#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователь кибербезопасности анализирует вредоносный пакет Python из репозитория PyPI, который нацелен как на системы Windows, так и на Linux. Пакет крадет конфиденциальную информацию из веб-браузеров и загружает ее на сервер. Украденные данные включают файлы ярлыков, которые запускают вредоносный код при нажатии. Дальнейшее расследование показывает, что пакет содержит бэкдор, созданный с использованием платформы Metasploit, которая взаимодействует с обработчиком и извлекает данные. Этот инцидент подчеркивает риск появления вредоносных пакетов в цепочке поставок программного обеспечения и необходимость постоянной бдительности в области кибербезопасности.
-----

В этой статье исследователь кибербезопасности анализирует вредоносный пакет Python с именем "testfiwldsd21233s" из репозитория PyPI. Пакет способен нацеливаться как на системы на базе Windows, так и на Linux. В Windows он развертывает вредоносный исполняемый файл, в то время как в Linux он использует собственный код Python для работы в качестве вредоносного ПО для кражи данных. Пакет систематически собирает конфиденциальную информацию из веб-браузеров и сохраняет ее во временные файлы, которые затем загружаются на сервер. Украденные данные можно загрузить, используя жестко запрограммированный URL-адрес API Telegram-бота.

Любопытство исследователя заставляет их изучить отфильтрованные данные из пакета. Они обнаруживают, что данные включают файлы быстрого доступа с расширением ".lnk", которые потенциально могут выполнять вредоносный код при нажатии. Исследователи обнаруживают команду PowerShell в свойствах этих файлов, которая указывает, что при открытии любого из этих файлов команда будет выполнена. Они извлекают вредоносный исполняемый файл из одного из файлов быстрого доступа и анализируют его.

Вредоносный исполняемый файл идентифицируется как бэкдор, созданный с использованием платформы Metasploit framework. Он связывается с обработчиком по IP-адресу "128.199.113.162" и использует URL-адрес "hxxp://128.199.113.162/upwawsfrg.php" для эксфильтрации данных и получения других полезных данных.

Этот инцидент подчеркивает важность тщательной проверки компонентов или зависимостей в цепочке поставок программного обеспечения. Менеджеры пакетов с открытым исходным кодом могут стать мишенью для продвинутых постоянных угроз (APT) и других злоумышленников, которые отравляют их вредоносными пакетами. Организации любого размера могут быть уязвимы к таким нарушениям, которые могут иметь разрушительные последствия.

Обнаружение исследователем того, что он стал мишенью злоумышленника, придает истории неожиданный поворот. Это превращает анализ нарушения кибербезопасности в битву умов между исследователем и хакером. Это демонстрирует необходимость постоянной бдительности в области кибербезопасности и подчеркивает важность упреждающего мониторинга и обнаружения подозрительных действий в экосистеме программного обеспечения.

#ParsedReport #CompletenessLow
18-01-2024

Outlook Vulnerability Discovery and New Ways to Leak NTLM Hashes

https://www.varonis.com/blog/outlook-vulnerability-new-ways-to-leak-ntlm-hashes

Report completeness: Low

Threats:
Mitm_technique

Industry:
Ics

CVEs:
CVE-2023-35636 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2016, 2019)
- microsoft office long term servicing channel (2021)

CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft 365 apps (-)
- microsoft office (2019, 2021)
- microsoft outlook (2013, 2016)


ChatGPT TTPs:
do not use without manual check
T1558, T1110, T1212, T1562, T1222, T1134

IOCs:
File: 2
Path: 1

Soft:
Outlook, Windows File Explorer, Microsoft Outlook

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Varonis Threat Labs обнаружила три новых метода, которые злоумышленники могут использовать для доступа к хэшированным паролям NTLM версии 2, используя уязвимости в Microsoft Outlook, Windows Performance Analyzer и Windows File Explorer. Эти уязвимости позволяют злоумышленникам запускать автономные атаки методом перебора или ретрансляции аутентификации для компрометации учетных записей пользователей и получения несанкционированного доступа. Microsoft выпустила исправление для уязвимости в Outlook.
-----

Недавно Varonis Threat Labs обнаружила три новых метода, которые злоумышленники могут использовать для доступа к хэшированным паролям NTLM версии 2, используя уязвимости в Microsoft Outlook, Windows Performance Analyzer (WPA) и Windows File Explorer. Получив доступ к этим паролям, злоумышленники могут запускать автономные атаки методом перебора или ретрансляции аутентификации, чтобы скомпрометировать учетные записи пользователей и получить несанкционированный доступ.

Одна из уязвимостей, CVE-2023-35636, нацелена на функцию общего доступа к календарю в Microsoft Outlook. Злоумышленники могут добавлять определенные заголовки в электронное письмо, заставляя Outlook предоставлять общий доступ к содержимому и связываться с указанным компьютером. Это создает возможность для злоумышленника перехватить хэш NTLM версии 2.

При автономной атаке методом перебора исполнитель угрозы генерирует все возможные пароли, используя копию хэша NTLM версии 2, и пробует их один за другим по хэшу, пока не найдет совпадение.

Чтобы воспользоваться уязвимостью в Outlook, злоумышленник отправляет жертве приглашение по электронной почте и указывает путь к файлу .ICS на контролируемом компьютере. Делая это, субъект угрозы может перехватывать пакеты, содержащие хэш, когда компьютер жертвы пытается получить файл конфигурации с компьютера злоумышленника. Хэш NTLM жертвы раскрывается в процессе аутентификации.

Уязвимость в Windows Performance Analyzer позволяет злоумышленникам отправлять электронное письмо-приманку, содержащее ссылку на вредоносный сайт. Щелчок по ссылке инициирует автоматическое перенаправление на полезную нагрузку на вредоносном сайте. Жертве предлагается нажать кнопку "Открыть WPA", которая позволяет злоумышленнику получить хэшированный пароль жертвы NTLM версии 2. Этот эксплойт может быть реализован различными способами, такими как фишинг электронной почты, поддельная реклама на веб-сайтах или в социальных сетях.

Уязвимость проводника файлов Windows связана с использованием explorer.exe для поиска файлов с расширением .search-ms. Обходя предыдущие обнаружения, эксплойт взаимодействует напрямую с explorer.exe без использования rundll32. Обнаружение этим методом аналогично обнаружению CVE-2023-23397.

Корпорация Майкрософт признала уязвимость в Outlook важной CVE с рейтингом 6,5 и выпустила исправление 12 декабря 2023 года.

#ParsedReport #CompletenessMedium
18-01-2024

New TTPs observed in Mint Sandstorm campaign targeting high-profile individuals at universities and research orgs

https://www.microsoft.com/en-us/security/blog/2024/01/17/new-ttps-observed-in-mint-sandstorm-campaign-targeting-high-profile-individuals-at-universities-and-research-orgs

Report completeness: Medium

Actors/Campaigns:
Charming_kitten

Threats:
Mediapl
Mischieftut
Nircmd_tool
Eyeglass

Victims:
Universities, Research organizations

Industry:
Education, Military

Geo:
France, Iran, Tehran, Belgium, Israel

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1059, T1059.001, T1094.003, T1213, T1036, T1152.001, T1036.004

IOCs:
Domain: 8
File: 4
Hash: 1

Soft:
Microsoft Defender for Endpoint, Microsoft Defender, curl, Windows Media Player, Microsoft Edge

Algorithms:
sha256, aes, base64, cbc

Languages:
powershell

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Microsoft выявила группу киберугроз под названием Mint Sandstorm (PHOSPHORUS), связанную с военной разведкой Ирана. Mint Sandstorm нацелена на высокопоставленных лиц, занимающихся ближневосточными делами, особенно на тех, кто может предложить идеи или повлиять на сообщества в области безопасности и политики. Группа использует пользовательские фишинговые приманки, скомпрометированные учетные записи электронной почты и тактику социальной инженерии, чтобы обманом заставить своих жертв загружать вредоносные файлы. Они внедрили пользовательский бэкдор под названием MediaPl и используют различные методы для поддержания работоспособности в скомпрометированных средах. Корпорация Майкрософт предоставляет информацию об анализе, обнаружении, поиске и защите, чтобы помочь организациям защититься от кампаний Mint Sandstorm. В статье также подробно описываются тактика, методы и процедуры группы, а также рекомендуемые действия по смягчению связанных с ними угроз.
-----

Корпорация Microsoft выявила группу киберугроз, известную как Mint Sandstorm (PHOSPHORUS), нацеленную на высокопоставленных лиц, занимающихся ближневосточными делами.

Целями Mint Sandstorm являются университеты и исследовательские организации в различных странах, включая Бельгию, Францию, Газу, Израиль, Великобританию и Соединенные Штаты.

Mint Sandstorm использует специальные фишинговые приманки, чтобы обманом заставить цели загрузить вредоносные файлы.

Mint Sandstorm продемонстрировала новые методы защиты от вторжений и представила пользовательский бэкдор под названием MediaPl.

Мятная песчаная буря ассоциируется с APT35 и Charming Kitten, разведывательными подразделениями вооруженных сил Ирана.

Кампания направлена на то, чтобы собрать мнения о войне Израиля и ХАМАСА от людей с различными идеологическими точками зрения.

Корпорация Майкрософт предоставляет аналитическую информацию и информацию о защите в своем блоге, чтобы помочь защититься от кампаний Mint Sandstorm.

Mint Sandstorm выдает себя за известных личностей и отправляет целевым пользователям безобидные электронные письма, прежде чем доставлять вредоносный контент.

Скомпрометированные учетные записи электронной почты используются для повышения доверия к Mint Sandstorm.

MIPS Sandstorm использует различные методы сохранения в скомпрометированных средах, включая использование пользовательских бэкдоров.

MediaPl - это бэкдор, который маскируется под проигрыватель Windows Media, а MischiefTut - это бэкдор на базе PowerShell.

Антивирус Microsoft Defender обнаруживает бэкдоры MediaPl и MischiefTut.

Удаленный доступ с помощью Mint Sandstorm может привести к нарушению конфиденциальности системы и юридическим/репутационным рискам для затронутых организаций.

#ParsedReport #CompletenessLow
18-01-2024

Check Point Research alerts on a new NFT airdrop campaign

https://research.checkpoint.com/2024/check-point-research-alerts-on-a-new-nft-airdrop-campaign

Report completeness: Low

Victims:
More than 200k nft investors, Famous projects

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1566.002, T1036, T1027, T1102, T1566, T1090, T1496

IOCs:
Coin: 3

Crypto:
ethereum

Languages:
python

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что исследование Check Point раскрыло сложную кампанию мошенничества с NFT, которая нацелена на людей с помощью поддельных AIRDROPs и фишинговых веб-сайтов, используя такие методы, как подмена, манипулирование блокчейном и запутывание. Пользователям рекомендуется проявлять осторожность, проверять законность и быть в курсе событий, чтобы защититься от подобных мошенничеств. Рекомендуются надежные исследователи блокчейна, методы безопасного просмотра и аппаратные кошельки, а Check Point предлагает блокчейн-систему Intel для предоставления информации о возникающих угрозах.
-----

Краткое содержание:.

Исследование Check Point раскрыло сложную кампанию мошенничества с использованием NFT, нацеленную на более чем 200 000 человек. Расследование выявило инфраструктуру, которая распространяла AIRDROPs, имитируя известные проекты. Мошенничество включает в себя подмену адреса отправителя в транзакциях, манипулирование исследователями блокчейна и использование прокси-контрактов для сокрытия истинной природы транзакций. Фишинговый веб-сайт обманом заставляет пользователей подписать транзакцию и крадет их средства. Мошенничество сочетает в себе поддельный AIRDROP с фишинговым веб-сайтом, что делает его многогранным подходом. Для защиты от подобных мошенничеств пользователям следует проявлять осторожность, проверять законность цифровых активов и связанных с ними веб-сайтов и быть в курсе распространенных тактик мошенничества. Рекомендуются надежные исследователи блокчейна, методы безопасного просмотра и аппаратные кошельки. Блокчейн-система Intel Threat от Check Point предоставляет ценную информацию о возникающих угрозах в криптопространстве, стремясь предоставить инвесторам знания и безопасную навигацию.

#ParsedReport #CompletenessMedium
19-01-2024

From Email to RAT: Deciphering a VB Script-Driven Campaign

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-email-to-rat-deciphering-a-vb-script-driven-campaign

Report completeness: Medium

Threats:
Agent_tesla
Remcos_rat
Cloudeye
Xworm_rat
Lokibot_stealer
Junk_code_technique

Industry:
Education

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1204, T1059.001, T1059.005, T1564.001, T1005, T1105, T1133, T1547.001, T1055, have more...

IOCs:
File: 4
Url: 2
IP: 2
Hash: 3

Soft:
Internet Explorer

Algorithms:
zip, base64, xor

Functions:
Mikr9

Win API:
VirtualAlloc, CallWindowProcA, NtProtectVirtualMemory

Languages:
powershell, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 5, windows: 1, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что McAfee Labs обнаружила сложную кампанию VBS, которая использует запутанные сценарии Visual Basic для доставки различных типов вредоносных программ. Кампания включает в себя несколько этапов, включая доставку электронной почты, выполнение PowerShell, загрузку шелл-кодов и внедрение полезной нагрузки Remcos RAT в законный процесс Windows. В тексте также подчеркивается, что Microsoft осуждает VBScript из-за его использования злоумышленниками, и рекомендуются упреждающие меры для снижения рисков безопасности.
-----

McAfee Labs обнаружила сложную кампанию VBS, которая изначально распространяла вредоносное ПО AgentTesla, но теперь эволюционировала для распространения других вредоносных программ, таких как Guloader, Remcos RAT, Xworm и Lokibot. В этой кампании используются запутанные скрипты Visual Basic (VBS) в качестве универсального механизма доставки. Процесс заражения начинается с файла VBS, доставленного по электронной почте, и проходит через этапы PowerShell, используя утилиту BitsTransfer для получения сценария PowerShell второго этапа. Шеллкод A скрывает и загружает шеллкод B, который в конечном итоге загружает зашифрованную полезную нагрузку Remcos RAT. Remcos RAT внедряется в законный процесс Windows wab.exe, обеспечивая скрытое развертывание и работу в среде Windows.

Сценарий VBS, используемый в этой кампании, сильно запутан, что затрудняет его анализ. Он включает мусорные переменные, функции-приманки, ненужные комментарии и запутанные вредоносные функции. После декодирования файла с именем mundhul.pfb обнаруживается код, похожий на изображение. Дальнейший анализ показывает конкретную инструкцию скрипта для перехода к смещению 229981 и извлечения 28050 единиц данных, что знаменует начало второго сценария PowerShell. Второй скрипт содержит комментарии и включает функцию для расшифровки строк. Скрипт PowerShell использует метод Invoke для выполнения своих команд и загружает функцию VirtualAlloc() для сохранения дескрипторов памяти в переменных. Он также содержит скрытый шеллкод, который выполняется двумя частями.

Основное действие шеллкода-A заключается в копировании шеллкода-B в память и расшифровке его с помощью операции XOR. Это позволяет расшифрованному шеллкоду выполнять предназначенные ему инструкции в памяти системы. Затем шеллкод устанавливает новый процесс с именем wab.exe и вводит расшифрованный шеллкод в его область памяти. Цель состоит в том, чтобы извлечь Remcos RAT из указанного URL-адреса и внедрить его в процесс wab.exe. Remcos RAT инициирует связь с IP-адресом через порт 2404, создает мьютекс и регистрирует данные, введенные с клавиатуры во время его работы. Сделанные скриншоты сохраняются в каталоге, а собранные данные хранятся в хранилище под названием Remcos.

В этой кампании освещается комплексный процесс заражения, инициированный файлом VBS, полученным по электронной почте. Он включает в себя несколько этапов, включая активацию скрипта VBS, выборку сценария PowerShell второго этапа, загрузку шелл-кодов, а также загрузку и внедрение окончательной полезной нагрузки Remcos RAT. Введенный wab.exe затем выполняет вредоносные действия как Remcos RAT.

В тексте также упоминается, что Microsoft осуждает VBScript из-за его использования злоумышленниками для распространения вредоносных программ. Microsoft стремится повысить безопасность, устраняя этот источник заражения и сокращая количество вредоносных кампаний, использующих функции Windows и Office. Компания рекомендует превентивные меры, такие как оперативное обновление, обучение по безопасности и постоянное информирование о жизненном цикле программного обеспечения для снижения рисков. Кроме того, применение бдительного и осторожного подхода к фишингу электронной почты может помочь предотвратить попадание в число жертв атак.

#ParsedReport #CompletenessLow
19-01-2024

SmartApeSG Delivering NetSupport RAT

https://www.esentire.com/blog/smartapesg-delivering-netsupport-rat

Report completeness: Low

Actors/Campaigns:
Smartapesg

Threats:
Netsupportmanager_rat

Geo:
America, Apac, Africa, Emea

TTPs:

ChatGPT TTPs:
do not use without manual check
T1078, T1486, T1485, T1562, T1059, T1027, T1560, T1112

IOCs:
Registry: 1
IP: 1
Hash: 21

Algorithms:
zip, base64

Languages:
javascript, php, powershell

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/SmartApeSG/smartapesg\_iocs\_1-11-2024.txt
https://github.com/RussianPanda95/Yara-Rules/blob/main/SmartApeSG/SmartApeSG\_JS\_dropper\_stage1.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что подразделение реагирования на угрозы eSentire (TRU) обнаружило субъекта угроз по имени SmartApeSG, использующего поддельные обновления браузера для распространения троянца удаленного доступа NetSupport (RAT). Команда TRU исследовала и локализовала угрозу, подчеркнув важность веб-безопасности и осторожности при загрузке файлов. Они также рассказали о методах запутывания и стратегиях развертывания, используемых участниками угроз, подчеркнув необходимость передовых мер кибербезопасности.
-----

Подразделение реагирования на угрозы eSentire (TRU) - это команда квалифицированных охотников за угрозами и исследователей, специализирующихся на повышении устойчивости к кибербезопасности.

Команда TRU обнаружила вредоносный скрипт PowerShell, выполняемый SmartApeSG, который использует поддельные обновления браузера для распространения NetSupport RAT.

Сценарий PowerShell скрывает вредоносный код в допустимых разделах кода, извлекаемых по определенному URL-адресу и загружаемых с помощью команд PowerShell.

Декодированное содержимое сохраняется в виде ZIP-файла (rtrs.zip) и извлекается для проверки наличия исполняемого файла (client32.exe).

Создается новый элемент реестра, гарантирующий, что client32.exe запускается при запуске системы.

eSentire предоставляет правила Yara для обнаружения действий SmartApeSG и использует управляемое обнаружение и реагирование (MDR) для расследования и локализации угрозы.

Поддельные обновления браузера и скомпрометированные веб-страницы - это распространенные методы социальной инженерии, используемые злоумышленниками.

Методы обфускации используются для сокрытия вредоносного контента в законных разделах кода.

Понимание стратегий, используемых субъектами угроз, таких как загрузка, декодирование, выполнение, изменение элементов реестра и использование многоуровневых методов развертывания, имеет решающее значение для эффективного обнаружения и реагирования.

Сложный характер декодирования содержимого Base64 и раскрытия ZIP-архивов подчеркивает необходимость принятия передовых мер кибербезопасности.

#ParsedReport #CompletenessLow
19-01-2024

Chae$ Chronicles: Version 4.1 Dedicated to Morphisec Researchers

https://blog.morphisec.com/chaes-chronicles

Report completeness: Low

Threats:
Chaes

Victims:
Portuguese-speaking businesses

Geo:
Portuguese

ChatGPT TTPs:
do not use without manual check
T1192, T1204, T1213, T1027, T1071, T1486

IOCs:
Url: 3
File: 1

Algorithms:
base64, zip

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 2, windows: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4