлы быстрого доступа с расширением ".lnk", которые потенциально могут выполнять вредоносный код при нажатии. Исследователи обнаруживают команду PowerShell в свойствах этих файлов, которая указывает, что при открытии любого из этих файлов команда будет выполнена. Они извлекают вредоносный исполняемый файл из одного из файлов быстрого доступа и анализируют его.

Вредоносный исполняемый файл идентифицируется как бэкдор, созданный с использованием платформы Metasploit framework. Он связывается с обработчиком по IP-адресу "128.199.113.162" и использует URL-адрес "hxxp://128.199.113.162/upwawsfrg.php" для эксфильтрации данных и получения других полезных данных.

Этот инцидент подчеркивает важность тщательной проверки компонентов или зависимостей в цепочке поставок программного обеспечения. Менеджеры пакетов с открытым исходным кодом могут стать мишенью для продвинутых постоянных угроз (APT) и других злоумышленников, которые отравляют их вредоносными пакетами. Организации любого размера могут быть уязвимы к таким нарушениям, которые могут иметь разрушительные последствия.

Обнаружение исследователем того, что он стал мишенью злоумышленника, придает истории неожиданный поворот. Это превращает анализ нарушения кибербезопасности в битву умов между исследователем и хакером. Это демонстрирует необходимость постоянной бдительности в области кибербезопасности и подчеркивает важность упреждающего мониторинга и обнаружения подозрительных действий в экосистеме программного обеспечения.

#ParsedReport #CompletenessLow
18-01-2024

Outlook Vulnerability Discovery and New Ways to Leak NTLM Hashes

https://www.varonis.com/blog/outlook-vulnerability-new-ways-to-leak-ntlm-hashes

Report completeness: Low

Threats:
Mitm_technique

Industry:
Ics

CVEs:
CVE-2023-35636 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2016, 2019)
- microsoft office long term servicing channel (2021)

CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)


ChatGPT TTPs:
do not use without manual check
T1558, T1110, T1212, T1562, T1222, T1134

IOCs:
File: 2
Path: 1

Soft:
Outlook, Windows File Explorer, Microsoft Outlook

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Varonis Threat Labs обнаружила три новых метода, которые злоумышленники могут использовать для доступа к хэшированным паролям NTLM версии 2, используя уязвимости в Microsoft Outlook, Windows Performance Analyzer и Windows File Explorer. Эти уязвимости позволяют злоумышленникам запускать автономные атаки методом перебора или ретрансляции аутентификации для компрометации учетных записей пользователей и получения несанкционированного доступа. Microsoft выпустила исправление для уязвимости в Outlook.
-----

Недавно Varonis Threat Labs обнаружила три новых метода, которые злоумышленники могут использовать для доступа к хэшированным паролям NTLM версии 2, используя уязвимости в Microsoft Outlook, Windows Performance Analyzer (WPA) и Windows File Explorer. Получив доступ к этим паролям, злоумышленники могут запускать автономные атаки методом перебора или ретрансляции аутентификации, чтобы скомпрометировать учетные записи пользователей и получить несанкционированный доступ.

Одна из уязвимостей, CVE-2023-35636, нацелена на функцию общего доступа к календарю в Microsoft Outlook. Злоумышленники могут добавлять определенные заголовки в электронное письмо, заставляя Outlook предоставлять общий доступ к содержимому и связываться с указанным компьютером. Это создает возможность для злоумышленника перехватить хэш NTLM версии 2.

При автономной атаке методом перебора исполнитель угрозы генерирует все возможные пароли, используя копию хэша NTLM версии 2, и пробует их один за другим по хэшу, пока не найдет совпадение.

Чтобы воспользоваться уязвимостью в Outlook, злоумышленник отправляет жертве приглашение по электронной почте и указывает путь к файлу .ICS на контролируемом компьютере. Делая это, субъект угрозы может перехватывать пакеты, содержащие хэш, когда компьютер жертвы пытается получить файл конфигурации с компьютера злоумышленника. Хэш NTLM жертвы раскрывается в процессе аутентификации.

Уязвимость в Windows Performance Analyzer позволяет злоумышленникам отправлять электронное письмо-приманку, содержащее ссылку на вредоносный сайт. Щелчок по ссылке инициирует автоматическое перенаправление на полезную нагрузку на вредоносном сайте. Жертве предлагается нажать кнопку "Открыть WPA", которая позволяет злоумышленнику получить хэшированный пароль жертвы NTLM версии 2. Этот эксплойт может быть реализован различными способами, такими как фишинг электронной почты, поддельная реклама на веб-сайтах или в социальных сетях.

Уязвимость проводника файлов Windows связана с использованием explorer.exe для поиска файлов с расширением .search-ms. Обходя предыдущие обнаружения, эксплойт взаимодействует напрямую с explorer.exe без использования rundll32. Обнаружение этим методом аналогично обнаружению CVE-2023-23397.

Корпорация Майкрософт признала уязвимость в Outlook важной CVE с рейтингом 6,5 и выпустила исправление 12 декабря 2023 года.

#ParsedReport #CompletenessMedium
18-01-2024

New TTPs observed in Mint Sandstorm campaign targeting high-profile individuals at universities and research orgs

https://www.microsoft.com/en-us/security/blog/2024/01/17/new-ttps-observed-in-mint-sandstorm-campaign-targeting-high-profile-individuals-at-universities-and-research-orgs

Report completeness: Medium

Actors/Campaigns:
Charming_kitten

Threats:
Mediapl
Mischieftut
Nircmd_tool
Eyeglass

Victims:
Universities, Research organizations

Industry:
Education, Military

Geo:
France, Iran, Tehran, Belgium, Israel

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1059, T1059.001, T1094.003, T1213, T1036, T1152.001, T1036.004

IOCs:
Domain: 8
File: 4
Hash: 1

Soft:
Microsoft Defender for Endpoint, Microsoft Defender, curl, Windows Media Player, Microsoft Edge

Algorithms:
sha256, aes, base64, cbc

Languages:
powershell

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Microsoft выявила группу киберугроз под названием Mint Sandstorm (PHOSPHORUS), связанную с военной разведкой Ирана. Mint Sandstorm нацелена на высокопоставленных лиц, занимающихся ближневосточными делами, особенно на тех, кто может предложить идеи или повлиять на сообщества в области безопасности и политики. Группа использует пользовательские фишинговые приманки, скомпрометированные учетные записи электронной почты и тактику социальной инженерии, чтобы обманом заставить своих жертв загружать вредоносные файлы. Они внедрили пользовательский бэкдор под названием MediaPl и используют различные методы для поддержания работоспособности в скомпрометированных средах. Корпорация Майкрософт предоставляет информацию об анализе, обнаружении, поиске и защите, чтобы помочь организациям защититься от кампаний Mint Sandstorm. В статье также подробно описываются тактика, методы и процедуры группы, а также рекомендуемые действия по смягчению связанных с ними угроз.
-----

Корпорация Microsoft выявила группу киберугроз, известную как Mint Sandstorm (PHOSPHORUS), нацеленную на высокопоставленных лиц, занимающихся ближневосточными делами.

Целями Mint Sandstorm являются университеты и исследовательские организации в различных странах, включая Бельгию, Францию, Газу, Израиль, Великобританию и Соединенные Штаты.

Mint Sandstorm использует специальные фишинговые приманки, чтобы обманом заставить цели загрузить вредоносные файлы.

Mint Sandstorm продемонстрировала новые методы защиты от вторжений и представила пользовательский бэкдор под названием MediaPl.

Мятная песчаная буря ассоциируется с APT35 и Charming Kitten, разведывательными подразделениями вооруженных сил Ирана.

Кампания направлена на то, чтобы собрать мнения о войне Израиля и ХАМАСА от людей с различными идеологическими точками зрения.

Корпорация Майкрософт предоставляет аналитическую информацию и информацию о защите в своем блоге, чтобы помочь защититься от кампаний Mint Sandstorm.

Mint Sandstorm выдает себя за известных личностей и отправляет целевым пользователям безобидные электронные письма, прежде чем доставлять вредоносный контент.

Скомпрометированные учетные записи электронной почты используются для повышения доверия к Mint Sandstorm.

MIPS Sandstorm использует различные методы сохранения в скомпрометированных средах, включая использование пользовательских бэкдоров.

MediaPl - это бэкдор, который маскируется под проигрыватель Windows Media, а MischiefTut - это бэкдор на базе PowerShell.

Антивирус Microsoft Defender обнаруживает бэкдоры MediaPl и MischiefTut.

Удаленный доступ с помощью Mint Sandstorm может привести к нарушению конфиденциальности системы и юридическим/репутационным рискам для затронутых организаций.

#ParsedReport #CompletenessLow
18-01-2024

Check Point Research alerts on a new NFT airdrop campaign

https://research.checkpoint.com/2024/check-point-research-alerts-on-a-new-nft-airdrop-campaign

Report completeness: Low

Victims:
More than 200k nft investors, Famous projects

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1566.002, T1036, T1027, T1102, T1566, T1090, T1496

IOCs:
Coin: 3

Crypto:
ethereum

Languages:
python

Platforms:
intel